Вы находитесь на странице: 1из 62

UNIVERSITE FRANCAISE D’ABIDJAN ECOLE SUPERIEURE DE GENIE INFORMATIQUE

MEMOIRE
Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS)
Discipline : Systèmes, Réseaux et Cloud Computing

MISE EN PLACE D’UN VPN


(SITE-TO-SITE) AU SEIN D’UNE
ENTREPRISE : CAS DE LA SOROUBAT
(SOCIETE DE ROUTES ET BATIMENTS)

Présenté par : Encadreur :

DENAGNON Franck M. AGBISSI Jean- Paul

Année académique 2017 - 2018


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

SOMMAIRE
SOMMAIRE ………………………………………………………………………………………… 02
AVANT-PROPOS………………………………………………………………………………...……. 03

REMERCIEMENTS…………………………………………………………………………………… 04

LISTE DES ABREVIATIONS ET ACRONYMES ………………………………………………. 05

INTRODUCTION GENERALE ……………………………………………………………………… 07

INTRODUCTION ……………………………………………………………………………………… 08

PREMIERE PARTIE : APPROCHE METHODOLOGIQUE ……………………………………... 10

INTRODUCTION DE LA PREMIERE PARTIE ……………………………………………………. 11

CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET……………………………. 12

CHAPITRE 2 : ETUDE ET CRITIQUE DE L’EXISTANT………………………………………. 15

CONCLUSION DE LA PREMIERE PARTIE …………………………………………………. 19

DEUXIEME PARTIE : ETUDE TECHNIQUE ET CONDITIONS DE REALISATION…………. 20

INTRODUCTION DE LA DEUXIEME PARTIE…………………………………………………. 21

CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES …………………. 22

CHAPITRE 2 : LES RESEAUX PRIVES VIRTUELS ……………………………………………… 33

CHAPITRE 3 : ADMINISTRATION ET SECURITE………………………………………………… 40

TROISIEME PARTIE : MISE EN OEUVRE DE L’INTERCONNEXION ………………………… 43

CHAPITRE 1 : PLAN D’ACTION DU DEPLOIEMENT……………………………………………45

CHAPITRE 2 : CONFIGURATION DES EQUIPEMENTS ET SERVICES …………………. 47

CHAPITRE 3 : ESTIMATION FINANCIERE DU PROJET ………………………………………... 60

CONCLUSION GENERALE ………………………………………………………………………. 61

BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE ………………………………………… 62

ESGI / UFRA DENAGNON FRANCK Page 2


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Avant-propos

L’Université Française d’Abidjan (UFRA) réunit sept établissements supérieurs (Groupe


ESG) dans les domaines du Management, Comptabilité, Finances, Ressources Humaines,
Commerce International, Marketing, Publicité et de l’Informatique. Le groupe compte un
établissement de formation continue.

La naissance de l’UFRA ou en d’autres termes la délocalisation en Côte d’Ivoire des


Diplômes Techniques Français, répond aux vœux formulés par de nombreux cadres et étudiants,
désirant se spécialiser dans les différentes filières de très haut niveau relevant du domaine du
management, de l'informatique et de la gestion des entreprises. Le but secondaire étant bien sûr
de décrocher un Diplôme Supérieur Français tout en restant à Abidjan.
La filière qui nous concerne, est la filière informatique de l’Ecole Supérieure de Génie
Informatique - PARIS (ESGI - PARIS)
Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus
académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des
travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil.
Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises
pendant les trois années de formation.

Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to -
Site) au sein d’une entreprise ".

Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a
pour but de présenter le résultat du travail effectué sur ledit thème.

Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en
place d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions
idoines aux problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre
formation académique et de nos réflexions empiriques.

ESGI / UFRA DENAGNON FRANCK Page 3


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Remerciements

Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de
parvenir à ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il
convient de remercier. Il aurait été certainement plus juste de remercier nommément chacune
d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour
leur contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu
figurer ici.
Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs
sans qui ce travail n'aurait pas pu aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu
tout le long de mon parcours.
J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette
formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice
de l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA)
J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir
fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean-
Paul, pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire.
Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience
dans le domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout
en respectant les architectures en place.
Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné
ma chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet
de Bachelor dont mes collègues et camarades de classe.

ESGI / UFRA DENAGNON FRANCK Page 4


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Listes des abréviations et acronymes


AES : Advanced Encryption Standard

ARP : Adress Resolution Protocol

ANSI : American National Standard Institute

ADSL : Asymmetrical bit rate Digital Subscriber Line

AES : Application Environment Service

ASCII : American Standard Code for Information Interchange

CDMA : Code Division Multiple Access

CSMA/CD : Carrier Sense Multiple Access / Collision Detection.

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name System/Service

DMZ : DeMilitarized Zone

DES : Data Encryption Standard

EAP : Extensible Authentication Protocol

ERP : Enterprise Resource Planning

FAI : Fournisseur d'Accès Internet

FDDI : Fiber Distributed Data Interface

FTP : File Transfer Protocol

HTTP : Hyper Text Transfer Protocol

HTML : Hyper Text Markup Language

IKE : Internet Key Exchange

ISO : International Standards Organisation.

ISP : Internet Service Provider

IEEE : Institute of Electrical and Electronics Engineers

ICMP : Internet Control Message Protocol

IPSEC : Internet Protocol Security

ISAKMP : Internet Security Association and Key Management Protocol

L2F : Layer Two Forwarding

ESGI / UFRA DENAGNON FRANCK Page 5


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

L2TP : Layer Two Tunneling Protocol

MAC : Message Authentification Code

MAU : Multisession Access Unit.

NAT : Network Adress Traduction

NAS : Network Attached Storage

NTIC : Nouvelles Technologies de l'Information et de la Communication

OSI : Open Systems Interconnection

PPP : Point To Point Protocol

PoE : Power over Ethernet

PKI : Public Key Infrastructure

PING : Packet Internet Groper.

PPTP : Point To Point Tunneling Protocol

QoS : Quality Of Service

RA : Registration Authority

RFC : Request For Comments

RIP : Routing Information Protocol

RNIS : Réseau Numérique à Intégration de Services

SHA : Secure Hash Algorithm

SSL : Secure Socket Layer

STP : Shielded Twisted Pair

SA : Security Association

SNMP : Simple Network Management Protocol.

SARL : Société par Actions à la Responsabilité Limité

SOROUBAT : Société Route et Bâtiments

TCP/IP : Transmission Control Protocol/Internet Protocol

UDP : User Datagram Protocol

UTP : Unshielded Twisted Pair

VSAT : Very Small Aperture Terminal

WAN : Wide Area Network ou réseau Etendu

WIFI : Wireless Fidelity

ESGI / UFRA DENAGNON FRANCK Page 6


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Introduction générale

ESGI / UFRA DENAGNON FRANCK Page 7


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Introduction
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications
ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi indispensable
que l’eau et l’électricité, aucun développement ne saurait se faire sans elles.

La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou
encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions,
administrations, etc…).

C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a
entrepris des réformes dans le domaine de la télécommunication visant à informatiser les
différents secteurs d’activité.

Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui
était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les entités
informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la naissance
du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel).

C’est dans cette même veine de besoin à satisfaire que la SOROUBAT a initié ce projet ayant
pour thème « Mise en place d’un VPN (Site–to-Site) au sein d’une entreprise ».

I. Problématique
Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé
graduellement comme un instrument primordial dans le monde professionnel, devenant l'outil
incontournable pour la gestion de l'information allant jusqu’ à la prise de décision d’une
importance capitale pour les entreprises
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important
marché en 2007. Ce projet de 75,8 Km, entrant dans le cadre du prolongement de l’autoroute du
Nord reliant ABIDJAN à YAMOUSSOUKRO, est composé de 3 lots comportant 11 échangeurs
et 9 passages inférieurs :

- Lot 1 (14,5 Km) de SINGROBO à TAABO


- Lot 2 (29,5 Km) de TAABO à TOUMODI
- Lot 3 (31,8 Km) de TOUMODI à YAMOUSSOUKRO.

Suite à la réalisation de ce projet depuis fin 2012, la société SOROUBAT a axé sa stratégie
de développement sur son service informatique notamment en mettant en place une
interconnexion entre ses différents chantiers à l’intérieur du pays et son siège social sis à Abidjan.
Cependant, dans sa gestion quotidienne, la SOROUBAT éprouve plusieurs difficultés
concernant la gestion centralisée de ses données et informations ainsi que dans l’interactions
avec ses sociétés du groupe.

ESGI / UFRA DENAGNON FRANCK Page 8


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Par exemple, vu la demande étendue à différents chantiers repartis sur le territoire ivoirien
elle a du mal à fédérer le suivi de ses stocks et demande en approvisionnement.
Pourtant, une rupture de stock ou un retard de livraison est susceptible d’immobiliser
plusieurs engins qui peuvent conduire à l’arrêt des travaux sur le chantier.
La nécessité pour la Direction Générale de disposer d’un moyen de transmission et de
réception (interconnexion) des flux de donnés regroupant, mobilité, itinérance et fidélité s’impose.
Cette interconnexion devrait constituer la boussole des services de transmissions à
distance de l’entreprise, il devient évident que la mise en place d’un tel système serait très
judicieuse pour la pérennité du système d’information du groupe SOROUBAT.
Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau Privé
Virtuel (VPN) au sein d’une entreprise ».
Cependant, cette situation suscite un certain nombre d’interrogations :
- Comment la SOROUBAT est-elle organisée dans son système d’information actuel ?
- Comment accéder à distance de n’importe où aux ressources de données du siège ?
- Quelles dispositions prendre pour assurer une interconnexion optimale des différents sites
distants au sein de la SOROUBAT ?

II. Méthode et stratégie de recherche

Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans les
centres de documentations et bibliothèques universitaires il s’agit de :

- La bibliothèque de l’Université Française d’Abidjan (UFRA) sis au plateau ;


- Au centre culturel Français d’Abidjan au plateau ;
- Les sites Internet de technologies

Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des ouvrages
généraux, des ouvrages spécialisés, des revues, des rapports d’études, des mémoires. Ces
ouvrages et sites web donnerons une connaissance générale sur le thème et nous permettrons
d’élaborer un plan de travail beaucoup plus scientifique.

L'architecture de l’étude s'articule autour de trois grands mouvements désignés sous le


vocable de « parties ».
Nous avons adopté pour une approche volontairement pédagogique et opératoire :

 La première partie sera une réflexion théorique et globale qui aborde de façon
analytique le thème.
Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.

 La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche du
projet.
Un accent particulier sera mis sur une étude technique suivit de la présentation d’une
solution architecturale ainsi que sur l’administration et la sécurité du réseau.

 La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième partie sera
consacrée à la mise en service du VPN et des services associés de façon pratique suivi
d’une évaluation financière du projet.

Nous terminerons ce mémoire par une conclusion générale et des perspectives.

ESGI / UFRA DENAGNON FRANCK Page 9


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Première partie :
Approche méthodologique

ESGI / UFRA DENAGNON FRANCK Page 10


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Introduction de la première partie

Cette première partie de l'étude consiste en une réflexion purement théorique sur le sujet et
expose la démarche méthodologique adoptée pour le traiter. Elle s'attache ainsi, exclusivement,
à montrer l'intérêt scientifique du sujet, à poser le problème, à dégager les hypothèses de
recherche, à élaborer la méthodologie sur laquelle s'appuie la recherche, et enfin à indiquer les
modes de mobilisation et de production de l'information.

Cette partie comporte deux chapitres :

- Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux scientifiques
et pose le problème. Il s'agit aussi, par une analyse de présenter « l 'état des lieux » d'un tel
sujet.

- Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant sur lequel
s'appuie la recherche. Une deuxième phase de ce chapitre indique les besoins qui ressortent
de cette analyse, constituant la substance de l'étude.

ESGI / UFRA DENAGNON FRANCK Page 11


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 1 : Présentation et contexte du projet

I. Présentation de SOROUBAT

Dans cette partie de notre mémoire, nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la
structure organique de l'entreprise SOROUBAT-CI.

