Lycées privés

Uradel / Sirec
14 rue Saumuroise BP 610
49010 ANGERS CEDEX 01
Région des Pays de la Loire
1 rue de la Loire
44 000 Nantes
Référentiel régional du numérique
-------------------SOMMAIRE
--------------------
1. Introduction ................................................................................................................................. 3
1.1. Objectifs ............................................................................................................................... 3
2. Architecture réseau .................................................................................................................... 4
2.1. Principes d’architecture ........................................................................................................ 4
2.1.1.
Architecture logique ................................................................................................ 4
2.1.2.
Description des zones............................................................................................. 5
2.1.3.
Règles de confinement inter-zones......................................................................... 6
2.1.4.
Architecture physique ............................................................................................. 6
2.1.5.
Adressage IP .......................................................................................................... 6
2.1.6.
Segmentation du réseau ......................................................................................... 6
3. Architecture système.................................................................................................................. 7
3.1. Service d'authentification, d'annuaire et de stockage........................................................... 7
3.1.1.
Serveur administratif ............................................................................................... 7
3.1.2.
Serveur pédagogique .............................................................................................. 8
3.2. Service pour assurer la continuité et la qualité de service ................................................... 8
3.2.1 Service de gestion des journaux ................................................................................. 8
Version V2012-2013
page 2/8
Référentiel régional du numérique
1.
INTRODUCTION
1.1.
Objectifs
Un objectif du référentiel technique des lycées des Pays de la Loire est de définir une architecture (et
son évolution) commune à tous les établissements de la région. Cependant, les établissements de
l'Enseignement Catholique rencontrent des contraintes techniques et organisationnelles parfois
différentes de celles de l'Enseignement Public (pas d'accès direct aux ressources des réseaux RACINE
et AGRIATES, pas d'utilisation généralisée des différents modules du projet Eole ...). Ces particularités
sont détaillées dans ce document en partant du principe que les points non cités sont détaillés dans le
Référentiel Technique Région.
Ce document technique est à destination des administrateurs réseau en tant que guide des bonnes
pratiques.
Version V2012-2013
page 3/8
Référentiel régional du numérique
2.
ARCHITECTURE RESEAU
2.1.
Principes d’architecture
2.1.1.
Architecture logique
Généralités
Le réseau d'un établissement est un réseau global mutualisant les moyens d'accès administratifs et
pédagogiques et utilisant le protocole IP pour le dialogue entre les équipements.
Il est régi par une politique de sécurité locale respectant la politique académique et nationale, sous la
responsabilité de la Personne Juridiquement Responsable (PJR) représentée par le Chef
d'Etablissement.
La mise en place de réseaux physiquement séparés du réseau global d’établissement est cependant
autorisée, pour des enseignements de Sections de Techniciens Supérieurs (STS) particuliers.
Le réseau global se décline en plusieurs zones, séparées par une passerelle de sécurité. Ces zones
peuvent elles mêmes être segmentées en plusieurs sous-zones en fonction de leur mise en œuvre
technique.
L’accès Internet de l’établissement est centralisé sur un seul point de connexion protégé par la
passerelle de sécurité. Celle-ci doit assurer les fonctions de pare-feu, filtrage d'URL et routage inter
zone. La passerelle peut se décomposer en briques indépendantes et cohérentes qui assureront ces
fonctions.
On peut préconiser des matériels de routage de type Netasq, Cisco Asa, Sonicwall …
Le filtrage internet peut être assuré par des solutions de type Comedu (Squid …), NetSource, Ipcop,
Pfsense …
Le commutateur fédérateur doit assurer les fonctions de routage et de filtrage entre les sous-zones.
Version V2012-2013
page 4/8
Référentiel régional du numérique
2.1.2.
Description des zones
L’organisation des zones est la suivante :
o
La zone I (Internet) doit être l'unique point d'accès à Internet pour le site concerné, mutualisant
administration et pédagogie.
o
La zone Iv (Invitée) est à destination des invités en établissement qui souhaitent se connecter.
Cette zone est coupée des autres et a uniquement accès à Internet.
o
La zone S (Serveur) est la zone où se trouvent les ressources de l'établissement à visibilité
locale (partagée entre les zones P, A ou Z).
o
La zone P (Pédagogie) est la zone intranet dite d'enseignement de l'établissement accessible
par toute personne de l'établissement, dont les élèves.
o
La zone A (Administratif) est la zone intranet accessible à tous les agents de l’établissement
au sein de l'établissement (ou ayant droits désignés par le chef d'établissement).
o
La zone Z (DMZ publique) est la zone optionnelle de transit des utilisateurs qui arrivent
d'Internet et qui désirent accéder à des services offerts par l'établissement scolaire via des
relais applicatifs. La visibilité des ressources est nationale ou internationale.
