|
BTS SIO
Services Informatiques aux Organisations
|
|
Option
|
SISR
|
Session
|
2016
|
MINYAS Fatih
|
Activité professionnelle N°
|
25
|
NATURE DE L'ACTIVITE
|
PPE 4 Supervision du parc et réseau WiFi
|
Contexte
|
Trouver une solution adaptée pour superviser le réseau de la M2L
|
Objectifs
|
Superviser le parc de la M2L afin d’empêcher des problèmes
|
Lieu de réalisation
|
IMC
|
DESCRIPTION DE LA SOLUTION RETENUE
|
Conditions initiales
|
Réseau M2L non supervisé
|
Conditions finales
|
Réseau M2L supervisé
|
Outils utilisés
|
EON
|
CONDITIONS DE REALISATION
|
Matériels
|
VM EON et Seven
|
Logiciels
|
FTP, Interfaces Web de EON
|
Durée
|
|
Contraintes
|
Aucune
|
COMPETENCES MISES EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE
|
|
Participation à un projet d’évolution d’un SI (solution applicative et d’infrastructure portant prioritairement sur le domaine de spécialité du candidat)
Prise en charge d’incidents et de demandes d’assistance liés au domaine de spécialité du candidat
Elaboration de documents relatifs à la production et à la fourniture de services
A1.1.1 , Analyse du cahier des charges d'un service à produire
A1.1.2 , Étude de l'impact de l'intégration d'un service sur le système informatique
A1.1.3 , Étude des exigences liées à la qualité attendue d'un service
A1.2.4 , Détermination des tests nécessaires à la validation d'un service
A1.3.1 , Test d'intégration et d'acceptation d'un service
A1.3.2 , Définition des éléments nécessaires à la continuité d'un service
A1.3.3 , Accompagnement de la mise en place d'un nouveau service
A1.3.4 , Déploiement d'un service
A1.4.1 , Participation à un projet
A2.1.2 , Évaluation et maintien de la qualité d'un service
A2.2.1 , Suivi et résolution d'incidents
A2.2.3 , Réponse à une interruption de service
A2.3.1 , Identification, qualification et évaluation d'un problème
A3.2.1 , Installation et configuration d'éléments d'infrastructure
A3.3.1 , Administration sur site ou à distance des éléments d'un réseau, de serveurs
A3.3.4 , Automatisation des tâches d'administration
|
DEROULEMENT DE L'ACTIVITE
|
MISSION 1.1 : Supervision du Parc Réseau : (ASSAYAG Alexandre)
Pour la supervision du parc nous allons choisir la supervision par EON/Nagios
Serveur de Supervision
NSClient ++
Poste Windows
Nagios
Centreon
Plugin Windows Check_NT
Check_NT
CPU
Memory
Disk
Load
Autres
Routeur/Switch
SNMP
Packet
Routing
IP
Vlan
Ping
Plugin Cisco Check_SNMP
Check_NT
*
Tout d’abord nous allons essayer de comprendre ce qu’est Nagios et Centreon :
Nagios tout d’abord est une application permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes ont des dysfonctionnements et quand ils repassent en fonctionnement normal.
C'est un programme modulaire qui se décompose en trois parties :
Le moteur de l'application qui vient ordonnancer les tâches de supervision.
L'interface web, qui permet d'avoir une vue d'ensemble du système d'information et des possibles anomalies.
Les sondes (appelées greffons ou plugins), une centaine de mini programmes que l'on peut compléter en fonction des besoins de chacun pour superviser chaque service ou ressource disponible sur l'ensemble des ordinateurs ou éléments réseaux du SI.
Centreon est un logiciel de supervision des applications, systèmes et réseaux, basé sur les concepts de Nagios.
Nous allons donc avoir de ses deux logiciels afin de pouvoir superviser ce parc informatique :
Pour les switch et les routeurs à l’aide du plugin Cisco check_snmp.
Mais auparavant il nous faudra les configurer sur le réseau M2L.
