Les Missions "Réseau" - Direction des Systèmes d`Information

Transcription

Université Pierre et Marie CURIE / CCR
Avril 2004
Centre de Calcul Recherche et Réseaux
Tour 65-66, 5ème étage
Casier 171
4 Place Jussieu
75252 PARIS Cedex 05
LES MISSIONS DU CCR
MISSIONS « RÉSEAU »
Version 3.5 (Avril 2004)
Les missions du CCR
Missions « réseaux»
Page 1/26
Avril 2004
SOMMAIRE
I. Introduction ................................................................................................................................. 3
II.
Les missions « réseau » du CCR ............................................................................................... 4
II.1. Présentation succincte du Réseau Jussieu .................................................................... 5
II.1.1. Quelques chiffres caractérisant le Réseau Jussieu.................................................. 5
II.1.2. Les sites du « réseau Jussieu » et leur interconnexion........................................... 5
II.1.3. Les bâtiments neufs ou rénovés du Campus et leur interconnexion ....................... 8
II.1.4. Le câblage des bâtiments ...................................................................................... 9
II.2. La connexion logique ................................................................................................. 10
II.3. La sécurité informatique « de base » du Réseau Jussieu ............................................ 11
II.4. Les prestations « réseau » du CCR ............................................................................ 12
II.4.1. Ingénierie et exploitation de la dorsale Réseau Jussieu........................................ 12
II.4.2. Veille technologique active .................................................................................. 13
II.4.3. Actions spécifiques liées à la rénovation du Campus............................................ 13
II.4.4. Administration des serveurs « réseaux » ............................................................. 14
II.4.5. Surveillance et métrologie ................................................................................... 15
II.4.6. Sécurité .............................................................................................................. 15
II.4.6.1. Généralités ................................................................................................... 15
II.4.6.2. Sécurité physique ......................................................................................... 16
II.4.6.3. Sécurité logique ............................................................................................ 16
II.4.6.4. Le RSSI ........................................................................................................ 17
II.4.6.5. Intervention du CCR sur incident .................................................................. 18
II.4.7. Conseil, assistance, dépannages, interventions.................................................... 18
II.4.8. Relations extérieures........................................................................................... 18
II.4.9. Transfert des savoirs........................................................................................... 19
II.5. Les limites de prestation ............................................................................................ 19
II.5.1. Les différents cas de figure ................................................................................. 21
II.5.2. Interfaces détaillées ............................................................................................ 22
Les missions du CCR
Page 2/26
I.
Avril 2004
Introduction
Le CCR (www.ccr.jussieu.fr) s’est vu confié depuis 1984 trois missions principales, qui sont par
ordre chronologique :
• la mise en œuvre de ressources en calcul scientifique (1984) ;
• le déploiement et la gestion de la dorsale du Réseau Jussieu (1989) ;
• la distribution de logiciels (1992).
Ces missions qui se sont développées au cours du temps, ont permis au CCR d’acquérir la
maîtrise des domaines de compétences correspondants.
Dans le cadre de la redéfinition des missions des Centres de Ressources Informatiques de
l’Université, le CCR propose de conserver la responsabilité de ces domaines en reformulant les
périmètres d’intervention et les missions qui en découlent et ce en tenant compte de l’évolution des
technologies et de l’émergence de nouveaux services.
Le présent document concerne les missions « réseau » du CCR.
Les missions du CCR
Page 3/26
Avril 2004
II. Les missions « réseau » du CCR
Le CCR a pour mission « réseau » la conception, l’évolution et l’administration de la dorsale
(ensemble des liaisons et matériels actifs communs) du Réseau Jussieu.
Ceci comprend l’administration des composantes suivantes :
• l’interconnexion avec Internet via le Réseau Académique Parisien (RAP) et le Réseau
National de la Recherche et de la Technologie (RENATER) du site principal et des sites
secondaires ;
• les liaisons physiques (ex : fibres optiques louées pour les locaux tampons) ou logiques
(ex : sites connectés via RAP) entre le Campus Jussieu et les sites distants ;
• les matériels actifs (ex : ordinateurs, routeurs, commutateurs) ou passifs (ex : fibres,
convertisseurs, multiplexeurs d’ondes) participant au fonctionnement et à la surveillance
de la dorsale ;
• le service réseau de base (TCP/IP) et les services nécessaires à son activation (ex :
commutation, routage) pour les données ;
• les matériels et protocoles assurant les liaisons téléphoniques (autocommutateur central unités de raccordement d’abonnés distants) entre Jussieu et les sites distants ;
• les serveurs communs généralistes (passerelle messagerie, news, ftp anonyme…) ;
• les réseaux virtuels des laboratoires et services utilisateurs de l’infrastructure partagée
(dorsale) permettant leur dispersion géographique sur le Campus et les sites secondaires
directement connectés (VLAN) ou via RAP (VPN) ;
• la sécurité globale de l’ensemble physique (ex : secours électrique) et logique (ex :
filtrage virus) ;
• etc.
Cette mission inclus bien sûr la veille technologique (plateformes de tests,…) ayant pour buts
une évolution harmonieuse et adaptée du Réseau Jussieu et une technicité de haut niveau de l’équipe
réseau dans tous les domaines du réseau et des technologies associées :
•
•
•
•
•
•
nouveaux
nouveaux
nouveaux
nouveaux
nouveaux
etc.
Les missions du CCR
supports de communications (ex : réseaux sans fil) ;
protocoles réseaux (ex : IPv6) ;
outils (ex : IGC) ;
services (ex : téléphonie sur IP en collaboration avec le service téléphonie) ;
usages (ex : VoD) ;
Page 4/26
Avril 2004
II.1. Présentation succincte du Réseau Jussieu
II.1.1. Quelques chiffres caractérisant le Réseau Jussieu
Une des caractéristiques principales du Réseau Jussieu est sa taille. Que ce soit pour son
administration au jour le jour ou lors de l’étude de nouveaux protocoles/usages, cette dimension
inhabituelle est toujours un paramètre important dans le choix des solutions ou stratégies. Les
réponses « standards » (exemples : firewall, antivirus, antispam, téléphonie/IP) sont souvent
inadaptées (facteur d’échelle)…
Quelques chiffres peuvent résumer cette dimension :
•
•
•
•
•
•
•
•
•
•
•
une dorsale sur 19 sites parisiens ;
250 laboratoires connectés (UPMC, Université P7, IPGP, CNRS, INSERM…), 300 VLAN ;
15 000 machines appartenant aux différents établissements ;
120 matériels actifs (de l’accès au Campus au local technique d’étage);
une vingtaine de serveurs directement liés à l’activité réseau et aux services associés
indispensables ;
8 Téra octets en sortie et 4 Téra octets en entrée en moyenne par mois à
l’interconnexion Jussieu-RAP ;
300 serveurs web, 110 serveurs de messagerie ;
200.000 à 250.000 courriels par jour dont 10% avec virus et 20% de spams (courriers
non souhaités) « marqués » par la passerelle courriel ;
entre 100 et 200.000 news par jour, 60 sites approvisionnés par Jussieu ;
250 Go/jour en moyenne (avec pointes à 800 Go/jour), 65.000 connexions par jour sur le
serveur ftp lip6/jussieu ;
etc…
II.1.2. Les sites du « réseau Jussieu » et leur interconnexion
La dorsale du réseau Jussieu s’étend sur tous les sites Parisien de l’université Pierre et Marie
Curie. Leur interconnexion est assurée soit par le Réseau Académique Parisien pour les sites
permanents, soit par des fibres optiques louées pour les sites provisoires.
Le schéma suivant montre le principe des interconnexions
• entre sites du Réseau Jussieu ;
• avec le monde extérieur.
Les missions du CCR
Page 5/26
Avril 2004
Cinq sites ont une connexion directe RAP :
•
•
•
•
•
Campus Jussieu (1 Gbs) ;
Cordeliers (100 Mbs) ;
CHU Pitié-Salpétrière (100 Mbs) ;
CHU Saint Antoine (100 Mbs) ;
CHU Tenon (100 Mbs).
Quatre sites sont reliés au Campus Jussieu via un VPN RAP :
• Campus Curie par un VPN RAP (155 Mbs partagés avec les autres laboratoires du
Campus) ;
• Campus Raspail par un VPN RAP (100 Mbs partagés avec les autres laboratoires du
Campus) ;
• Trousseau (2 Mbs) ;
• Saint-Cyr (2 Mbs) : le VPN est prolongé dans Renater jusqu’à l’UVSQ d’où une LS (liaison
spécialisée) part vers le site de Saint-Cyr.
Les missions du CCR
Page 6/26
Avril 2004
Sept sites (+ un) sont reliés au Campus Jussieu en fibre optique (par ordre chronologique) :
• Scott (155 Mbs ; informatique et téléphonie) d’où part une LS (liaison spécialisée) vers le
site de Lourmel ;
• Chevaleret (155 Mbs ; informatique et téléphonie) ;
• Montréal (1 Gbs ; informatique et téléphonie)
Université de Paris 7. Interconnexion et réseau local administré par le CCR ;
• RFF (1 Gbs ; informatique et téléphonie)
Université de Paris 7. Interconnexion administrée par le CCR ; réseau local administré
par l’équipe réseau P7.
• Boucicaut (1 Gbs ; informatique et téléphonie) ;
• Voltaire (1 Gbs ; informatique et téléphonie).
• Ivry (1 Gbs ; informatique et téléphonie).
Deux petits sites sont reliés au Campus Jussieu par une liaison spécialisée :
• Hôtel-Dieu (64 Kbs) ;
• HEPG / Hôpital Européen Georges Pompidou (256 Kbs).
Le schéma ci-dessous montre les principes de base de la connexion d’un site distant en fibre
optique :
Les missions du CCR
Page 7/26
Avril 2004
II.1.3. Les bâtiments neufs ou rénovés du Campus et leur interconnexion
Le principe général du câblage inter-bâtiments du Campus (rocade informatique) est basé sur
un ensemble de câbles optiques (12 fibres multimodales, 6 fibres monomodales) en étoile, du CCR
vers chaque rotonde ou bâtiment abritant les locaux techniques principaux (LTP).
Cette rocade est complétée par un ensemble de liaisons optiques (6 fibres multimodales, 6
fibres monomodales) entre le local technique principal et les locaux techniques d’étages (LTE). Un
