Mise à jour d`une doc technique

DI MARCANTONIO
Joris
Mise à jour d’une doc technique
Mise en situation
Objectif de la situation professionnelle
Présentation du projet LAN CQC
Introduction
Types d’infrastructures
Equipements du projet LAN CQC
Architecture réseau
Standardisation
Sécurité des sites
Modifications effectuées sur la documentation
DI MARCANTONIO
Joris
Mise en situation
Objectif de la situation professionnelle
Une des situations professionnelle que j’ai pu réaliser à défaut de pouvoir manipuler des
équipements réseaux a été de mettre à jour une documentation technique sur le projet LAN CQC du
site d’Hyères. Je décris plus bas en quoi consiste le projet LAN CQC et ses caractéristiques. En
récoltant les nouvelles configurations réseaux envoyé par mail par on maître de stage, j’ai ensuite
retransmis ses informations dans le compte rendu du site de Hyères.
Présentation du projet LAN CQC
Introduction
Le projet LAN CQC (Cap Qualité Courrier) a pour but de standardiser les réseaux dans chacune des
différentes infrastructures de la Poste : PIC (plate-forme industrielle du courrier), PPDC (Plate-forme
de Préparation et de Distribution du Courrier) et PDC (Plate-forme Distribution de Courrier).
Trois types d’architecture
Afin d’avoir une idée général sur les différentes architectures réseaux, il est nécessaire de montrer à
quoi correspond chaque site de la Poste.
PDC : (Plate-forme Distribution de Courrier) correspond à la plus petite architecture de la Poste, c’est
l’endroit où est trié le courrier par les facteurs selon les numéros des rues de leurs tournées.
PPDC : (Plate-forme de Préparation et de Distribution du Courrier) Site de taille intermédiaire, on
retrouve des machines de tri, on y tri le courrier par secteur (exemple : la Seyne norale : la Seyne, le
Beausset, Ollioules, Sanary)
PIC : (plate-forme industrielle du courrier) Le plus grand des sites de la poste (aussi appelé centre de
tri), on en retrouve un par département, mon stage a été effectué dans celle du Var, à la Valette. Le
courrier est trié par les machines puis distribué vers les PPDC puis les PDC.
DI MARCANTONIO
Joris
Architecture cible PDC
SIE
Machines de tri
SA
SR
Réseau IGRP
Environnement Bureautique
Environnement Industriel
DI MARCANTONIO
Joris
Architecture cible PPDC
SIE
1 MTP
1 à 8 TTF
SA
SR
Réseau IGRP
Environnement Bureautique
Environnement Industriel
DI MARCANTONIO
Joris
Architecture cible PIC
SA
SR
Réseau IGRP
Environnement Bureautique
DI MARCANTONIO
Joris
Equipements du projet LAN CQC
-
Switch Blade AT SB-4004
Ce switch de niveau 3 est déployé comme
équipement de cœur de réseau en PIC et
PPDC
-
Allied Telesis AT-8648T/8624
C’est le commutateur de proximité que
l’on retrouve en SR de zone ainsi que
dans les SRM
Il existe aussi une version POE pour le
raccordement et l’alimentation IP.
-
Firewall
Netasq F50 (Appliance UTM)
Netasq F200 (Appliance UTM)
Netasq F500 (Appliance UTM)
-
Bornes WiFi Cisco Air-AP1131
En mode WPA-PSK
(Pre-Shared Key)
DI MARCANTONIO
Joris
SR
Serveur de Ressource: Il sert de serveur d’impression et serveur de partage (le U :)
SA
Serveur d’application : Réalise le lien entre les machines, Il fait remontait les statistiques des
machines, On lui envoie les plan de tri. Son application principale est IGP (Interface Gestion
Production).
