Upload
trankien
View
460
Download
13
Embed Size (px)
Citation preview
Rapport de stage GAZEAU Damien
Entreprise MAZ’AIR à Mazères (09)
Du 07/11/2011 au 07/01/2012
TSRIT AFPA Balma 2011
Page 1 sur 59
REMERCIEMENTS ................................................................................................................................................ 2
LEXIQUE .............................................................................................................................................................. 3
PRESENTATION DE L’ENTREPRISE ....................................................................................................................... 4
I - MIGRATION DU DATACENTER ............................................................................................................................. 6
1-1 Présentation ............................................................................................................................................. 6
1-2 Problématique .......................................................................................................................................... 6
1-3 Objectif ..................................................................................................................................................... 6
1-4 Architecture existante .............................................................................................................................. 7
1-5 Définition des besoins .............................................................................................................................. 8
1-6 Solution .................................................................................................................................................... 8
1-6 Appel d’offres ........................................................................................................................................... 9
1-6-1 Proposition d’APX : ............................................................................................................................... 9
1-6-2 Proposition de DELL : .......................................................................................................................... 10
1-6-3 Proposition de SPIE : ........................................................................................................................... 10
1-7 Infrastructure RAID mise en place par APX ............................................................................................ 11
1-8 Choix final ............................................................................................................................................... 12
1-9 Obligations liées au projet :.................................................................................................................... 12
II - AUDIT DES LATENCES DU RESEAU ................................................................................................................... 13
2-1 Problématique ........................................................................................................................................ 13
2-2 Objectif ................................................................................................................................................... 13
2-4 Solutions : ............................................................................................................................................... 13
2-4-1 Vérification de la configuration matérielle : ....................................................................................... 14
2-4-2 Vérification du réseau local et distant ................................................................................................ 15
2-5 Conclusion .............................................................................................................................................. 19
III – PRESTATIONS SUPPLEMENTAIRES ................................................................................................................. 20
IV – CONCLUSION GENERALE .............................................................................................................................. 201
V – ANNEXES ....................................................................................................................................................... 202
Annexe 1 : Bilan électrique ................................................................................................................................... 22
Annexe 2 : Analyse des risques ............................................................................................................................. 24
Annexe 3 : Mise en place d’un partage spécialisé ................................................................................................ 25
Annexe 4 : Gestion des sauvegardes ..................................................................................................................... 26
Annexe 5 : Centralisation des logs ........................................................................................................................ 28
Annexe 6 : Ajout du plugin fusioninventory sur GLPI ............................................................................................ 29
Annexe 7 : Lecture de trame sur FORTIGATE pour mesurer des VPN grâce à Wireshark ..................................... 34
Annexe 8 : Installation du logiciel de supervision CACTI ....................................................................................... 41
Sommaire
Page 2 sur 59
REMERCIEMENTS
Je tiens tout d’abord à remercier Monsieur LARRIEU Michaël, responsable du système
d’information et tuteur de mon stage,pour m’avoir accueilli durant ces deux mois et
pour m’avoir donné l’opportunité, à travers ce stage, d’approfondir le métier
d’administrateur réseau grâce à des missions très intéressantes. Ses informations
lucides et pertinentes m’ontpermis d’avancer rapidement.
Je remercie pareillementMonsieur JEANNE-ROSE David, administrateur réseau et
Mademoiselle LOUVET Céline, administrateur SI applications et Service Desk pour
leurs conseils très utiles, leuramabilité et leur patience. Leur aide m’a été très
précieuse.
Je remercieégalement tout le personnel de MAZ’AIR pour leur sympathie et leur
bienveillance. Ils m’ont permis de me sentir très vite à l’aise.
Pour finir, je tiens à remercier spécialement Monsieur Mauborgne Jean-Marc et
Monsieur Harmel Patrick, formateurs de la section TSRIT à l’AFPA de Balma, pour
leurs compétences et le savoir-faire qu’ils ont su me transmettre et qui m’a permis de
réaliser tant de projets intéressants.
Page 3 sur 59
LEXIQUE Ces mots techniques sont indiqués enitaliquedans le rapport
Mots Définitions
ESX Serveur de virtualisation VMware (voir schéma ci-dessus : VcenterServer)
Vmfs Espace réservé sur un disque pour stocker des machines virtuelles (Vms)
DC Contrôleur de domaine Active Directory
DHCP Fournit des adresse IP
DNS Permet la résolution de nom en fonction de l’adresse IP et inversement
GED Gestion Electronique des Documents RRDtool Outil de base de donnée permattant de créer des graphiques
Vm Vms Machine Virtuelles (Virtual Machines)
TSE Terminal Server : Permet de profiter de son bureau à distance
SAS Disque Serial Attached SCSI Un taux de transfert de 3 Gbits/s
SATA Disque Serial Advanced TechnologyAttachmentUn taux de transfert de150 Mo/s et 300Mo/s pour un SATAII
Cacti Logiciel libre de mesure de performances réseau et serveur
Cluster Grappe de serveurs (ou « ferme de calcul ») constituée de deux serveurs au minimum (appelé aussi nœuds) et partageant une baie de disques commune, pour assurer une continuité de service et/ou repartir la charge de calcul et/ou la charge réseau.
ERP «Enterprise Resource Planning», signifiant littéralement en anglais, « planification des ressources de l'entreprise », et traduit en français par « progiciel de gestion intégré » (PGI).
requêtes Interrogation d'une base pour en récupérer une certaine partie des données
MPLS MultiProtocol Label Switching (MPLS) est un mécanisme de transport de données basé sur la commutation d'étiquettes ou "labels". La notion d'étiquette provient du fait que les labels sont insérés à l'entrée du réseau MPLS et retirés à sa sortie.
SDSL Symmetric Digital Subscriber Line (SDSL, en français ligne d'abonné numérique à débit symétrique) est une technique d'accès qui permet de faire transporter des données à haut débit (jusqu'à 2 Mbit/s avec une portée maximale de 2,4 km) par un réseau. SDSL est une des techniques de la famille DSL. Comme son nom l'indique la ligne SDSL a, contrairement à la ligne ADSL, des débits symétriques : son débit en réception (download) est égal au débit en émission (upload).
VPN Virtual Private Network, réseau privé virtuel, une connexion inter-réseau permettant de relier deux réseaux locaux différents par un protocole de tunnel (sécurisé en général)
VMWare Plateforme de Virtualisation
« DATAS » Nom du serveur de Fichier
RAID le mot RAID désigne les techniques permettant de répartir des données sur plusieurs disques durs afin d'améliorer la tolérance aux pannes
HotSpare Disques de rechange sur un RAID
GLPI Logiciel libre de gestion de parc informatique
Iperf Logiciel libre de tests de débits TCP / UDP
Page 4 sur 59
PRESENTATION DE L’ENTREPRISE
a) L’entreprise
Mr LARRIEU Michaël, responsable du système d’information, et son équipe doivent harmoniser et
consolider les entreprises qui constituent le groupe AIRIA. Ce groupe est composé de 7 sociétés
réparties sur 6 sites en France. Ces sociétés sont spécialisées dans des activités telles que l’usinage,
l’assemblage et le suivi de projet. Elles travaillent dans des secteurs d’activités comme le composite,
le ferroviaire et l’aéronautique.
Chacun de ces sites fonctionne grâce aux infrastructures informatiques du site de MAZ’AIR.
Le groupe, à ce jour, totalise environ 350 employés, dont 200 utilisateurs informatiques.
b) L’infrastructure
Les infrastructures réseaux sont composées d’un réseau MPLS sur VPNSDSL entre tous les sites,
néanmoins chaque site à son propre accès VPN, utilisé principalement pour les communications
messagerie électronique et les données des TSE.
L’équipe informatique est située sur le site de Mazères, qui regroupe aussi la majorité des
utilisateurs, 150 à ce jour.
Toute l’infrastructure informatique est basée sur des solutions de Microsoft
c) Le réseau
A Mazères, deux accès Internet:
1) 2 * 2 Mb pour le réseau MPLS LAN étendu pour tout le groupe 2) 2 Mb pour la centralisation des accès Internet de tout le groupe
Sur chaque site distant une ligne à 2 Mo pour le réseau MPLS
d) Le site central de Mazères
Il est le site central où la consolidation de l’infrastructure se fait pour l’ensemble du groupe AIRIA.
C’est le site qui concentre :
2) L’équipe informatique
3) L’administration des systèmes
4) L’ensemble des activités d’opération
5) L’ensemble des activités d’administration
6) La gestion des comptes utilisateurs
7) Le support utilisateurs (helpdesk)
Page 5 sur 59
Mazèrespossède tous les services pour le groupe AIRIA :
• Point d’accès réseaux Internet
• DNS/DHCP primaire
• Active Directory
• Service Mail, serveur Exchange, serveur BlackBerry (logiciel fourni par SFR)
• Serveurs de fichier
• Serveurs d’impression
• Serveurs applicatifs (Compta, Paye, GED, ERP …)
Serveur TSE
C’est pourquoi l’architecture du réseau MPLS est une étoile à 5 branches depuis le site central vers
les sites distants.
