Rapport_projet by dandanhuanghuang

VIEWS: 41 PAGES: 52

									   TEMPORAIRE




   Rapport                                       12 février

   de fin de
   réalisation
   de projet
                                                 2008
                                                                            Projet tuteuré
   Rapport sur le travail réalisé par le groupe B de la classe de licence   Licence
   professionnelle réseaux sans fil et sécurité formation initiale.
                                                                            Professionnelle
                                                                            RSFS-FI




Étudiants : Vincent Mayet, Ruhi Aslan, Stéphane Guiraud, Xavier Herve, Louis Labrosse, Maxime Terret,
Aurélien Serra

Maître d’ouvrage : Lubineau Denis Copie : Thiriet Jean-Marc
Sommaire
1-      Cahier des charges.................................................................................................................................3
     Fonction réseau: ........................................................................................................................................3
        _ Définition de l’architecture du réseau :..............................................................................................3
        _ Choix des équipements (Routeurs, Switch, Points d’accès Wifi …) ....................................................3
        _ Configuration des équipements : .......................................................................................................3
     Fonction système: .....................................................................................................................................3
        _ Installation des serveurs, administration: ..........................................................................................3
        _ Outils complémentaires .....................................................................................................................3
     Fonction authentification & accès sans fil.................................................................................................4
        _ Serveur d’accès : .................................................................................................................................4
        _ Réseau sans fil ....................................................................................................................................4
        Configuration des points d’accès. Mise en sécurité ..............................................................................4
        _ Option liaison point à point et réseau local déporté .........................................................................4
     Fonction supervision .................................................................................................................................4
        _ Fonction supervision ..........................................................................................................................4
        _ Fonction traitement............................................................................................................................4
2-      Schéma de l’infrastructure ....................................................................................................................5
     Description : ..............................................................................................................................................5
3-      Choix technologiques ............................................................................................................................7
     _VLAN : ......................................................................................................................................................7
     _DMZ .........................................................................................................................................................8
     _WIFI .........................................................................................................................................................8
     _VOIP .........................................................................................................................................................8
     _MONITORING ..........................................................................................................................................8
4-      Choix matériels et logiciels ....................................................................................................................9
    1- Cahier des charges
      L'entreprise « Newspress », filiale créée par Le Monde, produit et publie un quotidien adressé
aux étudiants.
      Récemment, cette dernière nous a contactés pour concevoir son réseau informatique.

      Le cahier des charges à respecter était le suivant :

         « Nous souhaitons réaliser un réseau d’entreprise sécurisé, connecté à Internet. Les
utilisateurs ayant accès au réseau devront être authentifiés, disposer d’accès filaires et non filaires. Le
réseau leur offrira les services classiques : WEB et service de fichier. Un service de messagerie interne
pourra être mis en œuvre, mais on ne cherchera pas dans ce cas à l’interfacer avec l’Internet. Il est
souhaitable de disposer des outils de surveillance et d’administration du réseau. »

        Les fonctions à mettre en œuvre sont les suivantes :

Fonction réseau:
                _ Définition de l’architecture du réseau :
                        Réseaux publics
                        Réseaux privés
                        Zone(s) DMZ
                        Vlan si nécessaire
                        Plan d’adressage

                _ Choix des équipements (Routeurs, Switch, Points d’accès Wifi …)

                _ Configuration des équipements :
                        Listes de contrôle d’accès, Filtrage d’accès sur le ou les Firewalls.
                        Translations d’adresse….

Fonction système:
                _ Installation des serveurs, administration:
                         Serveur WEB
                         Partie publique
                         Partie privée (Intranet)
                         Serveur de messagerie (interne)
                         Serveur DNS. Résolution directe et inverse
                         Serveur FTP
                _ Outils complémentaires
Fonction authentification & accès sans fil
             _ Serveur d’accès :

      Il est souhaitable que, à terme, tous les utilisateurs soient authentifiés sur un serveur
      d’authentification unique pour tous les services.

      Un service d’authentification fonctionne sur un couple (serveur+base de données).
      Le service d’authentification devra contrôler l’accès aux services suivants :

                     Serveur de fichiers
                     Accès non filaires.
             _ Réseau sans fil

                     Configuration des points d’accès. Mise en sécurité
                     Configuration d’un accès invité
                     Configuration d’un accès employé

             _ Option liaison point à point et réseau local déporté

Fonction supervision
             _ Fonction supervision
                     Surveillance des équipements (état)
                     Remontée de logs/ alertes
             _ Fonction traitement
                     Traitement des logs
    2- Schéma de l’infrastructure




Description :
Pour répondre aux exigences du cahier des charges nous avons décidé d’adopté le schéma ci-joint.

Un accès à internet (nuage internet), un firewall ( Netasq F50), un réseau switché ( matériel Cisco ).

Nous avons décidé de dédié des sous réseaux à chaque élément essentiel d’un réseau d’entreprise :

Un réseau pour la zone démilitarisée (DMZ), un réseau pour les postes des employés, un pour les
serveurs, un pour la voix sur IP et enfin un pour le réseau wifi.

Ces réseaux sont virtuels, ce sont des VLAN (http://en.wikipedia.org/wiki/Virtual_LAN).

La DMZ accueil un serveur de fichiers (FTP) et un serveur web INTRANET.

Le réseau des postes clients est prévu pour accueillir un nombre illimité de clients, ils sont tous en
adressage dynamique (DHCP) et les utilisateurs qui les utilisent sont authentifiés et gérés par un
active directory.

La voix sur IP (VOIP) est sur son propre réseau, un serveur DHCP y est installé. Le PABX est asterisk.

Le réseau wifi est lui aussi indépendant mais néanmoins en lien avec l’active directory. Une borne
Cisco est présente en tant que point d’accès.

Enfin le Vlan serveur accueil plusieurs machines qui font office de : serveur de nom de domaine
(DNS), serveur d’adressage (DHCP), serveur de messagerie (Exchange), serveur d’authentification
(Active directory) et enfin un serveur de monitoring du réseau (Nagios).
A noté qu’un serveur anti-virus devait être initialement installé mais aucune licence n’as été
facilement obtenue et aucun serveur libre n’existe. La protection virale se fera donc au poste par
poste temporairement.

Le réseau à un débit uniformisé à 100Mbits.
   3- Choix technologiques

Généralités sur les solutions apportées



               _VLAN :
                      Sous-tendu par la technologie Ethernet 100BaseT (100Mbits/sec), nous
                       avons opté, pour la création de notre réseau, pour une solution VLAN.
                       Pourquoi?
                      Tout d’abord, pour Le renforcement de la sécurité du réseau : Les frontières
                       virtuelles créées par les VLAN ne pouvant être franchies que par le biais de
                       fonctionnalités de routage, la sécurité des communications est renforcée.
                      La flexibilité de segmentation du réseau. Les utilisateurs et les ressources
                       entre lesquels les communications sont fréquentes peuvent être regroupés
                       sans devoir prendre en considération leur localisation physique, ce qui
                       correspondra à l’avenir proche aux attentes de l’entreprise. Il est aussi
                       envisageable qu'une station appartienne à plusieurs VLAN(s) en même
                       temps.
                      La simplification de la gestion : L'ajout de nouveaux éléments ou le
                       déplacement d'éléments existants peut être réalisé rapidement et
                       simplement sans devoir manipuler les connexions physiques dans le futur
                       local technique. De plus, il est possible avec les réseaux virtuels de définir un
                       groupe temporaire. A ce titre, le VLAN 6 (192.168.0.0/24) sera réservé pour
                       un usage futur.
                      Une technologie évolutive et à faible coût : La simplicité de la méthode
                       d'accès et la facilité de l'interconnexion avec les autres technologies ont fait
                       d'Ethernet une technologie évolutive à faible coût quelles que soient les
                       catégories d'utilisateurs.
                      Pour information, ci-suit les adresses IP en classe C de nos 6 réseaux
                       virtuels (cf. 4.2. Mise en place du réseau)

