R´eponse `a l’appel d’offre pour le Rectorat de Toulouse
Romain D´eglise Pierre Hernandez David Labrosse Philippe Martinez Sandra Peraire
Master SIR
Table des mati` eres 1 Introduction 1.1 Description du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Domaine d’intervention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 4 4
2 Centre de calcul 2.1 Architecture . . . . . . . . . . . . . . 2.1.1 Partie Centre de supervision 2.1.2 Rectorat . . . . . . . . . . . . 2.2 Plan d’adressage . . . . . . . . . . . 2.2.1 Strat´egie d’adressage . . . . . 2.2.2 Choix de la classe . . . . . . 2.2.3 Du NAT . . . . . . . . . . . . 2.3 Plan de nommage . . . . . . . . . . . 2.3.1 Strat´egie de nommage . . . . 2.3.2 Choix des identificateurs . . . 2.4 Serveurs . . . . . . . . . . . . . . . . 2.4.1 Web . . . . . . . . . . . . . . 2.4.2 DNS . . . . . . . . . . . . . . 2.4.3 Mail . . . . . . . . . . . . . . 2.4.4 SUS . . . . . . . . . . . . . . 2.5 Administration ` a distance . . . . . . 2.5.1 Administrateurs . . . . . . . 2.5.2 SNMP . . . . . . . . . . . . . 2.5.3 VPN . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
4 4 4 5 6 6 6 7 7 7 7 7 7 7 7 8 8 8 8 8
3 Ecole Mallam´ e 3.1 Architecture LAN . . . . . . . . 3.1.1 Besoins . . . . . . . . . . 3.1.2 Choix . . . . . . . . . . . 3.2 S´ecurit´e - Infrastuctures logiques 3.2.1 Zones et Flux . . . . . . . 3.2.2 Robustesse . . . . . . . . 3.3 Serveurs . . . . . . . . . . . . . . 3.3.1 Le serveur DNS . . . . . . 3.3.2 Le serveur DHCP . . . . . 3.3.3 Le serveur Mail . . . . . . 3.3.4 Le serveur d’application . 3.3.5 Le serveur de biblioth`eque 3.3.6 Le serveur administratif . 3.3.7 Le serveur LDAP . . . . . 3.3.8 Le serveur de fichier . . . 3.4 Clients . . . . . . . . . . . . . . . 3.4.1 Besoins . . . . . . . . . . 3.4.2 Choix . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
9 9 9 9 13 13 13 13 13 13 14 14 14 14 14 14 14 14 14
. . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
4 Conclusion
15
A Annexe I : Plans du site Mallam´ e
16 2
B Annexe II : Plan d’adressage B.1 Centre de Supervision . . . B.2 Backbone . . . . . . . . . . B.3 Concentrateurs R´egionaux . B.4 Segments R´egionaux . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
18 18 19 19 19
C Annexe III : Mat´ eriel C.1 Equipements . . . . C.1.1 Aile 5 Ouest C.1.2 Aile 5 Est . . C.1.3 Aile 4 Ouest C.1.4 Aile 4 Est . . C.1.5 Aile 3 Est . . C.1.6 Aile 2 Est . . C.1.7 Aile 1 . . . . C.1.8 Bˆatiment P.E C.1.9 Pr´efabriqu´e . C.2 Cˆables . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
21 21 21 21 21 21 21 21 22 22 22 22
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
3
1
Introduction
1.1
Description du projet
Le Rectorat de Toulouse veut mettre en place un r´eseau qui reliera toutes les entit´es de son acad´emie. Celui-ci se compose d’un si`ege (Centre de Calcul), o` u se trouvent les administrateurs et les mat´eriels de supervision ; de 3 concentrateurs r´egionaux (Centre de Calcul, Centre de Service, Michelet) assurant la liaison de Backbone ; ainsi que d’´ecoles prises en charge par chaque concentrateur.
1.2
Domaine d’intervention
Outre le si`ege du Rectorat et la partie Backbone, nous nous sommes int´eress´es `a l’Ecole Mallam´e. Celle-ci fait partie du nœud (concentrateur r´egional) ”Michelet”. Nous avons ´etudi´e les besoins exprim´es dans l’appel d’offre et nous avons cherch´e et mis en place des solutions efficaces et adapt´ees `a ceux-ci. Nous proposons ´egalement des solutions alternatives ou compl´ementaires `a certains probl`emes, qu’ils soient actuels en vue d’optimisation ou potentiels en vue d’´evolutivit´e.