I.1 - Situation géographique et juridique

La « Société des Routes et Bâtiment » en abrégé SOROUBAT, est une entreprise de droit
tunisien ayant pour cœur d’activité principale les BTP (bâtiment et travaux publics), elle a une
représentation en Côte d’Ivoire.

En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché
en 2007. La SOROUBAT-CI est une société à caractère privé, à responsabilité limitée (Sarl) au
capital de 4. 000. 000.000 FCFA (Quatre milliards de Francs CFA).

Au départ succursale, elle est devenue une SARL. Elle se développe en groupe à ce jours
plusieurs sociétés émanent de SOROUBAT-CI (SAME BUSINESS, SOGECAR, MADALY
SANTE, MADALY TOUR, SIAG, SADEP, C2SR, SDIA, FC SAN PEDRO).

I.2 - Objectif et mission

SOROUBAT-CI, intervient dans le domaine des travaux publics tels que les routes,
l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais elle s’est plus
particulièrement spécialisée dans la construction des routes, autoroutes et ouvrages d’arts.

Par son bon fonctionnement et son activité, la SOROUBAT contribue à soutenir


l'économie et la politique nationale car pour la construction des infrastructures, la SOROUBAT
utilise la main d'œuvre locale, et paie les impôts à l'Etat Ivoirien.

I.3 - Activités

La SOROUBAT-CI a pour principale activité la construction des routes et des bâtiments.


Elle a actuellement le projet de la voie Odienné - Madinani -Boundiali et la voirie de la nouvelle
zone industrielle de Yopougon au PK24.

Aujourd’hui, la SOROUBAT a diversifié ses activités et est devenu un groupe avec


différentes filiales dont :

- SOGECAR (Société de Gestion de Carrière).

- SAME BUSINESS. (Vente d’engin)

- FONCIERE IVOIRIENNE. (Société de gestion foncière et immobilière)

- MADALY TOURS. (Agence de tourisme IATA)

- MADALY SANTE. (Vente d’équipement médicaux et paramédicaux)

ESGI / UFRA DENAGNON FRANCK Page 12


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Ses caractéristiques principales sont les suivants :

- Raison sociale : Société de Routes et de Bâtiments en Côte d’Ivoire (SOROUBAT-


CI)
- Localisation : II Plateaux Vallon, non loin de la SGBCI Vallon route d’Attoban.
- Statut juridique : Société à Responsabilité Limitée (SARL)
- Capital social : 4 000 000 000 FCFA
- Téléphone : 22 41 35 10
- Compte contribuable : 0717959 M
- Email : soroubatci@yahoo.fr

I.4 - Organisation

Structure organique de l'Entreprise : L’organisation de la SOROUBAT-CI s’articule autour de


plusieurs directions et services.

Pour mener à bien ses activités de construction de l’autoroute du nord, la SOROUBAT


s’est subdivisée en six (05) grandes directions :

- La Direction Générale ;
- La Direction Administrative et Comptable ;
- La Direction Financière ;
- La Direction des Projets ;
- La Direction du matériel.

II. Présentation du thème

II.1 - Intérêt de l’étude

Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses ressources.

Vu l’ambition de la SOROUBAT d’être leader des BTP sur l’échiquier international, et dans le but
de lui permettre d’être interconnecté entre ses différents sites nationaux et même internationaux,
il a été jugé bon de nous pencher sur la question de la : « Mise en place de Réseau Privé Virtuel
(VPN) au sein d’une entreprise » et d’en faire une référence.

II.2 - Objectifs de l'étude

II.2.1 Objectifs principaux

Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place d'une
interconnexion entre plusieurs site distant à travers un VPN afin de faciliter les échanges distants
de données au sein de la société SOROUBAT et de ce fait de mieux gérer le système
d’information de l’entreprise.

ESGI / UFRA DENAGNON FRANCK Page 13


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II.2.2 Objectifs spécifiques

Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place
un réseau virtuel privé stable et opérationnel. Ceci nous amènera donc à étudier différents
aspects :

- Nous évaluerons le type de VPN le mieux adapté aux besoins de l’entreprise.

- Nous définirons la sécurité des données.

- Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon
fonctionnement.

II.3 - Cahier de charge

Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi riche
et prometteur que le thème.
En effet les contraintes globales que nous devons respecter sont les suivantes :
- Identifier les différents services de SOROUBAT ;

- Proposer un plan d’adressage par SUBNETTING ;

- Configurer les routeur VPN ;

- Assurer la confidentialité des connexions ;

ESGI / UFRA DENAGNON FRANCK Page 14


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 2 : Etude et critique de l’existant

Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l’existant quel qu’il
soit.
La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou
indirectement une relation avec le service informatique de SOROUBAT
Il s’agit principalement du Directeur Financier M. CHADI Issam, de M. SABER Drira, Directeur
Administratif, de M. Riadh AYACHI Responsable Achat.
Après quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette
méthodologie de travail nous a permis d’avoir une connaissance large de l’existant.

I. Etude de l’existant

Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que possible, l'analyse
qualitative et quantitative du système d’information actuel de la SOROUBAT.

Une analyse de l'existant comprend trois parties distinctes :

- La première consiste à recueillir les informations ; elle est réalisée à partir d'entretiens ou
de questionnaires, tableaux de bords, catalogues, études, données statistiques etc.

- La seconde consiste à analyser, classer et donner une vue synthétique de l'ensemble


des informations collectées par domaine fonctionnel, en tenant compte des ressources
humaines (nombre et profil des personnes assignées aux diverses tâches).

- La troisième consiste à esquisser une modélisation à grosses mailles des données et


des traitements.

En effet, pour faire le déploiement de solution d’interconnexion, il est essentiel de disposer


d’informations précises sur l’infrastructure réseau physique et les problèmes qui ont une
incidence sur le fonctionnement du réseau.
En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans
le déploiement du VPN.

Il s’agira donc pour nous de rassembler les informations relatives à l’organisation de l’existant.
Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de Télécommunication
et des services qui feront l’objet d’interconnexion.

ESGI / UFRA DENAGNON FRANCK Page 15


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

I.1 - Matériels et logiciels utilisés

Le recensement des outils informatiques associés aux départements, et services de la


SOROUBAT nous a donné pour le siège (Nb : Tout les PC fonctionnent sous Windows 10)
Tableau n° 01 : PC SIEGE

SIEGE
Direction Nbre des Pcs Marques Types HDD Mémoires
RAM
Dir. Générale 04 Dell Core I7 1Terra 8 Go
Dir. RH 04 HP Core I5 500 Go 4 Go
Dir. Technique 04 Dell Core I5 500 Go 4 Go
Services Achat 06 Dell Core I5 500 Go 4 Go
Dir. Financier 07 HP Core I5 500 Go 4 Go
Dir. Comptable 03 Dell Core I5 500 Go 4 Go
Dir Audit 02 HP Core I5 500 Go 4 Go
Dir Informatique 04 Dell Core I7 2 Terra 8 Go
Dir Transit 03 Dell Core I5 500 Go 4 Go
Service Juridique 01 Dell Core I5 500 Go 4 Go
Service Contrôle 06 HP Core I5 500 Go 4 Go
de gestion
Secrétariat 04 HP Core I5 1Terra 4 Go
TOTAL 48

Source : Nos réalisations

- LES SERVEURS

Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents
clients. Les serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous dans une
salle machine et présentent différentes caractéristiques énumérées comme suit :

Tableau n° 02 : Les serveurs de SOROUBAT

Nombres Rôle des serveurs Type de serveur O. S


01 Serveur de Domaine (AD) Serveur Dell Windows 2012 R2

01 Hyperviseur Navision Serveur Dell Windows 2012 R2


01 Hyperviseur Citrix Serveur Dell Windows 2008 R2
01 Serveur de redondance (AD) Serveur HP ProLiant Windows 2012 R2
10 Serveur de Vidéosurveillance Serveur HP Windows 10 Pro
14 Total

Source : Nos réalisations

ESGI / UFRA DENAGNON FRANCK Page 16


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

- LES EQUIPEMENTS TERMINAUX


Tableau n° 03 : EQUIPEMENTS TERMINAUX

Types de terminaux Modèles Nombres


Téléphone IP Alcatel 50
Imprimantes Laserjet Canon & HP 12
Copieur IP Canon 04
Pointeuse Biométrique (IP) Zkteco 02
Camera IP HD HikVision 40
AUTOCOM (Passerelle VoIP) Vidéoconférence au ALCATEL OXO 01
Format H264 avec protocole SIP Large
TOTAL 109

Source : Nos réalisations

- LES EQUIPEMENTS D’INTERCONNEXION

Tableau n° 04 : EQUIPEMENTS D’INTERCONNEXION

Types de terminaux Modèles Nombres


Routeur fibre optique (Orange) Huawei 02
Routeurs Cisco 02
Switches (48 ports) Cisco 04
Switches (48ports) Alcatel 01
Point d’accès Wifi D-Link 06
Firewall FORTIGATE 60D Plus 01
Firewall SOPHOS XG 210 Entreprise 01
TOTAL 17

Source : Nos réalisations

I.2 - Topologie et type de média

De façon plus précise, le réseau LAN de SOROUBAT, est un réseau FAST ETHERNET commuté
à 10/100Mbps, essentiellement basé sur une topologie en étoile.

Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant des paires
torsadées FTP catégorie 6.

I.3 - Les applications utilisées

Les applications de SOROUBAT sont diverses et installées sur les serveurs contenus en salle
machine en mode client-serveur sur les autres machines.

Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis les chantiers
de SOROUBAT à l’intérieur du pays et en dehors.

ESGI / UFRA DENAGNON FRANCK Page 17


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci-
après.

Tableau n° 05 : Applications métier du SIEGE

Applications Rôles Bénéficiaire


Progiciel de gestion intégré
MICROSOFT DYNAMICS (Achats, production, gestion de Utilisateur de logiciel
NAVISION projets, RH, gestion financière, métier
etc.…)

IVMS-4500 HD (HikVision IP Monitoring et gestion de camera Utilisateur des services


CAM) IP de surveillance

Source : Nos réalisations

II. Critique de l’existant

La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de


l'entreprise qui vient d'être présenté.

Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les serveurs être mis
en DMZ.

La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement
des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un
réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou
de publier les services sur internet sur le contrôle de Pare-feu externe.

Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur d'impression, un
serveur d'antivirus, un serveur de Navision, un serveur de messagerie (Exchange) ils assurent
tous l'échange des informations entre les employés de l'entreprise, etc.

Les informations de l'entreprise arrivent par le routeur du FAI, elles sont directement envoyées
au pare-feu qui lui, les envoient au travers d’un switch fédérateur à un serveur en fonction bien
entendu de la nature de l'information (données, etc.) à son tour le serveur concerné route
l'information au terminal du destinataire. Les informations provenant du réseau externe (internet)
sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout
simplement rejetée.

Les points à déplorer sont :

- Un plan d’adressage réseau peu optimal et évolutif en l’absence de Vlan.


- Il existe trop de nœud d’interconnexion, ce qui accroit la perte de connectivité.
- Il n’existe pas de serveur d’antivirus, ni de serveur de messagerie (Exchange) pour
assurer les échanges ;

ESGI / UFRA DENAGNON FRANCK Page 18


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

III. Spécifications des besoins

Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier aux contraintes
précédemment mentionnées.

Ce sont les besoins exprimés par les différents services de la SOROUBAT pour mener à bien ce
projet.

III.1 - Les besoins fonctionnels

Dans ce cadre, nous allons :

- Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les domaines de
diffusion (VLAN) ;

- Proposer une architecture physique d’interconnexion VPN avec débits adaptés.

- La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux, filtrage) ;

III.2 - Les besoins non-fonctionnels

Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit
répondre.

Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères suivants :

- La simplicité d’utilisation des services implémentés.

- La centralisation de l’administration et de la gestion des utilisateurs.

- La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de rétablissement).

- La gestion de sauvegarde des fichiers.

- La documentation du réseau.

