Mise en place d'une infrastructure rseau CISCO pour le support de l'accs des postes clients (Laptop; Desktop; Tlphones

IP) avec qualit de service et monitoring.

JUIN 2010

Nicaise Thomas
3ime TI C

Je voudrais adresser mes remerciements les plus profonds tous ceux et celles qui mont permis de mener bien ce travail. Tout dabord, Monsieur B. Rasmont, Network & Security Consultant, qui ma introduit et accompagn dans les implantations Trasys Woluw, Hoeilaart, Gosselies et m'a donn l'opportunit dintgrer l'quipe et de grer les rseaux. Merci la team network de lentreprise Trasys Hoeilaart qui a toujours t l'coute et qui m'a fourni toute la documentation ncessaire la ralisation du projet. Merci mon promoteur, Monsieur F. Triquet, de mavoir suivi et encadr pendant toute la dure de mon stage.

-2-

Sommaire
1. Prsentation de l'entreprise ........................................................................................................... - 5 1.1.Introduction .............................................................................................................................. - 5 1.2. Prsentation du projet ............................................................................................................. - 8 1.3.Remarque.................................................................................................................................. - 9 2.Rappels thoriques ........................................................................................................................ - 10 2.1.Quelques notions rseau ........................................................................................................ - 10 2.1.1. Modle OSI...................................................................................................................... - 10 2.1.2. Adresse IP........................................................................................................................ - 11 2.1.3. Masque de sous-rseau .................................................................................................. - 11 2.1.4. Paquet ............................................................................................................................. - 11 2.1.5. Adresse MAC ................................................................................................................... - 12 2.1.6. 2.1.7. 2.1.8. 2.1.9. 2.1.10. 2.1.11. VLAN .......................................................................................................................... - 12 IOS ............................................................................................................................. - 13 BPDU ......................................................................................................................... - 13 UDP........................................................................................................................... - 13 TCP ............................................................................................................................ - 13 Kerberos .................................................................................................................... - 13 -

2.1.12. Rseau LAN ................................................................................................................... - 14 2.1.13. Rseau WAN ................................................................................................................. - 14 2.1.14. Tempte de broadcast .................................................................................................. - 14 2.2. Equipements rseau .............................................................................................................. - 14 2.2.1. Hubs ................................................................................................................................ - 14 2.2.2. Switchs ............................................................................................................................ - 14 2.2.3. Routeurs .......................................................................................................................... - 15 2.3. Diffrents types dattaques .............................................................................................. - 15 -

2.3.1. ARP Spoofing/ARP Poisoning .......................................................................................... - 15 2.3.2. MAC Flooding .................................................................................................................. - 16 2.3.3. Solution ........................................................................................................................... - 17 3. Situation rseau ............................................................................................................................ - 17 3.1. Chez Tractebel Engineering \Trasys( Woluw) ................................................................... - 19 3.2. Chez Trasys Hoeilaart ........................................................................................................ - 21 -

-3-

3.3.

Chez Trasys Gosselies........................................................................................................ - 22 -

4. Partie Switchs .......................................................................................................................... - 25 4.1. Le protocole spanning-tree (STP) .......................................................................................... - 25 4.2. Le protocole VTP ................................................................................................................... - 28 4.3. Le storm-control..................................................................................................................... - 29 4.4. Multiprotocol Label Switching (MPLS) ................................................................................... - 30 4.5. TACACS (Terminal Access Controller Access-Control System) ............................................... - 31 4.6. Port-security........................................................................................................................... - 32 4.7. DHCP snooping....................................................................................................................... - 34 5. Partie Scurit ............................................................................................................................... - 35 5.1. Configuration de base pour la scurit .................................................................................. - 35 5.2. 5.3. VMPS ................................................................................................................................. - 38 NTP (Network Time Protocol) .......................................................................................... - 38 -

6. Partie VoIP (Voice over IP) ............................................................................................................ - 39 6.1. Introduction ...................................................................................................................... - 39 -

6.2. Situation rseau .................................................................................................................... - 41 6.3. Description du projet ............................................................................................................. - 44 6.4. Point de vue nergie ............................................................................................................. - 44 6.5. AutoQoS/QoS .................................................................................................................... - 46 -

7. IOS (Internetwork Operating System) .......................................................................................... - 47 8. Monitoring rseau ........................................................................................................................ - 48 8.1. 8.2. 8.3. 8.4. 8.5. Cacti................................................................................................................................... - 49 Open NMS ......................................................................................................................... - 50 WireShark.......................................................................................................................... - 51 Nagios................................................................................................................................ - 52 IP SLA (Service Level Agreements) .................................................................................... - 53 -

9. Difficults rencontres .................................................................................................................. - 54 10. Evolutions possibles .................................................................................................................... - 56 11. Ce que le stage m'a apport ....................................................................................................... - 57 12. Conclusions ................................................................................................................................. - 58 13. Bibliographie ............................................................................................................................... - 59 14. Symboles ..................................................................................................................................... - 60 -

-4-

1. Prsentation de l'entreprise

1.1.Introduction
Trasys est une socit belge de services informatiques. La socit a t cre en 1981 par Tractebel. Elle emploie actuellement plus de 600 personnes dans diffrents siges en Belgique (Hoeilaart, Woluw,Gosselies) et branches internationales au Luxembourg ( Strassen), au Royaume-Uni ( Londres), en France ( Paris), en Espagne ( Elche) et en Grce ( Athnes). Trasys est active via un large spectre de services et de comptences (consultance, ralisation de projets, oprations d'infrastructures informatiques) dans les marchs privs et publics et en particulier dans les organisations internationales (Europarl, Euro Control, Emea, ), l'industrie (Alstom, Arcelor, ), les services d'utilit publique (SNCB, le FOREM, ), le secteur nergtique (Electrabel, Suez, Elia, ), le secteur pharmaceutique et chimique (GSK, 3M, Solvay) et le secteur financier (Dexia, ING, KBC, Fortis, AXA, ). En 2008, Trasys a ralis un chiffre d'affaires de prs de 70 millions d'euros. Trasys est divis en plusieurs secteurs. Il existe une team rseau (team dans laquelle je ralise mon stage), une team Windows, une team Linux, une personne spcialise en Firewall, une autre personne spcialise en VoIP et enfin une autre personne spcialise en virtualisation (Vmware)... Bien entendu, certaines personnes font partie de plusieurs teams en mme temps selon les spcialits de chacun. Lentreprise dispose galement de la certification ISO 9001 garantissant une gestion de qualit pour les clients. Cette certification est gre en interne par le QMS (Quality Management Services). I existe en effet, un contrle chaque tape du projet pour pouvoir suivre lvolution et de garantir un produit final qui correspond aux attentes du client.

-5-

Ci-dessous, un aperu des activits par services et par secteurs :

Chaque service est spar en sous-catgories :

-6-

Je travaille dans la division Operational Services, section DAM (Design, Architecture & Migration UNIT). Mr. Rasmont Benot est mon matre de stage. Objectifs dans lquipe : Avoir lesprit dquipe o tous les membres sefforcent la russite des autres autant que pour eux-mmes. Solidarit quand tout le monde est prt prendre la responsabilit active dans la ralisation dun projet avec succs ou non succs. Gestion et mise en place des firewalls1 Conception et ralisation de solution VPN2 et infrastructures Internet (serveurs web, serveurs de messagerie, ...) Apport dune expertise en rseau. Design, scurit, fiabilit. Rdaction doffres pour les diffrents services rseau.

1 2

En Franais : pare-feu. Protge des intrusions rseau. VPN : Virtual Private Network, rseau priv virtuel

-7-

1.2. Prsentation du projet

Le but de mon stage est de renouveler les quipements rseau dans lentreprise. Il est divis en 2 parties : La partie switchs3 La partie tlphonie/Voice Over IP

Ma premire mission consiste remplacer tous les switchs en fin de vie (Cisco 3548XL) se trouvant chez Tractebel Engineering\Trasys ( Woluw), chez Trasys Hoeilaart et chez Trasys Gosselies par les nouveaux switchs (Cisco 3560v2). Les modles sont : Ancien switch : Cisco 3548XL

Nouveau switch : Cisco 3560v2

Pour la politique du cycle de vie de Cisco, on garanti un support de 5 ans sur tous les produits matriels avec logiciel embarqu (par exemple un switch avec IOS4). Aprs 5 ans, Cisco nintervient pas sil y a un problme. Il faut donc remplacer lquipement tous les 5 ans si on veut avoir un support de Cisco. Ces switchs sont end-of-support depuis 2007. Cela fait donc 3 ans quils ne sont plus sous garantie. Il tait donc primordial de penser les remplacer. Cette partie a plusieurs objectifs : Le remplacement va permettre davoir une garantie en cas de panne sur le matriel. Doit ajouter une couche supplmentaire de scurit pour rsoudre les problmes de stabilit du rseau. Va permettre dalimenter les tlphones grce au PoE5. Va permettre dajouter un systme de priorit pour la tlphonie.

