Vous êtes sur la page 1sur 8

Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Conguration Protocol) Le service DHCP permet ` a un h ote dobtenir automatiquement

une adresse IP lorsquil se connecte au r eseau. Le serveur DHCP choisit une adresse dans une plage dadresses (pool) et la pr ete ` a lh ote qui en a fait la demande. Dans les faits, un service DHCP peut fournir principalement une adresse IP un masque de sousr eseau ladresse IP de la passerelle par d efaut ladresse IP du serveur DNS ...

Fonctionnement du protocole DHCP Lorsquun p eriph erique se connecte au r eseau et quil est congur e en mode automatique, il diuse un paquet DHCP DISCOVER pour identier un serveur DHCP disponible. Un serveur DHCP r epond avec un paquet DHCP OFFER dans lequel se trouve une ore de bail donnant les indications : adresse IP pr et ee serveur DNS passerelle par d efaut dur ee de bail

Le client renvoie un paquet DHCP REQUEST pour accepter lore du serveur. Si lore est encore valable, le serveur renvoie un DHCP ACK et dans le cas contraire DHCP NAK.

Sur un r eseau ayant beaucoup de stations, lutilisation dun serveur DHCP peut sav erer plus ecace que lutilisation dadresses xes. Le protcole DHCP peut pr esenter un risque dans la s ecurit e dun r eseau. G en eralement, sur un m eme r eseau, on utilise ladressage dynamique et ladressage statique. Ladressage dynamique est utilis e pour les p eriph eriques utilisateurs naux. Ladressage statique est utilis e pour les p eriph eriques r eseaux tels que passerelles (routeurs) commutateurs serveurs imprimantes ...

Conguration dun serveur DHCP Un routeur cisco peut agir comme un serveur DHCP. Il attribue et g` ere les adresses IP en fonction du ou des pools dadresses sp ecif es par ladministrateur. Par d efaut, le service DHCP est activ e sur le routeur. Pour d esactiver le service : no service dhcp. Etape 1 : on d enit, en mode de conguration globale, les adresses NE devant PAS etre allou ees : interface du routeur, adresse IP du switch, serveurs, imprimantes du r eseau. R1(cong)# ip dhcp excluded-address adresse basse { adresse haute }

V erication du service DHCP Pour v erier le focntionnement du serveur DHCP, on utilise la commande suivante : R1# show ip dhcp binding Pour acher le nombre de messages DHCP envoy es et re cus par le routeur : R1# show ip dhcp statistics

Conguration dun client DHCP Etape 2 : on cr ee le pool DHCP. R1(cong)# ip dhcp pool nom pool Etape 3 : on congure le pool DHCP. Le pool dadresses : R1(dhcp-cong)# network numero reseau masque La passerelle par d efaut : R1(dhcp-cong)# default-router adresse Le serveur DNS : R1(dhcp-cong)# dns-server adresse Le nom de domaine : R1(dhcp-cong)# domain-name domaine Le bail : R1(dhcp-cong)# lease dur ee Si n ecessaire, les services WINS : R1(dhcp-cong)# netbios-node-type h-node R1(dhcp-cong)# netbios-name-server adresse G en eralement, les routeurs utilis es ` a la maison acqui` erent automatiquement une adresse IP aupr` es dun FAI. Dans des petits bureaux ou des bureaux ` a domicile, les routeurs peuvent etre congur es dynamiquement par le FAI.Dans ce cas on congure une interface Ethernet avec la commande ip address dhcp. Pour renouveler ladresse IP dynamique dun PC, on utilise la commande ipong /release qui lib` ere ladresse et ladresse devient alors : 0.0.0.0. On utilise alors la commande ipong /renew qui provoque la diusion dun message DHCP DISCOVER. Relais DHCP G en eralement, dans un r eseau dentreprise, les clients DHCP ne se trouvent pas sur le m eme r eseau que le serveur DHCP. Or, le client va diuser un message DHCPDISCOVER et le routeur (passerelle) par d efaut ne laisse pas passer les diusions. Il faut donc congurer la passerelle du routeur comme un agent de relais DHCP avec la commande suivante : R1(cong)# interface passerelle R1(cong-if)# ip helper-address ad ip serveur DHCP

