Projet BTS — Infrastructure réseau complète
Réalisation de fin de BTS SIO : conception et mise en place d’une infrastructure virtualisée (XCP-ng, OPNsense, Docker, AD, GLPI) segmentée par VLAN, supervisée par Prometheus/Grafana.
Infrastructure réalisée dans le cadre de l’épreuve de fin de BTS SIO, avec un collègue, au Lycée Monnet-Mermoz à Aurillac (2024).
Plan du réseau
Schéma physique
Notre réseau physique est composé de deux switchs Cisco Catalyst 2960 (cœur de réseau), d’un autre switch Cisco non utilisé et d’un switch DELL PowerConnect 2708 qui interconnecte nos 3 serveurs HPE de virtualisation. Un NAS QNAP stocke les backups des machines virtuelles et les ISO des OS. Sur nos quatre switchs nous utilisons le protocole 802.1Q afin de taguer certains liens, notamment les trois liens allant des switchs cœur de réseau au switch DELL et trois autres liens allant des serveurs au switch DELL, nous permettant de créer des VM sur n’importe quel VLAN. Notre lien internet arrive sur un port de SW02 dans le VLAN WAN, ce qui nous permet de virtualiser notre pare-feu.
Sur nos serveurs, nous avons installé XCP-ng pour la virtualisation. XCP-ng est une plate-forme de virtualisation basée sur l’hyperviseur Xen (API XAPI), fork de Citrix Hypervisor. Pour l’administrer, nous utilisons Xen Orchestra, solution de gestion et de backup d’infrastructures Xen.
Schéma logique
Description des services
| Service | Description |
|---|---|
| WordPress | Site vitrine exposé au réseau externe via le reverse-proxy Traefik. |
| Traefik | Reverse proxy pour rediriger les requêtes HTTP en fonction de l’URL utilisée. |
| Heimdall | Dashboard centralisant l’accès aux outils de gestion et de monitoring. |
| OPNsense | Distribution open-source de pare-feu et routeur basée sur FreeBSD (IDS, filtrage, VPN…). |
| XCP-ng | Plate-forme de virtualisation basée sur l’hyperviseur Xen (fork de Citrix Hypervisor). |
| Xen Orchestra | Gestion et backup d’infrastructures et d’environnements virtuels Xen. |
| Grafana | Plateforme open source de monitoring et visualisation des données en temps réel. |
| Prometheus | Surveillance et stockage de métriques en séries temporelles via HTTP. |
| snmp-exporter | Collecte de données depuis des équipements en SNMP pour Prometheus. |
| xen-exporter | Export de métriques XCP-ng (API RRD) vers Prometheus. |
| Docker | Conteneurisation des applications, répartie sur trois serveurs (trois VLAN). |
| Portainer | Gestion centralisée des serveurs Docker (déploiement de stacks). |
| GLPI | Gestion de parc et de tickets d’incidents / demandes de support. |
| Active Directory | Annuaire centralisant l’authentification et la sécurité des comptes. |
| DNS | Résolution des noms de domaine privés en adresses IP. |
| DHCP | Attribution automatique des adresses IP aux équipements. |
| QNAP | NAS stockant les ISO et les backups des VM. |
Plan du réseau — VLAN
| Nom | N° VLAN | Adresse CIDR | Description |
|---|---|---|---|
| PROD | 10 | 172.16.10.0/24 | Serveurs de production |
| MGT | 11 | 172.16.11.0/24 | VLAN Management |
| DMZ | 100 | 172.16.100.0/24 | DMZ |
| SI | 2 | 192.168.2.0/24 | Service Informatique |
| DG | 3 | 192.168.3.0/24 | Direction Générale |
| EMP | 4 | 192.168.4.0/24 | Employé |
| WAN | 110 | 192.36.253.0/24 | WAN |
La VM srv-ad
L’annuaire AD, le DHCP et le DNS sont hébergés sur la même VM srv-ad, qui assure plusieurs rôles essentiels :
- Active Directory (AD) : centralise l’authentification des utilisateurs et équipements, la gestion des comptes, des permissions et des politiques de sécurité.
- DNS interne : résout les noms de domaine privés pour l’accès aux ressources internes.
- DHCP : attribue automatiquement les adresses IP aux équipements des VLAN.
- SSO : l’AD est utilisé pour l’authentification unique sur différents services internes.
Règles de NAT (Port Forward)
- Port 80 (HTTP) : redirection de l’IP publique
192.36.253.10vers l’IP interne172.16.100.1(Traefik) sur le port 80. Interface WAN, port externe 80 → port interne 80.
Règles de pare-feu
Priorité donnée à la sécurité des VLAN et à l’accès contrôlé aux services.
- WAN — Autoriser le trafic entrant TCP vers
172.16.100.1:80(associé à la règle de NAT) ; bloquer les connexions non sollicitées. - MGT — Trafic sortant autorisé ; rejet explicite des connexions non autorisées.
- EMP — Trafic sortant vers le réseau interne autorisé ; refus des connexions vers PROD.
- DMZ — Trafic autorisé vers Internet et vers PROD pour le serveur web ; rejet par défaut du reste.
Relai DHCP
Mise en place d’un relai DHCP permettant aux VLAN de recevoir des adresses IP dynamiquement depuis le serveur DHCP centralisé (srv-ad).
Projet réalisé dans le cadre de l’épreuve de fin de BTS SIO — 2024 — Lycée Monnet-Mermoz, Aurillac.