3 4

Dfinition 2.2.2. Switchs Dfinition 2.1.7. IOS 5 PoE : Power over Ethernet

-8-

Pour ce faire, je dispose de la configuration des anciens switchs, de mes connaissances Cisco, du guide sur la scurit des switchs de la NSA6, et du guide Cisco sur les diffrentes commandes disponibles pour les nouveaux switchs. La deuxime partie de ma mission se compose : Dune mise jour de la version 4 du serveur tlphonie Call Manager (Cisco) par la version 7. Cette mise jour implique le remplacement du serveur existant et donc de repartir de 0 pour la configuration et linstallation. Du remplacement des tlphones physique par des tlphones software (softphone). Du remplacement des voice-gateway (passerelle tlphonie) par des nouveaux modles identique aux prcdents.

Celle-ci a plusieurs objectifs : Mettre fin au contrat de Leasing. En effet, les quipements (serveurs, tlphones, chargeurs, casques,) sont lous et dj amortis depuis plusieurs annes et cotent donc normment dargent. Le but est donc de possder du matriel propre eux. La centrale tlphonique (Cisco Unified Communication) va sintgrer aux serveurs Windows. Ajouts de plusieurs fonctionnalits : voice mail, remote destination (transfert dappels vers GSM, tlphone fixe ou autre). Economie dnergie et gain en productivit en remplaant les tlphones physique par des softphones.

Pour raliser ces objectifs, je dispose l'ancienne configuration des voice-gateway, de plusieurs tlphones (pour effectuer des tests de tlphonie) et enfin, de la documentation Cisco. Je commencerai par un bref rappel thorique sur les diffrentes notions que je juge importante dans la comprhension de mon travail. Ces notions font partie des bases de la formation CCNA7 de chez Cisco. Ensuite, je prsenterai l'architecture rseau dans les diffrents sites pour pouvoir enfin vous prsenter la configuration des switchs (premiere partie du projet). Je poursuivrai par la seconde partie de mon projet, la partie Voice over IP. Je terminerai par l'IOS et enfin par les diffrents outils de monitoring suivi de la conclusion.

1.3.Remarque
Certaines informations comme le n des VLANs8, les adresses IP9 seront remplaces par des XXX. Ces informations sont strictement confidentielles et cest la raison pour laquelle elles ne seront pas divulgues.

6 7

Rfrence voir 5.1. Configuration de base sur la scurit CCNA : Cisco Certified Network Associate. Document de rfrence : 12. Bibliographie 8 Dfinition 2.1.6. VLAN 9 Dfinition 2.1.2. Adresse IP

-9-

2.Rappels thoriques
2.1.Quelques notions rseau
2.1.1. Modle OSI Le modle OSI 10 a t mis en place par l'ISO11 afin de standardiser les communications. Le principe de base du modle OSI est la description des rseaux sous forme dun ensemble de couches superposes les unes aux autres. Les couches sont organises de la manire suivante :

Le but d'un systme en couches est de sparer les problmes en diffrentes parties selon leur niveau d'abstraction. Deux systmes ouverts communiquent entre eux par leurs couches homologues et chaque couche du modle communique avec ses couches adjacentes. Lorsquune couche suprieure veut parler avec sa couche adjacente, elle doit utiliser le mme langage de cette dernire. Lopration visant la traduction de la donne transmettre sappelle lencapsulation. Chaque couche utilise ainsi les services des couches infrieures et en fournit celle de niveau suprieur.

10 11

Open Systems Interconnection International Organisation for Standardization

- 10 -

2.1.2. Adresse IP Chaque ordinateur connect en rseau dispose dune adresse IP. Les adresses IP sous la norme IPv412 sont des nombres codes sur 32 bits13. Afin de faciliter les critures, on a recours la notation en base 10 de ces nombres en sparant les 32 bits en 4 groupes de 8 bits. En notation dcimale, chaque nombre peut donc aller de 0 255. 2.1.3. Masque de sous-rseau A toute IP est associe un masque de sous rseau cod de la mme manire. Ce masque de sous rseau permet de dlimiter la plage dadresse du segment. Pour appartenir au mme segment, on peut uniquement faire varier les bits de ladresse IP pour lesquels les bits du masque de sous rseau sont 0.
Exemple Supposons une adresse IP : 192.168.1.1 A cette une adresse IP est associ le masque de sous rseau 255.255.255.0. Nous obtenons alors en binaire : Comme adresse IP : Comme masque de sous-rseau : 11000000.10101000.00000001.00000001 11111111.11111111.11111111.00000000

Pour appartenir au mme segment, on ne peut alors faire varier que le dernier groupe de chiffres de ladresse IP. En notation dcimale, cela revient dire quil faudra toujours au moins tre en 192.168.1.X pour appartenir ce rseau. On utilisera souvent un raccourci dcriture qui indique le nombre de bits, en commenant par les bits de poids forts, 1 dans le masque de sous rseau. Dans ce cas, 192.168.1.1/24.

2.1.4. Paquet
Afin de transmettre un message d'une machine une autre sur un rseau, celui-ci est dcoup en plusieurs paquets transmis sparment. Le paquet est li au niveau 3 du modle OSI.

12 13

: Norme qui tend tre remplace par IPv6 (compos de 128 bits contre 32 pour lIPv4) : Le bit est un chiffre binaire, c'est--dire 0 ou 1.

- 11 -

2.1.5. Adresse MAC

Ladresse MAC est un identifiant physique stock dans une carte ou une interface rseau. Elle est attribue par le constructeur de lquipement. Normalement il est impossible de changer son adresse MAC. Il existe toutefois certains logiciels qui permettent de le faire. Une adresse MAC est constitue de 6 octets14 et est gnralement reprsente sous la forme hexadcimale en sparant les octets par un double point ou un tiret. Il existe potentiellement 248 adresses MAC possible (environ 281 000 milliards). Il est donc impossible de se retrouver avec un doublon sur le rseau. Cette adresse fait partie de la couche 2 du modle OSI.

2.1.6. VLAN

Un VLAN est un rseau informatique logique. Peut-importe la situation gographique sur le rseau, les machines peuvent communiquer comme si elles taient sur le mme segment. Ce qui signifie que les messages de diffusion mis par une machine dun VLAN ne sont reus que par les machines appartenant au mme VLAN.
14

1 octet = 8 bits donc 6 octets = 48 bits

- 12 -

2.1.7. IOS
LIOS est le systme dexploitation se trouvant sur la plupart des quipements Cisco. Il est compos dune interface en ligne de commande15 accessible via telnet, port srie (via le port console se situant larrire du switch/routeur) ou ssh. On peut galement y accder via une interface web.

2.1.8. BPDU
Bridge Protocol Data Unit Protocole de contrle des bridges (ponts) qui filtre les paquets circulant sur le rseau. Les BPDU sont changs entre les switchs/ponts rgulirement (toutes les 2 secondes) et permettent de dterminer la topologie de rseau avant dchanger les donnes.

2.1.9.

UDP
User Datagram Protocol

Ce protocole fait partie de la couche 4 du modle OSI. Il ne possde pas de contrle des donnes. Il nest donc pas possible de savoir si les paquets sont arrivs destination. Ce protocole est soit utilis pour transmettre rapidement des donnes et o la perte des donnes nest pas de grande importance, soit de transmettre des donnes en petites quantits.

2.1.10.

TCP

Transmission Control Protocol Ce protocole fait galement partie de la couche 4 du modle OSI. Ce protocole est plus fiable que lUDP car il dispose dun mcanisme de contrle. On est donc certain que les paquets arrivent destination. Il est utilis pour donner prfrence aux applications en temps-rel plutt que la fiabilit.

2.1.11.

Kerberos

Kerberos est un protocole dauthentification rseau cr par le MIT16. La particularit de ce protocole est quil utilise un systme de tickets au lieu de faire circuler les mots de passe en clair (c..d. en non crypt) sur le rseau. Ceci permet donc des personnes non autorises de pouvoir intercepter les mots de passe des utilisateurs.

15 16

CLI = Command Line Interface Massachusetts Institute of Technology

- 13 -

2.1.12. Rseau LAN

LAN signifie en anglais Local Area Network. Cest un ensemble dappareils TCP/IP (pc, Laptop, tlphone IP, imprimante,) connects entre eux en rseau et qui forment une petite aire gographique appele LAN.

