Documentations

Dans le contexte nous allons créer une passerelle, en informatique une passerelle qui se traduit Gateway en anglais, ce qui permet de relier deux réseaux informatiques, comme exemple une réseau local (LAN) et internet (WAN). Dans notre phase de test, nous utiliserons un PVE Proxmox Virtual Environnement qui est une solution de virtualisation qui se base sur du Linux KVM (Kernel-based Virtual Machine).

Les rôles de ces quatre composants sont les suivants : Linux assure l'attribution des ressources aux autres composants (Rôle d'un Système d'exploitation ou OS pour Operating System) ; Apache est le serveur web « frontal » : il est « devant » tous les autres et répond directement aux requêtes du client web (navigateur) ; MySQL et son fork MariaDB sont des systèmes de gestion de bases de données (SGBD). Ils permettent de stocker et d'organiser des données ; le langage de script PHP permet la génération de pages web dynamiques et la communication avec le serveur MySQL/MariaDB. Tous les composants peuvent être situés : sur une même machine ; sur deux machines, généralement Apache associé au langage de script d'un côté et les moteurs de bases de données MySQL/MariaDB de l'autre ; sur de nombreuses machines pour assurer la haute disponibilité (répartition de charge et/ou failover).

Windows Server 2016 est le système d'exploitation adapté au cloud qui prend en charge vos charges de travail actuelles tout en introduisant de nouvelles technologies qui facilitent la transition vers le cloud computing lorsque vous êtes prêt.

Tout d’abord nous allons parler du bind qui est un service, il permet de mettre en place un serveur de DNS. Domaine Name Server (DNS) ceci nous permettra de faire de la correspondance de nom à une IP. Par exemple si nous avons un serveur lap en 192.168.200.253, sa correspondance IP / nom ce sera lap. Dans un réseau local, par convention, il faut un nom de domaine (Généralement lier à l’activité de l’entreprise) dans le contexte j’ai choisi un nom de domaine pmmonnier.hyp Pour mieux comprendre : Il nous faut un protocole soit http où https, le nom de domaine (pmmonnier) et TLD (.hyp), donc il nous manque le hostname qui lui va nous indiquer le nom d’hote a joindre, comme par exemple le serveur Web nomer LAP, ce qui nous donnera http où https si vous voulez un protocole sécuriser ou pas, hostname (LAP) suivi du nom de domaine (pmmonnier) et du TLD (.hyp) https://LAP.pmmonnier.hyp

Dans le domaine informatique, le terme log désigne un type de fichier, ou une entité équivalente, dont la mission principale consiste à stocker un historique des événements. Diminutif de logging, le terme peut être traduit en français par "journal". Le log s'apparente ainsi à un journal de bord horodaté, qui ordonne les différents événements qui se sont produits sur un ordinateur, un serveur, etc. Il permet ainsi d'analyser heure par heure, voir minute par minute, l'activité interne d'un processus.

Dans cette documentation nous allons retrouver de la manipulation de BDD ce qui corresponds à effectuer des transferts de BDD d'un serveur a un autre.

LXC est l'acronyme de l'anglicisme LinuX Containers, est un système de virtualisation, utilisant l'isolation comme méthode de cloisonnement au niveau du système d'exploitation. Il est utilisé pour faire fonctionner des environnements Linux isolés les uns des autres dans des conteneurs partageant le même noyau. Le conteneur apporte une virtualisation de l'environnement d'exécution (processeur, mémoire vive, réseau, système de fichier…) et non pas de la machine. Pour cette raison, on parle de « conteneur » et non de « machine virtuelle ». Veillez à ne pas confondre LXC et LXD, en effet, LXD est une surcouche logicielle à LXC. LXD est développé par Canonical pour simplifier la manipulation de vos conteneurs

Dans cette documentation nous alons retrouver comment installer un container LXC.

GLPI est une application web qui aide les entreprises à gérer leur système d'information. ... Parmi ses caractéristiques, cette solution est capable de construire un inventaire de toutes les ressources de la société et de réaliser la gestion des tâches administratives et financières.

Imaginons que nous souhaitions héberger deux domaines différents sur le serveur (domaine1.example, domaine2.example, un de ces domaines ayant deux sous-domaines (ssdom1.domaine2.example, ssdom2.domaine2.example).

Les bases de données permettent aux utilisateurs de centraliser et partagés leurs informations à tout moment. Par conséquent, si vous avez une entreprise avec des sites différents, vous pouvez partager vos données en même temps avec les différents sites commerciaux.

Nextcloud vous permet de faire des partages d'agendas de vos contacts, peut aussi faire de la visioconférence, des mails, une synchronisation automatique des fichiers, s’implémente facilement dans une infrastructure.

