PPE3-POOL2-Mission1-Compte-rendu.odt

Christian NLANDU
Meryeme EL AYACHI
TS2 SIO (POOL 2)
PPE 3 –​
Réseau GSB
Mission 1 – Configuration du HP Switch E2620-24
I- Première configuration du HP Switch E2620-24
Après avoir analysé les documents sur l'infrastructure réseau de l'entreprise GSB, on
doit configurer le switch HP E2620-24 (c'est-à-dire les routes IP, les ports, création
de VLANS…) et procéder aux tests, étape par étape.
Première étape, il faut se connecter au switch HP et lancer la commande pour effacer
les configurations qui réside actuellement sur l'appareil avant de commencer la
procédure :
«​
erase startup-config​
»
Une fois les configurations effacés, changer le nom du switch :​
« hostname
MUTLAB-2 »​
(X = n° du pool)
Deuxième étape, il faut créer les VLANS donnés dans le contexte :​
« VLAN​
n°VID
name​
nom_du_vlan​
»
Exemple :
#creation des vlans
vlan 2205 name Commercial
vlan 2250 name Sortie
vlan 2201 name Direction
vlan 2200 name Reseaux
vlan 2230 name Serveurs
Troisième étape,​
attribuer les adresses IP des interfaces de chaque VLAN:​
«
VLAN​
n°VID​
ip address​
@ip_interface/CIDR​
»
Exemple :
#AJOUTS DES ADRESSES IP
vlan 2230 ip address 172.16.0.1/17
vlan 2250 ip address 172.18.0.1/30
vlan 2201 ip address 192.168.20.1/24
vlan 2205 ip address 192.168.60.1/24
vlan 2200 ip address 192.168.10.1/24
vlan 2202 ip address 192.168.30.1/24
vlan 2203 ip address 192.168.40.1/24
vlan 2220 ip address 192.168.200.1/24
vlan 2207 ip address 192.168.100.1/24
vlan 2206 ip address 192.168.70.1/24
vlan 2204 ip address 192.168.50.1/24
Quatrième étape, intégrer le ou les ports à son VLAN correspondant :​
« VLAN​
n°VID
untagged/tag​
n°port​
»
#ATTRIBUTION DES PORTS POUR CHAQUE VLAN(S)
vlan 2230 untagged 1-2
vlan 2220 untagged 3-4
vlan 2207 untagged 7-8
vlan 2206 untagged 9-10
vlan 2205 untagged 11-12
vlan 2204 untagged 13-16
vlan 2203 untagged 17-18
vlan 2202 untagged 19-20
vlan 2201 untagged 21-22
vlan 2200 untagged 23-24
...
Cinquième étape, ajouter dans la table routage les routes nécessaires :​
« ip route
@ip_reseau_de_destination/CIDR​@ip_passerelle »
#MODIFICATION DE LA TABLE DE ROUTAGE
ip route 0.0.0.0/0 172.18.0.2
ip route 172.31.0.0/16 172.18.0.2
6ème étape, activer un relais DHCP pour qu'une machine puisse reçevoir une adresse
IP disponible par un DHCP :​
« dhcp-relay »
La 7ème étape est de nommer les interfaces réseau en fonction de leur appartenance à
un VLAN :​
« interface​
n°interface/port​
name​
nom_interface​
»
# Nommer les interfaces
interface 1-2 name VLAN_serveurs
II- Mise en place du protocole NTP
8ème étape est de configurer le protocole NTP pour la synchronisation de l'horloge sur
les machines. S'assurer qu'on est bien dans la configuration du terminal (​
« conf
term »​
).
Se mettre en mode unicast :​
sntp unicast
Mettre un nombre aléatoire entre 30 et 720 à laquelle il se mettra à jour (temps
exprimé en seconde) :​
sntp <​
30-720​
>
Configurer le serveur ntp :​
sntp server priority @ip_serveur_ntp
Ajouter un nombre de minute s'il n'est pas à jour :​
time timezone
nombre_de_minutes
Activer le sntp après l'achevement de la mise en place du protocole NTP :​
timesync
sntp
Pour être sur que l'heure est à jour, on peut la vérifier avec la commande :​
show time
III- Mise en place des règles du pare-feu (Proxsilab)
Certains services/protocoles sont susceptibles de ne pas communiquer avec un
sous-réseau ou bien un hôte. Comme pour le protocole NTP, la machine qui fait
tourner ce service devra se synchroniser avec un serveur NTP qui se situe en dehors de
l'entreprise GSB.
Pour cela, il faut configurer le fichier pare-feu dans Proxsilab pour ajouter les règles.