2.1.13. Rseau WAN

WAN signifie en anglais Wide Area Network. Autrement dit, cest un rseau informatique couvrant une grande aire gographique. Le plus grand rseau WAN est internet.

2.1.14. Tempte de broadcast

Broadcast signifie diffuser . Un broadcast est un message envoy lensemble des machines du rseau (au sein du mme vlan). Une tempte de broadcast, cest une panne rseau qui se produit gnralement lorsquil y a une boucle rseau.

2.2. Equipements rseau

2.2.1. Hubs
Un hub (en franais : rptiteur) a pour rle damplifier le signal et de le retransmettre sur tous les ports. Cet quipement pose problme au niveau du renvoi de donnes. Une personne mal intentionne connecte au hub peut recevoir tout le trafic des machines connectes celles-ci et donc obtenir des informations sur les autres machines. Un autre problme est que plus il y a dappareils connects, plus le risque de collision augmente et plus la vitesse du rseau diminue. De plus, les hubs sont tous half-Duplex17. Ils appartiennent la couche 1 du modle OSI.

2.2.2. Switchs
Un switch (en franais : commutateur) est un appareil appartenant la couche 2 du modle OSI.

17

Pas dmission/rception en mme temps. - 14 -

Cest un appareil comportant plusieurs ports Ethernet. A la diffrence du hub, il ne renvoie pas le trafic sur toutes les interfaces. Il utilise les adresses MAC pour diriger les donnes.

2.2.3. Routeurs
Un routeur est un appareil appartenant la couche 3 du modle OSI. Il comporte plusieurs ports Ethernet. Il utilise les adresses IP pour diriger les donnes. Le routeur est utilis pour assurer le routage des paquets. Son rle est de faire transiter les paquets dune interface rseau vers une autre selon un ensemble de rgles formant sa table de routage.

2.3.

Diffrents types dattaques

2.3.1. ARP Spoofing/ARP Poisoning

ARP est un protocole permettant de traduire une adresse IP en une adresse MAC. Ce protocole se situe donc entre la couche 3 et la couche 2 du modle OSI. Pour amliorer le temps de rponse et limiter lutilisation du rseau, les switchs mettent a jour leur cache ARP a chaque fois quils reoivent une rponse, mme sils ne lon pas demand : ce qui veut dire quun pirate envoyant un message ARP a lordinateur B disant lordinateur C a mon Adresse MAC recevra ensuite tous les messages qui devraient normalement tre dlivrs a cet ordinateur C.

Petite mise en situation : - 15 -

(Jai simplifi les adresses MAC pour une meilleure lisibilit) Un utilisateur A : Adresse MAC : 00:00:00:00:00:10 Adresse IP : 192.168.0.10 Un utilisateur B : Adresse MAC : 00:00:00:00:00:20 Adresse IP : 192.168.0.20 Un hacker Adresse MAC : 00:00:00:00:00:30 Adresse IP : 192.168.0.30

A laide dun logiciel, Le pirate annonce lutilisateur B que 192.168.0.10 est ladresse MAC : 00:00:00:00:00:30 Il annonce galement A que 192.168.0.20 est ladresse MAC : 00:00:00:00:00:30 En dautres termes, il dit B quil est A et il dit A quil est B. Une fois quil se retrouve au milieu (ce type dattaque porte aussi le nom de man-in-themiddle), il peut usurper une adresse IP, couter les flux ou les corrompre ou bloquer le trafic.

2.3.2. MAC Flooding

Cette technique a pour but de transformer un switch en simple Hub. Le but est videment dobtenir tout ce qui passe sur le rseau. Lorsque les Switchs sont surchargs, ils passent en mode hub pour viter de traiter les donnes. Le passage en mode hub implique que toutes les donnes sont envoyes (broadcastes) sur tous les ports.

- 16 -

Si les donnes sont broadcastes, un hacker pourrait donc se connecter au switch, capturer tout le trafic, y compris le trafic tlphonique pour le re-muler et en couter le contenu. 2.3.3. Solution Pour Cisco, la solution est simple, il existe la commande switchport security qui permet de nautoriser quun certain nombre dadresses MAC. De plus, une fois les adresses MAC fixes, elles ne peuvent plus changer dendroit (endans les 2 minutes). Cette commande corrige les failles de scurit de lARP spoofing et du mac flooding. Linconvnient de cette commande est que si quelquun veut se dplacer se connecter autre part, cela ne marchera pas, cela va bloquer la porte car switchport security nautorise pas le mac move c..d. le dplacement dadresses MAC sur dautres portes.

3. Situation rseau
Ci-dessous, un schma du rseau belge et international de lentreprise. Les sites de Hoeilaart et Woluw disposent de 2 routeurs pour la redondance. Le remplacement de ces switchs doit permettre galement dapporter un renforcement de la scurit : correction des failles de scurit en mettant jour lIOS18 protection contre les serveurs DHCP non connus protection des portes en fixant un nombre maximum dadresses MAC19 protection des temptes de broadcast20 protection contre les boucles rseau (suite lajout dun microswitch par exemple).

Jai galement cr des macros pour pouvoir faciliter ladministration et la configuration des switchs. Les diffrents sites sont relis entre eux via une socit externe nomme COLT. COLT est un des principaux fournisseurs de solutions tlcoms et hbergement pour les entreprises en Europe. Spcialiste des services donnes, voix et des services manags destins aux petites et moyennes entreprises, grands comptes, oprateurs et fournisseurs de services, COLT compte plus de 50 000 clients dans tous les secteurs de lindustrie. La socit a dploy et supervise un rseau de 20 000 kilomtres, couvrant 13 pays, incluant des rseaux urbains dans 34 grandes villes dEurope, 14 000 btiments connects en fibre optique et 18 centres dhbergement ( data centres ) COLT.

18 19

Dfinition 2.1.7. IOS Dfinition 2.1.5. Adresse MAC 20 Dfinition 2.1.14. Tempte de broadcast

- 17 -

- 18 -

3.1. Chez Tractebel Engineering \Trasys( Woluw)

Le btiment de Tractebel Engineering contient plusieurs autres entreprises dont notamment la socit Trasys. Le datacenter de Trasys et Tractebel se trouvent galement dans ce btiment. Lentreprise dispose de minimum 2 switchs et de maximum 3 switchs par aile de btiment (+1 de spare en cas de panne). Le btiment tant relativement vaste, le nombre de switchs remplacer est estim 53. Le nombre de personnes est estim 1200. Mais comme ce sont des switchs 48 ports, on peut monter jusque 2544 personnes21. Les ordinateurs sont connects aux tlphones Cisco. Lattribution des VLANS seffectue dynamiquement via le serveur VMPS22. Un problme du serveur VMPS est quon ne pourra pas utiliser la commande switchport security (cf 2.3.3) car elle est incompatible avec lattribution de VLAN dynamique. Nous avons donc une configuration qui ressemble ceci : interface range FastEthernet0/1 - 48 switchport mode access switchport access vlan dynamic switchport nonegotiate storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown storm-control action trap spanning-tree portfast spanning-tree bpduguard enable interface range GigabitEthernet0/1 - 2 description trunk23 interface switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate udld port aggressive mls qos trust cos auto qos voip trust storm-control broadcast level 80.00 storm-control multicast level 80.00 spanning-tree portfast disable spanning-tree bpdufilter disable spanning-tree bpduguard disable spanning-tree guard loop ip dhcp snooping trust
21 22

Un port pour une personne, 48 ports x 53 switchs = 2544 Jexpliquerai plus en dtails plus loin (5.2. VMPS) 23 Un trunk permet de faire passer plusieurs vlans dans une interface.

- 19 -

Schma par tages

- 20 -

3.2.

Chez Trasys Hoeilaart

Il ny a pas de grand changement par rapport linstallation de Woluw. Il y a 2 switchs par tage, des tlphones Cisco IP phone, etc... Il y a 8 switchs remplacer : 2 dans la salle serveur au sous-sol 2 au rez-de-chausse 2 au premier tage 2 au second tage Il y a environ 230 personnes occupes sur ce site. Il ne faut donc pas beaucoup de switchs. La migration de ces switchs sest faite la mme semaine qu Gosselies. Etant Gosselies, lIOS des nouveaux switchs de Hoeilaart a t mis jour et configur par un autre membre de lquipe. A mon retour, jai donc eu pour mission de vrifier ces configurations. Jai constat quelques erreurs mais sans gravit. Une fois la configuration effectue, nous avons pu mettre ces nouveaux switchs dans les racks et cbler. La configuration ressemble ceci : interface FastEthernet0/1 switchport access vlan XXX switchport mode access switchport nonegotiate switchport voice vlan YYY switchport port-security maximum 4 switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity srr-queue bandwidth share 10 10 60 20 priority-queue out mls qos trust cos auto qos voip cisco-phone storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown storm-control action trap spanning-tree portfast spanning-tree bpduguard enable

- 21 -

3.3.

