Mise en place et usage d'un serveur Web scientifique

CROUS de Strasbourg :
Problématique de raccordement d'une cité universitaire < Yannick OTTINGER, Yannick.Ottinger@crous.u-strasbg.fr
Crous de Strasbourg, Service informatique Cet exposé présente le contexte global, les objectifs et les
contraintes du raccordement des sites du CROUS de Strasbourg
(logements des étudiants et salles libre-service dans les Cités
Universitaires, services administratifs) au réseau métropolitain
strasbourgeois OSIRIS ainsi que la solution retenue basée
essentiellement sur les réseaux virtuels par authentification.
. Contexte Le CROUS (Centre Régional des ?uvres Universitaires et Scolaires) de
STRASBOURG gère les services de la vie étudiante de l'Académie de
Strasbourg : logement, restauration, bourses, culture, emploi, social,
voyages. A Strasbourg, près de 50 000 étudiants sont gérés par le CROUS
dont environ 5 000 hébergés dans les Cités Universitaires représentant 9
sites et 22 bâtiments.
Le projet du CROUS consiste à raccorder les 5 000 étudiants logés et 100
agents administratifs à OSIRIS (Réseau métropolitain), à RENATER (Réseau
National de Télécommunications pour l'Enseignement et la Recherche) et à
INTERNET.
OSIRIS irrigue l'ensemble des campus situés dans la Communauté Urbaine de
Strasbourg. Plus de 20 sites, soit 120 bâtiments sont reliés au réseau
Osiris, et à travers lui à Internet. Les liaisons font appel à des
technologies très différentes : faisceaux hertziens et infrarouges, fibre
optique, liaisons Transfix France Télécom.
La structure originale du réseau Osiris en deux sous-réseaux sécurisés
(Enseignement/Recherche et Administration), la première mise en service en
France, permet de garantir la confidentialité des informations (gestion
financière et comptable, notes d'examen...). Un troisième sous-réseau,
réservé aux étudiants, sera progressivement mis en place afin d'éviter la
saturation due au trafic généré par une communauté forte de plus de 50 000
étudiants à Strasbourg, et suite au raccordement à Osiris des cités
universitaires gérées par le CROUS.
Une Convention CROUS/OSIRIS a été rédigée pour préciser les modalités de
la mise à disposition du réseau OSIRIS et des services qui lui sont
associés : objet, participation financière, développement du réseau,
maîtrise d'?uvre, utilisation du réseau, gestion technique du réseau,
renouvellement de la Convention.
Dans le cadre de la diffusion des Nouvelles Technologies de l'Information
et fortement encouragé par le Ministère de l'Education Nationale, de la
Recherche et de la Technologie, le projet du CROUS est subventionné par le
CNOUS et par les collectivités territoriales. Ce projet doit permettre à
l'étudiant aux revenus modestes d'avoir accès à OSIRIS et à INTERNET à
moindre coût tout en valorisant le parc immobilier du CROUS. Le CROUS de
Strasbourg fait figure de pionnier dans ce domaine. Financièrement, il
s'agit de privilégier les coûts d'investissement par rapport aux coûts de
fonctionnement. Pédagogiquement, la chambre d'étudiant est vue comme le
prolongement de la salle de cours pour améliorer les conditions de travail
de l'étudiant. . Besoins La mise en réseau des Cités Universitaires à travers le réseau
métropolitain OSIRIS comporte 3 volets :
- câblage interne des bâtiments dans le respect des normes de câblage
de catégorie 5 (câble 4 paires torsadées à 120 Ohms - 100 MHz -
connectique RJ45 ou fibre optique multimode 62,5/125 pour des
distances supérieures à 90 m),
- mise en place d'une infrastructure de transport via fibre optique
monomode 9/125, multimode 62,5/125 (génie civil pour la pose de
fourreaux souterrains) ou faisceau hertzien (34 Mbits/s dans la
bande des 26GHz selon autorisation de l'ART) si les distances sont
trop importantes ou si non autorisation d'occuper le domaine de la
voirie publique,
- installation d'équipements actifs réseaux tels que hubs,
commutateurs ATM/Ethernet, routeurs, serveurs.
Compte tenu du contexte éducatif, les critères suivants sont
primordiaux pour le choix des équipements réseaux :
- Sécurité par authentification.
- Simplicité de connexion à OSIRIS.
- Robustesse du réseau.
