Vous êtes sur la page 1sur 72

Table des matires Vue d'ensemble Leon : Slection de priphriques intermdiaires Leon : Planification d'une stratgie de connectivit Internet

Leon : Planification du routage des communications Leon : Rsolution des problmes lis au routage TCP/IP Atelier A : Planification du routage et rsolution des problmes

Module 3 : Planification du routage et de la commutation et rsolution des problmes


1 2 20 35 52 61

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les socits,

les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des socits, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la rglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de Microsoft Corporation. Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets, marques, droits d'auteur ou autres droits de proprit intellectuelle. !"2003 Microsoft Corporation. Tous droits rservs. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique et/ou dans d'autres pays. Les autres noms de produits et de socits mentionns dans ce document sont des marques de leurs propritaires respectifs.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

iii

Notes du formateur
Prsentation : 150 minutes Atelier : 30 minutes Dans ce module, les stagiaires vont acqurir les connaissances ncessaires pour planifier le routage ainsi que la commutation et rsoudre les problmes s'y rapportant dans l'infrastructure rseau Microsoft Windows Server 2003. la fin de ce module, les stagiaires seront mme d'effectuer les tches suivantes :
! !

crer un plan de routage et de commutation scuris ; identifier les outils de rsolution des problmes lis TCP/IP (Transmission Control Protocol/Internet Protocol) ; rsoudre les problmes lis au routage TCP/IP.

Matriel requis

Pour animer ce module, vous devez disposer des lments suivants :


! !

Fichier Microsoft PowerPoint 2189a_03.ppt Fichiers multimdias : # Rle du routage dans l'infrastructure rseau # Stratgies de connectivit rseau Internet # Slection d'une solution pare-feu de base/NAT ou ISA Server # Filtrage par un routeur de protocoles

Important Il est recommand d'utiliser PowerPoint 2002 ou une version ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la visionneuse PowerPoint ou une version antrieure de PowerPoint, il est possible que certains lments des diapositives ne s'affichent pas correctement. Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! ! ! ! !

lire tous les supports de cours de ce module ; effectuer l'ensemble des applications pratiques et l'atelier ; vous exercer effectuer toutes les pages des procdures ; visualiser les prsentations multimdias ; passer en revue les cours et modules de connaissances pralables.

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer ce module.

iv

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Pages de procdures, instructions, applications pratiques et ateliers


Expliquez aux stagiaires la relation entre les pages de procdures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leons. La plupart des leons comprennent des pages de procdures et une application pratique. la fin de toutes les leons, le module se termine par un atelier. Pages de procdures Les pages de procdures permettent au formateur de montrer comment raliser une tche. Les stagiaires n'effectuent pas avec le formateur les tches de la page de procdure. Ils suivent ces tapes pour excuter l'application pratique prvue la fin de chaque leon. Les pages d'instructions vous fournissent les principaux points de dcision relatifs au sujet. Utilisez ces instructions pour renforcer le contenu et les objectifs de la leon. Expliquez qu'une application pratique portant sur toutes les tches abordes est prvue l'issue de la leon. la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tches traites et appliques tout au long du module. l'aide de scnarios appropris la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau deux colonnes. La colonne de gauche indique la tche (par exemple : Crer un groupe). La colonne de droite contient des instructions spcifiques dont les stagiaires auront besoin pour effectuer la tche (par exemple : partir de Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nud de domaine). Chaque exercice d'atelier dispose d'une cl de rponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions tape par tape pour terminer l'atelier. Ils peuvent galement consulter les applications pratiques et les pages de procdures du module.

Pages d'instructions

Applications pratiques Ateliers

Leon : Slection de priphriques intermdiaires


Avant de commencer cette leon, dterminez si les stagiaires tireraient profit d'une rvision sur le routage. Dans ce cas, reportez-vous aux informations de rvision de l'annexe B. Types de priphriques Pendant l'animation de cette section, vous devez :
! !

dfinir chaque type de priphrique ; fournir des exemples rels indiquant quel moment chaque priphrique serait utilis.

Prsentation multimdia : Rle du routage dans l'infrastructure rseau

Expliquez que cette prsentation multimdia fournit une vue d'ensemble visuelle et labore de la planification d'une solution TCP/IP.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Cas d'emploi du routage

Mettez l'accent sur les diffrences existant au niveau des modes d'utilisation des routeurs dans les environnements LAN (rseau local) et WAN (rseau tendu). Pendant l'animation de cette section, vous devez :
! ! !

Types de domaines rseau

dfinir un domaine de collision ; dfinir un domaine de diffusion ; expliquer les diffrences existant entre les domaines de collision et de diffusion ; indiquer pourquoi il est bnfique de crer des domaines de collision et de diffusion.

Description des fonctions des commutateurs

Pendant l'animation de cette section, vous devez :


! ! !

dfinir les fonctions des commutateurs de couches 2 et 3 ; expliquer les avantages d'un commutateur de couche 2 ; expliquer les avantages d'un commutateur de couche 3.

Rseaux locaux virtuels

Pendant l'animation de cette section, vous devez :


!

dfinir ce qu'est un rseau local virtuel (VLAN, Virtual Local Area Network) ; expliquer les avantages d'un rseau local virtuel ; indiquer les options d'appartenance un rseau local virtuel ; expliquer la faon dont un rseau local virtuel peut tre implment dans l'environnement de travail du stagiaire.

! ! !

Transmission en duplex intgral dans les environnements commuts

Pendant l'animation de cette section, vous devez :


!

utiliser la diapositive de dploiement pour dfinir la transmission en duplex intgral ; comparer la transmission en duplex intgral la transmission en semiduplex ; prsenter des situations o les stagiaires implmenteraient la transmission en duplex intgral dans leur environnement de travail.

Leon : Planification d'une stratgie de connectivit Internet


Configuration requise pour une solution de connectivit Internet Pendant l'animation de cette section, vous devez :
!

dfinir les diffrentes conditions requises pour une solution de connectivit Internet ; mettre l'accent sur les points de dcision que les stagiaires devront comprendre pour dfinir une solution de connectivit Internet.

Protocole NAT en tant que solution pour la connectivit Internet

Pendant l'animation de cette section, vous devez :


!

souligner que le protocole de traduction d'adresses rseau (NAT, Network Address Translation) est une solution approprie lorsque tous les utilisateurs disposent du mme accs la connectivit, le rseau priv n'est pas rout et un adressage priv est requis ;

vi

Module 3 : Planification du routage et de la commutation et rsolution des problmes


!

dcrire les fonctions fournies par le protocole NAT et souligner le fait que cette solution s'adresse aux petites entreprises et qu'elle ne doit pas tre utilise si Microsoft ISA (Internet Security and Acceleration) Server est une solution approprie ; indiquer les informations requises pour les adresses publiques et prives, ainsi que les interfaces auxquelles elles peuvent tre attribues ; expliquer les types de connexions permanentes et non permanentes. Insister sur le fait que toutes les requtes Internet doivent tre transmises via l'interface interne NAT ; insister sur le fait que les options automatiques d'attribution d'adresses IP (Internet Protocol) et de rsolution de noms liminent le besoin de serveurs supplmentaires conus pour Windows Server 2003. Souligner le fait que les stagiaires doivent s'assurer qu'aucun serveur DHCP (Dynamic Host Configuration Protocol) ne fournit une configuration IP.

ISA en tant que solution pour la connectivit Internet

Pendant l'animation de cette section, vous devez :


!

expliquer qu'ISA Server n'est pas inclus dans Windows Server 2003, mais qu'il peut fonctionner sur un ordinateur excutant Microsoft Windows Server 2003 ; insister sur le fait que les spcifications de conception d'une solution ISA incluent les spcifications de scurit, la configuration rseau, le nombre de ressources exposes Internet et le nombre d'emplacements ; insister sur le fait qu'ISA Server fonctionne dans les environnements routs ou non routs, fournit des restrictions au niveau d'Internet sur une base d'utilisateur individuel et restreint l'accs aux rseaux privs sur une base de ressource individuelle ; souligner le fait qu'ISA Server s'intgre avec d'autres services rseau pour tirer parti de leurs fonctions ; expliquer que l'on obtient les adresses publiques requises auprs d'un fournisseur de services Internet ou d'un registre Internet, et que ces adresses sont ensuite affectes aux interfaces et priphriques appropris ; dcrire la faon de dterminer l'interface approprie et de slectionner la connexion adapte ; expliquer que les plages d'adresses du rseau priv sont spcifies et que le logiciel appropri est slectionn afin de relier les ordinateurs de ce rseau au serveur ISA.

Leon : Planification du routage des communications


Instructions de planification de la connectivit du routeur Les pages d'instructions vous fournissent les principaux points de dcision de la section. Utilisez-les pour renforcer le contenu et les objectifs de la leon.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

vii

Leon : Rsolution des problmes lis au routage TCP/IP


Application pratique : Rsolution des problmes lis au routage TCP/IP Dure approximative de cette application pratique : 10 minutes Avant de commencer l'application pratique, indiquez aux stagiaires qu'ils peuvent se reporter au contenu trait dans la leon. Demandez-leur de lire le scnario et d'effectuer les tches pratiques. Aprs que tous les stagiaires ont termin l'application pratique, demandez-leur de discuter des rsultats obtenus.

Atelier A : Planification du routage et rsolution des problmes


Les stagiaires doivent avoir termin toutes les applications pratiques avant de commencer l'atelier. Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions et de contenu du module afin d'obtenir de l'aide. La cl de rponse correspondant chaque atelier est fournie sur le CD-ROM du stagiaire.

Informations de personnalisation
Cette section identifie les caractristiques des ateliers d'un module et les modifications apportes la configuration des ordinateurs des stagiaires pendant les ateliers. Ces informations visent vous aider rpliquer ou personnaliser le cours Microsoft Official Curriculum (MOC). Important L'atelier de ce module dpend aussi de la configuration de la classe spcifie dans la section Informations de personnalisation situe la fin du Guide de configuration automatise de la classe du cours 2189, Planification et maintenance d'une infrastructure rseau Microsoft Windows Server 2003.

Mise en place de l'atelier


Aucune configuration de mise en place de l'atelier n'affecte la rplication ou la personnalisation.

Rsultats de l'atelier
Aucun changement de configuration des ordinateurs des stagiaires n'affecte la rplication ou la personnalisation.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Vue d'ensemble

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Ce module prsente la planification de la stratgie de routage d'une entreprise. En utilisant le document de conception du rseau fourni, vous allez planifier la configuration du routeur de faon ce qu'il puisse prendre en charge cette conception. Vous allez galement dterminer l'emplacement du routeur de manire amliorer les communications. De plus, ce module fournit des informations sur la rsolution des problmes lis au routage TCP/IP (Transmission Control Protocol/Internet Protocol). la fin de ce module, les stagiaires seront mme d'effectuer les tches suivantes :
! ! !

Objectifs

crer un plan de routage et de commutation scuris ; identifier les outils de rsolution des problmes lis au routage TCP/IP ; rsoudre les problmes lis au routage TCP/IP.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Leon : Slection de priphriques intermdiaires

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Cette leon prsente les informations de base relatives aux commutateurs et aux routeurs. Elle traite galement des critres prendre en compte pour slectionner un priphrique donn en fonction de la situation. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

Objectifs de la leon

comprendre le mode de fonctionnement du routage dans un environnement d'entreprise ; comprendre l'impact des commutateurs sur les domaines de collision et de diffusion ; dterminer le moment d'utilisation des routeurs et des commutateurs ; identifier les critres de slection des commutateurs ; slectionner le priphrique intermdiaire appropri implmenter dans la stratgie de routage.

! ! !

