Rapport

de
stage







Stagiaire : Michel CIOCCO
Tuteur ANPE : Mr Herv TOUATI
Tuteur IPREC : Mr Vincent BENDRIDER










Dpartement Rseaux et Tlcoms

IPREC 24, Rue du Faubourg Poissonnire 75010 PARIS Promotion 30
SOMMAIRE

Introduction...........................................................................................................................................................3
Remerciements ......................................................................................................................................................4
Avertissement ........................................................................................................................................................5
I. Prsentation de lANPE ...............................................................................................................................6
1. Statut ..........................................................................................................................................................6
2. Conseil dadministration............................................................................................................................6
3. Mission .......................................................................................................................................................6
4. Chiffres.......................................................................................................................................................6
5. Organisation de lANPE ............................................................................................................................7
6. Organigramme ...........................................................................................................................................7
7. Applications informatiques ........................................................................................................................9
8. Serveurs WEB.............................................................................................................................................9
II. Prsentation de la Direction des Systmes dInformation (DSI)........................................................10
1. Objectifs ...................................................................................................................................................10
2. Fonctionnement ........................................................................................................................................10
III. Le dpartement Rseaux et Tlcommunications (DRT) ...................................................................11
1. Description...............................................................................................................................................12
2. Les Missions des services du DRT ...........................................................................................................12
3. Service Support et Administration............................................................................................................12
4. Service Architecture et Scurit Rseaux.................................................................................................12
5. Service Support et Administration............................................................................................................13
6. Service Tlphonie ...................................................................................................................................13
IV. Etude de larchitecture rseau de lANPE...........................................................................................13
1. Principe de linfrastructure rseau en France mtropolitaine ................................................................14
2. Principe de linfrastructure DOM............................................................................................................14
3. Accs Internet ...........................................................................................................................................15
4. Scurit Internet .......................................................................................................................................16
V. Organisation du support aux utilisateurs.................................................................................................17
1. Support niveau 1.......................................................................................................................................17
2. Support niveau 2.......................................................................................................................................17
3. Support niveau 3.......................................................................................................................................17
4. Administration du rseau .........................................................................................................................18
5. Administration de la scurit rseau........................................................................................................18


2
VI. Appropriation des procdures et interventions en situation..............................................................19
1. Service Center ..........................................................................................................................................19
2. Supervision Rseau sous HP Open View .................................................................................................22
3. MRTG (Multi Router Traffic Grapher) ....................................................................................................26
4. Mtrologie et flux .....................................................................................................................................30
5. Administration rseaux / Divers...............................................................................................................41
6. Schemas architectures..............................................................................................................................48
7. Description des technologies dployes dans ce rseau ..........................................................................50
VII. Conclusion...............................................................................................................................................55
Glossaire...............................................................................................................................................................56




3


Introduction


Dans le cadre de ma formation de Technicien suprieur en maintenance informatique, un stage dun
mois devait tre ralis avec pour objectif lappropriation des outils et procdures internes et valider
des connaissances. Le stage a t ralis la direction gnrale de lANPE au dpartement rseaux et
tlcommunications (DRT) dans la banlieue Est de Paris (77) sous la tutelle de M. TOUATI,
responsable du DRT.

Nous aborderons dans un premier temps la prsentation de lANPE puis la description de la Direction
des Systmes dInformations et du Dpartement rseaux et tlcommunications. La description de
larchitecture rseaux et lorganisation du support aux utilisateurs seront ensuite prsentes. Puis une
description des interventions effectues fera lobjet de la dernire partie.
4





Remerciements


Je tiens remercier Herv TOUATI, responsable du Dpartement Rseaux et Tlcoms de lANPE,
de mavoir permis dintgrer son service.

Je remercie Gilles GANGNEUX, responsable du service Support.

Je souhaite remercier toutes les personnes qui composent le dpartement Rseaux et Tlcoms, plus
particulirement Arnaud Coston, Fabien Bizet, Henri Renaut et Frdric Deluc pour le partage de leur
savoir.

Un grand merci aux formateurs de lIPREC pour la qualit de leurs enseignements qui ma permis
dapprhender ce stage dans de bonnes conditions.

5





Avertissement


Pour des raisons de scurit certaines informations confidentielles telles que les adresses IP de
lANPE, ne pouvant tre divulgues, seront substitues par des adresses IP quelconques ou bien
masques.
6
I. Prsentation de lANPE


1. Statut


Cre en 1967, lAgence Nationale Pour lEmploi est un tablissement public dEtat, rattach au ministre de
lemploi du travail et de la cohsion sociale. Ses services sont dconcentrs et 23000 agents travaillent dans
mille implantations. Les directeurs dagence locale disposent dune relle autonomie. 22 directeurs rgionaux
coordonnent laction de 118 directeurs dlgus.


2. Conseil dadministration


LANPE est administre par un conseil tripartite de seize membres. Il comprend :

- un prsident, nomm par dcret sur rapport du Ministre de l'emploi, du travail et de la cohsion sociale,
- 5 reprsentants de lEtat,
- 5 reprsentants des employeurs,
- 5 reprsentants des salaris.


3. Mission


Intermdiaire actif entre les demandeurs demploi et les entreprises, LANPE dveloppe son action afin de
dynamiser le march du travail et le rendre plus ractif, plus transparent, accessible tous.
Ainsi lANPE :

- propose des offres demploi et des conseils,
- apporte un appui et un suivi personnaliss aux demandeurs demploi, en particulier ceux qui sont les
plus en difficult,
- offre aux entreprises des services daide au recrutement,
- met en uvre les mesures gouvernementales destines aux publics prioritaires,
- mne une politique active de partenariat pour dmultiplier laccs ses services et simplifier les
dmarches des demandeurs.


4. Chiffres


Quelques donnes quantitatives concernant les activits de lANPE en 2002 :

- Un budget de 1,3 milliards deuros (hors mesures pour lemploi),
- 22 945 agents (dont 86% en contact direct avec les demandeurs demploi et les entreprises),
- 779 agences locales et plus de 1000 autres points, o tout ou partie des services sont raliss avec des
partenaires,
- Prs de 5 millions de personnes se sont inscrites.
- 600 000 entreprises clientes,
- 3 millions doffres collectes ( comparer aux 1,2 millions doffres recueillies en 1992),
- 85 % doffres satisfaites (soit 2,5 millions),
- Dlai moyen de satisfaction des offres : 34 jours,
- http://www.anpe.fr premier site emploi franais et deuxime site europen avec 120000 offres par
jour actualises tous les soirs et une moyenne de 5 millions de connexions mensuelles.
7

5. Organisation de lANPE


Leffectif de lAgence se rpartit sur tout le territoire franais (Hexagone et DOM/TOM) dans :

- 1 Direction Gnrale Noisy Le Grand (banlieue Est de Paris 93). Ce btiment rassemble comme son
nom lindique la quasi-totalit de la Direction Gnrale, y compris les services informatiques.
- 1 Centre Technique Informatique National dit CTIN (banlieue Est de Paris 77). Il sagit du cur
mme de l'infrastructure informatique de l'ANPE. Il a pour mission dexploiter les applications de
lANPE pour lensemble des rgions et des dpartements et de les mettre la disposition des entreprises
et des demandeurs demploi. Il sagit dun site critique, qui hberge une centaine dagents et qui se doit
dtre physiquement scuris.
- 7 Centres Interrgionaux de Services Informatiques (CISI) Paris (75), Lille (59), Caen (14),
Strasbourg (67), Lyon (69), Bordeaux (33), Vitrolles (13). Les CISI assurent le dploiement physique
pour le matriel informatique ou par tldistribution pour les logiciels ainsi que le support informatique
des ALE, DRA et DDA.
- 22 Directions Rgionales de l'ANPE qui se superposent aux rgions administratives franaises.
- 140 Directions Dlgues de l'ANPE couvrant lensemble des dpartements de la mtropole et des
territoires dOutre-mer.
- 961 points oprationnels et de contact avec l'ANPE pour les demandeurs demploi. Ce sont les Agences
Locales pour lEmploi couvrant lensemble des dpartements de la mtropole et des territoires dOutre-
mer et leurs points annexes spcialiss (spectacles, journalistes...). Des Espaces Spcialiss Jeunes sont
galement crs la demande des rgions.
- 7 Centres de Ressources et de Dveloppement des Comptences. Ces centres ont t crs pour la
formation des agents de lANPE.

6. Organigramme


A la tte de lANPE nous retrouvons une Direction Gnrale. Celle-ci regroupe :

- Le Directeur Gnral.
- Les Directions Gnrales Adjointes :

DGA Appui et Logistique (DSI)
DGA Dveloppement des Services et des Interventions
DGA Ressources Humaines
DGA Prospective Contrle et International.

- Le Directeur de Cabinet.
- LAgent comptable.
- La Direction de la Communication.
- La Direction de la Modernisation et de la Qualit.
- La Mission Coordination de la matrise douvrage des systmes dinformation.