Voici donc tout d’abord la configuration du Routeur M2L :
routeur m2l
en
conf t
hostname RM2L
no ip domain-lookup
int fa0/0
ip address 10.0.0.9 255.255.255.252
no shutdown
exit
int fa0/1
no shutdown
exit
int fa0/1.2
encapsulation dot1q 2
ip address 172.16.2.62 255.255.255.192
exit
int fa0/1.99
encapsulation dot1q 99
ip address 172.16.99.30 255.255.255.240
exit
Switch M2L :
en
conf t
hostname SWM2L
no ip domain-lookup
vlan 2
name info
exit
vlan 3
name ADM
exit
vlan 99
name Gestion
exit
int range fa0/1 -3
switchport mode access
switchport access vlan 2
spanning-tree portfast
exit
int fa0/8
switchport mode trunk
exit
int vlan 99
ip address 172.16.99.17 255.255.255.240
no shutdown
exit
ip default-gateway 172.16.99.30
Puis nous allons passer à la config du snmp :
snmp-server community EyesOfNetwork RO
snmp-server host 172.16.2.56 EyesOfNetwork
snmp-server enable traps flash insertion removal
snmp-server enable traps cpu threshold
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps snmp warmstart linkdown linkup coldstart
snmp-server enable traps ospf state-change
snmp-server enable traps config
snmp-server enable traps config-copy
end
Sous Windows -> Panneau de config -> Programme & fonctionnalité
SNMP doit savoir dans quel domaine se trouve le serveur : le
domaine est appelé Communauté. Toute machine n’appartenant
pas à la communauté ne sera pas visible par le manager. Une
communauté doit avoir des droits pour lire ou écrire dans un objet
OID.
Pour configurer l’agent SNMP double click sur service SNMP
Redémarrer le service
Onglet sécurité -> config @IP du manager 172.6.2.56
Droits -> RO (Read Only)
Nom de la communauté -> EyesOfNetwork
La création de l’hote va permettre de rendre cette surveillance plus spécifiquement on va pouvoir à partir de Nagios voir quel routeur ou switch ne remonte pas.
On va également pouvoir voir si telle ou telle poste ping grâce a des templates nottament GENERAL HOST.
Mission 1.2 (Système/Réseau) WIFI et sécurisation :
Dans le cadre de la préparation d'une infrastructure WIFI permettant le déploiement de programmes événementiels pour les ligues qui le demandent ou toute autre projet ponctuel, l'administrateur a décidé de refondre son réseau WIFI. Aujourd’hui ce réseau est dédié aux personnels de l’association et des ligues. Pour assurer la couverture de manifestations qui accueillerait un public externe, il est nécessaire de fournir à ce public un accès à Internet tout en conservant le service nomade pour le personnel M2L. L’administrateur a donc décidé de créer sur le point d’accès WIFI un nouveau réseau distinct du réseau actuel réservé au personnel et non sécurisé permettant ainsi au public de bénéficier de l’accessibilité Internet. Le réseau est constitué d’un point d’accès WIFI Cisco Aironet 1200 qui assure la couverture des postes nomades tout confondu et l’interconnexion avec le réseau filaire et d’un commutateur qui fera le lien entre les accès routeur Internet et réseau interne.
La mission consiste à mettre en place un prototype de cette solution informatique nomade. Le point d’accès doit assurer la gestion des postes par le plan d’adresse IP qui sera appliqué à chaque sous réseau (DHCP) et par le filtrage du trafic sur les VLAN (en local ou via authentification). La solution prototypée devra comporter :
La création des sous réseaux SSID WIFI avec l’application des consignes de base de sécurité sur ces sous réseaux,
une séparation des deux réseaux Wifi en VLAN,
la gestion de l'accès internet. Le public et personnel M2L accèdent à Internet (filtrage), la mise en place du service de DHCP par le point d’accès pour les 2 sous réseaux,
L’isolation des 2 réseaux par le biais d’une sécurisation (Filtrage local ou authentification Radius). Seuls les personnels M2L et Ligues peuvent accéder au réseau interne privé.
