architecture rseau entreprise

13. Exercice: architecture d'un rseau d'entreprise

13.1. L'exercice - 13.2. Architecture globale du rseau - 13.3. Connexions du rseau administration - commercial - 13.4. Connexions btiment fabrication commande - 13.5. Connexion globale de rseau - 13.6. Un autre point de vue: mlange de protocoles sur le rseau

YBET dmnage Rue Albert 1er, 7 6810 Pin - Chiny Route Arlon - Florenville (/fax: 061/32.00.15

Le cours HARDWARE 2 d'YBET Informatique: Serveurs, rseaux et communication Le MAGASIN YBET

Activits et prsentation Rayon d'action

Stockage, manutention, scurit l'indispensable pour votre entreprise

FORMATIONS
COURS HARDWARE Dictionnaire technique rseaux et communications Formation INTERNET

PRODUITS et SERVICES
Caisses enregistreuses et balances TEC MATERIEL INFORMATIQUE Logiciel de gestion CIEL et SAGE

ACCUEIL

Forum informatique technique

Achat en ligne?

13.1. L'exercice
Ceci est l'examen de l'anne 2002-2003 du cours hardware de deuxime anne. Comme la thorie sans la pratique ne sert pas grand chose, voyons un cas concret de l'architecture d'une installation rseau (appareils mettre en oeuvre) dans une entreprise. L'examen se fait avec l'accs au cours. Nous utiliserons les chapitres suivants. Les concentrateurs Ethernet: Hardware 2 chapitre 5 Les spcificits serveurs: Hardware 2 chapitre 7 Stockage et sauvegarde en rseau: Hardware 2 chapitre 9
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (1 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Connexion distance, scurit et partage: Hardware 2 chapitre 10 Les communications sans fils: Hardware 2 chapitre 11 Les protections lectriques: Hardware 2 chapitre 12 Ceci rassemble pratiquement l'ensemble du cours hardware 2, sauf le paramtrage des appareils. Le chapitre 17 avait servi d'examen pour l'anne 2001-2002.

La Question de l'exercice
2 btiments connecter distants de 80 mtres (pas de chance, une route au milieu). Chaque btiment dispose de deux tages avec 2 dpartements diffrents (soit 4 dpartements). Je veux absolument des niveaux de scurit (hardware) pour que chaque PC d'un dpartement ne puissent (sauf autorisation par station de travail) se connecter sur un autre dpartement. Cette solution de protection sera en pratique couple avec des protections logicielles qui sont repris dans les autres cours "Technicien PC / Rseau". Les dpartements sont 1. Btiment 1: 80 PC de fabrication (pas d'accs INTERNET) et 1 serveur avec un logiciel ddi. Distance maximum avec le serveur 100 mtres que nous appellerons Fabrication. Ce dpartement rassemble la fabrication, les stocks, gestion des transports, ... C'est le dpartement protger. Un arrt d'usine de 1 heure cote nettement plus chre l'entreprise qu'un arrt de 2 jours de la comptabilit. 2. Btiment 1: 10 PC de gestion de commandes et 1 serveur ddi. Certains d'entre eux peuvent avoir accs au service du serveur de la fabrication sur un rayon de 30 mtres. Pas d'accs INTERNET, ni vers le btiment 2. Nous appellerons ce dpartement commande 3. Btiment 2: 10 PC administratifs: direction, comptabilit, sur un rayon de 30 mtres. Noue appellerons ce dpartement Administration 4. Btiment 2: 10 commerciaux. et services divers sur un rayon de 30 mtres. Nous appellerons ce dpartement commercial. Le btiment 2 abrite un petit serveur de fichier (documents Word, Excell, ...) et un serveur d'application (comptabilit), appel serveur administratif. Certains PC peuvent avoir accs au serveur "gestion de commande". Le btiment 2 (administration et commercial) doit avoir un accs scuris sur INTERNET via une ligne ADSL. Il doit tre possible pour les commerciaux de se connecter au serveur de l'entreprise distance via INTERNET. Je ne parle pas de scurit via mots de passe, mais bien par des paramtrages TCP/IP ou des matriels informatiques. C'est nettement plus sr, mme si les mots de passe utilisateurs sont loin d'tre facultatifs.
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (2 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Donnez le schma de l'installation reprenant les serveurs, concentrateurs utiliss (hub, switch, routeur, nombre de ports), types de liaisons, cbles droits ou croiss, Dans le cas o vous utilisez un HUB ou un switch, expliquez. Je ne demande pas explicitement la marque et l'appareil de chaque concentrateur. Attention qu'un switch de 80 ports, ce n'est pas courant, manageable? L'installation du rseau doit tre complte, pensez aux scurits installer (protections lectriques, sauvegarde) et aux types de serveurs utiliss. Comme le matriel informatique rseau peut tomber en panne, le matriel doit tre standardis (par exemple les switch) pour que l'on puisse utiliser un minimum de matriel de rserve: maximum de concentrateurs de mme type et capacit pour l'ensemble du rseau pour n'utiliser qu'un appareil de remplacement pour toute l'entreprise. Je ne demande pas les paramtrages des appareils, juste la structure du rseau ethernet. Ne vous occupez pas trop du budget, mais choississez les caractristiques en gestionnaire informatique responsable (pas la peine d'utiliser de l'Ethernet Gigabit sur fibre optique pour connecter les stations).

