|
|
|||||
|
|
||||
| ||||||||||||
|
Chapitre IV
Mise
en place de la plate- forme :
Niveau Club
La première des tâches à réaliser au niveau de la plate-forme était l’installation et la configuration des différentes maisons des jeunes(clubs) et leur interconnexion au Backbone nationale pour faire profiter ainsi les jeunes d’une connexion enrichissante à l’autoroute de l’information. Les clubs sont au nombre de 84 dont 36 seront munis d’une liaison spécialisé (LS), le reste seront connectés par une liaison téléphonique (RTC). Ce chapitre décortique les choix qui ont été pris au niveau de l’architecture du réseau pour les deux types de réseaux, pour différencier par la suite les deux cas (LS et RTC) au niveau de la configuration et de l’installation des différents composants. 1
Choix de la Plate-forme
1.1
Problématique
Un réseau local performant doit être basé sur un modèle client-serveur; les machines utilisées par les jeunes sont les clients qui vont être connectés à l’Internet en toute sécurité à travers le serveur qui sera configuré par la suite. Tel est la problématique à ce niveau. Pou arriver à ces fins, il faut au préalable assurer la configuration d’ un réseau local de type Ethernet. Le câblage va relier les cartes réseaux de chaque machine à un répartiteur (Hub). Ce dernier sera lui-même relié au serveur soit à travers une ligne spécialisée soit à travers le réseau téléphonique commuté. Afin d'assurer un maximum de compatibilité avec tous les systèmes d'exploitation et toutes les ressources, le réseau utilisera le protocole de communication TCP/IP qui est celui utilisé sur Internet.
1.2
Choix du réseau Local
Le type de réseau qui a été adopté pour les deux cas LS et RTC est le réseau Ethernet qui est une technologie très utilisée puisque le prix de revient d'un tel réseau n'est pas très élevé.
1.2.1
Présentation d’Ethernet
Ethernet, aussi connu sous le nom de norme IEEE 802.3, est une technologie de réseau local où toutes les machines du réseau sont connectées à une même ligne de communication, constituée de câbles cylindriques. On distingue différentes variantes de technologies Ethernet suivant le diamètre des câbles utilisés: - 10Base-2: Le câble utilisé est un câble coaxial de faible diamètre. - 10Base-5: Le câble utilisé est un câble coaxial de gros diamètre. - 10Base-T: Le câble utilisé est une paire torsadée, le débit atteint est d'environ 10Mbps. - 100Base-TX: Comme 10Base-T mais avec une vitesse de transmission beaucoup plus importante (100Mbps) . Tous les ordinateurs d'un réseau Ethernet sont reliés à une même ligne de transmission, et la communication se fait à l'aide d'un protocole appelé CSMA/CD (Carrier Sense Multiple Access with Collision Detection) ce qui signifie qu'il s'agit d'un protocole d'accès multiple avec surveillance de porteuse (Carrier Sense) et détection de collision [2].
1.2.2
Solution technique adoptée
Dans une topologie de câblage en bus, lorsqu’une source émettrice ou l’interface Ethernet d’une station se met à dysfonctionner, il y a propagation de la perturbation sur l’ensemble du câble et donc dysfonctionnement général. La cause peut être aussi bien un problème de liaison électrique au niveau de l’attachement vampire, que le non respect de la norme par les fournisseurs d’équipement Ethernet. Cette anomalie est très difficile à détecter car il n’existe pas de mécanisme permettant de fournir des informations sur la localisation de la panne. Ainsi pour identifier la source de la panne, il est nécessaire de déconnecter une par une toutes les stations se trouvant sur le bus jusqu’à la disparition du problème. Pour ces différents raisons, nous ne souhaitons pas utiliser une structure de réseau en bus. Nous avons donc choisi la technologie «100 base T» qui est adaptée à nos besoins et qui a une topologie physique en étoile. L’électronique et le câble respectant les spécifications de la technologie «100 base T» permettent de transmettre sur 100 mètres des trames Ethernet à 100 Mb/s sur de la paire torsadée standard de catégorie 3. La topologie physique du réseau étant en étoile, il était nécessaire de relier les stations des maison de jeune à un ou plusieurs panneaux de brassage. L’appel d’offre au niveau club portait sur la réalisation de la «partie fixe» du câblage, c’est-à-dire le câble et les prises de raccordement de ce câble à chaque station et sur le panneau de brassage.