Réseaux Wi-Fi :
Les réseaux Wi-Fi est un réseau distribué, c’est-à-dire qu’il partage la bande passante entre tous les postes intégrées aux réseaux. Chaque poste s’intègre dans le réseau par une négociation avec le contrôleur Wi-Fi (procédure de négociation) Normalisation techniques : La Wi-Fi est un standard règlementé par 3 organismes internationaux :
- IEEE : institute electronical electronics engineer (802.11 ; 802.11a ; 802.11b …) 802.11b : Premier réseaux Wi-Fi industrialisé, débit : 11mbit/s jusqu’à 300 metre en condition idéal. 802.11g : La plus utilisé aujourd’hui, débit : 54mbit/s jusqu’à 100 mètre avec bande ISM. 802.11n : Avec débits de 300mbit/s avec couverture de 100 mètres, Bande UNII.
- WECA: wireless Ethernet compability alliance (interopérabilité entre les équipements répondant aux normes ci-dessus)
- ETSI : europeen telecomunication standards institut (standards offrant les débits 10/20mbits ou 54mbits)
Le sans fils WIFI utilise les ondes radio électriques, plusieurs technologies existe selon la fréquence d’émission, le débit et la portée des transmissions :
- Bande ISM 2.4Ghz pour une bande passante max de 84 Mhz
- Bande U-NII 5.4Ghz pour une bande passante de 300 Mhz
Architecture Wi-Fi :
3 composants sont mis en œuvre dans un réseau Wi-Fi :
- Un poste mobile qui négocie avec le contrôleur son insertion dans le réseau Wi-Fi ;
- La borne Wi-Fi qui réalise le relayage du signal produit par le contrôleur (peut réaliser un pont entre 2 réseaux filaires) ;
- Points d’accès Wi-Fi qui représente le contrôleur et réalise la fonction de routage entre réseau radio et filaire.
3 topologies de réseau Wi-Fi :
- Mode infrastructure : 1 point d’accès WIFI ajouté a un réseau filaire
- Mode Bridge : 2 points d’accès WIFI pour rôle de passerelle transparente entre deux réseaux locaux
- Mode Add’hoc : réseaux privée WiFi de postes.
Le réseau radio :
La Bande passante du réseau radio est découpé en 14 canaux (de 20mhz) dont 1 non utilisé.
Procédure d’accès au réseau :
Un réseau radio est un réseau partagé, il y a donc plusieurs machines. Afin d'éviter des conflits d’accès il y a une procédure d’accès au réseau radio. Un réseau radio est identifié par plusieurs paramètre : fréquence de travail (canaux de transmissions), la bande utilisé (ISM ou Unii) et le nom du réseau (SSID) et enfin le mode de sécurisation (WiFi Protected Access).
Cette procédure se passe en trois étapes :
Processus de sondage (poste mobile se synchronise avec le contrôle WiFi.
Processus d'identification (mdp plus demande d'acceptation).
Procédure d'association récupération des paramètres réseau et entré dans la trames WiFi.
Sécurité du réseau :
Stratégies de sécurité : reseau ouvert, pas de sécurité, filtrage par adresse mac, ne pas diffuser le nom du reseau SSID, sécurité WEP WPA WPA2, authentification RADIUS, limiter la puissance du signal WiFi.
Configuration :
1. Branchement:
- Matériel : switch, routeur, point d’accée wifi,
- Câbles Ethernets PA-switch (fa0/1) ;
-PC-switch (fa0/2) ; switch-routeur
2. Point d’accès (SSID, VLAN, Sécurité cryptage et clé wifi, config dhcp) :
- Sur interface web, express security : configuration des SSID PERSONNEL et PUBLIC, activer le mode diffusion sur le SSID PUBLIC (pour qu’il soit visible et non le SSID PERSONNEL pour plus de sécurité).
- Ensuite dans le menu security, il configurer le mode d’encryptions de la communication, activer le mode cipher AES CCMP*.
- Ouvrir le SSID manager et configurer les modes de clé, la clé utiliser pour la wifi PERSONNEL*
- Toujours dans la l’interface graphique de configuration de la borne WIFI, configuration des 2 étendues (172.16.101.0 /28 et 172.16.100.0/24 ; DNS-server 172.16.2.61)
3. Configuration du switch (VLAN, trunk routeur-switch) :
- Création des VLANs (100) PUBLIC et (101)PERSONNEL,
- Affectation d’une adresse IP au VLANs ensuite il faut affecter les ports au VLANs,
- Activer le trunk switch-routeur et switch-PA.
