PROJET SDN AVANCE MASTER 2

Etudiant : Encadreur :
Lajoie ISRAEL METTE Mr Samuel Ouya
 Introduction
Un centre de données (en anglais data center), ou centre informatique est un lieu (et un service)
où sont regroupés les équipements constituants un système d'information (ordinateurs centraux,
serveurs, baies de stockage, équipements réseaux et de télécommunications, etc.). Ce
regroupement permet de faciliter la sécurisation, la gestion (notamment l'exécution de calculs
et le refroidissement) et la maintenance des équipements et des données stockées.

Techniquement un centre de données fournit des services informatiques en environnement

contrôlé (climatisation, anti-poussières, alimentation, etc.) et sécurité (système anti-incendie,
contre le vol et l'intrusion, etc.), avec une alimentation d'urgence et redondante.

Opérationnellement, un centre de données peut être exploité en interne par une entreprise ou
mis à la disposition de plusieurs entreprises (en tant que service externe). Lorsqu'un datacenter
est utilisé commercialement pour fournir une prestation de service à des particuliers ou des
entreprises, on parlera de "cloud" (nuage) ou de "dématérialisation", avec bien sûr la possibilité
d'hybrider une solution interne (rapidité, sécurité des données hébergées notamment) et cloud
(robustesse, maintenance, location de services à la demande).

C’est quoi réellement un Datacenter ?

Un Datacenter est un site hébergeant l’ensemble des systèmes nécessaires au fonctionnement

des applications informatiques. On y retrouve toutes les infrastructures logicielles et matérielles
utilisées dans le domaine IT et non-IT. Concernant l’IT, il s’agit des serveurs, des baies de
stockage et des équipements réseaux permettant les échanges internes et externes. Le non-IT
comprend les équipements gérant le pilotage, la production et la distribution de l’énergie et du
refroidissement. Le terme Datacenter désigne un site informatique de taille très variable : d’une
salle de quelques mètres carrés à plus 10.000m2.
Un Datacenter est toujours constitué de trois composants élémentaires :
Les composants d’un Datacenter :
 L’infrastructure : c’est-à-dire l’espace et les équipements nécessaires au support des
opérations du Datacenter. Cela comprend les transformateurs électriques, les
alimentations sans interruption (UPS), les générateurs, les armoires de climatisation
(CRAC), les systèmes de distribution électrique, etc. Dans certains Datacenter, cette
infrastructure consomme deux fois plus d’espace que l’espace destiné à héberger les
équipements informatiques.
 Les équipements informatiques : Ils comprenant les racks, les serveurs, le stockage,
le câblage ainsi que les outils de gestion des systèmes et des équipements réseaux.
 Les opérations : c’est-à-dire le personnel d’exploitation qui pilote, entretient et répare
les systèmes IT et non-IT lorsque cela est nécessaire.

Comment ça marche ?
Un centre de données se compose de serveurs virtuels ou physiques (ou de systèmes
informatiques robustes) connectés en externe et en interne via des équipements de
communication et de mise en réseau pour stocker des informations numériques et les transférer.
Il contient plusieurs composants pour servir à des fins différentes :
 Mise en réseau : Il fait référence aux interconnexions entre les composants d'un centre
de données et le monde extérieur. Il comprend des routeurs, des contrôleurs de livraison
d'applications, pare-feu, interrupteurs, les switchs, etc.
 Stockage : Les données d'une organisation sont stockées dans des centres de données.
Les composants pour le stockage sont les lecteurs de bande, les lecteurs de disque dur,
les lecteurs à semi-conducteurs (SSD) avec sauvegardes, etc.
 Calcul : Il fait référence à la puissance de traitement et à la mémoire nécessaires pour
exécuter des applications. Il est fourni par des ordinateurs puissants pour exécuter des
applications.
En outre, les organisations déploient des services de centre de données pour garantir que les
composants fonctionnent à des performances optimales avec intégrité. Pour cela, ils utilisent
des systèmes de sécurité réseau tels que des pare-feu, antivirus systèmes, etc., et tirer parti de
mécanismes tels que l'équilibrage de charge et le basculement automatique pour garantir les
performances.

Les modèles et caractéristiques des Datacenters

Les Datacenters sont généralement classés en 4 grandes catégories, ces catégories répondent
au nom de Tier 1, 2, 3 et 4. Pour classer un Datacenter dans une catégorie, 2 normes sont
aujourd’hui utilisées : la norme TIA 942 (Telecommunication Infrastructure Standard for Data
Centers) et la norme EN 50600. Chacune de ces normes établissant des contraintes bien
précises pour attribuer la catégorie au Datacenter.

On peut les classer selon cette catégorie aussi :

 Datacenter Classique
 Datacenter Cloud
 Datacenter Modulaire

Les Datacenters Cloud

Ce type de Datacenters implique la location des ressources dudit datacenter par un prestataire
de services tiers, une entreprise ou une organisation.

Les Datacenters Modulaire

S’il est déjà difficile de fixer aujourd’hui une surface suffisamment grande pour héberger les
équipements informatiques, qu’en sera-t-il dans quinze ans ? Pour répondre à cette question, le
datacenter doit devenir plus modulaire afin d’adapter sa capacité à la demande. Pour gagner en
modularité, un datacenter est aujourd’hui construit en quatre tranches de 500 m² plutôt qu’un
unique faux plancher de 2000 m². Le déploiement de ces tranches pouvant être répliqué, ceci
facilite l’évolution du datacenter. Dans ce cas, les équipements nonIT sont conçus pour évoluer
selon l’infrastructure informatique. Lorsqu’un module atteint une capacité donnée, un
deuxième module autonome est prévu dans le même périmètre et ainsi de suite. Cette nouvelle
approche dite « verticale » permet d’aligner l’augmentation du besoin avec la capacité du
datacenter et donc d’optimiser son efficacité.

Les contraintes et problèmes liés aux Datacenters

Un datacenter répond à un cahier des charges technique très strict afin de garantir sa sécurité
physique, informatique, ainsi que son fonctionnement qui ne doit connaître aucune interruption
ni baisse de performances.
  Des problèmes environnementaux : L'expansion des services en ligne, l'avènement
du big data, favorisé par l'internet des objets et les terminaux mobiles, a entraîné une
croissance exponentielle du nombre de centres de données. Cela pose des problèmes
environnementaux importants au niveau de la consommation d'énergie comme du rejet
des émissions de chaleur. Le recours aux énergies renouvelables et la mise en place de
systèmes de récupération d'énergie font partie des solutions privilégiées pour répondre
à ces enjeux. Ainsi, certains datacenters sont entièrement alimentés par des énergies
non fossiles et la chaleur qu'ils dégagent est réutilisée pour chauffer des bâtiments ou
produire de l'eau chaude.
 La gestion des pannes : Les centres doivent être opérationnels 24h/24. Les défaillances
(pannes d'équipement, coupures d'électricité) doivent être traitées immédiatement. En
cas de sinistre, tout est mis en œuvre pour un traitement et une reprise des activités
rapides.
 La gestion de la chaleur : Les serveurs d'un data center génèrent une chaleur
considérable qu'il faut gérer et limiter pour leur bon fonctionnement. Chaque centre
possède donc un système de refroidissement qui garde une température constante d'une
vingtaine de degrés Celsius. Aujourd'hui on utilise surtout des systèmes de
refroidissement à l'air libre, moins gourmands en énergie.
 Gestion de la sécurité : Sur les serveurs se trouvent des informations sensibles qui
doivent être physiquement et numériquement protégées. Les centres sont donc très
sécurisés : alarmes, portails et portes de sécurité, pares-feu. Les adresses de certains
centres sont même tenues secrètes. Tout doit être fait pour empêcher les intrus et les
pirates électroniques d'entrer d'une manière ou d'une autre.
 Gestion de l’énergie : Les serveurs et le système de refroidissement d'un datacenter
consomment une grande quantité d'énergie. Un des enjeux actuels est donc de limiter
cette consommation en optimisant le fonctionnement des centres et d'utiliser des
énergies vertes. Des systèmes de récupération de chaleur sont aussi mis en place.

A quoi sert un datacenter ?

Les centres de données servent à héberger les milliards de milliards de gigaoctets présents sur
internet, mais aussi les données que toute personne ou compagnie génère et utilise. Certaines
sociétés construisent et entretiennent leurs propres centres, d'autres louent des serveurs dans
des installations de colocation (appelées colos) et d'autres encore utilisent des services publics.
Les centres de données sont utilisés par tout le monde :
 Les agences gouvernementales ;
 Les institutions financières ;
 Les fournisseurs d’informations en ligne ;
 Les réseaux sociaux ;
 Les services de courriers électroniques et de messagerie instantanée ;
 Les fournisseurs de cloud computing ;
 Les services de jeux en ligne ;
 Les entreprises de télécommunications, etc.
À partir du moment où vous utilisez un réseau social, un email ou un service de stockage en
ligne, vos données sont hébergées dans un datacenter.

