Projet | Réseau Multi-Sites

Description

Ce projet simule une infrastructure réseau FAI sécurisée. L'objectif est de fournir une connectivité sécurisée et isolée à deux clients distincts (A et B), possédant chacun plusieurs sites géographiques.

Technologies & Protocoles

Infrastructure Opérateur (Backbone) : OSPF (Area 0) pour le routage interne, MPLS (LDP) pour la commutation de labels, MP-BGP pour l'échange de routes clients.
Isolation (Segmentation) : VRF (Virtual Routing and Forwarding) pour séparer les tables de routage Client A / Client B.
Sécurité (Edge) : Tunneling IPsec (Site-to-Site) avec chiffrement AES et authentification SHA-HMAC, ACLs pour filtrer le trafic, sécurisation des accès (SSH).
LAN & Services : VLANs & Trunking (802.1Q), DHCP Server (IPv4 & IPv6 SLAAC), QoS pour prioriser la VoIP.

Architecture

L'architecture est divisée en trois zones autonomes (AS) :

AS 1234 (Opérateur) : Cœur de réseau composé de routeurs P (Provider) et PE (Provider Edge).
AS 65001 (Site 1) : Site 1 du Client A et du Client B.
AS 65002 (Site 2) : Site 2 du Client A et du Client B.

Focus Sécurité : IPsec & ACL

Pour garantir la confidentialité des échanges entre les sites clients traversant le backbone opérateur, un tunnel IPsec a été monté.

Phase 1 (ISAKMP) : Authentification Pre-Shared Key, Algorithme AES.
Phase 2 (IPsec) : Transform-set ESP-AES ESP-SHA-HMAC.

Des ACLs ont été appliquées sur les interfaces Edge pour bloquer tout trafic non chiffré ou non légitime (Telnet bloqué, SSH autorisé).

Note sur l'environnement de simulation

Ce projet étant une simulation académique sous GNS3 (Cisco c3725), certaines mesures de durcissement (Hardening) comme les mots de passe enable secret ou la configuration AAA n'ont pas été activées pour faciliter le débogage. En production, ces mesures seraient la première étape de configuration.

Description

This project simulates a secure ISP network infrastructure. The goal is to provide secure and isolated connectivity to two distinct clients (A and B), each possessing multiple geographical sites.

Technologies & Protocols

ISP Infrastructure (Backbone): OSPF (Area 0) for internal routing, MPLS (LDP) for label switching, MP-BGP for exchanging client routes.
Isolation (Segmentation): VRF (Virtual Routing and Forwarding) to separate Client A / Client B routing tables.
Security (Edge): IPsec Site-to-Site Tunneling with AES encryption and SHA-HMAC authentication, ACLs to filter traffic, secure access (SSH).
LAN & Services: VLANs & Trunking (802.1Q), DHCP Server (IPv4 & IPv6 SLAAC), QoS to prioritize VoIP.

Architecture

The architecture is divided into three Autonomous Systems (AS):

AS 1234 (ISP): Core network composed of P (Provider) and PE (Provider Edge) routers.
AS 65001 (Site 1): Site 1 for Client A and Client B.
AS 65002 (Site 2): Site 2 for Client A and Client B.

Security Focus: IPsec & ACL

To guarantee the confidentiality of communications between client sites crossing the ISP backbone, an IPsec tunnel was established.

Phase 1 (ISAKMP): Pre-Shared Key authentication, AES Algorithm.
Phase 2 (IPsec): Transform-set ESP-AES ESP-SHA-HMAC.

ACLs were applied to the Edge interfaces to block any unencrypted or illegitimate traffic (Telnet blocked, SSH allowed).

Note on Simulation Environment

As this is an academic simulation using GNS3 (Cisco c3725), certain hardening measures like enable secret passwords or AAA configuration were omitted to facilitate debugging. In a production environment, these would be the initial configuration steps.

Conception d'un Réseau Multi-Sites Sécurisé

Design of a Secure Multi-Site Network

Description

Technologies & Protocoles

Architecture

Focus Sécurité : IPsec & ACL

Note sur l'environnement de simulation

Description

Technologies & Protocols

Architecture

Security Focus: IPsec & ACL

Note on Simulation Environment