                                         VLAN 1 (serveurs): 192.168.1.0/24
                                         VLAN 2 (DMZ) : 192.168.2.0/24
                                         VLAN 3(WIFI) : 192.168.3.0/24
                                         VLAN 4 (VOIP) : 192.168.4.0/24
                                         VLAN 5 (postes clients) : 192.168.5.0/24
                                         VLAN 6 (usage futur) : 192.168.0.0/24

                       Vérifier (max et steph’) si les adresses sont toujours bonnes.
_DMZ
              Situé entre notre réseau local et Internet, derrière le pare-feu, nous avons
              aussi créé une DMZ, zone isolée hébergeant des applications mises à la
              disposition du public de Newspress, à savoir ici notre serveur WEB (interfacé
              par le système de gestion contenu JOOMLA 1.5) et notre serveur FTP. Un
              serveur de messagerie aurait pu être initié mais comme le stipule le cahier
              des charges, cette application ne sera utilisée qu’en interne, hébergée sur un
              serveur en local .




_WIFI

_VOIP

_MONITORING
4- Choix matériels et logiciels


  Firewall: F50 Netasq

  Routeur: CISCO 2950

  Access Points WIFI: CISCO AP1200

  Téléphones: Téléphone filaire

  Logiciels:

        Logiciels Serveurs: Linux: Cent OS 5 (DMZ)

                           Windows: Windows 2003 (Serveurs)

        Supervision: Nagios

        Contrôle d’accès: Active Directory + Radius IAS
   5- Rapport d’installation


La partie qui suit vise à décrire les procédés mis en place pour la construction
de notre réseau.



Réseau physique

Les Vlans
                                       Nagios

Présentation



Nagios est un moniteur de supervision, successeur de NetSain, c'est un logiciel libre et
gratuit très connu et très utilisé dans le monde la supervision. Un administrateur doit
savoir à tout moment l'état des machines et des services sur son réseau, il ne peut
cependant pas se permettre de vérifier l'état de celui-ci en permanence. L'examen
journalier des fichiers de log peut être une solution, mais dans ce cas, s’il y a un
problème, il sera détecté bien trop tard.



C'est pour ces raisons que Nagios est un outil très puissant, il permet de vérifier
quasiment en temps réel l'état des machines et des services, et d'avertir l'administrateur
si un de ceux-ci ne fonctionnent plus correctement.



Principe de fonctionnement



L'architecture de Nagios s'oriente autour de 3 axes :

- un moteur gérant l'ordonnancement des vérifications, ainsi que les actions à prendre
sur incidents (alertes, prise d'action corrective...).

- Une interface web (IHM).

- Des plugins / greffons (scripts qui sont à la base des vérifications effectuées par
Nagios.).

Les plugins sont une notion importante de nagios, de « base » il y en a plusieurs, mais
il est aussi possible de créer ses propres greffons pour effectuer une tâche bien
particulière. Un plugin renvoi toujours un code :

       0 : Ok

       1 : Warning

       2 : Critical
       3 : Unknown

C'est ce code qui sera interprété par Nagios, qui lancera les actions qui ont été
programmées, comme relancer un service, ou prévenir l'administrateur en charge de
cette partie du réseau. Par exemple on peut dire à Nagios d'effectuer toutes les 3
minutes un ping sur une machine, pour voir si celle-ci est bien sur le réseau, si la
machine ne répond pas, un administrateur en est informé. Ces greffons fonctionnent
soit en local sur la machine supervisée ,par exemple les vérification sur les disques,
soit effectuent des tests à distances, tests sur des protocoles réseaux tels SMTP.

Installation

Version: Nagios 3.0 rc2 avec fichiers .cfg

Support: Linux, Ubuntu 6.06 Dapper Drake



pré-requis pour l'installation sur Ubuntu:

      Installer un serveur Web, nous avons choisi Apache.
      Activer l'accés aux Dépots APT « universe » pour pouvoir télécharger les
       packets nécessaires.
      Installer un compilateur C.



L'installation se fait à partir de l'interface graphique Synaptic, nous avons installé le
paquet « nagios-text » et toutes ses dépendances. A noter que cette version de Nagios
se configure par l'intermédiaire de fichiers textes (.cfg), mais il existe aussi une version
mySQL de Nagios. Nous avons préféré une version « texte » pour réduire le nombres
de composants nécessaire au fonctionnement de Nagios, et aussi parceque la version
texte facilite le changement des paramètres. Nous avons décidé d'installer Nagios dans
/etc/nagios, tous les fichiers qui vont nous intéresser pour la configuration sont présent
dans ce répertoire.

Une fois l'installation terminé, l'accés a l'interface graphique se fait par l'adresse
http://localhost/nagios puis en saisissant le login nagioadmin et le mot de passe toto. A
ce moment précis Nagios ne voit qu'une seul interface, notre routeur, qu'il nomme gw
pour gateway. L'accés a cet interface doit être restreind, car on peu à partir d'elle avoir
accès a des informations confidentiels, et même déclencher des actions. Pour tester le
bon fonctionnement des accés, par l'intérmédiaire de l'utilitaire htpasswd fournis avec
apache:

# sudo htpasswd /etc/nagios/htpasswd.users newspress

nous avons créé un nouvel utilisateur : newspress avec pour mot de passe toto, ses
droits d'accés ont été modifiés dans le fichier /etc/nagios/cgi.cfg afin qu'il ne puisse
qu'avoir accés aux status des services et des machines du réseau.
Nous avons indiqués les horaires pour lesquels notre réseau devait être surveillé, dans
le fichier /etc/nagios/timeperiods.cfg, nous sommes parti du principe que l'entreprise
newspress laisser tourner ses services et machines en permanence, donc le paramètre
est 24*7 .

Dans le fichier /etc/nagios/contacts.cfg nous avons renseignés les personnes physiques
qui devront être contacté quand des défauts dans le réseau seront constatés, si un
problème survient, Nagios va notifier la ou les personnes indiqués de manière
automatique. Nous avons crée 6 contacts:

adminNagios: Administrateur général résponsable des Firewall, routeurs...

adminNagiosDeux: Deuxième Administrateur général

adminVoip: administrateur du serveur de voix sur IP.

adminDMZ: administrateur de la DMZ, serveur FTP et Web.

adminAD: administrateur du serveur d'authentification, messagerie, DNS, DHCP et
contrôleur de domaine.

AdminAP: administrateur du point d'accès WIFI.



Pour chaque problèmes dans le fonctionnement du réseau, les deux adminsNagios
seront averti, et si ce problème est spécifique à un serveur, l'admnistrateur de ce
serveur sera aussi notifié.

Exemple de contact:


 define                                                                    contact{
          contact_name                                                  adminNagios
          alias                                                   stéphane Guiraud
          service_notification_period                                          24x7
          host_notification_period                                             24x7
          service_notification_options                                      w,u,c,r
          host_notification_options                                           d,u,r
          service_notification_commands                             notify-by-email
          host_notification_commands                           host-notify-by-email
          email                                    stephane.guiraud@newspress.local
          }




On peut y voir les périodes pendant lesquels le contact peut être notifié, ici 24h/24
7j/7. Les options de la ligne service_notification_options correspondent à warning,
unknown, critical et recovery (service de retour à la normal). La ligne
host_notification_options a pour paramètres down (hôte éteint), unreachable
(injoignable), recovery.
Ici le contact est averti d'un disfonctionnement par E-mail, il existe aussi une
possibilité pour notifier par SMS, mais à l'heure actuel, nous n'avons pas encore mis en
place cette solution.

