GERET Garde-barrire & VPN Paris, 30 septembre 2003

Architecture de rseau

Catherine Grenet <catherine.grenet@urec.cnrs.fr>

Plan
Point de vue : laboratoire du CNRS Gardes-barrire :
cas-types exemples concrets

VPN :
adressage routage contrle daccs exemples

Gardes-barrire

Architecture rseau recommande

Entit 1 Internet
WEB MAIL DNS . Base de donnes publique

R1

R2 R2

Entit N Administration Serveurs internes Zone interne

Zone semi-ouverte

Configuration type
Rseau de loprateur : - rseau de campus - rseau mtropolitain - rseau rgional - Rseau du laboratoire Zone semi-ouverte Serveurs accessibles de l Internet Zone interne

Entit 1

GB

C/R

Entit N

Serveurs internes
5

Variantes (1)
Rseau de loprateur : - rseau de campus - rseau mtropolitain - rseau rgional - Rseau du laboratoire Zone semi-ouverte Serveurs accessibles de l Internet Zone interne

Entit 1

GB

C/R

Entit N

Serveurs internes
6

Variantes (2)
Rseau de loprateur : - rseau de campus - rseau mtropolitain - rseau rgional - Rseau du laboratoire Zone semi-ouverte Serveurs accessibles de l Internet Zone interne

Postes clients GB Serveurs internes

Rseau non segment connect par un commutateur Ethernet

Sans garde-barrire INTERNET Routeur
IP 1

Avec un garde-barrire (mode pont) INTERNET Routeur

IP 1

Avec un garde-barrire (mode routeur) INTERNET Routeur

IP A IP B

Laboratoire Garde-barrire

Garde-barrire
IP 1

Commutateur Ethernet

Commutateur Ethernet

Commutateur Ethernet

Poste serveur

Poste client

Poste serveur

Poste client

Poste serveur

Poste client

Rseau non segment connect par un routeur IP 2 ports

Sans garde-barrire INTERNET Routeur Avec un garde-barrire (mode pont) INTERNET Routeur Avec un garde-barrire (mode routeur) INTERNET Routeur Routeur
IP A IP B

Laboratoire

Routeur
IP 1

Routeur
IP 1

Garde-barrire Commutateur Ethernet Commutateur Ethernet

Garde-barrire
IP 1

Commutateur Ethernet

Poste serveur

Poste client

Poste serveur

Poste client

Poste serveur

Poste client

Rseau segment connect par un routeur IP multiport

Sans garde-barrire INTERNET Routeur
IP 1

Avec un garde-barrire (mode pont) INTERNET Routeur

IP 1

Avec un garde-barrire (mode routeur) INTERNET Routeur

IP 1 IP 2

Laboratoire Garde-barrire
IP 2 IP 2 IP

Garde-barrire
IP A IP B

Routeur
IP IP

Routeur

Routeur

IP

IP

IP

Serveurs Internet

Serveurs internes

Postes clients

Serveurs Internet

Serveurs internes

Postes clients

Serveurs Internet

Serveurs internes

Postes clients

10

Rseau segment connect par un commutateur Ethernet

Sans garde-barrire INTERNET Routeur Avec un garde-barrire (mode pont) INTERNET Routeur

Laboratoire

Transport de VLAN 802.1Q

Garde-barrire

Commutateur Ethernet
VLAN 1 VLAN 2 VLAN 1

Commutateur Ethernet
VLAN 2

Poste serveur

Poste client

Poste serveur

Poste client

11

VPN

12

VPN : les questions se poser

adressage
quelles adresses IP pour le site ou la machine distante ?

contrle daccs
veut-on faire du contrle daccs entre le site ou la machine distante et le rseau interne ?

accs Internet
le site ou la machine distante accde-t-il Internet par lintermdiaire du laboratoire ou par son propre accs ?

13

VPN : adressage
adresse des machines distantes :
dans un sous-rseau IP distinct plage(s) dadresses dans un sous-rseau du laboratoire

sous-rseau distinct :
permet de distinguer facilement les machines facilite la mise en place du contrle daccs

le choix a des consquences sur le routage

14

VPN : contrle daccs

non si on accorde le mme niveau de confiance aux machines locales quaux machines distantes oui sinon site distant : le niveau de confiance dpend de lorganisation itinrant : le niveau de confiance est moindre
aucun contrle sur la machine mais cest galement vrai pour un portable connect sur le rseau local
15

VPN : accs Internet

Internet Serveur VPN Rseau du laboratoire

Internet

Serveur VPN

Rseau du laboratoire

16

VPN : proposition darchitecture

adressage : sous-rseau IP distinct contrle daccs :
se rserver la possibilit den faire ne peut se faire quen sortie du tunnel, aprs dchiffrement

accs Internet :
sites distants : choisir plutt laccs indpendant (par le rseau public) itinrants : choisir plutt laccs par le laboratoire ( travers le tunnel)
17

VPN : choix du type dquipement

routeur, garde-barrire ou quipement ddi ? routeur ou garde-barrire :
simplification du routage le contrle daccs en sortie du tunnel est fait par le mme quipement

quipement ddi :
o le placer dans le rseau ?

18

VPN : routage
Site/utilisateur distant par Tunnel Dfaut par IPa

Equipement oprateur

Tunnel Routeur ou IPa garde-barrire IP1

Dfaut par IP1

19

VPN : routage
Alternative : proxy ARP

Site/utilisateur distant par IP2 Dfaut par IP1 Serveur VPN IP2

Routeur ou garde-barrire IP1

20

VPN avec botier ddi (1)

Rseau de loprateur Rseau du laboratoire Serveurs accessibles de l Internet

GB

Vers rseau interne

VPN

21

VPN avec botier ddi (2)

Rseau de loprateur Rseau du laboratoire Serveurs accessibles de l Internet

R GB C/R

Vers rseau interne

VPN
22

Questions ?

23