2. L'architecture globale.
Pour faciliter la mise en place de l'architecture de notre rseau, examinons les appareils mettre en oeuvre. Nous utiliserons les dessins suivants pour faciliter l'analyse du schma global du rseau.

Serveur

Switch ou Hub Ethernet (ici un des1024d de Dlink 24 ports 10/100)

Switch manageable: autoriser (ou bloquer) certaines connexion de PC vers PC (ou plutt de groupes de PC), en plus des mots de passe sessions utilisateurs grs par le systme d'exploitation Ici un DGS 3224, 20 ports 10/100 et 2 ports Gigabits en base T (cuivre) de Dlink

http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (3 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Routeur sans fils Wifi, utilisable comme routeur et comme pont. Nous pourrions utiliser un simple switch sans fils dans notre cas.

Un cble RJ 45 crois

modem routeur ADSL, ici un tornado Copperjet 812. Il peut tre utilis comme simple modem en mode pont

Un firewall - VPN (ici une srie 100 de symantec) permet le partage de la connexion Internet et l'accs de l'extrieur au rseau de l'entreprise

Routeur firewall intgr permet de scuris les connexions en bloquant certains ports et / ou certaines plages d'adresses.

un simple routeur

NAS (ici un srie 300 low cost de IOMEGA)

Un dpartement avec les PC associs

UPS (ici APC 420W, un peu faible pour Sauvegarde sur bande SDLT un serveur): protection lectrique (ici modle Quantum) Analysons le problme en fonction des diffrentes parties et des sens de communication autorises. Ceci va scinder le problme et envisager en gros les appareils utiliser au niveau connexion, routage et scurit. Les dpartements administration et commerciaux ne sont pas trs diffrents. Ils utilisent tous deux: INTERNET (ce sont les seuls), les mmes serveurs (un serveur de fichier et un petit serveur d'application). Par contre l'administration doit pouvoir se connecter sur le dpartement commande (mais pas sur le dpartement fabrication), le dpartement commercial ne peut en aucun cas se connecter sur les dpartements commande et fabrication. L'accs d'INTERNET vers les serveurs du btiment 2 (administration et commercial) nous oblige utiliser un firewall VPN pour la connexion INTERNET (ici un srie 100 de symantec) et un modem ADSL (ici un tornado
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (4 sur 12)30/01/05 08:11:22

architecture rseau entreprise

812 utilis en pont (voir chapitre 17). Avec les 20 PC repris dans le btiment 2, il n'y a pas besoin d'un appareil trs puissant, mais suffisamment scuris. Comme l'accs de l'extrieur est possible, la connexion doit tre de type IP fixe. Ceci nous donne une bonne marche de manoeuvre pour les connexions.