1.3
Choix des composants matériels
Le choix des composants matériels constituant le réseau local de maison de jeune dépend essentiellement d’une part du budget alloué à ce projet et d’autre part de la performance qu’on souhaite atteindre. Après la mise en place du réseau local ainsi que les tests des connecteurs reliés au répartiteur avec la coopération de la société S2I, chaque maison de jeune a été équipée de PC fournis par les sociétés MICROLUX et SAMI munis de cartes réseaux et du Windows ME comme système d’exploitation. Le choix de la plate-forme système d’exploitation a été guidé par le fait qu’on voulait faire profiter les jeunes des différentes nouveautés en matière de logiciels informatique existant sur le marché et qui n’ont pas pour le moment d’équivalents sous Linux. On envisage aussi d’installer Linux sur quelques postes conjointement avec Windows pour permettre aux jeunes de s’initier à ce système. Chaque réseau est équipé d’un poste jouant le rôle de serveur d’accès pour les autres clients et qui est muni du système Linux Red Hat 7.1. Ce serveur nécessite une configuration particulière pour permettre un accès fiable aux clients. La configuration sera vue par la suite de ce chapitre. 2
Solutions proposées
Pour des raisons budgétaires ce projet consiste donc en deux types de solutions; une solution utilisant une ligne spécialisée à 64 KBits/sec et qui va se trouver dans les maisons des jeunes se situant dans les centres des gouvernorats qui sont au nombre de 36 et une autre solution utilisant le Réseau Téléphonique Commuté qui vont concerner les clubs restants.
2.1
Solution LS
2.1.1
Architecture du réseau local
Une fois le câblage réalisé, tous les postes sont reliés au répartiteur (Hub) à travers le réseau Ethernet. Le modem qui représente l’extrémité de la ligne spécialisée est testé et il est attaché au routeur Cisco par un câble série. Tous les postes y compris le serveur et le routeur sont reliés entre eux par l’intermédiaire du hub (fig. 4.1).
fig.
4.1 - l’architecture du réseau local, cas LS. La configuration du serveur et du routeur va se baser sur des données qui vont dépendre de la ligne spécialisée attribuée à la maison de jeune. En effet, l’ATI a fourni un plan d’adressage (fig. 4.2) propre à chaque club.
fig.
4.2 - plan d’adressage fourni par l’ATI pour les maisons des jeunes. Ce plan contient : o L’adresse IP WAN non routable (deuxième colonne) qui va représenter l’extrémité de la ligne spécialisée du coté de la maison des jeunes. o Une plage d’adresses IP LAN routables (troisième colonne) sous forme d’une adresse de sous réseau correspondant au club, une adresse attribuée au routeur , une adresse pour le serveur et une adresse de diffusion. o
Le Mask du sous réseau qui est unique pour tous
les clubs.
2.1.2
Configuration du routeur
La configuration du routeur concerne essentiellement l’attribution des adresses aux différentes interfaces ainsi que le contrôle d’accès au niveau des «access-lists». En entrant dans la configuration en mode console en utilisant la commande «configure terminal», on peut manipuler les différentes interfaces du routeur. La commande «interface FastEthernet 0» nous permet d’entrer dans la configuration de l’interface «FastEthernet0» à qui on va attribuer une adresse LAN routable avec la commande «ip address» qui va prendre comme paramètre l’adresse IP LAN suivi du masque du sous réseau. Exemple:
ip address FastEthernet 0 213.150.165.113 255.255.255.252. La deuxième étape concerne la configuration de l’interface «serial0» à qui on va attribuer une adresse WAN non routable qui va représenter l’extrémité de la ligne spécialisée du coté de la maison des jeunes (voir fig. 4.3).
fig.
4.3 – Les deux interfaces du routeur après leurs configurations. Une fois les interfaces sont configurées, on passe à la configuration des «access-list» à l’aide de la commande «access-list» suivi d’un numéro puis l’action que ce soit «permit» ou «deny» suivi de l’adresse qu’on veut accepter ou bien le refuser(voir Annexe A).
2.1.3
Configuration du serveur
Les services les plus importants que va offrir le serveur Linux sont essentiellement les services DHCP et Proxy/Firewall.
