rapport de stage - dj.hicham.free.frdj.hicham.free.fr/rapport de...

Rapport de

stage

Stagiaire : Michel CIOCCO Tuteur ANPE : Mr Hervé TOUATI Tuteur IPREC : Mr Vincent BENDRIDER

Département Réseaux et Télécoms

IPREC– 24, Rue du Faubourg Poissonnière 75010 PARIS – Promotion 30

SOMMAIRE

Introduction ...........................................................................................................................................................3

Remerciements ......................................................................................................................................................4

Avertissement ........................................................................................................................................................5

I. Présentation de l’ANPE ...............................................................................................................................6

1. Statut ..........................................................................................................................................................6

2. Conseil d’administration............................................................................................................................6

3. Mission .......................................................................................................................................................6

4. Chiffres .......................................................................................................................................................6

5. Organisation de l’ANPE ............................................................................................................................7

6. Organigramme ...........................................................................................................................................7

7. Applications informatiques ........................................................................................................................9

8. Serveurs WEB.............................................................................................................................................9

II. Présentation de la Direction des Systèmes d’Information (DSI)........................................................10

1. Objectifs ...................................................................................................................................................10

2. Fonctionnement........................................................................................................................................10

III. Le département Réseaux et Télécommunications (DRT) ...................................................................11

1. Description ...............................................................................................................................................12

2. Les Missions des services du DRT ...........................................................................................................12

3. Service Support et Administration............................................................................................................12

4. Service Architecture et Sécurité Réseaux .................................................................................................12

5. Service Support et Administration............................................................................................................13

6. Service Téléphonie ...................................................................................................................................13

IV. Etude de l’architecture réseau de l’ANPE ...........................................................................................13

1. Principe de l’infrastructure réseau en France métropolitaine ................................................................14

2. Principe de l’infrastructure DOM............................................................................................................14

3. Accès Internet...........................................................................................................................................15

4. Sécurité Internet .......................................................................................................................................16

V. Organisation du support aux utilisateurs.................................................................................................17

1. Support niveau 1.......................................................................................................................................17

2. Support niveau 2.......................................................................................................................................17

3. Support niveau 3.......................................................................................................................................17

4. Administration du réseau .........................................................................................................................18

5. Administration de la sécurité réseau........................................................................................................18

2

VI. Appropriation des procédures et interventions en situation ..............................................................19

1. Service Center ..........................................................................................................................................19

2. Supervision Réseau sous HP Open View .................................................................................................22

3. MRTG (Multi Router Traffic Grapher) ....................................................................................................26

4. Métrologie et flux .....................................................................................................................................30

5. Administration réseaux / Divers...............................................................................................................41

6. Schemas architectures..............................................................................................................................48

7. Description des technologies déployées dans ce réseau ..........................................................................50

VII. Conclusion...............................................................................................................................................55

Glossaire...............................................................................................................................................................56

3

Introduction Dans le cadre de ma formation de Technicien supérieur en maintenance informatique, un stage d’un mois devait être réalisé avec pour objectif l’appropriation des outils et procédures internes et valider des connaissances. Le stage a été réalisé à la direction générale de l’ANPE au département réseaux et télécommunications (DRT) dans la banlieue Est de Paris (77) sous la tutelle de M. TOUATI, responsable du DRT. Nous aborderons dans un premier temps la présentation de l’ANPE puis la description de la Direction des Systèmes d’Informations et du Département réseaux et télécommunications. La description de l’architecture réseaux et l’organisation du support aux utilisateurs seront ensuite présentées. Puis une description des interventions effectuées fera l’objet de la dernière partie.

4

Remerciements

Je tiens à remercier Hervé TOUATI, responsable du Département Réseaux et Télécoms de l’ANPE, de m’avoir permis d’intégrer son service. Je remercie Gilles GANGNEUX, responsable du service Support. Je souhaite remercier toutes les personnes qui composent le département Réseaux et Télécoms, plus particulièrement Arnaud Coston, Fabien Bizet, Henri Renaut et Frédéric Deluc pour le partage de leur savoir. Un grand merci aux formateurs de l’IPREC pour la qualité de leurs enseignements qui m’a permis d’appréhender ce stage dans de bonnes conditions.

5

Avertissement Pour des raisons de sécurité certaines informations confidentielles telles que les adresses IP de l’ANPE, ne pouvant être divulguées, seront substituées par des adresses IP quelconques ou bien masquées.

6

I. Présentation de l’ANPE 1. Statut Créée en 1967, l’Agence Nationale Pour l’Emploi est un établissement public d’Etat, rattaché au ministère de l’emploi du travail et de la cohésion sociale. Ses services sont déconcentrés et 23000 agents travaillent dans mille implantations. Les directeurs d’agence locale disposent d’une réelle autonomie. 22 directeurs régionaux coordonnent l’action de 118 directeurs délégués. 2. Conseil d’administration L’ANPE est administrée par un conseil tripartite de seize membres. Il comprend :

- un président, nommé par décret sur rapport du Ministre de l'emploi, du travail et de la cohésion sociale, - 5 représentants de l’Etat, - 5 représentants des employeurs, - 5 représentants des salariés.

3. Mission Intermédiaire actif entre les demandeurs d’emploi et les entreprises, L’ANPE développe son action afin de dynamiser le marché du travail et le rendre plus réactif, plus transparent, accessible à tous. Ainsi l’ANPE :

- propose des offres d’emploi et des conseils, - apporte un appui et un suivi personnalisés aux demandeurs d’emploi, en particulier à ceux qui sont les

plus en difficulté, - offre aux entreprises des services d’aide au recrutement, - met en œuvre les mesures gouvernementales destinées aux publics prioritaires, - mène une politique active de partenariat pour démultiplier l’accès à ses services et simplifier les

démarches des demandeurs. 4. Chiffres Quelques données quantitatives concernant les activités de l’ANPE en 2002 :

- Un budget de 1,3 milliards d’euros (hors mesures pour l’emploi), - 22 945 agents (dont 86% en contact direct avec les demandeurs d’emploi et les entreprises), - 779 agences locales et plus de 1000 autres points, où tout ou partie des services sont réalisés avec des

partenaires, - Près de 5 millions de personnes se sont inscrites. - 600 000 entreprises clientes, - 3 millions d’offres collectées (à comparer aux 1,2 millions d’offres recueillies en 1992), - 85 % d’offres satisfaites (soit 2,5 millions), - Délai moyen de satisfaction des offres : 34 jours, - « http://www.anpe.fr » premier site emploi français et deuxième site européen avec 120000 offres par

jour actualisées tous les soirs et une moyenne de 5 millions de connexions mensuelles.

7

5. Organisation de l’ANPE L’effectif de l’Agence se répartit sur tout le territoire français (Hexagone et DOM/TOM) dans :

- 1 Direction Générale à Noisy Le Grand (banlieue Est de Paris – 93). Ce bâtiment rassemble comme son nom l’indique la quasi-totalité de la Direction Générale, y compris les services informatiques.

- 1 Centre Technique Informatique National dit CTIN (banlieue Est de Paris – 77). Il s’agit du cœur même de l'infrastructure informatique de l'ANPE. Il a pour mission d’exploiter les applications de l’ANPE pour l’ensemble des régions et des départements et de les mettre à la disposition des entreprises et des demandeurs d’emploi. Il s’agit d’un site critique, qui héberge une centaine d’agents et qui se doit d’être physiquement sécurisé.

- 7 Centres Interrégionaux de Services Informatiques (CISI) à Paris (75), Lille (59), Caen (14), Strasbourg (67), Lyon (69), Bordeaux (33), Vitrolles (13). Les CISI assurent le déploiement physique pour le matériel informatique ou par télédistribution pour les logiciels ainsi que le support informatique des ALE, DRA et DDA.

- 22 Directions Régionales de l'ANPE qui se superposent aux régions administratives françaises. - 140 Directions Déléguées de l'ANPE couvrant l’ensemble des départements de la métropole et des

territoires d’Outre-mer. - 961 points opérationnels et de contact avec l'ANPE pour les demandeurs d’emploi. Ce sont les Agences

Locales pour l’Emploi couvrant l’ensemble des départements de la métropole et des territoires d’Outre-mer et leurs points annexes spécialisés (spectacles, journalistes...). Des Espaces Spécialisés Jeunes sont également créés à la demande des régions.

- 7 Centres de Ressources et de Développement des Compétences. Ces centres ont été créés pour la formation des agents de l’ANPE.

6. Organigramme A la tête de l’ANPE nous retrouvons une Direction Générale. Celle-ci regroupe :

- Le Directeur Général. - Les Directions Générales Adjointes :

DGA Appui et Logistique (DSI) DGA Développement des Services et des Interventions DGA Ressources Humaines DGA Prospective Contrôle et International.