2
Centre de calcul
Cˆ ot´ e Ext´ erieur Le Rectorat sera connect´e `a l’Internet via un portail. Toutes les requˆetes entrantes et sortantes du Rectorat vers l’ext´erieur passeront par un Firewall. Cˆ ot´ e Rectorat Le r´eseau du Rectorat est consid´er´e comme une zone autonome. Nous avons donc mis en place des solutions compl`etes et ´evolutives pour assurer la connectivit´e et les services attendus.
2.1 2.1.1
Architecture Partie Centre de supervision
Comme le montre le sch´ema, toutes les connections Internet <=> Rectorat passent par le Firewall. Ceci pour des raisons ´evidentes de s´ecurit´e. Par d´efaut seules les requˆetes sur les ports des services pr´esents `a ce niveau (Web, Mail) sont autoris´ees `a entrer. De plus, les r´eponses aux requˆetes ´emises (acc`es Internet) seront ´egalement autoris´ees `a revenir. Derri`ere ce Firewall, nous trouvons, isol´e du r´eseau interne, le serveur Web Apache. Aucun serveur Web ne pourra ˆetre install´e ailleurs que sur le port 80 du Firewall au si`ege, ces serveurs repr´esentant les mat´eriels les plus susceptibles de menacer la s´ecurit´e du r´eseau de part leur accessibilit´e totale. Chaque ´ecole poss`ede son propre serveur DNS. Nous pla¸cons ` a ce niveau le serveur de domaine (DNS) du Rectorat. Chaque ´ecole poss`ede son propre serveur mail postfix. Le serveur Mail pr´esent ici re¸cevra les requˆetes venant de l’ext´erieur sur le port 110 (POP3), via le Firewall. 4
Fig. 1 – Sch´ema du Centre de supervision
Dans un soucis d’optimisation du lien Internet et de contrˆole de l’´evolution des syst`emes, nous recommandons l’int´egration d’un serveur SUS. 2.1.2
Rectorat
L’architecture interne du Rectorat s’articule autour des 3 concentrateurs r´egionaux. Chacun d’entre eux supporte ` a l’origine onze ´ecoles ainsi qu’un si`ege (Maison de la Culture dans le cas de Michelet). Ces concentrateurs sont des routeurs multiports. Les liens entre les concentrateurs r´egionaux sont 5 lignes lou´ees E1 type TRANSFIX de d´ebit unitaire 2048kbit/s. Une ligne de ce type est utilis´ee entre les concentrateurs et chaque ´ecole. Nous d´etaillerons plus loin les protocoles de routage mis en place entre ces diff´erents ´equipements. 5
Fig. 2 – Sch´ema du Backbone
2.2 2.2.1
Plan d’adressage Strat´ egie d’adressage
Nous avons un maximum de 325 postes clients ainsi que des serveurs sur chaque site. Nous pr´evoyons de cr´eer autant de sous-r´eseau que de segments sur l’ensemble du Rectorat. Cela repr´esente donc 33 ´ecoles, 2 sites aux niveaux des concentrateurs r´egionaux du Centre de Calcul et du Centre de Service, 3 segments de Backbone ainsi que la partie des serveurs entre le Firewall et le coeur du r´eseau. De plus, pour des raisons de s´ecurit´e, le serveur Web sera sur son propre sous-r´eseau. Nous n´ecessitons donc un minimum de 40 sous-r´eseaux. Il est `a pr´eciser qu’une migration vers IPv6 dans les 5 `a 10 ans est un fait tr`es probable et envisageable, la strat´egie d’adressage ´etablie aujourd’hui doit donc supporter les ´eventuelles ´evolutions du r´eseau durant cette p´eriode. 2.2.2
Choix de la classe
Compte-tenu des contraintes cit´ees pr´ec´edemment nous choisissons une adresse de classe B. Sur les 16 bits disponibles pour adresser les hˆotes nous empruntons 6 bits pour cr´eer nos sous-r´eseaux (6 bits = 62 sous-r´eseaux possibles). Nous avons donc 10 bits pour les hˆotes de 6
chaque sous-r´eseau soit 1022 possibles. Cette configuration permet d’anticiper sur un agrandissement de parc dans chaque ´ecole (1022 adresses disponibles pour 325 machines actuellement), de supporter des connections itin´erantes (nomades autoris´es) et mˆeme l’affiliation de nouveaux sites (40 sous-r´eseaux utilis´es sur 62 disponibles). 2.2.3
Du NAT
La solution retenue pour l’adressage du r´eseau est une adresse de classe B priv´ee autoris´ee (172.16.0.0), pour des raisons de r´eductions des coˆ uts, attendu que les besoins exprim´es ne n´ecessitaient pas que les machines du Rectorat soit existantes pour l’Internet (IP publiques). Le fournisseur d’acc`es Internet attribuera donc une adresse Ip au Rectorat et le Firewall qui la recevra impl´ementera la technologie NAT pour la correspondance IP publique - adresse priv´ee. Cette technologie pr´esente, outre un avantage de transparence pour les utilisateurs du r´eseau priv´e, une s´ecurisation accrue des acc`es au r´eseau, ceux-ci ´etant contrˆol´es directement au niveau du Firewall d’entr´ee.