Voir lorganigramme de la direction gnrale de lANPE en page suivante

8

9
7. Applications informatiques


Dans le cadre des contrats de progrs entre lANPE et lEtat, lANPE doit mettre en place des projets forte
proportion informatique de part la rpartition gographique des agences. A chaque contrat de progrs, lANPE
sorganise de manire interne, ceci pour avoir une totale matrise des volutions.
Dans leur travail, les agents de lANPE s'appuient aujourdhui sur deux grandes applications oprationnelles
(SAGE et GIDE), ainsi que sur des applications de gestion (AGIR), des serveurs tlmatiques et depuis 1997
un site WEB.



7.1. Applications oprationnelles


- SAGE : Systme dAide la Gestion de lEmploi. Application temps rel (sur le site ANPE) qui
permet la prise doffres demploi et leur traitement en agence, le suivi et les essais de placement des
offres, la gestion du Libre-service des Offres, linterface avec les applications statistiques du march
du travail et les ditions de tableaux de bord de lactivit des agences. Cette application a t
tendue pour permettre de rattacher les diffrents vnements lentreprise, actions individuelles et
collectives de lAgence, offres dposes ou collectes. Cette application est implante au sein du
CTIN sur un Mainframe Bull DPS9000 sous GCOS8.

- GIDE : Gestion Informatise du Demandeur dEmploi. Application temps rel implante dans le
centre informatique de lUNEDIC Montpellier, qui permet lactualisation de la situation des
demandeurs demploi ncessaire au rgime dassurance chmage pour grer leurs indemnisations.
Cette application est implante au sein du Centre Informatique de lUnedic sur un IBM.




7.2. Applications de gestion


- STATISTIQUES MARCHE DU TRAVAIL : application exploite bimensuellement sur le CTIN
destination du ministre pour fournir des indications sur lvolution du march du travail.

- AGIR : application de comptabilit publique utilise par les Centres de Responsabilit Budgtaire.


8. Serveurs WEB


LANPE propose ses services sur le rseau INTERNET. Accessibles partir de lurl http://www.anpe.fr , le
serveur hberg par le CTIN apporte de nombreuses informations et prsente en ligne les offres demploi. Ces
dernires peuvent ainsi tre consultes directement domicile chez les particuliers ou par lintermdiaire de
bornes libre-service mises la disposition du public dans les agences locales.
Il est noter que lANPE possde aujourdhui lun des plus importants rseaux de bornes libre-service daccs
Internet en France.
10

II. Prsentation de la Direction des Systmes dInformation (DSI)


La DSI est le matre duvre des chantiers informatiques de lAgence. Dun point de vue structurel, elle est aux
cts des directions du budget, des services financiers ou de lquipement, rattache la direction appui
logistique de lAgence.


1. Objectifs


Cette direction doit rpondre trois objectifs essentiels :

- Fournir lutilisateur final un outil informatique de qualit tant dans sa disponibilit ou son
efficacit que dans son support.
- Apporter lAgence les moyens les plus adapts son mtier par la mise profit de lvolution des
technologies de linformation.
- Garantir dans la dure la matrise des ressources humaines et financires engages dans la
ralisation des deux objectifs prcdents. Les missions confies aux structures correspondantes de la
DSI concourent la russite de ces objectifs.


2. Fonctionnement


Stratgiquement, la DSI se comporte vis--vis de lEtablissement comme une vritable socit de services.
Autrement dit, elle fournit ses clients (en loccurrence, les services de lAgence) un ensemble de
prestations rpondant des normes de qualit.

La DSI a obtenu la certification ISO9001 en 2003 qui, par exemple, permet de distinguer le travail
quaccomplissent, chaque jour, les 263 collaborateurs de la DSI et leurs sous-traitants.

La DSI sarticule verticalement autour de deux sous directions et de trois dpartements :

- La Sous Direction des Etudes qui a pour mission de dfinir, de concevoir et de dvelopper, en
collaboration avec la matrise douvrage, les applications informatiques proprement dites, et qui
dlgue le travail de dveloppement des sous-traitants.
- La Sous Direction de la Production qui fournit lnergie informatique des serveurs nationaux. A ce
titre, elle assure toutes les oprations concourant la disponibilit et la qualit des temps de
rponses, au respect des plages douverture et la scurit des systmes dinformation.
- Le Dpartement Rseaux et Tlcoms qui soccupe, comme son nom lindique, de ce qui touche au
rseau national de transmission de donnes et la tlphonie. Nous y reviendrons plus en dtail
dans la suite de ce document.
- Le Dpartement Informatique Poste de Travail et Intranet (DPI) qui choisit, achte et configure les
lments de base (matriel et logiciel) constituant les postes de travail des agents de lAgence.
- Le Dpartement du Support et de lInformatique Rgionale qui reprsente la DSI sur le terrain. Il
regroupe les sept CISI soit 140 personnes. Chacun de ces centres accueille la plate-forme
dassistance tlphonique ASUR de sa rgion, assure le dploiement du matriel et des logiciels
dans le rseau et travaille en troite relation avec la direction rgionale. Le DISR sappuie lui-mme
sur deux services : QSD (Qualification, Support et Diffusion), qui est un peu lorgane de test et
dintgration des applications avant leur gnralisation effective dans le rseau ; SRC (Service de
Relation Client) qui, au niveau national et via des contrats de service, dveloppe et met en place les
engagements assurant la qualit de fonctionnement de loutil informatique et la bonne marche des
plates-formes ASUR.

11
III. Le dpartement Rseaux et Tlcommunications (DRT)


Le Dpartement Rseaux et Tlcommunications assure le fonctionnement, les installations et le maintien
du rseau national de transmission de donnes, dans le respect dengagements de service tant sur la qualit
que sur la scurit.
Le DRT fait partie intgrante de la DSI qui, nous lavons vu, a la charge de lorganisation informatique de
lANPE. Ce dpartement existe en tant que tel depuis avril 1998 ; il constituait auparavant un service
rattach la SDP.


Organigramme de la Direction des Systmes dinformation

DEPARTEMENT
MAINTIENEN
CONDITION
OPERATIONNELLE
A.SENTIS
DIRECTIONdes
SYSTEMES
d'INFORMATION
M.LESUEUR
SOUSDIRECTIONdeLA
PRODUCTION
J.SALLENT
SOUSDIRECTIONdes
PROJETS
A.MONCE
DEPARTEMENT
SUPPORT&
INFORMATIQUE
REGIONALE
L.MORO
DPTBUDGET,
GESTION&MARCHES
N.POTTIER
MISSIONQUALITE
METHODE&
SECURITE
J.J.MERY(Adjoint)
7CISI
DPTPOSTEDE
TRAVAILETINTRANET
C.MOREAU
DEPARTEMENT
RESEAUX&
TELECOMMUNICATION
H.TOUATI

Le DRT se prsente dsormais comme un prestataire de services interne pour le compte des diffrentes entits
de lANPE ou de ses partenaires externes comme lUNEDIC.

Le DRT remplit ce jour 3 types de missions :
.
- des missions lies au support des infrastructures rseaux et tlcoms existantes :

il est le premier intervenant pour tout incident affectant linfrastructure rseau et tlcoms du
CTIN.
il peut tre amen traiter tout dysfonctionnement dordre technique ou non, dans le domaine des
rseaux et tlcoms.
il doit rsoudre les problmes qui nont pas pu tre rsolus par les CISI.


- des missions lies la gestion des quipements et des ressources internes ou externes :

le DRT choisit, valide, installe et gre lensemble des quipements constituant larchitecture
technique du rseau national de lANPE.
le DRT anime le rseau de CISI, pour son domaine dactivit.

- des missions lies lvolution de ces infrastructures et quipements :
12

le DRT doit grer un certain nombre de projets dvolution des moyens actuels.
le DRT se doit de tenir jour ses connaissances techniques, une vision objective du march et de
ses acteurs.


1. Description

Lexistence du dpartement Rseaux et Tlcommunications de lANPE sinscrit dans la logique de
convergence technologique des rseaux tlphoniques, informatiques et multimdia.
Ce dpartement agit comme un vritable oprateur interne dont la vocation est de proposer des services et
mettre en uvre des solutions de tlcommunication sur le plan national.
Le DRT situ Noisiel, se compose de trois services :

Le service Architecture et Scurit Rseaux (ASR).
Le service Support et Administration (SSA).
Le service tlphonie

2. Les Missions des services du DRT

Ce service intervient dans trois domaines principaux qui sont :

Dploiements rseaux ,
Support des projets DSI
Ingnierie rseaux et scurit.

Les missions de ce service sont :

Conception et dploiement de l'architecture des rseaux de communication.
Intgration des nouveaux projets DSI dans l'infrastructure rseau.
Assurer la scurit logique des rseaux de communications.
Garantir la qualit de service rseaux.

3. Service Support et Administration

Ce service a en charge les cinq domaines principaux :
Gestion des achats, rsolution des incidents, exploitation infrastructures rseaux, support et Qualit.