- Le Directeur de Cabinet. - L’Agent comptable. - La Direction de la Communication. - La Direction de la Modernisation et de la Qualité. - La Mission Coordination de la maîtrise d’ouvrage des systèmes d’information.

Voir l’organigramme de la direction générale de l’ANPE en page suivante

9

7. Applications informatiques Dans le cadre des contrats de progrès entre l’ANPE et l’Etat, l’ANPE doit mettre en place des projets à forte proportion informatique de part la répartition géographique des agences. A chaque contrat de progrès, l’ANPE s’organise de manière interne, ceci pour avoir une totale maîtrise des évolutions. Dans leur travail, les agents de l’ANPE s'appuient aujourd’hui sur deux grandes applications opérationnelles (SAGE et GIDE), ainsi que sur des applications de gestion (AGIR), des serveurs télématiques et depuis 1997 un site WEB.

7.1. Applications opérationnelles

- SAGE : Système d’Aide à la Gestion de l’Emploi. Application temps réel (sur le site ANPE) qui permet la prise d’offres d’emploi et leur traitement en agence, le suivi et les essais de placement des offres, la gestion du Libre-service des Offres, l’interface avec les applications statistiques du marché du travail et les éditions de tableaux de bord de l’activité des agences. Cette application a été étendue pour permettre de rattacher les différents événements à l’entreprise, actions individuelles et collectives de l’Agence, offres déposées ou collectées. Cette application est implantée au sein du CTIN sur un Mainframe Bull DPS9000 sous GCOS8.

- GIDE : Gestion Informatisée du Demandeur d’Emploi. Application temps réel implantée dans le

centre informatique de l’UNEDIC à Montpellier, qui permet l’actualisation de la situation des demandeurs d’emploi nécessaire au régime d’assurance chômage pour gérer leurs indemnisations. Cette application est implantée au sein du Centre Informatique de l’Unedic sur un IBM.

7.2. Applications de gestion

- STATISTIQUES MARCHE DU TRAVAIL : application exploitée bimensuellement sur le CTIN à destination du ministère pour fournir des indications sur l’évolution du marché du travail.

- AGIR : application de comptabilité publique utilisée par les Centres de Responsabilité Budgétaire.

8. Serveurs WEB

L’ANPE propose ses services sur le réseau INTERNET. Accessibles à partir de l’url « http://www.anpe.fr », le serveur hébergé par le CTIN apporte de nombreuses informations et présente en ligne les offres d’emploi. Ces dernières peuvent ainsi être consultées directement à domicile chez les particuliers ou par l’intermédiaire de bornes libre-service mises à la disposition du public dans les agences locales. Il est à noter que l’ANPE possède aujourd’hui l’un des plus importants réseaux de bornes libre-service d’accès à Internet en France.

10

II. Présentation de la Direction des Systèmes d’Information (DSI)

La DSI est le maître d’œuvre des chantiers informatiques de l’Agence. D’un point de vue structurel, elle est aux côtés des directions du budget, des services financiers ou de l’équipement, rattachée à la direction appui logistique de l’Agence. 1. Objectifs Cette direction doit répondre à trois objectifs essentiels :

- Fournir à l’utilisateur final un outil informatique de qualité tant dans sa disponibilité ou son efficacité que dans son support.

- Apporter à l’Agence les moyens les plus adaptés à son métier par la mise à profit de l’évolution des technologies de l’information.

- Garantir dans la durée la maîtrise des ressources humaines et financières engagées dans la réalisation des deux objectifs précédents. Les missions confiées aux structures correspondantes de la DSI concourent à la réussite de ces objectifs.

2. Fonctionnement Stratégiquement, la DSI se comporte vis-à-vis de l’Etablissement comme une véritable société de services. Autrement dit, elle fournit à ses « clients » (en l’occurrence, les services de l’Agence) un ensemble de prestations répondant à des normes de qualité. La DSI a obtenu la certification ISO9001 en 2003 qui, par exemple, permet de distinguer le travail qu’accomplissent, chaque jour, les 263 collaborateurs de la DSI et leurs sous-traitants. La DSI s’articule verticalement autour de deux sous directions et de trois départements :

- La Sous Direction des Etudes qui a pour mission de définir, de concevoir et de développer, en collaboration avec la maîtrise d’ouvrage, les applications informatiques proprement dites, et qui délègue le travail de développement à des sous-traitants.

- La Sous Direction de la Production qui fournit l’énergie informatique des serveurs nationaux. A ce titre, elle assure toutes les opérations concourant à la disponibilité et à la qualité des temps de réponses, au respect des plages d’ouverture et à la sécurité des systèmes d’information.

- Le Département Réseaux et Télécoms qui s’occupe, comme son nom l’indique, de ce qui touche au réseau national de transmission de données et à la téléphonie. Nous y reviendrons plus en détail dans la suite de ce document.

- Le Département Informatique Poste de Travail et Intranet (DPI) qui choisit, achète et configure les éléments de base (matériel et logiciel) constituant les postes de travail des agents de l’Agence.

- Le Département du Support et de l’Informatique Régionale qui représente la DSI sur le terrain. Il regroupe les sept CISI soit 140 personnes. Chacun de ces centres accueille la plate-forme d’assistance téléphonique ASUR de sa région, assure le déploiement du matériel et des logiciels dans le réseau et travaille en étroite relation avec la direction régionale. Le DISR s’appuie lui-même sur deux services : QSD (Qualification, Support et Diffusion), qui est un peu l’organe de test et d’intégration des applications avant leur généralisation effective dans le réseau ; SRC (Service de Relation Client) qui, au niveau national et via des contrats de service, développe et met en place les engagements assurant la qualité de fonctionnement de l’outil informatique et la bonne marche des plates-formes ASUR.

11

III. Le département Réseaux et Télécommunications (DRT)

Le Département Réseaux et Télécommunications assure le fonctionnement, les installations et le maintien du réseau national de transmission de données, dans le respect d’engagements de service tant sur la qualité que sur la sécurité. Le DRT fait partie intégrante de la DSI qui, nous l’avons vu, a la charge de l’organisation informatique de l’ANPE. Ce département existe en tant que tel depuis avril 1998 ; il constituait auparavant un service rattaché à la SDP.

Organigramme de la Direction des Systèmes d’information

DEPARTEMENT MAINTIEN EN CONDITION

OPERATIONNELLEA. SENTIS

DIRECTION des SYSTEMES

d'INFORMATIONM. LESUEUR

SOUS DIRECTION de LA PRODUCTION

J. SALLENT

SOUS DIRECTION des PROJETS

A. MONCE

DEPARTEMENT SUPPORT &

INFORMATIQUE REGIONALE

L. MORO

DPT BUDGET, GESTION & MARCHES

N. POTTIER

MISSION QUALITE METHODE & SECURITE

J.J. MERY (Adjoint)

7 CISI

DPT POSTE DE TRAVAIL ET INTRANET

C. MOREAU

DEPARTEMENT RESEAUX &

TELECOMMUNICATION

H. TOUATI

Le DRT se présente désormais comme un prestataire de services interne pour le compte des différentes entités de l’ANPE ou de ses partenaires externes comme l’UNEDIC. Le DRT remplit à ce jour 3 types de missions : .

- des missions liées au support des infrastructures réseaux et télécoms existantes :

il est le premier intervenant pour tout incident affectant l’infrastructure réseau et télécoms du CTIN. il peut être amené à traiter tout dysfonctionnement d’ordre technique ou non, dans le domaine des

réseaux et télécoms. il doit résoudre les problèmes qui n’ont pas pu être résolus par les CISI.

- des missions liées à la gestion des équipements et des ressources internes ou externes :

le DRT choisit, valide, installe et gère l’ensemble des équipements constituant l’architecture technique du réseau national de l’ANPE. le DRT anime le réseau de CISI, pour son domaine d’activité.

- des missions liées à l’évolution de ces infrastructures et équipements :

12

le DRT doit gérer un certain nombre de projets d’évolution des moyens actuels. le DRT se doit de tenir à jour ses connaissances techniques, une vision objective du marché et de

ses acteurs.

1. Description

L’existence du département Réseaux et Télécommunications de l’ANPE s’inscrit dans la logique de convergence technologique des réseaux téléphoniques, informatiques et multimédia. Ce département agit comme un véritable opérateur interne dont la vocation est de proposer des services et mettre en œuvre des solutions de télécommunication sur le plan national. Le DRT situé à Noisiel, se compose de trois services :

Le service Architecture et Sécurité Réseaux (ASR). Le service Support et Administration (SSA). Le service téléphonie

2. Les Missions des services du DRT

Ce service intervient dans trois domaines principaux qui sont :

Déploiements réseaux , Support des projets DSI Ingénierie réseaux et sécurité.

Les missions de ce service sont :

Conception et déploiement de l'architecture des réseaux de communication. Intégration des nouveaux projets DSI dans l'infrastructure réseau. Assurer la sécurité logique des réseaux de communications. Garantir la qualité de service réseaux.