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Types de priphriques

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Il est possible que votre entreprise utilise plusieurs priphriques intermdiaires dans le cadre de sa solution rseau. Les plus courants sont les concentrateurs, les routeurs et les commutateurs. Une fois que vous aurez compris les diffrences existant entre ces priphriques, vous serez mme de dterminer quel type de priphrique utiliser dans votre rseau. Un concentrateur (ou rpteur) opre au niveau de la couche 1 de l'OSI (Open Systems Interconnection). Un concentrateur peut permettre d'accrotre la taille d'un rseau en reliant plusieurs segments dans un segment de plus grande taille. tant donn qu'un concentrateur fonctionne au niveau physique (couche 1), il ne traite pas les donnes ; il se contente de recevoir le signal entrant et de le reconditionner afin de le retransmettre sur tous les ports. Le concentrateur est invisible sur tous les nuds d'un rseau local rpt. Un routeur est un priphrique intermdiaire prsent sur un rseau qui acclre la remise de messages. Il fonctionne au niveau de la couche 3 de l'OSI et donc au niveau des paquets plutt qu'au niveau des trames. Un logiciel de couche 3, comme IP ou IPX (Internetwork Packet Exchange), gnre le paquet. Les routeurs dterminent quel endroit envoyer les paquets en fonction de l'adressage spcifi dans le paquet (et non dans la trame). Les routeurs servaient l'origine relier des rseaux sur des distances importantes, c'est--dire sur des rseaux tendus (WAN, Wide Area Network). Le trafic WAN peut souvent voyager sur plusieurs itinraires, et les routeurs choisissent le plus rapide ou le moins onreux. Les routeurs servent galement connecter des rseaux locaux dissemblables, comme un rseau local Ethernet sur une dorsale principale FDDI (Fibre Distributed Data Interface). Vous pouvez utiliser des routeurs hautes performances pour relier au sein d'une organisation des rseaux locaux homognes, tels des rseaux locaux Ethernet de petite taille.

Dfinition d'un concentrateur

Dfinition d'un routeur

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Dfinition d'un commutateur

Un commutateur examine l'adresse de destination et source d'une trame entrante et transfre cette dernire sur le port appropri en fonction de l'adresse de destination. Un commutateur opre au niveau de la couche 2 de l'OSI. Vous pouvez considrer un commutateur comme un pont amlior reliant plusieurs ports. Les commutateurs disposent de plusieurs chemins de donnes parallles. Ils utilisent des connexions temporaires ou virtuelles pour connecter les ports source et de destination pendant le transfert de la trame. Une fois la trame arrive destination, la connexion virtuelle s'arrte. Les commutateurs sont rapides et peu onreux, et ils sont gnralement utiliss pour segmenter un rseau local en de nombreux segments de plus petite taille, ce qui permet d'accrotre la vitesse d'un rseau existant. Un commutateur de couche 3 correspond essentiellement un commutateur de couche 2 amlior qui peut effectuer la fois une commutation de couche 2 et un routage de couche 3 au niveau du matriel. Un commutateur de couche 3 est principalement un routeur IP matriel fonction limite bnficiant de fonctionnalits de connexion par pont. La commutation de couche 3 est un terme marketing employ par les fabricants pour dcrire la fonctionnalit de routage de leurs commutateurs.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Prsentation multimdia : Rle du routage dans l'infrastructure rseau

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Pour visualiser la prsentation Rle du routage dans l'infrastructure rseau, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimdia, puis sur son titre. Cette prsentation a pour objectif d'expliquer le rle du routage dans une infrastructure rseau. Vous apprendrez :
! ! !

Objectif Objectifs d'apprentissage

dcrire comment le routage s'adapte l'infrastructure rseau ; expliquer la diffrence entre un routage local et distance ; dcrire le rle du service Routage et accs distant dans l'infrastructure rseau.

Questions cls

Durant cette prsentation, rflchissez aux questions suivantes :


! !

Quel est le rle du routage dans l'infrastructure rseau ? Que se passe-t-il lorsque l'adresse IP de l'hte auquel le client essaie de se connecter ne se trouve pas sur le sous-rseau local ? Quelle est la fonction des tables de routage ? Comment configurer un serveur excutant le service Routage et accs distant ?

! !

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Cas d'emploi du routage

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les routeurs oprent au niveau de la couche 3. Par consquent, ils ne transfrent pas automatiquement les diffusions (ou trafic de multidiffusion). L'utilisation de routeurs pour connecter des rseaux locaux similaires sur de courtes distances est de ce fait devenue courante pour diviser le domaine de diffusion d'une organisation. Vous pouvez galement utiliser les routeurs pour aider maintenir la scurit. Le routage est pratiquement toujours utilis au niveau IP. Pour les nouvelles installations rseau, le meilleur conseil donner consiste planifier en prenant le routage en compte, mme si vous ne l'utilisez pas au dpart. Une planification avance est requise pour concevoir un schma d'adresses fonctionnel. Vous devez prvoir la capacit positionner les routeurs dans des emplacements stratgiques, mme si ces derniers utilisent au dpart des ponts ou des concentrateurs. Si vous crez votre plan de routage en tenant compte de la croissance future, vous pourrez par la suite facilement ajouter des routeurs. Si vous travaillez avec un rseau existant, la ncessit de cette stratgie de planification devient vidente. Savoir quel endroit un routeur doit tre plac puis raliser qu'il vous faut modifier une centaine d'adresses avant de pouvoir l'ajouter peut s'avrer trs frustrant. Si vous rencontrez des problmes de performances rseau, vous devez valuer si l'utilisation d'un routeur peut permettre d'y remdier. Dans certains cas, vous dcouvrirez peut-tre qu'un routeur n'est pas la meilleure solution. Vous pouvez utiliser les routeurs pour isoler les rseaux les uns des autres et pour fournir une base l'implmentation scurise d'un rseau. Pris isolment, les routeurs ne scuriseront toutefois pas votre rseau vis--vis d'attaques provenant d'utilisateurs malveillants. Un plan de scurit rseau appropri peut inclure des filtres de routeur, des pare-feu, des logiciels de dtection des intrusions et des mcanismes de conception de rseaux, par exemple une conception en double pare-feu.

Cas d'emploi du routage

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Utilisation traditionnelle des routeurs

Traditionnellement, les routeurs taient positionns sur la priphrie des rseaux et servaient connecter des rseaux locaux dissemblables sur de longues distances. Le positionnement de routeurs supplmentaires au centre des rseaux pour crer des rseaux connects de plus petite taille avec plusieurs domaines de diffusion s'est cependant gnralis. L'utilisation d'un routeur est prfrable celle d'un commutateur pour les tches suivantes :
! !

connexion du rseau d'une filiale celui de l'entreprise ; segmentation d'un rseau de grande taille en sections plus petites afin d'amliorer les performances ; connexion d'un rseau de grande taille un rseau tendu.

Utilisation du rseau local par les routeurs

Vous devez positionner des routeurs dans le rseau local afin que :
!

le trafic rseau soit isol des segments rseau source, de destination et intermdiaires ; des sous-rseaux filtrs soient crs dans le rseau priv, protgeant ainsi les donnes confidentielles ; des paquets rseau puissent tre changs entre des segments rseau dissemblables, par exemple, entre un segment rseau Ethernet et un segment rseau mode de transfert asynchrone (ATM, Asynchronous Transfer Mode).

Utilisation du rseau WAN par les routeurs

Vous devez positionner des routeurs la priphrie du rseau WAN afin que :
!

les emplacements distants au sein d'une organisation puissent changer des paquets rseau en utilisant un rseau public ; le rseau priv soit isol du rseau public afin de protger les donnes confidentielles ; les paquets rseau puissent tre changs entre des segments rseau privs et publics, par exemple, entre un segment rseau priv Ethernet et un segment rseau public RNIS (Rseau numrique intgration de services).

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Types de domaines rseau

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Avant de slectionner un priphrique intermdiaire, vous devez comprendre les diffrents domaines et la faon dont un commutateur peut vous aider dvelopper l'efficacit de votre rseau. Comprendre en quoi un domaine de collision et un domaine de diffusion diffrent influencera votre dcision quant l'emplacement d'un commutateur ou d'un routeur. Les commutateurs oprent au niveau de la couche 2 du modle OSI et formeront une frontire pour vos domaines de collision. Certains oprent galement au niveau de la couche 3 ; ils formeront une frontire pour vos domaines de diffusion. Dans un environnement partag, les nuds peuvent entrer en conflit les uns avec les autres en cas de transmissions simultanes. Si une collision survient, tous les nuds du segment la dtectent, d'o le terme domaine de collision . Tous les nuds d'un segment rseau partag ou rpt se situent dans le mme domaine de collision. Cependant, les collisions ne traversent pas les ponts ou les commutateurs ; un commutateur constitue donc la priphrie ou la frontire d'un domaine de collision. L'introduction d'un commutateur dans l'environnement vous permet de rduire le nombre de nuds se disputant les mdias rseau en crant des domaines de collision spars et distincts. Domaine de diffusion La zone d'un rseau pouvant tre atteinte par une trame de diffusion s'appelle un domaine de diffusion . Les ponts et les commutateurs, qui oprent au niveau de la couche 2, ne sont pas visibles par les trames de diffusion et transfrent automatiquement tout le trafic de diffusion reu. Un commutateur ne forme donc pas la frontire ou la priphrie d'un domaine de diffusion. Pour former une frontire, un priphrique de couche 3 tel qu'un routeur ou un commutateur de couche 3, est ncessaire. Cet isolement du trafic de diffusion peut permettre de fournir plus de bande passante pour le trafic de monodiffusion sur les diffrents segments du rseau.

Domaine de collision

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Description des fonctions des commutateurs

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour dterminer si un commutateur de couche 3 est appropri pour la configuration de votre entreprise, vous devez en comprendre les fonctions et les avantages au niveau de votre infrastructure rseau. Les commutateurs de couche 3 disposent des fonctions importantes suivantes :
!

Fonctions des commutateurs de couche 3

le routage est effectu au niveau du matriel (puces de circuits intgrs ASIC) et permet des performances trs rapides (proches de la vitesse du cble) avec une latence minimale (moins de 10 microsecondes pour 100 Mbits) ; un prix considrablement plus faible par port que pour des routeurs de performances similaires ; une implmentation trs simple, principalement centre sur le routage IP ou IPX bas sur le rseau local.

Les commutateurs de couche 3 actuels servent principalement interconnecter des rseaux locaux virtuels (VLAN) ou subdiviser des rseaux locaux plus importants en domaines de diffusion de plus petite taille. Ces commutateurs remplacent les routeurs de rseaux locaux onreux sur la dorsale principale de l'entreprise.

10

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Principaux avantages de la commutation de couche 3

Le tableau ci-dessous dcrit les avantages spcifiques applicables la plupart des rseaux.
Problme Routage plus rapide Protocoles bavards Avantage Des amliorations majeures en matire de performances rsultent de l'utilisation de la commutation de couche 3. Lorsqu'un rseau existant dispose de ces types de protocoles, les rseaux locaux virtuels et la commutation de couche 3 pour IPX et AppleTalk deviennent ncessaires au moment de la mise niveau vers des liaisons rseau plus rapides du type Ethernet Gigabit.

Erreurs des priphriques Les rseaux locaux virtuels protgent les parties principales rseau du rseau de ce type de problme. Ils doivent tre connects par des routeurs ou des commutateurs de couche 3. Les problmes rseau courants, comme les cartes d'interface rseau dpassant le temps de transmission, reprsentent une perturbation importante qui peut avoir un impact consquent la fois sur les performances rseau et sur le temps humain ncessaire en matire de gestion et de rsolution des problmes. Temptes de diffusion L'utilisation de la commutation de couche 3, partir des commutateurs de priphrie vers le centre du rseau, pour crer une dorsale principale protge des temptes de diffusion vous permet de positionner tous les serveurs de fichiers centraux, le stockage en rseau NAS (NetworkAttached Storage) et les serveurs d'impression dans des rseaux locaux virtuels spars. La commutation et le filtrage de couche 3 et de couche 4 la vitesse du cble fournit une scurit accrue et acclre pour les sous-rseaux et les rseaux locaux virtuels, ce qui permet d'autoriser ou de refuser l'accs Internet ou aux intranets la vitesse du cble. La bande passante du rseau peut tre alloue plusieurs services en attribuant chacun d'eux un rseau local virtuel distinct et en contrlant le nombre ainsi que la vitesse des ports commuts et des liaisons montantes qui desservent chaque rseau local virtuel. La commutation de couche 3 est ncessaire pour relier les rseaux locaux virtuels.

