Projet 1 : Infrastructure réseau hybride
Contexte et objectifs
Ce projet de réseau hybride a pour but de relier trois sites géographiquement distincts et de mettre en place une infrastructure sécurisée permettant la gestion des flux, la segmentation via des VLAN, ainsi qu'un accès aux services internes (AD, DNS, Web) depuis l'ensemble des zones.
La solution intègre à la fois des composants physiques (commutateurs, routeurs/pare-feux) et des éléments hébergés dans le cloud (pouvant être des machines virtuelles ou services externalisés).
Au cœur de ce projet :
- Un montage cœur-distribution-accès (core/distribution/access) afin de garantir redondance et haute disponibilité.
- Une configuration VLAN pour segmenter logiquement le réseau selon les besoins métier.
- La prise en charge de l'adressage IPv4 et IPv6, avec notamment la configuration de DHCPv4 et DHCPv6.
- L'établissement de politiques de filtrage (ACL, règles de firewall) entre les VLAN, ainsi qu'entre chaque zone et Internet.
- Une infrastructure de commutation robuste et évolutive avec des liens agrégés (LACP) pour augmenter la bande passante et la résilience.
Architecture globale
Le réseau est réparti sur trois zones principales :
1. Zone ACCUEIL
- Un site « front » qui accueille, par exemple, des visiteurs ou des employés de passage.
- Il contient un PC-ACCUEIL.
- Un routeur/pare-feu (R-ACCUEIL) fait le lien entre la zone ACCUEIL et Internet, ainsi que vers le cœur du réseau distant.
2. Zone SERVEURS
- Héberge plusieurs réseaux locaux reliés à R-SERVEURS (qui possède 4 interfaces) et connectés aux commutateurs COM_SRV-1, COM_SRV-2 et COM_SRV-3.
- Accueille les services critiques tels que Web, AD et DNS (même si, dans ce projet, on indique que les serveurs de la RUCHE sont nommés WEB, AD, DNS, on peut imaginer des services complémentaires dans la zone SERVEURS).
3. Zone RUCHE
- C'est un gros réseau d'entreprise avec de multiples VLAN (Direction, RH, Commerciaux, IT, Comptabilité, R&D).
- On y trouve un commutateur de couche 3 (COM3_CORE), responsable du routage inter-VLAN.
- Deux commutateurs de couche 2 (COM3_DIST_LEADER et COM3_DIST_FOLLOW) reliés en redondance (LACP).
- Plusieurs commutateurs d'accès (COM_ACC_DIRECTION, COM_ACC_RH, etc.) pour connecter les différents postes des départements.
- Un routeur/pare-feu dédié, R-RUCHE, qui fournit également les services DHCPv4 et DHCPv6 à l'ensemble des machines de la RUCHE.
Fonctionnalités réseau clés
1. Routage IPv4 et IPv6
Chaque VLAN et chaque sous-réseau dispose d'un plan d'adressage en IPv4 et en IPv6.
Les appareils clients obtiennent leurs adresses dynamiquement via DHCP (v4/v6) fourni par R-RUCHE.
Le routage inter-vlan est géré par le COM3_CORE au sein de la zone RUCHE.
2. Segmentation VLAN
- VLAN DIRECTION, VLAN RH et VLAN COMMERCIAUX peuvent communiquer entre eux.
- VLAN IT a un accès complet (tous les VLAN) à des fins de support et d'administration.
- Les VLAN non mentionnés (ex. VLAN R&D, VLAN Comptabilité, etc.) n'ont pas accès aux autres VLAN, sauf pour joindre les serveurs essentiels (DNS, AD, Web).
- Tous les VLAN doivent pouvoir joindre la zone SERVEURS (via R-SERVEURS) et effectuer les requêtes DNS/AD/Web.
3. Sécurité et pare-feu
- Chaque zone est protégée par son routeur/pare-feu dédié (R-ACCUEIL, R-SERVEURS, R-RUCHE).
- Des règles ACL ou de firewall sont mises en place sur ces routeurs pour contrôler les flux entrants/sortants et autoriser uniquement le trafic nécessaire.
- Une attention particulière est portée à la configuration du filtrage IPv6, souvent négligé, mais tout aussi important que pour IPv4.
4. Redondance et haute disponibilité
- Les commutateurs COM3_DIST_LEADER et COM3_DIST_FOLLOW sont interconnectés via un agrégat de liens (LACP) assurant une tolérance de panne.
- Si l'un des deux commutateurs tombe, le second prend le relais pour continuer d'assurer le trafic.
- Sur le plan routage et accès Internet, R-ACCUEIL, R-SERVEURS et R-RUCHE assurent la connectivité de chaque site avec un accès frontal à Internet pour plus de résilience (selon la politique de l'organisation).
Interconnexion avec le cloud
Il s'agît d'un projet réseau hybride car :
- Certains éléments réseaux ou serveurs (services Web, AD, DNS, etc.) peuvent être déployés dans un cloud public ou privé.
- Les routeurs/pare-feux (R-ACCUEIL, R-SERVEURS, R-RUCHE) pourraient être physiquement sur site, mais également virtualisés dans une plateforme IaaS (Infrastructure as a Service).
- Les flux entre les sites distants et le cloud sont sécurisés (VPN IPsec ou tunnels chiffrés) de sorte à garantir la confidentialité et l'intégrité des données.
Livrables attendus
1. Plan d'adressage complet
- IPv4 : Plages d'adresses, masques, passerelles, adresses des serveurs.
- IPv6 : Préfixes, plans d'adressage et configuration d'auto-configuration (SLAAC ou DHCPv6).
- Liste des VLAN et plan de routage (Core/Distribution).
2. Fichier .pkt (Packet Tracer) ou autres (selon logiciel choisi)
- Pour présenter de façon concrète la topologie, les câblages, les commutateurs, routeurs et leur configuration de base.
- Validation du fonctionnement (ping IPv4/IPv6, DHCP, accès Web, DNS, etc.).
3. Fichier de configuration des équipements
- Les commandes CLI (Cisco IOS) pour chaque routeur, pare-feu et commutateur (configuration des VLAN, des interfaces, routage, ACL...).
- Scripts de configuration pour IPv4, IPv6, DHCP, ainsi que les règles de firewall/ACL.
Réalisation effective, POC et conseils :
- Utilisation de Packet Tracer ou GNS3 ou Eve-ng etc.
- Attention au choix des routeurs, certains ne gèrent pas IPv6 (notamment dans Packet Tracer) !
- Attention aux adressages IPv6 et aux masques (Packet Tracer comporte des limitations, notamment en ce qui concerne les petits masques !)
- Interconnectez directement les routeurs entre eux pour pouvoir réaliser les connections entre les différents sites.
- Le serveur WEB héberge un site web qui devra être accessible aux ordinateurs clients de la RUCHE et de l'ACCUEIL.
- Le serveur DNS contient l'enregistrement DNS pour joindre le serveur WEB.
- La sécurisation des équipements réseau est indispensable.
Pas d'accès au mode d'exécution privilégié sans mot de passe hashé !