## <span style="color:red"> SAE204 Projet Intégratif - Partie Réseaux et Télécoms ### <span style="color:red"> 1. Objectif  ### <span style="color:red"> 2. Organisation de la partie « Réseaux » ### <span style="color:red"> 3. Fonctionnalités à mettre en œuvre #### <span style="color:darkblue">3.1. Réseau de l'opérateur Q1. La plage du réseau est 10.12.0.0/16 que l'on va découper pour le VLAN sous la forme 10.12.xy.0 | Nom VLAN | Adresse | Préfixe | 1ere Adresse | Passerelle | Router-ID | | --- | --- | --- | --- | --- | --- | | VLAN 121 | 10.12.0.16 | /30 | .17 | .18 | 1.1.1.1 | | VLAN 122 | 10.12.0.20 | /30 | .21 | .22 | 2.2.2.2 | | VLAN 123 | 10.12.0.0 | /28 | .1 | .14 | 3.3.3.3 | | VLAN 77 | 10.12.1.0 | /29 | .1 | .6 | //////////////// | | VLAN 192 | 192.168.1.0 | /24 | .1 | .244 | //////////////// | On utilise les ports GigabitEthernet des routeurs pour les liaisons, et le protocole OSPF sera utiliser pour le transfert de routes. Les ID des routeurs seront sous la forme y.y.y.y, avec y le numéro du VLAN. Le routeur sans-fil PA1 aura le SSID SAE24-GP12 et le mot de passe gtrnet12\*. Le routeur désigné est R1. On ajoute également un VLAN de gestion qui sera utilisé par le protocole Telnel pour la connexion a distance. Q2. On va réaliser un schéma de cette topologie avec PacketTracer  Q3. On va ensuite configurer le commutateur et les routeurs, le routage inter-vlan sera configuré sur le routeur R3, et le NAT Surchargé sur R2 le routeur de bordure dont l'interface externe aura son IP en DHCP, on met également en place le routage OSPF dans la zone backbone On vérifie ensuite la table de routage des routeurs pour voir si elle est complète R1:  R2:  R3:  Q4. Sur le routeur de bordure on configure le NAT surchargé et le DHCP ``` R2(config)# int Fa0/0.122 R2(config-if)# ip nat inside R2(config)# int Fa0/1 R2(config)# ip nat outside R2(config-if)# ip addr dhcp R2(config-if)# no shut R2(config)# access-list 1 permit 10.12.0.0 0.0.255.255 R2(config)# ip nat inside source list 1 int Fa0/1 overload ``` Q5. On configure ensuite le point d'accès sans fil ``` SSID : SAE14-G12 Mot de passe : gtrnet-sae-12* ``` Q6. On va effectué des tests de connectivité depuis un PC connecter en WiFi vers Internet afin de validé la configuration du réseau #### <span style="color:darkblue"> 3.2. Réseau de la municipalité La plage d’adresse 172.27.0.0 /21 sera utilisée pour segmenter le réseau. La variable Une marge de 4 adresses IP sera prise en compte pour l’adressage des sous-réseaux, y compris celui de gestion (Management), dédié à l’administrateur. Q7. On va donc réalisé l'adressage des VLAN et des LAN | Nom VLAN | Adresse | Préfixe | 1ere Adresse | Passerelle | | -------- | ----------- | ------- | ------------ | ---------- | | VLAN 124 | 172.27.0.0 | /24 | .1 | .254 | | VLAN 125 | 172.27.1.0 | /29 | .1 | .6 | | DMZ | 172.27.1.8 | /29 | .9 | .14 | | VLAN 127 | 172.27.1.16 | /29 | .17 | .22 | | FW-R4 | 172.27.1.24 | /30 | .25 | .26 | | FW-FAI | 10.12.0.24 | /30 | .25 | .26 | Le VLAN 124 sera utilisé pour les clients et on a besoin de 250 hôtes. Le VLAN 125 sera utilsié par le serveur DNS, donc deux hôtes, mais sachant qu'il faut 4 hôtes en plus, on prend un /29, le DMZ sera adressé de la même façon. Le pare-feu utilisera des réseaux point a point. Q8.  Q9. On va ensuite configuré le routeur R4 et le routage inter-vlan sur le switch S2 Sur R4 ``` R4(config)# int Gi0/1 R4(config-if)# ip addr 172.27.1.25 255.255.255.252 R4(config-if)# no shut R4(config)# int Gi0/0.124 R4(config-sub-if)# encapsulation dot1q 124 R4(config-sub-if)# ip addr 172.27.0.254 255.255.255.0 R4(config-sub-if)# no shut R4(config)# int Gi0/0.125 R4(config-sub-if)# encapsulation dot1q 125 R4(config-sub-if)# ip addr 172.27.1.6 255.255.255.248 R4(config-sub-if)# no shut R4(config)# ip route 0.0.0.0 0.0.0.0 Gi0/1 ``` Sur S2 ``` S2(config)# vlan 124 S2(config-vlan)# name Clients S2(config)# vlan 125 S2(config-vlan)# name Services S2(config)# vlan 127 S2(config-vlan)# name Gestion S2(config)# int range fa0/1-5 S2(config-if-range) sw mode access S2(config-if-range) sw access vlan 124 S2(config)# int range fa0/6-10 S2(config-if-range) sw mode access S2(config-if-range) sw access vlan 125 S2(config)# int fa0/24 S2(config-if-range) sw mode trunk S2(config-if-range) sw trunk native vlan 127 ``` Q10. Nous allons maintenant configurer la VM serveur Debian pour InfluxDB et Grafana, on installe d'abord Debian 11.9 en téléchargent l'ISO sur le site officiel, après avoir installé l'OS on se connecte en root. 1ere étape : Configuration IP du serveur dans `/etc/network/interfaces` `root@sae204-dmz-gp12:~# nano /etc/network/interfaces` ``` # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug ens33 iface ens33 inet static address 172.27.1.9 netmask 255.255.255.248 gateway 172.27.1.14 ``` 2e étape : Installation de InfluxDB On ajoute les clé publique et les dépots dans le gestionnaire de paquets ``` wget -q https://repos.influxdata.com/influxdata-archive_compat.key echo '393e8779c89ac8d958f81f942f9ad7fb82a25e133faddaf92e15b16e6ac9ce4c influxdata-archive_compat.key' | sha256sum -c && cat influxdata-archive_compat.