Les catégories de Datacenter répondant au nom de Tier

Le niveau Tier 1
Un data center ayant le niveau Tier 1 ne possède qu’un seul circuit électrique ainsi qu’un circuit
de distribution de refroidissement et il n’a pas de composants redondants. Sa disponibilité est
de 99,67 % et ses clients doivent prendre en compte une interruption annuelle de 28 heures et
huit dixièmes.
Le niveau Tier 2
Ce niveau est attribué à un data center ayant un circuit électrique et un circuit de distribution
de refroidissement , mais ayant des composants redondants. La disponibilité offerte est de
99,75 % et il faut prévoir 22 heures d’interruption chaque année.
Le niveau Tier 3
La classification Tier 3 est accordée à un data center ayant plusieurs circuits d’alimentation en
électricité et de distribution de refroidissement. La disponibilité offerte doit s’élever à 99,982%
avec une interruption limitée à un peu plus d’une heure et demie chaque année. La redondance
offerte s’élève à N+1. En conséquence, cette redondance n’est ni intégrale ni entièrement
distincte. Il en résulte que l’absence totale d’incidents sérieux sur les éléments constituant
l’infrastructure n’est pas totalement garantie.
Le niveau Tier 4
Cette classification qui correspond au meilleur niveau de garantie d’un data center n’est
accordée que si le data center a plusieurs circuits assurant l’alimentation en électricité et la
distribution du refroidissement.
La redondance doit atteindre 2N+1 et l’interruption annuelle ne doit pas dépasser 48 minutes.
Les clients qui choisissent un data center ayant ce niveau bénéficient donc d’une garantie totale
pour la protection de leurs stocks de données informatisées. De plus, les serveurs stockés dans
un data center ayant le niveau Tier 4 bénéficient d’un bloc d’alimentation doublé, de la
disponibilité de deux processeurs et de la possibilité d’un changement de disque en Hot Swap,
ce qui permet aux collaborateurs de remplacer un composant défaillant sans qu’il soit
nécessaire d’interrompre la disponibilité du serveur concerné.
Pour plus de détails sur les types de Datacenter, rendez-vous ici

Les réalités des Datacenter

L’explosion du nombre de Datacenters se fit au moment de la bulle internet. Elle est née du
besoin des sociétés ayant besoin d’avoir une forte présence sur internet et une disponibilité
24h/24h, tout en garantissant une haute disponibilité et un DRP. On estime que depuis début
des années 2000 les nombre de Data Center s’est multiplié par 6 (Google détient 15 Datacenters
aux USA et 17 ailleurs dans le monde). De nos jours, l’arrivée de nouvelles technologies dites
de dématérialisation telles que la virtualisation ou le Cloud ont encore fait rentré le DataCenter
dans une nouvelle ère.

Les technologies utilisées dans un Datacenter

Dans un environnement de calcul et de stockage de données informatiques, qu'est-ce qui est le
plus important ? Certainement, les données car tout peut être remplaçable ou améliorable. Le
problème se pose sérieusement lorsque le volume des données grossit rapidement. Dans un
environnement où il y a plusieurs supports de stockage, la difficulté de pouvoir stocker et
facilement accéder aux données peut se poser très rapidement. Un Raid matériel peut
parfaitement résoudre ce problème, par le biais d'un système de stockage entièrement dédié et
autonome.
Introduction

WireGuard est une technologie VPN (Virtual Private Network) moderne avec une
cryptographie de pointe. Comparé à d'autres solutions similaires, telles que IPsec et OpenVPN
, WireGuard est plus rapide, plus facile à configurer et plus performant. Il s'agit d'une
plateforme multiplateforme et peut fonctionner presque n'importe où, y compris Linux,
Windows, Android et MacOs. Wireguard est un VPN Peer-to-Peer ; il n'utilise pas le modèle
client-serveur. Selon sa configuration, un pair peut agir comme un serveur ou un client
traditionnel.
Wireguard fonctionne en créant une interface réseau sur chaque appareil pair qui agit comme
un tunnel. Les pairs s’authentifient en échangeant et en validant des clés publiques, imitant le
modèle SSH. Les clés publiques sont mappées avec une liste d’adresses IP autorisées dans le
tunnel. Le trafic VPN est encapsulé en UDP.
Dans ce tutoriel, nous allons configurer wireguard sur une machine Ubuntu 20 qui agira comme
un server VPN. Nous vous montrerons également comment configurer wireguard en tant que
client. Le trafic du client sera acheminé via le serveur Ubuntu 20.
Cette configuration peut etre utiliser comme protection contre les attaques Man in the middle,
surfer sur Web de manière anonyme, contourner le contenu géo-restreint ou permets a vos
collègues de se connecter en toute sécurité au réseau de l’entreprise lorsqu’ils travaillent à
distance.
Conditions préalables
Vous aurez besoin d’un serveur Ubuntu 20 auquel vous pouvez accéder en tant que root avec
tous les privilèges sudo.
Configuration du serveur wireguard
Dans cette section, nous allons installer wireguard sur une machine Ubuntu et le configurer
pour qu’il agisse comme serveur. Nous configurons également le système pour y acheminer le
trafic des clients.
Installation de Wireguard sur Ubuntu 20

Prérequis:
Installer les paquets suivants et assurez-vous de mettre à jour le noyau de votre distribution
linux.
Si la version du noyau est inférieure 5.3.0.x comme dans notre cas, nous allons donc passer par
l’installation suivante :
#git clone [Link]
Ensuite installer ce paquet :
#apt-get install resolvconf

Ensuite installer ce paquet :

#apt install git

Entrons dans le dossier pivpn/

#cd pivpn/

On passe à son installation

# ./pivpn/auto_install/[Link]
Nous aurons une série de questions à répondre :
Transformer la machine en un serveur VPN Wireguard
#./[Link]

On clique sur OK
OK

YES
OK

OK
On croche wireguard
OK
Le port est 51820

On croche PIVPN-is-local-DNS
Nous avons le choix entre l’accès au serveur par DNS ou par adresse IP. Nous choisirons la
dernière option.
On croche DNS Entry
OK

On donne un nom de domaine

OK

YES
OK

OK
YES

OK
YES

On redémarre le serveur en cochant Yes la machine va automatiquement redémarrer

OK
On remarque que la machine s’est redémarrée

Étape 2 : Paramétrage du serveur

Mise en réseau du serveur et configuration de pare-feu
Pour que NAT fonctionne, nous devons activer le trafic IP Activation du routage sur le
serveur # nano /etc/[Link]
Recharger le noyau

NB : Wireguard dispose d’un fichier contenant les variables qui abritent les valeurs des
paramètres utiles pour la création d’un compte pour un client.

Voici l’adresse Ip du serveur

On édite le fichier /etc/pivpn/wireguard/[Link]

Pour renseigner tous les informations concernant le serveur.
Configuration et création de comptes pour les clients Le dossier de configuration est
/etc/wireguard/

Voici le contenu du fichier [Link]

Ajoutons les paramètres PostUp et PostDown qui ont respectivement pour valeurs les
politiques à appliquer lorsqu’un client se connecte et les politiques à appliquer lorsque ce
dernier de déconnecte.
Ajouter ces deux lignes à la fin du fichier
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT;iptables -A FORWARD -o wg0 -j
ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT;iptables -D FORWARD -o wg0 -j
ACCEPT

Editons le fichier
#nano [Link]

Le résultat :

Explication :
L'interface peut porter n'importe quel nom, mais il est recommandé d'utiliser quelque chose
comme wg0 ou wgvpn0. Les paramètres de la section interface ont la signification suivante :
Adresse - une liste d'adresses IP v4 ou v6 séparées par des virgules pour l' wg0interface.
Utilisez des adresses IP d'une plage réservée aux réseaux privés ([Link]/8, [Link]/12 ou
[Link]/16).
ListenPort - le port sur lequel WireGuard acceptera les connexions entrantes.
PrivateKey - une clé privée générée par la wg genkey commande. (Pour voir le contenu du
fichier lancez : sudo cat /etc/wireguard/privatekey)
PostUp - commande ou script qui est exécuté avant d'afficher l'interface. Dans cet exemple,
nous utilisons iptables pour activer le masquage. Cela permettra au trafic de quitter le serveur,
donnant aux clients VPN un accès à Internet.
Assurez-vous de remplacer ens3 après -A POSTROUTING pour correspondre au nom de votre
interface réseau publique. Vous pouvez facilement trouver l'interface en exécutant la
commande suivante :
PostDown - commande ou script qui est exécuté avant d'arrêter l'interface. Les règles iptables
seront supprimées une fois l'interface arrêtée.