Chez Trasys Gosselies

Il existe 2 salles rseaux : Server room (switchs pour les serveurs) Patching room (switchs pour les tages)

Nous sommes passs de 6 4 switchs. Pour ce faire, nous avons utilis un script sous linux qui nous as permis de voir les portes inutilises ces 3 derniers mois. Ensuite, nous avons utilis la commande sh int status | include connected pour voir les portes utilises. En recoupant ces informations nous avons pu librer les portes inutilises. 40 personnes travaillent Gosselies. Cest la raison pour laquelle il ne faut pas beaucoup de switchs. La documentation tant inexistante, jai commenc par un reprage des numros de bote de sol pour ensuite voir leur connexion dans la salle patching. Il y avait galement 2 HUBs connects en salle serveur. Je les ai remplacs par des switchs Cisco 2950 dans le but de pouvoir faire du monitoring (qui ntait pas possible avec les hubs) et galement dans le but damliorer les performances rseau si possible (de half-duplex full-duplex24), galement pour pouvoir renforcer la scurit (cfr 2.2.1. HUB). Les switchs 2950 ne sont pas tout rcents, ils ne sont donc plus sous contrat de maintenance par Cisco. Jen ai donc configur un en plus dans le cas o un switch viendrait avoir un dfaut technique. Ci-dessous, un schma reprsentant les anciens switchs et leurs interconnexions :

24

Half Duplex : envoi/rception en mme temps impossible, Full Duplex : envoi/rception en mme temps

- 22 -

Aprs nettoyage des portes inactives, voici le nouveau schma :

ELIA 3COM = HUB25

Et enfin un schma plus dtaill...

25

Dfinition 2.1. Hubs

- 23 -

- 24 -

4. Partie Switchs
4.1. Le protocole spanning-tree (STP)
En entreprise, la notion de redondance est couramment utilise. Dans le cas dun switch, la redondance peut poser problme si on nutilise pas ce protocole. En effet, sans celui-ci, cela creerait des boucles rseaux qui engendreraient des temptes de diffusion pouvant paralyser le rseau. Le but de ce protocole est simple. Il calcule le chemin le plus court pour aller dun point A un point B. Ensuite, il bloque les autres ports menant au point B pour viter davoir une boucle. Les ports des switchs sont appels : Root Ports sils sont connects au Root Bridge Designated Ports sils ne sont pas connects au Root Bridge et sils autorisent le trafic circuler Les Non-Designated Ports bloquent le trafic Pendant lexcution de cet algorithme, les messages changs entre les switchs sont appels des BPDU26. En cas de coupure rseau avec le root bridge, le switch recalcule un autre chemin. Le temps ncessaire la convergence est estim +/- 90s. Ci dessous, un exemple de spanning-tree

26

Dfinition 2.1.8. BPDU

- 25 -

Source : http://bitmindframes.info/wp-content/uploads/2008/06/port-roles.png

Chez Trasys, nous utilisons le spanning-tree pvst (par VLAN) ce qui signifie que pour chaque vlan, le protocole spanning-tree est appliqu. Nous utilisons aussi le BPDU27 guard pour la scurit. Explication en schmas28 : Ci dessous, un shma dun rseau utilisant le spanning-tree. En jaune, les Root Ports.

Imaginons le cas quun hacker envoie un BPDU...

27 28

Dfinition 2.1.8. BPDU Traduit de langlais par moi mme : http://www.ciscozine.com/2009/03/17/how-to-protect-against-bpduattack/

- 26 -

Sans le BPDU guard, le hacker devient root bridge et la topologie change :

Il est donc utile de se protger contre ce type dattaque... Nous utilisons galement le spanning-tree portfast car nous avons un serveur DHCP. Sans cette commande, une station va envoyer sa requte et en raison du temps de convergence du STP, nobtiendra pas dadresse IP. Lutilisation de cette commande prsente un risque :

Nous avons configur les switchs comme suit:

Router(config)#spanning-tree mode pvst Router(config)#spanning-tree logging (permettant davoir un log des tats du STP) Router(config)#spanning-tree portfast default Router(config)#spanning-tree portfast bpduguard default Router(config)#spanning-tree etherchannel guard misconfig (en cas de mauvaise configuration, le switch passe en err-disable state) Router(config)#spanning-tree extend system-id (pour active la reduction dadresse MAC) Router(config)#spanning-tree pathcost method long (calcule le chemin long terme)

- 27 -

4.2. Le protocole VTP

Le protocole VTP29 est utilis pour administrer et configurer les VLANS sur des quipements Cisco. Il existe 3 modes : Serveur Client Transparent En mode Serveur, ladministrateur peut changer les informations concernant les VLANS. Une fois, les modifications appliques, celles-ci sont distribues via le domaine VTP travers des liens trunks. En mode Client, on ne peut pas modifier les informations concernant les VLANS. Ils reoivent les informations venant dun switch du domaine en mode serveur et ils distribuent ces informations aux autres switchs connects. En mode transparent, les informations sont locales car elles ne sont pas redistribues aux autres switchs connects. Nous avons aussi utilis le VTP pruning, qui est une amlioration du VTP. Cette amlioration permet dconomiser de la bande passante. En effet, avec cette option, un switch ne va transfrer un autre switch que le trafic dun VLAN qui lintresse. Ci dessous, un exemple du VTP pruning : Sans cette commande, le trafic aurait t distribu au switch C...

Source : http://www.supinfo-projects.com/2005/vlan_vtp/4/nopruning.jpg

29

VTP : Vlan Trunking Protocol

- 28 -

Les commandes que nous avons utilises pour configurer les switchs sont : Switch(config)#vtp domain ariane Switch(config)#vtp version 2 Switch(config)#vtp pruning Switch(config)#vtp mode client

4.3. Le storm-control
Pour protger le rseau LAN contre les temptes de broadcast, nous utilisons le storm control. En fixant une limite pour le trafic broadcast, on permet de dropper 30 les paquets broadcast pendant une certaine priode pour viter davoir un effet tempte... Ci dessous, un exemple...

Le temps T dintervalle est dune seconde

Source : https://www.cisco.com/en/US/i/Other/Software/S5501-6000/s5706.jpg

Nous lavons configur comme ceci : Sur les interfaces FastEthernet : Switch(config-if)# storm-control broadcast level 60.00 Switch(config-if)# storm-control multicast level 60.00 Switch(config-if)# storm-control action shutdown Switch(config-if)# storm-control action trap Sur les interfaces Gigabit(trunk) : Switch(config-if)# storm-control broadcast level 80.00 Switch(config-if)# storm-control multicast level 80.00

30

Proviens de langlais to drop : abandonner, exclure

- 29 -

4.4. Multiprotocol Label Switching (MPLS)

Ce protocole est utilis par la socit COLT qui gre linterconnection avec les diffrents sites Trasys. Nayant pas configur ni vu la configuration du/des routeur(s), je vais donc en expliquer le fonctionnement brivement. Le principe du MPLS est la commutation de labels. Ces labels sont des nombres entiers insrs dans les en-ttes de niveau 2 et 3 (en rfrence au modle OSI). Lavantage est que le routeur na pas besoin de consulter len-tte IP ni sa table de routage pour orienter le paquet. Cette technique est appele le label swapping. Exemple :

Les routeurs MPLS disposent de plusieurs noms : Edge LSR : routeur charg dimposer ou de retirer les labels des paquets IP qui le traversent Ingress LSR : routeur charg dimposer les labels. Egress LSR : routeur charg de retirer les labels.

