Vous êtes sur la page 1sur 80

Projet

LEST Sal est rpartie sur une dizaine de btiments dans lesquels sont placs plusieurs
ordinateurs. Ces ordinateurs sont utiliss par plusieurs types d'utilisateurs :
Les visiteurs (de une heure une semaine, comme les professeurs invits, les
commerciaux...),
Les invits (temporaires, tudiants, stagiaires...),
Les permanents.
Chacun de ces types d'utilisateur a diffrents droits d'accs au rseau, dfinis par
l'administrateur informatique. Par exemple, un visiteur n'a pas accs aux machines des salles
de manipulations, ni l'intranet, mais peut aller surfer sur le Web et imprimer. Souhaitant
prendre en compte divers lments tels que le Wifi, l'authentification centralise ou la
mobilit dans une solution globale et cohrente, lEST Sal a tabli le cahier des charges cidessous :
Pour accder au rseau, toute personne doit tre authentifie.
Les traces de connexion incluant le couple "utilisateur/adresse IP" seront conserves pendant
un an.
Une mobilit des utilisateurs doit tre possible, aussi bien en filaire qu'en sans fil, entre les
btiments.
Une connexion depuis l'Internet vers les ressources internes du site devra tre fournie au
travers d'un tunnel crypt avec authentification et la connexion devra tre enregistre dans les
traces.
La scurit doit tre prise en compte tous les niveaux.

Projet

Mise en place de lquipe projet :


Chef de projet
Equipe architecture
Equipe applications
Equipe dploiement
Equipe exploitation

Le cble contient donc 8 conducteurs, rpartis en paires torsades, pour


amliorer la rjection du bruit. Les couleurs des gaines sont normalises :
orange orange/blanc
vert
vert/blanc
bleu
bleu/blanc
marron marron/blanc
Sur l'illustration, il s'agit d'un cble catgorie 5 (certifi 100 MHz) non
blind

Attention, il faut absolument respecter ce point (3 et 6 sur la mme paire) faute de quoi la
bretelle ne fonctionnera pas en 100 Mbps !!!

Attention, il faut absolument respecter ce point (3 et 6 sur la mme paire) faute de quoi la
bretelle ne fonctionnera pas en 100 Mbps !!!

Introduction au protocole

Modle OSI

Les diffrents types de Rseaux

Les diffrentes topologie

Classe d'adresses IP et masques de sous-rseaux

Classe d'adresses IP et masques de sous-rseaux

Classe d'adresses IP et masques de sous-rseaux

Classe d'adresses IP et masques de sous-rseaux

Faire un plan d'adressage IP

Faire un plan d'adressage IP

Les modes de transmission

Les modes de transmission

Les modes de transmission

Les Rseaux Privs Virtuels (RPV ou VPN)

Les Rseaux Privs Virtuels (RPV ou VPN)

L'administration de rseaux par SNMP

Exercices de rappels
CAS 1
Le rseau dune entreprise a le schma organisationnel bas sur 6 sous rseaux.
Son FAI lui a affect ladresse de rseau 195.110.10.0
1/ proposer un masque de sous rseau qui permettrait de de mettre en place 6 sous
rseaux comme il est souhait.
2/ Est-il possible dobtenir cette organisation avec ce masque de sous-rseaux sachant
que le sous-rseaux 2 sera compos de 100 postes et 1 routeur?

CAS 2
Une entreprise de taille moyenne dsire scuriser son rseau en mettant des sousrseaux entre les diffrents services (Direction, Comptabilit et production).
Ladresse de rseau de lentreprise est 195.150.120.0 et le masque de sous-rseau
initial est 255.255.255.0
1/ proposer un masque de sous rseau qui permettrait de de mettre les sous-rseaux
souhaits.
2/ Dterminer quelles sont les plages dadresses IP correspondant chaque sousrseaux.