- Possibilité d'avoir deux fournisseurs d'accès Internet. Sécurité par authentification
Compte tenu de la location à durée déterminée des chambres de CU, il est
particulièrement vital de mettre en ?uvre une politique d'authentification
de l'usager. Chaque utilisateur doit être identifié avant de pouvoir
accéder à des services extérieurs. Cette identification doit être simple et
corrélée avec les services de boîtes aux lettres électroniques mises en
place par les universités pour les étudiants. Cette authentification repose
sur un concept de deux zones : une zone accessible sans authentification
avec des services réseaux minimum comme par exemple des serveurs
d'information (cf. point suivant) et une zone dite OSIRIS qui est
accessible après authentification. Un suivi des connexions doit être
possible. Un avis sera demandé à la CNIL. Simplicité de connexion à OSIRIS
A terme, le projet devra permettre la connexion de 5 000 chambres avec
une durée moyenne d'occupation d'un an, soit un raccordement de
5 000 machines chaque année entre septembre et octobre. Par conséquent, il
est impératif de prévoir une infrastructure de réseau qui nécessite le
minimum d'installation et d'intervention sur les machines. En particulier,
il n'est pas souhaitable d'avoir à paramétrer un logiciel spécifique. De la
même manière, il est supposé que l'étudiant a une compétence suffisante
pour se connecter par lui-même. Le personnel du CROUS ne doit pas
intervenir pour une installation. Il est nécessaire de prévoir
l'information et la communication sur le mode de connexion. Il semble plus
que probable qu'une gestion dynamique des adresses IP avec une translation
d'adresse vers une classe officielle soit retenue. Robustesse du réseau
Ce critère est aussi très important. En cas de problème de connexion soit
par inadvertance, soit par malveillance, les équipements réseaux doivent
pouvoir isoler le port RJ45 concerné. Pour la liaison de raccordement au
backbone, le choix stratégique se porte sur la technologie ATM pour
plusieurs raisons : une bande passante très large, des débits importants de
155 à 622 Mbits/s et la possibilité d'affecter des portions du trafic à des
applications particulières, telles que la voix et le multimédia. Possibilité d'avoir deux Fournisseurs d'Accès Internet (FAI)
Une extension des services offerts pourrait être l'accès à un autre
fournisseur Internet que RENATER/OSIRIS. Ce dernier étant à vocation
éducative, il est fortement envisagé que les étudiants puissent accéder à
un autre fournisseur avec des conditions spécifiques (facturation par
exemple).
Il s'agit de séparer les flux dits « professionnels » (accès via RENATER
pour ce qui est formation, éducation) de ceux considérés comme
« personnels » (via un autre fournisseur d'accès). La problématique réside
dans la mise en ?uvre de cette politique. RENATER n'ayant pas de monopole
sur l'ensemble des flux qui peuvent être générés par les étudiants, il faut
laisser le secteur économique jouer son rôle.
Au moins 2 solutions existent pour aiguiller le trafic sortant vers le
FAI concerné : filtrer les adresses IP destinataires présente des risques
importants et n'est pas le rôle de RENATER ; identifier les adresses IP des
sites RENATER en les laissant passer et en redirigeant les adresses IP non
concernées par RENATER vers l'autre FAI semble être la meilleure solution
techniquement possible. Concernant l'adressage IP, la double connexion
(RENATER et FAI) crée une complexité de routage plus ardue (trafic devant
emprunter les mêmes routes à l'aller et au retour). Un groupe de travail
est chargé de préconiser une approche consolidée. . Cahier des charges[1] Le cahier des charges a été rédigé pour exprimer nos besoins. Les points
suivants sont les principes de base pour réaliser une maquette simulant le
futur réseau étudiant du CROUS :
. Equiper l'ensemble des sites avec des commutateurs ATM/ETHERNET
permettant d'authentifier les utilisateurs. Les commutateurs
actuellement en place sur le réseau universitaire OSIRIS étant de marque
ALCATEL-XYLAN et les routeurs de marque CISCO, les matériels proposés
devront être parfaitement compatibles avec tests d'interopérabilité à
l'appui.
. Utiliser le principe des VLANs par authentification pour vérifier
l'identité des utilisateurs par la saisie d'un login et d'un mot de
passe. Le port du commutateur est affecté dynamiquement du VLAN par
défaut au VLAN paramétré pour l'utilisateur qui s'authentifie : ceci
permet une mobilité géographique des utilisateurs (pas de brassage
physique sur les équipements) et une optimisation de la sécurité des
postes de travail.
. Le serveur d'authentification et son interface graphique seront
configurés dans un environnement PC Windows NT 4.0 Server.
. Mettre en ?uvre un client d'authentification simple à utiliser autant
pour la connexion que pour la déconnexion comme par exemple de type XVSS
(protocole Microsoft DLC 32 bits de niveau 2) à privilégier à TELNET
(protocole IP de niveau 3). La méthode d'authentification ne devrait pas
varier en fonction du client (PC Windows 95 ou 98, PC Linux, MAC). Nous