Conclusion de la première partie


Le but de cet exercice de réflexion théorique à la fois délicat et intellectuellement
passionnant sur l’articulation entre la présentation du projet et la critique de l’existant était de
fournir une indication suffisamment élaborée et claire des objectifs et enjeux sur le sujet, ses
objectifs et enjeux ainsi que sur la façon dont il serait conduit.
Nous espérons, avoir faire ressortir ce lien dialectique au terme de cette partie.

Nous nous attèlerons maintenant à faire ressortir les démonstrations empiriques


auxquelles confronter la réflexion théorique qui a été faite. C’est ce à quoi la deuxième partie
et notamment la troisième partie (à travers une étude de cas) vont s’attacher.

ESGI / UFRA DENAGNON FRANCK Page 19


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Deuxième partie :
Etude technique et conditions de réalisation

ESGI / UFRA DENAGNON FRANCK Page 20


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Introduction de la deuxième partie

La mise en place optimale d’une solution VPN, exige une connaissance suffisante en
matière d’architecture informatique et de liaison d’interconnexion, tant au plan général des
infrastructures réseaux qu'au niveau spécifique des télécommunications. La présente partie
de l'étude s'efforce d'apporter cette indispensable connaissance.

Cette deuxième partie comporte trois chapitres :

- Le chapitre 1 offre un aperçu général sur les différents types de réseaux et topologies
informatiques, ainsi que sur les équipements d’interconnexion des réseaux qui sont des
prérequis indispensables à assimiler pour notre étude technique. Il en relève par ailleurs les
contraintes infrastructurelles.

- Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des différents types
de VPN afin de savoir quand implémenter chaque type.

- Le chapitre 3 donne une indication sur l’administration et la sécurité adéquate à mettre en


place afin de sécuriser le réseau. Cette réflexion constitue en quelque sorte une transition pour
entamer la troisième partie de la recherche qui instruit réellement sur la mise en œuvre de
l’interconnexion et des services VPN.

ESGI / UFRA DENAGNON FRANCK Page 21


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 1 : Généralités sur les réseaux informatiques


Nous allons aborder dans ce premier chapitre, quelques notions sur les réseaux.

I. Les réseaux informatiques

I.1. - Définition d’un réseau

Un réseau informatique est un ensemble de moyens matériels et logiciels mis en œuvre pour
assurer les communications (échange de messages entre utilisateurs, l’accès à distance à des
bases de données ou encore le partage de fichiers) de données, et le partage de services entre
ordinateurs, terminaux informatiques. Ces communications étaient, bien avant, destinées aux
transports de données informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui
intègrent, à la fois, des données, la voix, et la vidéo.

Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à comprendre pourquoi
certaines topologies existent.

I.1.1 Les types de réseaux

Les réseaux en fonction de la localisation, la distance et le débit, sont classés en trois types :

Tableau n° 6 : Classification d'un réseau

Distance entre Processus Localisation Type des réseaux


10 m Salle Réseau local (LAN)
100 m Bâtiment
1000 m = 1 Km Campus Réseau Métropolitain (MAN)
100.000 m = 100 Km Pays Réseau longue distance
1.000.000 m = 1000 Km Continent (WAN)

10.000.000 m = 10.000 Km Planète Internet

100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel

Source : Mémoire « Mise en place d'un réseau VPN. Cas de la BRALIMA Sarl en RDC »

• LAN (Local Area Network ou réseau local en français) : Il s’´étend sur quelques dizaines à
quelques centaines de mètres. C’est un réseau local, il correspond par sa taille aux réseaux intra-
entreprises et permet l’échange de données et le partage de ressources.

• MAN (Metropolitan Area Network ou réseau métropolitain en français) : Réseau


métropolitain qui également nommé réseau fédérateur assure les communications de plusieurs
sites à l’échelle d’une ville (quelques dizaines de kilomètres).

• WAN (Wide Area Network ou réseau étendu au public en français) : Réseau typiquement à
l'échelle d'un pays, d'un continent, ou de la planète entière, généralement celui des opérateurs.
Le plus connu des WAN est Internet. Un WAN est en fait une succession de plusieurs LAN Dans
ce document.

ESGI / UFRA DENAGNON FRANCK Page 22


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

I.1.2 Les types de topologies

Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et logique.

- La topologie physique :

L'agencement physique, c'est-à-dire la configuration spatiale des éléments constitutifs d’un


réseau est appelée topologie physique. C'est donc en d’autres termes la forme, l’architecture
physique, l'apparence du réseau.

Il en existe plusieurs dont la :

• Topologie en bus
Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus (pensez, que
chaque passager peut y accéder et se trouver une place pour
poursuivre le trajet).
Dans cette topologie, tous les ordinateurs sont connectés entre
eux par le biais d'un seul câble réseau débuté et terminé par
des terminateurs.
Ce qui n'est pas du tout pratique, et ceux pour 2 raisons
majeures. La première est que, parce que toutes les machines
utilisent le même câble, le réseau n'existe plus si le câble vient
Schéma d'un réseau en à être défectueux. Alors, il n'y aura plus de communication
bus possible étant donné que tous les hôtes partagent un câble
commun.
La seconde est que, puisque le câble est commun, la vitesse
de transmission est très faible.
Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, il ne faut pas que 2
machines communiquent simultanément, sinon cela créé des collisions !
Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas assurée à
100% car tous Les hôtes peuvent voir les données destinées à un hôte du réseau, heureusement
que d'autres topologies plus simples et plus pratiques existent.

• Topologie en étoile (la plus utilisée)

Dans un réseau en étoile, la forme physique du réseau


ressemble à une étoile. Pour parler à une autre entité on passe
par le matériel central (qui peut être le routeur, switch, etc.).
En pratique, dans un réseau d'entreprise en étoile, au centre
on trouve un switch.
Le principal défaut de cette topologie, c'est que si l'élément
central ne fonctionne plus, plus rien ne fonctionne : toute
communication est impossible. Cependant, cette topologie est
Schéma d'un réseau en
plus avantageuse que celle vue précédemment, car il n'y a pas
étoile de risque de collision de données.

Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette


topologie réside dans la longueur des câbles utilisés.

ESGI / UFRA DENAGNON FRANCK Page 23


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

• Topologie en anneau

Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau.

Cependant, la topologie physique d'un réseau en anneau


est similaire à celui du bus.

En réalité, dans une topologie anneau, les ordinateurs ne


sont pas reliés en boucle, mais sont reliés à un répartiteur
(appelé MAU, Multi-station Access Unit) qui va gérer la
communication entre les ordinateurs qui lui sont reliés en
impartissant à chacun d'entre-deux un temps de parole
système de jeton (token)

Dans un réseau possédant une topologie en anneau, les


ordinateurs sont situés sur une boucle et communiquent
Schéma d'un réseau en anneau chacun à leur tour.

Les deux principales topologies logiques utilisant cette


topologie physique sont Token ring (anneau à jeton) et FDDI.

• Topologie maillée

Une topologie maillée, est une évolution de la topologie en


étoile, elle correspond à plusieurs liaisons point à point
(peer to peer).
Concrètement, le principe de la topologie maillée est de
relier tous les ordinateurs entre eux (aucun risque de voir
une isolation du réseau si un des points névralgiques
tombent en panne générale, l'inconvénient est le nombre
de liaisons nécessaires qui devient vite très élevé. On
implémente une topologie maillée afin de garantir une
protection maximale contre l'interruption de service

La formule pour connaitre le nombre de câbles est n(n-1) / Schéma d'un réseau en maille
2, avec n le nombre d'ordinateurs. Donc rien qu'avec 20
ordinateurs par exemple, ça nous donnera 20 (20-1) / 2,
soit 190 câbles !

Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle infrastructure.

Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple : Internet,
systèmes de contrôle en réseau d'une centrale nucléaire, armée). L'information peut parcourir le
réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou
grâce à des méthodes de routage réparties.

L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien, l'information peut
quand même être acheminée.

Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de topologie mesh
mais ne concerne que les routeurs WiFi.

ESGI / UFRA DENAGNON FRANCK Page 24


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

- La topologie logique :

La topologie logique est la structure logique d'une topologie physique, c’est-à-dire qu’elle
représente la façon dont les données transitent dans les lignes de communication. Les topologies
logiques les plus courantes sont Ethernet, Token Ring et FDDI.

Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence physique, la
forme) de votre réseau, l'autre (topologie logique) définit comment la communication se
déroule dans cette forme physique.

II. Les systèmes d’interconnexion


Dans ce chapitre, selon le modèle OSI ou TCP/IP, nous étudierons les composants réseaux, sans
oublier les supports de transmission qui nous permettent de les relier aux ordinateurs.
Il sera aussi question de normalisation.
II.1 - Nécessité de l’interconnexion
« L’interconnexion des réseaux est la possibilité de faire dialoguer plusieurs sous réseaux
initialement isolés, par l’intermédiaire de périphériques spécifiques (récepteur, concentrateur,
pont, routeur, modem), dans ce cas, des équipements spécifiques sont nécessaires » Wikipédia
En d’autres termes un réseau local a pour but d’interconnecter les périphériques informatiques
d'une organisation, il s’avère dans la pratique que plusieurs réseaux locaux peuvent se trouver
au sein d’une même organisation (université par exemple), les relier entre eux devient
indispensable. Dans ce cas, des équipements spécifiques sont nécessaires.
Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames de l'un sur
l'autre. Dans le cas contraire, c'est-à-dire lorsque les deux réseaux utilisent des protocoles
différents, il est indispensable de procéder à une conversion de protocole avant de transférer les
trames. Ainsi, les équipements à mettre en œuvre sont différents selon la configuration face à
laquelle on se trouve.
II.2 - Normalisation
II.2.1 Modèle OSI
L’organisme ISO (International Organization for Standardization) en français (Organisation
Internationale de Normalisation) a défini en 1984 un modèle de référence, nommé modèle
OSI (de l'anglais Open Systems Interconnection) destiné à normaliser les échanges entre deux
machines dans les systèmes informatiques.
La normalisation émane de la volonté des gouvernements d'harmoniser les
technologies afin d'assurer la compatibilité des équipements.
Le modèle OSI décrit la manière dont deux éléments d’un réseau (station de travail, serveur...etc)
communiquent, en décomposant les différentes opérations à effectuer en sept étapes
successives, qui sont nommées.

ESGI / UFRA DENAGNON FRANCK Page 25


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Tableau n° 7 : Diagramme du modèle OSI.

Source : Wikipédia

• Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur un canal de
communication. Cette couche doit garantir la parfaite transmission des données. L’unité
d’information typique de cette couche est le bit, représenté par une certaine différence de
potentiel.
• Couche2 : (Liaison de données) Elle va transformer la couche physique en une liaison a priori
exempte d’erreurs de transmission pour la couche réseau. Elle fractionne les données d’entrée
de l’émetteur en trames, transmet ces trames en séquence et gère les trames d’acquittement
renvoyées par le récepteur. L’unité d’information de la couche liaison de données est la trame.
• Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à parcourir à
partir des adresses), des blocs de données entre les deux systèmes d’extrémités, ainsi elle
contrôle également l’engorgement du sous-réseau.
• Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des informations
entre les deux extrémités, afin de rendre le transport transparent pour les couches supérieures,
elle assure le découpage des messages en paquets pour le compte de la couche réseau et les
constitue pour les couches supérieures. Un des tous derniers rôles à évoquer est le contrôle de
flux. C’est l’une des couches les plus importantes, car c’est elle qui fournit le service de base à
l’utilisateur, et c’est par ailleurs elle qui gère l’ensemble du processus de connexion, avec toutes
les contraintes qui y sont liées.
• Couche 5 : (Session) Elle assure l’échange de données, entre deux applications
distantes. Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties. Elle assure surtout la synchronisation de l’échange (qui doit parler, qui parle…) entre
deux programmes d’application devant coopérer. Dans ce dernier cas, ce service d’organisation
s’appelle la gestion du jeton. Elle assure aussi la reprise de l’échange en cas d’erreurs.
• Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la sémantique des
données transmises : c’est elle qui traite l’information de manière à la rendre compatible entre
tâches communicantes. Elle va assurer l’indépendance entre l’utilisateur et le transport de
l’information.
Typiquement, cette couche peut faire la mise en forme des données, la conversion des codes
(ASCII), pour délivrer à la couche application un message compréhensible. Elle peut aussi
assurer le décryptage et la compression de données.
• Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur et le réseau.
C’est donc elle qui va apporter à l’utilisateur les services de base offerts par le réseau, comme
par exemple le transfert de fichier, la messagerie.