En noir les communications autorises (mme avec des blocages), en rouge celles qu'il faut bloquer. On a dj une bonne ide de la structure globale de l'installation. La route entre les deux btiments va nous bloquer avec une liaison sur cuivre ou fibre optique. Nous devrons dj utiliser une liaison sans fils, de type WIFI 802.11B 11 Mb/s (ventuellement 802.11B+ 22 Mb/.s). Comme les vitesses de communications ne sont pas trop importantes, l'utilisation de 100 base T (ventuellement 1000 Base T pour les serveurs) est suffisante pour l'ensemble du rseau.

13.3. Connexions dpartement administratif et commercial

La connexion entre administration et commercial doit laisser passer certaines communications (mais pas toutes). En plus, ils utilisent les mmes serveurs. Nous pouvons utiliser soit deux classes d'adresses diffrentes (d'o l'emploi de routeurs pour relier les 2 dpartements), soit un switch manageable (et donc bloquer ou autoriser certaines connexions) en utilisant la mme classe d'adresses IP. Utiliser 2 routeur pour les communication alourdi directement le paramtrage. Choissions la solution mme classe d'adresse (par exemple 192.168.10.X) pour l'ensemble des deux dpartements et bloquons les accs au niveau d'un switch manageable. Les dpartements utilisent un serveur d'application et un petit serveur de fichier. Comme serveur de fichier, pour rduire les cots, utilisons un NAS. Comme nous devons connecter 20 PC + 1 serveur +1 NAS + 1 connexion btiment 1, l'appareil reprsenter (20 ports + 2 Giga) serait insuffisant mais nous pourrions utiliser un switch 8 ports additionnels. Les NAS sont rarement en 1000 Base T. Voyons maintenant la connexion vers le deuxime btiment. Nous devons utiliser une connexion sans fils. Comme le btiment 2 peut avoir la connexion vers le dpartement commande (pas fabrication, mais pas l'inverse, nous allons utiliser des classes d'adresses diffrentes pour le btiment 1. Ceci ncessite l'emploi d'un routeur. Comme la connexion doit tre scuris (bloque partir du btiment 1 vers 2) plus l'interdiction de connexion INTERNET vers le btiment 2, utilisons un
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (5 sur 12)30/01/05 08:11:22

architecture rseau entreprise

routeur firewall et un routeur 802.11B en pont. Dans ce cas, le firewall ne va pas tre utilis pour bloquer des ports: dans un rseau interne, les ports dynamiques (1024 - 65535) sont utiliss de manire alatoire pour les communications rseaux internes, nous ne pouvons pas les bloquer. Nous allons uniquement bloquer les communications sur les plages d'adresses. Par exemple bloquer les communications de l'adresse IP du VPN vers le btiment 2. Une autre solution pour bloquer l'accs "Fabrication" - "administratif" serait de scuris le rseau sans fils en fonction des adresses mac des PC du dpartement administration, voire scurit des rseaux sans fils dans la rubrique How to? Voici notre schmas matriel rseau pour le btiment 2.

13.4. Connexion Btiment fabrication - commande

Les communications usine vers commande sont interdites. Seules les communications commandes vers usines sont autorises (sous certaines rserves). Nous avons de nouveau deux possibilits d'utilisation des classes d'adresses IP. Soit deux classes diffrentes avec l'emploi de routeur, soit la mme classe d'adresse avec un switch manageable (au choix).
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (6 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Cas 1: utilisation de 2 classes d'adresses diffrentes.