Nous retrouvons dans pfSense la plupart des fonctionnalités inclus dans des firewalls commerciaux et quelques autres complémentaires. L'ensemble des fonctionnalités présentés ci-dessous sont directement disponibles à partir de l’interface web, sans qu'il soit nécessaire de taper une seule ligne de commande sous Unix.

Tous les sous-domaines ne sont pas nécessairement délégués. Les délégations créent des zones, c'est-à-dire des ensembles de domaines et leurs sous-domaines non délégués qui sont configurés sur un serveur déterminé. Les zones sont souvent confondues avec les domaines.

Les experts en disponibilité soulignent que, pour qu'un système soit hautement disponible, les parties d'un système doivent être bien conçues et minutieusement testées avant d'être utilisées. Étant donné qu'un système informatique ou un réseau se compose de nombreuses parties dans lesquelles toutes les parties doivent généralement être présentes pour que l'ensemble soit opérationnel, beaucoup de planification pour des centres de haute disponibilité autour du traitement de sauvegarde et de basculement et du stockage et de l'accès aux données.

Bonding est un pilote qui permet d'agréger plusieurs cartes réseaux de sorte à augmenter la bande passante et avoir une «haute disponibilité». Si une interface Bond est montée avec 2 cartes réseaux à 100 Mbits/s, selon le mode utilisé le débit obtenu pourra être de 200 Mbits/s . La machine restera accessible si l'une des interfaces ne répond plus.

Fail2ban est un framework de prévention contre les intrusions, écrit en Python. Il fonctionne sur les systèmes POSIX possédant une interface de contrôle des paquets (tel que TCP Wrapper) ou un pare-feu (tel que Netfilter).

Loganalyzer est un outil libre d'analyse de journaux et de génération de rapports

Par défaut, un port physique d’un commutateur Cisco est un “switchport”, un port de commutation. Il est configuré par défaut dans le mode “dynamic auto” mais il est en mode opérationnel “access”. Il est associé au VLAN 1 (default). S’il devait être monté trunk, le VLAN natif serait le VLAN 1 et l’encapsulation “Trunk” serait négociée par DTP. Un port dynamique est un port qui restera un port “access” ou qui se montera en port “trunk” en fonction des messages Dynamic Trunk Protocol (DTP, protocole propriétaire Cisco) reçus par l’interface.

Pour que les machines puissent se pinger entre elles, même si elles ne font pas partie du même vlan, il faut ajouter un routeur. Ne pouvant pas utiliser un câble par vlan qui serait trop encombrant et trop onéreux suivant le nombre de vlan, nous utilisons à la place le routeur Inter-vlans. Le routage inter-vlans consiste à faire passer tous les vlans dans un seul lien via un lien trunk connecté à des sous-interfaces sur notre routeur en déclarant le vlan auquel elles appartiennent.

Voyons comment cela fonctionne. Lorsque vous vous connectez à Internet, votre routeur (la box de votre FAI) a une adresse IP extérieure (pour Internet). Si vous avez deux PC (ou plus), chaque PC a une adresse IP sur le réseau local (192.168.xxx.xxx par exemple). Comme il n’est pas possible de donner une adresse IP publique pour chaque ordinateur, cette astuce (adresse privée/publique) a été trouvée pour que chaque réseau privé puisse utiliser les mêmes adresses.

Seulement voilà, l'adresse IP publique 80.45.79.65 correspond à deux ordinateurs dont les adresses privées sont 192.168.0.5 et 192.168.0.6. Comment les différencier de l'extérieur... Par du NAT.

Lorsque 192.168.0.5 veut se connecter à http://fr.wikiversity.org/, le routeur enregistre la connexion et fait correspondre sur son interface publique (80.45.79.65) le port 8456 (par exemple) à 192.168.0.5. Lorsque le serveur wikiversity répond, il répond à l'adresse publique 80.45.79.65 sur le port 8456. Le routeur "sait" donc que le paquet est destiné à 192.168.0.5 et le lui envoie en réécrivant le paquet pour qu’il atteigne sa destination.

Pourquoi est-ce mieux en sécurité ? Tout simplement, parce qu’il n’est pas possible (facilement...) de savoir ce qu’il y a derrière un routeur faisant du NAT. De plus, toute connexion initiée depuis l'extérieur du réseau peut être bloquée. Cette fonctionnalité se rapproche de celle d'un pare-feu. Pour le PAT, le principe est le même. Tout paquet reçu sur un port est retransmis sur un autre.

Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un autre. Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme « standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau local. En se « cachant » derrière ce routeur virtuel aux yeux des hôtes. Les routeurs garantissent en fait qu’il y est toujours un routeur qui assure le travail de l’ensemble du groupe. Un routeur dans ce groupe est donc désigné comme « actif » et ce sera lui qui fera passer les requêtes d’un réseau à un autre. Pendant que le routeur actif travail, il envoie également des messages aux autres routeurs indiquant qu’il est toujours « vivant » et opérationnel. Si le routeur principal (élu actif) vient à tomber. Il sera automatiquement remplacé par un routeur qui était alors jusque-là « passif » et lui aussi membre du groupe HSRP. Aux yeux des utilisateurs toutefois, cette réélection et ce changement de passerelle sera totalement invisible car ils auront toujours pour unique passerelle le routeur virtuel que forment les routeurs membres du groupe HSRP. Le routeur virtuel aura donc toujours la même IP et adresse MAC aux yeux des hôtes du réseau même si en réalité il y a un changement du chemin par lequel transitent les paquets.

1.1 Protocole de routage à état de lien Un protocole de routage à état de lien utilise un algorithme (plus) efficace (autre que RIP, comme “Dijkstra” ou “Shortest Path First”). Les routeurs collectent l’ensemble des coûts des liens et construisent de leur point de vue l’arbre de tous les chemins possibles. Les meilleures routes sont alors intégrées à la table de routage.

• RIP est un protocole à vecteur de distance. Il choisit la route la plus courte en fonction de la métrique,
• La métrique de la liaison est évaluée en fonction du nombre de sauts = nombre de routeurs traversés.
• IChaque routeur connaît son voisinage et propage les routes qu'il connaît à ses voisins.

Principe du protocole OSPF :

• OSPF est un protocole à états de liens (débit, qualité, ...). Il utilise l'algorithme de Dijkstra pour construire une topologie sans boucles,
• C'est un protocole ouvert (il n'appartient à aucun constructeur)
• Il existe une version pour Ipv6 (OSPF for Ipv6)

Avantage du protocole OSPF :

• Capacité à prendre en compte les grands réseaux,
• Convergence plus rapide,
• OSPF met à profit le concept d'aires (dites « area » : zones de routage interne). Une aire peut contenir jusqu'à 50 routeurs au maximum,
• Les aires permettent de réduire le trafic lié aux échanges entre routeurs,
• Pas de diffusions périodiques des tables de routage, mais diffusion seulement des mises à jour de l’état (up, down) des routes => limite la taille des messages et la charge du réseau.
• OSPF prend en compte l'état de la bande passante des liens,
• OSPF prend en compte les routes issues d'autres protocoles de routage (RIP, EIGRP, etc.).

Quelques inconvénients :

• OSPF consomme plus de mémoire. Chaque routeur doit entretenir plusieurs bases de données, dont une base de données de voisinage (OSPF neighbors) et une base de données des états de liens (Link State Database),
• OSPF nécessite plus de compétences techniques pour gérer les aires de routage,

Le protocole STP (Spanning Tree Protocol) est un protocole de couche 2 qui s'exécute sur des ponts et des commutateurs. La spécification pour STP est IEEE 802.1D. L'objectif principal de STP est de garantir que vous ne créez pas de boucles lorsque vous avez des chemins redondants dans votre réseau. Les boucles sont mortelles pour un réseau.

SNMP est un protocole de communication de couche application qui permet aux périphériques réseau ONS 15454 d'échanger des informations de gestion entre ces systèmes et avec d'autres périphériques en dehors du réseau. Grâce à SNMP, les administrateurs réseau peuvent gérer les performances du réseau, rechercher et résoudre les problèmes de réseau et planifier la croissance du réseau. Jusqu'à 10 destinations d'interruption SNMP et cinq sessions utilisateur simultanées de Cisco Transport Controller (CTC) sont autorisées par nœud. L' ONS 15454 utilise SNMP pour la notification d'événements asynchrones à un système de gestion de réseau (NMS). ONS L'implémentation SNMP utilise les bases d'informations de gestion (MIB) standard de l'Internet Engineering Task Force (IETF) pour transmettre les informations de gestion d'inventaire, de panne et de performance au niveau du nœud pour la gestion générique en lecture seule DS-1, DS-3, SONET et Ethernet. SNMP permet d'utiliser un gestionnaire SNMP générique tel que HP OpenView Network Node Manager (NNM) ou Open Systems Interconnection (OSI) NetExpert pour des fonctions de gestion limitées. Le Cisco ONS 15454 prend en charge SNMP version 1 (SNMPv1), SNMP version 2c (SNMPv2c) et SNMP version 3 (SNMPv3). Par rapport à SNMPv1, SNMPv2c inclut des opérations de protocole supplémentaires et une prise en charge de la surveillance des performances 64 bits. SNMPv3 fournit l'authentification, le chiffrement et l'intégrité des messages et est plus sécurisé.