Néanmoins le SLA contractualisé avec SFR, en particulier une GTR de 4 heures, oblige MAZAIR à
mettre un minimum d’infrastructure et de services redondants dans les sites distants pour sécuriser
le service.
Page 6 sur 59
I - MIGRATION DU DATACENTER
1-1 Présentation
Aujourd’hui, le site de MAZ’AIR possède tous ses serveurs d’applications virtualisésdans une seule et
même salle informatique.
Tous les serveurs virtualisésle sont sur une plateforme VMware. Cette même plateforme VMwareest
composée de deux serveurs (ESX1 et ESX2) qui contrôlent respectivement quatreVmfs . CesVmfs
sonthébergées sur les disques de production (SAS) qui stockent les machines virtuelles. Les données
des disques SAS(Baie de Production) sont répliquées de façon asynchrone sur un stockage de disques
SATA (Baie de Secours).
Un serveur de backup est également présent pour sauvegarder chaque soir l’intégralité des données
de chaque Vms (Machines Virtuelles) sur la Baie de Secours
Une fois par semaine (le week-end), les différents serveurs de backup des sites distants sauvegardent
leurs données sur un Disque réseauIomega (SATA) présent dans une autre salle du site de Mazères.
Tous les utilisateurs travaillent, pour la majorité, sur deux Terminal Server (TSE) reliésà des postes
légers.
1-2 Problématique
Aujourd’hui, s’il arrive un sinistre détruisant la salle 1, l’entreprise de MAZ’AIR perd une partie de ses
données informatiques présente sur le serveur de fichier nommé « DATAS » et ne peut redémarrer
ses machines virtuelles qu’en mode dégradé, en fonction de ses besoins critiques (voir plus loin).
L’entreprise sera également obligée de transférer tous les utilisateurs travaillant sur le TSE1vers le
TSE2.
1-3 Objectif
L’objectif est de mettre en place une tolérance de panne de la salle 1 et rendre compte aux
utilisateurs d’une continuité de service en cas de panne desTSE pour qu’ils puissent travailler sans
aucune interruption.
Page 7 sur 59
1-4 Architecture existante
Page 8 sur 59
1-5 Définition des besoins
Voici la liste des serveurs avec le niveau de criticité de chacun. Plus il est petit plus sa fonction est
vitale pour l’entreprise.
Nom du serveur Domaine Physique Virtuel Fonction CRITICITE
QCOMPTA AIRIA X ERP 1
PAIE AIRIA X PAYE 1
SILOGTEST AIRIA X ERP 5
SILOG AIRIA X ERP 1
SRVWEB AIRIA X WEB 2
BES AIRIA X BLACKBERRY 2
BODET AIRIA X POINTAGE 2
NAD1 AIRIA X DC,DHCP,DNS 1
NAD2 AIRIA X DC,DNS 2
EXCHANGE AIRIA X MESSAGERIE 2
IMP AIRIA X IMPRESSION 3
IMP2 AIRIA X IMPRESSION 2
CEGID AIRIA X ERP 1
SHAREPNT AIRIA X INTRANET 4
TSE-ADMIN AIRIA X SECURITE + LICENCE TSE
1
DATAS AIRIA X DONNEES 1
TSETEST AIRIA X TEST 5
VM-VC01 AIRIA X Supervisons VMware
1
1-6 Solution
Afin d’éviter une perte de données conséquente (environ une semaine), il faut pouvoir relancer la
majorité des serveurs virtuels d’un autre endroit.
Pour ce faire il faut, d’une part, déporter l’infrastructure VMware capable de lancer les machines
virtuelles, et d’autre part, déporterune partie des disques pour répliquer de façon asynchroneles
données des Vms.
Si l’un des serveurs VMwareest endommagé, le basculement d’un serveur à l’autre devra être
invisible pour l’utilisateur.
Concernant la réplication des données, deux solutions pourront êtreétudiées :
- la mise en place d’une fibre optique (Fibre Channel) qui permettra de relier les Switchs SAN
entre eux. L’entreprise MAZ’AIR devra alors rajouter de l’espace disque pour ses stockages.
- la mise en place d’un troisième serveur VMwareet une modification de la licence qui
permettra de faire une remontée à chaud des VMs en cas de crash des deux serveurs.
Page 9 sur 59
Une partie des VMFS de VmWare pourra ainsi être stockée sur les disques SAS (ERP par
exemple) et une autre sur les disques SATA (gestion, comptabilité, paye…). Ce tri se fera en
fonction des demandes en ressources des serveurs et de leurs utilisations en entreprise.Le
serveur de backup ainsi que l’espace backup sur la baie de secours deviendront ainsi anodin.
1-7Appel d’offres Un appel d’offre a été fait à trois fournisseurs :
- Apx
- Dell
- Spie
1-7-1 Proposition d’APX :
La solution d’APX sera donc de :
- Déplacer la baie de secours vers la salle 2
- Mettre en place une fibre optique dédiée entre les Switch SAN pour la réplication des
données.
- Installer un cluster entre les deux serveurs ESX1 et ESX2 de façon à avoir un ESX prêt à
fonctionner en cas de panne de l’autre.
- Mettre en route la réplication asynchrone qui n’existe plus à ce jour.
Avantage :
- Le prix
Inconvénients
- Si les deux ESX venaient à être en panne en même temps ->Arrêt des serveurs
- Nécessite des ressources importantes en stockage
- Aucune étude du réseau en réponse aux latences (Voir plus loin)
- La licence VMware de base ne supporte pas le redémarrage auto du système
Prix :
- 18700 €
Page 10 sur 59
1-7-2 Proposition de DELL :
La solution de DELL sera de mélanger les disques SAS et SATA afin de supprimer la baie de secours en
compartimentant les espaces systèmes et les espaces de stockage. Ceci est réalisable en
reconstruisant les RAID matériels (Voir Infrastructure RAID page suivante).
Un troisième serveur Vmware(ESX) sera installé avec un stockage et une capacité mémoire capable
de remonter à chaud la VMFS et les machines virtuelles endommagées.
Avantages :
- Migration à chaud des machines virtuelles
- Gain de place sur stockage (voir infrastructure RAID) car suppression de la baie de secours
- Haute disponibilité (redémarrage automatique après détection d’une panne)
- Solution mieux étudiée et donc plus élaborée qu’APX
Inconvénient :
- Le prix
Prix :
- 30000
1-7-3 Proposition de SPIE : A ce jour, nous ne sommes pas en mesure de comparer l’offre commerciale de SPIE car nous n’avons
reçu aucun retour concernant cet appel d’offre
Baie de prod (SAS et SATA)
+ stockage (sur SATA)
Salle 2 Salle 1
Page 11 sur 59
1-8Infrastructure RAID mise en place par APX
Le problème actuel est que le RAID matériel n’a pas été optimisé lors de sa création. Seulement deux
disques ont vraiment besoin d’avoir un espace réservé à leur système d’exploitation (VMFS). Ce sont
les deux seuls qui nécessitent une sauvegarde de la partie « système». Aujourd’hui, tous les disques
sont copiés de manière à être identiques aux premiers. On perd donc 60 Go sur tous les disques
répliqués et il n’y a pas de disques HotSpare.
En tout :
- 60x5 = 300Go de perdus en SAS
- 60x7 = 420Go de perdus en SATA
Dell propose donc une refonte du RAID pour séparer les disques systèmes des disques de stockage
afin de récupérer la capacité d’espace maximale sur ces disques :
SAS
Disques de 300Go
SATA
Disques de 1T
SAS
RAID n°1 : 720Go
Avec systèmes d’exploitation
2 disques + 2 disques en RAID
RAID 2 : 1200Go
Données
2 disques + 2 disques en RAID
Un RAID avec tous les disques contenant un espace système de 60 Go
HS (HotSpare)
Disque de secours
Un RAID avec tous les disques contenant un espace système de 60 Go
720 Go de perdus au total
Schéma global d’explication
Page 12 sur 59
1-9 Choix final
L’entreprise de MAZ’AIR a donc choisit la solution de DELL.
Un manque de confiance en APX et une solution plus sure de DELL ont fait la différence.
1-10Obligations liées au projet :
1-10-1 Obligations internes :
J’ai vérifié la validité électrique des nouveaux emplacements en fonction des onduleurs. J’en ai
profité pour notifier, par des changements de couleurs, les différents éléments à transférer d’une
salle à l’autre ainsi que les nouveaux éléments à installer dans chaque pièce (Annexe 1).
1-10-2 Obligations externes :
MAZ’AIR doit rendre compte à ses clients de rang 1 sur les dangers de cette migration :
j’ai donc fait une analyse des risques liés à ce déménagement (Annexe 2).