L'utilisation d'un routeur (et donc 2 classes d'adresses) va augmenter la scurit. L'utilisation d'un routeur avec firewall n'est pas obligatoire puisque la communication bidirectionnelle ncessite deux routeurs alors que nous utilisons la communication uniquement de commande vers fabrication. Ceci empche dj l'usine de se connecter vers le dpartement commande. La scurit partir d'Internet est dj assure pour rappel avec le VPN et le firewall plac la sortie du btiment administratif vers le routeur WIFI. De mme, pour les communications du btiment 1 vers le btiment 2, nous pouvons soit utiliser un routeur WIFI en mode pont et un firewall (cas ci-dessous), soit un routeur WIFI sans firewall. La scurit est de toute faon assure par le firewall de l'autre ct de la liaison sans fils.

Le nombre de switch 24 ports pour la partie fabrication a volontairement t rduite pour la clart du schma. Il nous en faudrait minimum 4, voire 5 pour avoir des lignes de rserves. L'utilisation d'un seul switch de 96 ports pourrait poser des problmes de longueur de cbles et en cas de panne de ce seul appareil, toute la fabrication serait bloque. L'utilisation de multiples switch 24 ports permet d'en avoir 1 de rserve pour l'ensemble du btiment. Pour rappel, le nombre de HUBS (moins de contrainte pour les switch) est limit maximum 2 entre 2 PC en 100 base T (mme si plus est souvent utilis), le serveur
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (7 sur 12)30/01/05 08:11:22

architecture rseau entreprise

fabrication doit tre raccord sur le premier switch de la fabrication L'utilisation d'un routeur firewall entre le switch et la connexion WIFI 802.11B n'est pas ncessaire si un firewall est install de l'autre ct. Ils feraient double emploi (ce qui n'est pas trop grave) mais obligerait une configuration plus complexe de l'infrastructure.

Cas 2: utilisation d'une mme classe d'adresse avec switch manageable.

Dans ce cas, tous les PC sont dans la mme classe d'adresse, l'utilisation d'un routeur (ou routeur - firewall) n'est plus ncessaire entre les deux dpartements., c'est le switch manageable qui va accepter ou bloquer les communications. Dans ce cas (et contrairement la solution prcdente), on peut bloquer les communications de manire hardware entre les PC des commandes et les PC de fabrication).

Cette solution est nettement plus chre (mais plus scurise). Elle permet nanmoins de raccorder les serveurs en 1000 base T sur le switch manageable. Les distances entre chaque PC, serveurs et concentrateurs sont respectes puisque qu'en 100 base T en 1000 base T, la distance maximum est de 100 mtres. Pour rappel, les switch
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (8 sur 12)30/01/05 08:11:22

architecture rseau entreprise

manageables travaillent gnralement avec les adresses MAC. En cas de panne d'un PC avec change standard (ce qui se fait en pratique pour minimiser l'arrt), on risque de devoir reprogrammer le switch. Ce n'est pas forcment du niveau de tous les techniciens de maintenance d'usine (sans compter les mots de passe administrateurs pour paramtrer le switch). Par contre, certains modles acceptent le regroupement de station suivant le protocole IGMP.

13.5. Connexions globales du rseau

Il ne reste plus qu' relier les 2 rseaux de l'entreprise et positionner nos scurits (UPS et sauvegarde) et choisir les serveurs. Les serveurs utiliss pour le btiment 2 et les commandes sont en fait de petits serveurs. Par contre, le serveur utilis en fabrication est un serveur d'application muscl (avec logiciel ddi) de type bi-processeur. Pour des raisons de scurit des donnes, nous utilisons des serveurs SCSI RAID 1 ou mieux RAID 5. Plus le processeur est gros plus il consomme. L'UPS (de type On-Line de prfrence) devra tre en rapport. Pour rappel, la puissance de l'UPS = puissance consomme par le serveur X 1,6. Pour un serveur consommant 800 W (cran compris), la puissance de l'UPS est donc de 800X1,6=1280 W. Pour la sauvegarde des donnes, nous utiliserons des bandes de type DAT ou Super DLT pour les capacits de ces technologies, mais galement au niveau vitesse de sauvegarde.

http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (9 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Nous pourrions encore ajouter sur le schmas des petits UPS pour certaines stations ou concentrateurs, selon les desiderata de l'entreprise.

