wiki:Realisations/2006-2007/Projet/Entreprise2/Remarques

Context Navigation

Version 8 (modified by alladoum, 18 years ago) (diff)
--

Entreprise2? : Remarques?

A Faire

Phase d'analyse des résultats.
Soutenance du projet devant un jury.

Fait

Recherche de documentations sur le matériel, et sur les protocoles.
Accord sur les choix d'implémentations.
Rédaction du rapport intermédiaire.
Mise en place du flux IPSec(mode Transport) intra-AS, entre client1 et serveur1
Prendre des traces.
~~Mise en place du flux IPSec(mode Tunnel) inter-AS, de bout-en-bout avec l'AS 65001.~~
Rédaction du rapport final.
Mise en place du flux IPSec(mode Tunnel) inter-AS, de bout-en-bout avec l'AS 65003 basé sur IPv6

Journal d'événements

[23/05/2007 16:31]:

Le réseau Entreprise2 est totalement migré sur IPv6 et chaque entité gère une double pile IP, ainsi les communications 
IPv4 ne sont aucunement affectées par l'utilisation de IPv6. En qui concerne le PRes, n'ayant pas eu suffisamment de 
temps pour déployer un tunnel de bout-en-bout inter-AS jusqu'à l'AS 65001, nous avons utilisé une interface Ethernet 
de la machine CLIENT1.ENT2 que nous avons connecté à l'AS 65003. En utilisant l'adresse IPv6 de cette interface 
(possédant donc une adresse préfixé en 2001:db8::/48), nous sommes parvenus à déployer un tunnel IPv6 fonctionnant
en mode Tunnel (voir les schémas de l'Architecture Sécurité).

Ainsi, que l'on soit en IPv4 ou IPv6, tous les paquets transitant entre SERVEUR1.ENT2 et CLIENT1.ENT2 reposent sur le 
protocole IPSec, avec pour chaque flux des garanties de confidentialité et intégrité (via ESP).

Des captures de paquets ont été prélevées par la machine POLL1.ENT2 afin de montrer les différentes étapes pour la 
négociation de clés IKE, et les échanges utilisant les 2 protocoles propres à IPSec (AH et ESP). Pour des raisons de 
consommation excessive de ressources, le serveur ZABBIX géré par cette même machine a été arrêté, ce qui explique l'
état du graphe de réseau.

[20/05/2007 00:44]:

Continuation de la migration de IPv6 sur le réseau. Les parefeux ont posé un gros problème car apparemment il est 
impossible sur les SSG_20H d'utiliser simultanément le RIPv1 ou v2 avec du RIPng nécessaire pour le routage inter-AS
 IPv6. Cela faisait crasher l'OS qui se mettait à redémarrer en boucle, résultant une impossibilité de l'utiliser. 
Le parefeu firewall2 a pu être "réparé" et dispose ainsi de l'IPv6 en tant que Router. Cependant le firewall1, 
derrière lequel se trouve la machine Client1, présente toujours quelques difficultés. Cette dernière n'est donc 
temporairement pas accessible pour les tests IPSec / IPv4. En dépit du temps restant très restreint, nous nous 
efforcerons de créer un flux en mode Tunnel sur IPv6 avec une machine située dans l'AS 65003.

[18/05/2007 23:00]:

Début de la migration du réseau en IPv6 selon les recommandations de l'AS 65003. Les switch, gateway sont migrés, 
effectuent les annonces BGP et/ou RIPng. A présent, il reste la configuration sur les firewalls, et les postes 
fixes. Aujourd'hui, nous avons eu un problème avec le firewall1, qui ne semblait plus rien router ni de l'untrust 
vers trust, ou l'inverse (la configuration n'ayant pas été modifiée). De plus, nous avons configuré correctement 
les règles de sécurité au niveau du parefeu, en contraignant de manière beaucoup plus importante le niveau de 
sécurité. Des tests y ont été effectués, et avec succès.

[28/04/2007 00:11]:

Fin de la re-configuration du poste CLIENT1.ENT2 (anciennement GATEWAY1.ENT2), sur le poste, et sur Zabbix
Création d'un flux sécurisé basé sur IPSec en mode Transport a été crée et fonctionne bien (injection continue de trafic). 
Pour plus d'informations, se reporter à la page de Serveur1 et Client1, ainsi que le tutorial crée pour comprendre le 
fonctionnement général, ainsi que notre choix d'implémentation. Un exemple de trace prélevé sur ce flux peut aussi être 
obtenu à partir de la page de CLIENT1.ENT2

Notes: Zabbix semble être un outil excellent pour le monitoring d'un ensemble d'entités dans un réseau, avec des
fonctionnalités très poussées. Un problème se pose quant aux performances limitées des PCs rackables dont nous disposons, 
visiblement insuffisant. Par conséquent, pour alléger le travail de Zabbix, nous avons diminuer l'intervalle d'échantillonnage 
de Zabbix, au prix de graphes beaucoup moins précis.

[01/04/2007 12:51]:

Activation, configuration du 2nd Edge Router Juniper  (+ ajout dans Zabbix )
RIP activé, BGP activé
La configuration s'est avérée être quasi identique à celle du premier routeur de bordure.

[24/03/2007 11:31]:

Activation, configuration du 1er routeur Juniper ( + ajout dans Zabbix ). 
L'activation du protocole BGP a posé quelques problèmes suite à un problème dans la configuration du routeur. 
Une fois ce problème résolu (avec l'aide de Florian), nous avons pu utiliser les services RIP et BGP correctement.

[08/03/2007 20:25]:

Le monitoring du réseau est activé.
Se rendre sur http://10.40.253.1 (ou http://poll1.ent2.p6 si le serveur DNS de la plateforme est configuré sur votre 
machine) et utiliser les id suivants:(log: guest,mdp: guest)

Download in other formats:

Plain Text