- Vérifier les configurations avec un show vlan (ou show conf)
4. Configuration routeur : encapsulation ; acl ; (étendu) ; OSPF (routage des 2 vlans)
- Affectation des adresse ip au sous interfaces pour les VLANs ainsi que le mode d’encapsulation fa0/1.100 et fa0/1.101 (faire un nom logique de là sous interface avec lID du VLAN).
- Routage dynamique des deux VLANs avec OSPF
Adressage ip :
- interface d’administration web de la borne wifi (BV1) : 172.16.99.30 - PC 172.16.99.30 (255.255.255.248)
- Passerelle : 172.16.99.30Test de ping
* En cryptologie, CCMP (Counter-Mode/CBC-Mac protocol) est une méthode de chiffrement définie dans le standard IEEE 802.11i. CCMP gère les clés et l'intégrité des messages. Il s'agit d'une alternative considérée comme plus sûre que TKIP qui est utilisé dans WPA. Aucune faille n'a été découverte à l'heure actuelle (2010) sur ce système basé sur AES.
* WPA : mode personal eddition (WPA2-home ou WPA-PSK) et WPA2 (+authentification)
Configuration du routeur :
Encapsulation :
Router#conf t Router(config)
#interface Fa0/1 Interface physique Fa0/1 Router(config-if)
#no shutdown on active l’interface physique principale Router(config-if)
#exit
Router(config)#interface Fa 0/1.10 sous interface VLAN 10 Router(config-subif)
#encapsulation dot1Q 10 traite les trames 802.1Q pour le vlan 10 Router(config-subif)
#ip address 172.16.10.1 255.255.255.0 affecte une adresse IP passerelle au VLAN 10 PPE 3.2 18
Router(config-subif)#exit
Router(config)#interface Fa0/1.20 sous interface VLAN 20
Router(config-subif)#encapsulation dot1Q 20 traite les trames 802.1Q pour le vlan 20
Router(config-subif)#ip address 172.16.20.1 255.255.255.0 affecte une adresse IP passerelle VLAN 20 Router(config-subif)#exit
Router(config-subif)# end
Dans ce cas, les postes des 3 VLAN sont à même de communiquer entre eux. Si l’on omet de déclarer une des trois sous interfaces, le VLAN correspondant ne sera plus joignable. Configuration avancée du routage dynamique OSPF : OSPF est activé à l’aide de la commande de configuration globale router ospf < id > ou id signifie le N° de l’instance OSPF (plusieurs instance OSPF possibles dans un routeur).
Routeur#conf t Routeur(config)#router ospf 1 processus ospf N° 1 (plusieurs processus possibles) Routeur(config-router) #network 172.16.10.0 0.0.0.255 area 0 réseau + masque inverser Routeur(config-router) #network 172.16.20.0 0.0.0.15 area 0 réseau + masque inverser Routeur(config-router) #network 172.16.30.0 0.0.0.3 area 0 réseau + masque inverser
Routeur(config-router) #end
Le paramètre area désigne la zone de couverture OSPF. Ce paramètre doit être identique sur tous les routeurs d’une même zone. Configuration d’une interface de loopback du routeur :
Routeur(config)#interface loopback 1
Vérification des paramètres OSPF :
Pour vérifier l’ID de routeur en cours, on peut utiliser les commandes suivantes : PPE 3.2 19 Routeur#show ip protocols
Ou bien : Routeur#show ip ospf
Ou encore : Routeur#show ip ospf interface
Configuration des VLAN :
Création de VLAN Pour créer des VLAN, on déclare un numéro logique d’identifiant à chaque VLAN. On affecte aussi un nom associé au numéro du VLAN. Le nom d’un VLAN est optionnel et n’a qu’un caractère administratif.