13.6. Un autre point de vue de cette connexion: mlange de protocoles.

Dans les montages ci-dessus, nous avons utilis exclusivement le protocole TCP/IP. Il en existe 2 autres: l'IPX et le NetBeui. Le NetBeui n'est pas routable, l'IPX (utilis principalement par les rseaux NOVELL), oui. Le schma suivant va mlang des protocoles. Pour accder un serveur, le PC doit utiliser le mme protocole (mais il peut en utiliser plusieurs en mme temps). Dans le cas du btiment 2 administratif, comme on utilise Internet, TCP/IP est obligatoire. Par contre, dans le btiment 1 (commande et fabrication), INTERNET est interdit en sortie comme en entre (intrusion). Nous allons nettement rduire le nombre d'appareils en utilisant dans le btiment 1 uniquement IPX et pour le btiment 2, les PC qui doivent se connecter sur la partie commande utiliserons IPX et TCP/IP. Cette faon de procder bloquera toutes les tentatives d'intrusion directes d'Internet vers le btiment 1. Par contre, la connexion du dpartement commande vers Fabrication (et vis versa) sera uniquement bloqu par les droits de sessions et les communications pourront galement passer du btiment 1 vers les PC IPX du btiment 2. Il suffit de bloquer les partages dans le btiment 2 en IPX.

http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (10 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Dans ce cas, nous remplaons un switch manageable par un simple switch (avec d'autres du mme type utiliss sur l'ensemble du rseau) et plus aucun firewall dans l'ensemble du rseau ( part le VPN pour INTERNET). Cette solution n'est pas envisager pour une usine de 500 PC, mais bien pour des moyennes structures. Les utilisateurs de rseaux NOVELL privilgierons probablement cette solution.

13.7. Les erreurs et remarques de l'examen

Aprs correction, je reprend les erreurs de l'architecture du rseau. Sont reprises ici quelques remarques et erreurs de l'examen. 1. Rseau btiment 2: 2 classes d'adresses IP diffrentes pour administratif et commerciaux relis tous deux sur les ports d'entre du VPN (connexion INTERNET correcte) mais pas de routeur entre les deux. Dans ce fait, pas d'interconnexion entre les 2 groupes de PC mais plus grave, 1 seul dpartement sur les 2 aura accs au serveur et au NAS. Bref, l'infrastructure btiment 2 ne fonctionne pas. 2. 2 classes d'adresses diffrentes pour commande et fabrication. Les PC commandes branchs sur un routeur 16 port (suis pas sr que cela existe) et branch sur un HUB 8 port qui est reli sur 5 hub 24 ports pour la fabrication. Comme le serveur Fabrication est une application ddie, on prsume que les PC ne se connecteront pas entre eux mais tous vers le serveur leur tour avec quelques problmes de collisions (le serveur rpondra chacun son tour, ce qui peut tre correct). Par contre, l'utilisation d'un Hub comme tte de pont entre le routeur commande et les diffrents HUB fabrication va directement ralentir l'ensemble du rseau. 3. Utilisation de 2 firewall (1 de chaque ct du pont WIFI), configuration de l'architecture du rseau plus complexe.

Cours: Les concentrateurs Ethernet Hub, switch, routeurs, ...

Cours: Spcificits serveurs Architecture, mmoires, ...

Cours: Rseaux Ethernet Normes des rseaux Ethernet

Cours: communications sans fils Communications sans fils, normes, vitesses, ...

La suite du cours Hardware 2 > Chapitre 14: Technologies spcifiques

Pour l'ensemble du cours hardware Le cours "Hardware 1": PC et priphriques, le cours "Hardware 2": Rseau, serveurs et communication.
http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (11 sur 12)30/01/05 08:11:22

architecture rseau entreprise

Pour l'ensemble du site YBET informatique Florenville (info, se dpanner, ...)

YBET informatique 2004

http://www.ybet.be/hardware2_ch13/infrastructure_reseau.htm (12 sur 12)30/01/05 08:11:22