ESGI / UFRA DENAGNON FRANCK Page 26


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II.2.2 Classe d’adresse


Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP. Ces classes correspondent à des regroupements en réseaux de même taille. Les
réseaux de la même classe ont le même nombre d’hôtes maximum.
• La Classe A : Le premier octet a une valeur comprise entre 1 et 126, soit un bit de poids fort
égal à 0.

• La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2 bits de poids fort
égaux à 10.

• La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3 bits de poids fort
égaux à 110.

• La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3 bits de poids fort
égaux à 111, il s’agit d’une zone d’adresses dédiées aux services de multidiffusion vers des
groupes d’hôtes (host groups).

• La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit d’une zone
d’adresses réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour
adresser des hôtes ou des groupes d’hôtes.
Tableau n° 8 : Classes des adresses IP
1er Octet Nbr de réseaux / Notation
Classe Valeur
binaire Nbr d’hôtes CIDR
128 réseaux (2^7) /
A 1.0.0.0 à 126.255.255.255 0xxx xxxx 16 777 214 hôtes /8
(2^24-2)
16384 réseaux
(2^14) /
B 128.0.0.0 à 191.255.255.255 10xx xxxx /16
65 534 hôtes (2^16-
2)
2 097 152 réseaux
C 192.0.0.0 à 223.255.255.255 110x xxxx (2^21) / /24
254 hôtes (2^8-2)

D 224.0.0.0 à 239.255.255.255 1110 xxxx Multicast - Diffusion -


partielle
Expérimentale
E 240.0.0.0 à 247.255.255.255 1111 xxxx -
(Réservée)
Source : https://www.inetdoc.net/articles/adressage.ipv4/adressage.ipv4.class.html

Tableau n° 09 : Cas particuliers (Source : Nos réalisations)

Plage IP Utilité
0.0.0.0 Utilisé pour définir une route par défaut sur un routeur
127.0.0.0 – 127.255.255.255 Localhost Loopback Address (boucle locale)

169.254.0.0 - 169.254.255.255 APIPA Automatic Private IP Addressing (65 534 hôtes)

ESGI / UFRA DENAGNON FRANCK Page 27


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II.3 - Equipements d’Interconnexion des réseaux

Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à mettre en relation,
indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines
appartenant à des réseaux physiquement distincts.
Dans les sections suivantes, nous présenterons les principaux équipements matériels mis en
place dans les réseaux locaux que sont :
Les répéteurs, permettant de régénérer un signal
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes
Les ponts (bridges), permettant de relier des réseaux locaux de même type
Les commutateurs (switches) permettant de relier divers éléments tout en segmentant le
réseau
Les passerelles (Gateway), permettant de relier des réseaux locaux de types différents
Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à permettre la
circulation de données d'un réseau à un autre de la façon optimale
Les B-routeurs, associant les fonctionnalités d'un routeur et d'un pont.

II.3.1 Repeater (Répéteur)

Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du signal, le
répéteur permet d’amplifier ce signal et d’augmenter la
taille d’un réseau, afin d’étendre la distance du câblage.

C'est un équipement simple qui opère au niveau 1


du modèle OSI (couche physique), et qui ne nécessite
aucune administration. Le répéteur génère de nouveau un
signal à partir du signal reçu.
Repeater (Répéteur)
On distingue deux catégories du répéteur :
• StandAlone : Les débits sur les deux câbles doivent être les mêmes.
• Store and Forward : Avec mémoire, il support les vitesses différents sur les différents
tronçons.

II.3.2 Hub (Concentrateur)

Le concentrateur est un périphérique qui opère au niveau


1 du modèle OSI (couche physique), il permet de connecter
plusieurs machines entre elles ; il a pour but de concentrer le
trafic réseau qui provient de plusieurs hôtes, et aussi
de régénérer le signal. Il réduit le trafic (segmentation).

Hub (Concentrateur) Son unique but est de récupérer les données binaires
provenant d'un port et de les diffuser sur l'ensemble des
ports. Ils servent à raccorder deux segments de câbles ou deux réseaux identiques (Ethernet)
qui constituent alors un seul réseau logique.

Ils sont en général dotés d'un port spécial appelé "Up Link".

ESGI / UFRA DENAGNON FRANCK Page 28


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

On distingue deux catégories du concentrateur :


• Concentrateur Actif : Ils sont alimentés électriquement, permettant de régénérer le
signal sur les différents ports.
• Concentrateur Passif : Diffuser le signal à tous les hôtes sans amplification. Ne
nécessitent pas une quelconque alimentation

II.3.3 Bridge (Pont)


Un pont est un équipement informatique d'infrastructure de réseaux de type passerelle, il opère
au niveau logique c'est-à-dire au niveau de la couche
2 du modèle OSI (couche liaison de données), il permet de
relier deux réseaux identiques ou deux parties de même
réseau.
Le pont travail comme un relais qui transmet d'un réseau à
l'autre les trames dont l'adresse ne figure pas dans le
premier réseau et permet donc aux deux éléments qu'il relie
de fonctionner indépendamment.
Bridge (Pont)
Son usage le rapproche fortement de celui
d'un commutateur (switch), à l'unique différence que le
commutateur ne convertit pas les formats de transmissions de données. Le pont ne doit pas être
confondu avec le routeur.

II.3.4 Les commutateurs (switches)

C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les trames arrivant
sur les ports d’entrées et les filtre pour aiguiller sur les ports adéquats. Il dispose d'une table
d'adresses MAC des machines connectés, et qui opère au niveau 2 du modèle OSI (couche
liaison de données).

« Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments
(câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer
des circuits virtuels.

La commutation est un des deux modes de


transport de trame au sein des réseaux
informatiques et de communication, l'autre étant
le routage. Dans les réseaux locaux (LAN), il s'agit
le plus souvent d'un boîtier disposant de
plusieurs ports RJ45 (entre 4 et plusieurs
Les commutateurs (switches)) centaines), il a donc la même apparence
qu'un concentrateur (hub).

Il existe aussi des commutateurs pour tous les types de réseau en mode point à point comme
pour les réseaux ATM, relais de trames, etc. Il est fréquent qu'un commutateur intègre, par
exemple, le Spanning Tree Protocol que l'on rencontre dans les ponts. Le commutateur est
d'ailleurs souvent vu d'une manière réductrice comme un pont multiport. » Wikipédia

Sa présence permet d'optimiser les performances des réseaux et d'autoriser les utilisateurs d'un
réseau à accéder à toutes les ressources disponibles sur le réseau.

ESGI / UFRA DENAGNON FRANCK Page 29


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II.3.5 Router (Routeur)

C'est un élément intermédiaire dans un réseau informatique, assurant le routage des paquets en
choisissant le chemin selon un ensemble de règles formant la table de routage. Il opère au niveau
3 du modèle OSI (couche réseau).

« C’est un dispositif d’interconnexion de réseaux


informatiques permettant d’assurer le routage des
paquets entre deux réseaux ou plus afin de
déterminer le chemin qu’un paquet de données va
emprunter. Ils sont plus puissants : ils sont capables
d'interconnecter plusieurs réseaux utilisant le même
protocole. » Wikipédia

Il permet d'interconnecter deux entités de la couche


Réseau i.e. deux réseaux proprement dits. Le
Les routeurs (routers) routeur assure les fonctions de routage et
d'aiguillage comme son nom l'indique. Le routeur
sélectionne un parcours approprié pour diriger les
messages vers leurs destinations.

La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie par le
masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée. Ces
protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de
communication inter sites et inter réseaux.

Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de relier des
réseaux locaux de types différents.

II.4 - Les protocoles de routage

Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système
autonome. On retient les protocoles suivants :
• États de lien, ils s'appuient sur la qualité et les performances du média de communication
qui les séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau
pour utiliser la meilleure route : OSPF
• Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les
sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP
• Hybride des deux premiers, comme EIGRP

Les protocoles couramment utilisés sont :


• Routing Information Protocol (RIP)
• Open Shortest Path First (OSPF)
• Enhanced Interior Gateway Routing Protocol (EIGRP)

ESGI / UFRA DENAGNON FRANCK Page 30


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

III. Les réseaux locaux virtuels (Vlan)

Avant d’arriver à la conception technique globale de la solution retenue, nous ferons une
étude brève sur les fonctionnalités des VLANs. Celle-ci nous permettra de définir à travers ces
fonctionnalités, une meilleure planification du déploiement future.

III.1 - Généralités

Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel
(logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs,
périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à
un département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs,
câblage informatique inapproprié, etc.).

III.2 - Avantages offerts par les Vlan

Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière


dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi
de nombreux avantages et permet de nombreuses applications intéressantes. Parmi les
avantages liés à la mise en œuvre d’un VLAN, on retiendra notamment :

• La flexibilité de segmentation du réseau : Les utilisateurs et les ressources entre lesquels les
communications sont fréquentes peuvent être regroupés sans devoir prendre en considération
leur localisation physique.
• La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement d’éléments
existants peut être réalisé rapidement.
• L’augmentation considérable des performances du réseau (réduction du domaine de collision)
: Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein du VLAN qui lui est associé,
de la bande passante est libérée, ce qui augmente les performances du réseau.
• Une meilleure utilisation des serveurs réseaux.
• Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par les VLANs ne
pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des
communications est renforcée.

III.3- Technique et méthodes d’implantation des Vlan

Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de niveau
2 du modèle OSI qui supportent le VLAN.

On distingue généralement trois techniques pour construire des VLANs. Nous pouvons
les associer à une couche particulière du modèle OSI :

• VLAN de niveau 1 ou VLAN par ports :

On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte réseau
à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc
affectés statiquement à un VLAN.

ESGI / UFRA DENAGNON FRANCK Page 31


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

• VLAN de niveau 2 ou VLAN MAC :

On affecte chaque adresse MAC à un VLAN. L’appartenance d’une carte réseau à un


VLAN est déterminé par son adresse MAC.

En fait, il s’agit à partir de l’association MAC/VLAN d’affecter dynamiquement les ports


des commutateurs à chacun des VLAN.

• VLAN de niveau 3 ou VLAN d’adresses réseaux :

On affecte un protocole de niveau 3 ou de niveau supérieur à un VLAN. L’appartenance


d’une carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu’elle
utilise.

III.3 - Principe du routage INTER-VLAN

Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur
est nécessaire ou un commutateur de couche 3.

La connectivité entre les VLANs peut être établie par le biais d’une connectivité physique
ou logique. Une connectivité logique implique une connexion unique, ou agrégation, du
commutateur au routeur. Cette agrégation peut accepter plusieurs VLAN. Cette topologie est
appelée « router-on-a-stick » car il n’existe qu’une seule connexion physique avec le routeur. En
revanche, il existe plusieurs connexions logiques entre le routeur et le commutateur.

Une connectivité physique implique une connexion physique séparée pour chaque VLAN.
Cela signifie une interface physique distincte pour chaque VLAN.

Les premières configurations de VLAN reposaient sur des routeurs externes connectés à
des commutateurs compatibles VLAN.

Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un routeur
ou commutateur de couche 3. Le terme commutateur de couche 3 désigne un commutateur
capable d’assurer une fonction de routage en plus de ses fonctions habituelles. Ainsi, au lieu d’un
routeur externe, on aura un routeur interne au commutateur.

ESGI / UFRA DENAGNON FRANCK Page 32


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 2 : Les réseaux privés virtuels (VPN)


Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées
sur le serveur d’un siège depuis une succursale distante de plusieurs milliers de kilomètres se
fait-il par exemple ?

La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel).


Avant l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC, ou
bien des lignes louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le terme
VPN sera notamment utilisé pour l’accès à des structures de type cloud computing.