SATA
RAID 2 : 1200Go
Données
2 disques + 2 disques en RAID
HS (HotSpare)
Disque de secours
RAID n°1 : 720Go
Avec systèmes d’exploitation
2 disques + 2 disques en RAID
Page 13 sur 59
II - AUDIT DES LATENCES DU RESEAU
2-1 Problématique
Les utilisateurs du site de MAZ’AIR se plaignent de ralentissements fréquents.
2-2 Objectif
Voici les différents points (flèches rouges) qui peuvent bloquer et faire ralentir le réseau :
2-4 Solutions :
Afin de résoudre ce problème de latence, j’ai vérifié les points suivants :
- Configuration matérielle : Installation de Cacti
- Configuration réseau local : Test du réseau local avec Iperf
- Configuration lignes distantes : Test des réseaux distants (Iperf + SFR)
Page 14 sur 59
2-4-1 Vérification de la configuration matérielle :
1. Un besoin
Ace jour MAZ’AIR n’aaucunapplicatif lui permettant de savoir rapidement et facilement comment se
comportent ses machines virtuelles.
2. Quelle application ?
Pour vérifier la configuration matérielle des serveurs de l’entreprise, j’ai choisi de les superviser avec
Cacti. Celogiciel dit de « capacity planning » est basé sur RRDtool. Il permet de surveiller l'activité de
son architecture informatique à partir de graphiques quotidiens, hebdomadaires, mensuels et
annuels.
Cette solution n'est donc pas destinée à alerter en temps réel sur les dysfonctionnements d'un
système mais bien de proposer une vision dans le temps de l'évolution d'indicateurs matériels et
logiciels (trafic réseau, occupation des disques, taille de la mémoire utilisée, etc.).
L’installation détaillée de Cacti est présente dans l’ANNEXE 8
3. Observations
Après plusieurs semaines d’utilisation, les graphiques nous ont montré que les ralentissements
venaient duTSE et de l’ERP. Le processeur du TSEest monté régulièrement à 100% saturant ainsi
l’utilisation du serveur pour tous les autres utilisateurs. L’audit auprès du personnel a montré que
cela venait derequêtes très gourmandes en ressources processeur.
4. Solutions
TSE :Suite à cela nous avons compartimenté les utilisateurs de l’atelier sur un TSE et les utilisateurs
des bureaux sur un autreTSE, de façon à limiter l’impact de ces requêtes malveillantes.
L’administrateur réseau a également créé un troisième TSE spécial pour les utilisateurs « spécial
grosse requête ».
FORTIGATE : Cet appareil est au centre du réseau car il sert à la
fois de pare-feu et de proxy pour tous les utilisateurs. Cacti m’a
également été utile pour le superviser car lorsque je suis rentré
dans son interface, je me suis rendu compte que l’utilisation de
son processeur était de 95% avant son redémarrage.
J’ai également installéun plugin (THOLD) permettant d’envoyer
un mail d’ALERTE au HELPDESK lorsque l’utilisation de son
processeur dépassait les 80% pendant 5 minutes pour les
prévenir de cette montéet un mail d’ALARME lorsque son
processeur atteignait les 95 % pendant 5 minutes pour qu’ils
sachent qu’un redémarrage est nécessaire par la suite.
Page 15 sur 59
2-4-2 Vérification du réseau local et distant
Problématique :
Le réseau local et distant a-t-il une bande passante suffisante et les lignes SDSL arrivent-elles à
saturation certaines fois?
Solution :
- Test du réseau local et distant avec Iperf
- Mesure du flux réseau sur chaque ligne (sniffeurFortigate + courbes SFR)VoirAnnexe 7
Schéma d’explication :
Description du logiciel Iperf :
Ce logiciel de mesure de performance réseau, disponible sur de nombreuses plateformes (Linux, BSD,
Mac, Windows…), se présente sous la forme d’une ligne de commande à exécuter sur deux machines
disposées aux extrémités du réseau à tester.
Iperf fonctionne en client/serveur selon le diagramme suivant:
Page 16 sur 59
Iperf doit être lancé sur deux machines se trouvant de part et d’autre du réseau à tester. La première
machine lance Iperf en “mode serveur” (avec l’option -s), la seconde le lance en “mode client”
(option -c). Par défaut le test réseau se fait en utilisant le protocole TCP (mais il est également
possible d’utiliser le mode UDP avec l’option -u).
Installation :
- Télécharger et installer Iperf
- Ouvrir un terminal et se placer dans le répertoire correspondant à Iperf
- Lancer les commandes sur le poste client et sur le poste serveur
Etude de notre réseau :
Dans notre cas nous mesurons la bande passante avec Iperf.
1- J’ai tout d’abord voulu tester Iperf sur ma machine pour mesurer ma bande passante interne
:
Ici j’ai lancé le serveur sans option (iperf –s) qui écoute sur le port 5001 et le client sur la même
machine avec les options suivantes : Iperf -c 192.168.200.66 -i 1. Le client envoi pendant 10 secondes
des trames TCP et l’options –i 1 nous fait un rapport tous les 1 secondes.
On peut voir que ma bande passante moyenne interne est d’environ 1,13 Gbits/sec.
2- Ensuite, j’ai testé Iperf en mesurant la bande
passante locale qui devrait correspondre à la
vitesse des interfaces réseaux (~100 Mbits/s
théoriques)
Page 17 sur 59
C’est vérifié ici car notre bande passante moyenne locale est d’environ 88 Mbits/sec.
Voici tableau récapitulatif du réseau avec l’ajout de l’option correspondant à un test sur 60 secondes
coté client : Iperf -c 192.168.200.66 -i 1 -t 60 et coté serveur la commande Iperf –s.
Type Nom client Iperf Client Iperf Serveur Iperf Bande passante
Valeur moyenne Système
D’exploit.
LOCAL
Nad 2 192.168.200.31 192.168.200.66 90 M 2008 R2
Qcompta 192.168.200.45 192.168.200.66 5.12 M 2003
TSE2 192.168.200.50 192.168.200.66 5 M 2003
TSE1 192.168.200.51 192.168.200.66 91 M 2008 R2
Paie 192.168.200.44 192.168.200.66 5 M 2008
Silog 192.168.200.28 192.168.200.66 80 M 2008
BES 192.168.200.46 192.168.200.66 4.75 M 2003
MSO 04 192.168.200.5 192.168.200.66 5.21 M XP
Maquette 192.168.200.249 192.168.200.66 4.36 M XP
Srv clé 192.168.200.228 192.168.200.66 4.83 M XP
SilogTest 192.168.200.40 192.168.200.66 82 M 2008 R2
Bodet 192.168.200.47 192.168.200.66 85 M 2008 R2
exchange 192.168.200.34 192.168.200.66 4.52 M 2008 sd
Imp 192.168.200.35 192.168.200.66 4.80 M 2003
Imp2 192.168.200.42 192.168.200.66 88 M 2008 R2
Cegid 192.168.200.36 192.168.200.66 4 M 2003
Sharepoint 192.168.200.37 192.168.200.66 86 M 2008 R2
TSE admin 192.168.200.43 192.168.200.66 85 M 2008 R2
DATAS 192.168.200.38 192.168.200.66 5 M 2003
Srv back 192.168.200.32 192.168.200.66 4.85 M 2008 sd
TSE 4 192.168.200.6 192.168.200.66 5.38 M 2003
Nad1 192.168.200.30 192.168.200.66 84 M 2008 R2
Page 18 sur 59
DISTANT
Marignane (Fibres de
Berres)
192.168.207.253 192.168.200.66 750 K / 1.10 M
Belestat (Salvaire) 192.168.203.13 192.168.200.66 700 K / 1.20 M
Vaulx (CemaIndustrie) 192.168.206.254 192.168.200.66 500 K / 1.18 M
Colomiers (MSO) 192.168.202.23 192.168.200.66 1.18 Mbits
Résultats :
- Concernant la bande passante
Comme on peut le constater ici : certaines mesures plafonnent à 5Mbits/sec alors qu’elles devraient
atteindre les 90Mbits/sec.
Au début, je pensais plutôt à un problème de réseau.Un appareil (switch) ou des câbles endommagés
empêchent d’utiliser pleinement la capacité des interfaces réseaux qui est de 100 Mbits/sec, car
seulement huit équipements sur 20 profitent pleinement de la bande passante de leurs interfaces.
Mais après des tests tous positifs concernant les appareils du réseau, j’ai dû chercher un autre point
commun. Pourquoi certains ordinateurs ont une bande passante maximum de 90Mbits/sec et
d’autres sont complètement bridés à 5Mbits/sec ?
Avec l’administrateur réseau de l’entreprise, Mr Jeanne-Rose, nous avons exploré la piste des
systèmes d’exploitation.Il s’est avéré que tous les serveurs qui ne sont pas équipés d’un système
d’exploitation en 2008 R2 disposent d’une bande passante (via iperf) très médiocre vers mon serveur
iperf sous XP.
Après beaucoup d’essais et d’interrogations pour comprendre à quoi cela était dû, j’ai remarqué
qu’en augmentant la taille des fenêtres TCP de 64k (par défaut) à 128 k (en moyenne), tous les
serveurs annonçaient alors une bande passante moyenne de 90Mbits/sec alors qu’en laissant la taille
des fenêtres TCP à 64k entre deux serveurs 2008, la bande passante reste aussi élevée (90Mbits/sec).