2.3 2.3.1
Plan de nommage Strat´ egie de nommage
Pour des raisons de maintenance et de respect des normes nous devons d´efinir une strat´egie de nommage adapt´ee ` a notre r´eseau. Les serveurs DNS se chageant d’indexer les diff´erents sites, nos machines doivent avoir un nom unique sur leur sous-domaine. Les serveurs se verront attribuer un (ou plusieurs) nom(s) de machine correspondant `a leur(s) fonction(s). 2.3.2
Choix des identificateurs
Compte-tenu de ce qui pr´ec`ede concernant l’adressage, un choix de 3 caract`eres alphab´etiques pour nommer les machines semble suffisant (263 =17576).
2.4 2.4.1
Serveurs Web
Celui-ci h´ebergera les pages de toutes les entit´es (´ecoles, services,...) du Rectorat. On peut envisager d’installer plusieurs serveurs Web `a ce niveau. 2.4.2
DNS
Il est charg´e de r´esoudre les sous-domaines. Il re¸coit les requˆetes des serveurs DNS de sites. 2.4.3
Mail
Le serveur Mail re¸cevra les requˆetes venant de l’ext´erieur sur le port 110 (POP3), via le Firewall, et se chargera de dispatcher les courriers `a destination des serveurs Mails d’´ecoles. ProcMail et SpamAssassin seront install´es sur ce serveur afin de filtrer les spams. 7
2.4.4
SUS
Ce serveur t´el´echarge automatiquement les mises `a jour des applications Microsoft sur le serveur Windows Update et permet la s´election par l’administrateur des mises `a jour disponibles pour l’ensemble du domaine. Un serveur IIS est install´e sur ce serveur.
2.5 2.5.1
Administration ` a distance Administrateurs
L’administration se fera, pour la plupart des manipulations, `a distance. Les mots de passe administrateurs seront g´er´es au niveau de la base des administrateurs du centre de calcul. Les hˆotes r´egionaux d’administration auront la connaissance de ceux de la zone qu’ils administrent. Tous les rapports d’intervention seront regroup´es au niveau d’une base de donn´ee situ´ee au centre de calcul et accessible `a l’ensemble des administrateurs. La configuration de tous les routeurs sera stock´ee sur un serveur tftp (appartenant `a la VLAN serveurs), lui aussi situ´e au centre de calcul. 2.5.2
SNMP
Un agent SNMP avec extension RMON sera install´e sur chaque ´equipement actif du r´eseau (switchs et routeurs) ansi que sur les serveurs Mail et Web. Ils permettront une expertise ais´ee de l’ensemble du r´eseau depuis l’hˆote maˆıtre d’administration r´eseau. Les informations seront r´ecup´er´ees par le serveur d’administration au centre de calcul. Ces informations seront analys´ees grˆ ace au logiciel Zabbix, avec une surveillance en temps r´eel de l’activit´e r´eseau. 2.5.3
VPN
La mise en place des VPN permettra d’administrer de mani`ere securis´ee l’ensemble des serveurs (mˆeme ceux situ´e ` a l’int´erieur des LAN militaris´es) depuis le centre d’administration.
