Projet Reseau de Kherfallah Ipm 2010 2011 130108074145 Phpapp01

7/29/2019 Projet Reseau de Kherfallah Ipm 2010 2011 130108074145 Phpapp01

1/17

1

MODULE : Rseaux

PROJET DE CONCEPTION DE RESEAU

Cas : Assurance de Marseille

Ralis par : KHERFALLAH Boubaker

Master 2 IPM

Universit de Lille1

Ce document prsent ltude dune architecture rseau LAN/WAN en rponse a un besoin de

la compagnie assurance de Marseille : Intranet, GED, e-Learning.


2/17

1

OBJET DU PROJET

Lobjet du projet est de proposer une solution darchitecture pour le rseau de la compagnie

assurance de Marseille .Ce rseau doit tre dimensionn en fonction des types dutilisation, de

lentit utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles etdes utilisateurs du rseaux

ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATIONLORS DE LA CONCEPTION :

Les bases de ma conception se rsument quatre objectifs fondamentaux :

Extensibilit : Les conceptions de rseau extensibles donnent la possibilit daccueillir de

nouveaux groupes dutilisateurs et de sites distants et peuvent prendre en charge de nouvelles

applications sans affecter le niveau de service fourni aux utilisateurs dj existants.

Disponibilit :Un rseau conu pour tre disponible fournit, 24 heures sur 24 et 7 jours sur 7, des

performances constantes et fiables. En outre, la dfaillance dune seule liaison ou dune partie du

matriel ne doit pas avoir dimpact important sur les performances rseau.

Scurit : La scurit doit tre prvue ds la conception du rseau et non ajoute aprs sa

ralisation. La planification de lemplacement des dispositifs de scurit, des filtres et des pare-feu

est primordiale pour assurer la protection des ressources du rseau.


3/17

1

Facilit de gestion :Quelle que soit la qualit de la conception initiale du rseau, le personnel en

charge du rseau doit tre capable de le grer et de le prendre en charge. Un rseau trop complexe

et difficile maintenir ne peut pas fonctionner efficacement.

I- SIEGE DE MARSEILLE :

ARCHITECTURE PROPOSE

1.1 TOPOLOGIE DE RSEAU:

1.1.1 ARCHITECTURE GNRALE

Larchitecture que je viens de proposer se base sur une conception hirarchique divise en

trois couches :

Cur de rseau : assure la commutation haut dbit (optimisation du transport).

Rseau de distribution : assure une connectivit fonde sur les stratgies.

Accs : permet aux utilisateurs et aux groupes de travail d'accder au rseau.

NB : dans les entreprises de petite taille, il nest pas rare dimplmenter un modle fdrateur,

o la couche de distribution et la couche coeur de rseau se trouvent au sein dune seule et

mme couche.

Dans notre cas : un commutateur de couche distribution joue le rle de fdrateur.Avantage dun rseau hirarchique :

- volutivit : les rseaux hirarchiques peuvent tre aisment tendus.

- redondance : la redondance au niveau de la couche cur rseau et distribution garantis la

disponibilit des chemins daccs.

- performance : lagrgation des liaisons garantis une vitesse proche de celle de cble

travers le rseau.

- scurit : scurit des ports au niveau de la couche accs rseau et les stratgies au niveau

de la couche de distribution renforcent la scurit de rseau.

-facilit de gestion : la cohrence entre les commutateurs chaque niveau simplifie la

gestion.

-maintenance : via la modularit hirarchique la maintenance devient facile.

1.1.2 LE MATRIEL

Jai choisi duniformiser le type de matriel dploy sur l'ensemble de mon architecture. Cela

aura plusieurs avantages :


4/17

1

Tous les quipements sont de mme marque ce qui vite tous problmes de compatibilit

entre les protocoles propritaires. Et mme plus il nous permet dexploiter pleinement les

protocoles dvelopps par le constructeur.

Jai donc choisi de prendre du matriel Cisco puisque ce sont des quipements fiables qui ont

fait leur preuve.