Nous avons ensuite regroupé nos contacts dans différents groupes dans le fichier
/etc/nagios/contactgroups.cfg

admins: adminNagios, adminNagiosDeux.

admins-Voip: adminNagios, adminNagiosDeux, adminVoip.

admins-DMZ: adminNagios, adminNagiosDeux, adminDMZ.

admins-AD: adminNagios, adminNagiosDeux, adminAD.

Admins-AP: adminNagios, adminNagiosDeux, adminAP.

Exemple de groupe:

    define                                                                   contactgroup{
             contactgroup_name                                          admins-Voip
             alias                                 Administrateurs du serveur Voip
             members                        adminNagios, adminNagiosDeux, adminVoip
             }




Cette partie consiste à configurer les hôtes, dans le fichier/etc/nagios/hosts.cfg, chaque
interface du réseau va devoir être renseignées ici, routeurs, firewall, serveurs... tout ce
qui possède une adresse IP et qui nécessite d'être surveillé.

Exemple de définition d'hôte, ici notre routeur:



define host{

         use                                                               generic-host
         host_name                                                              routeur
         alias                                                         Routeur interne
         address                                                            192.168.1.1
         check_command                                               check-router-alive
         }
la check_command check-router-alive veut dire que Nagios va vérifier si l'hôte est
« vivant », si il ne l'est pas il enverra un message « host down ».



De la même manière que pour les contacts, nous avons crée un groupe d'hôte dans le
fichier /etc/nagios/hostgroups.cfg pour le firewall et le routeur de notre réseau puisque
leurs administateurs sont les mêmes, adminNagios et adminNagiosDeux
define                                                                       hostgroup{
           hostgroup_name                                                       liaison
           alias                                                 Routeur,      firewall
           contact_groups                                                        admins
           members                                               routeur,       parefeu
           }
Ici on a bien crée un groupe d'hôte appelé liaison, qui comprend les hôtes routeur, et
parefeu, et qui a pour groupe de contact admins, soit adminNagios et
adminNagiosDeux.

Une des dérnieres étapes consistes a renseigner la liste des services a surveiller. Pour
cela     il      faut      modifier       le      fichier       /etc/nagios/services.cfg
exemple:
define                                                                     service{
          use                                                       generic-service
          hostgroup_name                                                    liaison
          service_description                                                  PING
          contact_groups                                                     admins
          check_command                              check_ping!100.0,20%!500.0,60%
          }

Ici on configure le fichier afin qu'une commande PING soit envoyé en direction du
groupe liaison (hôtes routeur et parefeu), la ligne check_command veut dire que l'on
passe en état Warning si 20% des paquets sont perdues ou si le délai est supérieur à
100ms, on passera en état Critical si la perte des paquets est de 60% ou si le temps de
réponse dépasse 500ms. Pour plus de sureté nous avons aussi réglé dans le même
fichier                                    les                                   lignes:
          normal_check_interval                                  3                     ;
         max_check_attempts                                          3                 ;
         retry_check_interval                                    1                     ;
Nous indiquons que la commande doit être envoyée toute les 3 minutes, que si les
hôtes ne répondent pas il faut ré envoyer une commande au bout d'une minute, et que
cette opération est à répéter 3 fois avant de déclencher une alerte. Ce système à
l'avantage de ne pas déclencher d'alerte inutilement, mais en contre partie l'alerte n'a
pas            été           donnée             en           « temps             réel ».

Un                                    Nagios                                 redondant
Nous n'en avons pas mis en place dans notre réseau par manque de temps, mais il est
très interresant d'envisager l'installation d'un serveur Nagios redondant, en effet si le
lien sur lequel notre serveur Nagios venait à ne plus fonctionner, Nagios ne verra plus
rien sur le réseau. Le principe est de placer deux serveur Nagios sur deux liaisons
différentes, un configuré en Master, l'autre en Slave. Le Nagios Slave vérifie le réseau
exactement de la même manière que le Master, mais il n'envoit aucune notification du
moment qu'il arrive à ping le Nagios Master, si celui-ci ne répond plus, alors le Nagios
slave notifie les admnistrateurs du problème ainsi que tout autre problèmes qui pourrai
survenir. Dés que le Nagios Master se remet à répondre aux pings alors le Nagios
Slave                     arrête                      ses                  notifications.

Les                       limites                        de                      Nagios
Comment avertir que le réseau ne fonctionne plus lorsque le moyen de communication
est le réseau lui même ? Cette question résume les limites de Nagios, cependant, une
des solutions peut être d'utiliser une notification par sms, avec un téléphone portable
branché directement sur le serveur Nagios, et c'est ce que nous allons essayer de mettre
en        place         avant     la     fin         du   projet.

Sources                                                       :
Linux             magazine       n°65,         Octobre     2004
http://www.ubuntu-fr.org
http://www.nagios.org
http://www.commentcamarche.net
Serveur 2003


-> Installation du serveur Windows 2003 server



Pour installer le serveur, il faut installer windows server 2003 de base avec les options suivante :



- Serveur de fichiers

- Serveur d'applications

- Terminal Server

- Contrôleur de domaine ( active directory )

- Serveur DNS

- Serveur DHCP

- Serveur radius



Lors de l'installation il faut stipuler un nom pour le serveur, ensuite il faut stipuler les bonnes
adresses du reseau au bon endroit.



-> Installation du serveur de messagerie lan :

il faut avoir installé le serveur 2003 avant de pouvoir installer le serveur de messagerie LAN.
L'installation du serveur lan est par defaut, le serveur mail travail directement avec le serveur
d'autentification. Pour ajouter une boite mail il suffi d'ajouter un utilisateur dans le serveur active
directory. Une documentation annexe explique l'utilisation et la configuration pour les clients.

Cette documentation sera donné à chaque post client pour permetre une bonne utilisation du
service.

Bonjour

pour les mail :

Pas besoin de proxy

pop : serveurad

smtp : serveurad



login : prenom
pass : prenom

pas de mot de pass securisé.

110

25

connexion classique.




      Installation d’un serveur de messagerie Exchange

      Exchange permet une gestion des Boites Aux Lettres particulièrement performante,

      Notamment grâce au lien avec l’Active Directory de windows 2003 serveur qui permet une
      création de boites aux lettres électroniques en même temps qu’un compte dans l’AD.

      Pour cela lancer le setup d installation et suivez les étapes proposées.

      Choisissez le cas qui vous concerne, en l’occurrence 1er déploiement d’un serveur Exchange dans
      un nouveau domaine.

      Laissez les choix par défaut et laissez l’installation se faire.



      Installation d’un FTP sous linux

      On commence donc par installer le package vsFTPd, utilisé pour le FTP, puis par créer le
      répertoire « vsftpd » dans lequel seront enregistrés la plupart des fichiers concernant le FTP.

      Pour ce FTP nous allons en fait créer des utilisateurs virtuels représentés sur la machine par un
      seul utilisateur réel, ce qui fait que ces utilisateurs virtuels n’auront accès qu’a notre FTP.

      Le mécanisme d'authentification utilise une base de données au format "Berkeley db", un format
      très répandu. Il faut pour cela installer la libdb3, créer un fichier « .txt » comportant les login et
      mot de passe des utilisateurs que nous convertirons ensuite en fichier « .db ».