8
3
Ecole Mallam´ e
3.1 3.1.1
Architecture LAN Besoins
Apr`es l’´etude de la topologie du site de Mallam´e et sachant que l’existant est nul au niveau du cˆablage, nous avons d´ecid´e de mettre en place une organisation du cˆablage qui suivra une topologie en ”´etoile ´etendue”, ceci en minimisant les points de coupure entre les ressources et les prises terminales. On a donc une topologie du type ”´etoile ´etendue” qui est compos´ee d’un local technique principal (MDF) et de plusieurs locaux techniques secondaires (IDF), interconnect´es par des liaisons appel´ees ”distribution verticale”. L’architecture se d´ecompose en 2 ensembles : ”distribution horizontale” et ”distribution verticale”, repr´esentant respectivement les liaisons entre la prise terminale et le local technique et la liaison entre les locaux techniques secondaires (IDF) et le local technique primaire(MDF). La ”distribution horizontale” est compos´ee d’un ensemble de cˆables 4 paires de cat´egorie 6 classe E reliant les postes de travail locaux aux sous r´epartiteurs dont ils d´ependent. La longueur des branches ne d´epasse pas 90 m`etres (+ 10 m de cordons).Cette architecture respecte les sp´ecifications impos´ees par la norme ISO 11801 et la norme TIA/EIA 568-A. La ”distribution verticale” est compos´ee de cˆables `a fibre optique 6 brins car ils supportent le transport des applications ` a tr`es haut d´ebit sur une distance de 500 m`etres (gigabit sur 50/125µ). De plus le cˆ ablage vertical de batiment choisi est conforme aux sp´ecifications de la classe optique de fonctionnement et aux caract´eristiques des composants optiques. L’ensemble de ces distributions aboutira dans des locaux techniques `a des baies de brassage dimensionn´ees pour recevoir une ´eventuelle extension et des ´el´ements actifs. L’installation doit pouvoir s’adapter aux applications futures qui demandent une bande passante d´edi´ee. 3.1.2
Choix
Nous avons choisis un syst`eme de cˆablage homog`ene, c’est-`a-dire que les chaˆınes de liaisons (cˆables, connectique, cordons de brassage) seront r´ealis´ees avec des composants d’un seul et mˆeme constructeur afin que le mat´eriel soit compatible et pour garantir les performances et la p´erennit´e du cˆ ablage. Notre choix s’est tourn´e vers une infrastructure de micro segmentation afin de r´epondre aux exigences des applications futures (VoIP) qui demandent une bande passante d´edi´ee. De plus cette infrastructure permet de cibler une panne plus rapidement. Le local technique principal (MDF) et la salle des serveurs Afin de respecter les normes, il est n´ecessaire d’effectuer des modifications de la structure du bˆatiment. La salle machine et le MDF, pour des raisons de commodit´e et de s´ecurit´e, seront s´epar´es par une cloison. Une porte permettra l’acc`es entre les deux salles. L’acc`es `a la salle des serveurs sera s´ecuris´e grˆace `a une porte blind´ee avec serrure 3 points. L’acc`es entre la salle des serveurs et le MDF sera aussi s´ecuris´e. Il se situe au niveau de l’aile 3 Ouest pr`es de l’arriv´ee du POP. Sa surface est de 40m2 et il fera office de IDF pour ce bˆ atiment. Il sera ´equip´e d’un faux plafond, la hauteur sous plafond sera de 2,50 m. Le local est ´equip´e de chemins de cˆables compartiment´es. Une climatisation est install´ee afin de maintenir la temp´erature entre 10 et 35 degr´es Celsius. L’installation d’un ´eclairage conforme est pr´evue. 9
Fig. 3 – Sch´ema de l’Ecole Mallam´e
Une ligne t´el´ephonique ainsi que diff´erents points d’acc`es sont install´es afin de faciliter les interventions du technicien. Toutes les adaptations n´ecessaires afin de respecter les normes incendie, de s´ecurit´e, la pose de support anti-poussi`ere et antistatique sont prises `a notre charge. La peinture utilis´ee sera de type ignifuge. Des travaux seront r´ealis´es afin d’adapter l’installation ´electrique `a la puissance totale (environ 2500 Watts + 30% de marge) de tous les ´equipements install´es (les serveurs, climatisation, routeur, switch). Composition du MDF : Le MDF constitue le point central de raccordement du cˆablage LAN, il est donc primordial de faire une s´election judicieuse du mat´eriel. Le routeur choisi est un Cisco 7100 Series supportant 10 interfaces FO et 12 (7 utilis´e pour la connexion vers les serveurs) interface Gigabit Ethernet. Ce MDF remplissant les fonctions d’IDF pour l’aile 3 Ouest, il est n´ecessaire d’ajouter un switch 48 ports FastEthernet qui sera directement reli´e au routeur (cf. Annexe pour plus d’information sur ses caract´eristiques). Composition de la salle des serveurs : Cette salle sera compos´ee de 7 serveurs qui r´ealisent 8 fonctions diff´erentes. Pour plus d’informations sur la configuration des serveurs, vous pouvez consultez l’Annexe. 10