Iptables -A FORWARD -i eth0 -o eth1 -s
@IP_de_la_machine_ou_le_service_NTP_est_installé -d
@IP_publique_pour_sortir_sur_internet -p UDP –sport 123 –dport 123 -j
ACCEPT
(​
! Pareil pour le retour mais en inversant l'adresse source et la destination, le
port source et destination et l'interface d'entrée/sortie !​
)
Cette règle permet à la machine dont le service NTP qui est installé dessus
communiquera avec le serveur NTP qui se situe sur INTERNET.
IV- Mise en place du réseau ESXI dans le réseau DSI
A partir du VLAN DSI, il faudra joindre le réseau ESXI mais pour le faire, il faut savoir
son adresse IP.
A partir du « cmd » sous Windows, lancer un nslookup raj.sio.lla.fr
Normalement, on obtient l'adresse IP de raj.sio.lla.fr (192.168.50.4)
En le pinguant, la passerelle du réseau DSI vous répond que ce hôte est injoignable.
1- SWITCH
En tapant la commande​
sh ip route​
, on remarque que pour joindre le​
réseau​
ou se
trouve raj.sio.lla.fr, on passe par la passerelle du VLAN Développement, or, il se trouve
sur Internet. On rajoute l'adresse hôte de raj.sio.lla.fr avec la passerelle 172.18.0.2.
En pinguant l'hôte, le proxy vous répond qu'il est impossible de le joindre.
2- PROXSILAB
Après qu'on ait tapé la commande sur le proxy, «​
netstat -rn​
», l'hôte qu'on cherche à
le joindre n'est pas dans la table. Il faut ajouter dans le fichier
/etc/network/interfaces​
, la route pour le joindre et ensuite le rajouter
manuellement.
Il faut qu'on signale dans les règles du pare-feu, qu'on veut autoriser le réseau du DSI
a
communiquer avec Internet pour joindre l'hôte en question.
Cependant, la communication est pour le moment impossible. On va se placer sur le
routeur suivant « rtrout ».
3- RTROUT
Sur rtrout, dans sa table de routage, la route pour joindre le réseau DSI n'a pas été
définie. Il faut l'ajouter dans le fichier​
/etc/network/interfaces​
et manuellement :
-​
up route add -net 192.168.20.0/24 gw 172.31.0.2
- (en dehors du fichier interfaces)​
route add -net 192.168.20.0/24 gw
172.31.0.2
A vérifier avec «​
netstat -rn​
»
En lançant toujours un ping depuis un client dans le réseau DSI, il n'arrive toujours pas
à le joindre. Mais on remarque en analysant la communication avec le fameux « couteau
suisse »,​
TCPDUMP​
qu'il tente d'accéder à Internet avec une adresse IP privée et non
pas publique.
On signalera dans les règles du pare-feu qu'il faudra mettre en place et configurer le
NAT.
«​
iptables -t nat -A POSTROUTING -o $WAN ($WAN = eth0) -s 192.168.20.0/24
-j MASQUERADE​
»
La communication entre le réseau DSI et l'hôte raj.sio.lla.fr devrait normalement
fonctionner.
V- Gestion des serveurs sur l'ESXI
Debian 6 à Debian 7
​
-----------------------​
>>
-----------------------​
>>
Le précédent responsable de l'infrastructure ne s 'était pas préoccupé de
l'obsolescence des systèmes d'exploitation côté serveurs, pensant (à juste titre ou non)
que le système Linux était le meilleur des OS.
Il suffit d'y accéder au serveur ESXI, en prenant d'abord des Snapshots sur tous les
serveurs avant de les mettre à jour et de faire passer le Debian 6 Squeezie au Debian 7
Wheezy.
Prenons le cas pour le serveur rezolab, visionner la version actuelle de la machine :
cat /etc/debian_version
Nous allons ensuite mettre notre système au propre et à jours dans sa version 6 pour
être certains que tout se passe bien lors de la migration vers sa version 7 en lançant :
apt-get update & apt-get upgrade
Pour mettre à jour le système, il faut modifier ce fichier pour lui dire d’aller chercher
les paquets sur les dépôts de Wheezy plutôt que celui de Squeeze. Elle se fait sur le
fichier​
/etc/apt/sources.list​
.
Maintenant que notre fichier source pointe vers la nouvelle version stable de Debian,
nous pouvons mettre à jour notre liste de paquet :
-​
apt-get update
-​
apt-get upgrade
-​
apt-get dist-upgrade​
(similaire à «​
​
upgrade​
» mais avec une gestion plus
intelligente des dépendances d’un paquet)
Une fois terminée, verifier la version du Debian sur la machine :
«​
cat /etc/debian_version​
»
! Attention !​
Les serveurs tournent sur des machines virtuelles, penser à faire une
snapshot après une configuration importante !