- Concernant l’utilisation des lignes SDSL
Comme l’utilisation des lignes SDSL n’est utilisée que pour l’échange de données des postes légers,
d’internet pour les rares postes lourds et les différentes sauvegardes du soir et du weekend, les
courbes nous montrent des lignes qui ne sont pas du tout saturées.
Quelques pointes sont visibles mais seulement pendant les périodes de sauvegardes.
En revanche, la ligne concernant internet montre des saturations visibles notamment pendant les
périodes de 10h à 12h et de 14h à 16h.
Page 19 sur 59
2-5 Conclusion
2-5-1 Concernant le matériel
Cactinous a montré que les utilisateurs, par une mauvaise utilisation des requêtes, peuvent créer des
problèmes de latence sur le réseau. On a pu constater également que le logiciel d’ERP nommé SILOG
mettait du temps à répondre. Cela est plus un problème logiciel que matériel car les courbes du
serveur hébergeant SILOG sur Cacti sont normales et ne montrent aucune souffrance matérielle.
2-5-2 Concernant la bande passante
Le test établi avec le logiciel IPerfa pu vérifier la meilleure prise en compte des paquets TCP par le
système d’exploitation 2008 R2 comparativement à tous les autres anciens systèmes d’exploitation
Windows.
J’ai cherché à augmenter la capacité de la taille des fenêtres TCP de Windows Xp ou de Windows
Server 2003 en modifiant la valeur de la taille des fenêtres TCP par défaut (64K) dans la base de
registre : sans succès, car les tests Iperf ont montré le même résultat.
La différence entre Windows Server 2008 et Windows Server 2003 ou Windows XP est la refonte
complète de la pile TCP/IP et l’intégration du protocole IPV6.
Ce qui permet une meilleure prise en charge des grandes vitesses de transfert.
Reste à savoir si Iperf possède son propre système de création de fenêtre Tcp ou s’il utilise, et donc
modifie, la taille des fenêtres par défaut de Windows pour ses tests avec l’option -w. Je n’ai pas
réussi à obtenir cette information.
Une solution intéressante serait de migrer tous les serveurs en 2008 R2 ou en système Unix.
2-5-3 Concernant l’utilisation des lignes SDSL
On a pu vérifier que la connexion aux sites distants grâce aux lignes SDSL était bien suffisante par
rapport aux données y circulant. Cependant, une solution de VOIP est à l’étude.Il est donc préférable
de ne pas modifier sa bande passante dans l’attente du projet de migration téléphonique.
Concernant la ligne Internet : il serait peut-être plus opportun d’augmenter sa bande passante
disponible. Cela éviterait quelques latences du navigateurinternet pour tous les utilisateurs.
Page 20 sur 59
III – PRESTATIONS SUPPLEMENTAIRES
3-1 TSE
Pour répartir la charge sur les TSE, j’ai basculé une vingtaine d’utilisateurs du TSE principal vers un autre TSE. Pour cela, j’ai dû reconfigurer les platines des postes légers, reconnecter les imprimantes, réinstaller la messagerie et attribuer de nouveaux droits dans Active Directory.
J’ai également installé deux nouveaux TSE pour assurer la redondance du matériel et une continuité
de services pour les utilisateurs. J’ai installé un équilibrage de la charge utilisateurs entre deux TSE
(session broker).
3-2 Partage de données
J’ai créé un dossier avec un accès restreint pour la direction de l’entreprise. J’ai ensuite créé un
exécutable que j’ai envoyé par mail à chaque personne concernée, ceci permettant l’installation de
ce partage de manière simple et rapide sur leur poste de travail (Annexe 3).
3-3 Sauvegarde
Je me suis aussi intéressé à la gestion des sauvegardes. En effet, pour améliorer mes connaissances
sur le fonctionnement des sauvegardes de l’entreprise, j’ai étudié en Annexe 4 les tâches planifiées
permettant les sauvegardes journalières.
3-4 Centralisation des logs
Chaque jour, un membre de l’équipe du service d’information doit effectuer ce que le personnel
appelle un « daily ». Ce contrôle quotidien oblige à vérifier sur chaque serveur le bon
fonctionnement des bases de données, des sauvegardes et aussi l’absence de logs d’erreur. Ce
« daily » leur prend du temps. J’ai donc essayé de leur en faire gagner en centralisant la vision des
logs(Annexe5).
3-5 GLPI
J’ai participé à la mise en place d’un outil de surveillance et de gestion du réseau (GLPI) en installant
un plugin sur GLPI permettant de référencer tous les matériels réseaux où l’installation d’un agent
OCS est impossible (switch, hub, routeur, imprimante…), afin de compléter et d’améliorer le
fonctionnement du logiciel de gestion GLPI (Annexe 6).
Page 21 sur 59
IV – CONCLUSION GENERALE
Ces deux mois passés à MAZ’AIR m’ont permis de mieux me rendre compte des
différentes fonctions d’un service informatique et des différentes interventions
qui rythment ses journées.
Une équipe compétente et chaleureuse m’a vraiment fait apprécier ces deux
mois de stage.
Le côté relationnel et le côté technique sont deux parties que j’affectionne et
qui sont présents dans ce métier.
J’ai pris beaucoup de plaisir à résoudre les différents problèmes auxquels j’ai
été confronté pour mettre en œuvre les différentes tâches qui m’ont été
confié.
Ce stage m’a vraiment conforté dans mon choix professionnel.
Page 22 sur 59
Annexe 1 : Bilan électrique
Avant modification
SALLE 1
Marque ref type tension (V) ampere (A) P nominal (W) Pmax (W)
EMC² DS-300B switch 48 57
EMC² DS-300B switch 48 57
hp procurve 2610-48 switch 230 0,8 66
hp procurve 2610-24 switch 230 0,4 41
dell R710 serveur tse2 600
PowerVault 114T disquette 85
dell R610 serveur 502
dell R710 serveur 600
dell R710 serveur 600
EMC² Ax4 stockage SAS 230 1,8 450
EMC² Ax4 stockage SATA 230 1,8 450
Fortinet fortianalyser 100C analyser 230 1,5 56
hp procurve 2824 switch 230 0,3 50
hp procurve 2626 switch 230 1,5 100
Western Digitaldisque externe stockage 20
Batterie Onduleur1
Batterie Onduleur2
Batterie Onduleur3
Batterie Onduleur4
TOTAL MAX 3734
SALLE 2
Marque ref type tension (V) ampere (A) P nominal (W) Pmax (W)
EMC² iomega storecenter ix12-300r stockage 200
dell R710 serveur tse1 570
ienovo pc pc MAQUETTE 250
ienovo pc pc ISA 250
dell pc pc SRVCLE 250
hp procurve 2626 switch 230 1,5 100
hp procurve 2626 switch 230 1,5 100
Fortinet fortigate 80C firewall/proxy 230 0,8 32
Fortinet fortigate 80C firewall/proxy 230 0,8 32
??? petit switch 9port switch 30
Batterie Onduleur5
Batterie Onduleur6
TOTAL MAX 1814
Pmax (W) Pnom (W) Nb de Bat exttemps de maintien avec abaque (min)
resumé salle 1 3734 1244,66667 3 281 04:41:00
salle 2 1814 604,666667 1 241 04:01:00
Page 23 sur 59
élément déplacé d'une salle à l'autre
Apres modification élément rajouté
SALLE 1
Marque ref type tension (V) ampere (A)P nominal (W) Pmax (W)
Fortinet fortianalyser 100Canalyser 230 1,5 56
hp procurve 2824 switch 230 0,3 50
hp procurve 2626 switch 230 1,5 100
dell R710 serveur tse2 600
dell R710 serveur tse3 600
dell R510 serveur de replication 500
hp procurve 2626 switch 230 1,5 100
hp procurve 2626 switch 230 1,5 100
Batterie Onduleur5
Batterie Onduleur6
TOTAL MAX 2106
SALLE 2
Marque ref type tension (V) ampere (A)P nominal (W) Pmax (W)
dell R710 serveur tse1 570
ienovo pc pc MAQUETTE 250
ienovo pc pc ISA 250
dell pc pc SRVCLE 250
Fortinet fortigate 80C firewall/proxy 230 0,8 32
Fortinet fortigate 80C firewall/proxy 230 0,8 32
??? petit switch 9portswitch 30
EMC² DS-300B switch 48 57
EMC² DS-300B switch 48 57
hp procurve 2610-48 switch 230 0,8 66
hp procurve 2610-24 switch 230 0,4 41
EMC² iomega storecenter ix12-300r stockage 200
PowerVault 114T disquette 85
dell R610 serveur 502
dell R710 serveur 570
dell R710 serveur 570
EMC² Ax4 stockage SAS 230 1,8 450
EMC² Ax4 stockage SATA 230 1,8 450
Western Digitaldisque externe stockage 20
Batterie Onduleur1
Batterie Onduleur2
Batterie Onduleur3
Batterie Onduleur4
dell R710 serveur tse4 600
Batterie Onduleur6
TOTAL 5082
Pmax (W) Pnom (W) Nb de Bat avec abaque (min)
resumé salle 1 2106 702 3 485 08:05:00
salle 2 5082 1694 1 94,7 01:34:42
Page 24 sur 59
G
(Gra
vit
é /
Severi
ty)
O
(Occ
urr
ence
)
ND
(Non-D
éte
ctio
n /
Dete
ctabilit
y)
Transport Casse matérielle
Infiltration d'eau
Matériel inutilisable
risques électriques
défaillance transporteur / Casse,
Chocs, Intempéries
Bien proteger les matéreils des chocs
et de l'eau lors du transfert.