3. Service Support et Administration

Ce service a en charge les cinq domaines principaux : Gestion des achats, résolution des incidents, exploitation infrastructures réseaux, support et Qualité. Les missions de ce service sont :

Administration et maintenance de l'infrastructure réseau et sécurité. Support national réseau. Gestion des commandes et de la facturation. Mise en œuvre et support de solutions d'échanges de données. Gestion de la Qualité (ISO 9001)

4. Service Architecture et Sécurité Réseaux

Les activités de ce service sont :

Etude et mise en service de solutions réseaux. Etude et mise en service de solutions de sécurisation des réseaux de communication. Gestion des évolutions des réseaux de communication. Gestion des appels d'offres réseaux. Pilotage du déploiement de solutions réseaux. Planification de la capacité et des performances du réseau de communication. Expertise réseau dans les projets de la DSI. Veille technologique réseaux et sécurité.

13

Définition des politiques et standards.

5. Service Support et Administration


Gestion de la Qualité (ISO 9001) Support national réseau Administration des équipements et des accès réseaux. Administration de la sécurité réseaux. Suivi de la qualité de service réseau. Gestion des commandes de services réseaux & télécoms. Suivi de la facturation des services réseaux & télécoms. Gestion de parc réseau et télécoms.

6. Service Téléphonie


Conseil et expertise en téléphonie auprès des directions régionales ANPE. Gestion des appels d'offres de fournitures de service de téléphonie fixe et mobile. Elaboration et suivi de la mise et œuvre de solutions de téléphonie à valeur ajoutée. Suivi de l'exécution des marchés de téléphonie. Suivi de la facturation des services de téléphonie.

Ce service intervient dans le domaine du transport de la voix. Les missions de ce service sont :

Définir et mettre en œuvre les accords cadres nationaux sur la téléphonie. Assurer un rôle de conseil et de support aux régions. Définir des solutions téléphoniques à valeur ajoutée.

IV. Etude de l’architecture réseau de l’ANPE Le réseau WAN de l’ANPE regroupe plusieurs LANs, un réseau Internet, un réseau intranet, un réseau extranet Son bon fonctionnement s’appuie sur une architecture complexe qui nécessite une surveillance 24h/24h. Des outils de supervisions permettent une vision globale de son architecture et de remonter tous les incidents. Le réseau de l’ANPE doit satisfaire la demande des utilisateurs, effectuer des transmissions de données fiables, sans pertes ni erreurs, en conformité avec l’exercice du métier de l’agence. Ces objectifs peuvent être atteints en mettant en œuvre une politique de qualité de service prise en compte dès la conception du réseau et maintenue au cours de sa phase d’exploitation. C’est le DRT qui définit les besoins et qui assure l’exploitation et la surveillance des technologies que nécessite la transmission de données. En 2004, les évolutions du réseau national ont nécessité un redéploiement qui s’appui sur un réseau IP - VPN reposant sur le protocole de routage MPLS. Fin 2004 tous les sites (environ 1000) seront dotés d’accès ADSL ou SDSL pour assurer leur connectivité avec le réseau national de l’ANPE.

14

1. Principe de l’infrastructure réseau en France métropolitaine

Les sites ANPE situés en métropole sont interconnectés par l’intermédiaire d’un backbone IP (Technologie MPLS pour Multi Protocol Layer Service). Il est composé de 2 réseaux privés virtuels IP (IP-VPN) distincts :

• Un VPN « Intranet » (sites et utilisateurs internes) ; • Un VPN « Extranet » (sites et utilisateurs non ANPE, appelé partenaire).

La topologie de raccordement des sites est une topologie en étoile centrée sur le site de Marne la Vallée (CTIN). Les raccordements des sites ANPE au réseau vers le site central sont les suivants :

• Pour le CTIN : deux liens 56 Mb/s sur accès de 100 à 155 Mb/s ; • Pour les CISI : deux liaisons 1,6 à 2 Mb/s (LL et/ou SDSL) ; • Pour les DRA/CRDC ; - Accès SDSL, débit garanti de 512Kb/s, débit crête à 1,6 Mb/s ; • Pour les unités (DDA, USP, ALE…) :

- Accès ADSL (éligibilité des sites ANPE estimée > à 85%), avec repli sur des accès Liaisons louées : 256Kb/s à 512Kb/s ; - Débit garanti de 160Kb/s ; - Débits crêtes montant à 256Kb/s, descendant à 1 Mb/s ;

• Pour les liaisons de secours ; - Pour le CTIN et les CISI : secours sur la seconde liaison ; - Pour les autres sites : secours RNIS 128Kb/s.

Le schéma de principe du réseau d’interconnexion des sites ANPE est illustré ci-après.

2. Principe de l’infrastructure DOM

Les sites ANPE situés dans les DOM sont interconnectés par l’intermédiaire d’un backbone IP (Technologie MPLS pour Multi Protocol Layer Service).

15

Il est composé de 2 réseaux privés virtuels IP (IP-VPN) distincts. • Un VPN « Intranet » (sites et utilisateurs internes) ; • Un VPN « Extranet » (sites et utilisateurs non ANPE).

Les raccordements réseaux sont les suivants :

• Pour le CTIN : concentrations via deux accès 4Mb/s ; • Pour les Unités :

Accès ADSL (selon éligibilité) ; Débit garanti 160Kb/s ; Débits crêtes montant à 256Kb/s, descendant à 1 Mb/s ; Repli sur des accès par LL (Liaisons Louées) 128 Kb/s si non éligible ; Pour les liaisons de secours RNIS 128 Kb/s.

Le schéma de principe du réseau de l’ANPE dans les DOM est illustré ci-après.

3. Accès Internet

L'accès à Internet s'effectue par deux liens chez deux FAI (Fournisseur d'accès Internet) différents. Ces deux liens ont les caractéristiques suivantes :

Premier lien : • raccordement en fibre optique et constitution d'une liaison Ethernet 1 Gb/s ; • un débit utile de 40 Mb/s sur une liaison qui peut être configurée jusqu'à 100 Mb/s (et au delà)

suivant l'abonnement choisi ; • une plage d’adresse officielle (classe C).

Deuxième lien:

• raccordement à un backbone et constitution d'une liaison Ethernet 100 Mb/s ; • un débit utile de 40 Mb/s sur une liaison qui peut être configurée jusqu'à 100 Mb/s suivant

l'abonnement choisi ; • une plage d’adresse officielle (classe C).

16

Le raccordement à Internet a un double objectif : • permettre aux demandeurs d’emploi et aux entreprises d’accéder via Internet aux services à distance

de l’ANPE : la consultation des offres d’emploi, l’abonnement à la diffusion automatique des offres par email, le dépôt d’offres d’emploi, l’accès aux sites des différents partenaires...

• donner la possibilité aux utilisateurs internes d’accéder aux services Internet : web, messagerie, transferts de fichiers.

Les services ANPE sur Internet sont de plus en plus consultés ce qui se traduit par une évolution croissante de ressources en terme de bande passante . Pour faire face à la rapide progression du trafic de consultation du site web « anpe.fr », ce débit de l’accès Internet est ainsi passé de 512 Kbps en 1997 à 40 Mbps à fin mai 2004. La présence sur Internet est un élément important de la stratégie de l’ANPE avec la volonté de mettre en place un accès Internet à haute disponibilité sur le site du CTIN. 4. Sécurité Internet La sécurité mise en place pour le raccordement à Internet est assurée par : Firewall :

• système qui permet d’établir des règles de contrôle d’accès entre deux réseaux, généralement entre le réseau privé de l’entreprise et Internet, afin notamment d’éviter l’intrusion de pirates dans le réseau de l’entreprise.

• il permet aussi d’accéder à la DMZ zone d’informations de l’entreprise (sur réseau local) accessible aussi bien de l’intranet que de l’Internet ; dans ce cas le Firewall joue un rôle de commutateur.

• la fonction Firewall de l’Agence s’appuie sur le produit Firewall de la société Checkpoint Software.

Serveur mandataire (Proxy Server) :

• fonction système utilisée notamment pour ses capacité de cache (les pages récupérées sont placées dans un cache-mémoire et l’utilisateur qui rechargera cette page ira non pas la rechercher sur l’Internet mais dans le cache, afin d’optimiser les futurs temps de connexion).

• elle permet aussi de filtrer les accès à Internet pour les utilisateurs connectés sur intranet (ce n’est pas le cas à l’ANPE).

Anti-virus :

• programme qui permet de détecter et de détruire les virus détectés. Il doit pouvoir détecter les virus y

compris dans les fichiers attachés dans le courrier électronique, les fichiers téléchargés ou les pages HTML contenant des liens hypertextes.

• la fonction d’anti-virus s’appuie sur le couple de produits Viruswall Interscan et E-manager de l’éditeur Trend Micro.