I. Concept de VPN

En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus
quand une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des
succursales, des filiales, ou même donner accès à ses ressources à son personnel
géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de
kilomètres ?

L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois


son coût très élevé rend difficile son implémentation dans la plupart des entreprises,
« Un bon compromis consiste à utiliser Internet comme support de transmission en
utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du
terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On
parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour
désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données. » Source : Commeçamarche.

II. Fonctionnement d’un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe très
simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes de
cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se connecter
directement sur le réseau de leur entreprise.

Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée
et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour toutes
personnes en dehors de ce tunnel en cas d’interception (écoute).

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l’entreprise.

ESGI / UFRA DENAGNON FRANCK Page 33


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

« De cette façon, lorsqu'un


utilisateur nécessite d'accéder au
réseau privé virtuel, sa requête
va être transmise en clair au
système passerelle, qui va se
connecter au réseau distant par
l'intermédiaire d’une
infrastructure de réseau public,
puis va transmettre la requête de
façon chiffrée.
L'ordinateur distant va alors
VPN (Virtual Private Network)
fournir les données au serveur
VPN de son réseau local qui va
transmettre la réponse de façon chiffrée. A la réception sur le client VPN de l'utilisateur, les
données seront déchiffrées, puis transmises à l'utilisateur. »

III. Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs que dans le
VPN les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par le
protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un
même protocole aux ordinateurs communicants (PPTP, SSL, IPsec…).
Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à savoir :
- Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F
- Les protocoles de niveau 3 tels que IPsec et MPLS
- Les protocoles de niveau 4 tels que SSL et SSH
Les principaux protocoles permettant de créer des VPN sont les suivants :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine
protocole transportant des paquets de couche 3, mais pouvant désormais aussi transporter la
couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de
couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de
l'IETF (RFC 393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole transportant des sessions PPP (couche 2).
IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au
protocole IKE pour l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer
du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows.

ESGI / UFRA DENAGNON FRANCK Page 34


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment
utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2
(L2VPN) point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4
(VPNv4) et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and
forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point to
Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce
protocole.

III.1 - Le protocole PPP


Le protocole PPP (Point To Point Protocol) est un ensemble de protocole standard
garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un
serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de
recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant
d'autres éditeurs, conformes aux normes PPP.
Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres
plateformes, sans avoir besoin d'installer un autre logiciel. Malheureusement, il est à oublier car
il n'est pas réputé fiable.

III.2 - Le protocole PPTP


Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames
sous le protocole PPP et de les encapsuler dans un datagramme IP.
Protocole en partie développé par Microsoft, il est le protocole standard pour VPN depuis
sa création. Premier protocole VPN à être pris en charge par Windows, PPTP offre une bonne
sécurité en s’appuyant sur toute une gamme de méthodes d’authentification, comme MS_CHAP
v2, la plus courante du lot.
Chaque appareil ou plateforme compatible avec un VPN a le mode PPTP par défaut, et
puisqu’il est simple à configurer, il reste le choix le plus courant pour les fournisseurs de VPN,
mais aussi les entreprises.
Son installation ne nécessite pas de performance techniques avancées, le rendant l’un
des protocoles VPN les plus rapides du marché.
Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques
vulnérabilités en matière de sécurité, la plus sérieuse étant la possibilité de faille de
l’authentification MS-CHAP v2.

À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été réparée
par Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser SSTP ou L2TP à la
place.
Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans avoir besoin
d’installer un autre logiciel.
Inconvénient : Il est réputé pour n'être pas fiable.

ESGI / UFRA DENAGNON FRANCK Page 35


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

III.3 - L2TP et L2TP/IPsec


* Le protocole L2TP (Layer 2 Tunnel Protocol) est un protocole standard développé par
Cisco très proche du PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP,
encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).
Layer 2 Tunnel Protocol, contrairement aux autres protocoles VPN, n’offre aucune
confidentialité ni aucun cryptage au trafic qui y passe. Il est donc souvent accompagné d’une
suite de protocoles appelée IPsec pour crypter les données avant leur transmission, offrant ainsi
confidentialité et sécurité aux utilisateurs.
Tous les appareils modernes compatibles avec un VPN et tous les systèmes d’exploitation
possèdent L2TP/IPsec.
La configuration est aussi rapide et simple qu’un PPTP, mais il peut y avoir des soucis,
puisque ce protocole utilise le port 500 UDP, qui peut facilement se retrouver bloqué par des
firewalls NAT. Il faudra donc peut-être rediriger le port si on l’utilise avec un firewall.
Il n’y a pas de vulnérabilités majeures associées au cryptage IPsec, et il peut être fiable,
s’il est installé correctement.
* IPsec
IPSEC est un "Framework " qui spécifie plusieurs protocoles à utiliser afin de fournir un standard
de sécurité.
Les protocoles spécifiés par IPSEC sont :
Encapsulatlnq Securltv Payload : ESP
Il est le plus utilisé par IPSEC, ESP va encrypter les données. ESP protège également
contre des attaques basées sur du trafics " replayed "·
Authentication Header : AH
AH fournit l'authentification de la donnée. Il est peu utilisé, ESP étant plus efficace et
cryptant le tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu'il permet de crypter
les données en utilisant DES, 3DES ou AES. AH ne permet pas cela
Internet Key Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés
d'authentification utilisée par le VPN. IKE va permettre d'établir un échange de clé de manière
sécurisé sur un réseau " non sécurisé "·
Les VPN IPSEC utilisent le protocole IKE afin d'établir une communication sécurisée entre
deux « peers » à travers un réseau non sécurisé. IKE utilise l'algorithme de DIFFIE-HELLMAN
afin d'échange des clés symétriques entre deux " peers " et de configurer les paramètres de
sécurités associé au VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10
secondes.
IKE :
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque
" peer "·
- Permet de configurer une durée de vie pour la SA (Security association) de IPSEC. Une
SA est un " ensemble de contrat de sécurité "·
- Permet de changer les clés d'encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ... »
- Supporte l'architecture PKI.
- Permet une authentification dynamique de chaque peer.

ESGI / UFRA DENAGNON FRANCK Page 36


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il n’est pas
aussi efficace que les solutions SSL, et légèrement plus lent que les autres protocoles VPN.
Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires OS.
Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes et peut poser
problème si on l’utilise avec un firewall restrictif.

III.4 - SSL (Secure Sockets Layer) / TLS (Transport Layer Security)


Ce sont des protocoles permettant de sécuriser les échanges sur internet. Développé à
l'origine sous le nom SSL par Netspace, l'IETF en reprend le développement en le rebaptisant
TLS. Ce sont des protocoles très largement utilisé car les protocoles de la couche application
comme HTTP n'ont pas besoin d'être profondément modifiés pour utiliser une connexion
sécurisée. Ils sont seulement implémentés au-dessus de ces protocoles, ce qui donne pour le
HTTP : le HTTPS.
Avantages : Il permet l'utilisation d'un navigateur Web comme client VPN.

III.5 - OpenVPN
« Technologie open source relativement récente, OpenVPN utilise les protocoles
SSLv3/TLSv1 et la bibliothèque OpenSSL, avec une combinaison d’autres technologies, pour
offrir à ses utilisateurs une solution VPN fiable et solide. Le protocole est facilement configurable
et fonctionne le mieux avec un port UDP, mais il peut être configuré pour fonctionner sur n’importe
quel port, rendant difficile pour Google et d’autres services similaires de le bloquer.
Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL prend
en charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES, Camellia,
Blowfish, CAST-128 et bien plus encore, même si Blowfish et AES sont presque exclusivement
utilisé par les fournisseurs de VPN.
Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le considère
comme la référence absolue. C’est tout simplement parce qu’il n’a pas de faille connue, et il a été
adopté par le gouvernement américain et ses agences pour protéger des données sécurisées.

Tout d’abord, la vitesse de performance de protocole OpenVPN dépend du niveau de


cryptage utilisé, mais c’est en principe plus rapide que IPsec.
Au niveau de la configuration, c’est un peu plus ardu quand on compare avec L2TP/IPsec
et PPTP, particulièrement quand on utilise le OpenVPN classique. Non seulement il vous faudra
télécharger et installer le client, mais aussi des fichiers de configuration additionnels, peu
évidents. De nombreux fournisseurs de VPN vivent ce problème de configuration dû au nombre
de clients VPN customisés.
Les preuves mathématiques indiquent qu’OpenVPN, quand il est combiné à un cryptage
solide, est le seul protocole VPN qui peut être considéré comme sûr. »
Source : https://fr.vpnmentor.com

Avantage : Hautement sécurisé et configurable. Il peut contourner facilement les pares-feux et


étant open source, on peut facilement vérifier la présence de backdoors.
Inconvénients : Nécessite des logiciels tiers.

ESGI / UFRA DENAGNON FRANCK Page 37


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

IV. Différentes catégories de VPN


Il existe 02 grandes catégories d’utilisation des VPN. En étudiant ces schémas d’illustration, il est
possible d’isoler les fonctionnalités indispensables des VPN.

IV.1 – VPN to site ou VPN nomade ou VPN Remote-Access

Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au réseau
privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans y être
physiquement présent.

Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se
connecter au réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se
sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas :

- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le Nas (Network Access Server) du fournisseur
d'accès et c'est le Nas qui établit la connexion cryptée.

- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement
la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

- La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant


plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible
avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le
NAS n'est pas cryptée ce qui peut poser des problèmes de sécurité.

- La deuxième méthode, ce problème disparaît puisque l’intégralité des informations sera


cryptée dès l’établissement de la connexion. Par contre, cette solution nécessite que
chaque client transporte avec lui le logiciel, lui permettant d’établir une communication
cryptée. Pour pallier à ce genre de problème certaines entreprises mettent en place des
VPN à base du protocole SSL, technologie implémentée dans la majorité des navigateurs
Internet du marché.

ESGI / UFRA DENAGNON FRANCK Page 38


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien
l’importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification
peut se faire par une vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés"
(utilisation de mots de passe aléatoires) ou par certificats numériques.

IV.2 - L'intranet VPN ou VPN Site-to-Site

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données.
Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de
données clients, informations financières...). Des techniques de cryptographie sont mises en
œuvre pour vérifier que les données n'ont pas été altérées, on parle d’intégralité.

Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés
font appel à des signatures numériques qui sont ajoutées aux paquets.

La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie.
La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen voir
faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour
assurer une sécurité raisonnable.

ESGI / UFRA DENAGNON FRANCK Page 39


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 3 : Administration et sécurité

I. GESTION DE L’ADRESSAGE

Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP qui correspondent à des regroupements en réseaux de même taille. Les réseaux
de la même classe ont le même nombre d’hôtes maximum.

En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la configuration
des différents nœuds (poste, routeur) du réseau.

En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans adresses
broadcast et réseau) et a un masque réseau qui est 255.255.255.0.

Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette classe
à chacun des sites. Les adresses étant différentes, les différents sites ne pourront pas
communiquer sans l’implémentation d’un mécanisme de routage soit par un routeur ou un
commutateur multicouche (commutateur faisant le routage IP). Nous opterons pour le
commutateur multicouche, étant donné qu’il est plus rapide dans le traitement en interne.

Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la segmentation et
réduire le domaine de collision.

Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que les
communications autorisées, des VLAN et un routage Inter-VLAN sera définis.

Tableaux n° 10 : Tableaux donnant une répartition des Vlans et de l’adressage

Equipements Login par défaut IP dans le réseau


Routeur & Switch 192.168.1.0/24 Vlan 1
Serveur de Domaine & 192.168.2.0/24 Vlan 2
Hyperviseur
Copieurs IP & 192.168.3.0/24 Vlan 3
Imprimantes
Téléphone IP + Autocom 192.168.4.0/24 Vlan 4
VoIP
Pointeuse Biométrique 192.168.5.0/24 Vlan 5
(IP)
Camera et Serveur de 192.168.6.0/24 Vlan 6
Vidéosurveillance

Source : Nos réalisations

ESGI / UFRA DENAGNON FRANCK Page 40


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II. SECURITE DES LIAISONS ET DE L’ACCES AUX SERVICES

Dès lors que le réseau privé transite par internet, le problème de la sécurité se pose : les
informations qu’il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le
monde, l’infrastructure réseau n’y échappent pas aussi. Il convient donc de mettre en place toute
une politique de sécurité pour garantir un maximum de sécurité.