Les quipements dinterconnexion:

Equipement dinterconnexion Fonctions symbole

Routeurs Cisco 2811fonctionnalits avances :Large ventail doptions derseau LAN et WAN. possiblevolution pour sadapter auxfutures technologies.

Plusieurs typesdemplacements quipermettent dajouter desoptions de connectivitet des services mesure quelentreprise se dveloppe avec la plate-formelogicielle Cisco IOSSecurity, permettent debnficier de la protectiondes liaisons de rseau WANet des services VPN.

Routage vers la destination

finale

Switch Catalyst 3570

(Pour la couche distribution)

-Prise en charge de lacouche 3- dbit de transfert lev.-Ethernet gigabits/ Ethernet10 gigabits- composants redondants-stratgies de scurit/listede contrle daccs-agrgation des liaisons-qualit de service

Switch Catalyst 2960

(pour la couche accs

rseau)

-scurit des ports-rseau locaux virtuel

-Fast Ethernet /gigabit Ethernet

Fonctionnalit dun commutateur de couche 3 :


5/17

1

Les commutateurs de couche 3 peuvent excuter des fonctions de routage de la couche 3, ce

qui rduit le besoin de routeurs ddis sur un rseau local. Parce que les commutateurs de

couche 3 disposent dun matriel de commutation spcialis, lacheminement des donnes est

gnralement aussi rapide que la commutation.

Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manire

similaire un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais,

dfaut dexploiter les informations dadresses MAC de couche 2 pour toute dcision en

matire de transmission, un commutateur de couche 3 peut galement exploiter celles des

adresses IP. Un commutateur de couche 3 ne cherche pas uniquement savoir quelles

adresses MAC sont associes chacun des ports ; il peut galement identifier les adresses IP

associes ses interfaces. Il peut alors orienter le trafic sur le rseau sur la base des

informations recueillies sur les adresses IP.

Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites)

- Switch catalyst Cisco 3750

- 4 Switch catalyst 2960 de 24 ports

1.1.3 SCHMA DE CBLAGE

Sur le deuxime tage, un local de rpartiteur principal constituera le point central de

raccordement du cblage LAN ainsi que le point de prsence de la connexion WAN. Les

principaux composants lectroniques du rseau, notamment les routeurs et les commutateurs

LAN, seront hbergs cet emplacement.

- Le cblage horizontal comprendra des cbles paires torsades non

blindes de catgorie 5 et devra accepter un dbit de 100

Mbits/s de norme TIA/IEA-568-B.

- Le cblage vertical (backbone) comprendra des cbles fibre optique multi-mode.


6/17

1

1.2 SERVEURS ET FONCTIONS

1.2.1- Emplacement des serveurs : (batterie des serveurs)Il est trs difficile dadministrer et de scuriser un grand nombre de serveurs lorsquils sont

distribus sur plusieurs sites dun mme rseau. Cest pourquoi ils sont frquemment centraliss

sous forme de batteries de serveurs (terme utilis par Cisco). Ces batteries de serveurs sont

gnralement regroupes dans un local central. Cisco donne ce stade des recommandations

concernant la sparation des modules fonctionnelles dans un rseau de la faon suivantes :

Campus dentreprise : cette zone contient les lments de rseau ncessaires une exploitation

indpendante, au sein dun rseau local.

Batterie de serveurs : composant de campus dentreprise ; la batterie de serveurs protge les

ressources de serveur et fournit une connectivit haut dbit fiable et redondante. (Gnralement

constitue des serveurs principaux et des serveurs de sauvegarde pour lquilibrage de charge, la

redondance et la tolrance de panne).

Priphrie du rseau dentreprise:

lorsque le trafic de donnes arrive au rseau de lentreprise,cette zone le filtre et le spare des ressources extrieures, pour lacheminer vers le rseau


7/17

1

dentreprise. Elle contient tous les composants ncessaires une communication efficace et

scurise entre le campus dentreprise et les sites distants, les utilisateurs distants et Internet.