Les missions de ce service sont :

Administration et maintenance de l'infrastructure rseau et scurit.
Support national rseau.
Gestion des commandes et de la facturation.
Mise en uvre et support de solutions d'changes de donnes.
Gestion de la Qualit (ISO 9001)

4. Service Architecture et Scurit Rseaux

Les activits de ce service sont :

Etude et mise en service de solutions rseaux.
Etude et mise en service de solutions de scurisation des rseaux de communication.
Gestion des volutions des rseaux de communication.
Gestion des appels d'offres rseaux.
Pilotage du dploiement de solutions rseaux.
Planification de la capacit et des performances du rseau de communication.
Expertise rseau dans les projets de la DSI.
Veille technologique rseaux et scurit.
13
Dfinition des politiques et standards.

5. Service Support et Administration

Les activits de ce service sont :

Gestion de la Qualit (ISO 9001)
Support national rseau
Administration des quipements et des accs rseaux.
Administration de la scurit rseaux.
Suivi de la qualit de service rseau.
Gestion des commandes de services rseaux & tlcoms.
Suivi de la facturation des services rseaux & tlcoms.
Gestion de parc rseau et tlcoms.

6. Service Tlphonie

Les activits de ce service sont :

Conseil et expertise en tlphonie auprs des directions rgionales ANPE.
Gestion des appels d'offres de fournitures de service de tlphonie fixe et mobile.
Elaboration et suivi de la mise et uvre de solutions de tlphonie valeur ajoute.
Suivi de l'excution des marchs de tlphonie.
Suivi de la facturation des services de tlphonie.

Ce service intervient dans le domaine du transport de la voix.

Les missions de ce service sont :

Dfinir et mettre en uvre les accords cadres nationaux sur la tlphonie.
Assurer un rle de conseil et de support aux rgions.
Dfinir des solutions tlphoniques valeur ajoute.



IV. Etude de larchitecture rseau de lANPE

Le rseau WAN de lANPE regroupe plusieurs LANs, un rseau Internet, un rseau intranet, un rseau extranet
Son bon fonctionnement sappuie sur une architecture complexe qui ncessite une surveillance 24h/24h. Des
outils de supervisions permettent une vision globale de son architecture et de remonter tous les incidents.

Le rseau de lANPE doit satisfaire la demande des utilisateurs, effectuer des transmissions de donnes fiables,
sans pertes ni erreurs, en conformit avec lexercice du mtier de lagence.

Ces objectifs peuvent tre atteints en mettant en uvre une politique de qualit de service prise en compte ds la
conception du rseau et maintenue au cours de sa phase dexploitation.

Cest le DRT qui dfinit les besoins et qui assure lexploitation et la surveillance des technologies que ncessite
la transmission de donnes.

En 2004, les volutions du rseau national ont ncessit un redploiement qui sappui sur un rseau IP - VPN
reposant sur le protocole de routage MPLS. Fin 2004 tous les sites (environ 1000) seront dots daccs ADSL
ou SDSL pour assurer leur connectivit avec le rseau national de lANPE.



14
1. Principe de linfrastructure rseau en France mtropolitaine


Les sites ANPE situs en mtropole sont interconnects par lintermdiaire dun backbone IP
(Technologie MPLS pour Multi Protocol Layer Service).
Il est compos de 2 rseaux privs virtuels IP (IP-VPN) distincts :

Un VPN Intranet (sites et utilisateurs internes) ;
Un VPN Extranet (sites et utilisateurs non ANPE, appel partenaire).

La topologie de raccordement des sites est une topologie en toile centre sur le site de Marne la Valle
(CTIN). Les raccordements des sites ANPE au rseau vers le site central sont les suivants :

Pour le CTIN : deux liens 56 Mb/s sur accs de 100 155 Mb/s ;
Pour les CISI : deux liaisons 1,6 2 Mb/s (LL et/ou SDSL) ;
Pour les DRA/CRDC ;
- Accs SDSL, dbit garanti de 512Kb/s, dbit crte 1,6 Mb/s ;

Pour les units (DDA, USP, ALE) :
- Accs ADSL (ligibilit des sites ANPE estime > 85%),
avec repli sur des accs Liaisons loues : 256Kb/s 512Kb/s ;
- Dbit garanti de 160Kb/s ;
- Dbits crtes montant 256Kb/s, descendant 1 Mb/s ;
Pour les liaisons de secours ;
- Pour le CTIN et les CISI : secours sur la seconde liaison ;
- Pour les autres sites : secours RNIS 128Kb/s.


Le schma de principe du rseau dinterconnexion des sites ANPE est illustr ci-aprs.



2. Principe de linfrastructure DOM

Les sites ANPE situs dans les DOM sont interconnects par lintermdiaire dun backbone IP
(Technologie MPLS pour Multi Protocol Layer Service).

15
Il est compos de 2 rseaux privs virtuels IP (IP-VPN) distincts.

Un VPN Intranet (sites et utilisateurs internes) ;
Un VPN Extranet (sites et utilisateurs non ANPE).

Les raccordements rseaux sont les suivants :

Pour le CTIN : concentrations via deux accs 4Mb/s ;
Pour les Units :
Accs ADSL (selon ligibilit) ;
Dbit garanti 160Kb/s ;
Dbits crtes montant 256Kb/s, descendant 1 Mb/s ;
Repli sur des accs par LL (Liaisons Loues) 128 Kb/s si non ligible ;
Pour les liaisons de secours RNIS 128 Kb/s.

Le schma de principe du rseau de lANPE dans les DOM est illustr ci-aprs.




3. Accs Internet

L'accs Internet s'effectue par deux liens chez deux FAI (Fournisseur d'accs Internet) diffrents.
Ces deux liens ont les caractristiques suivantes :

Premier lien :
raccordement en fibre optique et constitution d'une liaison Ethernet 1 Gb/s ;
un dbit utile de 40 Mb/s sur une liaison qui peut tre configure jusqu' 100 Mb/s (et au del)
suivant l'abonnement choisi ;
une plage dadresse officielle (classe C).

Deuxime lien:
raccordement un backbone et constitution d'une liaison Ethernet 100 Mb/s ;
un dbit utile de 40 Mb/s sur une liaison qui peut tre configure jusqu' 100 Mb/s suivant
l'abonnement choisi ;
une plage dadresse officielle (classe C).

16
Le raccordement Internet a un double objectif :
permettre aux demandeurs demploi et aux entreprises daccder via Internet aux services distance
de lANPE : la consultation des offres demploi, labonnement la diffusion automatique des offres
par email, le dpt doffres demploi, laccs aux sites des diffrents partenaires...
donner la possibilit aux utilisateurs internes daccder aux services Internet : web, messagerie,
transferts de fichiers.

Les services ANPE sur Internet sont de plus en plus consults ce qui se traduit par une volution croissante de
ressources en terme de bande passante . Pour faire face la rapide progression du trafic de consultation du site
web anpe.fr , ce dbit de laccs Internet est ainsi pass de 512 Kbps en 1997 40 Mbps fin mai 2004.

La prsence sur Internet est un lment important de la stratgie de lANPE avec la volont de mettre en place
un accs Internet haute disponibilit sur le site du CTIN.


4. Scurit Internet


La scurit mise en place pour le raccordement Internet est assure par :


Firewall :

systme qui permet dtablir des rgles de contrle daccs entre deux rseaux, gnralement entre le
rseau priv de lentreprise et Internet, afin notamment dviter lintrusion de pirates dans le rseau de
lentreprise.
il permet aussi daccder la DMZ zone dinformations de lentreprise (sur rseau local) accessible aussi
bien de lintranet que de lInternet ; dans ce cas le Firewall joue un rle de commutateur.
la fonction Firewall de lAgence sappuie sur le produit Firewall de la socit Checkpoint Software.

Serveur mandataire (Proxy Server) :

fonction systme utilise notamment pour ses capacit de cache (les pages rcupres sont places dans
un cache-mmoire et lutilisateur qui rechargera cette page ira non pas la rechercher sur lInternet mais
dans le cache, afin doptimiser les futurs temps de connexion).
elle permet aussi de filtrer les accs Internet pour les utilisateurs connects sur intranet (ce nest pas le
cas lANPE).

Anti-virus :

programme qui permet de dtecter et de dtruire les virus dtects. Il doit pouvoir dtecter les virus y
compris dans les fichiers attachs dans le courrier lectronique, les fichiers tlchargs ou les pages
HTML contenant des liens hypertextes.
la fonction danti-virus sappuie sur le couple de produits Viruswall Interscan et E-manager de lditeur
Trend Micro.
17

V. Organisation du support aux utilisateurs

Lactivit de support aux utilisateurs a pour objectif dapporter lensemble des utilisateurs des systmes
dinformation de la DSI, lassistance dont ils peuvent avoir besoin lors de lutilisation des ressources matrielles
et logicielles qui leur sont fournies par la DSI.

On distingue un fonctionnement 3 niveaux, le 3
me
tant assur par la DRT.