local technique d’étage héberge les baies informatiques contenant les bandeaux du câblage et le
matériel actif de 2 barres adjacentes (cf. V en rouge sur schéma ci-dessus).
Le câblage terminal (du local technique d’étage au poste de travail) est assuré par des liaisons
cuivre (catégorie 5E ou 6) banalisées téléphonie et informatique à connectique rj45.
Les missions du CCR
Page 8/26
Avril 2004
II.1.4. Le câblage des bâtiments
Les bâtiments « tampons » (loués pendant le temps de rénovation), les bâtiments construits
sur le Campus (31-41, Pédagogie, Esclangon) ou à venir (16M) et les barres rénovées sont dotés d’un
précâblage et de matériels actifs selon le modèle ci-dessous.
Tous ces immeubles sont connectés « en étoile » sur un cœur de réseau hébergé au CCR.
Le Réseau Jussieu, dans les anciens bâtiments (barres en attente de rénovation), propose un
point d’accès réseau informatique aux laboratoires et services (voire aux postes isolés) dans un « local
technique » (une gaine technique dans la rotonde) au 3ème étage d’une tour sur deux. Un laboratoire
ou service peut donc se connecter (à 10 ou 100 Mbs) à l’une ou l’autre des extrémités de son couloir.
Cette ancienne infrastructure de la dorsale (1991) est constituée de fibres optiques
multimodales et offre un débit de 100Mbs « Full Duplex » à chaque tour alimentée. Les matériels
d’extrémité (ports 10/100 Mbs côté laboratoire ou service, rocade 100 Mbs pouvant évoluer en Gbs si
besoin) supportent les VLANs (Cf. paragraphe II.2).
Les missions du CCR
Page 9/26
Avril 2004
II.2. La connexion logique
Les VLANs (un réseau virtuel a pour but d’émuler un réseau local physiquement contigu alors
qu’il est géographiquement dispersé) ont été imaginés pour faire cohabiter des réseaux logiques sur
un réseau physique partagé.
C’est pour offrir ce service qu’une opération, cofinancée par l’EPA et l’Université, a permis de
doter l’ensemble du Campus de matériels supportant cette technologie fin 2000. Les déménagements
partiels de laboratoires ou services en sont facilités quelque soient le lieu d’origine et le lieu de
destination.
Cette technique a été systématiquement utilisée dans le cadre de l’opération de rénovation du
Campus. En effet, elle permet de pallier l’éclatement géographique des laboratoires et services entre
le site Jussieu et les sites distants et/ou des locaux tampons sur le Campus lui-même. Elle garantit de
fait leur « continuité territoriale » informatique.
On peut noter que les VLANs constituent actuellement une des techniques les plus répandues
en terme de communications dans les entreprises. Compte tenu des problématiques rencontrées, ils
représentent la technologie la plus appropriée dans le contexte de l’Université.
La technologie VLAN étant présente sur tout le Campus et tous les sites distants, chaque port
(point de connexion) de chaque matériel de la dorsale peut être affecté à un VLAN particulier, donc
appartenir à un réseau local de laboratoire, de service ou transverse (VLAN « Administration », VLAN
« Téléphone », VLAN « Invités », VLAN « Sans fil », etc .).
La sécurité globale d’un VLAN est assurée par des filtres positionnés par le matériel qui en
effectue le routage (routeur, firewall…) de/vers l’extérieur : autres VLANs, autres réseaux…
Il est proposé aux laboratoires et services deux niveaux de « service réseau » :
• une connexion dite de « niveau 2 » (Ethernet) et les services associés (VLANs, QoS,
Garantie de bande passante, …). La dorsale est alors transporteur de trames Ethernet
«marquées » (« taguées ») selon leur VLAN ;
• une connexion dite de « niveau 3 » (IP) et les services associés (routage, filtrage, …). La
dorsale est alors réseau d’interconnexion entre le laboratoire ou service et le reste du
monde.
A noter que, pour les utilisateurs du service « niveau 2 », il y a obligatoirement un point
d’accès au service « niveau 3 » s’ils veulent accéder à l’extérieur via la dorsale Jussieu ; sinon ils sont
isolés (cas d’un Intranet).
Les missions du CCR
Page 10/26
Avril 2004
II.3. La sécurité informatique « de base » du Réseau Jussieu
La sécurité offerte dépend du type de « service réseau » choisi :
• « niveau 2 » -> mécanisme de niveau 2 (principalement étanchéité des VLANs) : la
sécurité de « niveau 3 » est prise en charge par le laboratoire ou service s’il gère le
routage du (des) VLAN(s) ;
• « niveau 3 » -> filtrage IP, IPSEC…
La sécurité offerte par le CCR pour un service « niveau 2 » consiste en :
• utilisation systématique de la fibre optique comme support sur l’ensemble de la dorsale
(Campus et liaisons intersites)
o difficilement « écoutable » ;
• cloisonnement des VLANs (le pruning automatique n'est pas configuré sur les matériels)
o une erreur de manipulation sur un commutateur n'entraîne pas l'affectation d'un
VLAN "sensible" à une prise isolée du campus si le commutateur n’est pas impliqué
dans le VLAN, les liens 802.1Q (nom du protocole assurant le transport des VLANs)
ne véhiculant que les VLANs strictement nécessaires par configuration manuelle ;
• traitement des incidents détectés par un logiciel d’administration de réseau ;
• isolement des matériels actifs accessibles en configuration au seul ccr ;
• métrologie temps réel « niveau 2 » permettant :
o le suivi des trafics des commutateurs permettant la détection de trafics
« inhabituels » en terme de volume ;
o le suivi d’indicateurs tels que débit des liens, mémoire, CPU,… des commutateurs
(pour prévenir toute congestion ou blocage de VLANs) ;
• suivi quotidien des messages journalisés de ces équipements ;
• suivi des avis du CERT et application des correctifs sur le matériel actif ;
• etc…
La sécurité offerte par le CCR pour un service « niveau 3 » consiste en :
• gestion de l’interconnexion Jussieu/reste-du-monde ;
• routage interne Campus et sites distants des réseaux de Jussieu ;
• application de la politique d’accès aux laboratoires et services (« tout interdire sauf ce qui
est explicitement permis ») ;
• filtrage « à la carte » en entrée et/ou sortie (demande des laboratoires) ;
• gestion des « cas d’urgences » (intrusions, dénis de service, vers informatiques, abus
d’utilisation des ressources…) ;
• métrologie temps réel « niveau 3 » permettant :
o le suivi des trafics au point d’accès au réseau du Campus et détection de trafics
« inhabituels » type « scans » ;
o le suivi d’indicateurs tels que débit des liens, mémoire, CPU,… des routeurs (pour
prévenir toute congestion ou blocage du réseau) ;
• journalisation des événements générés par les routeurs, en particulier ceux liés à la
sécurité
• etc…
Les missions du CCR
Page 11/26
Avril 2004
II.4. Les prestations « réseau » du CCR
Le CCR, administrateur de la dorsale multi-sites et des matériels actifs qui la composent (plus
de 120 routeurs et commutateurs), doit avoir des interlocuteurs dans chacune des entités qu’il
connecte au Réseau Jussieu. Il y a aujourd’hui (au moins) un correspondant informatique identifié
dans chaque UFR, laboratoire ou services. Cette population très (trop) nombreuse, de formation très
hétérogène devrait progressivement être remplacée par les ARI, informaticiens « de proximité »
rattachés aux UFR, en tant qu’interlocuteur du CCR. Une importante synergie entre le CCR et les ARI
devrait aller dans le sens d’une amélioration du service aux utilisateurs et d’une meilleure sécurité
informatique globale.
La mutualisation des ressources humaines et des services par les ARI, permettra une interface
CCR/utilisateurs plus homogène en se substituant aux ressources humaines très diverses et très
dispersées (de l’équipe d’informaticiens chevronnés à… rien) d’un laboratoire ou service à l’autre.
Les prestations actuelles du CCR couvrent les domaines suivants.
II.4.1. Ingénierie et exploitation de la dorsale Réseau Jussieu
Dans le cadre de l’évolution des besoins des utilisateurs, des nouveaux usages du réseau et
des technologies disponibles d’une part, de la rénovation du campus et des locaux tampons d’autre
part, le CCR est amené à
• concevoir l’architecture du réseau (critères : besoins, nouveaux usages, coûts…)
• rédiger et valider cahier des charges fonctionnelles et CCTP du câblage (des rocades au
poste de travail) en collaboration avec l’EPCJ pour les travaux de son ressort ;
• rédiger et valider cahier des charges fonctionnelles et CCTP des matériels actifs
nécessaires à l’activation du réseau, dépouiller les offres des fournisseurs et émettre des
avis auprès de la Commission des Marchés
• mettre en œuvre les protocoles (ex : VLAN) et services (serveurs) permettant la
connexion effective des laboratoires, services ou utilisateurs finaux selon l’architecture
retenue ;
• effectuer l’administration et la surveillance de l’ensemble du réseau ainsi constitué.
La gestion des noms des sous-domaines (laboratoire.jussieu.fr puis laboratoire.upmc.fr), la
gestion des adresses (Numéros IPv4 et bientôt IPv6 avec la mise en oeuvre prochain de ce nouveau
protocole sur le Campus) et les services associés (Domaine Name System, messagerie, VLAN,
routage, …) font parties des missions du CCR. L’administration de l’ensemble du réseau par une
équipe unique est une garantie de cohérence du réseau en termes de protocoles, services et sécurité.
Les missions du CCR
Page 12/26
Avril 2004
II.4.2. Veille technologique active
L’étude des nouvelles technologies (IPv6, réseaux sans fil, multiplexages voix-données,
téléphonie sur IP, messagerie unifiée, outils de visio/vidéo unicast ou multicast, outils de sécurisation
du système d’information, etc.) et la mise en œuvre de plateformes de test pour leur validation
(conformité à nos besoins, conformité à notre politique de sécurité, conformité aux normes, impact
sur l’existant, etc.) et pour l’acquisition de compétences en vue de leur exploitation, sont également
du ressort du CCR par les conséquences qu’elles peuvent avoir lors de leur intégration au réseau
opérationnel existant.
II.4.3. Actions spécifiques liées à la rénovation du Campus
Les déménagements occasionnés par le désamiantage et la rénovation du Campus peuvent
être classés en 4 catégories du point de vue « réseau » :
• départs vers un site extérieur loué en vue de libérer des locaux à traiter (site tampon) ;
• déménagements internes au Campus vers des locaux provisoires ;
• emménagements dans des locaux rénovés du Campus (retours de locaux tampons ou
déplacements internes au Campus);
• départs définitifs (cas spécifique Université Paris 7).
Le CCR doit apporter une solution appropriée à chaque cas.
Une connaissance approfondie des besoins et des matériels des laboratoires déménagés, le
planning (en une ou plusieurs vagues) et le périmètre de l’opération (tout ou partie de