Puis on fait ifconfig pour voir l’interface wg0

Création de comptes pour nos clients

Nous venons de créer un compte mette

NB : Lorsqu’un compte est créé, le système lui crée automatiquement un fichier de
configuration qui porte son nom dans le dossier config

Que contient le ficher [Link] ?

Mise au point
La section Interface contient les informations suivantes :
 La clé privée du client
 L’adresse IP du du client
 Le DNS qui sera utilisé par le client La section Peer contient les informations
suivantes :
 La clé publique du serveur la clé partagée entre client et serveur
 L’adresse IP ou l’adresse réseau à laquelle le client aura accès

Après création des comptes, vérifions à nouveau le fichier de configuration du serveur

Nous remarquons l’existence des deux comptes créés dans les sections [Peer]
À présent, ces comptes ne pourront être utilisés que sur des ordinateurs. Pour tenir compte de
leur l’utilisation sur des smartphones, nous allons générer des codes QR. Nous allons le faire
juste pour le client mette. (Il est aussi possible de le faire pour mette)
 Test 2 : Un client IPhone L’utilisateur mette va installer l’application Wireguard sur son
IPhone depuis App Store Il lance son application et fait ceci :
L’interface de wireguard, on clique sur Add a tunnel
Il clique sur Créer à partir d’un code QR après on demande de scanner le code QR que le
serveur à créer

Il scanne le code QR et donner un nom pour la connexion.

Cliquer sur SAVE
Il s’est connecté
Le VPN est activé

Test 3 : Un client Windows

Pour télécharger le client wireguard sous Windows, cliquez sur ce lien
[Link]

Lancer l’application Wireguard

Cliquer sur ajouter le tunnel
L’utilisateur mette sera utilisé pour la connexion
On clique sur Activer
On lance CMD

On voit l’adresse Ip [Link] que la machine Windows a reçu.

Preuve de l’établissement de la connexion
La machine Windows va lancer ping sur le serveur

Nickel !
La Connexion s’établie avec succès !

Quelques commandes à utiliser sur le serveur :

Coté serveur si on tape cette commande :

Exécutez wg show wg0 pour vérifier l’état et la configuration

Cette commande permet de voir l’interface Wireguard au démarrage

Conclusion :
Nous vous avons montré comment installer WireGuard sur une machine Ubuntu 20.04 et le
configurer en tant que serveur VPN. Cette configuration vous permet de surfer sur le Web de
manière anonyme en gardant vos données de trafic privées.

Mettre en place un serveur VPN wireguard

En temps normal, vocal

a. On installe apt wireguard
b. On génère les clés privés du serveur, l’adresse du serveur dans le tunnel vpn, les
commandes à exécuter
Il faut aussi configurer dans la section Peer la clé publique du serveur, éventuellement la clé
partagée et les adresses autorisées à être données aux clients dans le tunnel

c. on démarre le serveur
wg-quick wg0

On met en place un serveur DNS pour faciliter la connexion des clients Android

NB: En entreprise, on peut passer pour l’outil pivpn pour:

1- installer wireguard ou openvpn
2- générer les clés privée et publique
3- créer des comptes à des clients et générer les fichiers de config
4- générer les codes QR contenant les configs des clients
La suite:
5- Configurer un client Ubuntu
6- Configurer un client windows
7- On télécharge le client wireguard et on installe, on ajoute un tunnel en précisant, en
parcourant son ordi et en choisissant le fichier de config générer au niveau
8- configurer un client Android

Création d’une machine virtuelle ubuntu 20 avec LVM sous virtualbox

Définition
LVM LVM (Logical Volume Manager, ou gestionnaire de volumes logiques en français)
permet la création et la gestion de volumes logiques sous Linux. L'utilisation de volumes
logiques remplace en quelque sorte le partitionnement des disques. C'est un système beaucoup
plus souple, qui permet par exemple de diminuer la taille d'un système de fichier pour pouvoir
en agrandir un autre, sans se préoccuper de leur emplacement sur le disque.

Il permet notamment de redimensionner les partitions de disques sans reformatage. Il permet

également de rajouter des disques à la volée

Avantages et inconvénients de LVM

Avantages de LVM

Il n'y a pas de limitations « étranges » comme avec les partitions (primaire, étendue,
etc.).  On ne se préoccupe plus de l'emplacement exact des données. 
On peut conserver quelques giga-octets de libres pour pouvoir les ajouter n'importe où
et n'importe quand. 
Les opérations de redimensionnement deviennent quasiment sans risques,
contrairement au redimensionnement des partitions. 
 On peut créer des snapshots de volume sans perturber le fonctionnement de la machine
et sans interruption de services.
Inconvénients de LVM
Si un des volumes physiques devient HS, alors c'est l'ensemble des volumes
logiques qui utilisent ce volume physique qui sont perdus. Pour éviter ce désastre,
il faudra utiliser LVM sur des disques raid par exemple.

Notion de vocabulaire

Volume physique
Un volume physique ou « PV » pour « physical volume » est tout simplement un disque ou
une partition. Bref, c'est un espace de stockage bien réel (autrement dit un périphérique de la
forme /dev/sda2 par exemple),
l'on va confier à LVM. Bien évidemment, tout ce qui était présent sur la partition sera effacé.
Groupe de volumes
Un groupe de volumes ou « VG » pour « volume group » est, comme son nom l'indique, un
ensemble de volumes physiques. On a donc un ou plusieurs volumes physiques dans un groupe
de volumes, et pour utiliser LVM, il faut obligatoirement au moins un groupe de volumes.
Habituellement, sur les gros serveurs, on essaye de regrouper les disques en fonction de leur
caractéristiques (capacités, performances, etc.). Pour un particulier, le fait de mettre plusieurs
disques dans un même groupe de volume peut permettre « d'étaler » un système de fichiers sur
plusieurs disques, et d'avoir donc /home par exemple qui utiliserait 2 disques. Une telle
configuration est tout de même assez dangereuse en cas de perte d'un disque… De plus, cela
n'apporterait aucun gain de performance contrairement à du RAID-0 par exemple. :)
Volume logique
Un volume logique ou « LV » pour « logical volume » est ce que nous allons utiliser au final.
Un volume logique est un espace « quelque part dans un groupe de volume » où l'on peut mettre
un système de fichiers. C'est donc ce qui remplace les partitions. On peut donc utiliser un
volume logique pour mettre la mémoire virtuelle, un pour /home, "/", etc.

Création d’une machine virtuelle Ubuntu 20.04 avec LVM sous virtualbox
On clique sur nouvelle pour créer une nouvelle machine

On met le nom de la machine

Après on choisit la mémoire ram de la machine

On choisit le nombre de GO

On clique sur finish

On prend la language française
Installation normale
Installer maintenant
On choisit la région : Dakar
On donne les paramètres de connexion de la machine
Une fois que l’installation est terminée on éteint la machine pour ajouter des partitions Pour
ce faire il suffit d’aller dans settings -> storage -> +->create
On choisit le type de fichier du disque dur

On croche la case de Pre-allocate

On définit le stockage de la partition

Première partition créée on fait de même pour les autres partitions

Nous allons démarrer la machine Nous avons créé 3 disques, nous allons démarrer la machine
virtuelle pour vérifier les disques ajoutés par la commande suivante
#fdisk –l

Nous avons 3 disques :

Sdb :2G
Sdc : 5G
Sdd : 10G

Création de volume physique

D’abord, nous allons installer le paquet lvm2 pour avoir les commandes
 Création de volume physique
D’abord, nous allons installer le paquet lvm2 pour avoir les commandes

Nous allons créer deux volumes physiques qui sont sdb et sdc
#pvcreate /dev/sdb /dev/sdc

Pour vérifier si les volumes physiques sont créés on tape la commande suivante
#pvdisplay

Créons le groupe pour les deux dev/sdc dev/sdd

 Création de volumes logiques
Nous allons créer un groupe de volume appelé groupeVolume des disques sdb et sdc par la
commande suivante
#lvcreate –n vol1 –L 3G groupevolume #lvcreate –n vol2 –L 5G groupevolume