Scurit

Allocation de bande passante

Module 3 : Planification du routage et de la commutation et rsolution des problmes

11

Rseaux locaux virtuels

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les rseaux locaux virtuels reprsentent une solution alternative aux routeurs pour la gestion des domaines de diffusion. Ces rseaux permettent en effet aux commutateurs de contenir galement du trafic de diffusion. Lorsque vous implmentez des commutateurs et des rseaux locaux virtuels, chaque segment rseau peut ne contenir qu'un seul utilisateur, tandis que les domaines de diffusion peuvent tre de taille plus importante. De plus, lorsqu'ils sont correctement implments, les rseaux locaux virtuels peuvent suivre les mouvements des stations de travail sans qu'aucune reconfiguration manuelle des adresses IP ne soit ncessaire. Un rseau local virtuel (VLAN, Virtual Local Area Network) correspond un rseau local que le domaine de diffusion cre de faon artificielle via la configuration du commutateur. Il n'est pas ncessaire que les membres du rseau local soient physiquement connects au mme commutateur ou situs dans la mme zone physique. Les nuds configurs dans le mme rseau local virtuel fonctionnent comme s'ils taient connects au mme commutateur physique, mme si ce n'est pas le cas. Voici les principaux avantages des rseaux locaux virtuels :
! !

Dfinition d'un rseau local virtuel

Avantages des rseaux locaux virtuels

Du fait de l'isolement des diffusions, ils fournissent plus de bande passante. Ils suppriment les limitations physiques des rseaux. Mme si les ressources et les stations de travail se trouvent dans des btiments diffrents, elles peuvent faire partie du mme rseau local virtuel.

Ils peuvent remplacer les routeurs de segmentation. Les rseaux locaux virtuels peuvent avoir la mme fonction que les routeurs de segmentation (imbrication de diffusion) tout en tant moins onreux et plus faciles configurer.

12

Module 3 : Planification du routage et de la commutation et rsolution des problmes


!

Ils fournissent une imbrication de multidiffusion, augmentant ainsi la bande passante disponible. Ils sont plus faciles administrer qu'un rseau local physique. Les rseaux locaux virtuels peuvent tre facilement modifis en fonction de l'volution des besoins et de la situation.

Ils facilitent le partage des ressources sur plusieurs rseaux locaux virtuels. Le serveur ou la station de travail peut tre membre de plusieurs rseaux locaux virtuels, ce qui permet de rduire le besoin de router le trafic et fournit une flexibilit et un accs accrus aux ressources au moment et l'endroit o on en a besoin.

Ils fournissent des performances la demande. Si vous devez isoler un serveur ou une station de travail en raison de problmes de performances, vous pouvez facilement le dplacer vers son propre rseau local virtuel.

Ils fournissent des amliorations en matire de scurit. Si les diffusions reprsentent un risque de scurit, vous pouvez les isoler du reste du rseau.

Options d'appartenance un rseau local virtuel

L'appartenance un rseau local virtuel permet d'identifier les clients qui font partie de ce rseau. De nombreuses options d'appartenance sont disponibles au moment de la cration d'un rseau local virtuel. Elles montrent quel point les rseaux locaux virtuels sont plus souples que les commutateurs traditionnels. Le tableau suivant dcrit chacune des options d'appartenance un rseau local virtuel.
Option d'appartenance Bas sur un port Description Chaque port d'un commutateur est affect un rseau local virtuel. L'appartenance est dfinie par le Macintosh source ou de destination. Exemple Le port 2 est affect au rseau local virtuel du service ingnierie. Les adresses 00-a9-d4-124e-c2 et 02-d9-22-f2-44-b2 sont affectes au rseau local virtuel du service commercial. Les paquets IP sont affects au rseau local virtuel Microsoft Windows et les paquets IPX au rseau local virtuel Novell.

Bas sur Macintosh

Couche 3/protocole

Les rseaux locaux virtuels sont bass sur le type de protocole de couche 3 (IP, NetBIOS).

Module 3 : Planification du routage et de la commutation et rsolution des problmes (suite) Option d'appartenance Couche 3/sous-rseau IP Description Les rseaux locaux virtuels sont bass sur des adresses de couche 3. Exemple

13

Les nuds de sous-rseau IP ayant comme caractristiques adresse 198.168.0.0 masque 255.255.255.0 sont affects au SOUSRSEAU VLAN 0 et les nuds ayant comme caractristiques adresse 198.168.1.0 masque 255.255.255.0 sont affects au SOUSRSEAU VLAN 1. L'adresse IP de multidiffusion X et le masque sont associs VLAN MCAST X. Le port 10 est ajout au rseau local virtuel du service commercial, qui tait uniquement un rseau local virtuel bas sur le MAC.

Bas sur la multidiffusion IP

Les rseaux locaux virtuels sont bass sur l'adresse IP de multidiffusion. Les rseaux locaux virtuels sont bass sur n'importe quelle combinaison des options d'appartenance rpertories.

Combinaison

14

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Transmission en duplex intgral dans les environnements commuts

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction L'utilisation de commutateurs dans votre rseau vous permet d'utiliser une technologie de pointe pour amliorer de faon consquente le dbit de votre rseau tout en prservant la compatibilit ascendante. La transmission en duplex intgral est une mthode de transmission qui double vritablement la bande passante d'un lien entre une carte rseau et un commutateur. Parce que ce type de transmission dsactive le mcanisme de dtection des collisions, la carte et le commutateur peuvent transmettre et recevoir simultanment la vitesse optimale du cble sur chacun des chemins de transmission et de rception. La transmission en duplex intgral n'est oprationnelle qu'en cas de connexion directe avec le commutateur. Un segment en duplex intgral peut utiliser le mme cble UTP (Unshielded Twisted Pair) de catgorie 5 que celui utilis par Ethernet 10BaseT et Fast Ethernet. Exemple d'une transmission en duplex intgral Sur un rseau local utilisant une technologie bnficiant de la transmission en duplex intgral, une station de travail peut envoyer des donnes sur la ligne au moment o une autre en reoit. Ce type de transmission implique ncessairement une ligne bidirectionnelle (qui peut dplacer des donnes dans les deux sens).

Dfinition du duplex intgral

Module 3 : Planification du routage et de la commutation et rsolution des problmes

15

Intrt de l'utilisation de la transmission en duplex intgral dans un environnement commut

Dans un environnement commut, vous n'avez plus vous inquiter de l'accs simultan de plus de deux nuds au mdia rseau. La transmission en duplex intgral fait voluer la connexion commute en utilisant diffrentes paires de cbles dans le cble CAT-5 pour envoyer et recevoir de faon simultane, doublant vritablement ainsi le dbit Ethernet thorique. Les collisions sont totalement limines, ce qui rend le rseau CSMA/CD (Carrier Sense Multiple Access with Collision Detection, rseau accs multiple par dtection de porteuse et dtection de collision) obsolte. Vous conservez cependant une compatibilit ascendante totale avec le format de trame Ethernet et augmentez le dbit du rseau en utilisant une technologie de commutation de pointe : les connexions en duplex intgral, ddies et commutes.

Considrations relatives l'implmentation de la transmission en duplex intgral

Mme si un commutateur est utilis, seul un priphrique peut tre connect un port commut fonctionnant en mode duplex intgral (encore connu sous le nom de microsegmentation ). Si vous connectez un concentrateur partag au port d'un commutateur, ce port ne pourra pas fonctionner en mode duplex intgral.

16

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Instructions pour la slection d'un priphrique intermdiaire appropri

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Il est recommand de prendre plusieurs facteurs en considration lors de la slection d'un priphrique intermdiaire. Une fois que vous aurez tudi les exigences de votre entreprise, vous serez mme de slectionner le priphrique qui rpond le mieux vos besoins et vos contraintes. Le cot est un facteur important dans une dcision relative un rseau. Aprs avoir identifi vos paramtres de cot, vous devez les intgrer votre processus de slection. Par exemple, vous n'intgreriez pas un routeur principal onreux dans un rseau local simplement pour segmenter un rseau alors qu'un commutateur de couche 3 peut accomplir la mme fonction un moindre cot. L'implmentation peut tre un facteur important parce qu'elle se trouve en corrlation directe avec le temps ncessaire l'installation et la maintenance d'un priphrique. Vous devez prendre en compte non seulement la facilit d'implmentation, mais galement la facilit de gestion. De nombreux commutateurs sont trs faciles implmenter et leur gestion ne ncessite pas une formation trs pousse. Vous devez galement prendre en compte l'interface qui gre le priphrique. Avant de prendre une dcision s'y rapportant, vous devez dterminer les fonctions dont vous disposez pour administrer le priphrique et rsoudre les problmes s'y rapportant. Vous devez galement dterminer si ce priphrique dispose d'une interface d'administration Web et de fonctions SNMP (Simple Network Management Protocol). Il est possible que plusieurs protocoles ncessitant des capacits de routage s'excutent sur le rseau de votre entreprise. Vous devez dterminer les protocoles que le priphrique intermdiaire doit prendre en charge. tant donn que certains commutateurs routent uniquement le protocole TCP/IP, il est important de dfinir si le priphrique peut router tous les protocoles utiliss par votre entreprise.

Cot

Facilit d'implmentation

Complexit de l'administration et de la rsolution des problmes

Prise en charge des protocoles

Module 3 : Planification du routage et de la commutation et rsolution des problmes

17

Prise en charge de la couche 1

La prise en charge de la couche 1 est importante si votre rseau compte plusieurs types de rseaux diffrents. De nombreux commutateurs ne prennent en charge que le cblage paires torsades. Si vous avez besoin d'une prise en charge de couche 1 supplmentaire, vous devez dterminer si votre rseau comporte des types de rseaux autres que la paire torsade et si le priphrique prend en charge les types de rseaux requis. Si le dbit est un facteur crucial pour votre infrastructure rseau, vous devez vous assurer que le priphrique que vous slectionnez rpond la configuration requise en matire de dbit de rseau. Il est utile de savoir que les commutateurs de couche 3 peuvent router pratiquement la vitesse du cble. Dans ce contexte, la fonctionnalit se rapporte la capacit d'amliorer par la suite le priphrique. Vous devez dterminer s'il s'agit d'une condition requise pour le priphrique que vous slectionnez. L'un des aspects de la fonctionnalit prendre en compte dans le choix d'un priphrique intermdiaire est de savoir si un commutateur de couche 2 peut tre mis niveau pour effectuer une commutation de couche 3. Les fonctions de programmation d'un priphrique intermdiaire peuvent souvent vous faire conomiser du temps. Vous pouvez par exemple programmer certains priphriques pour faciliter et acclrer les fonctions administratives. Vous devez toutefois tre conscient du fait que le cot supplmentaire d'un tel priphrique pourrait l'emporter sur ses avantages.

Dbit

Fonctionnalit

Programmabilit

18

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Application pratique : Slection de priphriques intermdiaires

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectif : Dans cette application pratique, vous allez apprendre effectuer les tches suivantes :
! !

slectionner un priphrique intermdiaire appropri ; identifier les fonctions requises du priphrique intermdiaire.

