Mise à jour d`une doc technique
Transcription
Mise à jour d`une doc technique
DI MARCANTONIO Joris Mise à jour d’une doc technique Mise en situation Objectif de la situation professionnelle Présentation du projet LAN CQC Introduction Types d’infrastructures Equipements du projet LAN CQC Architecture réseau Standardisation Sécurité des sites Modifications effectuées sur la documentation DI MARCANTONIO Joris Mise en situation Objectif de la situation professionnelle Une des situations professionnelle que j’ai pu réaliser à défaut de pouvoir manipuler des équipements réseaux a été de mettre à jour une documentation technique sur le projet LAN CQC du site d’Hyères. Je décris plus bas en quoi consiste le projet LAN CQC et ses caractéristiques. En récoltant les nouvelles configurations réseaux envoyé par mail par on maître de stage, j’ai ensuite retransmis ses informations dans le compte rendu du site de Hyères. Présentation du projet LAN CQC Introduction Le projet LAN CQC (Cap Qualité Courrier) a pour but de standardiser les réseaux dans chacune des différentes infrastructures de la Poste : PIC (plate-forme industrielle du courrier), PPDC (Plate-forme de Préparation et de Distribution du Courrier) et PDC (Plate-forme Distribution de Courrier). Trois types d’architecture Afin d’avoir une idée général sur les différentes architectures réseaux, il est nécessaire de montrer à quoi correspond chaque site de la Poste. PDC : (Plate-forme Distribution de Courrier) correspond à la plus petite architecture de la Poste, c’est l’endroit où est trié le courrier par les facteurs selon les numéros des rues de leurs tournées. PPDC : (Plate-forme de Préparation et de Distribution du Courrier) Site de taille intermédiaire, on retrouve des machines de tri, on y tri le courrier par secteur (exemple : la Seyne norale : la Seyne, le Beausset, Ollioules, Sanary) PIC : (plate-forme industrielle du courrier) Le plus grand des sites de la poste (aussi appelé centre de tri), on en retrouve un par département, mon stage a été effectué dans celle du Var, à la Valette. Le courrier est trié par les machines puis distribué vers les PPDC puis les PDC. DI MARCANTONIO Joris Architecture cible PDC SIE Machines de tri SA SR Réseau IGRP Environnement Bureautique Environnement Industriel DI MARCANTONIO Joris Architecture cible PPDC SIE 1 MTP 1 à 8 TTF SA SR Réseau IGRP Environnement Bureautique Environnement Industriel DI MARCANTONIO Joris Architecture cible PIC SA SR Réseau IGRP Environnement Bureautique DI MARCANTONIO Joris Equipements du projet LAN CQC - Switch Blade AT SB-4004 Ce switch de niveau 3 est déployé comme équipement de cœur de réseau en PIC et PPDC - Allied Telesis AT-8648T/8624 C’est le commutateur de proximité que l’on retrouve en SR de zone ainsi que dans les SRM Il existe aussi une version POE pour le raccordement et l’alimentation IP. - Firewall Netasq F50 (Appliance UTM) Netasq F200 (Appliance UTM) Netasq F500 (Appliance UTM) - Bornes WiFi Cisco Air-AP1131 En mode WPA-PSK (Pre-Shared Key) DI MARCANTONIO Joris SR Serveur de Ressource: Il sert de serveur d’impression et serveur de partage (le U :) SA Serveur d’application : Réalise le lien entre les machines, Il fait remontait les statistiques des machines, On lui envoie les plan de tri. Son application principale est IGP (Interface Gestion Production). Standardisation du projet La Poste a souhaité que le projet LAN CQC serve de standard pour tous les sites de France. Ainsi, on retrouve le même schéma réseau pour chacune des infrastructures ainsi que les mêmes équipements réseau. Les VLAN sont aussi identiques, l’attribution d’un port à un vlan est la même dans chaque architecture de France (exemple, le port 13 du switchBlade de la PIC de Toulon est sur le VLAN INDUS ; le port 13 de la PIC de Rennes est sur le VLAN INDUS aussi) Cette standardisation permet de réaliser des économies au niveau cout matériel car la Poste a des tarifs lorsqu’ils passent une grosse commande. Cela permet également d’éviter toute confusion, tout est configuré pareil. DI MARCANTONIO Joris Sécurité des sites LAN CQC VLAN La Poste Courrier a mis en place plusieurs VLAN sur chacun de ses sites ; On distingue 8 VLAN différents dans le projet LAN CQC : - VLAN indus - VLAN Bureautique - VLAN ADMINLAN - VLAN Maintindus - VLAN IRPG - VLAN Sureté - VLAN RLC - VLAN VIDEO_CDGE Indus Bureautique IRGP Maintindus Sureté AdminLAN WAN IRGP Bureautique Indus Une politique de filtrage inter-vlan a été mise en place, elle indique les VLAN qui peuvent communiquer entre eux : Légende Communication bloquée Communication bloqué sauf flux nécessaire WAN adminLAN Sureté Maintindus Communication autorisé DI MARCANTONIO Joris Routeur + ACL Des access lists ont été mis en place afin de restreindre le trafic entre stations. La mise en place des ACLs se fait en deux étapes : - L’Identification des flux - Une action sur les flux identifiés (acceptation ou rejet) L’identification des flux est configurée dans le module Classifier et les actions dans le menu Port Traffic Filters. L’identification des flux s’appuie sur la notion de classifier. Un Classifier est un ensemble de caractéristiques permettant d’identifier un type de trafic. Les caractéristiques pouvant être définis sont : - VLANs - Le type d’encapsulation Ethernet - Les adresses MAC/IP sources et destinations - Les protocoles de niveau 3 et 4 (TCP et UDP) - Les ports sources et destinations de niveau 4 De plus on remarque que les classifiers permettent d’identifier des flux, on peut donc en déduire qu’ils participent à la QoS et le filtrage matériel Firewall L’application des règles de filtrage est la suivante : Tout flux n’étant pas explicitement déclaré est bloqué par défaut. Chaque site dispose d’un Firewall (ou deux) avec intégration du module UTM permettant un filtrage avancé et une protection contre l’intrusion (IPS) afin de sécuriser les flux vers les machines de tri. Le module MTM est une combinaison de technologie matérielles, logicielles et réseaux pouvant remplir plusieurs fonctions de sécurité : pare-feu, prévention d’intrusion, antivirus intégré. Autres équipements de sécurité Afin de prévoir toute intrusion non pas sur le réseau mais à l’intérieur des bais, la poste a muni ses sites d’équipement tels que caméra ip, détecteur de mouvement, alarme incendie. DI MARCANTONIO Joris Modification de la doc technique Le centre technique de Chartres a fait parvenir les nouvelles configurations réseaux qui doivent être effectué sur le compte rendu du site d’Hyères. Après réception du cahier des charges, j’ai pu modifier la documentation selon les exigences de Chartres. Les nouvelles opérations réseaux ont été déjà effectuées. Voici les demandes de mise à jour : Visuel du nouveau commutateur SRG1 avec intégration des nouveaux VLAN (le vlan sureté est maintenant administrer sur SRG1, réduction des ports du vlan bureautique et IRGP Mise à jour de l’adressage IP de management du switch Intégration du VLAN sureté dans le tableau des VLAN avec attributions de la nouvelle adresse IP Nouvelles règles de filtrage à appliquer sur les VLAN Mise à jour des classifiers J’ai ensuite proposé la nouvelle documentation à mon maître de stage qui l’a approuvé puis l’a renvoyé au centre de la DESEM de Chartres.