17

V. Organisation du support aux utilisateurs

L’activité de support aux utilisateurs a pour objectif d’apporter à l’ensemble des utilisateurs des systèmes d’information de la DSI, l’assistance dont ils peuvent avoir besoin lors de l’utilisation des ressources matérielles et logicielles qui leur sont fournies par la DSI. On distingue un fonctionnement à 3 niveaux, le 3ème étant assuré par la DRT. Dans le cadre de l’activité de support, sont apportées des réponses et des solutions aux types de demandes suivantes :

• les incidents, les anomalies, les évolutions, les informations.

Ces différents types de demandes peuvent porter sur les catégories suivantes :

• technique, relatif à l’ensemble de l’infrastructure technique, • applicatif, relatif aux fonctionnalités de l’outil, • métier, relatif à l’utilisation des outils pour le métier

1. Support niveau 1

• Assurer l’accueil téléphonique pour la signalisation des incidents/anomalies et pour les demandes d’information (de 9h00 à 18h00)

• Enregistrer les incidents ou anomalies signalés dans la base d’incidents • Pré qualifier les incidents et les transférer au support deuxième niveau • Résoudre les incidents à partir des informations contenues dans la base d’incidents • Suivre le traitement des incidents • Exploiter la base d’incidents : relances, consolidation, analyse de tendance • Alerter et informer les équipes DSI sur l’état du réseau • Diffuser les informations concernant le réseau • Suivre le parc réseau et télécoms • Fournir mensuellement les indicateurs sur le fonctionnement du support

2. Support niveau 2

• Résoudre les dysfonctionnements signalés par le support de premier niveau (SVP) • Diagnostiquer les dysfonctionnements sur le réseau de données • Contacter les supports des fournisseurs (opérateurs, intégrateurs) • Transmettre au SVP la description détaillée de la résolution des dysfonctionnements • Relever, noter et investiguer les comportements douteux des équipements ; corriger si nécessaire • Répondre aux demandes d’information sur le réseau

3. Support niveau 3

• Résoudre les dysfonctionnements signalés par le support de deuxième niveau (techniciens CISI) • Faire réaliser des travaux de câblage informatique et téléphonique sur le site de Noisiel • Traiter les demandes de la DSI : adresses IP, DNS, modification de règles de firewall, … • Traiter les demandes de raccordement d’équipements sur les sites de Noisiel et de Noisy le Grand • Réaliser des études de métrologie réseau • Diagnostiquer et corriger les dysfonctionnements sur les réseaux des sites de Noisiel et de Noisy le

Grand

18

4. Administration du réseau

• Superviser les services et les équipements réseaux • Modifier les configurations des équipements réseaux • Documenter les modifications de configuration • Sauvegarder les configurations des équipements réseaux • Analyser les fichiers logs des équipements réseaux • Traiter les alertes générées par les équipements réseaux • Assurer la maintenance préventive du réseau • Communiquer tout dysfonctionnement constaté au SVP • Signaler les dysfonctionnements aux fournisseurs de services • Suivre le traitement des dysfonctionnements signalés aux fournisseurs de services

5. Administration de la sécurité réseau

• Prévenir les intrusions et supprimer les virus • Signaler immédiatement toute faille de sécurité constatée ou supposée • Mettre à jour les outils de sécurité • Analyser les fichiers logs des équipements sécurité • Gérer les clés de chiffrement et les certificats • Gestion des comptes d’accès aux équipements réseaux gérés par le DRT • Assurer la gestion des sauvegardes

Synthèse de l'organisation du DRT

Ingénierie réseaux et sécurité

Support 1er niveau Résolution des incidents

Gestion des achats

Support projets DSI

Exploitation réseaux

SSeerrvviiccee ttéélléépphhoonniiee

SSeerrvviiccee AArrcchhiitteeccttuurree eett SSééccuurriittéé rréésseeaauuxx

SSeerrvviiccee SSuuppppoorrtt eett AAddmmiinniissttrraattiioonn

Qualité

19

VI. Appropriation des procédures et interventions en situation 1. Service Center Mes actions dans Service Center ont consisté à qualifier des incidents et assigner les tickets aux personnes qualifiées. Suivre et clôturer les tickets selon le logigramme de traitement des appels ci-dessous :

20

a) Présentation Service Center Service Center est un outil de gestion d’incidents qui permet de centraliser l’ensemble des demandes des utilisateurs de l’ANPE (Peregrine System Inc. - Version : 5.1.2.0.0023) Qualification des demandes utilisateurs dans Service Center : Les demandes sont qualifiées par un technicien qui ouvre un dossier correspondant à une demande et lui attribut un ticket. 4 types d’incidents selon des catégories prédéfinies sont identifiés : incident, anomalie, évolution, information Rappel : Une anomalie correspond à un fonctionnement anormal inacceptable qui nécessite une action de correction. Une évolution correspond à un nouveau besoin ou à la modification d’un besoin qui n’est pas pris en compte actuellement par l’existant. Une information correspond à une demande se traduisant en définitive par une prestation de conseil et d’assistance concernant des difficultés d’utilisation des ressources informatiques. Un incident correspond à tous les autres problèmes rencontrés qui ne peuvent pas être classés dans les types précédents. Ces différents types de demandes sont ensuite déclinées afin d’affiner la qualification de la demande.

b) Masque d’accueil pour se connecter à Service Center

L’accès au dossier s’effectue en cliquant sur le bouton

21

c) Masque « Liste des dossiers » dans Service Center

Cliquer sur un numéro de ticket pour le modifier

d) Masque « Mettre à jour un dossier » dans Service Center

Masque permettant les modifications et la clôture du ticket. Les tickets peuvent être réaffectés à un autre groupe d’affectation.

22

2. Supervision Réseau sous HP Open View

Présentation

Le logiciel de supervision HP/OV Network Node Manager permet la supervision en temps réel du réseau national de l’ANPE. Sa fonction est d’alerter les équipes support et d’astreinte en cas de dysfonctionnement et de communiquer en temps réel avec les équipes de Production sur les incidents réseaux qui pourraient impacter la Production (serveurs d’applications). D’assurer la disponibilité et une performance optimale de votre réseau, de diagnostiquer les problèmes de performance en exploitant des données historiques récentes, d’identifier les liaisons sous-utilisées et les liaisons saturées, de documenter la performance actuelle du réseau à des fins d'usage interne et pour prouver que vous avez respecté vos engagements de niveau de service. Cet outil puissant de gestion réseau inclut des vues détaillées mais concises des périphériques réseau et de leur état sous une forme graphique intuitive. Permet aux gestionnaires réseau d’évaluer les performances de leur réseau, de dépister les sources de problèmes et de gérer de manière proactive leur réseau et la disponibilité de celui-ci. Les équipes de la Production de l’ANPE utilisent la suite de logiciels de Supervision BMC Patrol. Le logiciel PiNNM (Patrol integration for Network Node Manager) a permis de mettre en place un canal unidirectionnel NNM Patrol qui renvoi un ensemble d’alertes sélectionné au préalable par l’administrateur du DRT.

Network Node Manager Extended Topology Prend en charge la gestion de réseaux commutés hétérogènes (LAN et WAN), c’est-à-dire la gestion de niveau 2 ou VLAN. Lance des vues ciblées à partir des événements pour une résolution rapide des problèmes. Prend en charge une gamme extensible de périphériques et fournit des vues des protocoles s’exécutant par-dessus le réseau, comme OSPF.

Architecture matérielle Station Sun UltraSparc Ultra60Station Sun UltraSparc Ultral

Architecture logicielle Solaris 8 + patch PiNNM (pour PatrolEM 4.3)

Les modes opératoires - En arrière plan :

Le « daemon » Network Node Manager surveille les équipements en effectuant des « polling » en ICMP et

SNMP, récupère les « Traps » interne et externe, surveille les seuils, génère les « Traps », exécute des commandes automatiquement sur arrivée de « Traps » et envoi certains « Traps » bien définis vers la station Patrol EM. - En avant plan :

Depuis les consoles de supervision (Station UNIX , Debian) et de l’interface graphique « OVW » une

cartographie du réseaux est présentée. Sont affichées les topologies réseaux, les « map » actives et les alertes via X11, les topologies réseaux, les « map » actives et les alertes via serveur Web et Applet Java. Sont configurés les paramètres de Supervision (communauté SNPM, seuils, action sur alerte) via X11 (développement graphique Unix Xwindows)

SNMP (Simple Network Management Protocol) : traduisez protocole simple de gestion de réseau. Il s'agit d'un protocole qui permet aux administrateurs réseau de gérer les équipements du réseau et de diagnostiquer les problèmes de réseau.

