Annexe : fonctionnement de la solution actuelle

Annexe : fonctionnement de la solution actuelle
1.1. Schémas des fonctionnalités actuelles
Réseau de la Composante X
Réseau Externe
Authentification
Autorisation
Radius/LDAP
RPV
client RPV: utilisateur de la
composante X
- le client veut se connecter aux
applications internes et/ou
externes du réseau de la
composante X
- le serveur RPV envoie les
attributs réseaux (adressage IP,
serveur DNS, et routage
spécifique)
Vlan de la composante X
Trafic du poste client
Routeur de la composante X
Serveur RPV
-attribue une adresse IPV4, le serveur
de nom, ainsi que les routes spécifiques
-Proxy ARP IPV4, pour répondre aux
requêtes ARP à destination du poste
client
- Policy routing basé sur l'adresse
source du poste client, pour le trafic non
destiné au réseau de la composante
(next-hop = routeur de la composante
X)
1.2. Schémas de la configuration actuelle : connexion du client, attribution des
attributs réseaux, et envoi du trafic vers le réseau interne
userX Password = "XXXXX"
Cisco-AVPair="ipsec:addr-pool=pool_dpt_X",
Cisco-AVPair+="ipsec:netmask=255.255.255.0",
Cisco-AVPair+="ipsec:default-domain=u-strasbg.fr",
Cisco-AVPair+="ipsec:dns-servers=130.79.200.1",
Cisco-AVPair+="ipsec:max-logins=1",
Cisco-AVPair+="ipsec:include-local-lan=1
Réseau de la composante X
Réseau Externe
Authentification
Autorisation
RADIUS/LDAP
Gi0/0
client RPV : utilisateur
de la composante X
- configuration reçue:
ip : 130.79.35.48
mask : 255.255.255.0
dns: 130.79.200.1
Vlan de la composante X
Gi0/1
Routeur de la composante X
ip address : 130.79.35.254
Serveur RPV
- ip local pool pool_dpt_X
130.79.35.48 130.79.35.54
- interface FastEthernet0/1.846
description departement X
encapsulation dot1Q 846
ip address 130.79.35.55
255.255.255.0
ip access-group
chimie_lebel_interne_in in
ip access-group
chimie_lebel_interne_out out
ip proxy-arp
1.3. Schémas de la configuration actuelle : envoi de trafic du poste client vers le
réseau extérieur avec utilisation de Policy Routing basé sur l'adresse IP source
Il existe une « policy routing » sur
Fa0/0
Le datagrame IP est vérifié.
La “route-map client-interne”
numéro 21 correspond.
Réseau de la composante X
Réseau externe
Le datagrame est envoyé vers le
“next-hop” : 130.79.35.254
Gi0/0
Gi0/1.848 : adresse ip
130.79.35.55
client RPV : utilisateur
de la composante X
Routeur de la composante X
ip address : 130.79.35.254
Serveur RPV : définition du « policy routing »
ip source :
130.79.35.48
le poste client envoie
un datagrame IP avec
l'adresse source
130.79.35.48
IP datagram
Vlan de la composante X
- interface FastEthernet0/1.846
ip address 130.79.35.55 255.255.255.0
- interface FastEthernet0/0
ip policy route-map client-interne
- access-list 111 deny ip 130.79.35.48 0.0.0.7
130.79.35.0 0.0.0.255
access-list 111 permit ip 130.79.35.48 0.0.0.7
any
- route-map client-interne permit 21
match ip address 111
set ip next-hop 130.79.35.254
1.4. Schémas de la configuration actuelle : réception du trafic réseau sur le poste
client avec utilisation du « Proxy ARP» sur le serveur RPV
- La machine A veut envoyer un datagrame IP au poste client
- La machine A a besoin de la MAC adresse du poste client
- La machine A envoie une “requête arp”
- Le serveur RPV répond à la requête à la place du poste client
- A envoie son datagrame IP au poste client avec la MAC adresse du serveur RPV
- Le serveur RPV transmet le datagrame IP au poste client
A
Réseau
de la composante X
2.
Gi0/0
client RPV : utilisateur
de la composante X
Gi0/1.848 : ip address
130.79.35.55
Routeur de la
composante X
ip address :
130.79.35.254
Serveur RPV
ip source : 130.79.35.48
- interface FastEthernet0/1.846
ip address 130.79.35.55 255.255.255.0
ip proxy-arp
Datagrame IP
Proxy request
Vlan de la composante X