Scnario

Vous tes ingnieur systme chez Contoso, Ltd. On vous a demand d'aider planifier une mise niveau de l'infrastructure rseau du service financier. Le service ne se trouve actuellement pas dans un environnement commut, mais utilise un routeur traditionnel et des concentrateurs de 10 Mbits. Le rseau de ce service utilise plusieurs protocoles, notamment TCP/IP, IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) et AppleTalk. Deux segments d'anneaux jeton ( token ring ) et trois segments Ethernet subsistent encore sur le rseau.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

19

Application pratique

1. Quelles modifications apporteriez-vous l'environnement actuel pour le transformer en un rseau commut ? Voyez si vous pouvez supprimer les protocoles IPX/SPX et AppleTalk et les remplacer par un protocole TCP/IP. Supprimez les rseaux Token Ring et remplacez-les par Fast Ethernet. Intgrez un commutateur de service de couche 3 et connectez les diffrents groupes au commutateur du service via des commutateurs. ____________________________________________________________ ____________________________________________________________ 2. Dans l'environnement existant, le routeur sert segmenter le rseau en plusieurs domaines de diffusion. Dans le nouveau rseau commut, qu'utiliseriez-vous pour crer diffrents domaines de diffusion ? Des rseaux locaux virtuels pourraient tre crs et l'appartenance pourrait tre base sur diverses options telles que le sous-rseau, MAC, le port ou toute combinaison de ces options. ____________________________________________________________ ____________________________________________________________

20

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Leon : Planification d'une stratgie de connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Cette leon aborde la configuration ncessaire ainsi que des solutions possibles pour la connectivit Internet. La plupart des entreprises ncessitent une solution de connexion Internet trs scurise. Pour y parvenir, elles implmentent des serveurs proxy, des pare-feu et/ou la traduction d'adresses rseau (NAT, Network Address Translation). Les serveurs proxy, les pare-feu et NAT sont des priphriques qui fonctionnent entre le client et le serveur. En ce sens, il s'agit galement de priphriques intermdiaires. Les serveurs proxy, les pare-feu et NAT n'effectuent toutefois pas davantage de traitement des paquets que les routeurs et commutateurs traditionnels et ils ont principalement t dvelopps des fins de scurit. Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dterminer la technologie et le service appropris pour les besoins de votre entreprise ; planifier l'implmentation de NAT ; planifier l'implmentation de Microsoft ISA (Internet Security and Acceleration) Server.

! !

Module 3 : Planification du routage et de la commutation et rsolution des problmes

21

Prsentation multimdia : Stratgies de connectivit rseau Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Pour visualiser la prsentation multimdia Stratgies de connectivit rseau Internet, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimdia, puis sur le titre de la prsentation. Cette prsentation a pour objectif d'tudier certaines recommandations possibles en matire de connexion d'un rseau d'entreprise Internet. Vous allez apprendre :
!

Objectif Objectifs d'apprentissage

expliquer le mode d'activation d'une connexion Internet partir de votre rseau d'entreprise ; expliquer la fonctionnalit de NAT, du partage de connexion Internet (ICS, Internet Connection Sharing) et des serveurs ISA ; identifier certaines recommandations pour la planification d'une connexion rseau scurise Internet.

Questions cls

Durant cette prsentation, rflchissez aux questions suivantes :


! ! ! !

Comment les routeurs sont-ils positionns dans votre conception de rseau ? Devez-vous enregistrer vos adresses IP prives ? Comment allez-vous positionner les pare-feu ? Quelles sont les spcifications de scurit de votre organisation ?

22

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Configuration requise pour une solution de connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Avant de choisir la solution implmenter dans votre entreprise, vous devez dterminer la configuration qui rpondra aux besoins de l'entreprise. Cette configuration s'applique principalement une solution d'entreprise scurise. Le terme tolrant aux pannes est gnralement utilis pour dcrire une technologie qui offre un niveau suprieur de rsilience et de rcupration instantane. Cela s'obtient en utilisant une redondance matrielle en complment de logiciels spcialiss. L'volutivit est le concept de cration d'une infrastructure rseau capable de s'adapter la croissance sans que des rvisions drastiques ne soient ncessaires au niveau de la configuration actuelle. En fonction de ces deux dfinitions, une solution volutive et tolrante aux pannes correspond un systme qui :
! !

Configuration requise en matire d'volutivit et de tolrance de pannes

s'adapte au nombre de personnes qui utiliseront immdiatement le systme ; s'adapte au nombre de personnes qui pourraient l'utiliser dans 1, 5 ou 10 ans ; ne tombe pas en panne en cas de dfaillance de l'un de ses composants ; permet une rcupration de plusieurs checs.

! !

Remarque Les groupes de serveurs et l'quilibrage de la charge sont deux moyens permettant de fournir une tolrance des pannes.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

23

Configuration requise pour le filtrage

Le filtrage vous permet de contrler le flux des donnes. Vous devez dterminer le type de filtrage ncessaire pour assurer une meilleure scurit rseau. Il existe plusieurs types de filtrage prendre en considration :
!

Filtrage des paquets Lorsque ce type de filtrage est activ, tous les paquets de la surface externe sont ignors l'exception de ceux que vous autorisez de faon explicite. Le filtrage des paquets peut tre statique ou dynamique. Lorsqu'il est dynamique, les ports ne s'ouvrent que lorsque cela s'avre ncessaire pour les communications et se ferment la fin de la communication.

Filtrage au niveau du circuit Le filtrage de niveau circuit active la prise en charge de pratiquement toutes les applications Internet standard et personnalises conues pour tre utilises avec le systme d'exploitation Windows. Cela s'effectue en utilisant des sessions d'inspection plutt que des connexions ou des paquets.

Filtrage au niveau de l'application Ce type de filtrage permet d'effectuer le traitement en fonction des applications, y compris l'inspection, le filtrage ou le blocage, la redirection ou mme la modification des donnes alors qu'elles traversent le pare-feu.

Filtrage des protocoles Ce type de filtrage empche le transfert du trafic des protocoles spcifis en dehors des ports commuts.

Configuration requise pour l'accs utilisateur

Il est possible que la scurit de votre entreprise require un contrle avanc des accs. Vous pouvez contrler l'accs utilisateur en fonction du nom d'utilisateur, du groupe, de l'adresse IP, de la destination, du programme ou du type de contenu. Vous devrez vous demander si votre solution prend en charge l'authentification renforce de l'utilisateur. La solution doit pouvoir effectuer les tches suivantes :
! ! !

Configuration requise pour l'authentification

authentifier les utilisateurs avant qu'il n'emploient les ressources ; prendre en charge les mthodes d'authentification ; configurer diffrentes mthodes d'authentification pour les requtes entrantes et sortantes.

Configuration requise pour le contrle de la bande passante Configuration requise pour le calendrier d'accs

Vous devez dterminer la quantit relative de bande passante allouer aux diffrents types de trafics rseau. Pour cela, dfinissez des priorits dans les rgles de bande passante qui dterminent la connexion prioritaire. Comme mesure de scurit supplmentaire, vous devez avoir la possibilit de configurer des rgles qui dterminent les jours et les heures auxquels l'accs est autoris.

24

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Configuration requise pour l'extensibilit et la souplesse

Un point important prendre en considration pour toute solution est sa capacit fournir des outils et une fonctionnalit de personnalisation. Ceci s'obtient gnralement par l'utilisation d'un kit de dveloppement (SDK, Software Development Kit) disponible pour les dveloppements en interne. Vous devez galement dterminer si la solution fournit une large gamme de solutions d'extension de tierce partie et une option d'administration extensible. Vous pouvez prendre en considration certaines des fonctions d'extensibilit suivantes :
! ! ! ! ! !

Analyse antivirus Outils de gestion Filtrage du contenu Blocage de site Surveillance en temps rel Cration de rapports

Configuration requise pour la connectivit des applications

La solution que vous slectionnez doit permettre tous vos protocoles et applications requis de se connecter et tre personnalisable.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

25

NAT en tant que solution pour la connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous dterminez une solution approprie pour la connectivit Internet, vous devez prendre en compte la fois la taille du rseau priv et les spcifications de scurit de l'organisation. Cette leon prsente NAT en tant que solution pour la connectivit Internet. Pour obtenir une solution efficace en matire de connectivit Internet, vous devez comprendre de quelle faon les fonctions de NAT prennent en charge les spcifications de connectivit de l'organisation. NAT est l'un des protocoles pris en charge par le service Routage et accs distant de Windows Server 2003. Si vous utilisez NAT, vous devez par consquent inclure ce service dans votre solution. Fonctions de NAT Les fonctions de NAT vous fournissent une solution simple pour la connectivit Internet. Ses principales fonctions sont :
!

Traduction d'adresses rseau La fonction de traduction d'adresses rseau de NAT scurise le rseau priv en masquant les adresses de ce rseau de faon ce qu'elles ne soient pas visibles par les utilisateurs bass sur Internet. La traduction d'adresses rseau permet une ou plusieurs adresses publiques d'tre traduites dans le schma d'adresses IP prives au sein du rseau priv. La traduction d'adresses rseau est inhrente NAT et ncessite l'utilisation de l'adressage priv.

IP automatique Les fonctions d'IP automatique de la fonction NAT d'attribution d'adresses fournissent la configuration IP aux ordinateurs clients du rseau priv. Ceci limine la ncessit de disposer d'un serveur DHCP (Dynamic Host Configuration Protocol) spar. Vous pouvez utiliser l'attribution d'adresses IP pour configurer n'importe quel client compatible DHCP.

26

Module 3 : Planification du routage et de la commutation et rsolution des problmes


!

Rsolution de noms La fonction de rsolution de noms de NAT utilise des serveurs proxy DNS (Domain Name System) pour transfrer les demandes de rsolution de noms. Le serveur NAT envoie les requtes des clients au service de serveur DNS appropri.

NAT est-il une solution approprie pour vous ?

NAT est une solution approprie en matire de connectivit Internet lorsque :


!

les spcifications pour l'accs Internet et l'accs au rseau priv ne ncessitent pas de restrictions en fonction de chaque utilisateur ; le rseau priv se compose d'un certain nombre d'utilisateurs dans un environnement non rout ; l'organisation ncessite un adressage priv pour les ordinateurs du rseau priv.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

27

ISA en tant que solution pour la connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Si votre entreprise requiert un niveau de scurit et de fonctionnalit supplmentaire, vous pouvez opter pour un serveur proxy. Un serveur proxy peut amliorer les performances en fournissant les donnes frquemment demandes, comme une page Web trs visite. Il peut galement filtrer et ignorer les requtes que le propritaire ne considre pas comme appropries, comme les requtes pour un accs non autoris aux fichiers propritaires. ISA Server est un serveur proxy. Il s'agit d'un pare-feu d'entreprise extensible et d'un serveur de cache qui s'intgre avec les systmes d'exploitation Windows 2000 et Windows Server 2003 pour la scurit base sur les stratgies ainsi que pour l'acclration et l'administration de l'interconnexion de rseaux. ISA Server fournit deux modes bien intgrs : un pare-feu plusieurs couches et un serveur de cache Web hautes performances. Les outils de gestion avancs simplifient la dfinition de la stratgie, le routage du trafic, la publication sur serveur et l'analyse. Qu'il soit dploy en tant que pare-feu et serveurs de cache spars ou en mode intgr, ISA Server peut tre utilis pour amliorer la scurit du rseau, appliquer une stratgie cohrente d'utilisation d'Internet, acclrer l'accs Internet et optimiser la productivit des employs dans les organisations de toutes tailles.

Dfinition de ISA Server

28

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Fonctions d'ISA Server

ISA Server fournit les fonctions suivantes :


!

Connectivit Internet scurise ISA Server protge les rseaux des accs non autoriss, inspecte le trafic et alerte les administrateurs rseau en cas d'attaque. Il fournit aux organisations un moyen rapide et exhaustif de contrler l'accs et de surveiller l'utilisation, permettant ainsi aux administrateurs rseau de rpondre aux besoins de l'organisation ainsi que de ses clients. ISA Server propose un pare-feu d'entreprise multicouche extensible disposant des fonctions de scurit suivantes : # Filtrage du trafic au niveau des paquets, circuits et applications # Inspection avec tat # Large prise en charge d'applications # Mise en rseau priv virtuel intgr # Dtection intgre des intrusions # Filtres d'applications intelligents # Transparence pour tous les clients # Authentification avance # Publication sur serveur scurise Accs rapide Internet Le cache Web d'ISA Server peut maximiser les performances ainsi que les ressources de la bande passante du rseau en stockant et servant le contenu Web mis en cache au niveau local.