23

Cartographie

• Réseau ANPE

24

Cartographie Alarmes générées par la console SYSLOG

Les alarmes « Node alarms » sont remontées sur les consoles de supervision. Des agents installés sur les équipements (Routeurs, switchs) permettent des « Traps » SNPM. Ses « Traps » sont transmis à la console Syslog sur laquelle est installé un outil « Swatch ». Il permet de surveiller en continu un fichier de log et de réagir si une chaîne de caractères particulière est détectée. Les alertes détectées sont envoyées dans la fenêtre All Alarms Browser. La réaction est de moins de 10 secondes et peut à nouveau engendrer de nouvelles actions configurées depuis la console HP Open View.

Criticité des alarmes en fonction de la couleur (standard dans HP OPEN VIEW)

Les « Node Alarms » donnent des informations sur les réseaux impactés par l’incident. Le technicien doit mener des investigations pour analyser le problème.

Alarme Critique Alarme Majeur Alarme Mineur Alerte Etat normal

• Chaque Alarme donnée permet d’identifier la source qui émet le message d’erreur.

• L’impact sera différent selon le degré de gravité.

• Une première analyse rapide peut-être effectué d’après la nature de l’alerte.

• Certaines alertes seront acquittées (corrigées) par la console de supervision

pour les alarmes mineurs.

25

La première mesure à prendre sur un incident concernant un élément (Routeur / Switch) est de le pinguer. Si la commande ping répond répond il faut se connecter via TELNET ou PUTTY (SSH) et vérifier l’état de l’interface. Monitoring et dépannage Commande SHOW La commande show est très efficace pour le monitoring et le dépannage. Elle est utilisée pour exécuter toute une série de fonctions :

• Monitoring du routeur pendant l'installation et pendant sa production • Isolation des problèmes d'interface, de média ou d'application • Déterminer la charge du réseau • Déterminer l'état des serveurs, client ou encore des routeurs voisins

show ? Affiche les options de la commande SHOW

show access-lists affiche les listes de contrôles d'accès configurés sur le routeur ainsi que les interaces auxquelles elles se rapportent

show buffers affiche l'état du tampon du routeur show clock affiche les paramètres horaires du routeur

show <interface> affiche différentes statistiques pour l'interface concernée comme par exemple le type de média raccordé

show DECnet static affiche les routes statiques configurées

show flash affiche la version de l’IOS utilisés par le routeur ainsi que la quantité de mémoire flash utilisée

show flash all affiche la quantité de mémoire flash utilisée show interfaces affiche les statistiques ainsi que les caractéristiques de toutes les interfaces du routeur show interfaces accounting affiche un aperçu des protocoles voyageant au travers des interfaces

show ip arp affiche la table arp du routeur show ip OSPF <interface> affiche le statut d'OSPF sur l'interface concernée

show ip route affiche la table de routage IP show IPX interfaces affiche l'état des interfaces IPX ainsi que leur adresse MAC show ip protocols affiche les information de routage show ip traffic affiche les statistique de trafic passant par le routeur show ipx servers affiche les serveurs que le routeur connaît show line affiche les lignes actives du routeur show log affiche les logs du routeur ( il convient d'activer les logs au préalable) show memory affiche l'état de la mémoire du routeur show running-config affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement show startup-config affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage show tcp affiche les connections TCP

show version affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques physiques du routeur

Des procédures internes non développées dans ce rapport permettent d’intervenir sur les routeurs gérés par l’ANPE. Les autres routeurs sont gérés par 9TELECOM et CEGETEL.

26

Erreurs courantes au niveau des trois premières couches du modèle OSI

• Les erreurs courantes au niveau de la couche 1 sont les suivantes :

Des câbles rompus. Des câbles déconnectés. Des câbles raccordés à des ports inappropriés. Des connexions instables. Des câbles inappropriés pour la tâche à accomplir (les câbles console, les câbles

d'interconnexion et les câbles droits doivent être employés à bon escient). Des problèmes d'émetteur-récepteur. Des problèmes de câblage ETCD. Des problèmes de câblage ETTD. Des unités hors tension.


Des interfaces série configurées de façon incorrecte. Des interfaces Ethernet configurées de façon incorrecte. Un ensemble d'encapsulation inapproprié (HDLC est utilisé par défaut pour les interfaces série). Une fréquence d'horloge inappropriée pour les interfaces WAN.


Un protocole de routage non activé. Un protocole de routage activé mais incorrect. Des adresses IP incorrectes. Des masques de sous-réseau incorrects. Des liens DNS-IP incorrects.

3. MRTG (Multi Router Traffic Grapher) Permet de suivre de façon graphique le trafic des différentes interfaces réseaux d’un système visible via le protocole SNMP. MRTG permet de grapher l’utilisation des interfaces locales de la machine et de suivre l’utilisation des interfaces d’autres machines (en réseau par ex), puis le load average des systèmes.

Pour fonctionner, MRTG à besoin de :

- Modules Perl, - GCC, - GD, librairie Perl permettant de faire des dessins, - Libpng, librairie utilisée par GD pour générer des graphes au format ouvert,

MRTG n’est qu’un script Perl, il ne se compile donc pas.

Les graphes MRTG sont visualisés depuis l’INTRANET DRT, ils sont réactualisés toutes les 5 minutes.

27

Supervision du Réseau ANPE , « Grapher » générés par MRTG

30

4. Métrologie et flux L'ANPE dispose d’une infrastructure réseau nationale permettant la connexion de ses multiples utilisateurs (agents, partenaires, Internautes) aux applications centrales hébergées sur le site de Noisiel (CTIN). Le protocole réseau utilisé par l’ensemble des applications est TCP/IP. Le CTIN concentre la quasi totalité des flux réseaux que l’on peut classer en 4 catégories : - Les flux en provenance des sites connectés au réseau interne de L’ANPE (Intranet) ; - Les flux en provenance des sites extérieurs à l’ANPE (Extranet et VPN) ; - Les flux en provenance du MAN de Marne la Vallée; - Les Internautes (Grand Public). Le logiciel Application Vantage permet la réalisation de tests unitaires, aide à la résolution de dysfonctionnement et permet de constituer un référentiel de flux. Application Vantage est un package logiciel constitué de 3 composants principaux : Vantage Agent L’agent « Vantage » est l’élément de base d’Application Vantage. Il capture le trafic applicatif du client à travers le réseau. Les traces qu’il enregistre sont compressées et cryptées. Vantage Agent Manager Ce module permet de déclarer et de gérer les agents dans le système (ajouter/retirer des utilisateurs, tester s’ils sont joignables…). Il est accessible directement à partir de l’interface utilisateur d’Application Vantage. L’interface utilisateur d’Application Vantage est la composante centrale du produit. Elle permet de définir les applications et les transactions associées que l’on souhaite capturer. Au moment de la capture, ces traces peuvent être filtrées et prises de différents points du réseau en fonction des agents déployés. Lors de la consolidation des informations, les captures de chaque agent peuvent être vues séparément et/ou être fusionnées (les translations d’adresse sont détectées et prises en compte). Un ensemble de vues graphiques et de données tabulées permet de documenter les résultats issus des analyses de ces trames capturées, mais aussi d’aider à déterminer d’où viennent les éventuelles défaillances liées aux applications (problème réseau, problème purement applicatif…). Tous ces composants peuvent être distribués dans le réseau.

31

On obtient l'architecture suivante : Sélection des agents distants Lors de l’ouverture d’Agent Manager à partir de l’interface Vantage, on obtient l’écran ci-dessous. A partir de cet écran, on peut chercher les agents sur le réseau et les sélectionner. Au moment de la sélection, un nom d’utilisateur et un mot de passe sera demandé.

Capture d’une trace Sélection des agents de capture Lors de la capture d’une trace, on sélectionne les agents de capture dans la liste offerte par Vantage Agent Manager.

Serveur ou Utilisateur

Vantage Agent

- Capture - Compresse - Crypte

Application Vantage Vantage Agent Manager

Vantage Agent

- Capture - Compresse - Crypte

WAN

Serveur Web

Fusion automatique après capture

Agents sélectionnés pour la capture

Agent sélectionné

32

Définition de filtres Ensuite, des filtres peuvent être définis sur les adresses MAC, IP ou IPX des machines qui font l’objet de la capture, ou sur des sockets IP ou IPX. Fusion de deux traces Après avoir capturer des traces à partir d’agents positionnés côté client et serveur, Application Vantage permet de fusionner ces traces 2 à 2. Ces traces peuvent aussi bien être des traces Vantage, ou des traces de type Sniffer, Distributed Sniffer, HP, Netscout, Net X-Ray, Observer, etc…

Trace côté « client »

Trace côté « serveur »

33

Démarche suivie Application Vantage est un outil conçu pour aider à l’identification et la résolution de problèmes de performances des applications dans un environnement de production. Il permet en particulier de faire la part de ce qui revient au réseau et à l’application. A.V. peut décoder les flux suivants :

• Oracle 7.3 and 8i (NET8) • Sybase w/TDS 4.0 and 5.0 • Informix SQLI v7 • Microsoft SQL Server 6.5 and 7 • DB2/400 • Java (using HTTP) • Microsoft Networking (SMB) • NTTP • SMTP • POP3 • Generic SQL, Novell NCP, NFSv2