Vérifions les volumes logiques

Donc on voit que stockage du groupe de volume est égal à 15,88G parce que les deux disques
sdb et sdc sont fusionnés, on peut ajouter autant de disques que l’on veut.
Création de volume logique
Maintenant, nous allons créer des volumes logiques à partir de notre groupe de volume
 Etendre un volume
Nous allons ajouter 2G au volume vol1
#lvextend –L +2G /dev/groupeVolume/vol1

Nous allons vérifier la taille des volumes

#lvdisplay
Donc nous avons ajouté 2G au volume vol1

Réduisons 1G au volume vol2

Vérifions la taille des volumes

#lvdisplay

Donc nous avons réduit 1G au volume vol2

Ajoutons +4 sur le vol2
Le volume à augmenter

Les RAID
RAID est l'acronyme de Redundant Array of Independent Disks (Grappe redondante de disques
indépendants). L'activation du RAID sur un système de stockage permet de connecter deux ou
plusieurs disques au système sous forme d'un grand volume rapide ou comme lecteur système
avec duplication (ou miroir) automatique et instantanée de vos données pour une sauvegarde
en temps réel.
Les avantages du RAID
 Prévient la perte de données ;
 Les données peuvent être récupérées rapidement en cas de panne d'un disque de la
matrice ;
 Le Raid peut être évolutif et redimensionnable pour une future évolution de l'usage de
l'espace de stockage ;
 Une restauration rapide de données sur un nouvel ordinateur.

Un Raid est littéralement une matrice redondante de plusieurs disques durs indépendants. Cela
veut dire qu'un système Raid permet de mettre ensemble plusieurs disques durs afin de
construire un seul volume de stockage de données.
Les types de RAID
Le RAID 0 – Performance
RAID 0 ne permet pas la redondance des données mais offre la meilleure performance de tous
les niveaux de RAID. Le mode RAID 0 fractionne les données en segments réduits et les
répartit dans chaque disque dur du groupe.
 Le défaut de cette solution est que la perte d'un seul disque entraîne la perte de toutes
les données ;
 Dans un RAID 0, qui n'apporte aucune redondance, tout l'espace disque disponible est
utilisé (tant que tous les disques ont la même capacité) ;
 Ce type de RAID était parfait pour des applications requérant un traitement rapide d'une
grande quantité de données avec des disques durs. Mais cette architecture n'assure en
rien la sécurité des données. En effet, si l'un des disques tombe en panne, la totalité des
données du RAID est perdue.

Le RAID 1 – Protection des Données

Ce type de RAID consiste à utiliser des disques redondants avec, chaque disque de la grappe
contenant à tout moment exactement les mêmes données, d'où l'utilisation du mot « miroir »
(mirroring en anglais).

Les points essentiels à retenir sur ce niveau RAID

 La capacité totale est égale à celle du plus petit élément de la grappe. L'espace
excédentaire des autres éléments de la grappe restera inutilisé. Il est donc conseillé
d'utiliser des éléments identiques ;
 Cette solution offre un excellent niveau de protection des données. Elle accepte une
défaillance de éléments ;
 Les coûts de stockage sont élevés et directement proportionnels au nombre de miroirs
utilisés alors que la capacité utile reste inchangée. Plus le nombre de miroirs est élevé,
et plus la sécurité augmente, mais plus son coût devient prohibitif ;
 Lors de la défaillance de l'un des disques, le contrôleur RAID désactive (de manière
transparente pour l'accès aux données) le disque incriminé. Une fois le disque
 défectueux remplacé, le contrôleur RAID reconstitue, soit automatiquement, soit sur
intervention manuelle, le miroir. Une fois la synchronisation effectuée, le RAID retrouve
son niveau initial de redondance.

Le RAID 5 – Protection des données et vitesse

Ce type de RAID permet d'utiliser simultanément tous ses disques (celui-ci se compose au
minimum de 3 disques). Il s'agit d'un système hautement performant en lecture et en écriture
et offre une grande tolérance aux pannes. Le RAID 5 offre par ailleurs une haute capacité
équivalent à N-1, N étant le nombre total de disques.
Il combine la méthode du volume agrégé par bandes (striping) à une parité répartie. Il s'agit
là d'un ensemble à redondance . La parité, qui est incluse avec chaque écriture se retrouve
répartie circulairement sur les différents disques. Chaque bande est donc constituée de blocs
de données et d'un bloc de parité. Ainsi, en cas de défaillance de l'un des disques de la
grappe, pour chaque bande il manquera soit un bloc de données soit le bloc de parité. Si c'est
le bloc de parité, ce n'est pas grave, car aucune donnée ne manque. Si c'est un bloc de
données, on peut calculer son contenu à partir des autres blocs de données et du bloc de
parité. L'intégrité des données de chaque bande est préservée. Donc non seulement la grappe
est toujours en état de fonctionner, mais il est de plus possible de reconstruire le disque une
fois échangé à partir des données et des informations de parité contenues sur les autres
disques.

Les points essentiels à retenir sur ce niveau RAID

 Les performances en lecture aussi élevées qu'en RAID 0 et sécurité accrue surcoût
minimal (capacité totale de disques sur un total de n disques) ;
 Pénalité en écriture du fait du calcul de la parité minimum de 3 disques ce qui a un
impact sur le coût de l’investissement et le coût d'utilisation (énergie) reconstruction
lente pour les disques durs de grande capacité.
Le RAID 3 et le RAID 4

Ils sont sensiblement semblables sauf que le premier travaille par octets et le second par blocs.
Le RAID4 ne nécessite pas autant de synchronisme entre les disques.
Le RAID3 tend donc à disparaître au profit du RAID4 qui offre des performances nettement
supérieures. Ces niveaux de RAID nécessitent une matrice de disques.
Les premiers disques contiennent les données tandis que le dernier disque stocke la parité.
A savoir
 Si le disque de parité tombe en panne, il est possible de reconstruire l'information de
parité avec le contenu des autres disques de données ;
 Si l'un des disques de données tombe en panne, il est possible de reconstruire
l'information avec le contenu des disques de données restants et celui du disque de parité.
Il est important que le disque de parité soit de bonne qualité, car il est à tout instant sollicité à
l'écriture. Ce dernier point est une des limitations du RAID 3.
De même, si plus d'un disque vient à tomber en panne, il est impossible de remédier à la perte
de données.

Le RAID 10 – Performances et fiabilités optimales

RAID 10 ou RAID 1 + 0 délivre des vitesses E/S très élevées en agrégeant les segments RAID
1 (mis en miroir).
Ce mode RAID est parfait pour les solutions de gestion de bases de données critiques qui
nécessitent un maximum de performance et une tolérance élevée aux pannes. Un système réglé
en RAID 10 concède la moitié de la capacité totale de tous les disques durs de la matrice.
Dans une matrice RAID 10, la panne d’un disque dur peut être compensée par un sous-réseau
(c’est-à-dire par une matrice RAID 1), car un exemplaire contenant exactement les mêmes
données mises en miroir reste disponible à tout moment. Toutefois, cela sous-entend également
que seule la moitié de la capacité de stockage des lecteurs uniques reste en permanence à
disposition pour les données utilisateur. Grâce à la répartition uniforme des données, les
utilisateurs peuvent profiter d’une meilleure vitesse de lecture lorsqu’ils accèdent à celles-ci.
Ce type de RAID nécessite au moins 4 Disques durs.

Nous avons deux grandes familles de RAID

Les RAID matériel

Le Raid matériel est généralement un appareil indépendant qui se connecte aux ordinateurs afin
de fournir un service de stockage de données (et autres services parfois). Pour comprendre ce
que c'est un Raid matériel, il est important de comprendre la logique de stockage de données
dans les système Raid. Une configuration Raid, utilise un mélange de trois techniques :
1. Technique de dispatche par bloc (Striping) : Il s'agit du découpage du flux de données
par des morceaux d'une certaine taille (block size) et de distribution sur l'ensemble des
disques indépendants membres du Raid.
2. Technique de mise en miroir (Mirroring) : Il s'agit du découpage du flux de données
par des morceaux d'une certaine taille (block zise) et de création de même copie sur
l'ensemble des disques indépendants membres du Raid.
3. Technique de parité : Il s'agit d'un calcul mathématique entre deux ou plusieurs blocs
de données. Le résultat du calcul doit permettre la déduction (par calcul inverse) d'un
bloc quelconque membres de l'équation. Par exemple A+B+C=Z, A=Z-B-C, B=Z-A-
A, etc. Dans un environnement informatique et binaire, l'addition simple ne peut pas
être utilisée. Une autre opération s'appelant XOR est utilisée.