II.1 - Charte de sécurité

La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les
utilisateurs dans le but de faciliter le déploiement de la politique sécurité.

Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre accès aux
ressources informatiques, électroniques et numériques dans le respect de la légalité.

Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils
pourraient encourir et des conséquences de tels risques.

Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du
réseau à déployer, en les éduquant aux bonnes conduites à tenir.

II.2 – Sécurité logicielle

C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger le
réseau contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même de
l’intérieur.

- Pare-feu et Antivirus :

• Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau filtrant tout
ce qui entre et tout ce qui sort du réseau (services Netbios, RPC, Telnet, NFS…).
• Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux données
confidentielles.
• Installer des programmes antivirus mis à jour régulièrement sur tous les postes.

- Authentification :

• Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2-
PSK(AES).
• Authentification avec code d’accès pour les utilisateurs Wifi.
• Mise en place de mots de passe sur les nœuds les plus importants du réseau (serveur,
routeur).

- Autres :
• Configurer des VLANs relatifs aux différents services à l’intérieur de chaque site dans le
but de ne permettre que les communications autorisées entre ces services.
• Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) : HTTPS,
SSH, IMAPS, DNSSEC, etc.

ESGI / UFRA DENAGNON FRANCK Page 41


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

II.3 Sécurité physique

Elle concerne tous les dispositifs déjà mis en place pour assurer le bon fonctionnement et la
protection des équipements.

- Protection électrique des équipements

Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de
protéger des matériels électroniques contre les aléas électriques. Il s’agit ainsi d’un boîtier placé
en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger afin
d’éviter des pertes de données et des interruptions de service, voire des dégâts matériels.

- Protection Mécanique des équipements

Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets sécurisés
(panneaux de brassage) pour éviter tout désagrément. Les équipements du réseau cœur seront
par ailleurs centralisés dans la salle serveur qui est mieux protégée par une porte à accès
biométrique si possible.

- Système de refroidissement

Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés d’un split
fonctionnant à une température abordable afin de protéger les composants électroniques.

Conclusion de la deuxième partie

Cette partie de nos recherches, est une partie charnière qui a eu pour effet de mieux
appréhender la teneur de notre projet tout en cernant mieux les contours.
Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en place des
VPN intersite et qu’une technologie, l’IPSec semblent s’imposer aujourd’hui pour la construction
des VPN site-to-site. Nous avons appris plusieurs points clés tel que :
- La technologie IPSec permet d’offrir des services de sécurité classiques (authentification,
confidentialité, intégrité, etc.) pour chaque datagramme transitant par un réseau de
transport (par exemple, Internet).

- Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un
fournisseur de service dans le cadre d’infogérance. Deux limitations essentielles sont à
retenir pour cette technologie : (1) elle ne permet pas de gérer la qualité de service en
cœur du réseau ; (2) elle ne transporte que les datagrammes IP.

ESGI / UFRA DENAGNON FRANCK Page 42


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Troisième partie :
Mise en œuvre de l’interconnexion

ESGI / UFRA DENAGNON FRANCK Page 43


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Introduction de la troisième partie

Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment
mettre en place un système VPN.

Les chapitres de cette partie présentent donc de façon analytique cette étude de cas :
- Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de mettre en exergue
les besoins en moyen tant logistiques que matériels pour la bonne exécution du projet aussi il
sera fait mention du planning.

- Le chapitre 2 traite la configuration des équipements VPN, partie essentielle de notre


mémoire, ce chapitre sera notre champ d’étude approfondi.

- Le chapitre 3 aborde la question de l’estimation financière du projet.

ESGI / UFRA DENAGNON FRANCK Page 44


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

CHAPITRE I : Plan d’action de déploiement


Les tunnels VPN IPsec de site à site sont utilisés pour permettre la transmission sécurisée
de données, de voix et de vidéo entre deux ou plusieurs sites (Dans notre cas entre notre siège
et nos succursales). Le tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un
certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité des données
transmises entre les deux sites.

Aussi, il a été défini un programme d’exécution des tâches en vue de la réalisation du


projet. Celui-ci met en synergie plusieurs moyens qui seront défini ci-après.

I. Les moyens

I.1 - Moyens humains

Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et peut en être
l'architecte.

Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron,
le maître d'œuvre est responsable du bon déroulement des travaux et joue un rôle de conseil
dans le choix des entreprises qui vont les réaliser.

Il est responsable du suivi des délais et des budgets selon les modalités définies dans le
cahier des clauses administratives particulières. Dans notre cas, à la SOROUBAT, le
département informatique tient ce rôle pour ce qui est du projet réel de conception d'un réseau
VPN site-à site. Le maître d'ouvrage, qui se comporte dans ce cas comme le commanditaire du
projet reviendra à la direction de la SOROUBAT.

En principe, une fois le projet réalisé et livré, il est important de déléguer d’ordinaire la
responsabilité du suivi du système mis en place à un personnel spécial du Département
Informatique.

I.2 - Moyens matériels

Les équipements définis dans le tableau ci-après ont été choisi selon les principes de :

- Performances, haute sécurité et fiabilité haut de gamme ;

- Configuration rapide et facile ;

- Prise en charge d’un éventail extrêmement large d’applications sur une même plateforme
avec, notamment, l’intégration des données, de la voix, de la vidéo ;

Equipements Quantité
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U 05
(Pour les 05 sites distants)
Switch CISCO Small Business SG 350X -48 – Rackable 48 X 05
1000Base-T

Onduleur UPS 2000 VA (Pour armoire informatique) 05

Tableau n° 11 : Equipements à Installer

ESGI / UFRA DENAGNON FRANCK Page 45


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Les équipements sont fournis par la SOROUBAT et installés par nos services.

I.3 - Moyens logistiques

Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les différents
sites durant tout le déploiement.

Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer sur un avion de
la compagnie AIR IVOIRE, le coût du transport étant à la charge de la SOROUBAT.

Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi instantanée.

II. Nombre de sites à installer

Nous aurons à installer trois (3) sites selon les coordonnées suivantes :

Tableau n° 12 : Coordonnées Géographiques des sites à installer


SITES Longitude Latitude Distance
Taabo 6.256893 -5.138010 161,72 Km
Bassam 5.213186 -3.749728 32.6 Km
Odienné 9.672539 -6.945121 559,57 Km
Daloa 6.895249 -6.466118 319.92 Km
PK 22 5.409668 -4.156859 18.97 Km
Source : Nos réalisations

III. Le planning

- Une moyenne de 1 jour par site est prévue


- Une marge de manœuvre de 3 jours pour les déplacements et divers (Voir tableau ci-dessous)

Tableau n° 13 : Planning des installations


SITE DATE
Taabo 03 Jours
Bassam 02 Jours

Odienné 05 Jours
Daloa 03 Jours
PK 22 01 Jours
TOTAL 14 Jours

Source : Nos réalisations

Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril 2017.
Après dépôt préalable du projet le 03 Avril 2017 auprès du service Financier de SOROUBAT pour
validation du budget. Le chronogramme détaillé de ce planning donne le programme qui suit :

• Jusqu’ au Mercredi 03 Mai 2017 : Configuration des équipements ;


• Lundi 08 Mai 2017 : Effectuer des tests de latence du réseau et de l’accessibilité aux services
VPN sur tous les sites distants ;

ESGI / UFRA DENAGNON FRANCK Page 46


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 2 : Configuration des équipements et services.


L’installation, la configuration des serveurs et des équipements d’interconnexion (routeurs
et switch) se feront de façon identique sur les cinq sites distants. Pour éviter la redondance nous
vous présenterons les configurations sur un routeur à titre de référant pour les autres switch et
routeurs configurés.
On dispose d’un Switch de niveau 3 (48ports FastEthernet, 2 ports Gigabits) et d’un routeur (1
port Gigabit, 1 port série). On souhaite diviser le switch en 6 VLANS disposant chacun de 6
Interfaces Fa.

I. Configuration Vlan du switch CISCO

Switch CISCO Small Business SG 350X (48 Ports)

1. VLAN1 : 192.168.1.0 / 255.255.255.0 Fa0/1-Fa0/8 (vlan10 routeur)


2. VLAN2 : 192.168.2.0 / 255.255.255.0 Fa0/9-Fa0/16 (vlan20 PC)
3. VLAN3 : 192.168.3.0 / 255.255.255.0 Fa0/17-Fa0/24 (vlan30 imprimante)
4. VLAN4 : 192.168.4.0 / 255.255.255.0 Fa0/25-Fa0/32 (vlan40 VoIP)
5. VLAN5 : 192.168.5.0 / 255.255.255.0 Fa0/33-Fa0/40 (vlan50 pointeuse)
6. VLAN6 : 192.168.6.0 / 255.255.255.0 Fa0/41-Fa0/48 (vlan60 camera)

Etape 1 :

Configuration du nom et mot de passe du switch

Switch>en
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)#hostname SRBCI
SRBCI (config) #enable secret admin@sorou

Création des Vlan et des SVI (IP de gestion aux commutateurs)

« On crée et on configure les VLAN 1, 2, 3, 4, 5 et 6 avec respectivement les adresses 192.168.1.254,


192.168.2.254, 192.168.3.254, 192.168.4.254, 192.168.5.254, 192.168.6.254 et un masque de
255.255.255.0.

NB : Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP à chaque VLAN
créer sur un switch, sauf dans le cas d’un switch niveau 3.
Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée pour chaque VLAN.
Cependant, cela permet dans une certaine mesure de tester le routage inter-vlan sans avoir besoin
de connecter de machine sur le switch. »

SRBCI (config)#vlan 1
SRBCI (config-vlan)#name routeur
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 1
%LINK-5-CHANGED: Interface Vlan1, changed state to up
SRBCI(config-if)#ip address 192.168.1.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

ESGI / UFRA DENAGNON FRANCK Page 47


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

SRBCI(config)#vlan 20
SRBCI(config-vlan)#name PC
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 20
%LINK-5-CHANGED: Interface Vlan20, changed state to up
SRBCI(config-if)#ip address 192.168.2.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 30
SRBCI(config-vlan)#name Imprimante
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 30
%LINK-5-CHANGED: Interface Vlan30, changed state to up
SRBCI(config-if)#ip address 192.168.3.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 40
SRBCI(config-vlan)#name VoIP
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 40
%LINK-5-CHANGED: Interface Vlan40, changed state to up
SRBCI(config-if)#ip address 192.168.4.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI (config)#vlan 50
SRBCI(config-vlan)#name Pointeuse
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 50
%LINK-5-CHANGED: Interface Vlan50, changed state to up
SRBCI(config-if)#ip address 192.168.5.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 60
SRBCI(config-vlan)#name Camera
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 60
%LINK-5-CHANGED: Interface Vlan60, changed state to up
SRBCI(config-if)#ip address 192.168.6.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

Activation du routage sur le switch

SRBCI(config)#ip routing

Attributions des interfaces

Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs ports à partir des
commandes suivantes :
SRBCI (config)#interface nom_interface
SRBCI (config-if)#switchport mode access

ESGI / UFRA DENAGNON FRANCK Page 48


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

SRBCI (config-if)#switchport access vlan id_vlan


SRBCI (config-if)#exit

On place maintenant les interfaces dans les vlans.


*Astuce : Pour configurer plusieurs ports dans un VLAN, on peut utiliser la variable range.