laboratoires/service) sont nécessaires pour assurer un déménagement « transparent » du point de
vue informatique (connectique, VLAN, applications spécifiques). En limitant le déménagement de
l’informatique à un simple transport de matériel sans la moindre reconfiguration et/ou paramétrage,
en organisant la redondance de certains matériels pour les services les plus critiques, on peut limiter à
quelques heures les temps de coupure réseau et d’indisponibilité des serveurs/services.
Le type d’opération (cf. les 4 cas cités plus haut), les caractéristiques du site ou immeuble
(loué et/ou rénové), les besoins spécifiques des futurs occupants, l’intégration au réseau existant,
l’offre des constructeurs en termes de matériels et de protocoles réseau conduisent à la définition de
l’architecture du nouveau réseau, la rédaction des cahiers des charges précâblage et la procédure
d’acquisition des matériels actifs.
Le matériel actif des différents locaux technique (Cf. paragraphe II.1.4) est mis en service,
paramétré pour l’accueil des nouveaux arrivants en fonction de leurs besoins et de son intégration
dans la dorsale existante.
Dans les cas de sites distants, le choix du support d’interconnexion (fibre, faisceau hertzien,
VPN, …) en fonction de critères tels que la faisabilité, les performances, les coûts complète la
préparation du déménagement. L’intégration de la liaison inter-PABX (téléphone) dans la liaison
« données » est désormais systématique.
Lors du déménagement, l’intervention du CCR consiste à (Cf. paragraphe II.5) :
• transporter les VLANs « administratifs » (SIG, Bibliothèques…) jusqu’au nouveau site ;
• assurer la continuité du (des) VLAN du laboratoire ou service entre l’ancienne et la
nouvelle localisation du laboratoire. Ce transport du VLAN perdure si l’intégralité du
laboratoire/service n’est pas déménagé sur le nouveau site ;
Les missions du CCR
Page 13/26
Avril 2004
• effectuer le brassage dans le local technique correspondant ;
• affecter les ports/prises au VLAN ;
• fournir une assistance plus ou moins importante en fonction des ressources humaines
informatique du laboratoire/service.
II.4.4. Administration des serveurs « réseaux »
En plus de l’administration de ses matériels (routeurs, commutateurs, multiplexeurs, …),
l’exploitation d’un réseau nécessite la disponibilité d’un certain nombre de serveurs nécessaires à
l’activation d’un réseau informatique :
• DNS (serveurs de noms primaires et secondaires de 250 sous-réseaux)
o coordination avec les serveurs secondaires internes et externes,
o offre d’un service de gestion de sous-domaine via une interface web sur le serveur
du CCR (le labo gère son sous-domaine sur le serveur central);
• serveurs d’accès téléphoniques. Actuellement composé de 5 matériels pilotant une
centaine de modems, ce service sera progressivement remplacé par les offres type ADSL,
boucle locale radio, câble, … des opérateurs ;
• serveurs de métrologie et sécurité ;
et assurant les services de bases :
• passerelle messagerie devant assurer les filtrages (virus, courriers non sollicités,…) et les
translations d’adresses entre l’ancien nommage « jussieu.fr » et le nouveau « upmc.fr »
(associations « adresse officielle » - « adresse interne » - serveur de messagerie
s’appuyant sur l’annuaire LDAP de l’université)
(service redondé) ;
• serveurs de messagerie
(ccr, idf, 3 CHUs ; plus de 7000 boites à lettres) ;
• serveur webmail
(pour lire son courrier en connexion sécurisée) ;
• serveur de liste « sympa »
(70 listes statiques thématiques hébergées ; listes dynamiques en liaison avec
l’annuaire de l’UPMC prévues) ;
• serveurs web
(120 sites web hébergés au CCR dont certains très « assistés » : braillenet, …) ;
• serveur de news ;
• etc.
Enfin un service presse-bouton (avec plus ou moins d’assistance) pour matériels hébergés :
•
•
•
•
•
•
•
•
•
•
serveurs bibliothèque ;
matériels du LIP6 ;
serveurs Datagrid ;
serveur VoD du CPM ;
serveur Edusud/Résafad ;
baie gestion des accès (Kaba) ;
matériels PoP RAP ;
matériels NRD Rénater ;
matériels sites/opérateurs d’interconnexion avec le NRD ;
etc.
Les missions du CCR
Page 14/26
Avril 2004
II.4.5. Surveillance et métrologie
La connaissance de l’infrastructure du réseau est garantie par
• la gestion du câblage (logiciel de Système d’Information Géographique en cours
d’acquisition) ;
• les gestion du parc « matériel réseau » (équipements, localisations, configurations…).
La supervision du Réseau Jussieu est effectuée via
• la journalisation centralisée des informations (événements) fournies par l’ensemble des
matériels actifs du réseau, des serveurs associés et de matériels connexes
(onduleurs,…) ;
• la journalisation de l’activité des filtres ;
• les tests périodiques (5mn) d’accessibilité des équipements vitaux ;
• la réception et la classification (en fonction de leur gravité) des alarmes des matériels
sensibles permettant leur traitement.
La métrologie, basée sur la récupération de compteurs des matériels en fonction, permet
• d’étudier les charges des liens physiques (dorsale, capillaire) et des processeurs des
équipements dans le but de planifier l’évolution de l’infrastructure réseau en fonction du
besoin et de prévenir les goulots d’étranglement ;
• d’avoir une connaissance fine des flux et débits en vue
o d’une meilleure connaissance des serveurs/services les plus consommateurs de
bande passante (« Top 10 »),
o de détecter les trafics importants inhabituels,
o de détecter les flux correspondant à du trafic « de loisir »,
o de détecter les trafics « anormaux » en profil (scan) ou en activité (virus et vers
informatiques) ;
• d’extraire et mettre en forme des données statistiques pour leur publication « temps
réel » (web) sous forme de courbes de comportement à l’attention des usagers et
administrateurs.
II.4.6. Sécurité
II.4.6.1. Généralités
La Sécurité du Système d’Information couvre divers aspects de la sécurité informatiques :
• sécurité physique ou logique ;
• sécurité « interne » des équipements (fonctionnalités offertes par leur système) ;
• sécurité « externe » des équipements (assurée de l’extérieur : filtres, firewall,…).
La sécurisation du Réseau Jussieu (réseau multi-sites avec des sites multi-établissements) est
facilitée par :
• une administration de tous les matériels de commutation et routage de la dorsale et
d’accès à l’extérieur par une équipe unique (le CCR) garantissant la cohérence du réseau
(protocoles, sécurité,…) ;
• des firewalls séparant les réseaux de recherche, d’enseignement et d’administration ;
• une « VLANisation » généralisée du réseau avec filtrages inter-VLANs.
Les missions du CCR
Page 15/26
Avril 2004
La mise en œuvre de points d’accès IEEE 802.11 (sans fil), facilitant les accès « pirates » au
réseau du Campus, doit être contrôlée (ou, a minima, confinée) par l’équipe du CCR assurant la
cohérence globale de la protection du réseau.
Les actions spécifiques des laboratoires et services peuvent être :
• la sécurisation des applications : principalement des services standards sécurisés
(connexion à distance, messagerie, web) et différents mécanismes de filtrage au niveau
des serveurs ;
• un firewall à l’interconnexion laboratoire-dorsale Jussieu ;
• des connexions sécurisées (VPN, tunnels chiffrés…).
L’intégration de la sécurité dans les projets en cours est désormais systématique. La mise en
œuvre à moyen terme d’une Infrastructure de Gestion de Clés (PKI) doit également être prise en
compte. En attendant les certificats « serveurs » sont fournis par le CRU par l’intermédiaire du RSSI.
II.4.6.2. Sécurité physique
Les études actuelles de zonage du Campus par l’EPCJ, le transport dans un VLAN « intranet »
sur la dorsale du Réseau Jussieu des messages des matériels liés au control d’accès (lecteurs de
badges, serrures et capteurs divers) participent à la sûreté du Campus en général et des locaux
abritant les équipements réseau en particulier.
La sécurité physique des équipements réseau repartis dans tous les bâtiments de tous les
sites n’est pas chose facile : seuls les bâtiments neufs ou rénovés offres des locaux techniques
adéquats mais un environnement hétérogène : secours électrique ou non, ventilation/climatisation ou
non, accès sécurisé ou non… Le cœur du Réseau Jussieu, hébergé dans la salle machine du CCR,
bénéficie d’un environnement optimal. Les équipements RAP, RENATER et d’interconnexion sont situés
dans un local n’offrant pas encore toutes les garanties souhaitables (sécurité d’accès, climatisation,
protection incendie…).
La redondance matérielle (reprise plus ou moins automatique des fonctions d’un matériel
défaillant par un matériel de secours) n’est généralement pas assurée, exception faite des liaisons et
matériels d’interconnexion des sites directement connectés aux Campus (locaux tampons).
Ajoutés au choix de matériels reconnus pour leur fiabilité, une maintenance 4 heures pour le
cœur du réseau (matériels d’accès des sites compris) et un « spare » (matériels de secours) limitent
les pannes pénalisantes pour un coût financier acceptable. Cette politique « best effort » sera à
reconsidérer avec le support de la téléphonie.
II.4.6.3. Sécurité logique
La sécurité logique « locale» des équipements réseau, des serveurs et postes de travail
associés et administrés par le CCR est assurée par la prévention (ouverture minimale), la surveillance
des événements (constitution et exploitation de journaux), des comportements (métrologie) et par la
veille technologique (nouvelles versions, correctifs de sécurité du système ou des applications…). Les
laboratoires et services doivent intégrer cette dimension impliquant des ressources humaines et
financières lors de l’acquisition de leurs équipements.
La sécurité logique « de l’extérieur » (Cf. paragraphe II.3) est essentiellement assurée par
une politique de filtrage en cour de généralisation : « tout interdire sauf ce qui est explicitement
permis ».
Les missions du CCR
Page 16/26
Avril 2004
Elle est à 2 niveaux :
• les accès de/vers l’extérieur géré par le CCR quel que soit le site dépendant de
l’Université. Elle est assurée sur un routeur haut débit par un filtrage basé sur un
minimum d’access-lists (intranet, filtres d’urgence, …) pour ne pas pénaliser le débit
important de la prise d’une part et parce que ce n’est pas le niveau idéal pour un filtrage
fin d’autre part ;
• la connexion des réseaux locaux des laboratoires et services (VLAN partageant la dorsale
ou point d’interconnexion unique) à la dorsale gérée par le CCR quel que soient le site et
le laboratoire. Elle est assurée sur un routeur (un point de routage) par un filtrage fin
issu de la politique générale de filtrage (exemple : pas de connexion vers un port SMTP
