Karlesnine.com

Objectif

Installer une infrastructure réseau Internet / Intranet en environnement GNU / Linux Debian.

L'infrastructure a été découpée en lot et attribuée à un groupe de stagiaire.

groupe sécurité / sauvegarde
groupe Internet / Intranet
groupe Courrier / Proxy
groupe Fichiers / Impression
groupe Lan Client

Moyen Humain

Durée : 200 jours / homme
Chaque groupe est composé d'environ 4 personnes avec 1 chef de projet (management, documentation, Rp, présentation)

Architecture.

Après étude de l'architecture demandée il a été convenu l'organisation suivante.

L'architecture est décomposer en trois réseau dénommé en fonction de leur destination (DMZ, BACKBON E et LAN). Chacun de ces réseau utilisera une classe d'adresse ip de type distinct. Ainsi le réseau DMZ aura la classe d'adresse IP de type C 192.168.1.0. Le réseau BACKBON E utilisera la classe d'adresse IP de type B 172.16.1.0 mais avec un masque de sous réseau de type C. De même pour le ou les réseaux LAN client qui utiliseront la classe ip de type A sub divisé avec un masque de sous réseau de type C.

Plan du reseau avec les noms des machines

Chaque machine à sa place et les services seront bien gardés.

Pourquoi un type de classe par réseau ?

Le choix d'un type de classe par réseau à été faite afin de facilité la lecture de l'architecture, le suivit des log et le traçage des connections. Il est ainsi plus facile voir instinctif de retrouver l'origine ou la destination d'un connexion à partir de l'adresse ip. La répartition des types à été fait en fonction de leur possibilité d'extension. Ainsi pour exemple le réseau DMZ ne comportant que 2 machines reçois le réseau le plus petit en terme d'adresse disponible. Le réseau LAN lui comportant plusieurs dizaine de machine et pouvant être amené a évolué rapidement reçois le réseau le plus grand en terme d'adresse disponible et pouvant comporté le plus de subdivision.

Pourquoi un masque de sous réseau de classe C ?

De même que le choix de différente type de classe réseau, le choix d'un marque de sous réseau de classe C à été fait pour facilité le travail. L' ensemble de l'architecture n'a ainsi que un masque de sous réseau facilement mémorisable. En outre cela offre un souplesse d'évolution plus grande par découpage en de multiple sous réseau.

Pourquoi aucun réseau en 0 (zero) comme 192.168.0.0 ?

Encore un fois par facilité d'écriture et de lecture, c'est subjectif, je sais, mais personnellement je trouve cela encore un fois plus confortable à lire en 80x50. Ce choix fait pour le réseau DMZ de classe C le même principe à été utilisé pour les autres réseaux.

Passerelle Internet.

La passerelle Internet est assuré par le routeur pare feux gtw0.asr2004.ligfy.org. Celui ci à lui même comme passerelle par défaut le routeur de notre FAI (194.3.200.254) et utilisera de façon provisoire le DNS de Ligfy.org (62.212.109.185). Voir la description de cette machine.

DMZ

L'ensemble des serveurs hébergeant des services en connexion avec l'Internet est isolé du reste de l'infrastructure dans un zone tampon nommé DMZ. Seul les services hébergés dans cette zone peuvent recevoir des connections depuis l'Internet ou en réaliser en direction de l'Internet ceci via le serveur coupe feux (firewall). Nous retrouvons dans cette zone le second serveur DNS en charge de la zone extérieur.

BACKBONE

Les serveurs hébergeant des services à destination des poste clients et n'ayant pas de connexion directe avec l'Internet sont regroupé dans cette zone. Le premier serveur DNS en charge de la zone interne y est disposé. LAN CLIENTS Enfin les LAN client accueil les postes utilisateurs et les postes d'administration.

Plan d'adressage IP

FLUX DNS.

L'architecture réseau avec un zone interne et externe nécessite l'utilisation de deux serveur DNS chaîné. Le premier placé sur le serveur physique routeur0.asr2004.ligfy.org comportera dans sa zone dns l'intégralité du parc serveur avec en CNAME le nom physique et en Record A les noms de service. Il comportera également une partie dynamique en lien avec le service dhcp également héberger sur la même machine pour référencer les postes clients. Le second DNS sera dans le réseau DMZ et ne contiendra que l'adresse IP de notre passerelle Internet (gtw0.asr2004.ligfy.org) en CNAME et la liste des services réseau offert sur l'Internet en Record A (www. asr2004.ligfy.org, ftp.asr2004.ligfy.org, smtp.asr2004.ligfy.org)

Un requête DNS en provenance de l'Internet arrivera sur l'interface réseau extérieur du firewall. Ce serveur transmettra la connexion (forwarding) sur le port 53 sur serveur DNS présent dans la DMZ et assurera le suivit de communication nécessaire. Ce serveur DNS est directement en contact avec les Root Server DNS mondiaux.

Flux DNS zone externe

Les requêtes DNS internet seront systématiquement adressé au serveur DNS du réseau BACKBONE en charge de la zone interne. Ce dernier comportant les informations concernant l'ensemble des serveurs de asr2004.ligfy.org pourra fournir l'adresse IP si la requête DNS concerne un serveur interne. Dans le cas contraire le requête sera escalader (option forwarder) au serveur DNS du réseau BACKBONE pour un résolution via les Root Server DNS mondiaux.

Flux DNS zone interne

FLUX EMAIL.

L'architecture réseau avec une zone tampon DNS impose l'utilisation d'un serveur de courrier relais. Ce serveur aura en charge d'échanger des courriers avec des tier via l'Internet. Il transmettra les courriers réceptionner après le filtrage anti-virus et anti-spam vers le second serveur de courrier. Le second serveur de courrier est disposé dans le zone réseau BACKBONE et à en charge l'acheminement interne des emails. Les emails sortant prendrons le chemin inverse toujours via le serveur relais en zone DMZ.

Flux emails

PROXY WEB ET FTP

Les connexions http et ftp en provenance du réseau BACKBONE et LAN en direction de l'Internet transiteront obligatoirement par le serveur proxy / cache disposé sur le réseau BACKBONE. Ce serveur proxy sera chaîné avec le serveur proxy disposé dans le réseau DMZ, ce dernier étant le seul à pouvoir initialisé une connexion vers l'Internet via le serveur pare feux (firewall).

Flux HTTP et PROXY