SRBCI(config)#interface range fastEthernet0/1-8


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 10
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/9-16


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 20
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/17-24


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 30
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/25-32


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 40
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/33-40


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 50
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/41-48


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 60
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

Vérification de la bonne mise en place des VLAN « show vlan brief »

SRBCI #show vlan brief


VLAN Name Status Ports
---- -------------------------------- --------- -----------------------
1 default active Gig1/1, Gig1/2

2 VLAN10 active Fa0/1, Fa0/2, Fa0/3, Fa0/4,Fa0/5


Fa0/6, Fa0/7, Fa0/8
3 VLAN20 active Fa0/9, Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16
4 VLAN30 active Fa0/17, Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24
5 VLAN40 active Fa0/25, Fa0/26, Fa0/27, Fa0/28, Fa0/29
Fa0/30, Fa0/31, Fa0/32

ESGI / UFRA DENAGNON FRANCK Page 49


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

6 VLAN50 active Fa0/33, Fa0/34, Fa0/35, Fa0/36, Fa0/37


Fa0/38, Fa0/39, Fa0/40
7 VLAN60 active Fa0/41, Fa0/42, Fa0/43, Fa0/44, Fa0/45
Fa0/46, Fa0/47, Fa0/48

Sauvegardons notre configuration

SRBCI # copy running-config startup-config


Destination filename [startup-config]? [enter]
Building configuration…
[OK]

Configuration des Vlan avec le routeur

On passe maintenant à la configuration de la liaison avec le routeur qui doit être un trunk. On
utilise ici l’interface Gigabit 1/1.

SRBCI(config)#interface g1/1
SRBCI (config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1,
changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1,
changed state to up
SRBCI (config-if)#exit

Configuration du routeur en mode inter-vlan

On va s’occuper maintenant de la configuration du routeur, sur lequel on créera des sous-


interfaces pour chaque VLAN supplémentaires créés. Et de les configurer (IP, …).
A noter qu’il faut configurer l’encapsulation de la sous interface pour pouvoir lui attribuer une
adresse IP.

RSIEGE >en
RSIEGE #conf t
Enter configuration commands, one per line. End with CNTL/Z.
RSIEGE(config)#int gigabitEthernet0/0
RSIEGE (config-if)#ip address 192.168.1.1 255.255.255.0
RSIEGE (config-if)#no shut

Ceci correspond à l’adresse principale de l’interface, et également au VLAN1 (Vlan Natif). Créons
maintenant la sous-interface pour le VLAN2, 3, 4, 5, 6.

RSIEGE (config)#interface gigabitEthernet 0/0.2


%LINK-5-CHANGED: Interface GigabitEthernet0/0.2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.2,
changed state to up
RSIEGE (config-subif)#encapsulation dot1Q 2
RSIEGE (config-subif)#ip address 192.168.2.1 255.255.255.0
RSIEGE (config-subif)#no shut
RSIEGE (config-subif)#exit

ESGI / UFRA DENAGNON FRANCK Page 50


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

RSIEGE (config)#interface gigabitEthernet 0/0.3


%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 3
RSIEGE(config-subif)#ip address 192.168.3.1 255.255.255.0

RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE (config)#interface gigabitEthernet 0/0.4


%LINK-5-CHANGED: Interface GigabitEthernet0/0.4, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.4,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 4
RSIEGE(config-subif)#ip address 192.168.4.1 255.255.255.0
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE(config)#interface gigabitEthernet 0/0.5


%LINK-5-CHANGED: Interface GigabitEthernet0/0.5, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.5,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 5
RSIEGE(config-subif)#ip address 192.168.5.1 255.255.255.0
RSIEGERSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE(config)#interface gigabitEthernet 0/0.6


%LINK-5-CHANGED: Interface GigabitEthernet0/0.6, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.6,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 6
RSIEGE(config-subif)#ip address 192.168.6.1 255.255.255.0
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

Dans la commande « encapsulation dot1Q X », le chiffre X en fin de ligne correspond au n° du


VLAN

II. Configuration VPN du routeur CISCO

La SOROUBAT ayant besoin d’une connexion WAN entre son siège et ses succursales
basées à l’intérieur du pays, nous allons créer une liaison avec un tunnel IPsec.

IPsec est un protocole VPN qui fonctionne sur la couche 3 du modèle OSI. C’est aussi un
standard IETF, ce qui signifie que nous pouvons l’utiliser entre les équipements de différents
fabricants.

Les VPN IPSEC pour rappel permettent :


- Une authentification de chaque paquet.
- Une vérification de l’intégrité des données de chaque paquet.
- De rendre confidentiels les données de chaque paquet IP.

Le diagramme ci-dessous montre notre scénario simple. Les deux sites ont une adresse IP
publique statique, comme indiqué dans le diagramme.
R1 est configuré avec 105.235.19.10 /24 et R2 avec l'adresse IP 160.120.145.178 /24.

ESGI / UFRA DENAGNON FRANCK Page 51


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

À partir de maintenant, les deux routeurs ont une configuration très basique telle que adresses
IP, NAT overload, route par défaut, noms d'hôte, connexions SSH, etc.

Chaque site étant une image d'un petit réseau disposant d'un accès à internet, la configuration
se fera en 02 étapes :

• Configuration du routage pour que les deux réseaux puissent communiquer


• Configuration du VPN

Configuration du routage pour que les deux réseaux puissent communiquer

Prérequis
Avant de commencer à configurer le VPN IPsec, toujours s’assurer que les deux routeurs peuvent
se joindre.

II.1 Configuration de base des routeurs (SIEGE-FAI-TAABO)


* Configuration des interfaces WAN et LAN (RSIEGE)
Router(config)#hostname RSIEGE
RSIEGE(config)#interface s0/0/0
RSIEGE(config-if)#ip address 105.235.19.10 255.255.255.0
RSIEGE(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
RSIEGE(config-if)#exit
RSIEGE(config)#interface g0/0
RSIEGE(config-if)#ip address 192.168.1.254 255.255.255.0
RSIEGE(config-if)#no shutdown

* Configuration des interfaces WAN (FAI)

FAI# configure terminal


FAI (config)#interface s0/0/1
FAI (config-if)#ip addresse 105.235.19.11 255.255.255.0
FAI (config-if)#no shut
FAI (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up

ESGI / UFRA DENAGNON FRANCK Page 52


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up


FAI (config-if)#exit
FAI (config)#interface s0/0/0
FAI (config-if)#ip addresse 160.120.145.10 255.255.255.0

* Configuration de l’interface WAN et LAN (RTAABO)


RTAABO(config)#interface s0/0/0
RTAABO(config-if)#ip address 160.120.145.178 255.255.255.0
RTAABO(config-if)#no shutdown
RTAABO (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
RTAABO(config-if)#exit
RTAABO(config)#interface g0/0
RTAABO(config-if)#ip address 192.168.2.254 255.255.255.0
RTAABO(config-if)#no shut down
RTAABO (config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
RTAABO(config-if)#exit

II.2 Configuration de la route par défaut, routeurs (SIEGE-FAI-TAABO).


* Configuration des routes sur routeur SIEGE (RSIEGE)
RSIEGE(config)#ip route 0.0.0.0 0.0.0.0 105.235.19.11
* Configuration des routes sur routeur FAI
FAI(config)#ip route 0.0.0.0 0.0.0.0 105.235.19.10
FAI(config)#ip route 0.0.0.0 0.0.0.0 160.120.145.178

* Configuration des routes sur routeur TAABO (RTAABO)


RTAABO(config)#ip route 0.0.0.0 0.0.0.0 160.120.145.10

Après un ping de vérification, nous pouvons confirmer que les trois routeurs peuvent
communiquer. Maintenant que le routage s'est bien passé nous allons sécuriser le réseau.

II.3 Mise en place d'un VPN IPsec

Nous avons 6 étapes à suivre pour la mise en place du VPN


• Définir la politique ISAKMP (IKE Phase1 : Méthode de chiffrement, durée de vie,
méthode d’intégrité, ce qui va permettre de définir une IKE Security Association).
• Créer la clé partagée
• Créer une transform-set (IKE Phase2 : Nous allons configurer les politiques de sécurité
IPSec « protocole esp, vérifier le type de liaison » afin d’avoir un IPSec Security
Association).
• Mettre en place une ACL (qui définira quel trafic peut/doit emprunter le VPN)
• Créer un crypto map
• Appliquer le crypto map à l’interface de sortie du routeur

ESGI / UFRA DENAGNON FRANCK Page 53


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

- Configuration du routeur site 1 (Routeur Siege)

On s’assure tout d’abord que l’IOS de notre routeur supporte le VPN à travers la commande « sh
version » en mode configuration ou faire une MAJ de l’IOS vers un /K9, ensuite nous entamons
la première partie qui consiste à configurer la politique c’est-à-dire qu’elle encryption on utilise,
qu’elle hash quel type d’authentification, etc.

Étape 1. Définition de la politique ISAKMP

RSIEGE(config)#crypto isakmp enable


RSIEGE(config)#crypto isakmp policy 1
RSIEGE(config-isakmp)#encryption aes
RSIEGE(config-isakmp)#hash md5
RSIEGE(config-isakmp)#authentication pre-share
RSIEGE(config-isakmp)#group 2
RSIEGE(config-isakmp)#lifetime 86400
RSIEGE(config-isakmp)#exit

Voici les détails de chaque commande utilisée ci-dessus,


• Crypto isakmp policy 1 - Cette commande crée la stratégie ISAKMP numéro 1. Nous
pouvions créer plusieurs stratégies, par exemple 7, 8, 9 avec une configuration différente. Les
routeurs participant à la négociation de la phase 1 essaient de faire correspondre une stratégie
ISAKMP à la liste des stratégies une par une. Si une stratégie est mise en correspondance, la
négociation IPSec passe à la phase suivante. On crée donc ici une stratégie avec un numéro
de séquence 1.
Ce numéro indique la priorité de l'utilisation de la stratégie. Plus petit est ce nombre plus la
priorité est grande.
• authentication pre-share - La méthode d'authentification est la clé pré-partagée.
• encryption 3aes - L’algorithme de cryptage 3AES (Advanced Encryption Standard) sera
utilisé pour la confidentialité.
• hash md5 - L’ algorithme de hachage md5 sera utilisée pour l'intégrité.
• group 2 - Méthode de distribution des clés partagées DH-2. Le groupe Diffie-Hellman utilisé
ici est le groupe 2 pour la méthode d’échange des clés.
• lifetime 86400 - Spécifie le temps de validité de la connexion avant une nouvelle négociation
des clefs. (Valeur par défaut)

Ensuite, toujours dans la première partie, nous créons la clé partagée

Étape 2. Création de la clé de partage

RSIEGE(config)#crypto isakmp key cisco@123 address 160.120.145.178

• crypto isakmp key cisco@123 address 160.120.145.178- On crée ainsi la clé pré-
partagée, ici «cisco@123» qu'on associe avec l'adresse IP de l'homologue à l'autre
bout du tunnel ici 160.120.145.178.
On définit par ailleurs si on doit identifier le routeur par son adresse ou par son hostname
(ici on choisit l'adresse publique fixe), l'identification par hostname peut être utile si on
fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de
modifications de configuration en cas de changement d'adresse.

La deuxième partie, quant à elle consiste à définir comment les données seront cryptées.

Tout d'abord on crée la méthode de cryptage (transform-set) que l'on nomme ici vpnset.

ESGI / UFRA DENAGNON FRANCK Page 54


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Étape 3. Création d’une transform-set


RSIEGE(config)#crypto ipsec transform-set vpnset esp-aes esp-md5-hmac
RSIEGE(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 3600
RSIEGE(cfg-crypto-trans)#exit

Voici le détail de la commande utilisée ci-dessus,


• crypto ipsec transform-set vpnset - Crée un ensemble de transformation appelé vpnset
• esp-aes - la méthode de cryptage AES et le protocole ESP IPSec seront utilisés.
• esp-md5-hmac - L'algorithme de hachage MD5 sera utilisé.
• crypto ipsec security-association lifetime seconds- Il s'agit de la durée de vie de la clé de
cryptage.

Nous prenons soin de vérifier d’avoir utilisé les mêmes protocoles d’encryptions et de Hash utilisés
dans la première étape.

Dans notre cas : Encryption : aes, hash : md5

Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic intéressant (ACL).