      Procédons à la conversion au format « db »



      # db3_load -T -t hash -f login.txt /etc/vsftpd/login.db
Créons ensuite le fichier «pam » (système de bibliothèques qui gèrent les tâches
d'authentification des applications (services) sur le système.) qui utilisera notre BDD pour
authentifier les utilisateurs, dans lequel on écrit :



auth required /lib/security/pam_userdb.so db=/etc/vsftpd/login

account required /lib/security/pam_userdb.so db=/etc/vsftpd/login



et qu’on copie dans le dossier de configuration de PAM:



# cp vsftpd.pam /etc/pam.d/vsftpd



Tous les utilisateurs virtuels de notre base de données être représenté par UN même utilisateur
(réel cette fois ci) système: l'utilisateur 'virtual' qu’il faut bien sûr créer ainsi que son
« home directory »



Créons maintenant le fichier de configuration de vsFTPd: « vsftpd.conf » sous /etc/ dans
lequel on écrit les paramètres du FTP pour son bon fonctionnement. (cf Annexe).



Avant d’avoir complètement terminé, il faut gérer les permissions de chacun en créant pour
chaque utilisateur un fichier de configuration définissant ses droits.

Voici un exemple pour un utilisateur nommé Hobbes avec les droits de lecture et d’écriture :



# echo "anon_world_readable_only=NO" > /etc/vsftpd/vsftpd_user_conf/hobbes

# echo "write_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/hobbes

# echo "anon_upload_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/hobbes



  Voila, le FTP est maintenant terminé et les utilisateurs possèdent des droits d accès qui leur
  sont propre.




Mise en place du Firewall netasq F50
Tout d’ abord il faut définir l’adresse de chaque interface du firewall à partir de l’onglet réseau :

- In : coté LAN

- Out : coté Internet

- DMZ



Puis configurer les VLAN si le réseau en possède (dans notre cas oui). Il faut pour cela ajouter les
VLAN 1 par 1 sur l’interface IN en définissant leur tag ainsi que leur adresse d’interface (cf. ci-
dessous).

Et enfin dans le sous onglet routage (cf. ci-dessous), il faut définir les routes internes au Firewall
définissant les chemins possibles entre les différentes interfaces



Interfaces :




Routage :
IL faut ensuite si nécessaire, définir à partir de l’onglet « objets » les machines importantes du
réseau comme les serveurs messagerie, web ou encore les passerelles …

Exemple :

- ServeurDMZ : 192.168.6….
- Gateway : 152.77.65….
- ServeurAD : 192.168.1….
Vient ensuite le travail plus compliqué de la NAT et du filtrage



La NAT (Network adresse translation) permet la translation entre les adresses IP publique et les
adresses IP privé, elle se compose de règle :
-   Les règles 1 à 5 servent à faire du mapping sur les VLAN 1 à 5 depuis l’interface Out du
    firewall.

-   Les règles 6 à 8 définissent la redirection de certains ports en direction du serveur situé dans
    la DMZ.

Les règles de filtrage permettent de filtrer les paquets transitant à travers le firewall en direction
des réseaux interne et externe il permet de n’autoriser que certains ports avec la fonctionnalité
redirection mais aussi certain protocoles. Voici un extrait de ces règles de filtrage :




-   Les règles 3, 4, 10, 11, 12 indiquent quels protocoles sont autorisés et en direction de quel
    partie du réseau (VLAN).

-   La règle 19 indique quel protocole est autorisé à transiter vers le serveur situé dans la DMZ.

-   La règle 20 indique que tous les protocoles non définis au dessus sont totalement bloqués.

Enfin, une fois les différentes règles créées il faut activer et paramétrer le service DHCP du F50
car les trames DHCP ne fonctionnent pas inter vlan.

Après avoir définit au préalable les plages d’adresses de chaque VLAN, il faut les ajouter dans le
sous onglet « plage d’adresses » de la configuration du DHCP :
Ici, il n’est nécessaire d’avoir un DHCP que sur les VLAN 2 à 5.

Ne pas oublier de définir le DNS du réseau dans le sous onglet DNS de la configuration du DHCP.

Le Firewall est maintenant configuré et prêt à être utilisé.
VOIP

Introduction :



Dans notre conception du réseaux nous avons pensé a intégré de la VoIp qui est devenu un
standard dans l'utilisation des réseaux aux niveau de la communication. De plus en plus utilisé
par les entreprises, la voix sur IP (Voice over Internet Protocol) est une révolution dans le
domaine des télécommunications. Nous avons pensé à intégrer cette technologie dans notre
architecture afin de respecter notre cahier des charges pour répondre au besoin de
communication de l'entreprise NewsPress.

Nous avons donc installé un standard téléphonique : Asterisk



Concrètement, Asterisk est un logiciel serveur de téléphonie open-source. Il gèrent les
requêtes téléphoniques ainsi que des services (messageries, et autre).



L'avantage de cette solution c'est quelle est compatible à un réseaux LAN et les postes fixes se
branchent directement sur le réseaux informatiques via un câble ethernet.



Le protocol qui sera utiliser est bien entendu le protocole SIP (Session Initiation Protocol). Il
remplace le protocole H323 et il est compatible avec nos téléphones GrandStream et Alcatel.



Asterisk sera installé sur une distribution Ubuntu Long Time Support (Drapper Drake) afin de
disposer d'une meilleur stabilité et sécurité au niveau du système d'exploitation. Récupéré le
sur le site http://www.ubuntu-fr.org, et installer le.



Installation Asterisk:



Configuration des dépôts :

Nous allons utiliser une version du logiciel Asterisk ( 1.2 ) directement par les dépôts.



Pour cela il faut ajouter des dépôts au système afin d'accéder aux paquets à installer par une
commande :
## Major bug fix updates produced after the final release of the distribution.

deb http://fr.archive.ubuntu.com/ubuntu/ dapper main restricted universe multiverse

deb http://fr.archive.ubuntu.com/ubuntu/ dapper-updates main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu dapper-security main restricted universe



Niveau matériel nous disposons d'un PC, et aussi de deux téléphones GRANDSTREAM ???
modele??? supportant le protocole SIP.



Configuration du serveur temps :



Ceci est peut être trivial mais il faut synchroniser le temps du serveur.

Pour synchroniser le temps de votre serveur Asterisk: ajouter à dans le fichier /etc/ntp.conf les
lignes suivantes:

server 0.fr.pool.ntp.org

server 1.fr.pool.ntp.org

server 2.fr.pool.ntp.org



Puis relancer le service ntp ou rebooter



Installer les dépendances et Asterisk:



Il faut installer les dépendances nécessaires impérativement avant asterisk:

*bison

*libpri1.2

*zaptel // pour la liaison ISDN
En cas de compilation pour utiliser la dernière version du logiciel il faut installer les paquets
:

*ncurses

*ncurses-devel



???A vérifier...???

*openssl et openssl-devel

*zlib et zlib-devel




Ensuite l'installation du logiciel même :

*asterisk

*asterisk-promp-fr



Après cette installation il faut vérifier le nom hotsname ( /etc/hosts )de l'ordinateur. Asterisk a
tendance a rajouter une ligne ( asterisk 127.0.1.1) qui provoque des erreurs lors du
lancement du logiciels.



L'IP du serveur étant 192.168.1.254.




Installer un serveur DHCP :



Installer le paquet dhcp3-server et configurer le pool d'adresse comme indiqué en annexe




Nous disposons d'un switch qui supporte ?? le protocole QoS ( Quality of Service ).???
DiffServ???
Ce qui permettra au flux téléphonique d’être prioritaire par rapport au flux de données.

La téléphonie ne supporte pas les temps de latence trop long, la gigue, la communication
deviendrait trop saccadé et inconfortable.

