Configuration des routeurs et commutateurs

• Sommaire
  • Cahier des Charges
  • Solutions mises en oeuvre
    • Réseaux VLAN
    • Protocole 802.1x
    • Protocole VMPS
    • Portail Captif
    • Réseaux VPN
    • Réseau Wifi
    • Annuaire LDAP
    • Serveur Radius
    • Projet EduRoam
  • Choix réalisés
  • Déploiement
    • Procédure de déploiement
    • Installation OpenLDAP
    • Installation FreeRadius
    • Installation DHCP
    • Installation Chillispot
    • Installation OpenVPN
    • Installation VMPS
    • Configuration des Routeurs et commutateurs
    • Configuration Wifi
  • Outils de gestion
    • 802.1x : client SecureW2
    • 802.1x : client WPA_supplicant
    • Portail captif : navigateur Web
    • Client OpenVPN
    • Interface Visiteurs
    • Interface WPA
    • Interface RadiusGroupName
  • Conclusion
  • Glossaire

Une étape lourde doit être mise en place au niveau des équipements réseau. En effet, il faut passer d'un mode routeur pur à une distribution de VLAN en mode trunk. De plus, tous les filtres disponibles des routeurs doivent être mis à plat. Cette étape permet d'avoir une cohérence des configurations des routeurs, ce qui facilite la maintenance des équipements.

Mode trunk

Le mode trunk met en oeuvre une ré-écriture des trames pour pouvoir faire passer plusieurs VLAN sur le même lien physique. Cette façon de faire est définie par l'IEEE dans la norme 802.1Q. Le commutateur recevant la trame doit la re-décapsuler pour mettre les paquets dans le bon VLAN. Cette norme est supportée par les grands fournisseurs d'équipements réseau.

Réseaux VLAN

Entre le routeur central et les routeurs des laboratoires, seuls les VLAN internes seront propagés, ainsi que le VLAN 1, qui est le réseau d'interconnexion. Dans le laboratoire, entre les différents commutateurs tous les VLAN sont propagés, sauf le VLAN 1 et la DMZ (DeMilitarized Zone, Zone DéMilitarisée). Cette façon de faire permet de limiter le risque d'erreur. Si un utilisateur possède une fiche mal remplie dans l'annuaire LDAP, ou que le serveur Radius renvoie une mauvaise valeur, l'utilisateur n'aura aucune connexion, ce qui lui permettra de remonter le problème à son administrateur pour investigation. C'est donc une mesure du protocole de sécurisation.

Propagation des VLAN : VTP

Comme tous les équipements du CNRS sont de marque Cisco, il est aussi mis en place une propagation des VLAN par le protocole propriétaire VTP (VLAN Trunk Protocol). VTP définit un commutateur serveur à qui on fournit tous les VLAN, et des commutateurs clients qui recevront automatiquement tous les VLAN du serveur. De cette manière, tous les commutateurs sont constamment à jour et il n'est pas nécessaire de s'occuper de gérer les VLAN dans la centaine de commutateurs du site. Au CNRS, c'est Rt-CNRS, le routeur central, qui est le maître du domaine VTP. Comme VTP est un protocole réseau, il est nécessaire de le sécuriser. En effet, il serait catastrophique qu'un utilisateur puisse créer des VLAN qui viendraient écraser les autres. C'est pourquoi les commutateurs partagent un mot de passe, qui autorise la mise à jour des VLAN. Toute requête fournie sans mot de passe ou avec un mot de passe incorrect est refusée. Il faut faire attention au déploiement de VTP : en effet, par défaut, les commutateurs sont en mode serveur. Il faut les passer en mode client avant de mettre le mot de passe, sinon ils transmettent leur propre liste de VLAN (qui peut être vide) à tous les autres commutateurs, arrêtant de fait le réseau. Les commutateurs Cisco 2950 utilisés au CNRS sont capables de supporter des numéros de VLAN de 1 à 1001, avec un nombre maximal de 250 VLAN simultanés.