Fig. 4 – Sch´ema d’une baie de brassage MDF
Les serveurs administratif, biblioth`eque, mail, application, DNS et DHCP se situent dans la zone DMZ. Les locaux techniques secondaires (IDF) Ces locaux reprendront les sp´ecifications de normes et de s´ecurit´e du MDF appliqu´ees `a leur architecture particuli`ere. Liste des IDF du site de Mallam´e et leur surface respective : – IDF n◦ 1 Aile 5 Ouest : 18 m2 – IDF n◦ 2 Aile 5 Est : 15 m2 – IDF n◦ 3 Aile 4 Ouest : 12 m2 – IDF n◦ 4 Aile 4 est : 12 m2 – IDF n◦ 5 Aile 3 Est : 12 m2 – IDF n◦ 6 Aile 2 Est : 9 m2 – IDF n◦ 7 Aile 1 : 10 m2 – IDF n◦ 8 Bˆatiment P.E. : 15 m2 – IDF n◦ 9 Bˆatiment Pr´efabriqu´e : 9 m2 11
Chaque IDF a pour fonction de regrouper tous les flux provenant des machines du bˆatiment et de les rediriger vers le MDF via la fibre optique (cf Annexe pour les informations techniques des switchs).
Fig. 5 – Sch´ema d’une baie de brassage IDF Les r´ epartiteurs Ils seront compos´es de baies ferm´ees (selon le nombre de prises et d’´equipements), correctement ventil´ees (19 pouces, 800x800, de 41 unit´es de hauteur au minimum) recevant les panneaux de brassage du cˆ ablage capillaire, les ´equipements actifs informatiques et les d´eparts de rocades cuivres et optiques (cf Annexe pour les informations techniques sur les baies de brassage). Les cordons de raccordement Afin de faciliter l’´evolution et la maintenance ult´erieure, les cordons sont tous identiques au niveau des caract´eristiques techniques. De plus ils auront une couleur diff´erente des cordons de distributions. 12
D´efinition de la politique d’´etiquetage : Les cˆables crois´es utilis´es pour raccorder les switchs entre eux sont de couleur bleus et portent la marque X. La fibre optique Ce cˆ ablage est mis en place pour assurer les liaisons de distributions f´ed´eratrices entre le MDF et les IDF du site quand la longueur de cˆable reliant les r´epartiteurs est sup´erieure ` a 90 m`etres. Nous avons choisis une fibre optique multimodes 62,5/125 `a gradient d’indice. Elle est conforme `a la recommandation G.651. D´efinition de la politique d’´etiquetage : Un chiffre correspond `a un IDF Exemple : ”2” correspond ` a la fibre optique qui relie le MDF au IDF num´ero 2 (c’est-`a-dire ` a celui de l’aile 5 Est, cf plan du site). Les cˆ ables RJ 45 Ce cˆ ablage est mis en place pour assurer les liaisons de distributions ` a l’usage des r´eseaux informatiques entre les IDF ou MDF et les prises terminales dans chaque salle. D´efinition de la politique d’´etiquetage : Une lettre correspondant `a la salle du bˆatiment et un num´ero qui correspond ` a la prise terminale dans la salle. Exemple : ”A12” signifie la douzi`eme prise de la salle A du bˆatiment consid´er´e. De plus nous mettons en place un codage couleur pour identifier encore plus facilement les prises qui correspondent aux groupes Administration, Etudiant et Serveur.
3.2 3.2.1
S´ ecurit´ e - Infrastuctures logiques Zones et Flux
Avec la micro-segmentation, le domaine de collision est limit´e `a une seule machine. C’est un gage de performance garantie et de s´ecurit´e accrue. Aucune connexion au LAN ne sera admise sauf celle venant de l’administration du r´eseau. Cette connexion est r´ealis´ee grˆ ace ` a une connexion s´ecuris´ee de type VPN. Les serveurs accessibles depuis l’ext´erieur de fa¸con transparente seront le serveur de nom et le serveur de Mail. 3.2.2
Robustesse
Un syst`eme de redondance (RAID 5) sera mis en place sur tous les serveurs. Des sauvegarde (incr´ementielle sur disque et totale sur bande) seront effectu´ees sur le serveur de fichiers de mani`ere imp´erative.