Gestion unifie En associant le pare-feu d'entreprise et les fonctions de cache Web hautes performances, ISA Server fournit une infrastructure de gestion commune qui rduit la complexit et les cots du rseau.

Plate-forme extensible et ouverte ISA Server est conu pour tre extrmement extensible et inclut un kit de dveloppement logiciel exhaustif pour le dveloppement en interne, un large choix de solutions d'extension tierces et une option d'administration extensible.

Remarque Pour plus d'informations sur les avantages d'ISA Server, consultez le site http://www.microsoft.com/france/isaserver/FP/FP1.asp

Module 3 : Planification du routage et de la commutation et rsolution des problmes

29

Instructions de planification d'ISA Server

Lors de la planification d'une solution de connectivit Internet base sur ISA Server, vous devez dterminer les lments suivants :
!

Taille du rseau Il est important d'avoir une ide prcise de la taille de votre rseau ou de l'utilisation prvue pour les serveurs de publication, afin que vous puissiez dterminer le nombre d'ordinateurs ISA Server dployer.

Tolrance des pannes Vous devez dterminer le nombre appropri d'ordinateurs ISA Server. Pour cela, gardez l'esprit les considrations relatives la scurit, les fonctions attendues des ordinateurs ISA Server et la faon dont les clients y accderont.

Mode ISA Server Vous devez dterminer le mode ISA Server que vous installerez pour chacun des groupes : pare-feu, cache ou intgr.

Besoins des utilisateurs Vous devez dterminer les applications et services dont vos utilisateurs ont besoin. Ceci vous aide dterminer, le cas chant, le type de logiciel client installer sur les ordinateurs clients.

Spcifications de connectivit Internet Vous devez dterminer comment vous allez connecter physiquement votre rseau interne Internet.

Lorsque vous utilisez ISA Server, vos dcisions en matire de planification pour une solution de connectivit Internet doivent se fonder sur vos spcifications de scurit, la configuration de votre rseau, le nombre de ressources exposes Internet et le nombre d'emplacements distribus gographiquement relatifs l'organisation. Remarque Pour plus d'informations sur la planification de l'utilisation d'ISA Server, consultez le site: http://www.microsoft.com/france/isaserver/decouvrez/default.asp ISA Server est-il une solution approprie pour vous ? ISA Server est une solution approprie pour la connectivit Internet dans les cas suivants :
!

l'accs Internet et au rseau priv est restreint sur une base de ressource ou d'utilisateur individuel ; un certain nombre de ressources rseau prives doivent tre partages avec des utilisateurs bass sur Internet ; le rseau priv englobe plusieurs emplacements gographiques.

30

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Prsentation multimdia : Slection d'une solution pare-feu de base/NAT ou ISA Server

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Pour visualiser la prsentation Slection d'une solution pare-feu de base/NAT ou ISA Server, ouvrez la page Web du CD-ROM du stagiaire, puis cliquez sur Multimdia et sur le titre de la prsentation. Cette prsentation a pour objectif d'expliquer comment faire un choix entre une solution de pare-feu de base/NAT et une solution ISA Server. Vous allez apprendre :
! ! !

Objectif Objectifs d'apprentissage

identifier quel moment utiliser une solution de pare-feu de base/NAT ; identifier quel moment utiliser une solution ISA Server ; identifier les critres de slection de la solution de pare-feu la plus approprie ; appliquer la solution de pare-feu approprie votre organisation.

Questions cls

Durant cette prsentation, rflchissez aux questions suivantes :


! ! !

Votre planification s'applique-t-elle un ou plusieurs sous-rseaux ? Quelles sont les spcifications de scurit de votre rseau ? L'quilibrage de la charge du rseau et les groupes de serveurs entrent-ils en ligne de compte dans votre conception ? Votre rseau priv est-il rout ? Votre organisation ncessite-t-elle la mise en cache du contenu HTTP (Hypertext Transfer Protocol) et FTP (File Transfer Protocol) sortant des serveurs publis ?

! !

Module 3 : Planification du routage et de la commutation et rsolution des problmes

31

Instructions pour la planification d'une stratgie de connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La planification d'une stratgie de connectivit Internet est un prolongement du choix des priphriques intermdiaires. Vous devez dterminer quelle est pour votre entreprise la meilleure mthode de connexion Internet en suivant les instructions dtailles dans cette section. Vous devez tout d'abord identifier le niveau de complexit de votre entreprise. Si vous disposez d'un environnement de petite taille constitu d'un simple rseau un seul segment, le service NAT du service Routage et accs distant peut rpondre la configuration minimale requise du rseau. Si vous disposez d'un rseau complexe avec des spcifications elles-mmes complexes, envisagez un produit (comme ISA Server) qui dispose de fonctions permettant de rpondre cette configuration. La connectivit Internet et la scurit sont troitement lies. L'identification de vos spcifications de scurit vous aide dterminer la meilleure solution. Le service NAT, dans ISA Server et dans le service Routage et accs distant, traite des problmes de scurit. ISA Server offre cependant des fonctions de filtrage, d'authentification et de contrle de l'accs bien plus avances.

Dfinir la structure actuelle du rseau

Dfinir les spcifications de scurit

32

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Identifier les spcifications de connectivit

L'identification des spcifications de connexion aux ressources externes vous aide galement dterminer la meilleure solution pour votre entreprise. Rflchissez par exemple aux points suivants:
! ! !

ce qui sera connect ; le moment auquel les connexions seront autorises ; la bande passante qui sera alloue l'application.

Vous devez galement identifier les spcifications relatives la connexion aux ressources internes. Si vous dterminez que les spcifications dpassent la capacit d'un ou de deux serveurs, le service NAT du service Routage et accs distant n'est alors pas une solution acceptable. Slectionner la solution approprie Aprs avoir identifi les spcifications de votre entreprise, vous pouvez associer tous ces facteurs et les comparer aux fonctions proposes par les diverses solutions. Cependant, n'oubliez pas que des spcifications complexes requirent des solutions sophistiques.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

33

Application pratique : Planification d'une stratgie de connectivit Internet

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Dans cette application pratique, vous allez apprendre planifier une stratgie de connectivit Internet. Avant de lire le scnario et d'effectuer l'application pratique, passez en revue la prsentation multimdia Stratgies de connectivit rseau Internet de ce module. Scnario Vous tes ingnieur systme Contoso, Ltd. On vous a demand d'aider planifier la stratgie de connectivit Internet d'une nouvelle filiale situe Cardiff, au Pays de Galles. Les 50 chercheurs de Cardiff effectueront des activits de recherche environnementale et doivent se connecter Internet pour communiquer avec des universits et des organismes de recherche de premier plan, ainsi que pour communiquer avec le rseau de l'entreprise, situ Londres. Une connexion de 768 kilobits par seconde (Kbits) sera installe et utilise pour la connexion Internet. Les chercheurs ont quelques doutes quant la connexion de leurs serveurs un rseau qui dispose galement de la connectivit Internet et souhaitent tre rassurs quant au fait que tous les plans prendront en compte la scurit des documents de recherche de valeur stocks sur leurs serveurs de fichiers. La filiale de Cardiff crera galement cinq postes de stagiaires pour les tudiants de l'universit voisine. Cinq tudiants seront tout moment en stage de trois mois dans le bureau. Ils devront avoir accs un nombre limit d'emplacements Internet en fonction de leurs tches de recherche et de leur appartenance au groupe. Il est possible que ces stagiaires aient galement accder de faon simultane Internet.

34

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Application pratique

1. Quelle serait votre stratgie prfre pour connecter la filiale de Cardiff Internet ? L'utilisation d'un serveur ISA. ____________________________________________________________ ____________________________________________________________ 2. Quelles sont vos raisons pour choisir cette stratgie particulire ? Le serveur ISA peut fournir la scurit que requirent les chercheurs et il peut tre configur en fonction de chaque utilisateur ou groupe afin de limiter les emplacements auxquels les tudiants pourront se connecter et les protocoles utiliss pour la connexion. Ceci est impossible avec RRAS NAT, ICS ou simplement avec un routeur. ____________________________________________________________ ____________________________________________________________

Module 3 : Planification du routage et de la commutation et rsolution des problmes

35

Leon : Planification du routage des communications

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Dans cette leon, vous allez apprendre planifier le routage des communications pour une conception d'entreprise donne. Vous apprendrez slectionner la mthode de connexion, dterminer les protocoles de routage et identifier le protocole de connexion utiliser. la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! ! !

Objectifs de la leon

dterminer les options de connectivit utiliser ; dterminer les protocoles de routage et/ou les itinraires statiques utiliser ; dterminer les options de scurit implmenter.

36

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Slection de la mthode de connexion approprie

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La premire tape dans la planification du routage des communications consiste identifier le mode de transfert des donnes par les routeurs. Pour ce faire, les quatre moyens les plus courants sont les lignes alloues, le tunneling, la connexion permanente la demande et les connexions sur demande. Chaque mthode de communication rpond une configuration rseau spcifique. Vous devez valuer votre configuration rseau et dterminer ensuite la mthode qui rpondra le mieux vos besoins. Une ligne alloue est une connexion ouverte en permanence qui est disponible moyennant le paiement d'un forfait annuel. Ce type de connexion est gnralement employ lorsque l'utilisation du rseau d'une entreprise est intensive. Une ligne alloue permet une solution de connectivit bien plus rentable que les types de connexion plus traditionnels (comme RNIS ou les modems d'accs distance). Parce que les lignes alloues sont des connexions point point ddies, leur utilisation peut s'avrer plus sre que l'envoi de donnes dans un rseau maill point multipoint. Le tunneling correspond la transmission de donnes du rseau priv interne sur un rseau public. Cela s'effectue de telle faon que le routage du rseau public n'a pas conscience du fait que la transmission fait partie d'un rseau priv. Le tunneling s'effectue gnralement en encapsulant les donnes du rseau priv et les informations de protocole dans les units de transmission du rseau public. Ces informations encapsules s'affichent sous la forme de donnes dans le rseau public. Toutefois, dans le cadre de l'utilisation d'un rseau public pour l'envoi de donnes prives, vous pouvez crypter ces dernires afin qu'elles ne puissent pas facilement tre lues par des utilisateurs non autoriss.

Lignes alloues

Tunneling

Module 3 : Planification du routage et de la commutation et rsolution des problmes

37

Routage la demande

Similaires aux lignes alloues, les connexions la demande sont des connexions point point, avec toutefois une diffrence : elles ne sont pas ddies. Les connexions la demande doivent toujours tre composes pour tablir la connexion, mais leur nature point point les rend moins vulnrables la surveillance du trafic de paquets. Les connexions la demande peuvent tre :
! !

sur demande ou permanentes ; inities de faon bidirectionnelle ou unidirectionnelle.

La dcision d'utiliser l'un ou l'autre des types de connexions a un impact sur la configuration de l'interface de connexion la demande. Connexions sur demande Les connexions sur demande sont utilises lorsque le cot d'utilisation de la liaison de communications est sensible au temps. Le comportement de dconnexion inactive peut tre configur la fois sur le routeur appelant et sur le routeur rcepteur. Les appels tlphoniques analogiques longue distance sont facturs la minute. Avec les connexions sur demande, la connexion est tablie lorsque le trafic est transfr et arrte aprs un temps d'inactivit configur. Connexions permanente la demande Les connexions permanente la demande utilisent une technologie WAN de numrotation lorsque le cot de la liaison est fixe et que la connexion peut tre active 24 heures sur 24. Le comportement de connexion permanente doit tre configur la fois sur le routeur appelant et sur le routeur rcepteur. Voici quelques exemples de connexions permanente la demande :
! ! !

appels locaux qui utilisent des lignes tlphoniques analogiques ; lignes analogiques alloues ; RNIS forfaitaire.