Ce n'est ???qu'avec??? un débit fixe, contrairement aux données qui doivent arriver entières
dans un

temps non important. que la qualité d'une communication est conservé.

VOIR LA CONFIGURATION DU SWITCH !!



Configuration d'Asterisk :



Tous les fichier de configuration se trouvent dans le dossier /etc/asterisk même avec une
installation par compilation. Il est prudent de sauvegarder cette configuration par défaut.



sudo cp /etc/asterisk /etc/asterisk.ORIG



Configuration des fichiers :



Modifier /etc/default/asterisk



runasterisk=yes // activer le lancement au démarrage de du serveur A VERIFIER



Les fichiers de configurations :



asterisk.conf : rassemble tous les chemins utiliser par les variables , par défaut la
configuration est correcte
sip.conf :

Ce fichier rassemble les paramètres généraux et par défaut pour la création des extensions sip.
Chaque téléphone sera enregistré dans ce fichier. Voir annexe.




Enfin il faut reporter les paramètres des client du fichier sip.conf sur l'interface web des
téléphones IP.

Il suffit de brancher le téléphone sur le réseaux afin qu'il récupère une IP automatiquement via
notre DHCP et d'ouvrir un navigateur avec l'ip du téléphone.



Pour la configuration il faut activé le protocole SIP sur chaque téléphone, attribuer un donner
un numéros, un identifiant, un nom ainsi qu'un mot de passe pour l'authentification avec le
serveur Asterisk. Bien entendu il faut faut que ces informations correspondent à ceux
enregistré dans le fichier sip.conf.

On commence a faire un reset des téléphones, choisir le mode DHCP , et remplir les options :




Activer l'enregistrement via SIP :
Maintenant activons le service messagerie :




extension.conf : Ce fichier rassemble toutes les macros (ou fonctions) disponibles dans
Asterisk. C'est le plan de numérotation qui devra etre modifié. Voir annexe.

Il faut éditer le fichier de configuration extension.conf et rajouter les parties:

Pour chaque téléphone il faut définir des actions à enclencher (répondre, attente, décrocher ...)
.

Attention toutefois les actions doivent etre placé dans l'ordre.

exten => X01, n, VoiceMail(uX01)



Ainsi que le fichier ???voicecall.conf???? qui sera appeler lors de l'utilisation de ce fichier.

A REMPLIR



Enfin il suffit de lancer asterisk via la commande asterisk -vvvvvvv (l'option -r indique une
erreur que je n'ai pas pu résoudre).




Malheureusement je n'ai pas réussi à avoir la console CLI qui me permet d'effectuer des
commandes lors du fonctionnement.Je suis donc obligé d'utiliser un ctrl+C et de relancer la
commande pour recharger la configuration. A noter que les telephone ne perdent pas la
connexion avec cette methode.



Conseil : Vérifier le fichier /var/log/asterisk/message pour les erreurs au lancement. Ce
fichier permet de debugger facilement les erreurs et d'identifier facilement les erreur de
syntaxe des fichiers de configuration..
Ensuite il faut observer le fichier /var/log/asterisk/message et la console de lancement pour
voir si les téléphones s'enregistre (voir annexe).



-- Saved useragent "Grandstream BT200 1.1.1.14" for peer 201

-- Saved useragent "Grandstream BT100 1.0.5.11" for peer 202



Une icône ethernet indiquera sur les téléphone grandstream qu'ils sont connecter.



voilà les téléphones sont prêt a être déployer dans l'entreprise.




Amélioration Possible :



La messagerie unifier :

Notre architecture actuel étant d'une grande souplesse notamment grâce a l'utilisation du
système des VLAN. Nous pouvons lier le serveur Asterisk avec le serveur de messagerie
interne afin d'avoir accès aux messages par mail envoyé directement sur le compte de
l'utilisateur, autorisation d'accès a sa messagerie a distance etc... .



Asterisk permet aussi la gestion des appels provenant d'une connexion ISDN ( et même
d'autres ???? ) d'où l'installation du paquet ???zaptel ???



Par manque de temps nous avons préféré nous concentré sur d'autre partie du projet.



Echec:

Nous avons donc commencer par installer Trixbox une distribution Linux basé sur CentOS
entièrement dédié à la VoIP. Nous disposons de téléphones GrandStream (version a préciser)
, ainsi que des Alcatel (version a préciser).
SOURCE :




www.asterisk.org/




http://www.asterisk-france.net/af-wiki/tiki-index.php




<a href="http://www.01net.com/article/264124.html">01net. - OmniPCX Office</a>




<a href="http://www.domln.com/mediawiki/index.php/Accueil">Accueil - Wiki Lambert Nicolas</a>




<a href="http://blog.nicolargo.com/2007/03/installation-dasterisk-sur-fedora.html">Installation d Asterisk sur
Fedora</a>




<a href="http://slast.org/documentation.php">Slast Linux - Asterisk Live CD</a>




<a href="http://www.asteriskdocs.org/html/index.html">Asterisk: The Future of Telephony</a>




<a href="http://www.asterisk-france.net/af-wiki/tiki-index.php">: HomePage</a>




<a href="http://www.dicodunet.com/definitions/internet/asterisk.htm">º% Asterisk</a>




<a href="http://www.figer.com/Publications/Trixbox.htm">TrixBox, un central téléphonique SIP gratuit à la
maison ou au bureau</a>




<a href="http://www.dicodunet.com/definitions/internet/asterisk.htm">º% Asterisk</a>
<a href="http://www.figer.com/Publications/Trixbox.htm">TrixBox, un central téléphonique SIP gratuit à la
maison ou au bureau</a>




<a href="http://www.trixbox.org/wiki/trixbox-quick-install-guide">trixbox quick install guide | trixbox</a>




<a href="http://www.wifiradis.net/doc/eap/eap-tls.htm">Implémenter le protocole d authentification EAP-TLS
sur les réseaux sans fil avec Windows 2003</a>




<a href="http://asteriskathome.sourceforge.net/">Asterisk-based PBX Phone System by Trixbox, formerly
Asterisk@Home</a>




<a href="http://asteriskathome.sourceforge.net/handbook/#Section_2.3">Asterisk@Home Handbook</a>




<a href="http://dumbme.voipeye.com.au/trixbox/trixbox_without_tears.htm">TRIXBOX Without Tears</a>




<a href="http://www.gtrgrenoble.fr/projets/2007/asterisk/install.html">Installation d'Asterisk</a>




<a href="http://people.via.ecp.fr/~alexis/asterisk/">Expérience d'un déploiement Asterisk dans une entreprise
française</a>




dhcpd.conf



#

# Sample configuration file for ISC dhcpd for Debian

#

# $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $

#
# The ddns-updates-style parameter controls whether or not the server will

# attempt to do a DNS update when a lease is confirmed. We default to the

# behavior of the version 2 packages ('none', since DHCP v2 didn't

# have support for DDNS.)

ddns-update-style none;




# option definitions common to all supported networks...

option domain-name "root-desktop.newspress.local";

option domain-name-servers 172.16.6.100 ;




default-lease-time 600;

max-lease-time 7200;




# If this DHCP server is the official DHCP server for the local

# network, the authoritative directive should be uncommented.

#authoritative;




# Use this to send dhcp log messages to a different log file (you also

# have to hack syslog.conf to complete the redirection).

log-facility local7;




# No service will be given on this subnet, but declaring it helps the

# DHCP server to understand the network topology.




subnet 192.168.4.0 netmask 255.255.255.0 {

range 192.168.4.5 192.168.4.10;

option routers 192.168.4.254;
}




asterisk.conf:




[global]

astetcdir => /etc/asterisk

astmoddir => /usr/lib/asterisk/modules

astvarlibdir => /var/lib/asterisk

astagidir => /usr/share/asterisk/agi-bin

astspooldir => /var/spool/asterisk

astrundir => /var/run/asterisk

astlogdir => /var/log/asterisk




extensions.conf




;

; Static extension configuration file, used by

; the pbx_config module. This is where you configure all your

; inbound and outbound calls in Asterisk.