Ci dessous, un schma reprsentant les diffrents rles cits prcdemment :

Source : http://wapiti.telecom-lille1.eu/commun/ens/peda/options/ST/RIO/pub/exposes/exposesrio2002/Brunet-Suarez/HTML/chapitre1.htm

- 30 -

4.5. TACACS (Terminal Access Controller Access-Control System)

Il existe 2 protocoles pour grer lauthentification : Tacacs et Radius. Tacacs est un protocole propritaire Cisco utilis pour contrler laccs des routeurs et des switchs. Ce protocole est plus complet que le protocole RADIUS :
Tacacs Radius Encrypte uniquement le mot de passe. Le reste est diffus en clair et peut donc tre lu par une tierce partie L'authentication et l'authorization ne sont pas spars. Ce qui rend plus difficile la configuration. Ne supporte pas les protocoles AppleTalk Remote Access, NetBIOS Frame Protocol Control, Novell Asynchronous Services Interface, X.25 PAD connexion. Ne permet pas de manager le routeur en fixant des privilges ou en dfinissant les commandes autorises

packet encryption

Encrypte tout le paquet sauf l'entte

Authentication/Authorization

Spare authentication et authorisation. Permet d'utiliser Kerberos31 pour l'authentication

Protocoles

Supporte de nombreux protocoles

Router Management

Permet d'utiliser 2 mthodes pour le management du routeur. La premire permet d'utiliser des privilges. La 2eme permet de dfinir les commandes autorises pour les users dfinis. Gnre plus de trafic pour l'authentication/Authorization UDP32

Trafic Transport
31 32

Gnre moins de trafic TCP33

Dfinition 2.1.11. Kerberos Definition 2.1.9. UDP 33 Dfinition 2.1.10. TCP

- 31 -

Nous nutilisons pas encore ce protocole mais nous comptons lutiliser dans un futur proche pour permettre de renforcer la scurit. Pour le moment, les VLANS sont attribus en statique (sauf Woluw o les VLANS sont attribus de manire dynamique laide de VMPS). Ce que nous voulons, cest une authentification par certificats pour lattribution de VLANS sur les switchs. Ce qui entranerait plusieurs avantages : Communications cryptes (SSH34). Impossible quun intrus pntre sur le rseau de lentreprise en se connectant sur le rseau. Pour accder au rseau de lentreprise, il faudra possder un certificat.

4.6. Port-security

Source : http://lh5.ggpht.com/_yetUN59Csf8/SpKNWphYlXI/AAAAAAAAACM/xKx31iJs9h4/148494_thumb%5B6%5D.jpg

La commande port-security permet de restreindre le nombre dadresses MAC par port. Ladresse MAC tant un identifiant physique stock dans une carte rseau rseau. Cette commande est applicable sur toutes les interfaces non-trunk ainsi que sur des interfaces nutilisant pas lattribution de vlan dynamique. Ci dessous, quelques commandes que nous avons utilises pour configurer le port-security. Pour activer le port-security : Switch(config)#int fa0/1 Switch(config-if)#switchport port-security

34

Secure Shell

- 32 -

Pour spcifier un nombre maximum daddresses MAC par port. Nous lavons configur en fonction des quipements connects sur les portes : Pour les imprimantes : Switch(config-if)#switchport port-security maximum 1 Pour les salles de runions : Switch(config-if)#switchport port-security maximum 10

Pour le reste (VoIP/Data) : Switch(config-if)#switchport port-security maximum 4 Lorsque le switch dtecte une violation (nombre maximum dadresses MAC dpasses), nous avons le choix entre 3 options : Protect : les trames sont droppes et il ny a aucun message de log. Restrict : les trames venant dadresses non-autorises sont droppes et envoient un message de log. Shutdown :si une trame venant dune adresse non-autorise est dtecte, le port se met en err-disable state et un message de log est cr. Lintervention manuelle est ncssaire pour ractiver le port (shutdown/no shut). Nous avons dcid dutiliser loption shutdown pour que les utilisateurs contactent le service helpdesk en cas de problme. Nous lavons configur comme ceci : Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#switchport port-security aging time 2 signifie que le switch va rafrachir sa table dadresses MAC toutes les 2 minutes. Switch(config-if)#switchport port-security aging type inactivity Ladresse mac (dans la table) est supprime au bout dun certain temps (dfini par le aging time ) seulement s il ny a pas dactivit au niveau de cette adresse.

- 33 -

4.7. DHCP snooping

Source : www.cisco.com

Le protocole DHCP permet de fournir dynamiquement une configuration rseau un ordinateur (ou un tlphone VoIP), dont par exemple une adresse IP pour lui permettre de communiquer sur le rseau. Cependant il est possible quune personne mal intentionne puisse excuter sur son ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations rseaux spcifiques qui serviront des fins malicieuses Cette technique est appelle man in-the- middle. La personne mal intentionne se met entre le serveur DHCP et le client. Il permet donc de faire passer tout le trafic par lui pour ensuite le rediriger via le serveur dhcp. En faisant passer le trafic par lui, il poura accder toutes les informations qui circulent sur le rseau du client. Le dhcp snooping permet de palier ces problmes de scurit. Le fonctionnement est relativement simple. On spcifie les zones de confiance (trusted). Si une personne mal intentionne venait lancer un serveur DHCP, il serait donc dans une zone de non-confiance (untrusted) et le switch bloquerait laccs. Nous lavons configur comme ceci : Switch(config)#interface range GigabitEthernet0/1 2 Switch(config-if)# ip dhcp snooping trust

- 34 -

5. Partie Scurit
5.1. Configuration de base pour la scurit
Pour configurer la scurit des switchs, nous nous sommes bass sur un document de la NSA. Ci-dessous, les recommandations de la NSA35 (en italique) et ce que nous avons fait : Crer et maintenir une politique de scurit. La politique devrait noter qui est autoris se connecter au routeur, qui est autoris le configurer. Pour se connecter au switch, il faut obligatoirement passer par une machine nomme Cactus. Cette machine requiert une authentification nom dutilisateur/mot de passe. On a donc une base de donnes utilisateur. Et on sait qui se connecte quel switch/routeur Garder une copie de toutes les configurations des switchs/routeurs. Lors de chaque modification dun switch ou dun routeur, nous sauvegardons la configuration sur un serveur TFTP sous un nom de fichier qui indique le nom du switch, la date et lheure de la modification. Prvoir des ACL (Access-list) pour autoriser uniquement les protocoles, les ports et les adresses IP qui sont requis par les utilisateurs du rseau. Et bloquer tout le reste. access-list 101 permit tcp host XX.XX.XX.XX host XX.XX.XX.XX eq 22 log-input Utiliser la dernire version IOS Nous navons pas utilis la dernire version IOS. Mais lavant dernire (la 12.2.52) car nous avions dj certains switchs Hoeilaart utilisant cette version. Nous lavons donc utilis dans un cadre duniformisation. Tester la scurit des switchs/routeurs rgulirement et plus particulirement quand des grosses modifications sont effectues. Pour tester la scurit, une socit extrieure effectue un audit chaque anne.

Source : www.nsa.gov
35

Ces recommandations ont t traduites de langlais par moi-mme (cfr 12. Bibliographie)

- 35 -

Arrter les services non ncessaires sur les switchs/routeurs Nous avons arrt les services non ncessaires36 : no service dhcp no service config no service udp-small-servers no service tcp-small-servers no ip domain-lookup no ip finger no ip source-route no ip gratuitous-arps no ip http server no ip http secure-server Dsactiver (shutdown) les interfaces inutilises. Pour les interfaces inutilises, nous les avons dsactives : interface Vlan1 shutdown interface range GigabitEthernet 0/3 - 4 shutdown A Gosselies, dans la salle serveur, nous avons fait encore plus. Nous avons plac les interfaces non inutilises dans un vlan particulier o celui-ci est dsactiv. interface range FastEthernet 0/X - X description ### Unused port ### no ip address switchport access vlan xxx switchport mode access flowcontrol receive off no cdp enable shutdown int vlan xxx shutdown state suspend Mettre des mots de passe sur les interfaces dadministration (line console, line vty, ...). Les mots de passe doivent tre complexes et difficiles deviner. De plus, les mots de passe doivent tre crypts. service password-encryption service sequence-numbers
36

Dtails dans Annexes

- 36 -

Enable secret 5 xxxx 5signifie que le mot de passe est crypt en MD5 Username xxx password 7 xxxx 7 signifie que le mot de passe est encrypt. Configurer la clock (NTP) pour avoir un historique des logs. Pour la clock, rien de plus simple. Nous avons un serveur NTP : ntp peer XX.XX.XX.XX Activer les logs et surveiller les logs de faon voir si on bloque bien les accs et surveiller voir sil y a des erreurs. logging source-interface Vlan XXX logging XX.XX.XX.XX Utiliser les bannires (messages daccueil) pour prvenir linterdiction daccs aux personnes non autorises et du maintien dun historique des modifications effectues. Nous avons configur les bannires : banner exec ^ ********************************************************************* ** ** ** ** ** UNAUTHORISED ACCESS PROHIBITED ** ** YOUR SESSION IS RECORDED ** ** ** ********************************************************************* ^ banner login ^ ** Disconnect IMMEDIATELY if you are not an authorized user! ** ^ Utiliser les options de scurit que CISCO fournit (port-security, storm-control,...) Enfin, nous avons utilis les options de scurit fournies par cisco : switchport port-security switchport port-security maximum 10 switchport port-security violation shutdown switchport port-security aging time 2 switchport port-security aging type inactivity storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown storm-control action trap udld port aggressive (pour les interfaces trunks en fibre optique)

- 37 -

5.2.