Standardisation du projet
La Poste a souhaité que le projet LAN CQC serve de standard pour tous les sites de France. Ainsi, on
retrouve le même schéma réseau pour chacune des infrastructures ainsi que les mêmes
équipements réseau. Les VLAN sont aussi identiques, l’attribution d’un port à un vlan est la même
dans chaque architecture de France (exemple, le port 13 du switchBlade de la PIC de Toulon est sur
le VLAN INDUS ; le port 13 de la PIC de Rennes est sur le VLAN INDUS aussi)
Cette standardisation permet de réaliser des économies au niveau cout matériel car la Poste a des
tarifs lorsqu’ils passent une grosse commande.
Cela permet également d’éviter toute confusion, tout est configuré pareil.
DI MARCANTONIO
Joris
Sécurité des sites LAN CQC
VLAN
La Poste Courrier a mis en place plusieurs VLAN sur chacun de ses sites ; On distingue 8 VLAN
différents dans le projet LAN CQC :
- VLAN indus
- VLAN Bureautique
- VLAN ADMINLAN
- VLAN Maintindus
- VLAN IRPG
- VLAN Sureté
- VLAN RLC
- VLAN VIDEO_CDGE
Indus
Bureautique
IRGP
Maintindus
Sureté
AdminLAN
WAN
IRGP
Bureautique
Indus
Une politique de filtrage inter-vlan a été mise en place, elle indique les VLAN qui peuvent
communiquer entre eux :
Légende
Communication bloquée
Communication bloqué
sauf flux nécessaire
WAN
adminLAN
Sureté
Maintindus
Communication autorisé
DI MARCANTONIO
Joris
Routeur + ACL
Des access lists ont été mis en place afin de restreindre le trafic entre stations. La mise en place des
ACLs se fait en deux étapes :
- L’Identification des flux
- Une action sur les flux identifiés (acceptation ou rejet)
L’identification des flux est configurée dans le module Classifier et les actions dans le menu Port
Traffic Filters.
L’identification des flux s’appuie sur la notion de classifier. Un Classifier est un ensemble de
caractéristiques permettant d’identifier un type de trafic. Les caractéristiques pouvant être définis
sont :
- VLANs
- Le type d’encapsulation Ethernet
- Les adresses MAC/IP sources et destinations
- Les protocoles de niveau 3 et 4 (TCP et UDP)
- Les ports sources et destinations de niveau 4
De plus on remarque que les classifiers permettent d’identifier des flux, on peut donc en déduire
qu’ils participent à la QoS et le filtrage matériel
Firewall
L’application des règles de filtrage est la suivante : Tout flux n’étant pas explicitement déclaré est
bloqué par défaut.
Chaque site dispose d’un Firewall (ou deux) avec intégration du module UTM permettant un filtrage
avancé et une protection contre l’intrusion (IPS) afin de sécuriser les flux vers les machines de tri.
Le module MTM est une combinaison de technologie matérielles, logicielles et réseaux pouvant
remplir plusieurs fonctions de sécurité : pare-feu, prévention d’intrusion, antivirus intégré.
Autres équipements de sécurité
Afin de prévoir toute intrusion non pas sur le réseau mais à l’intérieur des bais, la poste a muni ses
sites d’équipement tels que caméra ip, détecteur de mouvement, alarme incendie.
DI MARCANTONIO
Joris
Modification de la doc technique
Le centre technique de Chartres a fait parvenir les nouvelles configurations réseaux qui doivent être
effectué sur le compte rendu du site d’Hyères. Après réception du cahier des charges, j’ai pu modifier
la documentation selon les exigences de Chartres. Les nouvelles opérations réseaux ont été déjà
effectuées.
Voici les demandes de mise à jour :





Visuel du nouveau commutateur SRG1 avec intégration des nouveaux VLAN (le vlan sureté
est maintenant administrer sur SRG1, réduction des ports du vlan bureautique et IRGP
Mise à jour de l’adressage IP de management du switch
Intégration du VLAN sureté dans le tableau des VLAN avec attributions de la nouvelle adresse
IP
Nouvelles règles de filtrage à appliquer sur les VLAN
Mise à jour des classifiers
J’ai ensuite proposé la nouvelle documentation à mon maître de stage qui l’a approuvé puis l’a
renvoyé au centre de la DESEM de Chartres.