Dans le cadre de lactivit de support, sont apportes des rponses et des solutions aux types de demandes
suivantes :

les incidents, les anomalies, les volutions, les informations.

Ces diffrents types de demandes peuvent porter sur les catgories suivantes :

technique, relatif lensemble de linfrastructure technique,
applicatif, relatif aux fonctionnalits de loutil,
mtier, relatif lutilisation des outils pour le mtier

1. Support niveau 1

Assurer laccueil tlphonique pour la signalisation des incidents/anomalies et pour les demandes
dinformation (de 9h00 18h00)
Enregistrer les incidents ou anomalies signals dans la base dincidents
Pr qualifier les incidents et les transfrer au support deuxime niveau
Rsoudre les incidents partir des informations contenues dans la base dincidents
Suivre le traitement des incidents
Exploiter la base dincidents : relances, consolidation, analyse de tendance
Alerter et informer les quipes DSI sur ltat du rseau
Diffuser les informations concernant le rseau
Suivre le parc rseau et tlcoms
Fournir mensuellement les indicateurs sur le fonctionnement du support

2. Support niveau 2

Rsoudre les dysfonctionnements signals par le support de premier niveau (SVP)
Diagnostiquer les dysfonctionnements sur le rseau de donnes
Contacter les supports des fournisseurs (oprateurs, intgrateurs)
Transmettre au SVP la description dtaille de la rsolution des dysfonctionnements
Relever, noter et investiguer les comportements douteux des quipements ; corriger si ncessaire
Rpondre aux demandes dinformation sur le rseau

3. Support niveau 3

Rsoudre les dysfonctionnements signals par le support de deuxime niveau (techniciens CISI)
Faire raliser des travaux de cblage informatique et tlphonique sur le site de Noisiel
Traiter les demandes de la DSI : adresses IP, DNS, modification de rgles de firewall,
Traiter les demandes de raccordement dquipements sur les sites de Noisiel et de Noisy le Grand
Raliser des tudes de mtrologie rseau
Diagnostiquer et corriger les dysfonctionnements sur les rseaux des sites de Noisiel et de Noisy le
Grand
18

4. Administration du rseau

Superviser les services et les quipements rseaux
Modifier les configurations des quipements rseaux
Documenter les modifications de configuration
Sauvegarder les configurations des quipements rseaux
Analyser les fichiers logs des quipements rseaux
Traiter les alertes gnres par les quipements rseaux
Assurer la maintenance prventive du rseau
Communiquer tout dysfonctionnement constat au SVP
Signaler les dysfonctionnements aux fournisseurs de services
Suivre le traitement des dysfonctionnements signals aux fournisseurs de services

5. Administration de la scurit rseau

Prvenir les intrusions et supprimer les virus
Signaler immdiatement toute faille de scurit constate ou suppose
Mettre jour les outils de scurit
Analyser les fichiers logs des quipements scurit
Grer les cls de chiffrement et les certificats
Gestion des comptes daccs aux quipements rseaux grs par le DRT
Assurer la gestion des sauvegardes


Synthse de l'organisation du DRT






















Ingnierie rseaux et scurit

Support 1er niveau
Rsolution des incidents
Gestion des achats
Support projets
DSI
Exploitation rseaux

S Se er rv vi ic ce e t t l l p ph ho on ni ie e
S Se er rv vi ic ce e A Ar rc ch hi it te ec ct tu ur re e e et t S S c cu ur ri it t r r s se ea au ux x
S Se er rv vi ic ce e S Su up pp po or rt t e et t A Ad dm mi in ni is st tr ra at ti io on n
Qualit
19
VI. Appropriation des procdures et interventions en situation

1. Service Center

Mes actions dans Service Center ont consist qualifier des incidents et assigner les tickets aux personnes
qualifies. Suivre et clturer les tickets selon le logigramme de traitement des appels ci-dessous :


20
a) Prsentation Service Center

Service Center est un outil de gestion dincidents qui permet de centraliser lensemble des demandes des
utilisateurs de lANPE (Peregrine System Inc. - Version : 5.1.2.0.0023)

Qualification des demandes utilisateurs dans Service Center :

Les demandes sont qualifies par un technicien qui ouvre un dossier correspondant une demande et lui attribut
un ticket.

4 types dincidents selon des catgories prdfinies sont identifis :

incident, anomalie, volution, information

Rappel :

Une anomalie correspond un fonctionnement anormal inacceptable qui ncessite une action de correction.
Une volution correspond un nouveau besoin ou la modification dun besoin qui nest pas pris en compte
actuellement par lexistant.
Une information correspond une demande se traduisant en dfinitive par une prestation de conseil et
dassistance concernant des difficults dutilisation des ressources informatiques.
Un incident correspond tous les autres problmes rencontrs qui ne peuvent pas tre classs dans les types
prcdents.

Ces diffrents types de demandes sont ensuite dclines afin daffiner la qualification de la demande.

b) Masque daccueil pour se connecter Service Center





Laccs au dossier seffectue en cliquant sur le bouton
21
c) Masque Liste des dossiers dans Service Center



Cliquer sur un numro de ticket pour le modifier
d) Masque Mettre jour un dossier dans Service Center



Masque permettant les modifications et la clture du ticket. Les tickets peuvent tre raffects un autre
groupe daffectation.

22

2. Supervision Rseau sous HP Open View

Prsentation

Le logiciel de supervision HP/OV Network Node Manager permet la supervision en temps rel du rseau
national de lANPE. Sa fonction est dalerter les quipes support et dastreinte en cas de dysfonctionnement et
de communiquer en temps rel avec les quipes de Production sur les incidents rseaux qui pourraient impacter
la Production (serveurs dapplications). Dassurer la disponibilit et une performance optimale de votre rseau,
de diagnostiquer les problmes de performance en exploitant des donnes historiques rcentes, didentifier les
liaisons sous-utilises et les liaisons satures, de documenter la performance actuelle du rseau des
fins d'usage interne et pour prouver que vous avez respect vos engagements de niveau de service.
Cet outil puissant de gestion rseau inclut des vues dtailles mais concises des priphriques rseau et de leur
tat sous une forme graphique intuitive. Permet aux gestionnaires rseau dvaluer les performances de leur
rseau, de dpister les sources de problmes et de grer de manire proactive leur rseau et la disponibilit de
celui-ci.

Les quipes de la Production de lANPE utilisent la suite de logiciels de Supervision BMC Patrol.
Le logiciel PiNNM (Patrol integration for Network Node Manager) a permis de mettre en place un canal
unidirectionnel NNM Patrol qui renvoi un ensemble dalertes slectionn au pralable par ladministrateur
du DRT.

Network Node Manager Extended Topology

Prend en charge la gestion de rseaux commuts htrognes (LAN et WAN), cest--dire la gestion de
niveau 2 ou VLAN. Lance des vues cibles partir des vnements pour une rsolution rapide des
problmes. Prend en charge une gamme extensible de priphriques et fournit des vues des protocoles
sexcutant par-dessus le rseau, comme OSPF.
Architecture matrielle

Station Sun UltraSparc

Ultra60Station Sun UltraSparc Ultral

Architecture logicielle

Solaris 8 + patch

PiNNM (pour PatrolEM 4.3)

Les modes opratoires

- En arrire plan :

Le daemon Network Node Manager surveille les quipements en effectuant des polling en ICMP et
SNMP, rcupre les Traps interne et externe, surveille les seuils, gnre les Traps , excute des
commandes automatiquement sur arrive de Traps et envoi certains Traps bien dfinis vers la station
Patrol EM.

- En avant plan :

Depuis les consoles de supervision (Station UNIX , Debian) et de linterface graphique OVW une
cartographie du rseaux est prsente.
Sont affiches les topologies rseaux, les map actives et les alertes via X11, les topologies rseaux, les
map actives et les alertes via serveur Web et Applet Java.
Sont configurs les paramtres de Supervision (communaut SNPM, seuils, action sur alerte) via X11
(dveloppement graphique Unix Xwindows)
SNMP (Simple Network Management Protocol) : traduisez protocole simple de gestion de rseau. Il s'agit
d'un protocole qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les
problmes de rseau.
23
Cartographie

Rseau ANPE




24
Cartographie Alarmes gnres par la console SYSLOG

Les alarmes Node alarms sont remontes sur les consoles de supervision.
Des agents installs sur les quipements (Routeurs, switchs) permettent des Traps SNPM.

Ses Traps sont transmis la console Syslog sur laquelle est install un outil Swatch .
Il permet de surveiller en continu un fichier de log et de ragir si une chane de caractres particulire
est dtecte. Les alertes dtectes sont envoyes dans la fentre All Alarms Browser. La raction est de
moins de 10 secondes et peut nouveau engendrer de nouvelles actions configures depuis la console
HP Open View.




Criticit des alarmes en fonction de la couleur (standard dans HP OPEN VIEW)







Les Node Alarms donnent des informations sur les rseaux impacts par lincident. Le technicien doit mener
des investigations pour analyser le problme.