extérieur au laboratoire autre que la passerelle courrier) et des demandes/besoins du
laboratoire ou service (exemple : le serveur web devant être accessible de l’extérieur est
au port 80 de la machine 134.157.i.j). C’est là que s’applique réellement la politique
« tout interdire sauf ce qui est explicitement permis ».
Les laboratoires et services sont encouragés à mettre en œuvre une politique de connexion
sécurisée de/vers l’extérieur (ssh, pops, imaps, webmail et webftp sécurisés…) ou, à défaut, et s’ils
ont les ressources humaines nécessaires, à installer un firewall à l’entrée du laboratoire.
Des outils de type IDS (Intrusion Detection System) sont à l’étude pour une réponse « temps
réel » aux attaques de notre réseau ou ayant notre réseau pour origine (volontaire ou non). Une
réaction immédiate aux scans, dénis de service et autres abus évitera des désagréments plus graves
(par exemple un scan est le premier pas vers une intrusion).
Au niveau applicatif, un des services les plus utilisés est la messagerie. Le passage obligé des
courriers électroniques par une passerelle gérée par le CCR permet une efficace politique de filtrage
des virus et, prochainement, une politique de marquage des courriers non souhaités (spams).
II.4.6.4. Le RSSI
Extrait d’une note d’information auprès des directeurs d’UFR et de laboratoires :
« Dans le cadre des mesures approuvées par le Conseil d’Administration du 4 mars 2002, le
CCR, service informatique en charge du réseau, a une mission de coordination de l’ensemble
des actions concernant la sécurité informatique à l’Université Pierre et Marie Curie. »
Le RSSI, membre du CCR, est chargé de la diffusion des informations relevant de la sécurité
(avis du CERT, articles, revues, séminaires…) via une liste de distribution spécialisée, des relations
avec les laboratoires de l’université, avec les entités extérieures impliquées et avec Renater lors
d’incidents de sécurité, des relations avec les autorités et le service juridique lors d’incidents
dépassant le cadre purement informatique.
De plus :
« […] Il a pour mission d’initier des actions de sensibilisation et de formation à la sécurité
informatique (en relation avec le service de la Formation Permanente) auprès des
correspondants réseaux dans les composantes et les unités de recherche et des responsables
des réseaux locaux de l’Université. Il devra en outre proposer les mesures correctives et
préventives nécessaires au directoire des Technologies de l’Information et de la
Communication. »
Une équipe « sécurité informatique » a été constituée en 2003 sous le contrôle du RSSI (à
partir de personnels spécialisés du CCR assistés d’ARI et de spécialistes des laboratoires). Des
groupes de travail ont été créés pour la veille technologique (incidents, correctifs, logiciels
spécialisés…), l’étude et la mise en œuvre de techniques de sécurisation de réseaux et de serveurs, la
préconisation de méthodes et technologies appropriées de prévention et de gestion d’incidents, etc…
Les missions du CCR
Page 17/26
Avril 2004
II.4.6.5. Intervention du CCR sur incident
Lors de la mise en évidence d’un incident impliquant un laboratoire connecté à la dorsale du
Réseau Jussieu et en concertation avec son correspondant informatique, les différentes phases sont
les suivantes :
• coupure immédiate de la connexion du laboratoire ou service (sauf quelques services
vitaux et non susceptibles de propager l’incident) par le CCR ;
• communication (CERT, sites impliqués), si besoin avec l’assistance du RSSI ;
• consultation du service juridique de l’Université si besoin (éventuel dépôt de plainte),
avec l’assistance du RSSI ;
• nettoyage des machines concernées par l’administrateur du réseau local (ou sous son
contrôle) suivi de l’audit des autres machines susceptibles d’être contaminées. Le CCR
peut servir de conseil mais n’intervient pas directement sur les machines des
laboratoires ;
• réouverture progressive de la connexion par le CCR et selon la politique « tout interdit
sauf ce qui explicitement autorisé ».
II.4.7. Conseil, assistance, dépannages, interventions
Le CCR a une mission de conseil auprès des laboratoires qui demandent une assistance lors
de la rédaction de cahier des charges concernant le câblage, le matériel réseau (hub, switches,
firewall), les serveurs « réseau » (Mailhost, DNS…) et/ou les logiciels associés (version de système ou
de packages…).
Une « hot-line » (numéro de téléphone à composer) et une adresse électronique d’urgence
permettent d’avoir une assistance ponctuelle et immédiate (dans la mesure du possible) en cas
d’incident (problème de sécurité, dysfonctionnements divers…).
Une adresse électronique « câblage » permet aux correspondants informatiques des
laboratoires et services de demander les interventions de brassage dans les locaux techniques quand
elles ne sont pas de leur responsabilité (Voir cas  des « limites de prestation » du CCR,
paragraphes II.5.1 et II.5.2). Une intervention sur place est alors programmée s’il y a pose d’une
jarretière ; l’intervention « logique » (association prise - VLAN) étant effectuée à partir du CCR.
II.4.8. Relations extérieures
Les divers fournisseurs (câblage, matériels actifs, logiciels,…), les opérateurs réseau (RAP,
RENATER, COLT,…), les entités extérieures raccordées à Jussieu (HEC, Polytechnique, le Ministère du
tutelle, …), des institutions (CERT-rénater, police, justice,…) sont les interlocuteurs « extérieurs »
habituels de l’équipe réseau du CCR. Les relations sont soit de type achat matériels/prestations
(fournisseurs) soit de type administration de réseau (opérateurs, entités connectées) et ses
conséquences (sécurité informatique).
Sur les sites, un dialogue permanent doit être entretenu avec les autres établissements
présents (Université Paris 7, IPGP, CNRS, INSERM) et/ou les autres services communs partenaires
(SIG Paris 6, SIG Paris 7, CICRP, UTES, CPM, Bibliothèques scientifiques et médicales,…).
Par ailleurs, les membres de l’équipe réseau associés à des projets UPMC (annuaire,
nommage, INFRADIO, …), interuniversitaires (CVIF, RAP,…), nationaux en relation avec le CRU (news,
multicast, IGC,…) sont amenés à participer (voire animer) aux groupes de travail correspondants.
Les missions du CCR
Page 18/26
Avril 2004
II.4.9. Transfert des savoirs
La création des ARI –personnels dédiés à cette fonction- est une opportunité pour former des
informaticiens « de proximité » en équipes plus réduites et plus homogènes que la nébuleuse des
« correspondants informatiques » actuels (un par laboratoire ou service soit 250 « netadmins » de
niveau de culture informatique et de disponibilité très variables…).
Des formations pourront être assurées par les membres de l’équipe réseau du CCR autour des
thèmes suivants :
protocoles, standards et normes réseaux ;
administration et surveillance de réseau local et serveurs des labos ;
paramétrage des postes de travail campus et/ou domicile ;
assistance locale et aide aux utilisateurs ;
rôle d’interface labos/CCR (connectique, services, assistance, …) ;
promotion de nouveaux services (visioconférence, webmail, …) ;
sécurité informatique (sensibilisation/information des utilisateurs finaux, promotions des
outils et protocoles sécurisés, gestion des prévention et gestion d’incidents, …) ;
• etc…
•
•
•
•
•
•
•
par l’organisation de séminaires réguliers et/ou dans le cadre de formations organisées par le service
de Formation Permanente de l’UPMC.
Des séminaires ou formations dans le domaine de la sécurité informatique, assurés par des
organismes reconnus par le milieu universitaire sont aussi proposés aux (futurs) ARI : SSI (DCSSI),
SIAR, VCARS (CNRS), OSSIR…
D’autre part, des présentations sont faites lors de séminaires/colloques réseau (CSIESR, JRES,
JTR, JSSI, GERET…) et des formations sont assurées (formation permanente, ARS,…) par des
membres de l’équipe.
Les collaborations avec les équipes réseaux d’autres entités présentes sur le Campus (RAP,
Paris 7, IPGP, IPSL, etc…) sont fréquentes dans le cadre de la veille technologique.
II.5. Les limites de prestation
Les matériels réseau hébergés au CCR (tour 56-66, 5ème étage), les liaisons optiques interbâtiments (Campus) ou inter-sites (Campus – sites distants) supportant les flux informatiques et
téléphoniques, les matériels réseau des locaux techniques (principaux et secondaires/d’étages), les
matériels de multiplexage/démultiplexage téléphone et informatique, les liaisons optiques entre les
locaux techniques (pour résumer : toute la distribution principale) sont sous la responsabilité du CCR.
La limite de responsabilité en terme de distribution terminale informatique sera différente
selon que l’on se trouve dans l’un ou l’autre des deux cas suivant :
• le laboratoire n’a pas de matériel réseau. Le CCR assure la connexion jusqu’à la prise
utilisateur ou jusqu’au répartiteur spécifique dans les salles de type TP/TD. Le brassage
au local technique sera effectué par le personnel du CCR sur le matériel de la dorsale.
L’accès au local technique est alors réservé au CCR ;
• le laboratoire administre son réseau local (matériels et ressources humaines). Le
laboratoire effectue le brassage au local technique sur son matériel réseau (généralement
Les missions du CCR
Page 19/26
Avril 2004
un commutateur et/ou un routeur) hébergé dans sa propre baie. L’interface « laboratoire
– dorsale » du campus se fait par la liaison entre le matériel administré par le labo et le
matériel de la dorsale administré par le CCR. Le local technique est alors accessible par le
personnel du CCR et par l’équipe réseau du laboratoire ; chacun n’intervenant que dans
sa baie.
Il est important de bien fixer les limites de prestation (donc de responsabilité) entre le CCR et
les laboratoires ou services utilisateurs du Réseau Jussieu. Elles se situent physiquement au niveau du
local technique d’étage qui héberge le point d’accès à la dorsale réseau. Selon la taille et les
spécificités du réseau local, la configuration des locaux, les ressources humaines et financières,
l’historique du laboratoire ou service, le « service réseau » demandé au CCR peut varier. Différents
modèles de connexion physique et/ou logique ont été élaborés pour satisfaire les besoins.
Les missions du CCR
Page 20/26
Avril 2004
II.5.1. Les différents cas de figure
Les différents modèles d’interconnexion laboratoire-dorsale sont résumés sur le schéma
suivant :
(*) 802.1Q est la norme de base des VLANs.
Les missions du CCR
Page 21/26
Avril 2004
II.5.2. Interfaces détaillées
Les quatre interfaces possibles sont détaillées ci-dessous (le terme « laboratoire » est générique pour
toute entité reconnue « connectable » : laboratoire, service, UFR, département …) :
Cas