Savoir exactement quel matériels
doivent être transférés et dans quelle
salle pour limiter les manipulations
inutiles.
Surveiller la reception du materiel et
les transferts.
4 2 2 16L
Sauvegarde des données Transfert des données du
matériel déjà présent au
matéreil du prestataire faussé
Perte de données. Panne matériels, pannes
logiciels / Ou défaillance
prestataire
Système redondants Message d'erreur lors du transfert des
données. Vérification de la capacité
de stockage des supports.
4 2 2 16L
Restitution des données Transfert des données du
matéreil du prestataire au
nouveau matériel faussé
Perte de données. Panne matériels, pannes
logiciels / Ou défaillance
prestataire
Système redondants Message d'erreur lors du transfert des
données.
4 2 2 16L
Transfert des données durée du transfert des données
très longue
Système informatique
inopérationel pour la rentrée du
personnel en début de semaine
faible débit de transfert des
données / problémes lors du
transfert des données
Estimer la capacitée de données à
transferer et le temps de transfertSurveiller le taux de transfert des
donnée.
4 2 1 8J
Infrastructure IS IT Arrêt brutal de l'alimentation
générale électrique <4H
Pas de perte d'activité ni de
perte de données ou de
configuration matérielle
Pas d'alimentation électrique
par la source (RME).
Tout le réseau intégralement ondulé
pour une durée effective de 4H.
Envoie de messages au SI durant
chaque panne secteur.
3 4 4 48L
Matériels Matériels non compatibles Système inutilisable Matéreils de marque diférente Un seul fournisseur : DELL 3 1 1 3J
Effets potentiels /
Conséquences
Cause possible
Système / Projet / Processus :
(ex. : Numéro de projet)
Infrastructure IS IT Objectifs du plan (contexte) :
Mesure de réduction du risque
pour réduire l'occurrence (O)
Mesure de réduction du risque
pour réduire la non-détection
(ND)
Cotation du risque
Risk quotation
R/IP
R
(Ris
que/R
isk)
Fonction / Système Mode de défaillance
(ou situation critique)
Retard
+ : Avance ;
- : Retard
G
(Gra
vit
é /
Severi
ty)
O
(Occ
urr
ence
)
ND
(Non-D
éte
ctio
n /
Dete
ctabilit
y)Surveillance de la bonne réception du matériel, de son
déplacement et de son instalation / Protection lors du transfert
du materiel grâce a des flight cases : plus de risque de choc et
protection contre l'humidité.
Faire une analyse des éléments à transferer.
Prévoir des emballages adaptés pour le transport en interne des
serveurs ESX et des batteries d'onduleurs
Michaël Larrieu 16/12/2011 1 2 2 4J
Vérification de la totalité et de l'integrité des données
transferées / Vérifier l'integrité des sauvegardes
Michaël Larrieu 16/12/2011 1 2 2 4J
Vérification de la totalité et de l'integrité des données
transferées / Vérifier l'integrité des sauvegardes
Michaël Larrieu 16/12/2011 1 2 2 4J
Estimer le temps de transfert des données à transferer.Si le
transfert dure trop longtemps, on reviendra au système actuel.
Michaël Larrieu 16/12/2011 1 2 1 2J
Vérifier la capacité des onduleurs à délivrer le courant
necessaire pour chaque nouvelle salle pour un temps défini de
4h
Michaël Larrieu 09/12/2011 1 1 4 4J
Michaël Larrieu 16/12/2011 1 1 1 1J
Equipe :
Action corrective / préventive Date planifié de
fin de
réalisation
Date réelle de
fin de
réalisation
Avancement
Minimiser les risques d'arrêts des activités et service en phase de fonctionnement normal lors de la modification de l'infrastructure dans le cadre de la
migration du DataCenter.
Cotation du risque (risque résiduel)
Risk quotation (risidual risk)
R/IP
R
(Ris
que/R
isk)
Responsable
Michaël LARRIEU
Date de solde
(Efficacité
avérée en
revue)
Annexe 2 : Analyse des risques
Page 25 sur 59
Annexe 3 : Mise en place d’un partage spécialisé
- Création d’un groupe dans l’Active Directory :
- Ajouter les membres que l’on désire dans ce groupe
- Créer un fichier partagé et n’autoriser l’accès qu’à ce groupe :
- Pour que le dossier partagé soit caché même si l’on a permis l’affichage des dossiers cachés dans les
options des dossiers, il faut taper en ligne de commande :
ATTRIB texte.txt -s -h
-s pour l’attribut fichier système
-h pour l’attribut fichier cachés
Pour retrouver les attributs d’origine, il faut taper :
ATTRIB texte.txt +s +h
Le fichier est maintenant invisible de n’ importe où sauf sur le serveur de fichiers où il est stocké.
J’ai ensuite créé un .bat que j’ai envoyé par mail en .zip aux personnes concernées pour leur créer un
nouveau lecteur de partage dans leur poste de travail qui contenait :
net use * "\\IPduserveur\services\DDGARDNER" /PERSISTENT:YES
Cette ligne va monter un partage avec une lettre disponible (*) et va se connecter au répertoire
\\IPduserveur\services\DDGARDNERde façon permanente. Ce partage ne pourra s’installer
automatiquement qu’avec les personnes se trouvant dans le groupe AD précédemment créer.
Un nom d’utilisateur et un mot de passe sont demandés dans le script de lancement lors de son
utilisation par un utilisateur non autorisé.
Page 26 sur 59
Annexe 4 : Gestion des sauvegardes
Je me suis intéressé ensuite à toutes les sauvegardes présentes sur MAZ’AIR afin de mieux
comprendre leur fonctionnement.
L’entreprise possède beaucoup de bases de données et doit donc les sauvegarder tous les jours.
Pour ce faire, on va planifier des tâches automatiques chaque jour (en principe) et y lancer un
fichier.bat où va être écrit un petit script de sauvegarde.
Exemple sur DATAS :
Taches planifiés :
Dossier de commandes :
Page 27 sur 59
Scripts :
Dans ces scripts, on utilise la commande ROBOCOPY qui est finalement bien plus puissante que COPY
ou encore XCOPY pour les sauvegardes.
Ici, une sauvegarde est faite tous les jours de la semaine sauf le weekend, et est valable une semaine
(du lundi au lundi …).
Les scripts ROBOCOPY_MAZAIR… indiquent une copie des dossiers FAI et BE présents sur le disque
datas vers le disque IOMEGA (partage) Q:\ avec les options suivantes :
2) /E = copie-les sous répertoires même vides
3) /SEC = copie les fichiers avec les mêmes sécurités
4) /R :2 = nombre d’essai en cas d’échec de la copie (défaut :1 million !)
5) /W :2 = temps d’attente entre les essais (défaut : 30 secondes)
6) /LOG:file = créer le fichier log de cette copie à l’endroit voulu.
7) Set mydate= %date:~6,4%%date :~3, 2%%date:~0, 2% = Créer la variable “mydate” sans « / »
%date:~6,4% = 6 vers la droite et 4 vers la gauche = année = 2011
%date:~3,2% = 3 vers la droite et 2 vers la gauche = mois = 11
%date:~0,2% = 0 vers la droite et 2 vers la gauche = jour = 22
8) Move Q:\...logcopy.txt Q:\...logcopy-%mydate%.txt = renomme le log avec la date
Page 28 sur 59
Annexe 5 : Centralisation des logs
Durant mon stage, j’ai pu remarquer que l’équipe technique passait une partie de son temps à
remplir une feuille journalière (daily) sur laquelle elle vérifiait les logs des différents serveurs et la
réplication de leur base de donnée.
J’ai donc décidé de mettre en place une centralisation des logs pour leur faire gagner du temps.
Pour ce faire, j’ai utilisé le protocole Syslog (de base sur Linux) qui se compose d'une partie cliente et
d'une partie serveur. La partie cliente émet les informations sur le réseau, via le portUDP 514. Les
serveurs collectent les informations et se chargent de créer les journaux.
L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus
rapidement et efficacement les défaillances d'ordinateurs présents sur un réseau.
