Professional Documents
Culture Documents
13.1. L'exercice - 13.2. Architecture globale du rseau - 13.3. Connexions du rseau administration - commercial - 13.4. Connexions btiment fabrication commande - 13.5. Connexion globale de rseau - 13.6. Un autre point de vue: mlange de protocoles sur le rseau
YBET dmnage Rue Albert 1er, 7 6810 Pin - Chiny Route Arlon - Florenville (/fax: 061/32.00.15
FORMATIONS
COURS HARDWARE Dictionnaire technique rseaux et communications Formation INTERNET
PRODUITS et SERVICES
Caisses enregistreuses et balances TEC MATERIEL INFORMATIQUE Logiciel de gestion CIEL et SAGE
ACCUEIL
Achat en ligne?
13.1. L'exercice
Ceci est l'examen de l'anne 2002-2003 du cours hardware de deuxime anne. Comme la thorie sans la pratique ne sert pas grand chose, voyons un cas concret de l'architecture d'une installation rseau (appareils mettre en oeuvre) dans une entreprise. L'examen se fait avec l'accs au cours. Nous utiliserons les chapitres suivants. Les concentrateurs Ethernet: Hardware 2 chapitre 5 Les spcificits serveurs: Hardware 2 chapitre 7 Stockage et sauvegarde en rseau: Hardware 2 chapitre 9
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (1 sur 12)30/01/05 08:11:22
Connexion distance, scurit et partage: Hardware 2 chapitre 10 Les communications sans fils: Hardware 2 chapitre 11 Les protections lectriques: Hardware 2 chapitre 12 Ceci rassemble pratiquement l'ensemble du cours hardware 2, sauf le paramtrage des appareils. Le chapitre 17 avait servi d'examen pour l'anne 2001-2002.
La Question de l'exercice
2 btiments connecter distants de 80 mtres (pas de chance, une route au milieu). Chaque btiment dispose de deux tages avec 2 dpartements diffrents (soit 4 dpartements). Je veux absolument des niveaux de scurit (hardware) pour que chaque PC d'un dpartement ne puissent (sauf autorisation par station de travail) se connecter sur un autre dpartement. Cette solution de protection sera en pratique couple avec des protections logicielles qui sont repris dans les autres cours "Technicien PC / Rseau". Les dpartements sont 1. Btiment 1: 80 PC de fabrication (pas d'accs INTERNET) et 1 serveur avec un logiciel ddi. Distance maximum avec le serveur 100 mtres que nous appellerons Fabrication. Ce dpartement rassemble la fabrication, les stocks, gestion des transports, ... C'est le dpartement protger. Un arrt d'usine de 1 heure cote nettement plus chre l'entreprise qu'un arrt de 2 jours de la comptabilit. 2. Btiment 1: 10 PC de gestion de commandes et 1 serveur ddi. Certains d'entre eux peuvent avoir accs au service du serveur de la fabrication sur un rayon de 30 mtres. Pas d'accs INTERNET, ni vers le btiment 2. Nous appellerons ce dpartement commande 3. Btiment 2: 10 PC administratifs: direction, comptabilit, sur un rayon de 30 mtres. Noue appellerons ce dpartement Administration 4. Btiment 2: 10 commerciaux. et services divers sur un rayon de 30 mtres. Nous appellerons ce dpartement commercial. Le btiment 2 abrite un petit serveur de fichier (documents Word, Excell, ...) et un serveur d'application (comptabilit), appel serveur administratif. Certains PC peuvent avoir accs au serveur "gestion de commande". Le btiment 2 (administration et commercial) doit avoir un accs scuris sur INTERNET via une ligne ADSL. Il doit tre possible pour les commerciaux de se connecter au serveur de l'entreprise distance via INTERNET. Je ne parle pas de scurit via mots de passe, mais bien par des paramtrages TCP/IP ou des matriels informatiques. C'est nettement plus sr, mme si les mots de passe utilisateurs sont loin d'tre facultatifs.