: LTE CCR
• le CCR est le seul intervenant dans le local technique de l’étage. Il assure la connectivité
jusqu’à la prise murale du poste de travail (jarretière du poste non comprise).
• Action CCR :
o brassage au local technique ;
o paramétrage du commutateur d’étage (activation port, déclaration dans un VLAN,
filtre et qualité de service adaptés au poste) ;
o éventuelles déclarations dans les serveurs « réseau » (DNS) quand ils sont
administrés par le CCR.
• Action laboratoire :
o fourniture et pose du câblage « LTE - prise terminale » (*) : à la demande du
laboratoire la maîtrise d’œuvre (le Service de la Logistique Immobilière et des
Travaux) fait exécuter les travaux conformément au document édité par le CCR
« Prescriptions techniques générales courants faibles (informatique et
téléphonie) » ;
o fourniture et pose de la jarretière terminale ;
o configuration du poste de travail ;
o attribution du numéro IP (dans la plage fournie par le CCR) ;
o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont
administrés par le laboratoire.
(*)
hors précâblage compris dans la rénovation des bâtiments
Les missions du CCR
Page 22/26
Cas
bis
Avril 2004
: LTE CCR avec variante dite « Institut des Mathématiques »
entre le matériel « dorsale Réseau Jussieu » situé dans le local technique d’étage et le
matériel « laboratoire » situé dans un local du laboratoire d’une part, et jusqu’à la prise
murale du poste de travail (jarretière du poste non comprise) d’autre part. Cela permet,
par exemple, à un laboratoire d’insérer en coupure (logique) un routeur entre la dorsale
et son réseau local sans intervenir sur son brassage au local technique.
• Action CCR :
o brassage au local technique ;
o paramétrage du commutateur d’étage (activation port, déclaration dans un VLAN,
filtre et qualité de service adaptés au poste) ;
téléphonie) » ;
o fourniture et pose de la jarretière terminale ;
o paramétrage des équipements « laboratoire » (commutateurs, routeurs…) ;
o mise en œuvre des VLANs locaux (numéros fournis par le CCR) ;
o mise en œuvre du 802.1Q et déclaration d’un VLAN d’interconnexion si le
laboratoire a besoin d’un transport de ses VLANs sur la dorsale ;
o configuration du poste de travail ;
o attribution du numéro IP (dans la plage fournie par le CCR) ;
(*)
Les missions du CCR
Page 23/26
Cas

