PPE3-POOL2-Mission1-Compte-rendu.odt
Transcription
PPE3-POOL2-Mission1-Compte-rendu.odt
Christian NLANDU Meryeme EL AYACHI TS2 SIO (POOL 2) PPE 3 – Réseau GSB Mission 1 – Configuration du HP Switch E2620-24 I- Première configuration du HP Switch E2620-24 Après avoir analysé les documents sur l'infrastructure réseau de l'entreprise GSB, on doit configurer le switch HP E2620-24 (c'est-à-dire les routes IP, les ports, création de VLANS…) et procéder aux tests, étape par étape. Première étape, il faut se connecter au switch HP et lancer la commande pour effacer les configurations qui réside actuellement sur l'appareil avant de commencer la procédure : « erase startup-config » Une fois les configurations effacés, changer le nom du switch : « hostname MUTLAB-2 » (X = n° du pool) Deuxième étape, il faut créer les VLANS donnés dans le contexte : « VLAN n°VID name nom_du_vlan » Exemple : #creation des vlans vlan 2205 name Commercial vlan 2250 name Sortie vlan 2201 name Direction vlan 2200 name Reseaux vlan 2230 name Serveurs Troisième étape, attribuer les adresses IP des interfaces de chaque VLAN: « VLAN n°VID ip address @ip_interface/CIDR » Exemple : #AJOUTS DES ADRESSES IP vlan 2230 ip address 172.16.0.1/17 vlan 2250 ip address 172.18.0.1/30 vlan 2201 ip address 192.168.20.1/24 vlan 2205 ip address 192.168.60.1/24 vlan 2200 ip address 192.168.10.1/24 vlan 2202 ip address 192.168.30.1/24 vlan 2203 ip address 192.168.40.1/24 vlan 2220 ip address 192.168.200.1/24 vlan 2207 ip address 192.168.100.1/24 vlan 2206 ip address 192.168.70.1/24 vlan 2204 ip address 192.168.50.1/24 Quatrième étape, intégrer le ou les ports à son VLAN correspondant : « VLAN n°VID untagged/tag n°port » #ATTRIBUTION DES PORTS POUR CHAQUE VLAN(S) vlan 2230 untagged 1-2 vlan 2220 untagged 3-4 vlan 2207 untagged 7-8 vlan 2206 untagged 9-10 vlan 2205 untagged 11-12 vlan 2204 untagged 13-16 vlan 2203 untagged 17-18 vlan 2202 untagged 19-20 vlan 2201 untagged 21-22 vlan 2200 untagged 23-24 ... Cinquième étape, ajouter dans la table routage les routes nécessaires : « ip route @ip_reseau_de_destination/CIDR@ip_passerelle » #MODIFICATION DE LA TABLE DE ROUTAGE ip route 0.0.0.0/0 172.18.0.2 ip route 172.31.0.0/16 172.18.0.2 6ème étape, activer un relais DHCP pour qu'une machine puisse reçevoir une adresse IP disponible par un DHCP : « dhcp-relay » La 7ème étape est de nommer les interfaces réseau en fonction de leur appartenance à un VLAN : « interface n°interface/port name nom_interface » # Nommer les interfaces interface 1-2 name VLAN_serveurs II- Mise en place du protocole NTP 8ème étape est de configurer le protocole NTP pour la synchronisation de l'horloge sur les machines. S'assurer qu'on est bien dans la configuration du terminal ( « conf term » ). Se mettre en mode unicast : sntp unicast Mettre un nombre aléatoire entre 30 et 720 à laquelle il se mettra à jour (temps exprimé en seconde) : sntp < 30-720 > Configurer le serveur ntp : sntp server priority @ip_serveur_ntp Ajouter un nombre de minute s'il n'est pas à jour : time timezone nombre_de_minutes Activer le sntp après l'achevement de la mise en place du protocole NTP : timesync sntp Pour être sur que l'heure est à jour, on peut la vérifier avec la commande : show time III- Mise en place des règles du pare-feu (Proxsilab) Certains services/protocoles sont susceptibles de ne pas communiquer avec un sous-réseau ou bien un hôte. Comme pour le protocole NTP, la machine qui fait tourner ce service devra se synchroniser avec un serveur NTP qui se situe en dehors de l'entreprise GSB. Pour cela, il faut configurer le fichier pare-feu dans Proxsilab pour ajouter les règles. Iptables -A FORWARD -i eth0 -o eth1 -s @IP_de_la_machine_ou_le_service_NTP_est_installé -d @IP_publique_pour_sortir_sur_internet -p UDP –sport 123 –dport 123 -j ACCEPT ( ! Pareil pour le retour mais en inversant l'adresse source et la