Comment se configure le RAID matériel ?

Le Raid matériel est une configuration indépendante et possède ses propres processeurs et
mémoire vive. Dans cette configuration, le Raid possède également son propre système
d'exploitation dédié. Le Raid matériel peut être configuré par du matériel intégré à la carte mère
du système hôte, dans une carte de contrôle indépendante ou bien dans un boîtier complètement
indépendant (comme le NAS).

Les grands constructeurs de solutions RAID matériels

QNAP Systems :
Qnap Systems, Inc. est un constructeur informatique basé à Taïwan et spécialisé dans les
solutions de stockage réseau pour les particuliers et les entreprises, Créée en Avril 2004. QNAP
Systems opère dans la fabrication d’équipements de stockage réseau, de RAID matériel
(comme sur les figures ci-dessous), et dans beaucoup d’autres domaines.

Synology Inc :

Synology Inc est une entreprise taïwanaise fondée en avril 2000 et spécialisée dans les serveurs
Network Attached Storage et aussi de solution RAID. Son siège social se situe dans la ville de
Taipei, à Taïwan.

Les inconvénients des RAID matériels

 Le coût du RAID matériel est plus élevé car la configuration nécessite plus de matériel
;
  Le RAID matériel n’offre pas de meilleures performances pour certaines configurations
utilisant des baies de stockage Flash (SSD).

Le RAID logiciel

En RAID logiciel, le contrôle du RAID est intégralement assuré par une couche logicielle du
système d'exploitation. Cette couche s'intercale entre la couche d'abstraction matérielle (pilote)
et la couche du système de fichiers.

Les avantages

 C'est la méthode la moins onéreuse puisqu'elle ne demande aucun matériel

supplémentaire ;
 Cette méthode possède une grande souplesse d'administration (logiciel) ;
 Cette méthode présente l'avantage de la compatibilité entre toutes les machines
équipées du même logiciel de RAID (c’est-à-dire du même système d'exploitation).

Les inconvénients des RAID logiciels

 Le RAID logiciel peut affecter les performances globales du système tout en effectuant
une configuration RAID complexe. L’implémentation de RAID logiciel n’est pas
appropriée s’il y a trop de pilotes ;
 Seuls les niveaux RAID limités sont pris en charge par le système d’exploitation et il y
a peu de place pour la migration du système d’exploitation ;
 Le RAID est plus vulnérable aux virus et autres attaques de sécurité car il fonctionne à
l’intérieur du système informatique hôte ;
 Le problème côté serveur peut affecter l’intégrité des données en raison de plantages
du système.

Les diverses implémentations RAID Logiciels

La plupart des systèmes d'exploitation grand public permettent déjà de mettre en œuvre le
RAID logiciel, qu'il s'agisse de Microsoft Windows, des diverses distributions Linux, ou de
Mac OS X.
 Microsoft Windows XP (et supérieur) gère les RAID 0 et 1 logiciel, et peut gérer le
RAID 5 moyennant une petite adaptation ;
 Microsoft Windows 2003 Server gère logiciellement les RAID 0, 1, et 5 ;
 Mac OS X gère logiciellement les RAID 0, 1, et la concaténation ;
 Le noyau Linux (>=2.6) gère logiciellement les RAID 0, 1, 4, 5, 6, et 10, ainsi que les
combinaisons de ces modes.
Note : Les RAID logiciels de Microsoft Windows et de Linux sont incompatibles entre eux.

Implémentation du RAID 5
Pour ce type de Raid, il faut minimum 3 disques.

Avant de commencer, nous allons identifier les disques bruts que nous allons utiliser

Nous avons 6 disques avec système de fichiers dans notre cas : /dev/sdb, /dev/sdc, /dev/sdd,
/dev/sde, /dev/sdf et /dev/sdg

# apt install mdadm –y

Création du Raid 5
Nous allons afficher les détails de notre RAID nouvellement créé

Formater l’agrégat en ext4 comme suit :

L’agrégat Raid5 est maintenant créé et son UUID a été inscrit sur chaque partition le
constituant. Montage
Mettons quelques informations dans notre point de montage comme suit :

Simulation de panne

Affichons les informations de notre Raid après la panne du disque sde1

Vous pouvez constater que le disque de spare prend automatiquement le relais du disque en
panne et qu’il permet la réparation de l’agrégat. Lancez cette commande plusieurs fois pour
contrôler l’avancement de la reconstruction. Pendant ce temps, vous pouvez constater que les
données de l’agrégat sont intactes et restent accessibles.

Simulation d’une seconde panne

# mdadm /dev/md5 --fail /dev/sdf1

État de santé de l’agrégat

Nous pouvons constater que les données sont toujours intactes dans leur point de montage.

Simulation de remplacement des disques en pannes.

Note : Avant de retirer un disque en panne, il est judicieux de prévenir la matrice comme
l’indique la capture ci-dessous :
La technologies ISCSI (Internet Small Computer System Interface)

iSCSI est une norme de réseau de stockage basée sur un protocole IP permettant de lier des
installations de stockage de données. En transportant les commandes SCSI sur des réseaux IP,
iSCSI peut faciliter les transferts de données sur des réseaux locaux (LAN), des réseaux étendus
(WAN), ou Internet.
Avec iSCSI, l’espace du serveur de stockage sera considéré comme plusieurs disques locaux
par le système d’exploitation du client. Mais en réalité, toutes les données transférées sur ces
disques sont transférées par le réseau sur le serveur de stockage.

Il s’appuie sur les réseaux TCP / IP pour envoyer des commandes SCSI entre l’initiateur (client)
et la cible (serveur) fournissant un accès au niveau du bloc aux unités de stockage pouvant être
des volumes logiques LVM, des disques complets, des fichiers ou des partitions. La cible iSCSI
est donc un serveur offrant un accès aux périphériques de stockage partagés, tandis que
l'initiateur iSCSI fonctionne comme un client qui se connecte à la cible et accède au stockage
partagé.

Les éléments composant une infrastructure iSCSI sont de plusieurs types :

 IQN (iSCSI Qualified Name) : Ce sont les noms utilisés pour identifier à la fois la cible
et l'initiateur.
 Backend Storage : définit le périphérique de stockage auquel une cible iSCSI peut
donner un accès.
 Target : service sur un serveur iSCSI offrant un accès aux périphériques de stockage
principaux.
 Initiator : client iscsi
 ACL : Liste de contrôle d'accès qui répertorie les clients iSCSI à qui l'accès au
périphérique de stockage est autorisé.
 LUN (logical unit number) : Périphériques de stockage principaux (disques, partitions,
volumes logiques, fichiers ou lecteurs de bande) partagés via la cible.
 Portal : une adresse IP et un port utilisés par la cible ou l'initiateur pour établir une
connexion.
 TPG (target portal group) : groupe d'adresses IP et de ports TCP sur lesquels une cible
iSCSI spécifique sera à l'écoute.
 Login : Authentification permettant à un initiateur d’accéder aux LUN de la cible.

Implémentation de ISCSI
 Architecture

Serveur (Cible ou Target) : [Link]

Client (Initiateur ou Initiator): [Link]

Config côté serveur

# apt install tgt -y

On peut vérifier si le processus est lancé

On configure une ressource sur le serveur Dans ce fichier, on a défini l’identifiant de la

ressource, le chemin de la ressource ainsi que le login et le mot de passe à utiliser pour accéder
à la ressource sans oublier le client autorisé à utiliser la ressource.

# nano /etc/tgt/conf.d/[Link]
<target [Link] dlp.cible01>
backing-store /var/lib/iscsi_disks/[Link]
initiator-name [Link]:www.initiator01
incominguser mette passer123
</target>

Créer deux ou plusieurs ressources à partager

Note : Nous avons créé un fichier bloc qui représentera le disque sur lequel le client stockera
les données à travers le réseau.

# mkdir -p /var/lib/iscsi_disks

# dd if=/dev/zero of=/var/lib/iscsi_disks/[Link] count=0 bs=1 seek=3G

On peut afficher la nature de la ressource

Nous allons créer un script pour partager les ressources de façon automatique lors d’un
éventuel redémarrage du serveur.