Si une connexion permanente est perdue, le routeur appelant essaie immdiatement de rtablir la connexion. Inities de faon unidirectionnelle Avec les connexions inities de faon unidirectionnelle, un routeur correspond toujours au routeur rcepteur et l'autre au routeur appelant. Le routeur rcepteur accepte la connexion et le routeur appelant l'initie. Les connexions inities de faon unidirectionnelle conviennent bien une topologie spoke-and-hub sur demande o le routeur de la filiale est le seul routeur qui initie la connexion. Les connexions inities de faon unidirectionnelle requirent les conditions suivantes :
! !

Le routeur rcepteur est configur comme un routeur LAN et WAN. Un compte d'utilisateur est ajout pour les informations d'authentification du routeur appelant, auquel le routeur rcepteur accde et qu'il valide.

Une interface de connexion la demande est configure sur le routeur rcepteur avec le mme nom que le compte d'utilisateur utilis par le routeur appelant. Parce que cette interface n'est pas utilise pour appeler, elle n'est pas configure avec le numro de tlphone du routeur appelant ou avec les informations d'identification valides de l'utilisateur.

38

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Inities de faon bidirectionnelle

Avec les connexions inities de faon bidirectionnelle, l'un ou l'autre des routeurs peut tre le routeur rcepteur ou le routeur appelant, en fonction de celui qui initie la connexion. Les deux routeurs doivent tre configurs pour initier et accepter une connexion la demande. Vous pouvez utiliser les connexions inities de faon bidirectionnelle lorsque le trafic en provenance d'un des routeurs peut crer la connexion la demande. Les connexions la demande inities de faon bidirectionnelle requirent les conditions suivantes :
! !

Les deux routeurs sont configurs en tant que routeurs LAN et WAN. Des comptes d'utilisateurs sont ajouts aux deux routeurs, afin que le routeur rcepteur puisse accder aux informations d'authentification du routeur appelant et les valider. Les interfaces de numrotation la demande portant le mme nom que le compte d'utilisateur utilis par le routeur appelant sont entirement configures sur les deux routeurs, y compris le numro de tlphone du routeur rcepteur et les informations d'identification du compte d'utilisateur permettant d'authentifier le routeur appelant.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

39

Slection d'un protocole de routage

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour que le routeur puisse transfrer des paquets sur des rseaux auxquels il n'est pas directement connect, vous devez crer des entres de table de routage pour ces rseaux. Dans un petit rseau, vous pouvez ajouter manuellement ces entres en configurant des itinraires statiques dans la table de routage de votre routeur. Vous pouvez inclure dans la conception des routeurs RIP (Routing Information Protocol) pour IP, afin que ceux-ci puissent automatiquement mettre jour les informations de la table de routage. Les tables de routage statiques sont cres et mises jour manuellement. Si un itinraire change, l'administrateur rseau doit mettre manuellement jour les tables de routage. Les itinraires statiques peuvent tre adapts aux rseaux d'interconnexion de petite taille. Cependant, en raison de leur administration manuelle, ils ne sont pas trs volutifs. Vous pouvez normalement utiliser des itinraires statiques si votre environnement rpond l'une des conditions suivantes :
!

Itinraires statiques

Intrt du choix des itinraires statiques

Petit nombre d'itinraires Si votre environnement est relativement simple, un protocole de routage n'est peut-tre pas utile.

Environnement statique Si votre environnement rseau ne fait pas l'objet de nombreuses modifications et que vous ne disposez pas de plusieurs voies d'accs redondantes, vous aurez peut-tre besoin d'un protocole de routage.

Un besoin de limiter l'utilisation de la bande passante Les protocoles de routage ncessitent davantage de bande passante ; par consquent, si la bande passante est un motif de proccupation, vous pourriez prendre en considration les itinraires statiques.

40

Module 3 : Planification du routage et de la commutation et rsolution des problmes

RIP pour IP

RIP est conu pour l'change d'informations de routage au sein d'un rseau d'interconnexion de petite ou de moyenne taille. Un routeur RIP gre une table de routage et envoie de faon priodique des annonces afin d'informer les autres routeurs RIP du rseau des rseaux qu'ils peuvent et ne peuvent plus atteindre. La version 1 de RIP utilise les paquets de diffusion IP pour ses annonces, alors que la version 2 utilise les paquets de multidiffusion. Le service Routage et accs distant prend en charge RIP versions 1 et 2. Par rapport aux autres protocoles, RIP est simple configurer et dployer. Cependant, alors que la taille des rseaux augmente, les annonces priodiques gnres par chaque routeur RIP provoquent un trafic excessif sur le rseau. RIP est gnralement utilis dans les rseaux comportant au maximum 50 routeurs.

Intrt du choix de RIP

Vous devez inclure RIP dans votre plan de routage pour les raisons suivantes :
! !

pour mettre automatiquement jour les informations des tables de routage ; si la mise jour manuelle des tables de routage prend beaucoup trop de temps ; en cas de modifications constantes apportes aux informations des tables de routage ; si les routeurs existants utilisent RIP ; si la conception inclut une interface de connexion la demande afin que vous puissiez utiliser RIP pour crer des entres d'itinraires autostatiques ; si le nombre maximal de routeurs qu'un paquet IP doit traverser est infrieur 14.

! !

OSPF

OSPF (Open Shortest Path First) est un protocole d'tat des liens bas sur l'algorithme SPF (Shortest Path First) qui traite le chemin le plus court entre un nud source et les autres nuds du rseau. Vous pouvez inclure le protocole de routage OSPF dans un plan rseau afin que les routeurs puissent automatiquement mettre jour leurs informations de routage pour les paquets monodiffusion. la diffrence des routeurs RIP pour IP, les routeurs OSPF grent une carte du rseau dans la base de donnes des tats des liens. Les mises jour apportes au rseau sont refltes dans cette base de donnes et synchronises entre les routeurs. Les routeurs OSPF grent la fois une base de donnes des tats des liens et une table de routage.

Intrt du choix de OSPF

Vous devez inclure OSPF dans le plan de routage de votre entreprise si :


! ! ! !

les informations de routage changent constamment ; les routeurs existants utilisent OSPF ; la conception inclut des chemins redondants entre deux sous-rseaux ; le nombre de sous-rseaux de la conception est suprieur 50.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

41

Utilisation de filtres de paquets IP

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Le filtrage des paquets est une mesure de scurit que vous implmentez au niveau de la couche rseau. Un routeur IP peut fournir la possibilit d'autoriser ou d'interdire le transfert de types spcifiques de trafic IP. Grce aux filtres de paquets IP, vous pouvez intercepter et autoriser ou bloquer les paquets destins des ordinateurs spcifiques du rseau de votre entreprise. Vous configurez les filtres d'entre et de sortie sur une interface. Le filtrage des paquets IP vous fournit un moyen de dfinir prcisment le trafic IP qui est autoris traverser le routeur. Ce filtrage devient important lorsque vous connectez des intranets d'entreprise aux rseaux publics (Internet, par exemple). Vous pouvez configurer deux types de filtres de paquets IP statiques :
!

Filtres de paquets IP

Filtres d'autorisation Les filtres d'autorisation sont des filtres d'exception, ce qui signifie que tous les types de paquets sont bloqus l'exception de ceux que vous autorisez. Si aucun filtre de paquets n'est activ pour un port spcifique, le service ne peut pas couter sur ce port sauf si vous l'ouvrez de faon dynamique.

Filtres de blocage Les filtres de blocage ferment les ports spcifis. Vous pouvez crer et configurer les filtres de blocage pour dfinir de faon plus dtaille le trafic autoris via le serveur ISA.

Filtres d'entre et de sortie

Les filtres d'entre filtrent le trafic d'entre de l'interface. Les filtres de sortie filtrent le trafic de sortie d'une interface. Les filtres d'entre et de sortie sont configurs sur une base d'exception. Vous pouvez configurer l'action de filtrage de faon recevoir ou, au contraire, rejeter tout le trafic l'exception de celui qui est spcifi. Lorsque plusieurs filtres sont configurs, les filtres spars appliqus au paquet d'entre sont compars l'aide de l'oprateur logique OU. Si le paquet correspond au moins l'un des filtres configurs, il est reu ou rejet en fonction du paramtre d'action de filtrage.

42

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Exemple de filtrage d'entre

Supposons que l'interface A dispose d'un filtre d'entre configur pour bloquer le trafic ICMP (Internet Control Message Protocol) entrant. Les paquets ICMP sont ignors au niveau du routeur. Lorsque l'utilisateur 1 essaie de communiquer avec l'utilisateur 2 l'aide d'autres protocoles, ces paquets sont transfrs sans tre modifis. En bloquant le trafic ICMP avec un filtre d'entre, un administrateur rseau peut empcher les utilisateurs de provoquer le passage d'un trafic inutile travers le routeur. Lorsque l'utilisateur 1 essaie de se servir du protocole SNMP pour administrer l'ordinateur de l'utilisateur 3, la tentative choue, car le routeur dispose sur l'interface B d'un filtre de sortie configur pour transmettre tous les protocoles l'exception de SNMP. Vous pouvez galement configurer un filtre de sortie afin d'empcher la pntration du trafic SNMP sur certains rseaux. Par exemple, si une organisation dispose d'ordinateurs dans un emplacement non scuris tel qu'un rseau de laboratoires, un administrateur peut configurer un filtre de routage afin qu'il empche l'entre du trafic SNMP sur ce rseau. Le blocage du trafic SNMP empche les utilisateurs de ce rseau d'effectuer des fonctions d'administration sur les ordinateurs connects aux autres parties du rseau.

Exemple de filtrage de sortie

Configuration des filtres

Vous pouvez configurer les filtres d'entre et de sortie sur les champs de cl des en-ttes IP, TCP, UDP (User Datagram Protocol) et ICMP de chaque interface. La configuration d'un filtre implique le choix d'une interface, la spcification d'un filtre d'entre ou de sortie et la spcification d'une action de filtrage. Pour configurer le filtrage des paquets IP dans le service Routage et accs distant, vous crez des filtres pour autoriser ou interdire certains types de trafic sur une interface de routage. Un filtre IP dclenche une dcision relative l'action entreprendre au niveau du paquet, en fonction d'une correspondance avec la source, la destination et le type du trafic IP.

Spcification d'une action de filtrage

Les filtres sont configurs sur une base d'exception. Vous pouvez configurer l'action de filtrage de faon recevoir ou, au contraire, rejeter tout le trafic l'exception de celui qui est spcifi. Vous pouvez slectionner une action de filtrage aprs avoir dfini au minimum un filtre. Les options de configuration de filtres sont les suivantes :
!

Recevoir tous les paquets l'exception de ceux que vous spcifiez comme devant tre bloqus, ce qui permet de protger un rseau contre des menaces spcifiques. Utilisez ce paramtre lorsque vous n'avez pas besoin d'un niveau lev de scurit. Rejeter tous les paquets l'exception de ceux rpondant aux critres spcifis. Utilisez ce paramtre lorsque vous avez besoin d'un niveau lev de scurit.

Remarque Pour des exemples de scnarios de filtrage courants, consultez le site ( en anglais) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windows2000serv/reskit/intnetwk/part1/intch03.asp

Module 3 : Planification du routage et de la commutation et rsolution des problmes

43

Considrations relatives l'administration

Lorsque l'entreprise doit voluer, vous devez passer en revue tous les filtres pour vous assurer qu'ils sont toujours appropris. Les considrations suivantes en matire d'administration vous aident dterminer si le filtrage de paquets est utile dans votre environnement :
!

Vous devez vous assurer que le filtrage est modifi en fonction de l'installation et de l'utilisation de nouvelles applications sur le rseau. Vous devez passer en revue les types de paquets qui sont autoriss. Vous constaterez sans doute que certains paquets sont autoriss alors qu'ils ne devraient pas l'tre ; vous devez donc passer rgulirement en revue les paquets que vous avez filtrs.