Il est théoriquement possible avec Application Vantage d’identifier rapidement la cause du ralentissement d’une application du point de vue de l’utilisateur (poste de travail, application). Réponse aux questions: Quelle est la cause des mauvaises performances ? Que doit-on changer pour améliorer les temps de réponse ? Quels appels applicatifs, requêtes de bases de données, prennent trop de temps ? Quelles performances les utilisateurs expérimentent-t-ils ? Vue unifiée du réseau, des applications et du comportement du système Analyse des threads applicatives et bounce diagram Timing de séquences de chaque composant d’une application Possibilité d’examiner des traces en mélangeant des traces deux à deux, très important pour déterminer où se trouve le goulet d’étranglement. Les informations collectées par les agents Vantage sont visualisées au moyen de l’interface utilisateur d’Application Vantage. Vues et tableaux extraits des traces Conversation Map La carte des conversations (conversation MAP) est une représentation graphique des échanges de données entre les différentes machines mises en œuvre. Les nœuds sont des points à la périphérie d’un cercle, et sont reliés entre eux par des fils bleus dont l’épaisseur varie selon les volumes de données échangées. Le volume est inscrit sur le graphe, le long des fils, pas toujours de façon lisible (consulter de préférence le tableau).

34

La croix rouge symbolise les erreurs qui sont survenues ; leur nombre figure devant la croix.

La table des conversations peut être visualisée sous forme de graphique ou de table et comporte les informations suivantes :

• Noeud1 <<>> Nœud2

• Nombre de bytes échangés dans un sens et dans l’autre

• Nombre de bytes utiles ( Payload ) échangés dans un sens et dans l’autre

• Nombre de trames échangés dans un sens et dans l’autre

• Nombre de tours applicatifs

• Nombre d’erreurs

• Nombre de Warnings

35

Bounce Diagramm Visualisation sous forme de flèches des échanges réalisés entre les stations.

Ces échanges sont horodatés à partir du début de la capture, les temps d’attente de début et de fin peuvent être supprimés.

De cette vue il est possible d’obtenir le détail de chacune des trames enregistrées.

36

Thread Analysis Visualisation sous forme de table et de graphique de tous les threads d’une transaction, cette vue permet de visualiser rapidement l’enchaînement ou le parallélisme des transactions. Il est possible de visualiser les données du client vers le serveur et du serveur vers le client. A partir de cette vue, il est possible de forcer le décodage de protocoles applicatifs qui auraient été uniquement décodés en tant qu’échanges TCP. Il est également possible d’obtenir le détail de chacune des trames enregistrées De nombreuses données d’analyse sont présentes dans cette vue. Vue principale La partie supérieure fournit toutes les données concernant chaque thread. La partie centrale visualise les datas sous différentes formes : binaire, header et données interprétées quand cela est possible.

Thread Analysis ( suite ) Complément de la vue principale : détail des trames

37

Error Analysis Table horodatée répertoriant toutes les erreurs observées lors des échanges.

Packet Trace Visualisation des trames échangées.

Accès au détail des trame en double cliquant sur une des cellules de cette table

38

Node Processing Details Table horodatée répertoriant toutes les transactions classées par protocole applicatif et durée

Performance Overview

39

CNS Breakdown

Network Utilisation and Transit Time Affichage sous forme de graphiques des débits observés et des temps de transaction. Affichages disponibles à partir des différents onglets : Local -> Remote et Remote -> Local

40

Tracer des packets IP avec Tcpdump et Ethereal (Sniffers) En voici donc les options et les différentes possibilités. TCPDUMP La commande "tcpdump" permet d'afficher les packets, mais pas leur contenu, il fonctionne en ligne de commande. exemple : tcpdump -i eth0 not port 22 tcpdump -i eth0 port 20 or port 21 tcpdump -i eth0 port 20 and host 10.10.10.2 Format de la commande : tcpdump [option(s)] [condition(s)]

Option Détail Exemple -i Affiche les packets pour une interface spécifique tcpdump -i eth-s1p1 -x Mode "Verbose Hexa" : contenu des packets en Hexadecimal tcpdump -i eth-s1p1 -x -X Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII tcpdump -i eth-s1p1 -X -v Mode "Verbose light" tcpdump -i eth-s1p1 -v -vv Mode "Verbose medium" tcpdump -i eth-s1p1 -vv -vvv Mode "Verbose Full" tcpdump -i eth-s1p1 -vvv -w Enregistre la sortie de TCPDUMP dans le fichier passé en paramètre tcpdump -i eth-s1p1 -w

trc20040427.dump -r Affiche le contenu d'un fichier créé avec tcpdump -w tcpdump -r

trc20040427.dump Exemples divers Comment tracer les flux ftp venant de l'IP xxx.xxx.xxx.xxx tcpdump port 21 and host xxx.xxx.xxx.xxx Comment tracer les flux telnet venant des IP xxx.xxx.xxx.xxx. et xxx.xxx.xxx.xxx tcpdump -i eth-s1p1 port 23 and host xxx.xxx.xxx.xxx or host xxx.xxx.xxx.xxx Afficher un maximum d'informations sur les flux ftp. tcpdump -i eth-s1p1 -vvv -X port 21

41

ETHEREAL Ethereal est un analyseur multi-plateforme de (+ de 350) protocoles réseau. Il permet d’examiner les données qui transitent sur votre réseau ou capturées dans un fichier sur un disque. Vous pouvez donc voir le contenu de vos paquets en direct et en détail... comme un "sniffeur". Les fonctionnalités que l’on a remarqué sont l’interface de création des filtres et la possibilité de reconstituer une session TCP (pour régler ses problèmes avec son serveur web ou mail, par exemple). A noter, le nombre impressionnant de ports du logiciel qui comblera les administrateurs de parcs multi-plateforme. Note : La capture "live" des trames nécessite l’installation préalable de WinPCap (libre sous licence BSD). Donc, dès que vous avez besoin d'analyser une trace IP (packets, trame...), utilisez Ethereal...

5. Administration réseaux / Divers Mes interventions en situation : - Effectuer des connexions en salle machine (câbles RJ 45 sur SWITCH AVAYA CAJUN P330 )

Attribution de port sur pour unVLAN donné Intervention sur Routeur AVAYA De: ASUR Prod [[email protected]] Envoyé: lundi 13 décembre 2004 16:28 À: [email protected] Objet: Incident réseau numéro: I718725 ServiceCenter Operator: DRT.Support

42

Vous êtes destinataire du dossier numéro : I718725 Contenu du champ description : Dans le cadre de l'intégration de 2 firewalls, nous voudrions avoir deux ports configurés sur Cajun-1 et Cajun-2 - 1 port dans le réseau 15.0.145.0/24 sur Cajun-1 (salle Paris) (Destination : interface d'admin du firewall Porter) - 1 port dans le réseau 15.0.145.0/24 sur Cajun-2 (salle Marseille) (Destination : interface d'admin du firewall Mack) PROCEDURE 1 port dans le réseau 15.0.145.0/24 sur Cajun-2 (salle Marseille) (Destination : interface d'admin du firewall Mack)

• Accèder à la console de management Cajun Switch Management • Fenêtre Général Information (Avaya Cajun Switch Agent v5.4.2) • Fenêtre Module Information, le module 12 dispose de ports libres (port 10 libre) • Fenêtre Switch Port, vérifier si le port est libre et l’affecter au VLAN adm_rt

Je vérifie en salle machine les ports libres, je constate que le port 10 sur le module 12 est bien libre.

• Fenêtre Switch Ports

Le port 12/10 est libre, il est affecté au VLAN adm_rt. Pour affecter le Port 10 il faut cliquer sur le lien.

43

• Fenêtre Detailed Physical Port Configuration - Port 12.10

Modifier cette fenêtre selon les préconisations réseau et lui donner un nom « MACK », puis valider les modifications en cliquant sur

44

• Fenêtre Physical Port Configuration - Module 12

On peut ainsi vérifier que la modification est bien effective

• Fenêtre Configuration File Management

Pour CAJUN1 nous avons pris le module 12 et le port 10 qui était disponible de façon à avoir une configuration identique (Ce qui n’est pas toujours le cas).

Pour sauvegarder la modification dans la fichier de config cliquer sur le lien Configuration <Configuration Files > < File Management >. Cliquer ensuite sur le bouton

45

- Vérifier des ports sur SWITCH AVAYA CAJUN depuis la console de Management Avaya - Intervenir sur le Firewall ARAGON en salle machine (déconnexion des fibres)

- Affectation de ports sur Vlans (encadré par un administrateur)

- Intervenir chez utilisateur pour un problème de négociation de carte réseau, problème identifié se révélant

être un défaut dans la prise murale. - Modifier un nom d’un port mal renseigné sur un switch AVAYA.