# nano /usr/local/[Link]

#!/bin/bash service tgt start && service tgt restart

## Partage de ressources

tgt-setup-lun -n tgt1 -d /var/lib/iscsi_disks/[Link] [Link]

# chmod +x /usr/local/[Link]

# nano /etc/systemd/system/[Link]

[Unit]

Description=systeme de partage de ressources en Rx

[Service]

Type=notify

ExecStart=/usr/local/[Link]

Restart=on-failure

[Install]

WantedBy=[Link]

Activer le service
# systemctl daemon-reload
# systemctl start [Link]
# systemctl enable [Link]
# systemctl restart [Link]
# systemctl status [Link]

Nous pouvons vérifier si le partage est effectif

Configurations côté client

# apt install open-iscsi

On déclare le nom de l’initiateur comme suit :

# nano /etc/iscsi/[Link]

Donner les paramètres de connexion au serveur ISCSI comme suit :

# nano /etc/iscsi/[Link]

On redémarre le client & on le rend accessible

# systemctl restart iscsi [Link]

# systemctl enable [Link]
 VxLAN [Virtual eXtansible Lacal Area Network]

Au cours de la dernière décennie, les centres de données ont rapidement augmenté entraînant
l’explosion de la virtualisation de leurs serveurs qui a donc entraîné à son tour une
augmentation considérable de l'agilité et de la flexibilité dans le traitement des données. La
virtualisation du réseau et la dissociation entre réseau virtuel et réseau physique facilitent la
gestion, l'automatisation et l'orchestration de ces derniers.

Dans l’optique de la résolution des problèmes d'évolutivité associés au déploiement du cloud

computing, la technologie VXLAN s’adresse particulièrement aux points suivants :
 La virtualisation des serveurs ;
 La problématique sur la migration dynamique des serveurs virtuels ;
 La question sur la croissance exponentielle des locataires dans les centres de données
doit être résolue.
Les centres de données actuels se doivent héberger plusieurs dizaines de milliers de locataires.
L’une des limites des VLAN traditionnels est le nombre de possibilités de réseaux virtuels dans
un réseaux sous-jacent qui est 2^12 - 2 , soit 4094 possibilités. Les VXLAN ont une capacité
largement plus grande que les VLAN dans ce domaine car un VNI (VXLAN Network
Identifiant) est codé sur 24 bits soit 16777216 de possibilités.
Nous assistons donc à une possibilité d'isoler un très grand nombre de locataires, ce que les
VLAN ne peuvent guère faire.
Le VXLAN (Virtual eXtensible LAN) est une technologie de virtualisation réseau sur la couche
3 (NVO3) qui vise à résoudre des problèmes d'évolutivité associés au déploiement du cloud
computing.
Il utilise une technique d'encapsulation proche du VLAN et permet d’encapsuler des trames
Ethernet de couche 2 OSI dans des datagrammes UDP. Le numéro de port UDP de destination
par défaut attribué par l’IANA pour le VXLAN est le 4789, mais selon les implémentations on
peut retrouver 8472 comme port par défaut, il est également possible d’en changer.
Les terminaisons :
 VNI (VxLAN Network Identifier) ;
 VTEP (VxLAN Tunnel End-point) ;
 VTI (VxLAN Tunnel Identifier).

Le VTEP est un périphérique VxLAN qui est le départ et l’arrivée d’un tunnel VxLAN, il a
pour rôle d’encapsuler et désencapsuler les trames VxLAN.
Le VNI est un identifiant d'utilisateur similaire à un ID de VLAN. Les machines virtuelles avec
des VNI différents ne peuvent pas communiquer au niveau de la couche 2, lors de
l'encapsulation du paquet VXLAN, un VNI 24 bits est ajouté à un paquet VXLAN, ce qui
permet au VXLAN d'isoler un grand nombre de locataires. Chaque VNI de couche 2 est mappé
à un domaine de pont (BD) pour le transfert intra-sous-réseau des paquets VXLAN. Le VTI
est un identifiant des différents tunnels qui constituent le réseau Overlay du VxLAN.

Le principe de fonctionnement
Le fonctionnement de VxLAN est simple, il s’agit d’encapsuler une trame Ethernet (couche 2
du modèle OSI), dans un datagramme UDP (couche 4). On veut pouvoir déployer un réseau
Ethernet sur un ensemble de sous-réseaux IP. Cette communication doit pouvoir se faire au
travers de n’importe quel réseau. Pour cela, on a besoin d’utiliser la couche transport. Par
conséquent, VXLAN encapsule une trame Ethernet de couche 2 dans un paquet UDP et
transmet le paquet sur un réseau de couche 3 pour étendre le domaine de broadcast.

Encapsulation VxLAN
Implémentation de VxLAN

Architecture
Dans cette architecture, nous avons une entreprise utilisant les services un opérateur pour
interconnecter ses différents sites à travers le backbone MPLS de ce dernier. Cette même
entreprise dispose des serveurs en local, mais aussi deux autres serveurs hébergés dans deux
Datacenters différents. La boite nous appel en tant qu’ingénieurs Télécoms réseaux pour lui
proposer une solution permettant aux employés de pouvoir accéder aux services hébergés sur
les serveurs se situant dans les Datacenters comme si ces serveurs en question se trouvaient
dans les locaux de l’entreprise (même LAN), sachant qu’il y a parmi ces services, d’autres
utilisant du zeroconf.
En clair, mettre en place un système permettant aux différents serveurs se situant n’importe où,
de pouvoir échanger des trames.

Pratique

Le VxLAN n’intervient qu’au niveau 2 et n’assure aucune sécurité car il n’est pas doté
d’algorithme de cryptographie, à cela s’ajoute la problématique du NAT, voire même du PAT
(Les serveurs ne sont pas exposés sur internet) ; donc les deux entités peuvent ne pas forcement
être exposées sur internet pour pouvoir donc naturellement échanger. Dans notre cas la solution
idoine serait de faire du VxLAN over VPN. Le VPN assure :
 La mise en réseau IP (au niveau 3) ;
 Et aussi pour la cryptographie des données.

IP serveur VPN [Link]

Dans cette architecture, nous avons une entreprise hébergeant des serveurs :
• En local ;
• Dans deux autres Datacenters.
Nous aimerions que les employés de cette entreprise aient accès non seulement aux serveur en
local, mais aussi aux serveurs hébergés dans les différents Datacenters. Cet accès aux services
devrait se faire au niveau 3 mais aussi au niveau 2, c’est à dire en IP et échange de trames afin
de pouvoir accéder à certaines applications utilisant du Zeroconf.

• Pour le serveur VPN, nous avons opté pour une solution VPN de niveau 3, à l’occurrence
Wireguard dont la mise en place n’a pas été abordée dans ce document ;
• Nous avons utilisé VxLAN comme protocole d’extension LAN.

Le serveur VPN est déjà en opérationnel. Il a pour IP dans le tunnel [Link]/24

Config côté modem

Il faut tout de même dire au modem à travers lequel le serveur VPN accède à internet comment
acheminer le trafic VPN des clients jusqu’à leur serveur.
On renseigne les informations
Après avoir validé, voici l’application
On fait du port forwarding ([Link] est l’IP du serveur VPN dans le LAN)

Connecter le compte DDNS au modem en question pour la gestion du changement

dynamique de l’IP côté WAN.
Config côté serveur VPN

# nano /etc/pivpn/wireguard/[Link]
Le répertoire du serveur VPN est /etc/wireguard

Nous allons modifier le fichier du serveur [Link] comme suit :

Redémarrer le serveur

Création des comptes sur le serveur VPN

Dans notre architecture, le VTEP1 représente le serveur VPN en question.

[Link] (Pour lui, nous n’avons pas besoin de créer de compte)

Création du compte pour le VTEP2 et VTEP3

La liste des comptes

Il faudra donc trouver un moyen de transférer chaque fichier de configuration à son

correspondant respectif !

Activation du tunnel côté VTEP3

Le VTEP3 ==> [Link]/24 et l’adresse de la deuxième machine ([Link]) c’est une

machine Ubuntu 20.04 sur laquelle il faut installer les prérequis suivants pour activer le tunnel.
Activation du tunnel

Sur le serveur VPN

Le tunnel est bien monté !

Envoyer le fichier de config du VTEP2 et activer le tunnel !

# apt install resolvconf wireguard -y Activation du tunnel
Les infos sur l’interface du tunnel après activation :

Sur le serveur, nous pouvons voir la liste des clients VPN déjà connectés

Test de connectivité depuis le serveur

Étape suivante : Déploiement du VxLAN sur le réseau Overlay du VPN
Config côté serveur VPN
Activation du module concerné

Créer un bridge et lui attribuer une IP

Transformer la machine en VTEP (en pointant vers le VTEP2 ([Link]/24)

# ip link add name vxlan10 type vxlan id 10 dev wg0 remote [Link] local [Link]
dstport 4789
Et si on affiche la table fdb

L’interface du bridge

Config côté VTEP2 Nous faisons les mêmes config sur ce VTEP en mettant les adresses IP
dans le bon ordre. Cette fois-ci l’adresse locale sera [Link] & celle distante [Link].