Côté client Windows, j’ai utilisé le logiciel SNARE qui est une interface graphique qui permet de voir
et de configurer les logs récupérés sur le serveur. On va pouvoir éliminer les logs acceptés et les logs
refusés
Côté serveur Windows, j’ai utilisé kiwi Syslog qui va centraliser les logs sur le serveur et permettre de
garder un historique des erreurs. En revanche, le logiciel de référence syslog server est devenu
payant sur un autre système d’exploitation que celui de Linux.
Après des essais sur CYGWIN (qui émule un système d’exploitation de type Linux sur Windows), je
me suis rendu compte que ce logiciel ne gèrait pas les bases de données. Je me suis finalement
orientée vers une console MMC bien paramétrée qui semble être la meilleure solution dans mon cas.
Page 29 sur 59
Annexe 6 : Ajout du plugin fusioninventory sur GLPI
Présentation :
FusionInventory est un logiciel libre dont les fonctionnalités principales sont l’inventaire du matériel
et la découverte réseau et qui complète la gestion de parc et le helpdesk de l’outil GLPI.
FusionInventory est composé d’une collection de plugins (extensions) qui dialoguent avec un agent
installé sur les postes clients (FusionInventory-Agent) pour permettre :
1) L’inventaire local des ordinateurs (matériel, logiciel, antivirus)
2) La prise en charge et la mise à jour des ordinateurs déjà dans GLPI. La découverte réseau
avec gestion des matériels inconnus
3) L’inventaire distant des switchs et imprimantes (grâce au protocole SNMP)
4) La récupération des informations sur les ports, les VLANs et liaison entre ports des switchs et
matériels présents dans GLPI (ordinateurs, imprimantes réseau, switchs...)
5) L’historique des changements sur chaque port de switch et rapports
6) Le niveau des cartouches des imprimantes, relevé journalier des compteurs de pages et
rapports
Installation sous Windows :
Télécharger le plugin sur le site de fusioninventory (http://fusioninventory.org). Décompresser le(s)
répertoire(s) et les placer dans le fichier c:\xamp\glpi\plugins.
Il faut maintenant les activer dans GLPI : Configuration>Plugins
Une fois activé, il faut maintenant configurer le plugin : plugin>fusioninventory>configuration
Activer tous les modules dans l’onglet « module des agents »
Page 30 sur 59
Maintenant que le plugin est configuré, il faut installer un agent fusioninventory sur un ordinateur.
Il faut télécharger un exécutable sur le site de fusioninventory qui va installer l’agent et il vous faudra
seulement modifier l’adresse IP du serveur durant son installation :
server : http://IPduserveurglpi/glpi/plugins/fusioninventory/front/plugin_fusioninventory.communication.php
Ensuite, l’activer en cliquant sur l’icône dans Démarrer>tous les programmes>Fusioninventory-agent
et forcer un premier inventaire.
Il faut maintenant l’activer dans GLPI :
Vérifier qu’il est bien présent sur GLPI et double cliquez dessus
Activer ici aussi tous les modules de l’agent
Page 31 sur 59
Créer maintenant une nouvelle plage IP pour définir la plage de découverte de l’agent
Ensuite il faut créer une tâche pour l’exécution de l’agent
Donner un nom à cette tâche
Choisissez le mode push
Donner un nom à l’action
Choisir découverte réseau
Attribuer la plage d’adresse IP
précédemment créée.
Associer l’agent à cette tâche
Forcer un inventaire et normalement l’agent devra communiquer à l’agent sa nouvelle tâche.
Page 32 sur 59
Vous trouverez ensuite les nouveaux matériels réseaux, détectés par l’agent, qui n’ont pas déjà été
remontés dans l’onglet matériel inconnu :
Si vous voulez les transférer dans GLPI, il faut double cliquer sur l’élément en question et passer la
case « matériel approuvé » sur oui.
Vous retrouverez cet appareil dans l’onglet inventaire de GLPI.
Cette tâche « découverte réseau » va aller questionner le matériel pour trouver le nom, l’adresse
MAC, l’adresse IP et, si disponible, des informations de connexion snmp.
Pour questionner plus en détails les matériels avec le protocole SNMP, il faut modifier la tâche
précédemment créée et changer la case découverte réseau en inventaire réseau (SNMP). Forcer un
nouvel inventaire et une fois la tâche terminée, vous pourrez trouver des informations
supplémentaires dans l’onglet Fusionsnmp sur vos matériels remontés dans GLPI tels que :
7) Les connexions actives ou non avec la vitesse de chaque port et le nombre de données
envoyées et reçues sur les switchs :
Page 33 sur 59
8) Les niveaux d’encre et le nombre d’impressions sur les imprimantes :
Page 34 sur 59
Annexe 7 : Lecture de trame sur FORTIGATE pour mesurer des VPN
grâce à Wireshark
Description :
- Fortigate :
FortiGate est une gamme de boitiers de sécurité UTM (appliance sécurité tout en un) comprenant les
fonctionnalités firewall, Antivirus, système de prévention d'intrusion (IPS), VPN (IPSec et SSL), filtrage
Web, Antispam et d'autres fonctionnalités: QoS, virtualisation, compression de données, routage,
policyrouting, etc.
Les récents modèles comportent des ports accélérés par ASIC qui permettent d'optimiser le trafic au
niveau des ports. Les boitiers de cette gamme sont isofonctionnels. Ils s'adaptent à chaque besoin
depuis la TPE, avec la famille des FG50 jusqu’à l’opérateur avec le FG5000, en passant par les
FG110C, FG310B, FG620B pour les moyennes et grosses entreprises.
- FortiAnalyzer
FortiAnalyzer est un boitier qui permet de centraliser les journaux des équipements Fortinet (FortiGate, FortiMail, FortiManager et FortiClient), de procéder à des analyses et de générer des reportings sur l'activité réseaux et sécurité.
L’entreprise de MAZ’AIR possède un FortiGate80C couplé à un FortiAnalyseur100C
Principe :
- Connexion ssh sur Fortigate
- Lancement commande sniffer et redirection sortie standard vers fichier.txt
- Transformer le .txt en .Pcap lisible par Wireshark
- Filtrer avec Wireshark
Pré-requis :
Un émulateur de terminal comme Putty
Un éditeur de texte simple comme Notepad
Un interpréteur de Perl comme ActivePerl installé sur Windows (http://www.activestate.com)
Le fichier fgt2eth.pl qui converti les .txt en .Pcap à télécharger et placer dans le répertoire de
Wireshark : ATTENTION : il possède une erreur : VOIR ANNEXE 1 TER
Un analyseur de protocole comme Wireshark
Instalation
1 - Sur votre ordinateur de gestion, démarrez PuTTY.
Page 35 sur 59
2 - Utilisez PuTTY pour vous connecter à l'appareil FortiAnalyzer en utilisant soit une console locale
de série, SSH ou connexion Telnet.
3 - Tapez la commande de capture de paquets :
Dans cet exemple, nous allons mesurer la consommation du VPN du site FIBRES DE BERRES configuré
en 192.168.207.0/24 :
diagnose sniffer packet any 'net 192.168.207.0/24' 3
ATTENTION : Ne pas appuyer sur Enter encore.
4 - Dans le coin supérieur gauche de la fenêtre, cliquez sur l'icône de PuTTY pour ouvrir son menu
déroulant, puis sélectionnez Change Settings
Un dialogue apparaît dans lequel vous pouvez configurer PuTTY pour sauver la sortie vers un fichier
texte.
5 - Dans l'arborescence de catégorie sur la gauche, allez à la session loggin.
6 - Dans l'enregistrement de session, sélectionnez Printable output.
7 - Dans le nom du fichier de log, cliquez sur le bouton Parcourir, puis choisissez un chemin de
répertoire et nom de fichier comme Z:\essai damien\capturenet207.txt pour sauver la capture des
paquets dans un fichier texte brut. (Vous n'avez pas besoin de l'enregistrer avec l'extension du
fichier. Log.)
Ps : Prendre un disque avec beaucoup d’espace !
8 - Cliquez sur Apply.
Page 36 sur 59
9 - Appuyez sur Entrée pour envoyer la commande CLI pour le FortiAnalyser : début de capture de
paquets.
10 - Si vous n'avez pas spécifié un nombre de paquets à capturer, quand vous avez capturé tous les
paquets que vous souhaitez analyser, appuyez sur Ctrl + C pour arrêter la capture.
11 - Fermez PuTTY.
12 - Ouvrez le fichier de capture de paquets en utilisant un éditeur de texte tel que Notepad.
13 - Supprimer les premières et dernières lignes, qui ressemblent à ceci: =~=~=~=~=~=~=~=~=~=~=~=
PuTTY log 25/07/2011 11:34:40 = ~ = ~ =~=~=~=~=~=~=~=~=~= FortiAnalyzer-2000 #
Ces lignes ne font pas partie de la capture de paquets.
Si vous ne les supprimez pas, elles pourraient interférer avec le script à l'étape suivante.