destination, le port source et destination et l'interface d'entrée/sortie ! ) Cette règle permet à la machine dont le service NTP qui est installé dessus communiquera avec le serveur NTP qui se situe sur INTERNET. IV- Mise en place du réseau ESXI dans le réseau DSI A partir du VLAN DSI, il faudra joindre le réseau ESXI mais pour le faire, il faut savoir son adresse IP. A partir du « cmd » sous Windows, lancer un nslookup raj.sio.lla.fr Normalement, on obtient l'adresse IP de raj.sio.lla.fr (192.168.50.4) En le pinguant, la passerelle du réseau DSI vous répond que ce hôte est injoignable. 1- SWITCH En tapant la commande sh ip route , on remarque que pour joindre le réseau ou se trouve raj.sio.lla.fr, on passe par la passerelle du VLAN Développement, or, il se trouve sur Internet. On rajoute l'adresse hôte de raj.sio.lla.fr avec la passerelle 172.18.0.2. En pinguant l'hôte, le proxy vous répond qu'il est impossible de le joindre. 2- PROXSILAB Après qu'on ait tapé la commande sur le proxy, « netstat -rn », l'hôte qu'on cherche à le joindre n'est pas dans la table. Il faut ajouter dans le fichier /etc/network/interfaces , la route pour le joindre et ensuite le rajouter manuellement. Il faut qu'on signale dans les règles du pare-feu, qu'on veut autoriser le réseau du DSI a communiquer avec Internet pour joindre l'hôte en question. Cependant, la communication est pour le moment impossible. On va se placer sur le routeur suivant « rtrout ». 3- RTROUT Sur rtrout, dans sa table de routage, la route pour joindre le réseau DSI n'a pas été définie. Il faut l'ajouter dans le fichier /etc/network/interfaces et manuellement : - up route add -net 192.168.20.0/24 gw 172.31.0.2 - (en dehors du fichier interfaces) route add -net 192.168.20.0/24 gw 172.31.0.2 A vérifier avec « netstat -rn » En lançant toujours un ping depuis un client dans le réseau DSI, il n'arrive toujours pas à le joindre. Mais on remarque en analysant la communication avec le fameux « couteau suisse », TCPDUMP qu'il tente d'accéder à Internet avec une adresse IP privée et non pas publique. On signalera dans les règles du pare-feu qu'il faudra mettre en place et configurer le NAT. « iptables -t nat -A POSTROUTING -o $WAN ($WAN = eth0) -s 192.168.20.0/24 -j MASQUERADE » La communication entre le réseau DSI et l'hôte raj.sio.lla.fr devrait normalement fonctionner. V- Gestion des serveurs sur l'ESXI Debian 6 à Debian 7 ----------------------- >> ----------------------- >> Le précédent responsable de l'infrastructure ne s 'était pas préoccupé de l'obsolescence des systèmes d'exploitation côté serveurs, pensant (à juste titre ou non) que le système Linux était le meilleur des OS. Il suffit d'y accéder au serveur ESXI, en prenant d'abord des Snapshots sur tous les serveurs avant de les mettre à jour et de faire passer le Debian 6 Squeezie au Debian 7 Wheezy. Prenons le cas pour le serveur rezolab, visionner la version actuelle de la machine : cat /etc/debian_version Nous allons ensuite mettre notre système au propre et à jours dans sa version 6 pour être certains que tout se passe bien lors de la migration vers sa version 7 en lançant : apt-get update & apt-get upgrade Pour mettre à jour le système, il faut modifier ce fichier pour lui dire d’aller chercher les paquets sur les dépôts de Wheezy plutôt que celui de Squeeze. Elle se fait sur le fichier /etc/apt/sources.list . Maintenant que notre fichier source pointe vers la nouvelle version stable de Debian, nous pouvons mettre à jour notre liste de paquet : - apt-get update - apt-get upgrade - apt-get dist-upgrade (similaire à « upgrade » mais avec une gestion plus intelligente des dépendances d’un paquet) Une fois terminée, verifier la version du Debian sur la machine : « cat /etc/debian_version » ! Attention ! Les serveurs tournent sur des machines virtuelles, penser à faire une snapshot après une configuration importante !