2015

Documentation : Réseau

Enzo Rideau
Swiss-Galaxy
24/03/2015
Table des matières
Présentation du contexte ........................................................................................................................ 2
Présentation du réseau ........................................................................................................................... 2
Présentation du matériel......................................................................................................................... 4
Présentation de la configuration réseau ................................................................................................. 4
 Le VTP .......................................................................................................................................... 5
 Les Vlans ...................................................................................................................................... 5
 Les interfaces VLANS ................................................................................................................... 5
 Pool DHCP ................................................................................................................................... 6
Présentation de la sécurité...................................................................................................................... 6
 Les ACL pour les visiteurs ............................................................................................................ 6
 Les ACL pour le LAN ..................................................................................................................... 7
 Les règles de NAT : ...................................................................................................................... 7
Optimisation du réseau ........................................................................................................................... 8
 Switch de niveau 2 : SW_DMZ................................................................................................. 8
 Switch de niveau 3 : SW_LAN .................................................................................................. 8
 Switch de niveau 2 : SW_CLT_1............................................................................................... 8
 Switch de niveau 2 : SW_CLT_2............................................................................................... 9
Présentation de la VOIP........................................................................................................................... 9
 Matériel utilisé (avec adresse IP) ................................................................................................ 9
 Présentation du pool DHCP ......................................................................................................... 9
 Présentation de téléphony-service ........................................................................................... 10
Configuration accès-wifi ........................................................................................................................ 11
 Présentation des SSID :.......................................................................................................... 11
 Configuration de la borne :.................................................................................................... 12
o Configuration authentification RADIUS ................................................................................. 12
Présentation de la supervision .............................................................................................................. 12
 Configuration SNMP .................................................................................................................. 13
 Présentation EON ...................................................................................................................... 14
 Présentation Nagios et configuration ....................................................................................... 15
 Présentation Cacti ..................................................................................................................... 17
 Weather Map ............................................................................................................................ 19
Conclusion ............................................................................................................................................. 20
Présentation du contexte

Dans le cadre de notre projet GSB, nous avons été amenés à réaliser différentes tâches. Ces
dernières ont concerné les serveurs, les différents systèmes mais aussi toute la partie infrastructure
réseau, supervision et administration réseau. Après analyse du cahier des charges, nous avons réalisé
un Packet Tracer pour « virtualiser » notre réseau et faire tous les tests nécessaires pour perdre le
moins de temps possible.

Nous distinguerons donc trois grandes partie, la configuration du réseau « pur », avec présentation
des routeurs, des switch etc. . Présentation de la configuration de VOIP, puis en dernier point, nous
e o s e se le, la supe isio de ot e seau, g â e à l’outil E es Of Net o k.

Présentation du réseau

Voici notre infrastructure seau ep se t g aphi ue e t. Vous et ou e ez plus d’i fo atio s

précises dans les prochaines pages de cette documentation.
Présentation du matériel

Vous retrouverez ci-dessus, la configuration de nos équipements réseaux (routeur/commutateurs

niveau 2&3 mais aussi notre CME). Une liste des ports et de leur affectation/destination est aussi
p se t afi d’app he de au ieu l’i f ast u tu e seau.

RT-PLOT A : Cisco 800 Series, est notre routeur qui fait front au réseau « Wan », il représente notre
p e i e po te d’e t e à ot e seau lo al.

Call-Manager Express : Cisco 2911, est notre call-manager pour nos téléphones

SW-DMZ : Cisco 2950, est le switch présent dans la DMZ, auquel est connectée notre borne Wifi.

SW-LAN : Cis o , est ot e œu de seau, il ep se te ot e se eu VTP et poss de aussi

toutes les ACLS et interfaces VLANS.

SW_CLT_1 : Cisco 2960, est notre premier switch client, aucune configuration particulière.

SW_CLT_2 : Cisco 2950, est notre deuxième switch client, aucune configuration particulière.

Présentation de la configuration réseau

Ci-contre, la configuration « Ip »
présente sur nos équipements
réseaux.