Page 37 sur 59
14 - Convertir le fichier texte dans un format reconnaissable par votre application analyseur de
protocole réseau. Vous pouvez convertir le fichier texte dans un format (. Pcap) reconnaissable par
Wireshark (anciennement appelé Ethereal) en utilisant le script Perl fgt2eth.pl :
Ouvrez une invite de commande, placez vous dans le repertoire de Wireshark puis entrez une
commande comme la suivante: fgt2eth.pl en packet_capture.txt-out packet_capture.pcap où:
• fgt2eth.pl est le nom du script de conversion; inclure le chemin relatif au répertoire
courant, qui est indiqué par l'invite de commande
• packet_capture.txt est le nom du fichier de sortie de la capture des paquets; inclure le
chemin du répertoire relatif à votre répertoire courant
• packet_capture.pcap est le nom du fichier de sortie du script de conversion est; inclure le
chemin du répertoire relatif à votre répertoire courant où vous souhaitez que la sortie convertie soit
sauvée.
16 - Ouvrez le fichier converti avec Wireshark !
Page 38 sur 59
Apres une demande auprès de SFR, la société nous a communiqué l’adresse d’un site extranet où des
graphiques de nos lignes VPN et internet sont disponibles. On y trouve pour chaque site distant la
charge (en %), le volume (en Octet) et un récapitulatif des données des courbes. Ces données
peuvent être visualisées par jour, par semaine, par trimestre ou par année.
Cela vient consolider mon point de vue sur l’utilisation très faible du réseau.Commeon peut le voir
avec la valeur moyenne de la charge pour le mois d’octobre, par exemple, qui est seulement de 2.63
% en entrant et de 0.68 % en sortant. Dans le trimestre de Janvier à Mars, nous avons 2.56 % en
entrant et 26.63 % en sortant, dans le deuxième trimestre d’Avril à Juin, on trouve 2.65 % en entrant
et 12.12 % en sortant. On remarque donc que la ligne VPN n’est pas du tout saturée.
Cela est logique. En effet, la plupart des utilisateurs travaillent sur des postes légers connectés au
TSE. Tout le flux internet arrive au TSE et donc, transitent dans la ligne VPN, la vue de leurs bureaux
virtuels et quelques commandes uniquement. Toutes leurs données restent à Maz’air !
Page 39 sur 59
Comparaison du trafic entre Fortigate et SFR :
Voici le graphique de SFR correspondant à la charge en % de la matinée du 29 Novembre :
Voici le graphique Fortigate de Wireshark lancé à 12h le 28 Novembre ; Pour voir le graphique à 6h le
jour suivant il suffit de rajouter 12h à 6h = 18h :
On peut voir que la valeur max correspond à environ 300 Kbytes/sec.
Si SFR prend comme valeur maximum le débit de 1640 Kbytes/sec qu’il annonce on a bien :
(300 x 100) / 1640 = 18,3 %
On retrouve cette valeur dans le graphique du trafic de SFR.
Page 40 sur 59
Annexe 1 ter : Modification du fichier fgt2eth.pl
Une faute est présente dans le fichier Perl « fgt2eth.pl » concernant la variable des heures $hour qui
fausse le graphique de Wireshark :
Avant modification :
Après modification :
Page 41 sur 59
Annexe 8 : Installation du logiciel de supervision CACTI
Sommaire
Présentation ...................................................................................................................................... 42
RRDtool .............................................................................................................................................. 42
CACTI ................................................................................................................................................. 42
Rappel succinct sur le protocole SNMP ............................................................................................. 42
Liste des fichiers SNMP ..................................................................................................................... 44
Difficultés rencontrées ...................................................................................................................... 44
Annexe 1bis ....................................................................................................................................... 45
Installation de Cacti. ...................................................................................................................... 45
Annexe 2bis ....................................................................................................................................... 49
Installation du SNMP sur les serveurs ........................................................................................... 49
Activation sur les serveurs antérieurs à Windows Server 2008 : .............................................. 49
Activation sur Windows Server 2008 : ...................................................................................... 50
Modification du service SNMP .................................................................................................. 50
Annexe 3bis ....................................................................................................................................... 51
Création d’un graphique dans Cacti .............................................................................................. 51
Créer un serveur à monitorer .................................................................................................... 51
Déterminer les options des graphiques .................................................................................... 52
Créer une nouvelle entrée (branche) sur l’arbre et y transférer les graphiques .......... 53Erreur !
Signet non défini.
Annexe 4bis ....................................................................................................................................... 54
Installation d’un plugin .................................................................................................................. 54
Installation d’un nouveau plugin ............................................................................................... 55
Exemple de configuration du plugin THOLD ............................................................................. 56
Annexe 5bis ....................................................................................................................................... 58
Informations confidentielles ......................................................................................................... 58
Page 42 sur 59
Présentation L’entreprise de MAZ’AIR n’a aujourd’hui aucun visuel lui permettant de savoir rapidement et
facilement comment se comporte ses machines virtuelles.
J’ai donc proposé d’installer Cacti qui est un logiciel de supervision (dit de « capacity planning ») basé
sur RRDtool permettant de surveiller l'activité de son architecture informatique à partir de
graphiques quotidiens, hebdomadaires, mensuels et annuels.
Cette solution n'est donc pas destinée à alerter en temps réel sur les dysfonctionnements d'un
système mais bien de proposer une vision dans le temps de l'évolution d'indicateurs matériels et
logiciels (trafic réseau, occupation des disques, taille de la mémoire utilisée, etc.).
RRDtool RRDtool est un outil de gestion de base de données RRD (round-Robin database) créé par
TobiOetiker. Il est utilisé par de nombreux outils open source, tels que Cacti, collectd, Lighttpd, et
Nagios, pour la sauvegarde de données cycliques et le tracé de graphiques, de données
chronologiques. Cet outil a été créé pour superviser des données serveur, telles que la bande
passante et la température d'un processeur. Le principal avantage d'une base RRD est sa taille fixe.
RRDTool inclut également un outil permettant de représenter graphiquement les données contenues
dans la base.
RRDTool est un logiciel libre distribué selon les termes de la GNU GPL.
CACTI
Cacti est un logiciel écrit en PHP, s'appuyant sur un base de données MySQL pour stocker tous ses éléments de configuration et sur RRDtool pour créer les fichiers RRD, les peupler et obtenir les graphiques correspondants. Il a pour objectif de faciliter les manipulations parfois fastidieuses de RRDtool.
Rappel succinct sur le protocole SNMP
Un matériel, quel que soit sa fonction (imprimante, commutateur, routeur, poste de travail, etc.),
dispose d'innombrables informations de gestion (le nombre de page imprimées d'une imprimante, le
trafic sur chaque port d'un commutateur, etc.) très intéressantes pour l'administrateur réseau.
Plusieurs versions de SNMP (SNMPv1, SNMPv2 et SNMPv3) ont été décrites et publiées dans de
nombreuses RFC.
Le protocole SNMP permet notamment à ces derniers, grâce à un agent SNMP présent sur chaque
matériel, de connaître en temps réel ces informations de gestion.
L'agent SNMP peut fonctionner de deux manières :
- il reste à l'écoute des éventuelles requêtes (port UDP 161) que l'administrateur lui enverra : il peut
alors répondre ou modifier un paramètre ;
Page 43 sur 59
- il peut aussi émettre des alertes de sa propre initiative, si sa configuration le lui permet (trap SNMP
sur le port UDP 162).
L'agent SNMP gère une base de données
normalisée appelée la MIB (Management
Information Base) regroupant des objets
créés de manière hiérarchique à l'image du
système DNS (Domain Name System).
Voici un exemple de table MIB extrait du site
http://www.frameip.com
La MIB est une structure arborescente dont
chaque noeud (un objet) est défini de
manière unique par un nombre ou OID
(Object Identifier ou "identificateur
d'objets").
Elle contient une partie commune à tous les
agents SNMP en général, une partie
commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque
constructeur. Chaque équipement à superviser possède sa propre MIB.
Chaque niveau de la hiérarchie est donc repéré par un index numérique et SNMP n'utilise que celui-ci
pour y accéder.
Par exemple, on peut lire la valeur de "l'uptime" d'un poste sous linux (c'est-à-dire le temps depuis
lequel la machine est en marche) à partir de l'OID suivant :.1.3.6.1.2.1.1.3.0.
Mais tout ceci n'a d'intérêt que s'il existe des applications destinées à interroger la MIB. C'est le rôle
des "manager" SNMP qui peuvent être très simples (ligne de commande) ou beaucoup plus
sophistiqués (comme l'outil "openview" de HP). On interroge cette MIB grâce à des commandes
comme snmpwalk ou snmpget.
De nombreuses applications complètes de supervision réseau exploitent ces outils.
Une authentification basique existe via la création de groupes de sécurité disposant d'une sorte de
mot de passe, appelé "community" ou en français « communauté » qui auront accès en lecture seule
ou en lecture/écriture (l'écriture étant quand même beaucoup plus rare), et ce, sur tout ou sur
certaines branches seulement. En général, la plupart des matériels utilise par défaut la communauté
"public" non sécurisé qui a le droit de lecture sur les informations non sensibles.