Avantage dune telle conception du rseau :

La structure modulaire des architectures dentreprise (inspir de larchitecture des entreprises

chez Cisco) offre les avantages suivants en termes de conception :

- Elle cre un rseau dterministe dot de frontires clairement dfinies entre les modules.

Ces points de dmarcation clairs permettent au concepteur du rseau de savoir exactement

do vient le trafic et o il va.

- Elle facilite le travail de conception en rendant chaque module indpendant. Le

concepteur peut alors se concentrer sur les besoins de chaque zone, de manire

individuelle.

- Elle amliore lextensibilit du systme en permettant lentreprise de rajouter facilement

de nouveaux modules. Lorsque la complexit du rseau augmente, il suffit au concepteur

dajouter de nouveaux modules fonctionnels.

- Elle permet au concepteur dajouter des services et des solutions sans avoir modifier la

structure sous-jacente du rseau.

Donc au sein de notre rseau est segment en deux zones, la zone serveurs et la zone

utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi

segmente de telle sorte avoir un service par vlan. Chaque services ainsi que leurs serveurs

(Ressources humaines, comptabilit, finances ...) se trouvera sur un vlan diffrent afin de

segmenter au mieux notre rseau, d'en faciliter ladministration, grer la bande passante et

d'augmenter la scurit.


8/17

1

Fig. : Schma logique de larchitecture de rseau de sige de Marseille.

Dans ce schma : le nombre des ordinateurs et serveurs nest pas exhaustif, cest juste

schmatisation des frontires de chaque zone.

1.2.2- Fonctions :

Tous les serveurs seront classs en tant que services de type Entreprise ou Groupe de travail et

seront placs dans la topologie du rseau selon leur fonction et le trafic utilisateur prvu.

1- LES SERVEURS DENTREPRISE : (QUI COMPOSENT LINTRANET)

Services de Noms de Domaine (DNS) :Service de rsolution de nom dynamique. Ce

serveur est charg de traduire un nom en adresse IP. il permet d'accder simplement aux ressources

du Web sans avoir noter des adresses IP difficile retenir, il fera la mme chose soit a

l'intrieur de dun rseau soit sur internet.


9/17

1

Serveur active directory (AD) :

Sert pour lauthentification des utilisateurs de la compagnie lors de lexploitation des ressources de

rseau et gre les droits daccs au systme d'information de lentreprise. Ce serveur est le

contrleur de domaine de la compagnie dassurance (service active directory) sous Windows 2003

server.

Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour

communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris

et dunkerque

Serveur Web (HTTP) : ncessaire pour laccs aux ressources web de la compagnie.

Serveur E-Learning : qui hberge la plateforme e-Learning de la compagne, elle est

accessible aussi par les employs des succursales Paris et Dunkerque.

Serveur GED : outils de gestion de documents et changes et partages de fichiers entre

collaborateur de la compagnie.

Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue

automatiquement une adresse IP et toutes les donnes de configuration ncessaires a un bon

fonctionnement a chaque machine au moment de sa mise en service sur le rseau. Plus de liste de

paramtres configurer sur les postes clients.

2- LES SERVEURS DE GROUPE DE TRAVAIL :

SERVEUR D'APPLICATIONS propres a chaque service dentreprise (finance, comptabilit,

contrats dassurance .)

Toutes les applications informatiques seront hberges par un serveur propre chaque service (par

la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications

telles que gestion des contrats dassurances, finance,etc.


10/17

1

1.3 LES DEBITS

A partir de lhypothse que les applications utilises par la compagnie assurance de Marseille sont

gourmandes et consommatrice de la bande passante, jai opt pour des liens de en fibre optique

pour les liaisons verticales et restent volutifs en fonction du nombre de Switch empils.