Solutions
CAS 1
Ladresse affecte est de classe C 255.255.255 pour le rseaux. Pour crer 6 sous
rseaux il faudra utiliser 3 bits (111 : 8 sous-rseaux) do le masque de sous rseau
255.255.255. 224
Ladresse des machines (postes + routeur) est code sur 5 bits ce qui laisse 32-2 =
30 possibilits (impossible davoir 100 postes + 1 routeur)

CAS 2
Ladresse affecte est de classe C 255.255.255 pour le rseaux. Pour crer 3 sous
rseaux il faudra utiliser 2 bits (11 : 4 sous-rseaux) do le masque de sous rseau
255.255.255. 192
Sous-rseau 00 :
01 62
Sous-rseau 01:
65 126
Sous-rseau 10: 129 190
Sous-rseau 11: 193 254

Introduction au protocole Internet

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Les adresses IP

Le modle TCP / IP

Le modle TCP/IP vs modle OSI

TCP et UDP sont les deux protocoles principaux


dans la couche de transport. TCP et UDP utilisent IP
comme couche rseau. TCP procure une couche de
transport fiable, mme si le service quil (IP) utilise
ne lest pas. TCP est orient connexion, cest--dire
quil ralise une communication complte entre 2
points. Cela permet deffectuer une communication
client/serveur, par exemple, sans se proccuper du
chemin emprunt.
UDP met et reoit des datagrammes. Cependant,
contrairement TCP, UDP nest pas fiable et nest
pas orient connexion. Il est utilis pour les
rsolutions DNS et aussi pour TFTP.

IP est le protocole principal de la couche rseau. Il est utilis la


fois par TCP et UDP. Chaque bloc de donnes TCP,UDP, ICMP et
IGMP qui circule est encapsul dans de lIP. IP est non fiable et
nest pas orient connexion.
Par non fiable, nous voulons dire quil nexiste aucune garantie
pour que le datagramme IP arrive la destination. Si, par
exemple, un datagramme IP arrive un routeur satur, le routeur
efface le paquet et envoie un message ICMP unreachable la
source. La fiabilit dune connexion doit tre maintenue par TCP.
Pas orient connexion, signifie que IP ne maintient aucune
information dtat concernant les datagrammes successifs. Le
trajet des datagrammes pour atteindre B partir de A, nest peut
tre pas le mme. Les datagrammes peuvent galement arriver
dans le dsordre par exemple. Lavantage majeur de cette
technique du moindre effort, cest la grande tolrance,
notamment, vis--vis des pannes de linfrastructure.

ICMP est souvent considr comme faisant partie de la couche IP. ICMP
communique des messages (erreurs, modification, information). La
commande ping, qui permet de voir si une machine rpond, utilise
ICMP (echo).
PING localhost.localdomain (127.0.0.1) from 127.0.0.1 : 56(84) bytes of data.
64 bytes from localhost.localdomain (127.0.0.1) : icmp_seq=0 ttl=255 time=0.1 ms
64 bytes from localhost.localdomain (127.0.0.1) : icmp_seq=1 ttl=255 time=0.1 ms
64 bytes from localhost.localdomain (127.0.0.1) : icmp_seq=2 ttl=255 time=0.1 ms
64 bytes from localhost.localdomain (127.0.0.1) : icmp_seq=3 ttl=255 time=0.1 ms
64 bytes from localhost.localdomain (127.0.0.1) : icmp_seq=4 ttl=255 time=0.1 ms
--- localhost.localdomain ping statistics --5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.1/0.1/0.1 ms

Une fonctionnalit intressante de ICMP est le redirect. Il est courant


de navoir quun default gateway sur une workstation mais celle-ci doit
atteindre plusieurs rseaux sans passer par le mme gateway. La
solution est de crer toutes les routes statiques sur le default gateway.
Lorsque la workstation veut atteindre une destination passant par un
autre gateway, le default gateway met un ICMP redirect. Ce nest pas
le seul cas dutilisation, il sert aussi lors de changement de la topologie.