Alarme Critique Alarme Majeur Alarme Mineur Alerte Etat normal


Chaque Alarme donne permet didentifier la source qui met le message
derreur.

Limpact sera diffrent selon le degr de gravit.

Une premire analyse rapide peut-tre effectu daprs la nature de lalerte.

Certaines alertes seront acquittes (corriges) par la console de supervision
pour les alarmes mineurs.
25
La premire mesure prendre sur un incident concernant un lment (Routeur / Switch) est de le pinguer.
Si la commande ping rpond rpond il faut se connecter via TELNET ou PUTTY (SSH) et vrifier ltat de
linterface.

Monitoring et dpannage

Commande SHOW

La commande show est trs efficace pour le monitoring et le dpannage. Elle est utilise pour excuter toute une
srie de fonctions :

Monitoring du routeur pendant l'installation et pendant sa production
Isolation des problmes d'interface, de mdia ou d'application
Dterminer la charge du rseau
Dterminer l'tat des serveurs, client ou encore des routeurs voisins

show ? Affiche les options de la commande SHOW
show access-lists
affiche les listes de contrles d'accs configurs sur le routeur ainsi que les interaces
auxquelles elles se rapportent
show buffers affiche l'tat du tampon du routeur
show clock affiche les paramtres horaires du routeur
show <interface>
affiche diffrentes statistiques pour l'interface concerne comme par exemple le type
de mdia raccord
show DECnet static affiche les routes statiques configures
show flash
affiche la version de lIOS utiliss par le routeur ainsi que la quantit de mmoire flash
utilise
show flash all affiche la quantit de mmoire flash utilise
show interfaces affiche les statistiques ainsi que les caractristiques de toutes les interfaces du routeur
show interfaces
accounting
affiche un aperu des protocoles voyageant au travers des interfaces
show ip arp affiche la table arp du routeur
show ip OSPF
<interface>
affiche le statut d'OSPF sur l'interface concerne
show ip route affiche la table de routage IP
show IPX interfaces affiche l'tat des interfaces IPX ainsi que leur adresse MAC
show ip protocols affiche les information de routage
show ip traffic affiche les statistique de trafic passant par le routeur
show ipx servers affiche les serveurs que le routeur connat
show line affiche les lignes actives du routeur
show log affiche les logs du routeur ( il convient d'activer les logs au pralable)
show memory affiche l'tat de la mmoire du routeur
show running-config affiche la configuration stocke en RAM, utilise par le routeur en fonctionnement
show startup-config affiche la configuration stocke en NVRAM, utilise par le routeur au dmarrage
show tcp affiche les connections TCP
show version
affiche le uptime du routeur, la version de l'IPS, la squence de boot ainsi que les
caractristiques physiques du routeur

Des procdures internes non dveloppes dans ce rapport permettent dintervenir sur les routeurs grs par
lANPE. Les autres routeurs sont grs par 9TELECOM et CEGETEL.
26
Erreurs courantes au niveau des trois premires couches du modle OSI
Les erreurs courantes au niveau de la couche 1 sont les suivantes :
Des cbles rompus.
Des cbles dconnects.
Des cbles raccords des ports inappropris.
Des connexions instables.
Des cbles inappropris pour la tche accomplir (les cbles console, les cbles
d'interconnexion et les cbles droits doivent tre employs bon escient).
Des problmes d'metteur-rcepteur.
Des problmes de cblage ETCD.
Des problmes de cblage ETTD.
Des units hors tension.
Les erreurs courantes au niveau de la couche 2 sont les suivantes :
Des interfaces srie configures de faon incorrecte.
Des interfaces Ethernet configures de faon incorrecte.
Un ensemble d'encapsulation inappropri (HDLC est utilis par dfaut pour les interfaces srie).
Une frquence d'horloge inapproprie pour les interfaces WAN.
Les erreurs courantes au niveau de la couche 3 sont les suivantes :
Un protocole de routage non activ.
Un protocole de routage activ mais incorrect.
Des adresses IP incorrectes.
Des masques de sous-rseau incorrects.
Des liens DNS-IP incorrects.

3. MRTG (Multi Router Traffic Grapher)

Permet de suivre de faon graphique le trafic des diffrentes interfaces rseaux dun systme visible via le
protocole SNMP.
MRTG permet de grapher lutilisation des interfaces locales de la machine et de suivre lutilisation des
interfaces dautres machines (en rseau par ex), puis le load average des systmes.
Pour fonctionner, MRTG besoin de :
- Modules Perl,
- GCC,
- GD, librairie Perl permettant de faire des dessins,
- Libpng, librairie utilise par GD pour gnrer des graphes au format ouvert,
MRTG nest quun script Perl, il ne se compile donc pas.
Les graphes MRTG sont visualiss depuis lINTRANET DRT, ils sont ractualiss toutes les 5 minutes.




27
Supervision du Rseau ANPE , Grapher gnrs par MRTG

28



29




30

4. Mtrologie et flux

L'ANPE dispose dune infrastructure rseau nationale permettant la connexion de ses multiples utilisateurs
(agents, partenaires, Internautes) aux applications centrales hberges sur le site de Noisiel (CTIN). Le
protocole rseau utilis par lensemble des applications est TCP/IP.

Le CTIN concentre la quasi totalit des flux rseaux que lon peut classer en 4 catgories :

- Les flux en provenance des sites connects au rseau interne de LANPE (Intranet) ;
- Les flux en provenance des sites extrieurs lANPE (Extranet et VPN) ;
- Les flux en provenance du MAN de Marne la Valle;
- Les Internautes (Grand Public).


Le logiciel Application Vantage permet la ralisation de tests unitaires, aide la rsolution de
dysfonctionnement et permet de constituer un rfrentiel de flux.

Application Vantage est un package logiciel constitu de 3 composants principaux :

Vantage Agent

Lagent Vantage est llment de base dApplication Vantage. Il capture le trafic applicatif du client
travers le rseau. Les traces quil enregistre sont compresses et cryptes.

Vantage Agent Manager

Ce module permet de dclarer et de grer les agents dans le systme (ajouter/retirer des utilisateurs, tester sils
sont joignables). Il est accessible directement partir de linterface utilisateur dApplication Vantage.

Linterface utilisateur dApplication Vantage est la composante centrale du produit. Elle permet de dfinir les
applications et les transactions associes que lon souhaite capturer. Au moment de la capture, ces traces
peuvent tre filtres et prises de diffrents points du rseau en fonction des agents dploys. Lors de la
consolidation des informations, les captures de chaque agent peuvent tre vues sparment et/ou tre fusionnes
(les translations dadresse sont dtectes et prises en compte). Un ensemble de vues graphiques et de donnes
tabules permet de documenter les rsultats issus des analyses de ces trames captures, mais aussi daider
dterminer do viennent les ventuelles dfaillances lies aux applications (problme rseau, problme
purement applicatif).
Tous ces composants peuvent tre distribus dans le rseau.

31
On obtient l'architecture suivante :













Slection des agents distants

Lors de louverture dAgent Manager partir de linterface Vantage, on obtient lcran ci-dessous. A partir de
cet cran, on peut chercher les agents sur le rseau et les slectionner. Au moment de la slection, un nom
dutilisateur et un mot de passe sera demand.



Capture dune trace

Slection des agents de capture
Lors de la capture dune trace, on slectionne les agents de capture dans la liste offerte par Vantage
Agent Manager.













Serveur
ou Utilisateur

Vantage Agent

- Capture
- Compresse
- Crypte
Application Vantage
Vantage Agent Manager

Vantage Agent

- Capture
- Compresse
- Crypte
WAN
Serveur
Web
Fusion automatique aprs capture
Agents slectionns pour la capture
Agent slectionn
32


Dfinition de filtres

Ensuite, des filtres peuvent tre dfinis sur les adresses MAC, IP ou IPX des machines qui font lobjet de la
capture, ou sur des sockets IP ou IPX.



















Fusion de deux traces

Aprs avoir capturer des traces partir dagents positionns ct client et serveur, Application Vantage permet
de fusionner ces traces 2 2. Ces traces peuvent aussi bien tre des traces Vantage, ou des traces de type Sniffer,
Distributed Sniffer, HP, Netscout, Net X-Ray, Observer, etc
























Trace ct client
Trace ct serveur
33


Dmarche suivie

Application Vantage est un outil conu pour aider lidentification et la rsolution de problmes de
performances des applications dans un environnement de production.
Il permet en particulier de faire la part de ce qui revient au rseau et lapplication.
A.V. peut dcoder les flux suivants :

Oracle 7.3 and 8i (NET8)
Sybase w/TDS 4.0 and 5.0
Informix SQLI v7
Microsoft SQL Server 6.5 and 7
DB2/400
Java (using HTTP)
Microsoft Networking (SMB)
NTTP
SMTP
POP3
Generic SQL, Novell NCP, NFSv2

Il est thoriquement possible avec Application Vantage didentifier rapidement la cause du ralentissement dune
application du point de vue de lutilisateur (poste de travail, application).