2.1.3.1
Serveur DHCP
Ø
Etude du service dhcp DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement, sans intervention particulière, sa configuration réseau. C’est le serveur DHCP qui distribue des adresses IP. Il va servir de base pour toutes les requêtes DHCP, aussi il doit avoir une adresse IP fixe. Dans un réseau, on peut donc n'avoir qu'une seule machine avec adresse IP fixe qui est le serveur. Le mécanisme de base de la communication est BOOTP (avec trame UDP). Quand une machine démarre, elle n'a aucune information sur sa configuration réseau, et surtout, l'utilisateur ne doit rien faire de particulier pour trouver une adresse IP. Pour faire ça, la technique utilisée est le broadcast; en effet pour trouver et dialoguer avec un serveur DHCP, la machine va simplement émettre un paquet spécial de broadcast (broadcast sur 255.255.255.255 avec d'autres informations comme le type de requête, les ports de connexion...) sur le réseau local. Lorsque le serveur DHCP recevra le paquet de broadcast, il renverra un autre paquet de broadcast contenant toutes les informations requises pour le client. Ø
Mise en place La configuration du service DHCP va nécessiter le package DHCP server qui ne se trouve pas dans la distribution RedHat 7.1 mais qui est téléchargeable sous le nom de dhcp-2.0pl5-4.i386.rpm. Une fois DHCP server installé, on a besoin d’une autre carte réseau qui va représenter une interface avec le réseau local. Pour des raisons budgétaires, cette carte sera virtuelle. La création de cette carte virtuelle se fait par l’ajout d’un autre fichier de configuration d’adresse IP sous le répertoire /etc/sysconfig/network-scripts nommé ifcfg-eth0:0 (fig. 4.4) . Ce fichier va contenir toutes les informations nécessaires concernant cette carte notamment l’adresse IP virtuelle qui est 192.168.0.254, l’adresse du réseau 192.168.0.0, l’adresse de diffusion 192.168.0.255 et l’adresse de la passerelle par défaut de ce réseau privé qui sera 192.168.0.254.
fig.
4.4 – le fichier de configuration de la carte virtuelle. Suite à cette étape une ligne sera ajoutée à la table de routage qui va indiquer que toute demande provenant du réseau 192.168.0.0 vers une destination default va passer par la passerelle 192.168.0.254 avec une métrique égale à 1. Après l’ajout de l’adresse virtuelle, il faut créer le fichier dhcpd.conf (fig. 4.5) qui va contenir toutes les informations de configuration du DHCP notamment le sous réseau qui est 192.168.0.0, la plage d'adresses disponibles pour les clients, l’adresse de la passerelle par défaut des clients, le nom du domaine, l’adresse du DNS, ainsi que la durée par défaut et la durée maximale du bail. Ces informations seront reçues par le client lorsqu’il cherche à obtenir une adresse IP.
fig.
4.5 – le fichier de configuration du dhcp. On a besoin aussi du fichier dhcp.leases qui va être ajouté dans le répertoire /var/lib/dhcp. Ce fichier se créé vide et va être modifié au fur et à mesure de chaque inscription d’un nouveau client en ajoutant à chaque fois un bloc contenant des informations sur ce client notamment la date de début et de fin du bail, l’adresse MAC du client, le nom d’hôte qui est différent du nom Netbios utilisé sur les réseaux Microsoft. Une fois le serveur DHCP est configuré, il ne reste qu’à démarrer le processus dhcpd par la commande : service dhcpd start.
2.1.3.2
Serveur Proxy et Firewall
Pour la mise en place d’un Firewall et le partage de la connexion à l’Internet via la ligne spécialisée vers un réseau local, la solution qu’on a proposée est l’utilisation de IpTables. Ø
Etude du service IpTables IpTables est une solution complète de proxy et firewall (noyau 2.4) remplaçant Ipchains (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling stateful (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses comme le «Mangle» ou modification des paquets à la volée . IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin. IpTables contient 3 tables à travers lesquelles transitent les paquets. Une table Mangle, qui sert à altérer les paquets de manière spécialisée, elle contient les règles pour la modification de paquets et elle est peu utilisée et ne sera pas décrite dans la configuration du serveur, une table NAT, dont l'objectif est d'assurer le processus de translation d’adresse ainsi que du suivi de chaque nouvelle connexion qui la traverse et enfin une table filter, prévue pour filtrer les paquets. C'est la table par défaut lorsque l’on n’en spécifie pas, elle contient toutes les règles de filtrage. Il existe 3 types de chaînes ou de suite de règles; FORWARD pour les paquets passant par le firewall, INPUT pour les paquets entrant et OUTPUT pour les paquets sortants. Les cibles disponibles sont : ACCEPT, DENY, DROP, REJECT. Ø
Mise en place Avant la mise en place du serveur Proxy/Firewall, il faut activer le forwarding à travers un changement de la valeur logique de 0 à 1 de la variable net.ipv4.ip_forward dans le fichier /etc/sysctl.conf, ce qui va permettre de faire passer des paquets IP d'une interface réseau vers une autre. Le serveur accède à l’Internet par l’intermédiaire de l’interface
eth0 possédant une adresse routable. Il est chargé de partager cet accès
avec un réseau local relié par son interface virtuelle eth0:0 (fig.