44

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Prsentation multimdia : Filtrage par un routeur de protocoles

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Pour visionner l'animation Filtrage par un routeur de protocoles, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur Multimdia, puis sur le titre de la prsentation. Cette prsentation a pour objectif de montrer comment configurer un routeur afin qu'il filtre des protocoles spcifiques. Vous allez apprendre effectuer les tches suivantes :
!

Objectif Objectifs d'apprentissage

utiliser le service Routage et accs distant pour ajouter un routeur la console ; configurer le routeur pour qu'il traite les paquets ICMP ; utiliser la commande ping pour identifier les filtres sortants bloqus.

! !

Questions cls

Durant cette prsentation, rflchissez aux questions suivantes :


!

Pourquoi le serveur doit-il tre ajout la console MMC (Microsoft Management Console) Routage et accs distant lors de la configuration de vos filtres distance ? Comment les filtres sont-ils dfinis sparment pour le trafic d'entre et de sortie d'une interface ? Pourquoi devez-vous dfinir le type et le code lorsque vous ajoutez un filtre ICMP ?

Module 3 : Planification du routage et de la commutation et rsolution des problmes

45

Conditions d'utilisation des tunnels VPN

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les connexions VPN (Virtual Private Network) permettent aux organisations de disposer de connexions routes avec des bureaux gographiquement spars ou avec d'autres organisations sur un rseau d'interconnexion public, comme Internet, tout en prservant des communications scurises. Une connexion VPN route sur Internet fonctionne de faon logique comme une liaison rseau tendu ddie. Avec les deux types de connexions routes, les connexions VPN permettent aux organisations de remplacer les lignes commutes ou alloues longue distance avec des lignes locales chez un fournisseur de services Internet. Scurit VPN Microsoft utilise le terme VPN pour se rfrer la scurit fournie sur une infrastructure rseau public ou non approuv, y compris :
!

un accs distant scuris du client vers la passerelle, via des connexions Internet ou au sein de rseaux privs ou externaliss ; des connexions passerelles passerelles travers Internet ou travers des rseaux privs ou externaliss. Les tunnels VPN servent crypter les donnes et empcher l'affichage non autoris de donnes confidentielles transmises travers des rseaux publics. Vous pouvez spcifier le niveau de cryptage en utilisant la liste des algorithmes de cryptage pris en charge par les tunnels VPN. VPN prend en charge les protocoles PPTP (Pointto-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) pour la scurisation du trafic.

Conditions d'utilisation des tunnels VPN

Vous pouvez utiliser les tunnels VPN si :


! !

tous les routeurs scuriser prennent en charge les tunnels VPN ; l'authentification des routeurs s'effectue avec les comptes d'utilisateurs, les certificats bass sur l'ordinateur ou avec ces deux lments.

46

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Le tableau suivant dcrit quel moment choisir chacun des protocoles de tunnels pris en charge par VPN dans votre plan.
Protocole pris en charge par VPN Tunnels PPTP utilisant MPPE (Microsoft Point-toPoint Encryption) Description Les tunnels PPTP utilisent MPPE pour crypter les donnes. La famille de produits Windows Server 2003 prend en charge le cryptage 40, 56 ou 128 bits. Spcifiez la mthode de cryptage des donnes VPN si Vous utilisez les protocoles d'authentification MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), MS-CHAP version 2 ou EAP-TLS (Extensible Authentication Protocol-Transport Level Security). L'authentification base sur l'utilisateur est suffisante et la scurit ajoute par l'authentification base sur l'ordinateur n'est pas requise. Il n'existe aucune infrastructure de certificats base sur l'ordinateur, de type Kerberos V5 ou infrastructure des cls publiques (PKI). Tunnels L2TP utilisant IPSec (Internet Protocol Security) pour le cryptage Les tunnels L2TP utilisent IPSec pour crypter les donnes dans une connexion. IPSec utilise pour l'authentification des certificats bass sur l'ordinateur, rduisant ainsi la possibilit qu'un routeur non autoris emprunte l'identit d'un routeur autoris. La scurit supplmentaire que fournit l'authentification base sur l'ordinateur est souhaite et l'authentification base sur l'utilisateur est insuffisante. Il existe une infrastructure de certificats base sur l'ordinateur, de type Kerberos V5.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

47

Utilisation de IPSec en mode de tunnel

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez empcher l'affichage non autoris de donnes confidentielles transmises travers des rseaux publics en cryptant ces donnes avec des tunnels IPSec. IPSec propose plusieurs algorithmes d'authentification et de cryptage des donnes. La mthode choisie pour l'authentification et le cryptage des paquets varie en fonction la fois de la confidentialit des informations et des limitations imposes par les normes gouvernementales. IPSec prend en charge le mode de tunnel et le mode de transport pour la scurisation des donnes. Le mode de transport ne spcifie pas de points d'arrive parce qu'il communique avec plusieurs ordinateurs la fois. Le mode de tunnel spcifie les points d'arrive du tunnel. Vous spcifiez les points d'arrive du tunnel l'aide des adresses IP des routeurs. IPSec en mode de tunnel est spcifi pour l'authentification et le cryptage de routeur routeur. Lorsque vous utilisez le mode de tunnel IPSec, IPSec crypte la fois l'en-tte et la charge utile IP, alors que le mode de transport ne crypte que la charge utile IP. Le mode de tunnel fournit la protection de tout un paquet IP en le traitant comme une charge utile AH (Authentication Header) ou ESP (Encapsulating Security Payload). Grce au mode de tunnel, tout un paquet IP est encapsul avec un en-tte AH ou ESP et un en-tte IP supplmentaire. Les adresses IP de l'en-tte IP externe correspondent aux points d'arrive du tunnel et les adresses IP de l'en-tte IP encapsul reprsentent les dernires adresses source et de destination.

Modes IPSec

Scurit du mode de tunnel IPSec

48

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Conditions d'utilisation des tunnels IPSec

Vous pouvez slectionner IPSec en mode de tunnel si :


! !

tous les routeurs scuriser prennent IPSec en charge ; les certificats bass sur l'ordinateur effectuent l'authentification des routeurs ; il existe un service d'annuaire Microsoft Active Directory ou une infrastructure de cls publiques qui permet d'mettre les certificats bass sur l'ordinateur ; votre conception n'inclut que les routeurs bass sur le service Routage et accs distant ; vous pouvez dans ce cas slectionner IPSec pour authentifier les routeurs et crypter les transmissions de donnes.

Remarque Le mode de tunnel IPSec requiert la prise en charge du matriel. Si vous choisissez d'implmenter le mode de tunnel IPSec, vous devez vrifier auprs du fabricant que le matriel est bien pris en charge.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

49

Instructions de planification de la connectivit du routeur

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les instructions de planification de la connectivit routeur routeur consistent en une liste de dcisions que vous devez prendre lorsque vous planifiez la stratgie de connectivit routeur routeur de votre entreprise. Vous devez tout d'abord dterminer si vous allez utiliser des lignes alloues, le tunneling, le routage la demande ou une connexion sur demande. Pour prendre cette dcision, vous devez tenir compte de votre configuration rseau, du matriel et de la scurit de connexion souhaite. Une fois que vous avez identifi la mthode de connexion que vous utiliserez, vous devez choisir une option de connexion scurise. Les options scurises sont le mode de tunnel VPN et IPSec. Les protocoles PPTP et L2TP sont plus largement pris en charge que le mode de tunnel IPSec. Par consquent, vous devriez probablement choisir ces options si vous slectionnez l'option de tunneling. Vous devez dterminer le protocole que les routeurs utiliseront pour transfrer les paquets. Les options de base sont statique, RIP et OSPF. Vous devez vous assurer que le protocole que vous slectionnez rpond aux besoins actuels et qu'il anticipe les besoins futurs. L'une des mesures de scurit que vous pouvez prendre consiste identifier les paquets autoriss traverser le routeur. Vous devez dterminer le type de paramtres de filtrage que vous utiliserez. Les choix possibles sont d'entre, de sortie ou les deux associs. Vous devez galement dterminer si les filtres autorisent ou bloquent les paquets.

Identifier la mthode de connexion du routeur

Dterminer les options de connectivit utiliser

Dterminer le protocole de routage utiliser

Identifier les paramtres de filtrage

50

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Application pratique : Planification du routage des communications

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Scnario Dans cette application pratique, vous allez planifier les communications du routeur en fonction du scnario fourni. Vous tes ingnieur systme Contoso, Ltd. On vous a demand de planifier pour une filiale un nouveau rseau comportant six stations de travail et un serveur. Le bureau se reconnectera au bureau principal de l'entreprise via un circuit commut bidirectionnel. Les utilisateurs de la filiale utiliseront la connexion distance pour accder leurs serveurs de messagerie et un serveur de bases de donnes Microsoft SQL Server.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

51

1. Devez-vous crer un compte sur le serveur de la filiale ? Oui. Vous devez crer un compte d'appels rentrants pour le routeur du sige de l'entreprise. ____________________________________________________________ ____________________________________________________________ 2. Devez-vous installer un protocole de routage dans la filiale ? Non, le rseau de la filiale, ne comportant qu'un seul rseau, est trs simple. Une entre de passerelle par dfaut pourrait, au niveau du routeur de la filiale, grer l'ensemble du trafic destin l'extrieur. ____________________________________________________________ ____________________________________________________________ 3. Le volume de trafic rseau a augment de faon trs importante et empche les employs de faire leur travail. Aprs avoir contrl le serveur, vous constatez que cela provient du fait qu'ils surfent sur Internet. Que pouvezvous faire pour liminer ce trafic ? Configurer un filtre d'entre sur l'interface de numrotation la demande du port 80. Ceci empchera l'initialisation de connexions via le trafic HTTP. ____________________________________________________________ ____________________________________________________________

52

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Leon : Rsolution des problmes lis au routage TCP/IP

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Cette leon utilise les procdures normalises de rsolution de problmes pralablement prsentes dans ce cours, ainsi que des tapes personnalises pour la rsolution des problmes lis au routage TCP/IP. Elle prsente galement les outils ncessaires pour la rsolution de ce type de problmes. la fin de cette leon, vous serez mme de vrifier les points suivants :
! ! ! ! !

Objectifs de la leon

le service Routage et accs distant est en cours d'excution ; le routage est activ ; le routeur reoit des itinraires en provenance des protocoles de routage ; les itinraires statiques sont correctement configurs ; les protocoles de routage adquats sont activs sur les interfaces appropries ; la configuration TCP/IP est correcte ; la configuration d'itinraire par dfaut est approprie pour le client.

! !

Module 3 : Planification du routage et de la commutation et rsolution des problmes

53

Procdure d'isolement d'un problme de routage

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les trois mthodes de base permettant d'isoler des problmes rseau sont extrieur-intrieur, intrieur-extrieur et moiti-moiti. Elles sont toutes trois efficaces car systmatiques. Suivre une procdure systmatique vous permet de mieux grer une situation donne. L'utilisation d'une approche systmatique prsente un autre avantage : elle vous fournit un enregistrement de toutes vos tentatives de rsolution du problme. Un dpannage effectu partir de l'approche extrieur-intrieur commence au niveau du systme distant pour revenir vers l'hte local, un saut la fois.

Extrieur-intrieur

54

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Intrieur-extrieur

Avec la mthode intrieur-extrieur de rsolution des problmes de connectivit rseau, vous commencez au niveau de l'hte local et vous vous loignez ensuite vers l'hte distant, un saut la fois.