Fonction NAT La fonction NAT (Network Address Translation) traduit les adresses non routables (sur Internet), priv ees et internes en adresses routables publiques. NAT ajoute aussi un niveau de condentialit e et de s ecurit e car il emp eche les r eseaux externes de voir les adresses IP internes. Cette traduction est eectu ee par un routeur de passerelle fronti` ere ; cela signie quil fait le lien entre le r eseau dentreprise et le WAN. La fonction NAT d enit trois types dadresses : locale interne globale interne globale externe Adresse locale interne : il sagit souvent dune adresse priv ee. Adresse globale interne : adresse publique attribu ee ` a lh ote interne lorsque ce dernier quitte le routeur NAT. Adresse globale externe : adresse IP attribu ee ` a un h ote sur Internet. Mappage statique et mappage dynamique Il existe deux types de traduction NAT : statique et dynamique. Le NAT statique utilise un mappage biunivoque entre les adresses locales et globales. Le NAT dynamique utilise un pool dadresses publiques et les attribue selon la m ethode du premier arriv e, premier servi. Lorsquun h ote ayant une adresse IP priv ee demande un acc` es ` a Internet, la fonction NAT dynamique choisit dans le pool une adresse IP qui nest pas encore utilis ee par un autre h ote. Les NAT statique et dynamique n ecessitent susamment dadresses publiques disponibles pour satisfaire simultan ement tous les h otes du r eseau priv e qui souhaitent acc eder ` a Internet. La surchage NAT ou PAT mappe plusieurs adresses IP priv ees ` a une seule ou ` a quelques adresses IP publiques. En eet, plusieurs adresses peuvent etre mapp ees ` a une seule adresse car chaque adresse priv ee est suivie par un num ero de port.

Conguration du NAT statique Cette conguration seectue en trois etapes : Etape 1 : On etablit une correspondance entre une adresse locale interne et une adresse globale interne : R1(cong)# ip nat inside source static 192.168.10.254 209.165.200.225 Etape 2 : On identie ladresse locale interne comme linterface NAT inside : R1(cong)# interface S0/0/0 R1(cong-if)# ip nat inside Etape 3 : On identie ladresse globale interne comme linterface NAT outside : R1(cong)# interface S0/1/0 R1(cong-if)# ip nat outside

Conguration du NAT dynamique Cette conguration seectue selon les etapes suivantes : Etape 1 : On d enit un pool dadresses IP publiques : R1(cong)# ip 255.255.255.224 nat POOL1 209.165.200.226 209.165.200.240 netmask

Conguration de la surchage NAT Cette conguration seectue selon les etapes suivantes : Etape 1 : On d enit les adresses ayant les droits d etre mapp ees : R1(cong)# access-list 1 permit 192.168.0.0 0.0.0.255 Etape 2 : On identie linterface allant etre surcharg ee :

Etape 2 : On d enit les adresses ayant les droits d etre mapp ees : R1(cong)# ip nat inside source list 1 interface serial 0/1/0 overload R1(cong)# access-list 1 permit 192.168.0.0 0.0.255.255 Etape 3 : On identie ladresse locale interne comme linterface NAT inside : Etape 3 : On relie le pool NAT ` a lACL : R1(cong)# ip nat inside source list 1 pool POOL1 Etape 4 : On identie ladresse locale interne comme linterface NAT inside : R1(cong)# interface S0/0/0 R1(cong-if)# ip nat inside Etape 5 : On identie ladresse globale interne comme linterface NAT outside : R1(cong)# interface S0/1/0 R1(cong-if)# ip nat outside R1(cong)# interface S0/0/0 R1(cong-if)# ip nat inside Etape 4 : On identie ladresse globale interne comme linterface NAT outside : R1(cong)# interface S0/1/0 R1(cong-if)# ip nat outside