Version V2012-2013
page 5/8
Référentiel régional du numérique
2.1.3.
Règles de confinement inter-zones
Par son statut, le chef d'établissement exerce une responsabilité sur l'ensemble des ressources et de
la sécurité au sein de toutes les zones décrites.
Les règles de filtrage réseau régies par la passerelle de sécurité devront respecter le tableau suivant :
De \ vers
Zone S
Serveur
Zone S
Serveur
Zone A
Zone A
Zone P
Zone Iv
Zone Z
Zone I
Administrative
Pédagogique
Invitée
DMZ publique
Internet
Autorisé
Autorisé
Contrôlé
Autorisé
Autorisé
Autorisé
Interdit
Autorisé
Autorisé
Interdit
Autorisé
Autorisé
Autorisé
Contrôlé
Autorisé
Administrative
Zone P
Autorisé
Interdit
Pédagogique
Zone Iv
Interdit
Interdit
Contrôlé
Invitée
Zone Z
Interdit
Interdit
Interdit (*)
Interdit
DMZ publique
Zone I
Interdit
Interdit
Interdit
Interdit
Contrôlé
Contrôlé
Internet
(*) signifie que des dérogations, sous la responsabilité du chef d'établissement, doivent se faire en
coordination avec les services rectoraux.
2.1.4.
Architecture physique
L’ensemble des spécifications détaillées de mise en œuvre et d’implémentation du réseau physique
de l’établissement ainsi que la topologie des points d’accès sont décrits dans la partie « câblage » du
référentiel de la Région Pays de la Loire.
2.1.5.
Adressage IP
La mise en œuvre du plan d’adressage, le positionnement des ressources informatiques ainsi que
l’adressage des VLAN peuvent s’inspirer des préconisations disponibles sur http://www.profetice.org
(Rubrique Gérer le réseau - 2nd degré / Architecture du réseau / Plan d’adressage IP).
2.1.6.
Segmentation du réseau
Le réseau global d'établissement est segmenté en sous-réseaux par la technologie des Vlans.
Le pare-feu devant router et filtrer les zones I Z et Iv, les Vlans qui en découlent doivent être définis au
niveau 2.
Version V2012-2013
page 6/8
Référentiel régional du numérique
Le schéma suivant montre un exemple de répartition des Vlan dans une architecture classique. Il est
susceptible d'évoluer. L'adressage IP utilisé ne fait pas référence.
3.
Architecture système
3.1.
Service d'authentification, d'annuaire et de stockage
Du fait de la responsabilité juridique liée à la fourniture d'accès au réseau et à Internet ainsi qu'au
caractère personnel de certaines données, tout utilisateur doit être identifié et authentifié de façon
unique avant d'accéder aux ressources, et cela à partir de n’importe quel poste de travail du réseau de
l’établissement.
Toute tentative d'accès doit être tracée ainsi que toute modification de l'annuaire.
Chaque établissement devra disposer de serveurs pour partager les ressources et les logiciels liés à
l’activité pédagogique ou administrative, cet espace venant compléter si besoin le stockage fourni par
l'ENT.
3.1.1.
Serveur administratif
Par défaut, le serveur administratif est installé dans la salle serveur ou dans le répartiteur général selon
l'organisation de celui-ci. Il héberge le logiciel privé de gestion des élèves (APLON, PROGINOV,
MAGISTER, SNERI, STATIM, U.R.O.G.E.C …) ainsi que les applications de paie, comptabilité …
Version V2012-2013
page 7/8
Référentiel régional du numérique
3.1.2.
Serveur pédagogique
Par défaut, le serveur pédagogique est installé dans la salle serveur ou dans le répartiteur général
selon l'organisation de celui-ci. Il héberge le serveur de fichiers (Windows ou Linux) destinés aux élèves
et aux enseignants. Sous Windows, un outil de gestion d'utilisateurs et stockages peut être utilisé (Iaca,
Solstice, Koxo …). Sous Linux, il est préconisé d’utiliser les distributions orientées Education (Eole
Scribe, Comedu, NetSource …).
3.2.
Service pour assurer la continuité et la qualité de service
3.2.1
Service de gestion des journaux
Le cadre législatif et réglementaire impose des règles en terme de traçabilité. Les événements tracés
sont enregistrés dans des journaux (logs). Ils sont utilisés à des fins de supervision et d'exploitation et
pour répondre à des exigences légales.
Les lycées de l’Enseignement Catholique assurent localement la gestion et l'archivage de leurs
journaux.
Version V2012-2013
page 8/8