Politique des VLANsUn rseau local est dfini par un domaine de diffusion. Tous les htes d'un rseau local

reoivent les messages de diffusion mis par n'importe quel autre hte de ce rseau. Par

dfinition, un rseau local est dlimit par des quipements fonctionnant au niveau 3 (couche

rseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau

2(notamment de rduire le domaine de collision) et de scuriser le rseau.

Lobjectif principal tant de segmenter ce domaine de diffusion pour utiliser efficacement la bande

passante et dassurer la scurit des donnes transitant sur le rseau de la socit, de ce fait

chacun des services de la socit sera cloisonns sur un vlan.

2 ADRESSAGE ET NOMMAGE

2.1 ADRESSAGE :

Le plan d'adressage est la stratgie que l'on va appliquer afin de relier les diffrentes entits de

notre rseau de la manire la plus optimale. C'est--dire afin que le rseau soit le plus rapide

possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne).

Pour ce faire, je suis partis du principe que pour optimiser au maximum les diffrents flux

rseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de

privilgier la limitation des domaines de broadcast l'aide de VLANs.

De plus, on doit prendre en compte certains lments primordiaux pour la ralisation du plan

d'adressage. Tout d'abord, il me faut un plan d'adressage volutif. En effet, on doit pouvoir

s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra tre capable

d'accueillir des nouvelles entits sans subir aucun changement particulier.

A l'intrieur de notre rseau, on ne dfinira pas de sous rseaux pourles diffrents services mais on utilisera plutt une solution base de VLANafin de rduire le nombre de routeur.


11/17

1

2.1.1 Adressage des serveurs et des postes de travail.

Le nombre de postes dans la compagnie Marseille assurance ne dpasse pas les 50 postes donc, jai

opt pour ladressage en classe C.

Nous avons fait le choix dadresser les actifs (routeurs, commutateurs) et les serveurs avec les

adresses dhtes les plus faibles : ce sont des adresses IP fixes.

Les postes de travail seront adresss avec les adresses restantes et se les verront attribuer

Dynamiquement. Le sige de Marseille dispose dun serveur DHCP configur pour distribuer les

adresses aux clients. Tous les ordinateurs des serveurs seront dots d'adresses statiques et les

ordinateurs rservs aux employs via le protocole DHCP.

Donc les machines peuvent tres adresses de 192.168.1.50 192.168.1.100 (mon

hypothse est base sur un nombre de50 postesdans le sige de Marseille).

2.1.2 Plan dadressage :

Il tait possible de dcouper notre rseau en sous rseaux, mais je suis parti du principe que

pour optimiser au maximum les diffrents flux rseaux, il faut minimiser au maximum le routage

et favoriser la commutation. De ce fait, de privilgier la limitation des domaines de broadcast

l'aide de VLANs.

Il ya une possibilit de regrouper plusieurs service sur le mme serveur matriel, comme on peut

ces services dans des serveurs indpendants (selon laspect cout).

Elment Adresse IP masque de

sous rseauxInterface interne du routeur

(passerelle)

192.168.1.1 255.255.255.0

Serveur DNS + Serveur active

directory (AD) (sur la mme machine)

192.168.1.2 255.255.255.0

Serveur web 192.168.1.3 255.255.255.0

Serveur de messagerie 192.168.1.4

Serveur DHCP 192.168.1.5 255.255.255.0

Serveur GED 192.168.1.6

Serveur hbergeant la plate forme e-

Learning

192.168.1.7 255.255.255.0

Les postes utilisateurs Adresse attribue par le serveur

DHCP :

Plage : 192.168.1.50

255.255.255.0


12/17

1

192.168.1.100Les serveurs de groupe de travail qui

hbergent les applications de :

(finance, comptabilit, contrats

dassurance)

Adresses fixes partir de

192.168.1.200

255.255.255.0

- Les serveurs propres chaque service se situent dans leur propreVLAN.

2.1.3 Plan de nommage :

Nom de domaine : marsassurance.fr

Serveur web : www.marsassurance.fr

Serveur messagerie : mail.marsassurance.fr
http://www.marsassurance.fr/http://www.marsassurance.fr/


13/17

1

Serveur e-Learning : learn. marsassurance.fr

Le nom de domaine et les FQDN de chaque serveur sont configurer sur le serveurDNS de la compagne.