Les interfaces VLANS sont

seulement configurées sur notre
SW-LAN, les vlans sont ensuite
diffusé grâce au protocole VTP.

Ces interfaces sont aussi configurées

avec un IP Helper pointant sur notre
se eu DHCP. E effet, lo s u’u PC
connecté au VLAN par 10 par
exemple, fera une requête DHCP,
celle-ci sera redirigé vers le serveur
DHCP i di u da s l’IP Helpe .
  Le VTP
VTP ou VLAN TRUNKING PROTOCOL est un protocole de niveau 2 utilisé pour configurer et
administrer les VLANS sur les périphériques Cisco.

VTP pe et d’ajoute , e o e ou supp i e un ou plusieurs réseaux locaux virtuels sur un seul

o utateu le se eu ui p opage a ette ou elle o figu atio à l’e se le des aut es
o utateu s du seau lie ts . Ce p oto ole pe et do d’u ifo ise les o figu atio s VLAN“
su l’e se le du seau lo al, ’est do tout atu elle e t ue ous a o s d id d’utilise le VTP.

Nous avons donc configuré le domaine « VTP » o G“B su l’e se le de os o utateu s, e

leur indiquant un mot de passe identique. Après cela, nous avons utilisé notre commutateur de
niveau 3 « SW-LAN » comme serveur VTP puis configuré le reste des switch en mode client. Il faut
bien penser à « trunk » les liens entre les différents switch afin que la propagation des VLANS se
fasse correctement.

 Les Vlans

Voici les VLANS créés sur notre « Serveur Vtp »

Vlan 10; Vlan 20; Vlan 30; Vlan 40; Vlan 50; Vlan 60; Vlan 70; Vlan 80; Vlan 99; Vlan 100; Vlan 150:
Visiteurs; Vlan 200 ; Vlan 300: Serveurs ; Vlan 400: DMZ.
L’e se le de es la s o t seule e t t su ot e “e eu VTP , e effet, le este des
commutateurs ont récupérés les VLANS grâce au protocole VTP.

 Les interfaces VLANS

Lors de leur configuration, nous avons indiqué un « IP-

HELPER » sur nos interfaces VLANS. Cette configuration
permet de récupérer une adresse IP grâce au DHCP indiqué
dans IP HELPER. Du côte, nous avons créé un pool DHCP
propre à chaque VLAN.

Comment cela fonctionne : Nous branchons un PC sur un port

dans le VLAN 10. Lors de sa mise en réseau, le PC va essayer
de up e u e ad esse IP. Lo s u’il as effe tue so
oad ast, sa t a e as t e tagu a e l’id de so la « 10 »,
il va donc automatiquement passé par sa passerelle
192.168.10.1 qui est elle- e o figu a e l’IP Helpe
pointant sur un DHCP. La requête de notre PC vas donc être
redirigé vers le DHCP où un pool DHCP vlan 10 est configuré
a e u e plage d’ad esse d fi i et .
  Pool DHCP

Présentation de la sécurité

 Les ACL pour les visiteurs

Action Protocole Source @IP Port Destination @IP Port Remarque

Permit UDP Hôte 172.16.0.10 Réseau 192.168.150.0/24 BOOTPS ACL_DHCP_VISITEURS
Permit TCP Hôte 172.16.0.10 Réseau 192.168.150.0/24 445 Fichier Partage
Windows
Deny IP Hôte 172.16.0.20 Any ACL_DENY_MESSAG
Deny IP Hôte 172.16.0.70 Any ACL_DENY_EON
Deny IP Hôte 172.16.0.90 Any ACL_DENY_LYNC
Deny IP Hôte 172.16.0.50 Any ACL_DENY_REMOTEAPP
Deny IP Hôte 172.16.100.50 Any ACL_DENY_WDS
Deny IP Hôte 172.16.30.100 Any ACL_DENY_STORAGE
Permit IP Any Any ACL_WAN

Malgré que les utilisateurs présent dans le VLAN 150 soit des visiteurs, il faut quand même les PC
récupère une adresse IP correcte en fonction de leur vlan, et que les accès soit restreint pour certains
services. Dans notre cas les visiteurs doivent seulement avoir accès au partage fichier de Windows.
Et être bloqué pour tout le reste.
  Les ACL pour le LAN