V erication et d epannage des congurations NAT La commande show ip nat translations ache les traductions NAT. La commande show ip nat statistics ache les informations sur le nombre total de traductions actives, les param` etres de conguration NAT, le nombre dadresses dans le pool et le nombre dadresses attribu ees. Par d efaut, les entr ees de traduction sont d esactiv ees au bout de 24 heures. Il est possible de modier les compteurs avec la commande ip nat translation timeout La commande clear ip nat translation * eace toutes les entr ees de traduction dynamique dadresses de la table de traduction NAT.

10

Pourquoi utiliser IPv6 Lespace dadressage IPv4 ore un peu plus de 4 milliards dadresses. Seules 3.7 milliards peuvent etre utilis ees car les autres sont r eserv ees pour la multidiusion, les tests et autres usages sp eciques. On estime que les adresses IPv4 seront epuis ees dici quelques ann ees. Le pool dadresses IPv4 diminue pour les raisons suivantes : croissance de la population utilisateurs mobiles transport electronique grand public

Types dadresses IPv6 On distingue les types dadresse suivants : monodiusion globale r eserv ees priv ees bouclage ind etermin ee

Une adresse de monodiusion globale est constitu ee g en eralement dun pr exe de routage global de 48 bits et un ID de sousr eseau de 16 bits. Ce dernier permet ` a une organisation de cr eer ses sous-r eseaux. Actuellement les adresses de monodiusion globale attribu ees par lIANA utilise la plage dadresses commen cant par 2000 : :/3. LIANA alloue lespace dadressage IPv6 dans les plages 2001 : :/16 aux organismes denregistrement Internet locaux : ARIN, RIPE, APNC, LACNIC et AfriNIC. Une adresse r eserv ee est utilis ee par lIETF pour divers usages. Une adresse priv ee nest jamais achemin ee en dehors du r eseau de lentreprise. Elle commence par FE, suivi dun chire hexad ecimal compris entre 8 et F. Les adresses priv ees sont divis ees en deux types : locales-sites monodiusion de liaison locale L etendue des adresses locales-sites correspond ` a lensemble dun site ou dune organisation. Elles commencent par FEC, FED,FEE ou FEF. Les adresses de monodiusion de liaison locale : elles se rapportent ` a une liaison physique particuli` ere dun r eseau local. Elles commencent par FE8, FE9,FEA ou FEB. Une adresse de bouclage a et e pr evue ` a des ns de test. Ladresse est : : :1.

Adressage IPv6 Une adresse IPv6 est une valeur binaire longue de 128 bits, ach ee sous forme de 32 chires hexad ecimaux. Ces chires sont regroup es par 4, chaque groupe etant s epar e des autres groupes par le signe : Exemple : 2031 :0000 :130F :0000 :0000 :09C0 :876A :130B Certaines adresses peuvent etre raccourcies en respectant les r` egles suivantes : dans un champ les z eros de t ete sont facultatifs : Exemple : 2031 :0 :130F :0 :0 :9C0 :876A :130B deux champs successifs de z eros peuvent etre repr esent es par le signe : :. Cette abr eviation ne peut etre utilis ee quune seule fois dans ladresse. Exemple : 2031 :0 :130F : : 9C0 :876A :130B une adresse ind etermin ee s ecrit : : Quelques exemples :

Ladresse : : est utilis ee lorsquun h ote ne connait pas sa propre adresse. 0 :0 :0 :0 :0 :0 :0 :1 devient : :1 0 :0 :0 :0 :0 :0 :0 :0 devient : : FF01 :0000 :0000 :0000 :0000 :0000 :0000 :1 devient FF01 :0 :0 :0 :0 :0 :0 :1 devient FF01 : :1