Nous allons pointer le tunnel sur le serveur VPN [le VTEP1 ===> [Link]]

Tests de connectivité entre VTEP

Voici un récap de ce que nous venons de faire :

Adresse réseau VPN : [Link]/24

Adresse réseau VxLAN : [Link]/24

VTEP1 : Serveur VPN [[Link]/24 ==== [Link]/24]

VTEP2 : ====> [[Link]/24 ==== [Link]/24]

VTEP3 : ====> [[Link]/24 ==== [Link]/24]

 Mise en place du serveur ecduVPN

Introduction

Lorsque vous utilisez des Wi-Fi publics, dans les bibliothèques, les bars ou les transports en
commun, les mesures de sécurité déployées ne sont, bien souvent, pas connues. De même,
lorsque vous êtes en télétravail, votre réseau domestique n'est pas toujours protégé
correctement. Toutes les données que vous saisissez et recevez sur votre téléphone, votre
tablette ou votre ordinateur peuvent être capturées par des personnes malveillantes. Ainsi,
plutôt que de faire une confiance aveugle à ce qui est déployé, mieux vaut redoubler de
vigilance.

Un service VPN (réseau privé virtuel) va vous permettre de sécuriser votre trafic grâce à une
connexion encryptée entre votre ordinateur (privé) ou votre smartphone et le réseau de votre
organisation.

Ce service, comme toutes les solutions VPN (réseau privé virtuel), vous permet de sécuriser
votre navigation, votre trafic et vos données grâce au tunnel qui se crée entre votre PC, tablette
ou smartphone et le serveur VPN. Vos données sont encryptées et donc en sécurité.

Avec eduVPN, grâce à l’utilisation d’un VLAN par organisation. Les données sont isolées des
autres circulant sur le backbone.

A quoi sert eduVPN

Le projet eduVPN vise à fournir une solution VPN Open Source pour les membres de la
communauté éducation-recherche.
Il a été initialement porté et développé en 2014 par le réseau national de la recherche SURFnet
au Pays-Bas. Aujourd’hui, le projet est porté par GÉANT et c’est à travers sa participation aux
projets internationaux que RENATER a rejoint les travaux sur le sujet.
eduVPN permet la mise en place une connexion VPN facilement depuis différents supports
(Windows, Linux, iOS, MacOS, Android). Les utilisateurs peuvent ainsi accéder à Internet ou
au réseau privé de leur établissement via la Fédération d’Identité sans avoir à craindre les
regards indiscrets.
Ces deux scénarios d’utilisation requièrent des déploiements techniquement différents et
répondent à deux besoins distincts, le premier étant de permettre l’accès à Internet en toute
sécurité, tandis que le deuxième vise plutôt l’accès au réseau interne de son établissement.

Les apports du service eduVPN

Pour les utilisateurs finaux :

1. La sécurité des accès et la confidentialité de vos données représentent la principale

plus-value du service eduVPN, puisqu’elle permet aux utilisateurs d’accéder de
manière sécurisée à Internet depuis les réseaux publics qui sont initialement peu
sécurisés.
 2. La facilité d’usage est aussi un critère très important et il facilite l’accès et l’adoption
du service en recourant à différentes applications intuitives et disponibles sur plusieurs
appareils. Une autre fonctionnalité très appréciée par les utilisateurs est la mise en place
d’une interface web qui leur permet de visualiser les différents appareils sur lesquels ils
ont configuré une connexion VPN. Ils ont ainsi la possibilité de révoquer si besoin un
appareil (suite à un vol, ou une perte).
3. L’authentification simplifiée à l’aide des fédérations d’identité et évite que les
utilisateurs n’aient besoin de créer un nouveau compte spécifique au VPN : ils sont
redirigés vers leurs fournisseurs d’identité institutionnels et utilisent ainsi directement
le compte qui leur a été fourni par leur établissement.

Pour les établissements :

Les établissements qui décideraient de déployer eduVPN au sein de leur système d’information
pour donner l’accès à des services internes, bénéficient également de plusieurs avantages,
notamment :

1. Le faible coût de mise en place du service par l’établissement, puisque ce dernier est
basé sur des solutions open-source et dispose de scripts d’installations automatisés pour
la majorité des briques techniques qui le composent ;
2. La sécurité : contrairement à plusieurs solutions VPN, eduVPN a déjà été sujet à
plusieurs audits de sécurité. En 2016 Radically Open Security (ROS) a effectué un audit
de sécurité sur le code source d’eduVPN. Puis en 2017 une vérification du code des
clients Windows a été menée par Fox- IT/NCC group. En 2018 deux autres études ont
été menées, l’une par l’équipe digital security de l’université Radboud également sur le
code source d’eduVPN, et l’autre par projet GÉANT sur le code de l’application
Android. Tous ces audits ont remonté seulement quelques correctifs mineurs qui depuis
ont été appliqués ;
3. L’authentification centralisée : elle apporte une vraie valeur ajoutée au niveau de
l’administration du service. Grâce à la délégation de l’authentification à un fournisseur
d’identité, les administrateurs des VPN ne sont plus en charge de l’approvisionnement
des comptes utilisateurs ni de la gestion des mots de passe ;
4. La délégation des autorisations : les administrateurs du serveur VPN peuvent se fier
aux attributs supplémentaires renvoyés par leur fournisseur d’identité pour octroyer ou
refuser des droits. Ainsi par exemple un étudiant aurait accès à partir de son statut,
uniquement à l’intranet de son établissement et non aux applications de
l’administration. Cette autorisation est donc gérée et octroyée directement depuis
l’annuaire de l’établissement ;
5. La pérennité de la solution : le projet est porté par la communauté internationale
éducation- recherche ; il est donc plus simple de maintenir une solution communément
utilisée par plusieurs établissements ;
6. La mise à jour du service : contrairement à d’autres implémentations VPN, la solution
eduVPN est mise à jour très régulièrement avec des procédures simplifiées et éprouvées
par plusieurs établissements ;
7. L’interface d’administration : elle permet aux administrateurs du service d’avoir
accès via une interface web à la liste des utilisateurs connectés, de manière anonyme et
également la possibilité de révoquer leur accès (si besoin). L’interface propose
également des statistiques d’utilisation en temps réel.
 Architecture de eduVPN

Configuration du serveur eduVPN

On installe le serveur apache

#apt install apache2

1- On donne un nom de domaine a notre machine

# hostnamectl set-hostname [Link]

2- On édite le fichier /etc/hosts

#nano /etc/hosts

3- On passe à l’installation
# apt -y install ca-certificates wget

# wget [Link]

# tar -xzf [Link]

# cd deploy
# ./deploy_debian.sh

A la fin, on aura le message suivant nous donnant l’information sur le compte à utiliser pour
accéder à l’interface d’administration d’ecduVPN :

- [Link]
- User Name: vpn
- User Pass: Atei4eeRoosh
4- On se connecte sur l’interface du serveur vpn pour créer un compte client
Configuration d’admin
# nano /etc/vpn-user-portal/[Link]

root@vpn:/home/mette/deploy# sudo -u www-data vpn-user-portal-account --add mette

Setting password for user "mette"

root@vpn:/home/mette/deploy# systemctl restart apache2

On se connecte avec le compte admin (mette)

Username : mette
Password : passer123

Compte des clients

Client windows
On copie ce code dans fichier
root@vpn:/home/mette# nano [Link]

On copie le fichier au niveau de la machine Windows

Intégration de la machine Windows
On active
Compte clientlinux
# nano [Link]

On copie le fichier clienlinux vers la machine Linux

root@vpn:/home/mette# scp [Link] mette@[Link]:~/

On installe sur la machine cliente Ubuntu le paquet wireguard

root@mette:/home/mette# apt install wireguard

On copie le fichier [Link] dans le dossier /etc/wireguard/

root@mette:/home/mette# cp [Link] /etc/wireguard/

On importe la connexion par la commande :

root@mette:/home/mette# nmcli connection import type wireguard file [Link]

Puis on active la connexion par la commande :

root@mette:/home/mette# nmcli connection up clientlinux

Visualisation des connexions des clients Linux (dan) et Windows (vpn)

Configuration de la connectivité
# sysctl -w net.ipv4.ip_forward=1
# sysctl -w [Link]=1
# sudo iptables -t nat -A POSTROUTING -s [Link]/24 -o eth0 -j MASQUERADE