- Identifier les problèmes depuis l’Espace Client France Télécom et suivre les dossiers.

- Capturer des trames sur un port (mirroring, sniffer Ethereal)

- Créer des noms DNS (demande PROD-GEODE) sur serveur DNS Principal BELZEBUTH

Ajout et suppression de DNS sur des adresses IP communiqués par la PROD 1) vérifier que le nom de la machine n'existe pas déjà ainsi que son reverse dans une session DOS nslookup xxx.anpe.fr 2) se connecter en ssh (Putty) à Belzebuth 3) exécuter la commande "nsupdate -d" Commande : >nsupdate –d Suppression de noms DNS du ficher named.conf avec la commande Update Nom DNS pour IP adresse 192.168.xx.x >update delete 192.168.60.5.in-addr-arpa. IN PTR ovarq.anpe.fr. Zone inversée DNS pour IP adresse 192.168xx.x > update delete x.xxx.60.192.in-addr-arpa. IN PTR ovarq.anpe.fr. Ajouts de noms DNS dans le ficher named.conf >update add ovarq.anpe.fr.in-addr-arpa. 86400 IN 192.168xx.xx Ajouts de la zone inversée >update add xx.xx.168.192.in-addr-arpa. 86400 IN PTR ovarq.anpe.fr. Vérifier la résolution de nom pour l’adresse 192.168.xx.xx depuis une fenêtre Dos >nslookup ovarq.anpe.fr

46

- Ajoute de règles dans le FIREWALL avec CHECK POINT SmartDashboard

Objet de la demande : il faudrait ouvrir vers la machine xxx.xxx..xxx.xx lehar, les ports 0000,0000,0000 et 0000, à partir du poste 15.xx.xx.xxx

Saisir le password et cliquer sur OK

Faire un search de la machine lehar, pour vérifier si une règle existe pour cette machine

Il existe une règle en ligne 30 et 31 pour cette machine. En ligne 30 cellule SOURCE, faire un clic droit et ADD

47

Renseigner les champs Name, IP Address et modifier color puis OK.

En ligne 30 cellule SERVICE, faire un clic droit et ADD. Renseigner les champs Name, Port et modifier color Puis OK.

Faire une sauvegarde en modifiant le nom du fichier et quitter.

48

6. Schemas architectures

a. Architecture du réseau ANPE

Réseau FR DOMTRANSPAC

Réseau ATM/FR (Transpac)

Global Intranet(Transpac)

CISI

MAILLE-NORD

ALE

Bornes

Portables DG/DRA

CENTRAL2

GALILEE

DRA /CRDC

2 *2 Mb/s

DDA DOM

ALEDOM

128 Kb/s

2 * 512 Kb/s

512 Kb/s128 Kb/s

10 Mb/s

10 Mb/s

10 Mb/s

10Mb/s

PCLA

PPP

2 Mb/s

CTI NOISIEL

Serveurs Publics(www.anpe.fr, Isa,

Gescand...)Applis internes( SAGE, AGIR,

OASIS..)Accès internetMessagerie...

(échanges InternetIntranet)

MAN "Marne laVallée" Piazza

128 Kb/s

2 * 512 Kb/s

ANPE/DSI/Département Réseaux et Télécoms/ Service ASR maj 15/09/2003

Lien OPERATEUR

Lien OPERATEUR

Lien OPERATEUR

RTC

RNIS

ADSL

liaisons satellites en secours ,Liens nominaux via câbles

intercontinentaux sous-marin

Firewall

Transrel 2Mb/s

Transrel 2Mb/s

MICHEL-ANGE

2 * 34 Mb/s

2 * 12 Mb/ssur 34 Mb/s disponible

Internet

2 * 32Mb/ssur 45 Mb/s disponible

Firewall

49

b. Plate-forme Internet Noisiel

50

7. Description des technologies déployées dans ce réseau ADSL : Asymetric Digital Subscriber Line Ligne d'abonné numérique à débit asymétrique.

Technologie permettant de transporter des données numériques sur une ligne téléphonique classique et d'atteindre des débits de plusieurs centaines de Kbit/s. Les données sont transportées en employant un signal à fréquence très élevée. Ce signal ne vient pas empiéter sur les fréquences utilisées pour transmettre la voix et laisse la ligne téléphonique libre pour un appel en même temps que le transfert de données. Les débits sont dits asymétriques, parce qu'il n'y a pas d'équivalence entre la vitesse de la transmission réseau/abonné et celle de la transmission abonné/réseau.

FRAME RELAY : (Relais de trames) Aménagement du protocole de réseau à commutation de paquets X.25 visant à augmenter au maximum le débit sur ces réseaux

La commutation de paquets est une technique pour la transmission de données sur un réseau . Le protocole X.25, de l' UIT-T , a normalisé les différents aspects de cette technique et a servi à bâtir le premier réseau français spécialisé dans la transmission de données, Transpac. Il offre un débit allant jusqu'à 2 Mbit/s. Ce débit est peu élevé au regard des applications de ces dernières années, notamment parce que les contrôles d'erreur et de flux sont très rigoureux avec X.25 et font baisser le débit effectif. Le relais de trames (frame relay) a permis de pousser ces débits jusqu'à 45 Mbit/s en plaçant les paquets X.25 dans des trames et en réduisant le nombre de contrôles, la qualité des liaisons étant supposée suffisante pour que cela n'entraîne pas trop de demandes de renvoi de paquets. Cette technologie est désormais dépassée par la technologie ATM.

SDSL : Symetric Digital Subscriber Line Ligne d'abonné numérique à débit symétrique.

Technologie de transmission permettant d'atteindre des débits compris entre 144 Kbit/s et 1,5 Mbit/s. Les échanges s'effectuent sur une paire de cuivre mais ne peuvent avoir lieu en même temps qu'un appel téléphonique. SDSL est réservée aux transmissions sur de courtes distances où les échanges doivent avoir lieu à la même vitesse dans les deux sens.

LL : Liaison Louée

La liaison louée est une liaison permanente de télécommunication utilisant le réseau public. Elle permet de connecter 2 sites géographiquement distants afin d’échanger des données. C’est le cas, par exemple, des entreprises multi-sites telles que l’ANPE qui connectent le siège à leurs agences.

MPLS :Multi-Protocol Label Switching MPLS associe la flexibilité de la communication offerte sur le RTPC (réseau Téléphonique Public Commuté) ou Internet à la fiabilité, la qualité et la sécurité des services fournis sur ligne privée, Frame Relay ou ATM. Cette technologie permet de construire sur un réseau un chemin balisé entre un point de départ et une destination. Elle se fonde sur l’étiquetage par « label » de chaque paquet qui entre dans un réseau et qui va progresser le long du chemin, appelé « LSP » (Label Switched Path : chemin commuté par étiquette), par commutation des labels. Cette technique, appelée « tagging ».

VPN : Virtual Private Network

Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l'utilisateur de créer un chemin virtuel sécurisé entre une source et une destination. Grâce à un principe de tunnel (tunnelling) dont chaque extrémité est identifiée, les données transitent après avoir été chiffrées. Un des grands intérêts des VPN est de réaliser des réseaux privés à moindre coût. Les principaux protocoles permettant de faire du « tunneling » sont les suivants :

• PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

51

• L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète.

• L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. PROTOCLE OSPF : Open Shortest Path First (RFC 2328) Ce protocole est plus performant que RIP et commence donc à le remplacer petit à petit. Il s'agit d'un protocole de type protocole route-link (Protocole d'état des liens), cela signifie que, contrairement à RIP, ce protocole n'envoie pas aux routeurs adjacents le nombre de sauts qui les sépare, mais l'état de la liaison qui les sépare. De cette façon, chaque routeur est capable de dresser une carte de l'état du réseau et peut par conséquent choisir à tout moment la route la plus appropriée pour un message donné. De plus, ce protocole évite aux routeurs intermédiaires d'avoir à incrémenter le nombre de sauts, ce qui se traduit par une information beaucoup moins abondante, donc d'avoir une meilleure bande passante utile qu'avec RIP. Ce protocole de routage interne est utilisé entre les switchs et les routeurs du réseau déployé. Il permet notamment de calculer le plus court chemin à emprunter, ce qui représente un gain de temps dans les transmissions ; il permet aussi, lorsque l’on possède des liens redondants, de router vers un autre chemin si le principal cède. LAG (802.3ad) : Link Aggregation Groups (trunking) Agrégation de liens Les modèles de switch/routeur de l’ANPE, AVAYA P333T et P333R, dispose d’un réseau de commutation à quatre Gbps, de 24 ports 10/100 et d’un support LAG allant jusqu’à huit ports 10/100, deux ports 100 Base-FX ou deux ports Gigabit Ethernet ; Le LAG a deux principaux avantages : - Etablir des liens hauts débits entre équipements : les switchs disposent de ports pouvant débiter jusqu’à 100

Mb/s ; en créant un LAG, c’est à dire un même matériel que l’on relie au moyen de deux câbles ou plus, on obtient alors une bande passante de 200 Mb/s (2 x 100 Mb/s).

