| Version 10 (modified by teste, 14 years ago) (diff) |
|---|
A Faire
Fait
- Recherche de documentations sur le matériel, et sur les protocoles.
- Accord sur les choix d'implémentations.
- Rédaction du rapport intermédiaire.
- Mise en place du flux IPSec(mode Transport) intra-AS, entre client1 et serveur1
- Prendre des traces.
Mise en place du flux IPSec(mode Tunnel) inter-AS, de bout-en-bout avec l'AS 65001.- Rédaction du rapport final.
- Mise en place du flux IPSec(mode Tunnel) inter-AS, de bout-en-bout avec l'AS 65003 basé sur IPv6
Phase d'analyse des résultats.(manque de temps)- Soutenance du projet devant un jury.
Journal d'événements
Le réseau Entreprise2 est totalement migré sur IPv6 et chaque entité gère une double pile IP, ainsi les communications IPv4 ne sont aucunement affectées par l'utilisation de IPv6. En qui concerne le PRes, n'ayant pas eu suffisamment de temps pour déployer un tunnel de bout-en-bout inter-AS jusqu'à l'AS 65001, nous avons utilisé une interface Ethernet de la machine CLIENT1.ENT2 que nous avons connecté à l'AS 65003. En utilisant l'adresse IPv6 de cette interface (possédant donc une adresse préfixé en 2001:db8::/48), nous sommes parvenus à déployer un tunnel IPv6 fonctionnant en mode Tunnel (voir les schémas de l'Architecture Sécurité). Ainsi, que l'on soit en IPv4 ou IPv6, tous les paquets transitant entre SERVEUR1.ENT2 et CLIENT1.ENT2 reposent sur le protocole IPSec, avec pour chaque flux des garanties de confidentialité et intégrité (via ESP). Des captures de paquets ont été prélevées par la machine POLL1.ENT2 afin de montrer les différentes étapes pour la négociation de clés IKE, et les échanges utilisant les 2 protocoles propres à IPSec (AH et ESP). Pour des raisons de consommation excessive de ressources, le serveur ZABBIX géré par cette même machine a été arrêté, ce qui explique l' état du graphe de réseau.
Continuation de la migration de IPv6 sur le réseau. Les parefeux ont posé un gros problème car apparemment il est impossible sur les SSG_20H d'utiliser simultanément le RIPv1 ou v2 avec du RIPng nécessaire pour le routage inter-AS IPv6. Cela faisait crasher l'OS qui se mettait à redémarrer en boucle, résultant une impossibilité de l'utiliser. Le parefeu firewall2 a pu être "réparé" et dispose ainsi de l'IPv6 en tant que Router. Cependant le firewall1, derrière lequel se trouve la machine Client1, présente toujours quelques difficultés. Cette dernière n'est donc temporairement pas accessible pour les tests IPSec / IPv4. En dépit du temps restant très restreint, nous nous efforcerons de créer un flux en mode Tunnel sur IPv6 avec une machine située dans l'AS 65003.
Début de la migration du réseau en IPv6 selon les recommandations de l'AS 65003. Les switch, gateway sont migrés, effectuent les annonces BGP et/ou RIPng. A présent, il reste la configuration sur les firewalls, et les postes fixes. Aujourd'hui, nous avons eu un problème avec le firewall1, qui ne semblait plus rien router ni de l'untrust vers trust, ou l'inverse (la configuration n'ayant pas été modifiée). De plus, nous avons configuré correctement les règles de sécurité au niveau du parefeu, en contraignant de manière beaucoup plus importante le niveau de sécurité. Des tests y ont été effectués, et avec succès.
Fin de la re-configuration du poste CLIENT1.ENT2 (anciennement GATEWAY1.ENT2), sur le poste, et sur Zabbix Création d'un flux sécurisé basé sur IPSec en mode Transport a été crée et fonctionne bien (injection continue de trafic). Pour plus d'informations, se reporter à la page de Serveur1 et Client1, ainsi que le tutorial crée pour comprendre le fonctionnement général, ainsi que notre choix d'implémentation. Un exemple de trace prélevé sur ce flux peut aussi être obtenu à partir de la page de CLIENT1.ENT2 Notes: Zabbix semble être un outil excellent pour le monitoring d'un ensemble d'entités dans un réseau, avec des fonctionnalités très poussées. Un problème se pose quant aux performances limitées des PCs rackables dont nous disposons, visiblement insuffisant. Par conséquent, pour alléger le travail de Zabbix, nous avons diminuer l'intervalle d'échantillonnage de Zabbix, au prix de graphes beaucoup moins précis.
Activation, configuration du 2nd Edge Router Juniper (+ ajout dans Zabbix ) RIP activé, BGP activé La configuration s'est avérée être quasi identique à celle du premier routeur de bordure.
Activation, configuration du 1er routeur Juniper ( + ajout dans Zabbix ). L'activation du protocole BGP a posé quelques problèmes suite à un problème dans la configuration du routeur. Une fois ce problème résolu (avec l'aide de Florian), nous avons pu utiliser les services RIP et BGP correctement.
Le monitoring du réseau est activé. Se rendre sur http://10.40.253.1 (ou http://poll1.ent2.p6 si le serveur DNS de la plateforme est configuré sur votre machine) et utiliser les id suivants:(log: guest,mdp: guest)