3.3 3.3.1
Serveurs Le serveur DNS
Il est charg´e de r´esoudre les noms de machines dans son sous domaine ou, par d´efaut, d’interroger le DNS de domaine. Le syst`eme d’exploitation est bas´e sur GNU/Debian. 3.3.2
Le serveur DHCP
Attribue de mani`ere fixe une adresse IP aux machines fixes et dynamique aux itin´erants autoris´es.Le syst`eme d’exploitation est bas´e sur GNU/Debian. 13
3.3.3
Le serveur Mail
Re¸coit les mails du Serveur Mail de Domaine et les stocke en vue d’extraction par le destinataire. L’antivirus Amavis sera associ´e ` a Postfix.Le syst`eme d’exploitation est bas´e sur GNU/Debian. 3.3.4
Le serveur d’application
L’´ecole pourra y stocker ses applications afin de permettre une administration plus simple. Les applications lourdes tels que la suite ”Microsoft Office” seront install´ees sur chaque client. L’installaton sur des serveurs d’applications, mˆeme en employant la technique de Load Balancing, n’est pas viable pour un parc de plus de 200 machines. Le syst`eme d’exploitation est bas´e sur Windows 2003 Server. 3.3.5
Le serveur de biblioth` eque
Syt`eme automatis´e d’extraction et de recherche d’information.Le syst`eme d’exploitation est bas´e sur GNU/Debian et une base de donn´ees Mysql. 3.3.6
Le serveur administratif
H´eberge les fonctions de suivi des ´etudiants et aussi les autres fonctions administratives.Le syst`eme d’exploitation est bas´e sur GNU/Debian et une base de donn´ees Mysql. 3.3.7
Le serveur LDAP
C’est un annuaire utilis´e pour l’authentification des utilisateurs lors de l’ouverture de session. C’est un standard ouvert qui permet de supporter des bases h´et´erog`ene. Il pourra s’interfacer avec un serveur Cisco CallManager indispensable a` la mise en place de la VoIP. Peut ´eventuellement supporter un syst`eme de badge... Le syst`eme d’exploitation est bas´e sur GNU/Debian. 3.3.8
Le serveur de fichier
Il stocke les profils des utilisateurs. Des quotas seront instaur´es sur ce serveur et il sera dimensionn´e en fonction de ceux-ci et du nombre d’utilisateurs.Le syst`eme d’exploitation est bas´e sur Windows 2003 Server.
3.4 3.4.1
Clients Besoins
Les utilisateurs doivent pouvoir ˆetre en mesure d’utiliser l’ensemble des applications situ´ees sur le serveur d’applications ainsi que celles de la suite Office. Chaque membre doit pouvoir acc´eder `a son compte depuis n’importe quel ordinateur de son groupe (Administration/Professeur, El`eve). Il ne doit pas ˆetre en mesure d’ex´ecuter des applications qui mettraient en p´eril l’int´egrit´e du r´eseau du Rectorat. 3.4.2
Choix
La configuration mat´erielle des ordinateurs de l’administration, des ´etudiants et des professeurs est identique. L’administration en est simplifi´ee. Cette configuration est donn´ee en annexe. Thunderbird comme client mail sera install´es par d´efaut. Le niveau de s´ecurit´e de cet outil est 14
sup´erieur aux outils propri´etaires Microsoft. On g`ere les comptes utilisateurs du domaine grˆace `a l’outil Utilisateurs et Ordinateurs d’Active Directory. Le droit d’ex´ecution de programmes ´etrangers sera d´esactiv´e sur tous les clients. Les macros ne seront autoris´ees que sur les machines administrations et professeurs. Les profils de l’administration seront locaux tandis que les profils ´el`eves et professeur seront itin´erants.