;

; This configuration file is reloaded

; - With the "extensions reload" command in the CLI

; - With the "reload" command (that reloads everything) in the CLI




;

; The "General" category is for certain variables.

;
[general]

;

; If static is set to no, or omitted, then the pbx_config will rewrite

; this file when extensions are modified. Remember that all comments

; made in the file will be lost when that happens.

;

; XXX Not yet implemented XXX

;

static=yes

;

; if static=yes and writeprotect=no, you can save dialplan by

; CLI command 'save dialplan' too

;

writeprotect=no

;

; If autofallthrough is set, then if an extension runs out of

; things to do, it will terminate the call with BUSY, CONGESTION

; or HANGUP depending on Asterisk's best guess (strongly recommended).

;

; If autofallthrough is not set, then if an extension runs out of

; things to do, asterisk will wait for a new extension to be dialed

; (this is the original behavior of Asterisk 1.0 and earlier).

;

autofallthrough=yes

;

; If clearglobalvars is set, global variables will be cleared

; and reparsed on an extensions reload, or Asterisk reload.

;
; If clearglobalvars is not set, then global variables will persist

; through reloads, and even if deleted from the extensions.conf or

; one of its included files, will remain set to the previous value.

;

clearglobalvars=no

;

; If priorityjumping is set to 'yes', then applications that support

; 'jumping' to a different priority based on the result of their operations

; will do so (this is backwards compatible behavior with pre-1.2 releases

; of Asterisk). Individual applications can also be requested to do this

; by passing a 'j' option in their arguments.

;

priorityjumping=no

;

; You can include other config files, use the #include command

; (without the ';'). Note that this is different from the "include" command

; that includes contexts within other contexts. The #include command works

; in all asterisk configuration files.

;#include "filename.conf"




; The "Globals" category contains global variables that can be referenced

; in the dialplan with ${VARIABLE} or ${ENV(VARIABLE)} for Environmental

; variables,

; ${${VARIABLE}} or ${text${VARIABLE}} or any hybrid

;

[globals]

CONSOLE=Console/dsp ; Console interface for demo

;CONSOLE=Zap/1
;CONSOLE=Phone/phone0

IAXINFO=guest ; IAXtel username/password

;IAXINFO=myuser:mypass

TRUNK=Zap/g2 ; Trunk interface

;

; Note the 'g2' in the TRUNK variable above. It specifies which group (defined

; in zapata.conf) to dial, i.e. group 2, and how to choose a channel to use in

; the specified group. The four possible options are:

;

; g: select the lowest-numbered non-busy Zap channel

; (aka. ascending sequential hunt group).

; G: select the highest-numbered non-busy Zap channel

; (aka. descending sequential hunt group).

; r: use a round-robin search, starting at the next highest channel than last

; time (aka. ascending rotary hunt group).

; R: use a round-robin search, starting at the next lowest channel than last

; time (aka. descending rotary hunt group).

;

TRUNKMSD=1 ; MSD digits to strip (usually 1 or 0)

;TRUNK=IAX2/user:pass@provider

;

; Any category other than "General" and "Globals" represent

; extension contexts, which are collections of extensions.

;

; Extension names may be numbers, letters, or combinations

; thereof. If an extension name is prefixed by a '_'

; character, it is interpreted as a pattern rather than a

; literal. In patterns, some characters have special meanings:
;

; X - any digit from 0-9

; Z - any digit from 1-9

; N - any digit from 2-9

; [1235-9] - any digit in the brackets (in this example, 1,2,3,5,6,7,8,9)

; . - wildcard, matches anything remaining (e.g. _9011. matches

; anything starting with 9011 excluding 9011 itself)

; ! - wildcard, causes the matching process to complete as soon as

; it can unambiguously determine that no other matches are possible

;

; For example the extension _NXXXXXX would match normal 7 digit dialings,

; while _1NXXNXXXXXX would represent an area code plus phone number

; preceeded by a one.

;

; Each step of an extension is ordered by priority, which must

; always start with 1 to be considered a valid extension. The priority

; "next" or "n" means the previous priority plus one, regardless of whether

; the previous priority was associated with the current extension or not.

; The priority "same" or "s" means the same as the previously specified

; priority, again regardless of whether the previous entry was for the

; same extension. Priorities may be immediately followed by a plus sign

; and another integer to add that amount (most useful with 's' or 'n').

; Priorities may then also have an alias, or label, in

; parenthesis after their name which can be used in goto situations

;

; Contexts contain several lines, one for each step of each

; extension, which can take one of two forms as listed below,

; with the first form being preferred. One may include another
; context in the current one as well, optionally with a

; date and time. Included contexts are included in the order

; they are listed.

;




[from-sip]

exten => 201,1,Answer();

exten => 201,n,Wait,1

exten => 201,n,DIAL(SIP/201,8);

; exten => 201, 104,PlayBack(tt-allbusy) ; // bonne place pour que si le téléphone est occupé astérisk ne
raccroche pas; renvoi au numéro 104 si la ligne est occupé.

exten => 201,n,Hangup();

exten => 202,1,Answer();

exten => 202,n,Wait,1

exten => 202,n,DIAL(SIP/202,8);

; exten => 202, n, VoiceMail(u202) ; // juste après l'attente des 8 secondes

exten => 202,n,Hangup();




sip.conf :

;

; SIP Configuration example for Asterisk

;

; Syntax for specifying a SIP device in extensions.conf is

; SIP/devicename where devicename is defined in a section below.

;

; You may also use

; SIP/username@domain to call any SIP user on the Internet
; (Don't forget to enable DNS SRV records if you want to use this)

;

; If you define a SIP proxy as a peer below, you may call

; SIP/proxyhostname/user or SIP/user@proxyhostname

; where the proxyhostname is defined in a section below

;

; Useful CLI commands to check peers/users:

; sip show peers Show all SIP peers (including friends)

; sip show users Show all SIP users (including friends)

; sip show registry Show status of hosts we register with

;

; sip debug Show all SIP messages

;

; reload chan_sip.so Reload configuration file

; Active SIP peers will not be reconfigured

;




[general]

context=default ; Default context for incoming calls

;allowguest=no ; Allow or reject guest calls (default is yes, this can also be set to 'osp'

; if asterisk was compiled with OSP support.

;realm=mydomain.tld ; Realm for digest authentication

; defaults to "asterisk"

; Realms MUST be globally unique according to RFC 3261

; Set this to your host name or domain name

bindport=5060 ; UDP Port to bind to (SIP standard port is 5060)

bindaddr=0.0.0.0 ; IP address to bind to (0.0.0.0 binds to all)

srvlookup=yes ; Enable DNS SRV lookups on outbound calls
; Note: Asterisk only uses the first host

; in SRV records

; Disabling DNS SRV lookups disables the

; ability to place SIP calls based on domain

; names to some other SIP users on the Internet

;domain=mydomain.tld ; Set default domain for this host

; If configured, Asterisk will only allow

; INVITE and REFER to non-local domains

; Use "sip show domains" to list local domains

;domain=mydomain.tld,mydomain-incoming

; Add domain and configure incoming context

; for external calls to this domain

;domain=1.2.3.4 ; Add IP address as local domain

; You can have several "domain" settings

;allowexternalinvites=no ; Disable INVITE and REFER to non-local domains

; Default is yes

;autodomain=yes ; Turn this on to have Asterisk add local host

; name and local IP to domain list.