Moiti-moiti

La mthode moiti-moiti de rsolution des problmes de connectivit rseau est une variante des approches extrieur-intrieur et intrieur-extrieur. Si vous faites appel cette mthode, vous commencez le dpannage en partant du centre du problme de connectivit. Vous divisez ensuite la zone isole en deux parties et continuez le dpannage jusqu' ce que le problme soit isol.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

55

Conditions d'utilisation des outils de rsolution de problmes

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction En raison de l'utilisation importante de la suite de protocoles TCP/IP, de nombreuses cibles de dpannage peuvent tre identifies et analyses. Chacune de ces cibles ncessite un ensemble d'outils de diagnostic diffrent pour identifier et isoler efficacement les checs. Il existe plusieurs outils qui peuvent vous aider dtecter et isoler les problmes lis la suite TCP/IP. Certains de ces outils ont t mentionns dans des modules prcdents et d'autres sont nouveaux car ils s'appliquent la suite TCP/IP. Le tableau suivant rpertorie les utilitaires de diagnostic intgrs dans Microsoft TCP/IP. Tous ces utilitaires permettent d'identifier et de rsoudre les problmes de mise en rseau TCP/IP.
Utilitaire ARP Hostname Ipconfig Sert Afficher le cache ARP (Protocole de rsolution d'adresse) sur l'interface de l'ordinateur local afin de dtecter les entres non valides. Afficher le nom d'hte de l'ordinateur. Afficher les valeurs actuelles de la configuration rseau TCP/IP, mettre jour ou librer les baux attribus par DHCP et afficher, enregistrer ou effacer les noms DNS. Vrifier l'tat du NetBIOS en cours sur les connexions TCP/IP, mettre jour le cache de nom NetBIOS et dterminer les noms enregistrs et l'identificateur d'tendue. Afficher les statistiques pour les connexions TCP/IP en cours. Vrifier tous les aspects de la connexion rseau. Vrifier les enregistrements, les alias des htes de domaine et les informations de systme d'exploitation en interrogeant les serveurs DNS d'Internet.

Utilitaires de diagnostic TCP/IP

Nbtstat

Netstat NetDiag Nslookup

56

Module 3 : Planification du routage et de la commutation et rsolution des problmes (suite) Utilitaire Pathping Ping Route Tracert Sert Suivre un chemin vers un systme distant et envoyer des rapports sur les pertes de paquets chaque routeur prsent sur le chemin. Envoyer des demandes d'cho IPCM pour vrifier que TCP/IP est correctement configur et qu'un systme TCP/IP distant est disponible. Afficher la table de routage IP et ajouter ou supprimer des itinraires IP. Suivre un chemin vers un systme distant.

Module 3 : Planification du routage et de la commutation et rsolution des problmes

57

Dmonstration : Utilisation d'outils de rsolution de problmes

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction NetDiag est un utilitaire de diagnostic rseau de ligne de commandes qui vous aide isoler les problmes de mise en rseau et de connectivit en effectuant une srie de tests afin de dterminer l'tat ainsi que la fonctionnalit du client rseau. Ces tests, ainsi que les informations cls relatives l'tat du rseau qu'ils gnrent, vous fournissent un moyen plus direct d'identification et d'isolement des problmes rseau. 1. partir d'une invite de commandes, excutez netdiag /? Ceci vous permettra de voir la liste des options disponibles et des tests qui peuvent tre effectus avec cet outil. 2. Excutez NetDiag sans paramtres ou avec l'option /l. L'option /l journalise la sortie dans netdiag.log. Vous le verrez lors de l'excution de netdiag /?. Attendez quelques minutes pendant que NetDiag excute les tests. 3. Une fois que NetDiag s'est arrt, revenez au dbut de la sortie et examinez les rsultats avec les stagiaires. 4. Notez le cas chant les erreurs ou les avertissements et discutez des raisons possibles. Remarque Il n'y aura probablement ni erreur, ni avertissement mais, dans le cas contraire, cela vous fournira la possibilit de discuter d'un vritable problme et de le rsoudre.

tapes

58

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Rsolution des problmes lis au routage TCP/IP

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Configuration TCP/IP Cette rubrique dcrit les tapes que vous devez suivre lors de la rsolution de problmes lis au routage TCP/IP. Pour vrifier la configuration TCP/IP, utilisez ipconfig/all et examinez les dtails de chaque interface. Vous obtenez ainsi des informations sur l'adresse IP, l'adresse physique, le masque de sous-rseau, l'itinraire par dfaut, les serveurs DNS et WINS (Windows Internet Name Service), etc. La commande route print affiche les itinraires actifs de l'hte. Dans la plupart des cas, ces informations sont automatiquement drives, mais l'ajout d'itinraires statiques permanents pourrait parfois tre motiv. Tout itinraire entr par erreur pourrait provoquer des problmes de routage. Si vous rencontrez des problmes de routage dans un environnement de liaison la demande, vous devez tout d'abord vrifier que la liaison est bien active comme prvu. Sur un routeur Windows Server 2003, vous pouvez utiliser l'outil de composants logiciels enfichables de gestion Routage et accs distant pour vrifier la configuration de l'interface. Vous pouvez utiliser la commande ping pour envoyer un paquet au routeur distant, ce qui devrait activer la connexion. Utilisez de nouveau la commande ping pour vrifier que le paquet est bien rout sur la liaison qui vient d'tre tablie. Vous pouvez utiliser la commande ping pour voir si le routeur rpond. Le cas chant, vous devrez en rechercher la raison. Si le routeur n'est pas directement accessible, vous devrez peut-tre contacter le service de support technique de votre infrastructure rseau pour valuer le problme. Si le routeur ne semble pas effectuer correctement le routage, il est possible qu'il ne communique pas avec les autres routeurs via un protocole de routage. Si les protocoles de routage sont utiliss sur votre rseau, vrifiez votre routeur conu pour Windows l'aide de l'outil de gestion Routage et accs distant pour vous assurer que les protocoles appropris sont installs et qu'ils fonctionnent correctement. Si le routeur n'est pas sous votre contrle, appelez le service de support technique de votre infrastructure rseau pour vous aider valuer le problme.

Configuration de l'itinraire client et de l'itinraire statique par dfaut Configuration du routage la demande

Configuration du routeur

Module 3 : Planification du routage et de la commutation et rsolution des problmes

59

Application pratique : Rsolution des problmes lis au routage TCP/IP

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Scnario Dans cette application pratique, vous allez rsoudre un problme de routage TCP/IP dans l'entreprise Contoso, Ltd. Vous tes ingnieur systme Contoso, Ltd. Le campus Ouest de l'entreprise se compose de trois btiments. Vous recevez un appel vous indiquant que le personnel du btiment 1 ne peut pas accder sa messagerie, hberge dans le btiment 2. Vous devez identifier l'tendue du problme. S'agit-il d'un problme de messagerie ou de routage ? 1. Quelle est la premire chose que vous devez faire pour dterminer s'il vous est possible de communiquer partir du btiment 1 avec le serveur de messagerie du btiment 2 ? Essayez d'envoyer une requte ping l'adresse IP du serveur de messagerie partir du btiment 1. ____________________________________________________________ ____________________________________________________________ 2. Que pourriez-vous faire pour dterminer si ce problme est limit un seul service de messagerie ? Dterminez si ce problme affecte toutes les applications et pas simplement la messagerie. Voyez s'il est possible d'accder un serveur Web du btiment 2 ou essayez de vous connecter un partage sur un serveur de ce mme btiment. ____________________________________________________________ ____________________________________________________________

Application pratique

60

Module 3 : Planification du routage et de la commutation et rsolution des problmes

3. Quel outil pourriez-vous utiliser pour dterminer si des priphriques intermdiaires sont en panne entre les stations de travail du btiment 1 et le serveur de messagerie du btiment 2 ? Tracert ____________________________________________________________ ____________________________________________________________ 4. Quel outil pourriez-vous utiliser pour dterminer si des paquets sont rejets par des priphriques intermdiaires entre le btiment 1 et le btiment 2 ? Pathping ____________________________________________________________ ____________________________________________________________ 5. Comment pourriez-vous ajuster votre stratgie de rsolution de problmes si vous dcouvriez que seule une partie des stations de travail du btiment 1 peut envoyer une requte ping au serveur de messagerie ? Plutt que de chercher savoir si le serveur de messagerie ou les priphriques intermdiaires fonctionnent ou pas, vous devez rechercher les diffrences existant entre les stations de travail qui sont oprationnelles et celles qui ne le sont pas. Se trouvent-elles sur des sous-rseaux diffrents ? Empruntent-elles des chemins diffrents vers le serveur de messagerie ? Des changements rcents ont-ils t apports aux filtres, aux itinraires statiques ou aux protocoles de routage sur les priphriques intermdiaires ? Vous pourriez avoir demander aux autres personnes responsables des priphriques rseau de rpondre ces questions. ____________________________________________________________ ____________________________________________________________

Module 3 : Planification du routage et de la commutation et rsolution des problmes

61

Atelier A : Planification du routage et rsolution des problmes

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
! !

planifier une stratgie de routage ; rsoudre un problme de routage.

Scnario

Vous tes ingnieur systme chez Northwind Traders. On vous a demand de planifier un rseau pour une nouvelle filiale situe Paris o un contrat gouvernemental devra tre men bien. La plupart des informations relatives ce travail sont confidentielles et ne peuvent pas tre communiques aux personnes externes la filiale, l'exception du personnel autoris.

Dure approximative de cet atelier : 30 minutes

62

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Exercice 1 Planification d'une stratgie de routage


Dans cet exercice, vous allez planifier un rseau de filiale qui rpond aux critres spcifis dans le document de conception.

Scnario
Le document de conception demande un rseau trs hautes performances disposant des caractristiques suivantes :
!

Un serveur qui ncessite un trs haut dbit (au moins 250 Mbits de donnes brutes). La fonctionnalit exacte de ce serveur est classifie. Deux serveurs ncessitant un dbit de donnes brutes d'au moins 150 Mbits. Ces serveurs hbergeront probablement des bases de donnes htes. Soixante-douze stations de travail de bureau qui ncessiteront un dbit de donnes brutes d'au moins 70 Mbits. Le besoin de former rapidement sur le rseau des groupes de travail communs, chacun d'eux tant compos d'environ 15 stations de travail. Ces groupes de travail partageront des donnes entre eux et les serveurs, et seulement en de rares occasions avec les autres groupes de travail. Ils devront pouvoir tre rapidement reforms en fonction de l'attribution, de la ralisation et de l'accomplissement des projets. La filiale sera connecte au sige social de l'entreprise sur une ligne alloue de 512 Kbits. Le seul trafic qui sera autoris en sortie sera de forme DNS, HTTP, HTTPS et FTP. Aucune connexion ne sera autorise dans la filiale.

Tches
1.

Instructions spcifiques
a.

Crer un diagramme de la filiale parisienne qui rpond aux spcifications du document de conception.

Assurez-vous que votre diagramme affiche tous les priphriques intermdiaires qui serviront connecter les serveurs aux stations de travail et relier la filiale au sige social. duplex, etc.) et les filtres qui pourraient tre requis.

b. Assurez-vous d'inclure toutes les proprits des connexions (dbit,

Module 3 : Planification du routage et de la commutation et rsolution des problmes

63

Exercice 2 Rsolution d'un problme de routage


Dans cet exercice, vous allez rsoudre un problme de routage au niveau du rseau de la classe. Le formateur jouera le rle d'un ingnieur de support rseau car vous ne disposerez pas de l'accs physique au routeur pour la rsolution des problmes. Travaillez par groupes de deux et, pendant 15 minutes, essayez autant que possible de rsoudre le problme sans disposer d'un accs physique au routeur. Vous aurez ensuite la possibilit de poser l'ingnieur de support rseau des questions pour mieux rsoudre le problme.

Scnario
Une personne a excut un script malveillant sur le rseau de la classe et vous ne pouvez plus accder au site Web Glasgow.

64

Module 3 : Planification du routage et de la commutation et rsolution des problmes

Tches
1.

Instructions spcifiques

Avec un partenaire, consacrer 15 minutes rsoudre autant que possible ce problme partir de vos ordinateurs. Rpertorier ensuite certaines questions que vous souhaiteriez poser l'ingnieur de support rseau qui dispose d'un accs direct au routeur.

2.

3.

Maintenant, avec toute la classe, poser l'ingnieur de support rseau (le formateur) des questions pour vous aider mieux rsoudre le problme, jusqu' ce que vous l'ayez identifi et rsolu.

Assurez-vous de tester et de documenter la solution propose pour rsoudre le problme.