VMPS

Source : http://cric.grenoble.cnrs.fr/SiteWebAuthentification/VMPS.jpg

Le serveur VMPS a pour rle dassigner un VLAN en fonction de ladresse MAC. Ce serveur a donc une base de donne regroupant toutes les adresses MAC des tlphones, desktop, laptop et imprimantes sur le rseau. Sur le switch, la configuration se fait comme ceci : Switch(config-if)#switchport access vlan dynamic

5.3.

NTP (Network Time Protocol)

NTP est un protocole qui permet de synchroniser lheure sur des quipements informatique. Ces quipements utilisent des horloges au quartz et elles ont la fcheuse tendance driver au bout dun certain temps (de quelques secondes tous les jours). Cest la raison pour laquelle il est ncessaire de pouvoir les synchroniser auprs dun serveur de temps. De plus, le fait davoir la bonne heure sur les switchs permet de mieux suivre lvolution des messages de logs (historique des vnements). Nous avons configur tous les switchs en mode ntp client : ntp peer XXX.XXX.XXX.XXX
Source : http://www.akadia.com/img/ntp_time.gif

- 38 -

6. Partie VoIP (Voice over IP)

6.1. Introduction

La voix sur IP est une technique permettant de communiquer via le protocole TCP/IP. Chez Trasys, 90% des tlphones sont VoIP. Ces tlphones sont des Cisco IP phone. Ils utilisent le logiciel Call Manager (version 4) de chez Cisco pour grer la tlphonie. Ils appartiennent une socit qui loue Trasys la tlphonie dans sa globalit (tlphones et serveur Call Manager). Le but est maintenant de passer une solution propre Trasys de faon pouvoir avoir du matriel eux. Pour ce faire, 2 solutions ont t retenues : La premire consiste rester en Cisco, ce qui est logique vu que cest dj la solution actuelle. La deuxime solution t propose par Microsoft car les utilisateurs utilisent dj la version Office Communicator pour pouvoir chatter37 entre collges.

Ils ont finalement opt pour un mlange des 2 afin den retirer le meilleur.

Pour ce faire, cela implique quelques changements et nouveauts : 1) Nouveau serveur Call Manager (hardware), nouvelle version du logiciel : 7 (sofware). 2) Remplacement des plusieurs tlphones par des tlphones software (softphone). Ils utiliseront la version IP Communicator de Cisco. Ils seront donc les mmes que les anciens mais en version software. 3) Remplacement de quelques tlphones IP Phone 7940 par des tlphones Cisco IP Phone 6941. 4) Ajout de stations de confrences (Cisco IP Conference Station 7937) dans les salles de runions. Aperu en image :

37

dialogue en direct via lordinateur

- 39 -

Nouveau

Cisco IP Communicator (softphone)

Microsoft Office Communicator (Actuel)

Ancien

Nouveau

Nouveaut pour les salles de runion la pieuvre

Cisco IP Phone 7940

Source : www.cisco.com

Cisco IP Phone 6941 Cisco IP Conference Station 7937

- 40 -

6.2. Situation rseau

Ci dessous, vous trouverez lancien schma intersites. Dfinitions concernant les diffrentes machines sur les schmas : Call Manager Publisher/Subscriber : serveur permettant de traiter les appels dans lentreprise. IPCC : logiciel li au Call Manager. Il est utilis pour le helpdesk chez Trasys, il permet de grer les filles dattentes tlphoniques. Cisco Presence : logiciel li galement au Call Manager. Il permet de savoir avant dappeler quelquun si la personne est prsente ou absente en fonction du statut dOffice Communicator. Microsoft OCS : serveur permettant de grer les conversations chat dOffice Communicator. Active Directory : install sur un Windows Server, lActive Directory est un service regroupant les noms dutilisateurs et les mots de passe associs. Ceci permet dattribuer des droits en fonction de ceux-ci. Microsoft Exchange : serveur utilis pour grer Microsoft Outlook. Cest dire messagerie email, calendrier et synchronisation avec tlphones mobile. Voice Gateway : permet de diriger les appels quils viennent de l intrieur ou de lextrieur PABX38 : permet de relier les postes tlphoniques internes vers le rseau tlphonique public. Permet galement les appels entre postes (en interne), les confrences, transferts dappels, messagerie, etc...)

38

Private Automatic Branch eXchange

- 41 -

- 42 -

Aprs la migration, voici le nouveau schma :

- 43 -

La migration a entrain plusieurs nouveauts : Les gens senregistrent sur les tlphones avec leurs noms dutilisateur (Active Directory). Avant, ctait une srie de chiffre qui tait en rapport avec leurs numros de tlphone. Grce au nouveau serveur Cisco Presence39, on peut dsormais savoir avant dappeler quelquun si la personne est prsente derrire son poste en fonction du statut dOffice Communicator. Cest un produit Microsoft qui se trouve sur chaque ordinateur. Ce programme est gr par le serveur Microsoft OCS (Office Communication Server) qui lui mme est li lAD (Active Directory). Le serveur IPCC porte maintenant le nom UCCX40 Grce aux softphones, les gens peuvent tlphoner et avoir les mains libres.

6.3. Description du projet

Pour pouvoir enregistrer un tlphone dans le Call Manager, il faut ladresse MAC du tlphone. Pour nous faciliter le travail, nous avons eu un scanner. En scannant le code barre se trouvant sur chaque tlphone, nous avons pu enregistrer les adresses MAC des tlphones rapidement. Nous enregistrons les adresses MAC des tlphones car cest une scurit obligatoire dans la configuration impose par Cisco. De cette faon, si une personne venait brancher sur le rseau un tlphone non enregistr, cela ne marcherais pas. Ensuite, nous avons repris les noms des utilisateurs se trouvant dans lActive Directory et nous les avons lis au Call Manager en fonction de lancienne configuration Une fois la configuration termine du Call Manager, nous avons configur41 les voice gateway pour pointer sur le nouveau serveur. Et enfin, nous avons demand lquipe charge du dploiement de dployer Cisco IP Communicator sur les machines. Nous avons ensuite enlev les anciens tlphones, plac les quelques tlphones physique Cisco 6941 et 7937. Puis nous avons fait des sances de formation pour les utilisateurs de faon leur apprendre comment se servir du nouveau tlphone.

6.4. Point de vue nergie

La rgulation du CO2 est un des plus grands risques ou opportunits que la plupart des entreprises devront faire face. LOrganisation des Nations Unies et la Commission Europenne a accord des projets cls Trasys. Les objectifs sont daider les entreprises grer leurs missions de gaz effet de serre et se conformer au rglement. Trasys doit donc montrer lexemple. Un des avantages de la migration des switchs est lalimentation. En effet, avant la migration des switchs, les tlphones taient aliments via une prise de courant traditionnelle. Aprs la migration, ces tlphones sont maintenant aliments via le rseau par les switchs. Ces switchs
39 40

CUPS : Cisco Unified Presence Server UCCX : Cisco Unified Contact Center Express. Utilis pour les filles dattente pour le helpdesk. 41 Configuration en annexe

- 44 -

supportent le PoE42 et permettent donc dalimenter ces tlphones. Ceci apporte plusieurs nouveauts : de pouvoir couper lalimentation dun tlphone distance pour lobliger redmarrer en cas de problme. Avant, il fallait soit se dplacer pour enlever et remettre la prise ou demander au client de le faire notre place. Sil y a une coupure de courant, les tlphones ne seront pas coups car les switchs sont relis un gnrateur. Touches daccs rapide pour transfert, confrence, hold (attente). Le rtro-clairage du tlphone diminue en intensit en dehors des heures de bureau pour conomiser de lnergie. Tlphone plus compact, permet de gagner un peu de place sur le bureau.

De plus, le passage de nombreux tlphones physique en tlphones software permet dconomiser galement pas mal dnergie. Le nombre de tlphones physique43 qui ont t migr en softphone est estim environ 209. Avec un rapide calcul44, on arrive 1317 Watts. Multipli par une journe, cela fait une belle conomie sur la facture.