;pedantic=yes ; Enable slow, pedantic checking for Pingtel

; and multiline formatted headers for strict

; SIP compatibility (defaults to "no")

;tos=184 ; Set IP QoS to either a keyword or numeric val

;tos=lowdelay ; lowdelay,throughput,reliability,mincost,none

;maxexpiry=3600 ; Max length of incoming registration we allow

;defaultexpiry=120 ; Default length of incoming/outoing registration

;notifymimetype=text/plain ; Allow overriding of mime type in MWI NOTIFY

;checkmwi=10 ; Default time between mailbox checks for peers

;vmexten=voicemail ; dialplan extension to reach mailbox sets the
; Message-Account in the MWI notify message

; defaults to "asterisk"

;videosupport=yes ; Turn on support for SIP video

;recordhistory=yes ; Record SIP history by default

; (see sip history / sip no history)




;disallow=all ; First disallow all codecs

;allow=ulaw ; Allow codecs in order of preference

;allow=ilbc ;

;musicclass=default ; Sets the default music on hold class for all SIP calls

; This may also be set for individual users/peers

;language=en ; Default language setting for all users/peers

; This may also be set for individual users/peers

;relaxdtmf=yes ; Relax dtmf handling

;rtptimeout=60 ; Terminate call if 60 seconds of no RTP activity

; when we're not on hold

;rtpholdtimeout=300 ; Terminate call if 300 seconds of no RTP activity

; when we're on hold (must be > rtptimeout)

;trustrpid = no ; If Remote-Party-ID should be trusted

;sendrpid = yes ; If Remote-Party-ID should be sent

;progressinband=never ; If we should generate in-band ringing always

; use 'never' to never use in-band signalling, even in cases

; where some buggy devices might not render it

; Valid values: yes, no, never Default: never

;useragent=Asterisk PBX ; Allows you to change the user agent string

;promiscredir = no ; If yes, allows 302 or REDIR to non-local SIP address

; Note that promiscredir when redirects are made to the

; local system will cause loops since SIP is incapable
; of performing a "hairpin" call.

;usereqphone = no ; If yes, ";user=phone" is added to uri that contains

; a valid phone number

;dtmfmode = rfc2833 ; Set default dtmfmode for sending DTMF. Default: rfc2833

; Other options:

; info : SIP INFO messages

; inband : Inband audio (requires 64 kbit codec -alaw, ulaw)

; auto : Use rfc2833 if offered, inband otherwise




;compactheaders = yes ; send compact sip headers.

;sipdebug = yes ; Turn on SIP debugging by default, from

; the moment the channel loads this configuration

;subscribecontext = default ; Set a specific context for SUBSCRIBE requests

; Useful to limit subscriptions to local extensions

; Settable per peer/user also

;notifyringing = yes ; Notify subscriptions on RINGING state




;------------------------------------------------------------------------------

; Definitions of locally connected SIP phones

;

; type = user a device that authenticates to us by "from" field to place calls

; type = peer a device we place calls to or that calls us and we match by host

; type = friend two configurations (peer+user) in one

;

; For local phones, type=friend works most of the time

;

; If you have one-way audio, you propably have NAT problems.

; If Asterisk is on a public IP, and the phone is inside of a NAT device
; you will need to configure nat option for those phones.

; Also, turn on qualify=yes to keep the nat session open




[201]

type=friend ; Friends place calls and receive calls

context=from-sip ; Context for incoming calls from this user

secret=201

callerid=toto <201>

host=dynamic ; This peer register with us

nat=no

dtmf=rfc2833 ; Choices are inband, rfc2833, or info

disallow=all

allow=ulaw ; dtmfmode=inband only works with ulaw or alaw!

allow=alaw ; dtmfmode=inband only works with ulaw or alaw!

mailbox=201@default




[202]

type=friend ; Friends place calls and receive calls

context=from-sip ; Context for incoming calls from this user

secret=202

callerid=titi <202>

host=dynamic ; This peer register with us

nat=no

dtmf=rfc2833 ; Choices are inband, rfc2833, or info

disallow=all

allow=ulaw ; dtmfmode=inband only works with ulaw or alaw!

allow=alaw ; dtmfmode=inband only works with ulaw or alaw!
mailbox=202@default




voicemail.conf:

[general]

format=wav49|gsm|wav

; Who the e-mail notification should appear to come from

serveremail=asterisk

; Format des lignes: <mailbox>=<password>,<name>,<email>,<pager_email>,<options>

; si le champ email est renseigné, un email est envoyé avec ou sans le fichier attaché.

; le mot de passe doit être un numéro, puisque composé depuis un téléphone.

[zonemessages]

eastern=America/New_York|'vm-received' Q 'digits/at' IMp

central=America/Chicago|'vm-received' Q 'digits/at' IMp

central24=America/Chicago|'vm-received' q 'digits/at' H N 'hours'

military=Zulu|'vm-received' q 'digits/at' H N 'hours' 'phonetic/z_p'

paris24=Europe/Paris|'vm-received' Q 'digits/at' R

[default]

201 => 0000,toto,,,tz=paris24 /// 0000étant le mot de passe de la messagerie

202 => 1111,titi,,,tz=paris24 ///
VLAN



Introduction :


Définition :
Un VLAN permet de créer des domaines de diffusion (domaines de broadcast) gérés par les
Commutateurs indépendamment de l’emplacement où se situent les noeuds, ce sont des
domaines de diffusion gérés logiquement.

           a. Intérêts :

Les VLANs permettent :

       -   La réduction des messages de diffusion (notamment les requêtes ARP) limités à
           l'intérieur d’un VLAN.
       -   La création de groupes de travail indépendants de l'infrastructure physique,
           possibilité de déplacer la station sans changer de réseau virtuel.
       -   Plus de souplesse pour l'administration et les modifications du réseau car toute
           l'architecture peut être modifiée par simple paramétrage des commutateurs.
       -   L’augmentation de la sécurité par le contrôle des échanges inter-VLAN utilisant
           des routeurs (filtrage possible du trafic échangé entre les VLANs).

           b. Les différents types de VLANs :

   1. Les Vlan par port (Vlan de niveau 1) :

On affecte chaque port des commutateurs à un VLAN.
L’appartenance d’une trame à un VLAN est alors déterminée par la connexion de la carte
réseau à un port du commutateur.
Les ports sont donc affectés statiquement à un VLAN.
Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le
nouveau port de connexion de la station au bon Vlan. Si on déplace logiquement une station
(on veut la changer de Vlan) il faut modifier l’affectation du port au Vlan.

   2. Les Vlan par adresse MAC (Vlan de niveau 2) :

On affecte chaque adresse MAC à un VLAN.
L’appartenance d’une trame à un VLAN est déterminée par son adresse MAC. En fait il
s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des
commutateurs à chacun des VLANs en fonction de l’adresse MAC de l’hôte qui émet sur ce
port.
L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de la localisation
géographique. Si une station est déplacée sur le réseau physique, son adresse physique ne
changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement est bien
adapté à l'utilisation de machines portables).
Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.

   3. Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

On affecte une adresse de niveau 3 à un VLAN (IP).
L’appartenance d’une trame à un VLAN est alors déterminée par l’adresse de niveau 3 ou
supérieur qu’elle contient (le commutateur doit donc accéder à ces informations).
Il s’agit, à partir de l’association adresse niveau 3/VLAN, d‘affecter dynamiquement les ports
des commutateurs à chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accédant aux informations de couche 3. Ceci est un fonctionnement moins rapide
que le Vlan de niveau 2.
Quand on utilise le protocole IP, on parle souvent de Vlan par sous-réseau.