Avril 2004
: LTE partagé
• le local technique d’étage est partagé. Le CCR assure la connectivité entre le matériel
« dorsale Réseau Jussieu » dans la baie « CCR » où seul le CCR intervient d’une part et le
matériel « laboratoire » dans la baie « laboratoire » où seul l’administrateur du réseau
local intervient d’autre part. L’interconnexion est assurée par une jarretière cuivre/rj45
fournie par le CCR. Il fournit également les cordons de brassage au laboratoire.
• Action CCR :
o brassage entre l’équipement « dorsale Réseau Jussieu » et l’équipement
« laboratoire » ;
o paramétrage du commutateur d’étage (activation port, mise en œuvre du 802.1Q
et déclaration d’un VLAN d’interconnexion si le laboratoire a besoin d’un transport
de ses VLANs sur la dorsale, simple déclaration du port dans un VLAN sinon, filtre
et qualité de service adaptés si besoin) ;
téléphonie) » ;
o brassage côté laboratoire au local technique ;
o fourniture et pose des jarretières terminales ;
o configuration des postes de travail ;
o attribution des numéros IP (dans la plage fournie par le CCR) ;
Remarque : si le laboratoire n’occupe pas tout l’étage, les locaux restants peuvent être connectés
selon le principe « Cas 1 » où selon une répétition du principe « Cas 2 » (local technique multilaboratoires multi-baies…).
(*)
Les missions du CCR
Page 24/26
Cas