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (2 sur 12)30/01/05 08:11:22
Donnez le schma de l'installation reprenant les serveurs, concentrateurs utiliss (hub, switch, routeur, nombre de ports), types de liaisons, cbles droits ou croiss, Dans le cas o vous utilisez un HUB ou un switch, expliquez. Je ne demande pas explicitement la marque et l'appareil de chaque concentrateur. Attention qu'un switch de 80 ports, ce n'est pas courant, manageable? L'installation du rseau doit tre complte, pensez aux scurits installer (protections lectriques, sauvegarde) et aux types de serveurs utiliss. Comme le matriel informatique rseau peut tomber en panne, le matriel doit tre standardis (par exemple les switch) pour que l'on puisse utiliser un minimum de matriel de rserve: maximum de concentrateurs de mme type et capacit pour l'ensemble du rseau pour n'utiliser qu'un appareil de remplacement pour toute l'entreprise. Je ne demande pas les paramtrages des appareils, juste la structure du rseau ethernet. Ne vous occupez pas trop du budget, mais choississez les caractristiques en gestionnaire informatique responsable (pas la peine d'utiliser de l'Ethernet Gigabit sur fibre optique pour connecter les stations).
2. L'architecture globale.
Pour faciliter la mise en place de l'architecture de notre rseau, examinons les appareils mettre en oeuvre. Nous utiliserons les dessins suivants pour faciliter l'analyse du schma global du rseau.
Serveur
Switch manageable: autoriser (ou bloquer) certaines connexion de PC vers PC (ou plutt de groupes de PC), en plus des mots de passe sessions utilisateurs grs par le systme d'exploitation Ici un DGS 3224, 20 ports 10/100 et 2 ports Gigabits en base T (cuivre) de Dlink
Routeur sans fils Wifi, utilisable comme routeur et comme pont. Nous pourrions utiliser un simple switch sans fils dans notre cas.
Un cble RJ 45 crois
modem routeur ADSL, ici un tornado Copperjet 812. Il peut tre utilis comme simple modem en mode pont
Un firewall - VPN (ici une srie 100 de symantec) permet le partage de la connexion Internet et l'accs de l'extrieur au rseau de l'entreprise
Routeur firewall intgr permet de scuris les connexions en bloquant certains ports et / ou certaines plages d'adresses.
un simple routeur
UPS (ici APC 420W, un peu faible pour Sauvegarde sur bande SDLT un serveur): protection lectrique (ici modle Quantum) Analysons le problme en fonction des diffrentes parties et des sens de communication autorises. Ceci va scinder le problme et envisager en gros les appareils utiliser au niveau connexion, routage et scurit. Les dpartements administration et commerciaux ne sont pas trs diffrents. Ils utilisent tous deux: INTERNET (ce sont les seuls), les mmes serveurs (un serveur de fichier et un petit serveur d'application). Par contre l'administration doit pouvoir se connecter sur le dpartement commande (mais pas sur le dpartement fabrication), le dpartement commercial ne peut en aucun cas se connecter sur les dpartements commande et fabrication. L'accs d'INTERNET vers les serveurs du btiment 2 (administration et commercial) nous oblige utiliser un firewall VPN pour la connexion INTERNET (ici un srie 100 de symantec) et un modem ADSL (ici un tornado
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (4 sur 12)30/01/05 08:11:22
812 utilis en pont (voir chapitre 17). Avec les 20 PC repris dans le btiment 2, il n'y a pas besoin d'un appareil trs puissant, mais suffisamment scuris. Comme l'accs de l'extrieur est possible, la connexion doit tre de type IP fixe. Ceci nous donne une bonne marche de manoeuvre pour les connexions.