Action Protocole Source @IP Port Destination @IP Port Remarque

Permit IP Hôte 172.16.0.10 Réseau 192.168.0.0/16 ACL_CONTROLEUR_AD
Deny ICMP Hôte 172.16.0.20 Réseau 192.168.0.0/16 ACL_SERVEUR_LOTUS
Permit IP Hôte 172.16.0.20 Réseau 192.168.0.0/16 ACL_SERVEUR_LOTUS
Deny ICMP Hôte 172.16.0.50 Réseau 192.168.0.0/16 ACL_REMOTEAPP
Permit TCP Hôte 172.16.0.50 www Réseau 192.168.0.0/16 ACL_REMOTEAPP
Permit TCP Hôte 172.16.0.50 3389 Réseau 192.168.0.0/16 ACL_REMOTEAPP
Permit TCP Hôte 172.16.0.50 443 Réseau 192.168.0.0/16 ACL_REMOTEAPP
Permit IP Hôte 172.16.0.70 Réseau 192.168.0.0/16 ACL_EON
Permit IP Hôte 172.16.0.90 3389 Réseau 192.168.0.0/16 ACL_LYNC
Permit IP Hôte 172.16.0.99 443 Réseau 192.168.0.0/16 ACL_ADMIN
Permit TCP Hôte 172.16.0.100 808 Réseau 192.168.0.0/16 ACL_WEB_GLPI
Permit IP Hôte 172.16.100.10 Réseau 192.168.0.0/16 ACL_REDONDANCE
Permit TCP Hôte 172.16.100.20 SMTP Réseau 192.168.0.0/16 ACL_WDS
Permit TCP Hôte 172.16.0.254 Réseau 192.168.0.0/16 ACL_WAN

En ce qui concerne nos PCs présents dans notre réseau LAN, nous devons aussi y appliquer des règles
de t afi . E effet, ous de o s tout d’a o d lo ue la o u i atio i te -vlan, autorisé le
protocole utilisé par un serveur donné à destination de ce dernier et bloquer tout le reste.

 Les règles de NAT :

Optimisation du réseau

 Switch de niveau 2 : SW_DMZ

 Switch de niveau 3 : SW_LAN

 Switch de niveau 2 : SW_CLT_1

  Switch de niveau 2 : SW_CLT_2

Présentation de la VOIP

La voix sur IP ou « VoIP » pour Voice Over Ip, est une technique qui permet de communiquer par la
voix (ou via des flux Multimedia : audio ou video) sur des réseaux compatibles IP, u’il s’agisse de
seau p i s ou d’i te et, filai e ou o .

La VoIp concerne le transport de la voix sur un réseau IP. Cette technologie est complémentaire de la
téléphonie sur IP (« ToIP »).

 Matériel utilisé (avec adresse IP)

Pour la matériel utilisé, nous avons implémenté 3 télepone IP « Cisco IP Phone – 7942 », pour notre
call- a age , ous a o s utilis u outeu ui fe a le ôle d’u PABX. Pou ela ous a o s
utilisé le « telephony-service » des routeurs de Cisco qui est un service implémenté dans une grande
pa tie des outeu s Cis o. C’est da s e outeu ue ous allo s o figu les pa a t es de os
téléphones.

Pou e ui est de la o figu atio du outeu , l’i te fa e o e t Fa / est o figu e :

172.16.0.80 255.255.128.0, donc dans le VLAN serveur (300) et directement connecté au
SW_CLIENT_1 où se trouve le reste des serveurs.

Nous avons aussi créé un VLAN 80 qui sera notre vlan VOICE. Ce VLAN sera configuré sur 3 interfaces
du commutateur du niveau 3 où les téléphones sero t o e t s. A e pas ou lie ue l’affe tio
d’u po t da s u la Voi e se fait pa la o a de sui a te : vlan voice access 80.