Encapsulation

Le Protocole TCP
Nous avons vu que le protocole IP fournit les briques de bases de toute
la communication rseau sous Unix (et Internet). Ses principales
fonctionnalits sont le dcoupage des informations en paquets de
taille suffisamment petite pour pouvoir transiter sur tous les types de
rseaux physiques, la gestion des destinations des paquets l'aide des
adresses IP, et le choix de la route permettant d'acheminer les paquets
destination. En revanche, il est incapable d'assurer les services plus
volus comme la gestion de l'ordre d'arrive des paquets et la gestion
de la fiabilit du transfert des informations. C'est donc des protocoles
plus volus, eux-mmes encapsuls dans IP, d'effectuer ces tches.
L'un des protocoles les plus importants est le protocole TCP
(abrviation de l'anglais Transfer Control Protocol ). Ce protocole se
charge d'tablir les connexions entre deux ordinateurs, et assure la
fiabilit des informations transmises et l'arrive des informations dans
leur ordre d'envoi. Il existe d'autres protocoles, moins connus que TCP
mais tout aussi importants.

On retiendra en particulier les deux protocoles suivants :


UDP (abrviation de l'anglais User Datagram
Protocol ), qui permet d'mettre des datagrammes sur
le rseau, qui sont de simples paquets de donnes (c'est
un protocole semblable IP, destin aux applications) ;
ICMP (abrviation de Internet Control Message
Protocol ), qui est utilis essentiellement pour
transmettre des messages de contrle du
fonctionnement des autres protocoles (il est donc vital).

Les services rseau des machines sont organiss en couches logicielles,


qui s'appuient chacune sur la couche infrieure. Ainsi, TCP utilise IP, qui
lui-mme utilise le pilote qui gre l'interface rseau. Du fait que ces
couches s'appuient les unes sur les autres, on appelle souvent
l'ensemble de ces couches une pile ( stack en anglais). On parle
alors de la pile TCP/IP. Lorsqu'un service rseau d'une machine n'est
plus accessible, il se peut que ce service rseau ait plant. Si tout un
ensemble de services rseau ne fonctionne plus, c'est certainement
une des couches logicielles qui est plante. Par exemple, une machine
peut rpondre la commande ping (classiquement utilise pour tester
les connexions rseau) et ne plus accepter la plupart des connexions
rseau. Cela signifie simplement que la couche TCP ne fonctionne plus,
et que la couche ICMP (utilise par ping) est toujours valide.
videmment, si la couche IP tombe en panne, la machine ne sera plus
accessible du tout, sauf ventuellement avec d'autres protocoles
rseau compltement diffrents (IPX, Appletalk, etc.).

Le protocole TCP utilise la notion de connexion. Une connexion est un canal


de communication tabli entre deux processus par TCP. Comme les processus
sont susceptibles d'utiliser plusieurs connexions simultanment, TCP fournit
la possibilit de les identifier par un numro unique sur la machine, compris
entre 0 et 65535. Chaque numro identifie ce qu'on appelle un port TCP.
Quand un processus dsire tablir une connexion avec un autre, il utilise un
de ses ports et essaie de se connecter sur le port du deuxime processus.
Il faut bien comprendre que les deux numros de ports utiliss ne sont a
priori pas les mmes pour les deux processus. videmment, il est ncessaire
que les processus clients connaissent les numros de port des processus
serveurs auxquels ils se connectent. Les numros de ports sont donc affects
des services bien dfinis, et les serveurs qui fournissent ces services doivent
bien entendu utiliser ces numros de ports. Ainsi, il est possible de
dterminer de manire unique un programme serveur sur un rseau avec
l'adresse IP de la machine sur laquelle il fonctionne et le numro de port qu'il
coute pour les connexions extrieures. Les clients qui se connectent savent
donc parfaitement quel service ils accdent lorsqu'ils choisissent le numro
de port destination. Leur propre numro de port est en gnral choisi par le
systme, afin d'viter tout conflit avec un autre processus de la mme
machine.

Une fois tablie, une connexion TCP permet d'effectuer des


communications bidirectionnelles. Cela signifie que le client et le
serveur peuvent tous deux utiliser cette connexion pour envoyer des
donnes l'autre. Le client envoie ses donnes sur le port destination
du serveur, et le serveur peut renvoyer les rsultats au client en
utilisant le port de celui-ci. Les paquets TCP disposent donc toujours
d'un port source (c'est--dire le port TCP de l'metteur), et d'un port
destination (le port du rcepteur). Ainsi, le rcepteur peut renvoyer sa
rponse en utilisant le port source comme port de destination du
paquet renvoy, et inversement.
Comme il l'a dj t dit, le protocole TCP s'assure que les informations
transmises arrivent bon port (c'est le cas de le dire !). Pour cela, il
utilise un mcanisme d'accuss rception, qui indiquent l'metteur si
le destinataire a bien reu chaque paquet envoy. Si l'accus rception
n'est pas reu dans un temps fix, le paquet est r-mis. Un paquet
reu en double cause d'un retard dans la communication de l'accus
rception est tout simplement ignor. La fiabilit des informations est
galement assure.