En noir les communications autorises (mme avec des blocages), en rouge celles qu'il faut bloquer. On a dj une bonne ide de la structure globale de l'installation. La route entre les deux btiments va nous bloquer avec une liaison sur cuivre ou fibre optique. Nous devrons dj utiliser une liaison sans fils, de type WIFI 802.11B 11 Mb/s (ventuellement 802.11B+ 22 Mb/.s). Comme les vitesses de communications ne sont pas trop importantes, l'utilisation de 100 base T (ventuellement 1000 Base T pour les serveurs) est suffisante pour l'ensemble du rseau.
routeur firewall et un routeur 802.11B en pont. Dans ce cas, le firewall ne va pas tre utilis pour bloquer des ports: dans un rseau interne, les ports dynamiques (1024 - 65535) sont utiliss de manire alatoire pour les communications rseaux internes, nous ne pouvons pas les bloquer. Nous allons uniquement bloquer les communications sur les plages d'adresses. Par exemple bloquer les communications de l'adresse IP du VPN vers le btiment 2. Une autre solution pour bloquer l'accs "Fabrication" - "administratif" serait de scuris le rseau sans fils en fonction des adresses mac des PC du dpartement administration, voire scurit des rseaux sans fils dans la rubrique How to? Voici notre schmas matriel rseau pour le btiment 2.
Le nombre de switch 24 ports pour la partie fabrication a volontairement t rduite pour la clart du schma. Il nous en faudrait minimum 4, voire 5 pour avoir des lignes de rserves. L'utilisation d'un seul switch de 96 ports pourrait poser des problmes de longueur de cbles et en cas de panne de ce seul appareil, toute la fabrication serait bloque. L'utilisation de multiples switch 24 ports permet d'en avoir 1 de rserve pour l'ensemble du btiment. Pour rappel, le nombre de HUBS (moins de contrainte pour les switch) est limit maximum 2 entre 2 PC en 100 base T (mme si plus est souvent utilis), le serveur
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (7 sur 12)30/01/05 08:11:22
fabrication doit tre raccord sur le premier switch de la fabrication L'utilisation d'un routeur firewall entre le switch et la connexion WIFI 802.11B n'est pas ncessaire si un firewall est install de l'autre ct. Ils feraient double emploi (ce qui n'est pas trop grave) mais obligerait une configuration plus complexe de l'infrastructure.
Cette solution est nettement plus chre (mais plus scurise). Elle permet nanmoins de raccorder les serveurs en 1000 base T sur le switch manageable. Les distances entre chaque PC, serveurs et concentrateurs sont respectes puisque qu'en 100 base T en 1000 base T, la distance maximum est de 100 mtres. Pour rappel, les switch
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (8 sur 12)30/01/05 08:11:22
manageables travaillent gnralement avec les adresses MAC. En cas de panne d'un PC avec change standard (ce qui se fait en pratique pour minimiser l'arrt), on risque de devoir reprogrammer le switch. Ce n'est pas forcment du niveau de tous les techniciens de maintenance d'usine (sans compter les mots de passe administrateurs pour paramtrer le switch). Par contre, certains modles acceptent le regroupement de station suivant le protocole IGMP.
Nous pourrions encore ajouter sur le schmas des petits UPS pour certaines stations ou concentrateurs, selon les desiderata de l'entreprise.
Dans ce cas, nous remplaons un switch manageable par un simple switch (avec d'autres du mme type utiliss sur l'ensemble du rseau) et plus aucun firewall dans l'ensemble du rseau ( part le VPN pour INTERNET). Cette solution n'est pas envisager pour une usine de 500 PC, mais bien pour des moyennes structures. Les utilisateurs de rseaux NOVELL privilgierons probablement cette solution.
Cours: communications sans fils Communications sans fils, normes, vitesses, ...
Pour l'ensemble du cours hardware Le cours "Hardware 1": PC et priphriques, le cours "Hardware 2": Rseau, serveurs et communication.
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (11 sur 12)30/01/05 08:11:22