 Présentation du pool DHCP

La o figu atio IP d’u t l pho e IP se fait o e u PC. Lo s de sa ise e seau, le téléphone va
effectuer un broadcast DHCP pour récupérer une adresse IP. La seule différence qui va être présente
entre un téléphone et un pc, est quand le téléphone va récupérer son adresse IP, il va aussi récupérer
une option « TFTP » avec une adresse IP pointant vers un TFTP donné. Dans notre cas, le téléphone
a up e da s ette optio l’ad esse . . . ui o espo d à ot e all a age . Cette
i fo atio as pe ett e au t l pho e d’alle up e à ette ad esse, so u o de t l pho e,
son nom etc. Après cela il sera fonctionnel.
Voici notre pool DHCP pour le vlan 80 :

 Présentation de téléphony-service

Avant toutes choses, il faut savoir que

l’ad esse IP de ot e outeu est
configurée de la manière suivante :

Port : Ge0/0
@IP : 172.16.0.80
 Ephone-dn : correspond au numéro du
téléphone.

Par exemple, pour le téléphone qui

up e a l’ID , il au a pou u o .

On peut remarquer plus bas, nos 3

téléphones enregistrés dans le CME, avec leur
adresse mac, et la configuration de leurs
boutons respectifs

Configuration accès-wifi

 Présentation des SSID :

  Configuration de la
borne :

o Configuration authentification
RADIUS

Présentation de la supervision

La supe isio est u e te h i ue de sui i et su eilla e du o fo tio e e t d’u s st e ou

d’u e a ti it . Cette supe isio o e e l’a uisitio de do es esu es, ala es, etou d’ tat
de fonctionnement) que nous devons interprétés mais surtout utiliser.

Plusieurs application sont disponibles permettant la surveillance système et réseau. Tels que Nagios,
Ca ti, et . Da s ot e as, ous a o s d id d’utilise E es Of Net o k EON ui bundle composé
des meilleures applications de supervision.
Nous a o s jug s u’il tait plus ue p i o diale d’utilise e s st e de supe isio , afi de
supe ise ais su tout d’opti ise ot e i f ast u tu e seau et de d te te le plus apide e t
possible des pannes ou saturations réseau.

 Configuration SNMP

La supervision EON se fait au travers du protocole ICMP mais aussi SNMP : Simple Network
Management Protocol, qui en Français donne « Protocole Simple de Gestion de Réseau ». C’est u
protocole de communication qui permet aux administrateurs réseau de gérer les équipements
réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance.

Les systèmes de gestion de réseau sont basés sur trois éléments principaux : un superviseur
a age , des œuds odes et des age ts. Da s la terminologie SNMP, le synonyme manager est
plus souvent employé que superviseur. Le superviseur est la console qui permet à l'administrateur
réseau d'exécuter des requêtes de gestion (management). Les agents sont des entités qui se trouvent
au niveau de chaque interface, connectant au réseau l' uipe e t g œud et pe etta t de
récupérer des informations sur différents objets.

Commutateurs, concentrateurs, routeurs, postes de travail et serveurs (physiques ou virtuels) sont

des exemples d'équipements contenant des objets gérables. Ces objets gérables peuvent être des
informations matérielles, des paramètres de configuration, des statistiques de performance et autres
objets qui sont directement liés au comportement en cours de l'équipement en question. Ces objets
sont classés dans une sorte de base de données arborescente définie par l'ISO appelée MIB
(« Management Information Base »). SNMP permet le dialogue entre le superviseur et les agents afin
de recueillir les objets souhaités dans la MIB.

Pour pouvoir donc récupérer les informations de la MIB de nos équipements, il a fallu configurer sur
ces derniers, la communauté SNMP dans laquelle il se trouve et surtout quel serveur est autorisé à
consulter la MIB.

La communauté SNMP : swiss-galaxy.com

Le serveur : 172.16.0.70 Notre serveur EON.
Nous a o s do appli u es i fo atio s sui a tes à l’e se le de os se eu s i tuels, à os
routeurs et nos Switchs.