Filtrage

Le réseau est protégé par des pare-feux qui sont placés dans chaque commutateur-routeur. Chaque pare-feu est composé d'une série de règles qui est vérifiée séquentiellement jusqu'à trouver celle qui convient. Chaque série s'appelle un access-group dans la terminologie Cisco, une règle s'appelle une access-list (ACL). Pour la cohérence du site, il a été défini des règles pour la numérotation des access-group. Ces numéros sont listés dans le tableau 7.

Les règles sont du type "filtre tout sauf" et gèrent le rejet en cas d'usurpation d'adresse (anti-spoofing), ainsi que les classes non routées. Comme nos routeurs ne gèrent que des filtres sans état, il est nécessaire de penser au retour de connexion. Toutes les connexions en provenance de l'extérieur vers le laboratoire sont interdites, sauf vers la DMZ. De plus, tous les rejets sont enregistrés pour analyse ultérieure.

Routage

Le routage des commutateurs-routeurs de laboratoire est statique. En effet, les routes changent rarement. L'ensemble des 16 classes par laboratoire est routé vers le routeur de laboratoire. Celui-ci doit gérer ses classes, et jeter les classes qui ne sont pas encore utilisées dans le laboratoire.

Activation des trunks

Les trunks permettent le passage de plusieurs VLAN sur le même lien physique. Ils doivent être activés entre le routeur central (Rt-CNRS) et les routeurs de laboratoire, puis entre le routeur de laboratoire et les différents commutateurs. Pour cela, il est nécessaire de mettre sur les ports à mettre en trunk la configuration de la figure 23.

Les VLAN autorisés dans la ligne 'switchport trunk allowed vlan' sont ceux qui doivent être propagés entre les équipements. Les autres sont silencieusement jetés.
Entre Rt-CNRS et le routeur de labo, la ligne doit être :

switchport trunk allowed vlan 1,15,23,48,64,144,240

Entre les commutateurs de labo et le routeur de labo, la ligne doit être :

switchport trunk allowed vlan 15,23,48,64,144,240

Activation du protocole VTP

Pour que les VLAN soient automatiquement propagés entre tous les équipements du réseau, il faut mettre en place le protocole VTP. La figure 24 présente la configuration nécessaire pour activer le VTP avec un mot de passe.

Le fait de mettre le commutateur en mode VTP client bloque aussi toute possibilité de créer des VLAN à usage local. On ne peut donc avoir que les VLAN définis sur le serveur.

Activation du protocole 802.1x

Au niveau des prises sur lesquelles les ordinateurs des utilisateurs seront connectés, il est nécessaire de mettre en place l'authentification 802.1x. Pour cela, le commutateur a besoin de configuration globale et spécifique pour chaque port, telle que décrite figure 25.

Dans ce contexte, le commutateur demande l'authentification 802.1x à l'utilisateur. Il fait valider cette authentification par le serveur Radius défini dans la configuration générale. La clé de sécurité doit être la même que dans la configuration du serveur Radius1. Dans le cas où l'ordinateur client ne supporte pas 802.1x, il est automatiquement placé dans le 'guest-vlan', qui est le VLAN du portail captif.

Activation du protocole VMPS

Si l'ordinateur connecté sur le port du commutateur ne supporte pas 802.1x, on se tourne vers une identification VMPS. Cette identification demande à un serveur dans quel VLAN placer un ordinateur en fonction de son adresse MAC. La figure 26 montre les différentes lignes de configuration nécessaire pour que le commutateur puisse fonctionner avec le protocole VMPS. Les deux premières lignes correspondent aux serveurs qui seront appelés dans l'ordre.

Activation du filtrage sur les routeurs de laboratoire

Les routeurs de laboratoire sont la barrière contre les attaques informatiques en provenance d'Internet. Pour harmoniser les laboratoires, il a été créé un fichier contenant les règles de filtrage (ACL Access Control List) à adapter pour chaque contexte. Les règles sont du type "on filtre tout sauf ce qui est défini", et ce, en entrée comme en sortie de laboratoire et pour chaque VLAN disponible.

---

CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)