# ip route show

Configuration machine Windows

Machine Windows

Configuration machine linux

root@mette:/etc/wireguard# nano [Link]
root@mette:/etc/wireguard# wg-quick down clientlinux
root@mette:/etc/wireguard# wg-quick up clientlinux

root@mette:/etc/wireguard# ping [Link]

Gestion de NAS: OpenMediaVault

Openmediavault est la solution de stockage en réseau (NAS) de nouvelle génération basée sur
Debian Linux. Il contient des services comme SSH, (S)FTP, SMB/CIFS, RSync et bien
d'autres prêts à l'emploi. Grâce à la conception modulaire du framework, il peut être amélioré
via des plugins. openmediavault est principalement conçu pour être utilisé dans de petits
bureaux ou des bureaux à domicile, mais ne se limite pas à ces scénarios. Il s’agit d’une
solution prête à l’emploi simple et facile à utiliser qui permettra à chacun d’installer et
d’administrer un stockage en réseau sans connaissances approfondies.
Openmediavault est principalement conçu pour être utilisé dans des environnements
domestiques ou dans de petits bureaux à domicile, mais ne se limite pas à ces scénarios. Il
s'agit d'une solution prête à l'emploi simple et facile à utiliser que tout le monde peut installer
et administrer sans avoir besoin de connaissances expertes en matière de réseaux et de
systèmes de stockage.

Le système est construit sur une conception modulaire et peut être facilement étendu avec des
plugins disponibles juste après l'installation du système de base. Des plugins tiers
supplémentaires sont disponibles via le référentiel OMV-Extras .

Caractéristiques de OpenMediaVault

openmediavault inclut les fonctionnalités clés suivantes :

Cœur
 Basé sur Debian Linux
 Administration basée sur le Web
 Mises à jour faciles du système via la gestion des paquets Debian
 Gestion des utilisateurs
 Travaux planifiés
 Prise en charge multilingue
 Annonce de service via DNS-SD/Zeroconf
 Gestion des certificats
 Système de plugins
La mise en réseau
 Agrégation de liens
 Réveil sur réseau local
 Prise en charge d'IPv6
Gestion des volumes
 Gestion de l'alimentation du disque dur (APM/AAM)
 Partitions GPT
 Prise en charge du système de fichiers EXT3/EXT4/XFS/JFS/Btrfs/…
 Logiciel RAID JBOD/0/1/5/6/…
 Quota (par volume)
 Liste de contrôle d'accès
 Gestion des actions
 Gestion des instantanés des dossiers partagés sur les systèmes de fichiers Btrfs
 Tâches planifiées automatiques pour le nettoyage Btrfs et les contrôles d'erreurs
Surveillance
 Journal système
 Chien de garde
 INTELLIGENT
 SNMP (v1/2c/3) (lecture seule)
 Notifications par email
 Surveillance proactive de l'état des processus et du système
Prestations de service
 SSH
 NFS (v3/v4)
 PME/CIFS
 RSyn
Plugins
Avec le système de plugins, il est possible d'ajouter des services supplémentaires, par
exemple
 Antivirus
 Serveur DAAP/MPD/RSP
 LVM
 Shairport
 SNMP
 FTP
 TFTP
 UPS
 Sauvegarde USB
 Microsoft OneDrive
 PhotoPrisme
 Navigateur de fichiers
 S3
 Console Web SSH

Installation et configuration de base OpenMediaVault

La première étape consiste à télécharger l'image ISO contenant la distribution Linux OMV.
Pour cela, il faut se rendre sur le site officiel :
[Link]

Une fois le téléchargement est fini

Nous allons créer une nouvelle machine

On choisit la RAM
On ajout ISO de openmediavault

On demarre la machine
On choisit la langue
On choisit le pays
On ajout le nom de la machine
Le nom de domaine: local
On ajoute un mot de passe pour le superutilisateur(root)
On choisit la deuxième : /dev/dsa
Continuer

Nous avons l’interface on se connect avec l’utilisateur root et le mot de passe définit lors de
l’installation
Si la configuration et l'administration du NAS sont possibles en lignes de commandes, nous
nous intéresserons ici à la configuration via l'interface web. Sur le message de bienvenue de la
console ci-dessus, on peut d'ailleurs voir l'adresse IP que la machine à récupérer sur le réseau
et qu'il faudra saisir dans un navigateur pour accéder à l'interface web.
IP : [Link]
Nous avons l’interface de openmediavault

Pour se connecter on saisit les identifiants définir par défaut :

Nom d'utilisateur : admin
Mot de passe : openmediavault

Nous avons l’interface

Installation de plugins
 Configuration de RAID

On clique sur stockage, puis sur Multiple Device

Cliquez sur le signe +

On va faire du RAID5, on coche les trois disques

Nous allons créer un système de fichier et monter le RAID5

On clique sur Enregistrer

Valider
Nous allons monter le RAID pour qu’il soit automatiquement monter au démarrage en cliquant
dur Monter

On peut maintenant voir que notre bloque RAID 5, est formaté en EXT4, est en ligne, on voit
la capacité disponible et celle utilisée, sur le point de montage /dev/, le nom du dique md0

Partage
Ensuite, il faut bien évidemment créer des répertoires dans le but de les partager. Cela se passe
dans « Gestion des droits d’accès » puis « Dossiers partagés ». Il suffit de renseigner les champs
avec le nom du dossier partagé, le périphérique sur lequel on va créer ce dossier (dans mon cas,
un seul volume est disponible), le chemin d’accès (on peut créer un dossier à la racine ou au
sein d’un autre dossier), sans oublier de régler les permissions. Le commentaire est optionnel,
mais peut être pratique.
Nous pouvons créer :
Un dossier partage pour les dossier utilisateurs
Un dossier public qui permet à tout le monde de déposer des éléments. C’est pratique pour se
passer un document sans l’envoyer par courriel.
Nous allons maintenant créer le dossier qui hébergera les répertoires personnels !
Voici les trois dossiers

Création des utilisateurs & groupes

Cela se passe dans Utilisateurs. Nous allons créer un user

Cliquez sur Créer
Nous allons renseigner les infos du user

Voici la liste des users

Nous allons lui attribuer les droits sur les dossiers qui lui concernent

Nous allons relier le dossier Répertoires aux users

Ça se passe dans Gestion des utilisateurs > Paramètres

Activer les services

Un NAS étant par principe une machine de partage, il faut maintenant activer les services qui
permettront le partage sur le réseau (et les autres services désirés). Pour cela, rien de plus simple
: il existe la catégorie « Services » dans laquelle, il suffit d’activer ou non le service mentionné.
Vous pouvez activer les services que vous voulez !
PARTAGE DES FICHIER: SMB/CIFS, FTP, NFS

Donc, on va sur >Stockage , >prestation des service

Partage avec Service NFS :

Nous allons configurer : V3, V4, V4.1, V4.2, on peut choir ce qu’on a besoins mais dans
notre cas on coche sur tout ensuite on clique sur >enregistrer
On suite, retourne sur la page précédente pour aller dans >partages:

Cliquant sur +

On déroule la liste et on choisit le dossier partager, en suite on précise le réseau sur le quel
les utilisateurs peuvent accéder directement au, partage, en suite en précise les permissions,
on ajoute , on clique sur > enregistrer.

Service SMB/CIFS :

Même procédure que pour le NFS, dans > parametrre on applique les préférences souhaitées :
Les paramètres : >groupe de travail, et > navigale , on crée un groupe de travail, et on active
> navigable , indique si le partage peut etre vu dans la liste des partages en vue ou liste reseau,
on clique sur > enregistrer, puis on revient sur la page précédente pour aller sur > partages,
pour préciser le partage crée :
Test d’accès utilisateurs :
SUR LA MACHINE Windows :

On renseigne les information d’utilisateur apres ok

Dans fichiers en bas on va sur > Reseau , ensuite on tape sur la barre de navigation on tape :
\\adresse ip de notre openmediavault
Nom : Mette
Mot de passe : Zita7550

L’image nous montre que nous avons l’acces au partage

Machine Linux

Nous deverions installer : sudo apt-get install nfs-common

Créons le Dossier1 dans /mnt

On monte le partage avec la commande :sudo mount –t nfs [Link]:/export/Dossier1

/mnt/Dossier1

On monte le partage dans /etc/fstab :

Avec la commande echo ‘[Link]:/export/Dossier1 /mnt nfs defaults 0 0’ | sudo tee –a
/etc/fstab

Conclusion
Nous avons vu l’importance de openmediavault dans le stockage en réseau(NAS)