Co figu atio d’u “ i h/Routeu

Co figu atio d’u PC/“e eu

 Présentation EON

Le « bundle » EyesOfNetwork est composé

d’u s st e d’e ploitatio i i aliste
i lua t u e se le i t g d’appli atio
répondant aux différents besoin de
supervision :

 GED (Generic Event Dispatcher) :

gestion multi sites et sécurisée des
évènements,
 NAGIOS : gestion des incidents et des
problèmes,
 THRUK : interface de supervision
multibackend,
 NAGVIS : cartographie personnalisée
de la disponibilité,
 NAGIOSBP : gestion de la criticité des applications,
 CACTI et PNP4NAGIOS : gestion des performances,
 WEATHERMAP : cartographie de la bande passante,
 BACKUP MANAGER : Outil de sauvegarde de la solution,
 EONWEB : Interface Web unifiée de la solution,
 E)GRAPH : Li ai ie d’affi hage des g aphi ues,
 SNMPTT : Traduction des traps snmp,
  GLPI / OCS / FUSION : Gestion de parc et inventaire.

Eyes Of Net o k est a essi le ia u e i te fa e We u i ue do t l’o je tif est de u i les

diff e ts a teu s d’u s st e d’i fo atio s D“I, Ad i ist ateu s, Te h i ie s, Op ateu s .
Cha u de es a teu s dispose do d’u e vue correspondant à son métier.

Not e se eu EON poss de l’ad esse IP sui a te : 172.16.0.70

La communauté SNMP de notre serveur EON

est : swiss-galaxy.com

 Présentation Nagios et configuration

Mai te a t ous allo s ajoute l’ uipe e t su le uel o a i stall et o figurer le service SNMP.

Connectez-vous sur
l’i te fa e WEB de
Eyes of Network.

Dans la partie
Nagios et
administration,
cliquer sur « Add a
New Child Host ».
Voi i la page et les i fo atio s u’il faut e seig e .

Sur cette page il faut renseigner :

 Le nom de la machine
 Description
 Adresse IP
 Et il ne faut pas oublier le « Add template to Inherit from » ’est le s st e d’e ploitatio de
la machine.
 Add Host

Voilà pou e u’il est des e seig e e ts su la a hi e. Pou te i e l’i se tio de la machine
sur EON cliquer sur « Tools », « Exporter » et sur « Restart »
Votre machine est bien remontée sur EON et se mettra à jour sous peu.
Voici la liste des

équipements
réseaux répertorié
sur le service
NAGIOS.

Une vue
d’e se le est
proposé en page
d’a ueil, ette
vue nous permet
de nous faire une
id e su l’ tat
général des
machines
présentes sur le
réseau.

 Présentation Cacti
Voici la liste des équipements réseaux répertoriés sur Cacti, ils sont les mêmes que Nagios. Dès lors
que nous avons créé ces équipements sur Cacti, nous avons créé un graph par équipement.

Voici quelques exemples de graphique

créé grâce à Cacti. Nous créons
principalement des graphiques sur les
cartes réseaux des serveurs/pc et des
ports essentiels des
Commutateurs/routeurs.

Pour les serveurs et parfois même les

routeurs, nous créons aussi un graph sur
le CPU.
  Weather Map

La finalité de ces graph étant de créer une Weather Map pou a oi u e ue d’e se le. Voi i la
nôtre.
Conclusion

Voici les informations essentielles à retenir de cette documentation.

Le seau est o figu de telle so te ue les utilisateu s d’u VLAN diff e t e peu e t
communiquer entre eux.

La communication inter-vlan est en revanche permise.

Pou e ui est des ad esses IP, ha ue VLAN eçoit u e ad esse e a t d’u pool DHCP diff e t e
qui permet de les différencier rapidement.

Les ACL sécurisent le réseau, une ACL (110) est commune à tous les utilisateurs présents dans le LAN
et une ACL sécurisent le réseau VISITEURS se connectant à la borne WIFI.

La VOIP est o figu g â e au CME ui est le Call Ma age E p ess d’u outeu Cis o.

3 Téléphones sont mis à disposition.

La supe isio se fait g â e à l’outil E es Of Net o k, g â e au plugi Nagios, Ca ti ais aussi

WeatherMap.