3 Scurit :

Mise en uvre dun pare-feu afin de scuriser toutes les applications exposes Internet sur le

routeur Cisco 2811 via ses fonctionnalits intgres :

- Dtection des intrusions (IDS).

- Filtrage des URL

- Les listes de contrle daces (ACL).

II- Connectivit des sites distants (Paris etDunkerque)

Les deux sites distants existants, un Paris et lautre situe dunkerque.. Doivent pouvoir

accder la plateforme e-Learning situes sur un serveur lassurance Marseille.

Lun des objectifs prioritaires du nouveau rseau consiste tendre. Voici les deux connexionsdistantes supplmentaires prvues :


14/17

1

1- Ladressage dans le rseau WAN :- Systme NAT

Ladressage priv (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse

considrable dans la conception de leur rseau. Des schmas dadressage pratiques aux niveaux du

fonctionnement et de ladministration peuvent ainsi tre utiliss, et la croissance est plus simple

grer.

Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et quil nexiste passuffisamment dadresses publiques pour nous permettre den fournir une chacun de nos htes, les

rseaux ont besoin dun mcanisme pour traduire les adresses prives en adresses publiques la

priphrie du rseau ; ce mcanisme doit pouvoir fonctionner dans les deux sens.

Sans systme de traduction, Les htes privs derrire un routeur dans le rseau de Paris nepeuvent pas se connecter aux htes privs derrire un routeur dans le rseau de Marseille viaInternet.

Donc on doit configurer un mcanisme de traduction dadresses de rseau qui sappel (NAT) sur

les trois routeurs (Marseille, paris et dunkerque) pour procurer un accs Internet.

Adresses IP de lInterface WAN de routeur masque de sous rseaux


15/17

1

Marseille : 209.165.201.1 255.255.255.224

Paris : 209.165.200.225 255.255.255.224

Dunkerque : 209.165.202.129 255.255.255.224

Puisque la compagnie possde 3 adresses publiques pour grer des dizaines de machines dans

chaque rseau, le type de NAT configurer sur les 3 les routeurs et le NATING par port,

2- Comment scuriser laccs distant ?Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au rseau de Marseille pour la

plateforme e-Learning. Et ils ont besoin dans certains cas daccder ressources rseau sur le rseau

de Marseille. Cette connexion concerne des informations dun aspect priv, elle doit tre

imprativement scurise.

Donc dans ce cas, Il faut dployer un systme de scurit pour :

Protger les communications inter -sites (Marseille, Paris, Dunkerque) Autoriser les accs licites distants la plateforme e-Learning et aux services intranet deMarseille : partir de Paris et Dunkerque.

Il sagit ici dune connexion site--site entre (Marseille-paris) et (Marseille-Dunkerque), la

technologie la plus adapt cette situation VPN site--site est la technologie IPSEC base sur letunneling.

Dans ce cas on va crer un rseau priv (celui de la compagnie dassurance) via un rseaupublic (internet) .


16/17

1

La configuration de VPN IPSec va se faire sur les trois routeurs des sites

(Marseille, dunkerque et Paris).

3- Des services supplmentaires sur les sites distants :

Afin de faciliter laccs aux serveurs de site distant de Marseille, jai opt dinstall dans chacun

des sites paris et dunkerque un serveur de noms local peut faire office de cache et rpondre plus

rapidement que l'interrogation du serveur de noms faisant autorit situ sur le site de Marseille.

III- Schma gnral du rseau.


17/17

1

Configuration sur le routeur Cisco 2811 (Marseille,

Dunkerque, Paris) :- Protocole de routage OSPF

- Translation dadresses NAT

- Liste de contrle daccs

- VPN

- firewall IDS

Projet Reseau de Kherfallah Ipm 2010 2011 130108074145 Phpapp01

Documents