On peut voir la consommation en utilisant cette commande : Switch#sh power inline Available:370.0(w) Used:88.2(w) Remaining:281.8(w) Interface Power Device Class Max (Watts) --------- ------ ---------- ------- ------------------- ----- ---------------------------------------Fa0/1 auto off 0.0 n/a n/a 15.4 Fa0/2 auto off 0.0 n/a n/a 15.4 Fa0/3 auto off 0.0 n/a n/a 15.4 Fa0/4 auto off 0.0 n/a n/a 15.4 Fa0/5 auto off 0.0 n/a n/a 15.4 Fa0/6 auto off 0.0 n/a n/a 15.4 Fa0/7 auto off 0.0 n/a n/a 15.4 Fa0/8 auto on 6.3 IP Phone 6941 2 15.4 Fa0/9 auto on 6.3 IP Phone 7940 2 15.4 Fa0/10 auto on 10.5 IP Phone 7937 3 15.4 Etc.. jusque la porte Fa0/48 Admin Oper

42 43

PoE : Power over Ethernet A Woluw, Hoeilaart et Gosselies 44 209 tlphones x 6,3W = 1317W

- 45 -

6.5.

AutoQoS/QoS

Source : www.cisco.com

Etant donn que 90% des tlphones de lentreprise sont des tlphones IP, il est vident que lon a d donner priorit au trafic voix pour viter davoir des coupures, de la gigue, de la latence pour les tlphones. Lutilisation de lautoQoS (commande disponible uniquement sur les routeurs/Switch Cisco) permet de faire cela. QoS signifie qualit de service. Cest la capacit vhiculer dans de bonnes conditions un type de trafic donn, en termes de disponibilit, dbit, dlais de transmission, gigue, taux de perte de paquets, etc... Nous lavons configur comme suit : Pour les interfaces fastEthernet(o il y a un tlphone derrire) : auto qos voip cisco-phone auto qos voip soft-phone Pour les interfaces trunk GigabitEthernet: auto qos voip trust En utilisant cette commande, nous donnons priorit au trafic voix. Pour rappel, le trafic data (ordinateurs) et le trafic voice (tlphones) sont sur 2 vlans diffrents. Ils sont donc sur 2 sous-rseaux bien distincts.

- 46 -

7. IOS (Internetwork Operating System)

LIOS est le systme dexploitation se trouvant dans la plupart des appareils Cisco. Comme la plupart des systmes dexploitation, lIOS a besoin dtre mis jour pour corriger des bugs, des failles de scurit ou pour ajouter de nouvelles fonctionnalits. Cest donc la premire chose que jai ralise sur les nouveaux switchs 3560v2 avant de commencer les configurer. Pour voir la version de lIOS : Switch#sh version Cisco IOS Software, C3560 Software (C3560-IPSERVICES-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Thu 19-Jul-07 18:15 by nachen

Pour mettre jour, nous avons besoin dun serveur TFTP pour transfrer le fichier dans la mmoire (flash) du switch. Jai choisi dutiliser le programme SolarWinds TFTP Server. Ce programme a la particularit dtre gratuit et simple utiliser. Une fois ce programme install, on place dans le dossier du programme le fichier que lon veut mettre disposition. Ensuite, on raccorde le pc au switch, on se met au pralablement dans le mme range IP et on transfre le fichier. Cela se transfre comme ceci : Switch#copy tftp:c3560-ipservicesk9-mz.122-52.SE.bin flash: Une fois transfr, on peut aller vrifier quil est bien dans la mmoire flash : Switch#sh flash: Directory of flash:/ 2 -rwx 12272570 Mar 1 1993 00:15:34 +00:00 c3560-ipservicesk9-mz.122-52.SE.bin 7 drwx 192 Mar 1 1993 00:07:36 +00:00 c3560-ipservices-mz.122-35.SE5 Et ensuite, il faut demander au switch de dmarrer sur la nouvelle version de lIOS : Switch(config)# boot system flash: c3560-ipservicesk9-mz.122-52.SE.bin Pour prendre la nouvelle image en compte, il faut redmarrer le switch : Switch#reload Il est arriv quelques petits problmes mais jen parlerai plus tard (cf 9.Problmes rencontrs).

- 47 -

8. Monitoring rseau
Pour administrer lentiret du rseau et dterminer quels sont les problmes ventuels, nous utilisons le protocole SNMP (Simple Network Management Protocol). Ce protocole permet denvoyer des informations concernant ltat de sant de lappareil, comme : La charge du processeur (CPU) Le dbit des interfaces rseau (physique et logique) en download et en upload. La latence Etc...

Cette technologie se situe entre la couche 4 (transport) et la couche 7 (application) du modle OSI45.

Source :http://www.supinfo-projects.com/2006/monitoring_snmp_reseau/3/OSI.png

Exemple de configuration du site de Woluw : snmp-server community ariane RO 11 snmp-server packetsize 8192 snmp-server trap timeout 600 snmp-server location Ariane snmp-server contact monitoring@trasys.be snmp-server chassis-id Cisco3560v2-Switch snmp-server inform timeout 600 snmp-server host XX.XX.XX.XX

45

Rappel : 2.1.1. Modle OSI

- 48 -

8.1.

Cacti

Cacti est un logiciel open-source de mesure des performances rseau. Il permet dafficher graphiquement plusieurs informations comme la charge du processeur (CPU), le dbit des interfaces rseaux (physique et logique46), la latence, etc... Ces informations sont diffuses laide dun serveur web, ce qui facilite laccs. Lors dun problme de ralentissement rseau, nous utilisons donc ce programme pour avoir une vue du trafic au niveau des interfaces des switchs.

46

Logique = VLAN (interface virtuelle)

- 49 -

8.2.

Open NMS

OpenNMS est un logiciel open-source de monitoring rseau orient pour les entreprises. Il permet dafficher des informations plus dtailles que Cacti comme par exemple le nom des protocoles utiliss comme le HTTP, FTP, DNS, etc...

- 50 -

8.3.

WireShark

Ce logiciel permet de sniffer le rseau, cest dire danalyser en temps rel les trames qui passent au niveau dune interface rseau. Il permet dafficher plusieurs informations comme ladresse IP source, ladresse IP de destination, le protocole utilis, etc... Lors dune plainte concernant un ralentissement rseau, nous avons utilis ce programme pour analyser le trafic et trouver lorigine du ralentissement. Lorigine venait du fait quune personne tlchargeait des gros fichiers sur un site web et donc ralentissait le trafic internet. Avec ce logiciel, nous avons pu voir quels fichiers il tlchargeait, le nom du site, et la taille du fichier.

- 51 -

8.4.

Nagios

Nagios est un logiciel open-source permettant la surveillance systme et rseau. Dans notre situation, nous utilisons nagios pour surveiller les serveurs. Cette surveillance nous permet davoir plusieurs informations comme ltat de linterface rseau, lutilisation de la mmoire vive, lespace disque disponible, etc... Tout comme Cacti et OpenNMS, on y accde en interface web. Lorsquun problme est dtect, une alerte est affiche sur le site et envoye galement par email ladministrateur.

- 52 -

8.5.

IP SLA (Service Level Agreements)

IPSLA est une technologie propritaire Cisco permettant la supervision rseau de la tlphonie (VoIP). La voix sur IP est sensible 3 problmes : La latence (Response Time) La perte de paquets (packet loss) La gigue (jitter) Sur la photo ci dessus, on peut voir ces informations. La gigue est la variance statistique du dlai de transmission. En d'autres termes, elle mesure la variation temporelle entre le moment o deux paquets auraient d arriver et le moment de leur arrive effective. Cette irrgularit d'arrive des paquets est due de multiples raisons dont: l'encapsulation des paquets IP dans les protocoles supports, la charge du rseau un instant donn, la variation des chemins emprunts dans le rseau, etc... Un exemple de gigue : Une personne dit Bonjour au tlphone et le correspondant entend Bon.... [Gigue].... jour. Nous avons activ ce monitoring laide de la commande : ip sla enable reaction-alerts

- 53 -

9. Difficults rencontres
La premire difficult que jai rencontre est lupgrade IOS. Une fois le fichier transfr en mmoire flash, jai voulu vrifier que le fichier tait bien copi. Pour ce faire, il existe la commande verify. Le problme est que cette commande ne fonctionne pas... La seule vrification a donc t au niveau de la taille du fichier. Si le fichier a la mme taille quau dpart, le fichier est bon. Le deuxime problme que jai rencontr est aussi au niveau de lupgrade IOS. Lors de lupgrade des switchs 2950, il ny avait pas assez de place en mmoire pour laisser lancienne image de lIOS.