4.6). La mise en place du serveur Proxy/Firewall
revient en fait à la configuration de IpTables.
fig. 4.6 – Schémas logique du fonctionnement du serveur, cas LS . IpTables n'est pas livré avec une interface graphique. Les commandes et les règles sont passées en ligne de commande. Afin de pouvoir translater les adresses et garantir ainsi le rôle primordial du serveur Proxy on va utiliser la table NAT. Cette table va assurer la translation d’adresses entre la carte virtuelle jouant le rôle d’une passerelle pour le réseau local et l’adresse fixe eth0 qui permet la connexion à l’Internet. Nous avons utilisé au niveau de la table NAT le target MASQUERADE qui permet au serveur de transformer les paquets sortants par la carte virtuelle donnant ainsi l’illusion qu’ils sortent de la passerelle elle-même par un port alloué dynamiquement. Lorsque le passerelle reçoit une réponse sur ce port, elle utilise la table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet. Cette tâche est appelée IP MASQUERADE. En effet, comme son nom l’indique, c’est un masquage d’adresses IP. Ce dernier consiste donc à transformer une adresse IP en une autre. C’est aussi ce que l’on appelle de la translation d’adresse IP. C’est la translation d’adresse qui permet de partager la ligne spécialisée pour connecter les postes clients à l’Internet. Ainsi la règle de masquage IP entre les deux cartes eth0 et eth0:0 est la suivante (fig. 4.7).
fig. 4.7 – La règle de masquage IP entre les deux cartes. Il
faut noter que la table FILTER est vide par défaut et donc accepte tout. Ainsi
les fonctionnalités du firewall sont réalisées par des règles utilisant
cette table. Afin de réaliser un Firewall qui soit efficace, la politique de sécurité
qu’on a choisit est de tout refuser par défaut et rajouter une a une les règles
que l'on autorise. La configuration du serveur peut être résumée en trois étapes essentielles qui seront simplifiées par l’organigramme suivant (fig. 4.8).
fig. 4.8 – Organigramme de configuration du serveur dans le cas de LS.
2.1.4
Configuration du poste client
La configuration du client n’est pas très compliquée vu la configuration du serveur qui permet le maximum de transparence au niveau du client. En effet, le serveur DHCP va permettre l’attribution des adresses d’une manière automatique à condition que le serveur soit en marche. Ainsi chaque client connecté au réseau va émettre un paquet de type DHCPDISCOVER de Broadcast sur le réseau Ethernet. Le serveur répond par un paquet DHCPOFFER, en particulier pour soumettre une adresse IP au client. Le client établit sa configuration, puis fait un DHCPREQUEST pour valider son adresse IP. Le serveur répond simplement par un DHCPACK avec l'adresse IP pour confirmation de l'attribution. Cette adresse doit se trouver dans la plage d’adresse 192.168.0.0-192.168.0.15. Le client reçoit aussi une indication sur la passerelle par défaut qui sera l’adresse virtuelle du serveur. Grâce à IpTables déjà configuré au niveau du serveur à partir de la règle de masquage IP entre eth0 et eth0:0, le client n’aura besoin que de l’adresse du serveur DNS (Domain Name Server) qui est 193.95.66.10. 2.2
Solution
RTC
2.2.1
Architecture du réseau local
Le câblage au niveau du réseau local dans les maisons des jeunes qui vont être connecté à l’Internet à travers le réseau téléphonique commuté est presque le même que celui dans le cas de LS, seulement cette fois-ci on ne va pas utiliser de routeur. Ainsi on aura, après l’installation du réseau Ethernet, des postes clients sous Windows équipé chacun d’une carte réseau qui va être reliée au répartiteur par l’intermédiaire des prises réseau. Le serveur est menu d’un modem qui va être relié à la ligne téléphonique ainsi que d’une carte réseau qui va permettre de partager la connexion avec les postes clients par la suite (fig. 4.9).
fig.
4.9 - l’architecture du réseau local, cas RTC.
2.2.2
Configuration du serveur
La configuration du serveur commence par l’installation de la carte modem ainsi que l’attribution d’une adresse privée 192.168.0.254 à la carte réseau qui va jouer le rôle d’un «Default Gateway» pour les postes clients du réseau local. Cette adresse est choisie unique pour tous les serveurs des maisons des jeunes (fig. 4.10).
fig. 4.10 - Schémas logique du fonctionnement du serveur, cas RTC. Il y a eu plusieurs méthodes de partage de connexion avec le réseau local. En effet dans le cas où le serveur est menu du système d’exploitation Linux la configuration du serveur Proxy est réalisée à l’aide du Squid. Squid est un Proxy cache permettant en plus du partage de l’Internet avec les clients, l’accélération des connections et le filtrage des requêtes. Le Proxy stocke toutes les pages qui transitent par son intermédiaire sur le disque dur où il est installé durant un délai paramétrable par l'administrateur. Le Squid est installé via son package rpm disponible dans la distribution du RedHat 7.1. Sa configuration est assurée essentiellement par le fichier Squid.conf à travers l’édition de ses différents paramètres. la figure 4.11 résume les étapes qui marquent le processus de configuration du Squid.
fig.