11

12

Strat egies de transition IPv6 Il existe di erentes techniques pour eectuer une transition entre IPv4 et IPv6. double pile transmission tunnel NAT-PT (NAT-Protocol Translation) La double pile : les routeurs sont congur es pour prendre en charge simultan ement les protocoles IPv4 et IPv6, avec une pr ef erence pour ce dernier. La transmission tunnel consiste ` a encapsuler un paquet IPv6 dans un autre protocole, tel que IPv4. Cette m ethode permet de connecter des lots IPv6. Cette m ethode n ecessite des routeurs ` a double pile. Le NAT-PT (d` es la version ios 12.3(2)T) est un NAT entre IPv6 et IPv4. Cette traduction permet aux h otes qui utilisent di rentes versions du protocole IP de communiquer directement. La m ethode de la double pile est la m ethode la plus couramment utilis ee.

Conguration de RIPng avec IPv6 Une fois le protocole IPv6 activ e globalement et les interfaces congur ees avec des adresses IPv6, on active le protocole RIPng : R1(cong)# ipv6 router rip nom On identie alors les interfaces du routeur devant ex ecuter RIPng avec la commande : R1(cong-if)# ipv6 router rip nom enable

Conguration de la double pile Chaque noeud dispose de deux piles de protocoles avec une conguration IPv4 et IPv6 sur la m eme interface ou sur plusieurs interfaces. Un noeud ` a double pile choisit la pile ` a utiliser en fonction de ladresse de destination du paquet. Il privil egie IPv6 lorsque celui-ci est disponible. La version dIOS 12.2(2)T et les versions ult erieures sont compatibles avec IPv6. Il faut activer le protocole IPv6 sur le routeur, puis congurer les interfaces avec IPv4 et/ou IPv6. Conguration des adresses IPv6 Il faut tout dabord activer IPv6 sur le routeur : R1(cong)# ipv6 unicast-routing Il est possible de sp ecier ladresse IPv6 dans son int egralit e: R1(cong-if)# ipv6 address adresse-IPv6/ longueur-prexe Ou alors de calculer lidenticateur h ote ` a partir de lidenticateur EUI-64 de linterface : R1(cong-if)# ipv6 address adresse-IPv6 /64 eui-64

13

14

Le VPN GRE GRE (Generic routing encapsulation) est un protocole de tunneling permettant de cr eer une liaison virtuelle point ` a point entre deux routeurs distants. GRE peut encapsuler divers protocoles de couche 3 ` a lint erieur dun tunnel IP. Un protocole de routage peut etre utilis e ` a travers le tunnel, permettant un echange dynamique dinformations de routage dans le r eseau virtuel ainsi cr e e. Les tunnels GRE sont stateless : chaque extr emit e du tunnel ne conserve pas dinformations sur l etat de lextr emit e distante. GRE ninclut par d efaut aucun m ecanisme de s ecurit e pour prot eger les donn ees transitant par le tunnel.

Les rewalls Un rewall est un logiciel et/ou un mat eriel dont le but est de faire respecter la politique de s ecurit e dun r eseau en d enissant les communications permises ou interdites. Les points communs ` a tous les rewalls sont : r esistance aux attaques tout le trac passe ` a travers application la politique de s ecurit e On distingue deux types principaux de rewall : stateless stateful Un rewall stateless (sans etat) inspecte chaque paquet ind ependamment des autres et le compare une liste de r` egles pr econgur ees (ACLs). Un rewall stateful (` a etat) v erie la conformit e des paquets ` a une connexion en cours. En dautres termes, il sassure que chaque paquet dune connexion est bien la suite du pr ec edent paquet et une r eponse ` a un paquet dans lautre sens.

Conguration dun tunnel site ` a site GRE La conguration seectue en 5 etapes : Etape 1 : On cr e e une interface de tunnel avec la commande interface tunnel 0. Etape 2 : On assigne une adresse IP au tunnel. Etape 3 : On identie linterface source du tunnel avec la commande tunnel source. Etape 4 : On identie linterface destination du tunnel avec la commande tunnel destination. Etape 5 : On indique le protocole qui sera encapsul e par le protocole GRE avec la commande tunnel mode gre.

15

16