Page 44 sur 59
Liste des fichiers SNMP
Voici la liste des fichiers que Windows 2003 a besoin pour activer le service SNMP :
Difficultés rencontrées Pas de graphique ou graphique vierge : attendre un petit peu que le poller se lance une ou deux fois avant de commencer à voir des courbes. Regarder les logs du poller si elles n’apparaissent toujours pas : C:\\xampp\htdocs\cacti\log\cacti.log Les graphiques s’arrêtent dans la nuit : Vérifier les paramètres de la tâche automatisée. Dans mon cas j’avais laissé la case « démarrer à l’ouverture d’une session » cochée. Lors du redémarrage journalier, le poller n’arrivait pas à se relancer tout seul.
Page 45 sur 59
Annexe 1bis
Installation de Cacti.
Pour que Cacti fonctionne, il lui faut une base de données, une interface web et une librairie php. Pour cela nous avons installé Xampp qui est un pack très facile d’installation. Ce pack comprend notamment mySQLServer pour la base de donnée, Apache pour l’interface graphique et aussi des librairies de langages comme Php ou Perl. Une fois Xampp installé, il faut télécharger la dernière version de Cacti et les divers fichiers nécessaires au logiciel:
- Cacti : http://www.cacti.net/download_cacti.php - Outils SNMP (prendre binaries pour windows) : http://www.net-snmp.org/download.html - Outils Rddtool (prendre .zip pour windows) : http://oss.oetiker.ch/rrdtool/pub/?M=D
Décompresser le fichier et placer le dans le répertoire « htdocs » de Xampp (C:\\xampp\htdoc) puis renommer le en « cacti » pour une meilleure facilité d’utilisation par la suite.
Ensuite, il faut créer une nouvelle base de données SQL pour Cacti et lui affecter un utilisateur et un mot de passe. Le tout en ligne de commande donc Démarrer>Exécuter>cmd :
- Créer la base de données MySQL
- Importer la base par défaut de Cacti:
Page 46 sur 59
- Créer un utilisateur cactiuser et un mot de passe MySQL.
Renseigner ensuite la configuration de Cacti dans C:\xampp\htdocs\cacti\include\config.php Aller sur la page internet de Cacti : http://@IPduserveur/cacti La charte de Cacti : Choisir New Install :
Page 47 sur 59
Renseigner les chemins des divers éléments suivants :
- Snmpwalk.exe - Snmpget.exe - Snmpbulwalk.exe - Snmpgetnext.exe - Rddtool.exe - Php.exe - Chemin pour les logs
L’installation de Cacti est quasiment terminée, il ne reste qu’à créer une tâche automatisée qui va lancer le poller toutes les cinq minutes :
- Description de la tâche
- Exécuter avec les droits d’administrateur même si une session n’est pas ouverte
- Lancer la tâche au démarrage du système et la relancer toutes les cinq minutes après son déclenchement.
Page 48 sur 59
- Lancer le fichier
c:\xampp\htdoc\cacti\poller.php
- Définir les conditions
- Définir les paramètres
L’installation de Cacti est terminée
Page 49 sur 59
Annexe 2bis
Installation du SNMP sur les serveurs
Le principe est le même pour tous les serveurs Windows :
- Ajouter la fonctionnalité SNMP
- Modifier le service SNMP
- Ajouter la communauté
- Spécifier qui peut accéder à cet ordinateur via le protocole SNMP
Activation sur les serveurs antérieurs à Windows Server 2008 :
1- Panneau de configuration>Ajout /suppression de programmes 2- Ajouter des composants Windows 3- Outils de gestion d’analyse>Details 4- Cocher « SNMP (Protocole simplifié de gestion de réseau) » et « SNMP WMI »
L’installation va alors commencer et vous devrez insérer le cd d’installation de Windows pour pouvoir la finaliser.
Page 50 sur 59
Activation sur Windows Server 2008 :
1- Gestionnaire de serveur 2- Fonctionnalités>Ajouter des fonctionnalités 3- Cocher « Services SNMP »
Modification du service SNMP
Il se trouve dans les versions antérieurs à Windows Server 2008 en faisant un clic droit sur Poste de travail>Gérer>Services et applications>Services Ou dans l’onglet Configuration dans le Gestionnaire de serveur pour Windows Server 2008. Double cliquer sur « Service SNMP », onglet Sécurité :
- Ajouter une Communauté
- Spécifier la(les)machine(s) qui pourront venir l’interroger avec du SNMP.
Page 51 sur 59
Annexe 3bis
Création d’un graphique dans Cacti
Principe :
- Créer un serveur à monitorer
- Déterminer les options des graphiques
- Créer une nouvelle entrée (branche) sur l’arbre
- Transférer les graphiques dans cette branche
Aller sur la page principale pour se logger : http://@IPduserveur/cacti Username : admin Password : admin
Créer un serveur à monitorer
Donc une fois logger sur Cacti, on arrive sur la page principale.
- Aller dans l’onglet Devices et cliquer sur Add
Page 52 sur 59
Puis renseigner :
- le nom du serveur - l’adresse IP - choisir le Template correspondant au serveur : Ici Windows Serveur donc « Windows
2000/XP host »
- mettre la version SNMP n°2 - la communauté
Déterminer les options des graphiques
Aller dans l’onglet « New Graphs » sur la gauche.
- Choisir l’hôte sur lequel on veut créer les graphiques - Passer en revue les différents types de graphes et cocher les options souhaitées à chaque
page - Appuyer sur à chaque page modifiée
Page 53 sur 59
Créer une nouvelle entrée (branche) sur l’arbre et y transférer les graphiques
Aller dans l’onglet « Graphs Trees » sur la gauche.
- Appuyer sur Add
- Rentrer le nom que vous voulez voir s’afficher sur l’arbre des graphiques puis
- Là vous venez de créer une branche principale. Il faut maintenant y ajouter les objets. Pour
cela il faut cliquer sur le nom que vous venez de créer puis sur Add
- Sélectionner host puis ajouter autant d’objet que vous souhaitez un par un VOILA … Lorsque vous allez sur l’onglet graph en rouge en haut à gauche, vous pourrez visualiser les graphiques précédemment créés.
Page 54 sur 59
Page 55 sur 59
Annexe 4bis
Installation d’un plugin
Installer tout d’abord le plugin architecture qui est le plugin nécessaire pour en ajouter des suivants.
L’activez dans « User management » (Colonne de gauche) puis sélectionner Admin.
Cocher la case « plugin management » pour l’activer.
Vous trouverez désormais un nouvel onglet « plugin management » sur le bandeau de gauche.
Installation d’un nouveau plugin
Télécharger le plugin
Placer le fichier dans c:/xampp/htdocs/cacti/plugins
(Ps : si le dossier plugins n’existe pas, il faut le créer)
Rajouter le .sql dans la base de données
C:/xampp/mysql/bin/mysql –u root –p cacti< c:/xamp/htdocs/cacti/plugin/monplugin/fichier.sql
Dans le dossier de configuration du plugin, rajouter au début :
/* Default database settings*/
$database_type = "mysql";
$database_default = "cacti";
$database_hostname = "localhost";
$database_username = "cactiuser";
$database_password = "cactipassword";
$database_port = "3306";
$plugins = array();
$plugins[] = 'monitor';
$config['url_path'] = '/cacti/';
Page 56 sur 59
Coller tous les éléments du fichier image de Cacti dans le fichier image du plugin.
Exemple de configuration du plugin THOLD
Tholdest le premier module d'alertequi s'intègre parfaitement avec le moteur graphique de Cacti.
- Il exploite les graphiques de Cacti pour générer des alertes et envoi un mail d’avertissement ou
d’alerte aux utilisateurs sélectionnés.
Voilà la configuration pour permettre d’envoyer un mail :
Note : Ne pas mettre de Password ! Cacti ne supporte pas l’authentification 504 5.7.4.
Faites un test email et Cacti doit vous répondre :
Page 57 sur 59
Vous devez ensuite créer un Thresholds qui est une alerte par seuil :
Sur la colonne de gauche Onglet Management >Thresholds
Cliquer sur Add en haut à droite et créer votre alerte en choisissant votre serveur.
NOTE : Vous pouvez créer des alertes pour un ensemble de valeur comme tous les CPU par exemple
grâce aux « ThresholdTemplates » (colonne de gauche).
Voici un exemple d’alerte qui préviendra le helpdesk de MAZ’AIR lorsque le CPU ou la MEMOIRE
dépasseront les 80% (warning) et 90 % (alerte).
Page 58 sur 59
Annexe 5bis
Informations confidentielles
Voici les informations que j’ai utilisées pour la configuration de Cacti :
Cacti login :
Loggin = admin
Password = admin
Base de données MySQL :
database_type = "mysql"
database_default = "cacti"
database_hostname = "localhost"
database_username = "cactiuser"
database_password = "cactiuser"
database_port = "3306"
Communauté SNMP :
Nom = plublic123 en lecture seule