Nous créons la crypto ACL qui est une ACL qui va identifier le trafic « intéressant » c’est à dire le
trafic qui doit passer par le tunnel VPN (ici c’est le trafic depuis le LAN SIEGE vers le LAN TAABO,
ça sera l’inverse sur l’autre routeur). Le trafic permit par cette ACL sera chiffré dans le tunnel
IPSEC, le reste non…On crée donc une access-list étendue :

RSIEGE(config)#ip access-list extended vpn-traffic


RSIEGE(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
RSIEGE(config-ext-nacl)#exit

Cette ACL définit le trafic qui doit passer par le tunnel VPN. Ici, le trafic en provenance du réseau
192.168.1.0 vers le réseau 192.168.2.0 sera acheminé via le tunnel VPN. Cette ACL sera utilisée
à l’étape 5 de Crypto Map.

Étape 5. Configuration de Crypto Map.

Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : La politique
IPSec, l’adresse IP du routeur distant avec lequel on veut communiquer, la crypto ACL et le
transform-set pour la politique IPSec.
RSIEGE(config)#crypto map IPSEC-VPN 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RSIEGE(config-crypto-map)#set peer 160.120.145.178
RSIEGE(config-crypto-map)#match address vpn-traffic
RSIEGE(config-crypto-map)#set transform-set vpnset

Voici le détail de la commande utilisée ci-dessus,


• ipsec-isakmp - Crée une nouvelle carte de chiffrement avec le numéro de séquence 10. On
peut créer plusieurs numéros de séquence avec le même nom, si on a plusieurs sites.
• set peer 160.120.145.178– Associe l’ IP destination, ici l'adresse IP publique de RTAABO
• match address vpn-traffic - Associe l’ ACL précédemment crée et nommé vpn-traffic .
• set transform-set vpnset - Ceci relie le transform-set à la configuration de la crypto map.

ESGI / UFRA DENAGNON FRANCK Page 55


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Étape 6. Application de la Crypto Map à l'interface sortante de RSIEGE.

La configuration de RSIEGE est presque terminée nous devons appliquer la crypto map sur
l’interface de sortie de ce routeur, dans notre cas s0/0/0.

RSIEGE(config)#int s0/0/0
RSIEGE(config-if)#crypto map IPSEC-VPN
*Mar 1 19:16:14.231: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Un message vous indique que la crypto map fonctionne.

Étape 7. Exclue le traffic VPN du NAT Overload.

RSIEGE(config)#ip access-list extended 101


RSIEGE(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
RSIEGE(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
RSIEGE(config-ext-nacl)#exit
RSIEGE(config)#ip nat inside source list 101 interface S0/0/0 overload

Au-dessus de l’ACL 101, le trafic intéressant sera exclu du NAT.

- Configuration du routeur site 2 (Routeur Taabo)


La configuration est la même que pour le Routeur Siège à certaines exceptions :
• Dans l’ACL « vpn-traffic » on doit inverser l’adresse IP de l’hôte source et de l’hôte de
destination
• Dans la définition du transform-set on doit changer l’adresse du peer en mettant l’adresse
IP de RSIEGE
• Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de destination
• Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RSIEGE

Nous allons répéter les étapes de RSIEGE à l’identique sur le routeur RTAABO à l’exception de
l’access-list qui doit être inversé au vu de la source et de la destination

Étape 1. Définition de la politique ISAKMP

RTAABO(config)#crypto isakmp enable


RTAABO(config)#crypto isakmp policy 1
RTAABO(config-isakmp)#encryption aes
RTAABO(config-isakmp)#hash md5
RTAABO(config-isakmp)#authentication pre-share
RTAABO(config-isakmp)#group 2
RTAABO(config-isakmp)#lifetime 86400
RTAABO(config-isakmp)#exit

Étape 2. Création de la clé de partage

RTAABO(config)#crypto isakmp key cisco@123 address 105.235.19.10

ESGI / UFRA DENAGNON FRANCK Page 56


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Étape 3. Création d’une transform-set

RTAABO(config)#crypto ipsec transform-set vpnset esp-aes esp-md5-hmac


RTAABO(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 3600

Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic intéressant (ACL).

RTAABO(config)#ip access-list extended vpn-traffic


RTAABO(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Étape 5. Configuration de Crypto Map.

RTAABO(config)#crypto map IPSEC-VPN 10 ipsec-isakmp


% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RTAABO(config-crypto-map)#set peer 105.235.19.10
RTAABO(config-crypto-map)#match address vpn-traffic
RTAABO(config-crypto-map)#set transform-set vpnset

Étape 6. Application de la Crypto Map à l'interface sortante de RTAABO

RTAABO(config)#int s0/0/0
RTAABO(config-if)#crypto map IPSEC-VPN
*Mar 1 19:46:10.123: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Étape 7. Exclue le traffic VPN du NAT Overload

RTAABO(config)#ip access-list extended 101


RTAABO(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
RTAABO(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any
RTAABO(config-ext-nacl)#exit
RTAABO(config)#ip nat inside source list 101 interface S0/0/0 overload

VERIFICATION ET TEST
Pour tester la connexion VPN, nous envoyons tout d’abord une requête ping de PCSIEGE à PCTAABO.

PC>ping 192.168.2.10
Pinging 192.168.2.10 with 32 bytes of data :
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Reply from 192.168.2.10: bytes=32 time=7ms TTL=126
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 7ms, Average = 3ms

ESGI / UFRA DENAGNON FRANCK Page 57


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Pour vérifier la connexion IPSec Phase 1, on tape « show crypto isakmp sa » comme indiqué :
RSIEGE#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status
160.120.145.178 105.235.19.10 QM_IDLE 1026 0 active
------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status
105.235.19.10 160.120.145.178 QM_IDLE 1026 0 active

QM_IDLE : Signifie que le Tunnel est bien monté. Pour vérifier la connexion IPSec Phase 2, on
tape « show crypto ipsec sa » comme indiqué :
RSIEGE#show crypto ipsec sa

interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 105.235.19.10
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 160.120.145.178 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0
………………..

local crypto endpt.: 105.235.19.10, remote crypto endpt.:160.120.145.178


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x133B6163(322658659)

inbound esp sas:


spi: 0x49363F4A(1228291914)
transform: esp-aes esp-md5-hmac ,
in use settings ={Tunnel, }
…………….
Status: ACTIVE
----------------------------------------------------------------------------------------------------------------------------

RTAABO#show crypto ipsec sa


interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 160.120.145.178
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 105.235.19.10 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 0
……………….
local crypto endpt.: 160.120.145.178, remote crypto endpt.:105.235.19.10
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x49363F4A(1228291914)

inbound esp sas:


spi: 0x133B6163(322658659)
transform: esp-aes esp-md5-hmac ,
in use settings ={Tunnel, }
………..
Status: ACTIVE

ESGI / UFRA DENAGNON FRANCK Page 58


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Pour vérifier la crypto map, on tape « show crypto map » sur chacun des routeurs comme
indiqué

RSIEGE#show crypto map


Crypto Map IPSEC-VPN 10 ipsec-isakmp
Peer = 160.120.145.178
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: 160.120.145.178
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0

------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto map
Crypto Map IPSEC-VPN 10 ipsec-isakmp
Peer = 105.235.19.10
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 105.235.19.10
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0

Sur l’ordinateur PC-SIEGE nous faisons un « traceroute » vers PC-TAABO


PC>tracert 192.168.2.10

Tracing route to 192.168.2.10 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.1.254
2 2 ms * 1 ms 160.120.145.178 <= On voit ici l’IP de RTAABO
3 2 ms 1 ms 2 ms 192.168.2.10

Trace complete.

ESGI / UFRA DENAGNON FRANCK Page 59


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Chapitre 3 : Estimation financière du projet


Ici, il est question de moyens financiers concernant le coût de réalisation de ce projet.

Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels, cette
facture fera foi de bilan financier :

Equipements Quantité Prix Unitaire (Ttc) Prix Total (Ttc)


Routeur Cisco 1921 / K9 - 04 850.000 Fcfa 3 400 000 Fcfa
GigE- Montable sur rack -
modulaire - 1U (Pour les 04 sites
distants)
Switch CISCO Small 04 750 000 Fcfa 3 000 000 Fcfa
Business SG 350X -48 –
Rackable 48 X 1000Base-T
Onduleur UPS 2000 VA (Pour 04 150 000 Fcfa 600 000 Fcfa
armoire informatique)

TOTAL 7 000 000 Fcfa

Tableaux 12 : Estimation Financière du Projet

ESGI / UFRA DENAGNON FRANCK Page 60


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

Conclusion générale

Conclusion

Le développement de la technologie en général et de l’informatique en particulier a suscité


un engouement pour la modernisation du traitement des systèmes d’information.

Ces technologies ont pu se développer grâce aux performances toujours plus importantes
des réseaux locaux. Mais le succès de ces systèmes d’information a fait aussi apparaître un de
leur écueil.

Ce projet nous a permis de mieux appréhender les problèmes liés aux réseaux locaux
dont ceux relatifs au déploiement d’un réseau VPN comprenant plusieurs sites distants tout en
garantissant une qualité de service.

En outre il nous a permis de nous familiariser davantage aux équipements CISCO.

Il ressort entre autres de cette présente étude qu’il y a accord entre la réflexion théorique menée
et la mise en place pratique des VPN, constat qui à notre sens valide notre projet.

Toutes fois nous admettons que nos théories et nos réflexions bien qu’empiriques ne soient pas
des vérités indubitables et définitives.
Elles sont susceptibles d'être réfutées par des modèles plus robustes ou par des observations
postérieures divergentes qui seraient liées à l'évolution des technologies, elles-mêmes en
constante mutation. C'est le propre de toute proposition intellectuelle de s'attendre à être un jour
ou l'autre dépassée.
Mais elle peut tout aussi bien être plus tard renforcée par d'autres approches et mises en place.

ESGI / UFRA DENAGNON FRANCK Page 61


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)

BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE


- BIBLIOGRAPHIE :
• Jean-François Challande Jean-Louis Lequeux. – Le grand livre DU DSI, Edition Eyrolles
2009 ;
• Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud Soullié,
Alexandre Anzala-Yamajako, Thomas Debize. – Sécurité informatique pour le DSI, 5 ème
éditions, editions-eyrolles
• C. Pernet. – Sécurité et espionnage informatique
• Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011 ;

- WEBOGRAPHIE :
• Mémoire « Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA
Sarl en RDC » : https://www.memoireonline.com/01/13/6733/m_Mise-en-place-dun-reseau-
VPN-au-sein-dune-entreprise-Cas-de-la-BRALIMA-Sarl-en-RDC17.html
• Réseau privé virtuel VPN : https://www.frameip.com/vpn/
• Les réseaux de zéro : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-
zero/3199431-les-topologies
• OpenVpn : https://fr.vpnmentor.com
• VPN site to site Ipsec: http://idum.fr/spip.php?article214
• Configure Site to Site IPSec VPN Tunnel in Cisco IOS Router :
http://www.mustbegeek.com/configure-site-to-site-ipsec-vpn-tunnel-in-cisco-ios-router/
• VPN site to site : https://www.supinfo.com/articles/single/921--vpn-site-to-site
• La mise en place d'un VPN : https://www.supinfo.com/articles/single/2384-mise-place-vpn
• Configuration d’un vpn ipsec entre deux routeurs cisco :
http://www.lolokai.com/blog/2012/03/27/configuration-dun-vpn-ipsec-entre-deux-routeurs-
cisco/
• IKE : http://pteu.fr/doku.php?id=informatique:cisco:ipsec
• CONFIGURATION D’UN VLAN SUR SWITCH CISCO :
https://www.fbotutos.com/configuration-dun-vlan-sur-switch-cisco.html

- VIDEOTHEQUE
• Alphorm - Reseaux Cisco (1-2) - Maitriser la sécurité
• Alphorm.Formation. Cisco.CCNA.CCNP.[Pack.Complet].Video.mp4-ArcheryTeam
• Video2Brain Fondamentaux Réseaux
• Faire communiquer des machines dans des vlans différents via un routeur (Prince Attobla)
https://www.youtube.com/watch?v=UXRphawCH4c

ESGI / UFRA DENAGNON FRANCK Page 62

Оценить