4
Conclusion
Le cˆablage du site de Mallam´e repr´esente un fort investissement. La prestation de service, que nous proposons, est orient´ee vers l’avenir. Certaines options absentes du cahier des charges peuvent ˆetre int´eressantes pour l’avenir du site. La mise en place de mat´eriel compatible avec la technologie de voix sur IP ainsi qu’un syst`eme de pr´e-cˆablage pour une extension Wi-Fi sont des points forts pour le futur car ce sont des technologies ´emergeantes. Le r´eseau que nous vous proposons est totalement compatible avec ces technologies. Si vous le souhaitez et si notre dossier vous a convaincu, il nous sera toujours possible d’en rediscuter pour une impl´ementation ´eventuelle.
15
A
Annexe I : Plans du site Mallam´ e
Vous trouverez dans cette annexe les plans de l’Ecole puis des d´etails par bˆatiment. Les passages de cˆ ables et de fibres sont mentionn´es ainsi que les IDF, MDF et la salle des Serveurs.
Fig. 6 – Sch´ema d’ensemble
16
Fig. 7 – Sch´ema des Ailes 1 et 2
17
Fig. 8 – Sch´ema de l’Aile 3 et du Pr´efabriqu´e
Fig. 9 – Sch´ema des Ailes 4, 5 et du P.E.
B B.1
Annexe II : Plan d’adressage Centre de Supervision
Un sous-r´eseau est r´eserv´e au serveur Web, en liaison avec un port du Routeur-Firewall d’entr´ee : 172.16.4.0/30 18
Un sous-r´eseau sur lequel seront tous les autres serveurs du Centre, en liaison avec un port du Routeur-Firewall d’entr´ee et avec le Concentrateur R´egional du Centre de Calcul (CC) : 172.16.8.0/29
B.2
Backbone
Un sous-r´eseau par liaison de Backbone. Entre le Concentrateur R´egional du CC et le Concentrateur R´egional du Centre de Service (CS) : 172.16.12.0/30 Entre le CC et le Concentrateur R´egional de Michelet (MI) : 172.16.16.0/30 Entre le CS et le MI : 172.16.20.0/30
B.3
Concentrateurs R´ egionaux
Un sous-r´eseau est attribu´e au segment des machines de chaque Site R´egional. Entre le CC et les locaux administratifs du Centre de Calcul (75 machines) : 172.16.24.0/25 Entre le CS et les locaux administratifs du Centre de Service (75 machines) : 172.16.28.0/25
B.4
Segments R´ egionaux
Un sous-r´eseau est attribu´e ` a chaque segment entre un Concentrateur R´egional et une Ecole. CC CC CC CC CC CC CC CC CC CC CC
-
Montesquieu : 172.16.32.0/22 Bel Air : 172.16.36.0/22 Malesherbes : 172.16.40.0/22 Paul Val´ery : 172.16.44.0/22 Toulouse : 172.16.48.0/22 Claude Bernard : 172.52.28.0/22 Louis Legrand : 172.16.56.0/22 Diderot : 172.16.60.0/22 Belleville : 172.16.64.0/22 Charcot : 172.16.68.0/22 Chaillot : 172.16.72.0/22
CS CS CS CS CS CS CS CS CS CS CS
-
Les Quatre Vents : 172.16.76.0/22 Acacia : 172.16.80.0/22 Duhamel : 172.16.84.0/22 Maisonneuve : 172.16.88.0/22 La Cascade : 172.16.92.0/22 Beau Soleil : 172.16.96.0/22 Lamartine : 172.16.100.0/22 Azur : 172.16.104.0/22 Gambetta : 172.16.108.0/22 La Plaine : 172.16.112.0/22 Herriot : 172.16.116.0/22
MI MI MI MI
-
Ren´e Masson : 172.16.120.0/22 Le Marais : 172.16.124.0/22 La Forˆet : 172.16.128.0/22 Les Pins : 172.16.132.0/22 19
MI MI MI MI MI MI MI
-
Dugommier : 172.16.136.0/22 Saint-Loup : 172.16.140.0/22 Dujardin : 172.16.144.0/22 Les Marronniers : 172.16.148.0/22 Passy : 172.16.152.0/22 Les Lilas : 172.16.156.0/22 Mallam´e : 172.16.160.0/22
20
C
Annexe III : Mat´ eriel
C.1
Equipements
C.1.1 – – – – – –
Prise en charge 100 prises terminales 1 Baie de brassage 800*800*41 U 2 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.2 – – – – – –
Aile 4 Est
Prise en charge 125 prises terminales 1 Baie de brassage 800*800*41 U 3 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.5 – – – – –