Rponse aux questions:

Quelle est la cause des mauvaises performances ?
Que doit-on changer pour amliorer les temps de rponse ?
Quels appels applicatifs, requtes de bases de donnes, prennent trop de temps ?

Quelles performances les utilisateurs exprimentent-t-ils ?
Vue unifie du rseau, des applications et du comportement du systme
Analyse des threads applicatives et bounce diagram
Timing de squences de chaque composant dune application

Possibilit dexaminer des traces en mlangeant des traces deux deux, trs important pour dterminer o se
trouve le goulet dtranglement.


Les informations collectes par les agents Vantage sont visualises au moyen de linterface utilisateur
dApplication Vantage.

Vues et tableaux extraits des traces

Conversation Map
La carte des conversations (conversation MAP) est une reprsentation graphique des changes de donnes entre
les diffrentes machines mises en uvre. Les nuds sont des points la priphrie dun cercle, et sont relis
entre eux par des fils bleus dont lpaisseur varie selon les volumes de donnes changes. Le volume est inscrit
sur le graphe, le long des fils, pas toujours de faon lisible (consulter de prfrence le tableau).





34
La croix rouge symbolise les erreurs qui sont survenues ; leur nombre figure devant la croix.
La table des conversations peut tre visualise sous forme de graphique ou de table et comporte les informations
suivantes :
Noeud1 <<>> Nud2
Nombre de bytes changs dans un sens et dans lautre
Nombre de bytes utiles ( Payload ) changs dans un sens et dans lautre
Nombre de trames changs dans un sens et dans lautre
Nombre de tours applicatifs
Nombre derreurs
Nombre de Warnings





35

Bounce Diagramm

Visualisation sous forme de flches des changes raliss entre les stations.
Ces changes sont horodats partir du dbut de la capture, les temps dattente de dbut et de fin peuvent tre
supprims.
De cette vue il est possible dobtenir le dtail de chacune des trames enregistres.





36
Thread Analysis

Visualisation sous forme de table et de graphique de tous les threads dune transaction, cette vue permet de
visualiser rapidement lenchanement ou le paralllisme des transactions.
Il est possible de visualiser les donnes du client vers le serveur et du serveur vers le client.
A partir de cette vue, il est possible de forcer le dcodage de protocoles applicatifs qui auraient t uniquement
dcods en tant quchanges TCP.
Il est galement possible dobtenir le dtail de chacune des trames enregistres
De nombreuses donnes danalyse sont prsentes dans cette vue.

Vue principale

La partie suprieure fournit toutes les donnes concernant chaque thread.
La partie centrale visualise les datas sous diffrentes formes : binaire, header et donnes interprtes quand cela
est possible.



Thread Analysis ( suite )

Complment de la vue principale : dtail des trames



37
Error Analysis

Table horodate rpertoriant toutes les erreurs observes lors des changes.





Packet Trace

Visualisation des trames changes.
Accs au dtail des trame en double cliquant sur une des cellules de cette table


38

Node Processing Details

Table horodate rpertoriant toutes les transactions classes par protocole applicatif et dure





Performance Overview



39
CNS Breakdown



Network Utilisation and Transit Time

Affichage sous forme de graphiques des dbits observs et des temps de transaction.
Affichages disponibles partir des diffrents onglets : Local -> Remote et Remote -> Local


40
Tracer des packets IP avec Tcpdump et Ethereal (Sniffers)

En voici donc les options et les diffrentes possibilits.

TCPDUMP
La commande "tcpdump" permet d'afficher les packets, mais pas leur contenu, il fonctionne en ligne de
commande.
exemple :
tcpdump -i eth0 not port 22 tcpdump -i eth0 port 20 or port 21 tcpdump -i eth0 port 20 and host 10.10.10.2

Format de la commande : tcpdump [option(s)] [condition(s)]


Option Dtail Exemple
-i Affiche les packets pour une interface spcifique tcpdump -i eth-s1p1
-x Mode "Verbose Hexa" : contenu des packets en Hexadecimal tcpdump -i eth-s1p1 -x
-X Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII tcpdump -i eth-s1p1 -X
-v Mode "Verbose light" tcpdump -i eth-s1p1 -v
-vv Mode "Verbose medium" tcpdump -i eth-s1p1 -vv
-vvv Mode "Verbose Full" tcpdump -i eth-s1p1 -vvv
-w Enregistre la sortie de TCPDUMP dans le fichier pass en paramtre tcpdump -i eth-s1p1 -w
trc20040427.dump
-r Affiche le contenu d'un fichier cr avec tcpdump -w tcpdump -r
trc20040427.dump


Exemples divers

Comment tracer les flux ftp venant de l'IP xxx.xxx.xxx.xxx
tcpdump port 21 and host xxx.xxx.xxx.xxx
Comment tracer les flux telnet venant des IP xxx.xxx.xxx.xxx. et xxx.xxx.xxx.xxx
tcpdump -i eth-s1p1 port 23 and host xxx.xxx.xxx.xxx or host xxx.xxx.xxx.xxx
Afficher un maximum d'informations sur les flux ftp.
tcpdump -i eth-s1p1 -vvv -X port 21




41
ETHEREAL

Ethereal est un analyseur multi-plateforme de (+ de 350) protocoles rseau. Il permet dexaminer les donnes
qui transitent sur votre rseau ou captures dans un fichier sur un disque. Vous pouvez donc voir le contenu de
vos paquets en direct et en dtail... comme un "sniffeur".

Les fonctionnalits que lon a remarqu sont linterface de cration des filtres et la possibilit de reconstituer
une session TCP (pour rgler ses problmes avec son serveur web ou mail, par exemple).
A noter, le nombre impressionnant de ports du logiciel qui comblera les administrateurs de parcs multi-
plateforme.
Note : La capture "live" des trames ncessite linstallation pralable de WinPCap (libre sous licence BSD).

Donc, ds que vous avez besoin d'analyser une trace IP (packets, trame...), utilisez Ethereal...




5. Administration rseaux / Divers

Mes interventions en situation :

- Effectuer des connexions en salle machine (cbles RJ 45 sur SWITCH AVAYA CAJUN P330 )

Attribution de port sur pour unVLAN donn

Intervention sur Routeur AVAYA

De: ASUR Prod [pdhdnat@brehat.anpe.fr]
Envoy: lundi 13 dcembre 2004 16:28
: henri.renaut@ext.anpe.fr
Objet: Incident rseau numro: I718725
ServiceCenter Operator: DRT.Support
42
Vous tes destinataire du dossier numro : I718725
Contenu du champ description :
Dans le cadre de l'intgration de 2 firewalls, nous voudrions avoir deux ports configurs sur Cajun-1 et Cajun-2
- 1 port dans le rseau 15.0.145.0/24 sur Cajun-1 (salle Paris)
(Destination : interface d'admin du firewall Porter)
- 1 port dans le rseau 15.0.145.0/24 sur Cajun-2 (salle Marseille)
(Destination : interface d'admin du firewall Mack)

PROCEDURE 1 port dans le rseau 15.0.145.0/24 sur Cajun-2 (salle Marseille)
(Destination : interface d'admin du firewall Mack)

Accder la console de management Cajun Switch Management
Fentre Gnral Information (Avaya Cajun Switch Agent v5.4.2)
Fentre Module Information, le module 12 dispose de ports libres (port 10 libre)
Fentre Switch Port, vrifier si le port est libre et laffecter au VLAN adm_rt
Je vrifie en salle machine les ports libres, je constate que le port 10 sur le module 12 est bien libre.


Fentre Switch Ports



Le port 12/10 est libre, il est affect au VLAN adm_rt. Pour affecter le Port 10 il faut cliquer sur le lien.

43

Fentre Detailed Physical Port Configuration - Port 12.10


Modifier cette fentre selon les prconisations rseau et lui donner un nom MACK ,
puis valider les modifications en cliquant sur



44
Fentre Physical Port Configuration - Module 12



On peut ainsi vrifier que la modification est bien effective

Fentre Configuration File Management


Pour CAJUN1 nous avons pris le module 12 et le port 10 qui tait disponible de faon avoir une configuration
identique (Ce qui nest pas toujours le cas).


Pour sauvegarder la modification dans la fichier de config
cliquer sur le lien Configuration <Configuration Files > < File
Management >.
Cliquer ensuite sur le bouton

45
- Vrifier des ports sur SWITCH AVAYA CAJUN depuis la console de Management Avaya

- Intervenir sur le Firewall ARAGON en salle machine (dconnexion des fibres)

- Affectation de ports sur Vlans (encadr par un administrateur)

- Intervenir chez utilisateur pour un problme de ngociation de carte rseau, problme identifi se rvlant
tre un dfaut dans la prise murale.

- Modifier un nom dun port mal renseign sur un switch AVAYA.

- Identifier les problmes depuis lEspace Client France Tlcom et suivre les dossiers.