Avril 2004
: LTE/LTL
entre le matériel « dorsale Réseau Jussieu » situé dans le local technique d’étage et le
matériel « laboratoire » situé dans le local technique « laboratoire » (quelquefois réduit à
un placard) où seul l’administrateur du réseau local intervient. L’interconnexion est
généralement assurée par une jarretière cuivre/rj45 (jarretièrage optique possible si
nécessaire) fournie par le CCR. Il fournit également les cordons de brassage au
laboratoire.
• Action CCR :
o brassage entre l’équipement « dorsale Réseau Jussieu » et l’équipement
« laboratoire » ;
o paramétrage du commutateur (activation port, mise en œuvre du 802.1Q et
déclaration d’un VLAN d’interconnexion si le laboratoire a besoin d’un transport de
ses VLANs sur la dorsale, simple déclaration du port dans un VLAN sinon, filtre et
qualité de service adaptés si besoin) ;
téléphonie) » ;
o brassage au local technique « laboratoire » ; fourniture et pose des jarretières
terminales ;
Remarque : si le laboratoire n’occupe pas tout l’étage, les locaux restants peuvent être connectés
selon le principe « Cas 1 » où selon le principe « Cas 2 » (local technique multi-laboratoires multibaies…) voire du « Cas 3 » (couloir multi locaux techniques « laboratoires »).
(*)
Les missions du CCR
Page 25/26
Cas