4.11 – les paramètres importants à éditer dans le fichier de
configuration dhcpd.conf.
Dans le cas où le serveur est menu du système d’exploitation Windows 2000 professionnel, on a proposé comme solution l’utilisation du logiciel Wingate 4.5.1 pro qui offre un utilitaire de configuration pour l’administrer qui est Wingate Gatekeeper. Ce choix se justifie par le professionnalisme de ce logiciel ainsi que par l’interface de configuration conviviale qu’il possède. Pour la configuration du service DHCP nous avons besoin de définir deux interfaces. La première représente la connexion d’accès à distance utilisant le modem. L’autre représente la carte réseau d’adresse IP 192.168.0.254 permettant la partage de la connexion entre les différents postes clients du réseau local. Il faux indiquer aussi que le service DHCP doit être chargé automatiquement dès le démarrage du serveur , puis préciser l’adresse de l’interface sur lequel les demandes de connexion des postes clients vont être acceptées, qui est 192.168.0.254 dans ce cas. Le service DHCP doit tourner en mode automatique permettant ainsi l’attribution automatique des paramètres réseau à savoir la passerelle par défaut et le serveur de résolution de nom(DNS). Après la configuration du service DHCP on aborde celle du Proxy Server et toujours à l’aide de Gatekeeper. On commence par choisir le port sur lequel les postes clients vont se connecter, toujours le service doit être chargé automatiquement. On va indiquer aussi que les demandes de connexion vont être acceptées seulement à travers l’interface 192.168.0.254. Nous devons par la suite préciser l’interface par lequel les connections sortantes doivent être acheminées, qui est celle correspondant au modem dans notre cas (fig. 4.12). On peut aussi contrôler les sessions des clients en leurs affectant un timeout qui sera levé après une certaine durée d’inactivité qu’on peut changer aussi.
fig.
4.12 – les deux interfaces qui vont être utilisés par
Wingate On peut configurer un firewall au niveau du serveur avec Gatekeeper en choisissant soit un niveau bas en autorisant les services de fonctionner sans tenir compte de celui ci, soit un niveau moyen en agissant sur l’accès à quelques services du serveur en refusant tous accès externe à quelques uns , soit un niveau élevé en refusant tout accès de l’extérieur.
2.2.3
Configuration des postes clients
Pour pouvoir partager la connexion Internet avec le serveur, le poste client doit premièrement obtenir une adresse IP dynamiquement en utilisant DHCP et ceci va exiger que le protocole TCP/IP soit inclus dans sa configuration réseau. Ce qui va permettre à chaque poste client d’obtenir grâce à ce service les paramètres réseau essentiels à chaque démarrage. Une fois que le processus d’obtention automatique d’adresse IP s’est bien passé, le poste client va avoir une adresse se trouvant sur le réseau 192.168.0.0, dont le Netmask est 255.255.255.0, excepté l’adresse 192.168.0.254 qui est déjà attribuée à la carte réseau du serveur jouant le rôle de passerelle par défaut. Le poste client devant se connecter à l’Internet, il suffit pour cela de préciser l’adresse et le port du proxy déjà configuré au niveau du serveur.
Conclusion
Il est vrai que certains choix matériels au niveau des solutions élaborées pour la mise en place des réseaux locaux des maisons des jeunes que ce soit dans le cas où ils sont reliés par une ligne spécialisée ou bien par RTC provoquent des critiques. Par exemple, le choix d’un routeur supportant des connexions haut débits ( de l’ordre d’une centaine de Mb/s), représente un gaspillage car les débits actuelles en Tunisie sont loin de ce compte et qu’il faut beaucoup de temps pour les atteindre. Cela est du au fait qu’un certain nombre de choix concernant la plate-forme ont été déjà pris, avant même nôtre arrivé, par quelques sociétés intermédiaires. Mais, on peut dire qu’à ce niveau , une grande partie de la plate-forme est accomplie. Reste maintenant le problème de la sécurité ,de l’administration et de l’implémentation de quelques services au niveau du serveur principal. |