   4. Les autres méthodes pour définir des Vlan :

On trouve dans la littérature des références au Vlan par protocoles, c’est à dire qu’on
associe une trame à un Vlan en fonction du protocole qu’elle transporte. Ce protocole peut
être un protocole de niveau 3 pour isoler les flux IP, IPX, Apppletalk etc.… regroupant ainsi
toutes les machines utilisant le même protocole au sein d'un même réseau.

On peut également trouver des Vlan construits à partir de protocole supérieur (notamment
H320). On parle quelquefois de Vlan par règles ou par types de service.

Enfin l’apparition du Wifi pose des problèmes de sécurité que les Vlan peuvent résoudre.
Une solution basée sur des Vlan par SSID devient alors possible.

             c. Les types de trames :

Les VLAN sont définis par les standards IEEE 802.1D, 802.1p, 802.1Q et 802.10.

On distingue 3 types de trames :

         -   les trames non étiquetées (untagged frame) : ce sont des trames qui ne
             contiennent pas d’informations concernant son appartenance à un VLAN.

         -   les trames étiquetées (tagged frame) : ce sont des trames qui contiennent un
             entête supplémentaire. Cet entête modifie son format standard. Il devient alors
             possible de connaître son appartenance à un VLAN.

         -   les trames étiquetées par une priorité (priority-tagged frame) : Une trame
             étiquetée par une priorité est une trame dont l’entête contient le champ priorité
             (UP) renseigné mais dont l’identifiant de Vlan (VID) est à zéro.


   II-       Matériel utilisé pour la configuration
Pour les besoin du projet et avec le matériel fourni, nous avons opté pour une configuration
de VLANs par ports. Dans le cas ou il y aurait un éventuel problème concernant
l’appartenance d’une station de travail à un VLAN quelconque, il serait alors plus facile de
déterminer la cause du problème grâce à sa connexion physique à un port du commutateur.

             a. Le Commutateur :

Nous avons utilisé le Switch Catalyst 2960 de CISCO.

Caractéristiques :

Cisco Catalyst 2960-24TT : 24 ports Ethernet 10/100 et 2 ports de liaison
ascendante fixes Ethernet 10/100/1000 ; 1 unité de rack (RU).

             b. Outils pour la configuration :
Afin de pouvoir administrer le Switch CISCO, nous avons utilisé un poste équipé d’un
Windows et un logiciel : HyperTerminal

Ce logiciel génère une interface graphique légère capable d'établir une connexion entre
ordinateurs par le réseau téléphonique (et un modem) ou câble sur le port série (COMx). Il
permet l’administration du Switch 2960. (Port COMx sur l’ordinateur et port RJ45 sur le
Switch). Hyperterminal se présente comme un « bloc-notes » doté de fonctionnalités de
communication. Il prend en charge plusieurs protocoles tels que TELNET et TCP/IP.

Un schéma précis du réseau nous a été indispensable afin de ne pas commettre d’erreurs.
Les VLANs sont définis ainsi :

                                    Nombre de                                        Destiné
   VLAN(x)            Nom                           Types de ports     Adresse IP
                                      ports                                              à
VLAN1 (Native)       DEFAUT             4              Access          192.168.1.2   Serveur
   VLAN2             TRUNK              2              Trunk           192.168.2.2   Routeur
   VLAN3              WIFI              4              Access          192.168.3.2      Wifi
   VLAN4              VOIP              4              Access          192.168.4.2     VOIP
   VLAN5            ENPLOYES            4              Access          192.168.5.2   Clients
                                                                                      Usage
    VLAN6             VIDE               6             Access         192.168.50.2
                                                                                       Futur


   III-     Configuration :

            a. Préparation :


Afin de commencer une configuration seine, nous avons dû réinitialiser le Switch grâce à la
procédure de « reset » qui consiste à maintenir le bouton « reset » du Switch enfoncé et
ensuite, contrôler les voyants lumineux.

A l’aide d’HyperTerminal, nous nous sommes connectés au Switch afin de commencer la
configuration :

            b. Définir un mot de passe :


Afin de garantir une sécurité d’accès au Switch, nous avons initialisés un mot de passe de
connexion au matériel comme suit :

       -    Switch>enable secret mot_de_passe


            c. Configuration :


   1. Description des commandes les plus utilisées :

                 Commande                                     Interprétation
en                                      connexion
conf t                                  configuration terminal
int vlan numéro_de_vlan                 création du VLAN(x)

ip addresse 192.168.x.2 255.255.255.0   attribution de l'adresse IP au VLAN(x)
vlan(x) name nom_vlan(x)                attribution du nom de VLAN(x)
int range fa0/x - x                     configuration du rang des ports
switchport mode access (trunk)          types de ports
switchport access vlan(x)               associations des ports au VLAN(x)
show int status                         montre la configuration des VLANs
show interfaces                         montre les interfaces configurées
copy running-config startup-config      sauvegarde de la configuration
Show run                                montre la configuration actuelle

   2. Configuration :


Switch#show run                             interface FastEthernet0/23
Building configuration...                     switchport access vlan 6
Current configuration : 2950 bytes            switchport mode access
interface FastEthernet0/16                  !
  switchport access vlan 5                  interface FastEthernet0/24
  switchport mode access                      switchport access vlan 6
!                                             switchport mode access
interface FastEthernet0/17                  !
  switchport access vlan 5                  interface GigabitEthernet0/1
  switchport mode access                    !
!                                           interface GigabitEthernet0/2
interface FastEthernet0/18                  !
  switchport access vlan 5                  interface Vlan1
  switchport mode access                      ip address 192.168.1.2 255.255.255.0
!                                             no ip route-cache
interface FastEthernet0/19                  !
  switchport access vlan 6                  interface Vlan2
  switchport mode access                      ip address 192.168.2.2 255.255.255.0
!                                             no ip route-cache
interface FastEthernet0/20                    shutdown
  switchport access vlan 6                  !
  switchport mode access                    interface Vlan3
!                                             ip address 192.168.3.2 255.255.255.0
interface FastEthernet0/21                    no ip route-cache
  switchport access vlan 6                    shutdown
  switchport mode access                    !
!                                           interface Vlan4
interface FastEthernet0/22                    ip address 192.168.4.2 255.255.255.0
  switchport access vlan 6                    no ip route-cache
  switchport mode access                      shutdown
!                                           !
interface Vlan5
  ip address 192.168.5.2 255.255.255.0
  no ip route-cache
  shutdown
!
interface Vlan6
  ip address 192.168.6.2 255.255.255.0
  no ip route-cache
  shutdown
end
NB : Le VLAN1 ne doit pas être taggé puisque il comprend 2 ports trunk. Tous les VLANs
doivent appartenir aux ports trunk.




   IV- Conclusion :


La création des VLANs nous a permis de déceler un problème de compatibilité avec le serveur
DHCP.

En effet, notre serveur 2003 ne permettait pas de distribuer dynamiquement la configuration IP
des machines clientes suite à leur appartenance à un certain VLAN. Il nous a fallu donc
remédier au problème. Nous avons constaté que notre Routeur Netasq F50 était en mesure de
le faire. Nous avons opté pour cette option. Il est désormais possible de distribuer
dynamiquement la configuration IP des clients DHCP se trouvant dans des VLANs différents.



Sources :

http://www.cisco.com/

http://www.commentcamarche.net/

								
To top