- Impact : réduction des coûts inutiles dans des modules Gbits. Créer une redondance matérielle : si l’un des deux liens tombe, le second assure la connexion mais avec une bande passante qui correspond à celle d’un seul câble : 100 Mb/s.

52

Schéma de principe du LAG

Commandes à effectuer sur le switch AVAYA p330T pour activer le LAG dans le mode « config » : Set port channel 1/1 on nom_du_lag affectation du LAG à un port Set port channel 1/2 on nom_du_lag affectation du LAG à un port Commandes à effectuer sur le switch AVAYA p580T pour activer le LAG dans le mode « config » : Set huntgroup nom_lag load sharing enable activation d’un LAG Set port huntgroup 2/1 nom_lag affectation du LAG à un port Set port huntgroup 2/2 nom_lag affectation du LAG à un port

53

Le Tagging Le trunking, plus communément appelé « tagging », permet d’acheminer du trafic provenant de différents VLANs sur une liaison point à point entre deux éléments actifs du réseau : les paquets sont marqués afin d’être reconnu par leur destinataire : ici on peut remarquer trois VLANs différents représentés par les couleurs verte, rouge et bleue.

Commandes à effectuer sur le switch AVAYA p330T pour activer le tagging dans le mode « config ». On considère que les VLANs sont déjà définis dans la configuration. Set trunk 1/1 dot1q activation du tagging Set port vlan-binding-mode 1/1 bind-to-configured définition du port «porteur» Commandes à effectuer sur le switch AVAYA p580 pour activer le tagging dans le mode « config » : Set port trunking-format 1/1 ieee-8021q tagging sur le port 1/1 indique le chemin des paquets à destination des VLANs 1, 2 et 3

54

Le protocole VRRP (RFC 2338) VRRP : Virtual Router Redundancy Protocol Ce protocole permet à plusieurs routeurs (256 au maximum) sur un même réseau local de se secourir mutuellement. Si ce dernier tombe en panne, les autres prennent le relais. Ce protocole fonctionne sous un principe « maître-esclave » Par exemple, si l’on utilise ce protocole avec deux routeurs : Les deux machines partagent une même adresse IP virtuelle et également une même adresse MAC. Plus précisément, seul le routeur actif possède ses adresses. L’adresse MAC appelée « VRID », peut être configurée manuellement et est commune aux deux machines. Grâce à ce protocole, un routeur peut secourir plusieurs routeurs à la fois. A un instant donné, seule une machine répond à l’adresse IP virtuelle et à l’adresse MAC (c’est le maître), l’autre restant en sommeil (c’est l’esclave ou backup). La machine active émet toutes les secondes un « datagramme multicast » pour indiquer à l’autre qu’elle est toujours vivante :

Lorsque la machine active défaille, les paquets multicast ne sont plus émis : La seconde machine qui était en sommeil va alors détecter l’absence des paquets VRRP et s’approprie alors à son tour l’adresse IP virtuelle et l’adresse MAC. Un paquet ARP est alors envoyé pour forcer les machines du réseau local à faire une mise à jour de leur table ARP : ceci permet aux machines du réseau local de continuer à pouvoir dialoguer avec le routeur 2 ( 10.0.10.2 ). La nouvelle machine active émet ensuite, à son tour les paquets VVRP multicast.

Une spécification de VRRP stipule que la reprise, en cas de défaillance, se fait en moins de quatre secondes.

55

VII. Conclusion Ce stage m’a permis d’être au cœur d’un département stratégique : le DRT. Au cours de cette période j’ai pu appréhender les difficultés à superviser, administrer et maintenir un réseau à la pointe des nouvelles technologies. J'ai été confronté à des mises en situation qui demandaient une très grande réactivité et une réflexion pour déterminer l’impact provoqué par des incidents critiques, majeurs et mineurs. L’équipe Support niveau 3 m’a permis de me familiariser avec les outils indispensables à la supervision et l’administration réseau (Proxy, Firewall, routeurs, switchs, outils, procédures, services client, Help Desk, consoles de management,…) et d’acquérir de nouvelles connaissances tant au niveau technique qu’au niveau organisationnel Cette expérience me conforte dans ma réflexion à me diriger vers l’ administration réseau et du parcours qu’il me reste à effectuer pour m’ approprier le savoir. Je garderai de mon passage à la DRT un très bon souvenir d’un point de vue technique et relationnel au sein d’une équipe compétente et disponible que je tiens encore à remercier.

56

Glossaire Administrer : Partie active de l’administration. Anomalie : Ecart, déviation, dysfonctionnement constaté pour un système en fonctionnement ou un résultat produit par rapport à ce qui est prévu. CISI (Centre Interrégional de Services Informatique) : Centres informatiques régionaux. Ces centres sont rattachés au CTIN par l'intermédiaire de liaison frame-relay (réseau FR.F8). Correction : Action visant à éliminer une non-conformité. CTIN (Centre de Traitement de l'Informatique National) : Centre informatique de l'ANPE. C'est la porte d'entrée du SI de l'ANPE. Défaut : Non-satisfaction d’une exigence relative à une utilisation prévue ou spécifiée. Dérogation (avant production) : Autorisation de s’écarter des exigences spécifiées à l’origine pour un produit avant sa réalisation. Hub : Un hub est une sorte de "prise multiple" pour les connections inter-equipement. Un hub contient un nombre certains d'interfaces (4, 8, 16, 20, ...) sur lesquelles on branche des équipements pour y accéder en général en TCP (telnet, ftp, http...). Le principe du hub est d'envoyer sur chaque interface toutes les informations qui arrivent, sans filtre ni aucun autre test. La majorité des hubs sont équipés d'un port qui peut être inversé dans le cas ou l'on doit brancher un câble droit, alors qu'il faudrait un câble croisé. Les hubs sont également utilisés pour dupliquer des prises, tels que les hubs USB pour brancher plusieurs périphériques USB (par exemple un modem, une souris, une webcam et un scanner). Interface : Une interface est le nom donnée aux prises réseau. Sur une interface, on peut mettre une adresse IP physique, et en général configurée également, si nécessaire, des adresses IP virtuelle. Ainsi, une machine peut répondre sur plusieurs adresses IP différentes, alors qu'il ne s'agit que d'un seul et unique branchement physique, que d'une seule interface. Logigramme : Représentation symbolique usuellement utilisée pour illustrer le flux des actions d’une procédure. Non conformité : Non satisfaction d’une exigence. Procédure : (D’après la définition de la Norme ISO 8402) “Manière spécifiée d’accomplir une activité : CE qui doit être fait et QUI doit le faire ; QUAND, OU et COMMENT Cela doit être fait et COMMENT cela doit être enregistré”. Processus : Ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie. Produit : Résultat de la réalisation d’un processus. RLQ (Responsable Local Qualité) : Responsable de l’application dans leur entité de la politique qualité de la RQ (Responsable Qualité) : Responsable de la qualité à de la DSI. DSI, en accord avec sa hiérarchie. Routeur : Un routeur permet de définir une route pour une connexion grâce à la table de routage. La comparaison peut donc se faire avec un trajet en voiture. Si vous voulez aller de Rennes à Paris, entre les 2, vous suivrez toujours le panneau Paris, même si vous êtes passé par Laval et Le Mans. Le routeur correspond en fait au panneau indicateur qui se trouverait au Mans. Ce panneau dit : vous venez de Rennes, vous voulez aller à Paris, voilà par où aller. La table de routage est un ensemble d'adresse IP et de destination (en général, la commande "netstat -nr" permet de consulter cette table). Service : Ensemble de produits pour répondre à une exigence formulée. La première catégorie générique de produits correspond aux services (par exemple transport de l’information). Surveiller : Supervision passive de l’administration. Switch : Un switch est un hub amélioré, c'est à dire qu'au lieu d'envoyer les flux à travers toutes les interfaces, il ne l'envoi qu'à l'interface destination. Donc, un Switch sur lequel 5 serveurs seraient connectés, si l'un décide de communiquer avec un autre, la communication ne se fera qu'entre les 2, sinon, tous les serveurs auraient reçu la demande de connexion. Le Switch peut également limiter des connexions en interdisant des connexions entre 2 machines. Par exemple, si vous essayer d'accéder à un serveur, il va d'abord vérifier si votre adresse source à le droit d'y accéder. C'est ce qu'on appelle des ACL et pour une plage d'adresse, elle va vous diriger vers un autre routeur jusqu'à ce que vous arriviez à destination. Comme le switch, le routeur peut limiter des connexions en interdisant des communications entre 2 machines. C'est toujours ce qu'on appelle des ACL.

rapport de stage - dj.hicham.free.frdj.hicham.free.fr/rapport de...

Documents