Jai donc ralis une sauvegarde de lancienne : Switch#copy flash: c2950-i6q4l2-mz.121-13.EA1.bin tftp: Jai ensuite supprim cette image de la mmoire flash afin de librer une place pour la nouvelle : Switch#delete flash: c2950-i6q4l2-mz.121-13.EA1.bin Et finalement copier la nouvelle image en flash: Switch#copy tftp: c2950-i6k2l2q4-mz.121-22.EA13.bin flash: Switch(config)# boot system flash: c2950-i6k2l2q4-mz.121-22.EA13.bin Le troisime problme que jai rencontr concerne la tlphonie sur le site de Woluw. Il existe 3 types de tlphones sur ce site : les cisco 7940, les aastra 5370 et les aastra 760E. Le problme sest pos au niveau des tlphones aastra. Les vieux tlphones (760-E) ne - 54 -

supportent pas la configuration classique. Il a donc fallu leur faire 2 configurations spares pour ces tlphones. macro name Voice-TE-5370 auto qos voip trust switchport access vlan dynamic switchport mode access switchport nonegociate switchport voice vlan XXX @ macro name Voice-TE-760E switchport access vlan XXX switchport mode access switchport nonegotiate @

Un autre problme rencontr est cette erreur au niveau des modules SFP47 pour les trunks en fibre optique: 000009: *Mar 1 01:01:12.452 CET: %PHY-4-MODULE_DUP: SFPs in Gi0/2 and in Gi0/1 have duplicate vendor-id and serial numbers 000010: *Mar 1 01:01:12.452 CET: %PM-4-ERR_DISABLE: gbic-invalid error detected on Gi0/2, putting Gi0/2 in err-disable state 000011: *Mar 1 01:01:12.452 CET: %PM-4-ERR_DISABLE: gbic-invalid error detected on Gi0/1, putting Gi0/1 in err-disable state

Module SFP Cette erreur a coup la connexion trunk. Jai donc chang de modules SFP puis utilis ces commandes pour ractiver linterface : Switch(config)#int Gi0/1 Switch(config-if)#shut Switch(config-if)#no shut Switch(config)#int Gi0/2 Switch(config-if)#shut Switch(config-if)#no shut

Mon cinquime problme se situe au niveau de la configuration des switchs 2950. Ils nacceptaient pas la commande switchport trunk encapsulation dot1q. Aprs documentation, jai pu comprendre que les switchs 2950 ne supportent que le 802.1q (dot1q) et quil est donc inutile de prciser lencapsulation tant donn quelle est configure automatiquement la cration dun trunk.
47

Les interfaces trunks prvues sur les switchs requiert lajout dun module pour y connecter un cble.

- 55 -

Et enfin, mon dernier problme un problme de configuration. Nous autorisons les gens se connecter des endroits diffrents. Pour ce faire, nous utilisons la commande authentication mac-move permit. Le problme est que cette commande nest pas compatible avec switchport security. Ce qui implique que si on souhaite continuer autoriser les utilisateurs se connecter des endroits diffrents, on est oblig de dsactiver la rgle de scurit pour les adresses MAC.

10. Evolutions possibles

Pour le site de Gosselies : Les hubs 3COM qui ont t remplacs par des switchs Cisco 2950 ne sont plus sous contrat de maintenance par Cisco car ils sont en fin de vie. Il faudra donc les remplacer dans le futur. Pour le site de Hoeilaart : Le remplacement des micro-switchs en salle de runion par des switchs manageables et plus petits. Car les micro-switchs actuels crasent les cbles rseau et peuvent donc poser des problmes de connectivit. Pour le site de Woluw : Le remplacement des vieux tlphones 760-E par des tlphones 5370 pour uniformiser la configuration des switchs. Concernant tous les sites Lutilisation de tacacs pour grer lauthentification des switchs.

- 56 -

11. Ce que le stage m'a apport

Point de vue social, j'ai eu la chance de pouvoir travailler en quipe. Le contact s'est trs bien pass. Je me suis trs bien intgr dans l'quipe. Ce travail d'quipe m'as permis d'avoir un partage d'exprience et de connaissances de plusieurs personnes. Point de vue technique, ma connaissance scolaire du module CCNA de Cisco m'as permis d'tre "comme un poisson dans l'eau". J'ai trouv ce travail passionnant et trs bnfique. J'ai pu mettre en pratique mes connaissances vue aux cours tout en ajoutant un degr supplmentaire de complexit. Ce stage m'as galement forc vaincre ma timidit. En effet, j'ai du non seulement aller vers les employs mais galement prendre part plusieurs runions en donnant mon avis, en montrant mon travail effectu, etc... En conclusion, cette exprience m'as donn fortement envie de rentrer sur le march de l'emploi et galement de me spcialiser en rseaux. Je compte d'ailleurs passer ma certification CCNA auprs d'un centre spcialis.

- 57 -

12. Conclusions
Larchitecture rseau de Trasys tait plutt ancienne et trs coteuse puisqu' une partie du matriel tait en leasing et tait dj amortie depuis plusieurs annes. Il y avait donc un besoin immdiat de changement. Le dploiement de la nouvelle architecture rseau a t un franc succs grce lapport de nombreuses nouveauts en scurit, gain dnergie, et gain en productivit. Lapport dune couche supplmentaire de scurit a permis de rsoudre les problmes de stabilit lis aux erreurs de connexions rseau. Le remplacement des tlphones physiques par des softphones a permis galement dconomiser de lnergie tout en permettant aux employs davoir les mains libres en tlphonant. Ce qui augmente la productivit. Le bilan financier est donc trs positif. Lentreprise possde maintenant son propre matriel. Elle conomise donc les frais normment levs du leasing. De plus, la facture nergtique sera moins coteuse grce au remplacement des tlphones. Les difficults rencontres comme les problmes de configuration taient plutt motivantes plutt que gnantes et le fait dtre confront un rseau de production a rendu ce travail trs passionnant. Il fallait en effet veiller au bon fonctionnement du rseau, vrifier et revrifier sa configuration de faon tre certain de ne pas avoir commis derreurs. Il y avait galement un besoin de rpondre prsent aux utilisateurs ayant des problmes techniques. Le remplacement des Switchs a permis de rsoudre les problmes lis la scurit et galement de faire voluer les outils de communications (e-mail, gsm, tlphone fixe, etc). Cependant, il reste un travail important de formation et dassistance auprs des utilisateurs. Le fait davoir travaill en quipe mas permis davoir un change dexprience dans diffrents domaines, principalement en rseau. De part leurs exprience, jai su mettre en place une scurit efficace et rsoudre les difficults rencontres. Un prochain projet sera peut-tre un niveau de scurit supplmentaire comme par exemple une authentification par certificats?

- 58 -

13. Bibliographie
Livres ODOM-CAVANAUGH, Cisco QOS Exam Certification Guide (Qos Exam 642-642), 2e dition, Cisco Press: USA, 2009, 768p, ISBN: 1-58720-124-0 DAVIDSON-PETERS-BHATIA-KALINDI-MUKHERJEE, Voice Over IP Fundamentals, 2e dition, Cisco Press: USA, 2007, 432p, ISBN: 1-58705-257-1 ODOM, CCNA Official Exam Certification Library (CCNA Exam 640-802), 3e dition, Cisco Press : USA, 2008, 2 tomes, 1475p, ISBN : 1-58720-183-6 Sites internet Pour la documentation sur lentreprise : http://www.trasys.be/home/ Documentation sur les protocoles et routeurs : Cisco Systems, Inc http://www.cisco.com , http://www.ciscozine.com galement http://cisco.iesn.be Security guide for switch (NSA): http://www.nsa.gov/ia/_files/switches/switch-guide-version1_01.pdf Security guide for router (NSA): http://www.nsa.gov/ia/guidance/security_configuration_guides/cisco_router_guides.shtml Outil de monitoring Cacti : http://www.cacti.net/ Outil de monitoring OpenNMS: http://www.opennms.org/wiki/Main_Page Outil de monitoring Nagios: http://www.nagios.org/ Outil de monitoring Wireshark : http://www.wireshark.org/ Moteur de recherche pour diverses documentations sur les services rseaux : http://www.google.be SolarWinds TFTP Server : www.solarwinds.com/products/freetools/ Pour la documentation de certains protocoles : http://en.wikipedia.org et galement http://www.supinfo-projects.com

- 59 -

14. Symboles

Hub

Routeur

Switch/Commutateur

Access Point (Wifi)

Rseau LAN

Printer/Scanner

PC

LAPTOP/ PC Portable

Cisco IP Phone (7940)

- 60 -