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | tee /etc/apt/sources.list.d/influxdata.list ``` Ensuite on met a jour la liste des paquets et on installe InfluxDB ``` apt-get update apt-get install influxdb ``` Pour finir on active et on lance le service ``` systemctl unmask influxdb.service systemctl enable influxdb systemctl start influxdb ``` 3e étape : Installation de Grafana Tout d'abord on installe les prérequis de Grafana `apt-get install -y apt-transport-https software-properties-common wget` Ensuite comme avec InfluxDB on ajoute les clé publique GPG et les dépots ``` mkdir -p /etc/apt/keyrings/ wget -q -O - https://apt.grafana.com/gpg.key | gpg --dearmor | tee /etc/apt/keyrings/grafana.gpg > /dev/null echo "deb [signed-by=/etc/apt/keyrings/grafana.gpg] https://apt.grafana.com stable main" | tee -a /etc/apt/sources.list.d/grafana.list ``` On installe Grafana ``` apt-get update apt-get install grafana ``` Et pour finir on lance et on active le service Grafana ``` systemctl start grafana-server systemctl enable grafana-server ``` Après avoir installé et activé Grafana et InfluxDB on se connecte sur console web de Grafana sur http://172.27.1.9:3000/ On change le mot de passe admin en `gtrnet12*`  On a maintenant accès au dashboard Grafana  Le reste de la configuration de Grafana sera fait dans la partie programmation. Q11.  configuration de l'interface DMZ du parefeu stormshield.  configuration de l'interface IN du parefeu stormshied.  configuration de l'interface OUT du parefeu stormshield.  Activation de l'accès en ssh sur le parefeu stormshield.  Avec la commande netstat -r pour observer les routes. Après avoir regardé les routes, nous allons créer l'objet réseau pour réaliser le routage comme ci-contre :  Puis nous regardons à nouveau les routes pour savoir si la route à bien été mise en place.  Nous allons ensuite créer les routes vers les réseaux internes.  Puis on vérifie à nouveau les routes pour savoir si elles ont bien été ajouté.  Q12. Pour valider le fonctionnement du pare-feu de l’infrastructure on vérifie une machine cliente peut accéder à Internet et au serveur de la DMZ : Puis qu'une machine du réseau externe peut accéder au serveur de la DMZ : On va créer des objets pour les protocoles grafana et influxdb qui utilisent les ports 3000 et 8086 Ensuite on va crée des règles de filtrage  Puis des règles de translation NAT/PAT  Q13. Maintenant nous allons configuré le serveur DNS qui utilisera une VM Windows Server 2019 Pour cela depuis le `Gestionaire de Serveur` sur Windows on fait `Ajout de rôles et de fonctionalités`  On sélectionne le serveur  On ajoute le rôle `Serveur DNS`  Après avoir validé les étapes on redémarre le serveur Le serveur DNS utilisera l'IP 172.27.1.1/29 avec la passerelle 172.27.1.6 Ensuite on va pouvoir configuré le serveur DNS depuis le `Gestionnaire DNS`  On sélectionne la création de zone de recherche directe et inversée  On va ensuite créer la zone `ville-chattelerault.local`, le fichier de configuration sera `db.ville-chattelerault.local`  On désactive la mise à niveau dynamique car on va ajouter les hôtes manuellement Ensuite on va ajouté une zone de recherche inversée DNS avec la zone 27.172.id-addr.arpa, on met pas l'adresse en entier.  Le fichier de zone aura le même nom  Pour les requetes non-résolus on va utilisé des forwarder, ici celui de Google (8.8.8.8) et Sapiens (195.220.217.6)  On clique ensuite sur Terminer pour valider la création de zone On va également ajouter des hôtes dans notre zone Pour l'accès a Grafana  Ainsi il sera possible de se connecter au tableau de bord Grafana, il n'y a pas besoin de créer le PTR car il est créé automatiquement Et pour le DNS en lui même  On peut également ajouté le pare-feu, le routeur R4 et les hôtes de certains VLAN  On obtient donc ces des zones La zone directe :  Et la zone inversé  Pour vérifié le fonctionnement du serveur DNS nous allons utiliser la commande `nslookup` Question 14. Maintenant nous allons validé le fonctionnement de l'infrastructure, pour cela nous allons mettre les machines virtuelles Windows Server et Debian sur des PC en mode pont, ses PC seront connectés aux ports des VLAN125 et DMZ, ainsi qu'un autre PC qui sera client du VLAN124, on aura également la Raspberry Pi qui sera connecter en Wifi sur le VLAN123. Cela a été vérifié en utilisant notament la commande nslookup qui permet de vérifié que les hôtes sont bien résolu dans le réseau. Nous remarquon également que la raspberry pi est capable d'acceder a la fois a Internet via le NAT surchargé de R2 mais également au serveur Grafana grace au NAT avec translation de ports sur le pare-feu