Avril 2004
: LTE laboratoire
• le laboratoire est le seul intervenant dans le local technique de l’étage qu’il occupe
entièrement. Le CCR assure la connectivité entre le matériel « dorsale Réseau Jussieu »
situé dans le local technique principal (où il est le seul intervenant) et le matériel
« laboratoire » situé dans le local technique d’étage. L’interconnexion est assurée par une
paire de fibres optiques multimodales (connecteurs SC). Le CCR fournit la jarretière
optique et les cordons de brassage au laboratoire.
• Action CCR :
o connexion des fibres optiques vers le local technique de l’étage ;
o paramétrage du commutateur de local technique principal (activation port, mise en
œuvre du 802.1Q et déclaration d’un VLAN d’interconnexion si le laboratoire a
besoin d’un transport de ses VLANs sur la dorsale, simple déclaration du port dans
un VLAN sinon, filtre et qualité de service adaptés si besoin) ;
téléphonie) » ;
o brassage au local technique d’étage (optique et cuivre) ;
o fourniture et pose des jarretières terminales ;
Remarque : si un laboratoire occupe intégralement plusieurs étages d’un même bâtiment, un simple
jarretiérage optique (au niveau du répartiteur des fibres optiques « locaux techniques d’étages » du
local technique principal) entre les « LTE laboratoire » peut être effectué à la demande justifiée du
laboratoire. Le laboratoire administre alors son infrastructure réseau physiquement contiguë et une
seule connexion entre son réseau local et le matériel de la dorsale.
(*)
Les missions du CCR
Page 26/26

Les Missions "Réseau" - Direction des Systèmes d`Information

Transcription

Documents pareils

Framboise CP mars 13

compte rendu réunion des associations

Réf.:21/CON Rome, 1er février 2012 Ordre du jour du Groupe de

Ojirel livre un complexe multi-loisirs de 5 000 m², à Amiens

F - Ambassade d`Algérie à La Haye

MINISTERE REPUBLIQUE ALGERIENNE

PS FR