Switch #conf t Switch(config)#vlan 10 Le VLAN N° 10
Switch(config-vlan) #name VENTES
Switch(config-vlan) #exit uitter le mode de configuration
Switch(config)#vlan 20
Switch(config-vlan) #name TECHNO
Switch(config-vlan) #exit
Affectation de ports aux VLAN :
Un port physique peut être configuré en mode trunk ou en mode access. Un port Trunk véhicule un trafic agrégé c'est-à-dire provenant de plusieurs sources de Vlan. Un port trunk ne peut être raccordé qu’à un autre port Trunk (switch, routeur ou passerelle). Un port access véhicule un trafic ne provenant que d’une seule source VLAN, c’est pourquoi il ne peut être connecté qu’à un poste terminal (poste, serveur, imprimante). Pour affecter des ports à un Vlan, il faut tout d’abord définir le mode du port puis y associer le Vlan. Pour ce qui concerne les ports trunk, il n’y a pas d’affectation de Vlan. Seul le type de port doit être déclaré. Il est possible de restreindre une liste de Vlan autorisés à transmettre sur un port Trunk (commande « trunk allowed »).
Affectation de ports d’accès VLANs :
Switch#conf t
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit
Affectation d’une liste de ports d’accès VLANs :
De la même façon que l’on peut affecter un port à un VLAN, il est possible d’affecter une liste de ports à un VLAN sur une seule ligne de commande.
Switch#conf t
Switch(config)#int range fa 0/2 - 6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#no shutdown force l’activation du port (optionnel)
Switch(config-if-range)#end
Configuration des interfaces physiques en mode Trunk :
Switch#conf t
Switch(config)#int fa 0/1
Switch(config-if)# switchport mode trunk Configuration du mode trunk
Switch(config-if)#end S
Attribution d’une adresse IP de gestion au switch :
Pour administrer un commutateur à distance via une console Telnet ou SSH ou pour accéder au commutateur par un navigateur, vous devez attribuer une adresse IP et un masque de sous réseau au Switch. Cette adresse IP est attribuée sur une interface VLAN crée au titre du Vlan de gestion. On peut ainsi accéder à distance sur le switch en utilisant cette adresse IP.
Switch#conf t
Switch(config)#int vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#exit
Dans l’exemple ci-dessus tout trafic non étiqueté est transféré vers le VLAN 1. Ce type de configuration est spécifiquement utilisé pour le transport du trafic de gestion des commutateurs.
Pour connaître l’ensemble des commandes de visualisation on effectue la commande suivante :
Switch# show ?
Run List access lists
arp Arp table v
lan Vlan information
Configuration des ACL :
Configuration des ACL standards :
La syntaxe d’une commande ACL standard est :
Access-list
La commande suivante :
Router(config)#access-list 20 permit 192.168.16.0 0.0.0.25
Crée une ACL N° 20 qui autorise tout trafic provenant de la source 192.168.16.0 à 192.168.16.255. Le masque inverse 0.0.0.255 indique en réalité un masque de /24 et donc les 256 adresses autorisées.
La commande suivante :
Router(config)#access-list 21 deny 192.168.20.0 0.0.0.127
Indique que la liste 21 n’autorise pas les 128 adresses 192.168.20.0 à 127 à transiter dans le routeur. On peut aussi composer une liste de contrôle qui autorise une partie des adresses d’un réseau à bénéficier des ressources d’accès. Par exemple, la commande suivante :
Router(config)#access-list 10 permit 192.168.16.0 0.0.0.240
Router(config)#access-list 10 deny 192.168.16.0 0.0.0.15
Autorise la plage d’adresses 198.168.16.16 à 192.168.16.240 à utiliser les ressources du réseau.
Application d’une liste d’ACL à une interface :
Après configuration, une liste de contrôle d’accès standard ou étendue doit être attachée à une interface physique pour être effective.
Ceci est réalisé par les commandes suivantes :
R1(config)# interface Fa0/0 Router(config-if)#ip access-group 103 out (filtre les paquets en sortie de l’interface)
Router(config-if)#ip access-group 104 in (filtre les paquets en entrée de l’interface)
Visualisation des listes d’accès :
show access-lists [ number | name ]
Visualise toutes les ACL quelque soit l'interface
show ip access-lists [ number | name ] : visualise les ACL uniquement liés au protocole IP
|