Aile 4 Ouest
Prise en charge 100 prises terminales 1 Baie de brassage 800*800*41 U 2 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.4 – – – – –
Aile 5 Est
Prise en charge 100 prises terminales 1 Baie de brassage 800*800*41 U 2 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.3 – – – – –
Aile 5 Ouest
Aile 3 Est
Prise en charge 125 prises terminales 1 Baie de brassage 800*800*41 U 3 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.6
Aile 2 Est
– Prise en charge 150 prises terminales – 1 Baie de brassage 800*800*41 U – 3 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 21
– 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) – 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) – 4 cordons de raccordement RJ 45 blind´es cat´egorie 6 C.1.7 – – – – –
Prise en charge 275 prises terminales 1 Baie de brassage 800*800*41 U 6 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 6 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.8 – – – – – –
C.2
Bˆ atiment P.E
Prise en charge 100 prises terminales 1 Baie de brassage 800*800*41 U 2 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 3 cordons de raccordement RJ 45 blind´es cat´egorie 6
C.1.9 – – – – – –
Aile 1
Pr´ efabriqu´ e
Prise en charge 50 prises terminales 1 Baie de brassage 800*800*41 U 1 Switch 48 ports (ref Cisco Catalyst 3750-48T-S) 1 Switch 24 ports (ref Cisco Catalyst 3750-24T-S) 1 Switch f´ed´erateur + carte avec ports optique (ref Cisco Catalyst 4948-S) 2 cordons de raccordement RJ 45 blind´es cat´egorie 6
Cˆ ables
Longueur totale de cˆ ables verticaux (fibre optique) Ref : Fibre 6 brins multimode 62.5/125 `a gradient d’indice. – Aile 5 Ouest : 101 m – Aile 5 Est : 139 m – Aile 4 Ouest : 71 m – Aile 4 Est : 108 m – Aile 3 Est : 13 m – Aile 2 Est : 54 m – Aile 1 : 62 m – Bˆatiment P.E. : 197m – Pr´efabriqu´e : 156 m Total : 901m Nombres de connecteurs de prises terminales Ref : prise murale cat´egorie 6 blind´e, iso 8877 – Aile 5 Ouest : 100 prises – Aile 5 Est : 100 prises – Aile 4 Ouest : 100 prises – Aile 4 Est : 125 prises 22
– Aile 3 Ouest : 33 prises – Aile 3 Est : 125 prises – Aile 2 Est : 150 prises – Aile 1 : 275 prises – Bˆatiment P.E. : 100 prises – Pr´efabriqu´e : 50 prises Total : 1158 connecteurs Longueur totale de cˆ ables horizontaux (cˆables RJ 45 de cat´egorie 6) Ref : RJ45-RJ 45 droit r´ealis´es avec 4 paires ´ecrant´es, E CABLE CAT 6 FTP SOUPLE GRIS Ame souple pour cordons Cˆable FTP Haute performance, Z´ero Hallog`ene Blindage par recouvrement de 2 paires par un feuillard alu en forme de ”8” 400 Mhz Conducteurs 27 AWG (diam`etre du conducteur : 0,42 mm) – Aile 5 Ouest : 1675 m – Aile 5 Est : 2975 m – Aile 4 Ouest : 1725 m – Aile 4 Est : 4800 m – Aile 3 Ouest : 393 m – Aile 3 Est : 4375 m – Aile 2 Est : 2650 m – Aile 1 : 9450 m – Bˆatiment P.E. :2300 m – Pr´efabriqu´e : 1150 m Total : 31493 m Cˆ ablage capillaire Ref : RJ45-RJ droit 45 r´ealis´es avec 4 paires ´ecrant´es, E CABLE CAT 6 FTP SOUPLE GRIS Ame souple pour cordons Cˆable FTP Haute performance, Z´ero Hallog`ene Blindage par recouvrement de 2 paires par un feuillard alu en forme de ”8” 400 Mhz Conducteurs 27 AWG (diam`etre du conducteur : 0,42 mm) Cordon de brassage Ref : RJ45-RJ crois´e 45 r´ealis´es avec 4 paires ´ecrant´es, E CABLE CAT 6 FTP SOUPLE BLEU Ame souple pour cordons Avec guidage optique Cˆable FTP Haute performance, Z´ero Hallog`ene Blindage par recouvrement de 2 paires par un feuillard alu en forme de ”8” 400 Mhz Conducteurs 27 AWG (diam`etre du conducteur : 0,42 mm)
23