- Capturer des trames sur un port (mirroring, sniffer Ethereal)

- Crer des noms DNS (demande PROD-GEODE) sur serveur DNS Principal BELZEBUTH

Ajout et suppression de DNS sur des adresses IP communiqus par la PROD

1) vrifier que le nom de la machine n'existe pas dj ainsi que son reverse dans une session DOS

nslookup xxx.anpe.fr

2) se connecter en ssh (Putty) Belzebuth

3) excuter la commande "nsupdate -d"

Commande :

>nsupdate d


Suppression de noms DNS du ficher named.conf avec la commande Update

Nom DNS pour IP adresse 192.168.xx.x
>update delete 192.168.60.5.in-addr-arpa. IN PTR ovarq.anpe.fr.

Zone inverse DNS pour IP adresse 192.168xx.x
> update delete x.xxx.60.192.in-addr-arpa. IN PTR ovarq.anpe.fr.

Ajouts de noms DNS dans le ficher named.conf
>update add ovarq.anpe.fr.in-addr-arpa. 86400 IN 192.168xx.xx

Ajouts de la zone inverse
>update add xx.xx.168.192.in-addr-arpa. 86400 IN PTR ovarq.anpe.fr.

Vrifier la rsolution de nom pour ladresse 192.168.xx.xx depuis une fentre Dos
>nslookup ovarq.anpe.fr




46
- Ajoute de rgles dans le FIREWALL avec CHECK POINT SmartDashboard

Objet de la demande :

il faudrait ouvrir vers la machine xxx.xxx..xxx.xx lehar, les ports
0000,0000,0000 et 0000, partir du poste 15.xx.xx.xxx



Saisir le password et cliquer sur OK



Faire un search de la machine lehar, pour vrifier si une rgle existe pour cette machine




Il existe une rgle en ligne 30 et 31 pour cette machine.
En ligne 30 cellule SOURCE, faire un clic droit et ADD
47
Renseigner les champs Name, IP Address et modifier color puis OK.



En ligne 30 cellule SERVICE, faire un clic droit et ADD. Renseigner les champs Name, Port et modifier color
Puis OK.



Faire une sauvegarde en modifiant le nom du fichier et quitter.





48

6. Schemas architectures


a. Architecture du rseau ANPE



Rseau FR DOM
TRANSPAC
Rseau ATM/FR (Transpac)
Global Intranet
(Transpac)
CISI
MAILLE-
NORD
ALE
Bornes
Portables DG/DRA
CENTRAL
2
GALILEE
DRA /
CRDC
2 *2 Mb/s
DDA DOM
ALE
DOM
128 K
b/s
2 * 512 Kb/s
512 Kb/s
128 Kb/s
10 Mb/s
10 Mb/s
10 Mb/s
10Mb/s
PCLA
PPP
2 Mb/s
CTI NOISIEL
Serveurs Publics
(www.anpe.fr, Isa,
Gescand...)
Applis internes
( SAGE, AGIR,
OASIS..)
Accs internet
Messagerie...
(changes Internet
Intranet)
MAN "Marne la
Valle" Piazza
128 Kb/s
2 * 512 Kb/s
ANPE/DSI/Dpartement Rseaux et Tlcoms/ Service ASR maj 15/09/2003
Lien OPERATEUR
Lien OPERATEUR
Lien OPERATEUR
RTC
RNIS
ADSL
liaisons satellites en secours ,
Liens nominaux via cbles
intercontinentaux sous-marin
Firewall
Transrel 2Mb/s
T
r
a
n
s
r
e
l

2
M
b
/
s
MICHEL-
ANGE
2 * 34 Mb/s
2 * 12 Mb/s
sur 34 Mb/s disponible
Internet
2 * 32Mb/s
sur 45 Mb/s disponible
Firewall

49
b. Plate-forme Internet Noisiel


50


7. Description des technologies dployes dans ce rseau



ADSL : Asymetric Digital Subscriber Line
Ligne d'abonn numrique dbit asymtrique.
Technologie permettant de transporter des donnes numriques sur une ligne tlphonique classique et
d'atteindre des dbits de plusieurs centaines de Kbit/s. Les donnes sont transportes en employant un
signal frquence trs leve. Ce signal ne vient pas empiter sur les frquences utilises pour
transmettre la voix et laisse la ligne tlphonique libre pour un appel en mme temps que le transfert de
donnes. Les dbits sont dits asymtriques, parce qu'il n'y a pas d'quivalence entre la vitesse de la
transmission rseau/abonn et celle de la transmission abonn/rseau.

FRAME RELAY : (Relais de trames) Amnagement du protocole de rseau commutation de paquets
X.25 visant augmenter au maximum le dbit sur ces rseaux
La commutation de paquets est une technique pour la transmission de donnes sur un rseau . Le
protocole X.25, de l' UIT-T , a normalis les diffrents aspects de cette technique et a servi btir le
premier rseau franais spcialis dans la transmission de donnes, Transpac. Il offre un dbit allant
jusqu' 2 Mbit/s.
Ce dbit est peu lev au regard des applications de ces dernires annes, notamment parce que les
contrles d'erreur et de flux sont trs rigoureux avec X.25 et font baisser le dbit effectif.
Le relais de trames (frame relay) a permis de pousser ces dbits jusqu' 45 Mbit/s en plaant les paquets
X.25 dans des trames et en rduisant le nombre de contrles, la qualit des liaisons tant suppose
suffisante pour que cela n'entrane pas trop de demandes de renvoi de paquets.
Cette technologie est dsormais dpasse par la technologie ATM.

SDSL : Symetric Digital Subscriber Line
Ligne d'abonn numrique dbit symtrique.
Technologie de transmission permettant d'atteindre des dbits compris entre 144 Kbit/s et 1,5 Mbit/s.
Les changes s'effectuent sur une paire de cuivre mais ne peuvent avoir lieu en mme temps qu'un appel
tlphonique. SDSL est rserve aux transmissions sur de courtes distances o les changes doivent
avoir lieu la mme vitesse dans les deux sens.

LL : Liaison Loue
La liaison loue est une liaison permanente de tlcommunication utilisant le rseau public. Elle permet
de connecter 2 sites gographiquement distants afin dchanger des donnes. Cest le cas, par exemple,
des entreprises multi-sites telles que lANPE qui connectent le sige leurs agences.

MPLS :Multi-Protocol Label Switching
MPLS associe la flexibilit de la communication offerte sur le RTPC (rseau Tlphonique Public
Commut) ou Internet la fiabilit, la qualit et la scurit des services fournis sur ligne prive, Frame
Relay ou ATM. Cette technologie permet de construire sur un rseau un chemin balis entre un point de
dpart et une destination.
Elle se fonde sur ltiquetage par label de chaque paquet qui entre dans un rseau et qui va
progresser le long du chemin, appel LSP (Label Switched Path : chemin commut par tiquette),
par commutation des labels. Cette technique, appele tagging .

VPN : Virtual Private Network
Les rseaux privs virtuels (VPN : Virtual Private Network) permettent l'utilisateur de crer un chemin
virtuel scuris entre une source et une destination. Grce un principe de tunnel (tunnelling) dont
chaque extrmit est identifie, les donnes transitent aprs avoir t chiffres. Un des grands intrts
des VPN est de raliser des rseaux privs moindre cot.

Les principaux protocoles permettant de faire du tunneling sont les suivants :
PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft,
3Com, Ascend, US Robotics et ECI Telematics.
51
L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco, Northern Telecom
et Shiva. Il est dsormais quasi-obsolte.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour
faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2
s'appuyant sur PPP.
IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres
pour les rseaux IP.

PROTOCLE OSPF : Open Shortest Path First (RFC 2328)

Ce protocole est plus performant que RIP et commence donc le remplacer petit petit. Il s'agit d'un protocole
de type protocole route-link (Protocole d'tat des liens), cela signifie que, contrairement RIP, ce protocole
n'envoie pas aux routeurs adjacents le nombre de sauts qui les spare, mais l'tat de la liaison qui les spare. De
cette faon, chaque routeur est capable de dresser une carte de l'tat du rseau et peut par consquent choisir
tout moment la route la plus approprie pour un message donn.
De plus, ce protocole vite aux routeurs intermdiaires d'avoir incrmenter le nombre de sauts, ce qui se
traduit par une information beaucoup moins abondante, donc d'avoir une meilleure bande passante utile qu'avec
RIP.

Ce protocole de routage interne est utilis entre les switchs et les routeurs du rseau dploy. Il permet
notamment de calculer le plus court chemin emprunter, ce qui reprsente un gain de temps dans les
transmissions ; il permet aussi, lorsque lon possde des liens redondants, de router vers un autre chemin si le
principal cde.




LAG (802.3ad) : Link Aggregation Groups (trunking) Agrgation de liens

Les modles de switch/routeur de lANPE, AVAYA P333T et P333R, dispose dun rseau de commutation
quatre Gbps, de 24 ports 10/100 et dun support LAG allant jusqu huit ports 10/100, deux ports 100 Base-FX
ou deux ports Gigabit Ethernet ;

Le LAG a deux principaux avantages :

- Etablir des liens hauts dbits entre quipements : les switchs disposent de ports pouvant dbiter jusqu 100
Mb/s ; en crant un LAG, cest dire un mme matriel que lon relie au moyen de deux cbles ou plus, on
obtient alors une bande passante de 200 Mb/s (2 x 100 Mb/s).

- Impact : rduction des cots inutiles dans des modules Gbits.

Crer une redondance matrielle : si lun des deux liens tombe, le second assure la connexion mais avec une
bande passante qui correspond celle dun seul cble : 100 Mb/s.











52
Schma de principe du LAG










Commandes effectuer sur le switch AVAYA p330T pour activer le LAG dans le mode config :

Set port channel 1/1 on nom_du_lag affectation du LAG un port
Set port channel 1/2 on nom_du_lag affectation du LAG un port

Commandes effectuer sur le switch AVAYA p580T pour activer le LAG dans le mode config :

Set huntgroup nom_lag load sharing enable activation dun LAG
Set port huntgroup 2/1 nom_lag affectation du LAG un port
Set port huntgroup 2/2 nom_lag affectation du LAG un port


53
Le Tagging

Le trunking, plus communment appel tagging , permet dacheminer du trafic provenant de diffrents
VLANs sur une liaison point point entre deux lments actifs du rseau : les paquets sont marqus afin dtre
reconnu par leur destinataire : ici on peut remarquer trois VLANs diffrents reprsents par les couleurs verte,
rouge et bleue.






Commandes effectuer sur le switch AVAYA p330T pour activer le tagging dans le mode config .
On considre que les VLANs sont dj dfinis dans la configuration.

Set trunk 1/1 dot1q activation du tagging
Set port vlan-binding-mode 1/1 bind-to-configured dfinition du port porteur

Commandes effectuer sur le switch AVAYA p580 pour activer le tagging dans le mode config :

Set port trunking-format 1/1 ieee-8021q tagging sur le port 1/1
indique le chemin des paquets destination des VLANs 1, 2 et 3

54
Le protocole VRRP (RFC 2338)

VRRP : Virtual Router Redundancy Protocol

Ce protocole permet plusieurs routeurs (256 au maximum) sur un mme rseau local de se secourir
mutuellement. Si ce dernier tombe en panne, les autres prennent le relais. Ce protocole fonctionne sous un
principe matre-esclave

Par exemple, si lon utilise ce protocole avec deux routeurs :

Les deux machines partagent une mme adresse IP virtuelle et galement une mme adresse MAC. Plus
prcisment, seul le routeur actif possde ses adresses. Ladresse MAC appele VRID , peut tre configure
manuellement et est commune aux deux machines. Grce ce protocole, un routeur peut secourir plusieurs
routeurs la fois.
A un instant donn, seule une machine rpond ladresse IP virtuelle et ladresse MAC (cest le matre),
lautre restant en sommeil (cest lesclave ou backup). La machine active met toutes les secondes un
datagramme multicast pour indiquer lautre quelle est toujours vivante :




Lorsque la machine active dfaille, les paquets multicast ne sont plus mis :
La seconde machine qui tait en sommeil va alors dtecter labsence des paquets VRRP et sapproprie alors
son tour ladresse IP virtuelle et ladresse MAC. Un paquet ARP est alors envoy pour forcer les machines du
rseau local faire une mise jour de leur table ARP : ceci permet aux machines du rseau local de continuer
pouvoir dialoguer avec le routeur 2 ( 10.0.10.2 ).
La nouvelle machine active met ensuite, son tour les paquets VVRP multicast.




Une spcification de VRRP stipule que la reprise, en cas de dfaillance, se fait en moins de quatre secondes.
55
VII. Conclusion

Ce stage ma permis dtre au cur dun dpartement stratgique : le DRT.

Au cours de cette priode jai pu apprhender les difficults superviser, administrer et maintenir un
rseau la pointe des nouvelles technologies. J'ai t confront des mises en situation qui
demandaient une trs grande ractivit et une rflexion pour dterminer limpact provoqu par des
incidents critiques, majeurs et mineurs.

Lquipe Support niveau 3 ma permis de me familiariser avec les outils indispensables la
supervision et ladministration rseau (Proxy, Firewall, routeurs, switchs, outils, procdures, services
client, Help Desk, consoles de management,) et dacqurir de nouvelles connaissances tant au
niveau technique quau niveau organisationnel Cette exprience me conforte dans ma rflexion me
diriger vers l administration rseau et du parcours quil me reste effectuer pour m approprier le
savoir.

Je garderai de mon passage la DRT un trs bon souvenir dun point de vue technique et relationnel
au sein dune quipe comptente et disponible que je tiens encore remercier.



56
Glossaire

Administrer : Partie active de ladministration.
Anomalie : Ecart, dviation, dysfonctionnement constat pour un systme en fonctionnement ou un rsultat
produit par rapport ce qui est prvu.
CISI (Centre Interrgional de Services Informatique) : Centres informatiques rgionaux. Ces centres sont
rattachs au CTIN par l'intermdiaire de liaison frame-relay (rseau FR.F8).
Correction : Action visant liminer une non-conformit.
CTIN (Centre de Traitement de l'Informatique National) : Centre informatique de l'ANPE. C'est la porte
d'entre du SI de l'ANPE.
Dfaut : Non-satisfaction dune exigence relative une utilisation prvue ou spcifie.
Drogation (avant production) : Autorisation de scarter des exigences spcifies lorigine pour un produit
avant sa ralisation.
Hub : Un hub est une sorte de "prise multiple" pour les connections inter-equipement. Un hub contient un
nombre certains d'interfaces (4, 8, 16, 20, ...) sur lesquelles on branche des quipements pour y accder en
gnral en TCP (telnet, ftp, http...). Le principe du hub est d'envoyer sur chaque interface toutes les informations
qui arrivent, sans filtre ni aucun autre test. La majorit des hubs sont quips d'un port qui peut tre invers dans
le cas ou l'on doit brancher un cble droit, alors qu'il faudrait un cble crois. Les hubs sont galement utiliss
pour dupliquer des prises, tels que les hubs USB pour brancher plusieurs priphriques USB (par exemple un
modem, une souris, une webcam et un scanner).
Interface : Une interface est le nom donne aux prises rseau. Sur une interface, on peut mettre une adresse IP
physique, et en gnral configure galement, si ncessaire, des adresses IP virtuelle. Ainsi, une machine peut
rpondre sur plusieurs adresses IP diffrentes, alors qu'il ne s'agit que d'un seul et unique branchement physique,
que d'une seule interface.
Logigramme : Reprsentation symbolique usuellement utilise pour illustrer le flux des actions dune
procdure.
Non conformit : Non satisfaction dune exigence.
Procdure : (Daprs la dfinition de la Norme ISO 8402)
Manire spcifie daccomplir une activit : CE qui doit tre fait et QUI doit le faire ; QUAND, OU et
COMMENT Cela doit tre fait et COMMENT cela doit tre enregistr.
Processus : Ensemble dactivits corrles ou interactives qui transforme des lments dentre en lments de
sortie.
Produit : Rsultat de la ralisation dun processus.
RLQ (Responsable Local Qualit) : Responsable de lapplication dans leur entit de la politique qualit de la
RQ (Responsable Qualit) : Responsable de la qualit de la DSI.
DSI, en accord avec sa hirarchie.
Routeur : Un routeur permet de dfinir une route pour une connexion grce la table de routage. La
comparaison peut donc se faire avec un trajet en voiture. Si vous voulez aller de Rennes Paris, entre les 2,
vous suivrez toujours le panneau Paris, mme si vous tes pass par Laval et Le Mans. Le routeur correspond en
fait au panneau indicateur qui se trouverait au Mans. Ce panneau dit : vous venez de Rennes, vous voulez aller
Paris, voil par o aller. La table de routage est un ensemble d'adresse IP et de destination (en gnral, la
commande "netstat -nr" permet de consulter cette table).
Service : Ensemble de produits pour rpondre une exigence formule. La premire catgorie gnrique de
produits correspond aux services (par exemple transport de linformation).
Surveiller : Supervision passive de ladministration.
Switch : Un switch est un hub amlior, c'est dire qu'au lieu d'envoyer les flux travers toutes les interfaces, il
ne l'envoi qu' l'interface destination. Donc, un Switch sur lequel 5 serveurs seraient connects, si l'un dcide de
communiquer avec un autre, la communication ne se fera qu'entre les 2, sinon, tous les serveurs auraient reu la
demande de connexion. Le Switch peut galement limiter des connexions en interdisant des connexions entre 2
machines. Par exemple, si vous essayer d'accder un serveur, il va d'abord vrifier si votre adresse source le
droit d'y accder. C'est ce qu'on appelle des ACL et pour une plage d'adresse, elle va vous diriger vers un autre
routeur jusqu' ce que vous arriviez destination. Comme le switch, le routeur peut limiter des connexions en
interdisant des communications entre 2 machines. C'est toujours ce qu'on appelle des ACL.