Cette fiabilit est ralise par un mcanisme de sommes de contrle. Si


le rcepteur constate que la somme de contrle des donnes reues
n'est pas celle que l'metteur a calcul, il rejette le paquet parce qu'il
sait que les informations ont t corrompues pendant la transmission.
Enfin, TCP s'assure que les informations mises en plusieurs passes
sont bien reues dans leur ordre d'mission. Cette rorganisation se
fait grce une numrotation des paquets (cette numrotation sert
galement dtecter les paquets reus en double). Elle peut paratre
inutile, mais la vitesse d'arrive des paquets est hautement
dpendante de la route IP qu'ils prennent pour parvenir destination.
Les paquets qui arrivent en avance sont donc mmoriss jusqu' ce
que tous les paquets qui les prcdent soient reus.

Le Routage
Le routage d'un paquet consiste trouver le chemin de la
station destinatrice partir de son adresse IP. Si le paquet mis
par une machine ne trouve pas sa destination dans le rseau ou
sous-rseau local, il doit tre dirig vers un routeur qui
rapproche le paquet de son objectif. Il faut par consquent que
toutes les stations du rseau possdent l'adresse du routeur
par dfaut. La machine source applique le masque de sousrseau (netmask) pour savoir si le routage est ncessaire.
Chaque routeur doit donc connatre l'adresse du routeur
suivant lorsque la machine de destination n'est pas sur les
rseaux ou sous-rseaux qui lui sont raccords. C'est donc une
machine ddie ou non avec au moins deux interfaces rseau
(2 adresses IP et un nom). Il doit grer une table de routage de
manire statique ou dynamique.

Le Routage

Les quatre premires lignes identifient les assignations d'adresses IP


des interfaces physiques, le routeur possde donc 4 ports Ethernet.
La cinquime ligne prcise, en fonction de la valeur du masque, qu'il
existe 4 sous-rseaux : 193.17.52.0, 193.17.52.64, 193.17.52.128 et
193.17.52.192.
Les lignes suivantes concernent des routages statiques. La premire
entre indique que lorsque le routeur reoit un paquet dont l'adresse
de destination est sur le rseau 193.17.52.128, le paquet doit tre
envoy au routeur 193.17.52.67. La dernire entre dfinit le routage
par dfaut : si aucune des routes dfinies prcdemment ne
convient, le paquet est renvoy vers la machine 193.48.32.1 qui est
un routeur distant. Ainsi, si la station 193.17.52.7 veut atteindre une
machine situe sur le rseau 192.17.52.192, le paquet sera relay par
le routeur A qui transmettra au routeur B.
Il est noter que les routeurs situs dans un sous-rseau prennent
gnralement les premires adresses.

Voici la commande de configuration des routes statiques :

(config)#ip route network mask {address|interface} [AD]


o :
network : est l'adresse du rseau joindre
mask : est le masque du rseau joindre
address : est l'adresse du prochain routeur directement
connect pour atteindre le rseau
interface : est l'interface de sortie du routeur pour atteindre
le rseau
AD : distance administrative optionnelle (1, par dfaut)

Concept
En thorie, le routage IP est simple, particulirement dans le cas dune workstation.
Si une machine de destination est directement connecte une autre machine (par
exemple : une liaison PPP) ou sur un rseau partag (par exemple : Ethernet), alors le
datagramme IP est envoy sans intermdiaire cette destination. Par contre, le
routage est plus complexe sur un routeur ou sur un machine avec plusieurs
interfaces. Le routage IP est effectu sur le base de saut saut (hop to hop
routing). Les tapes du routage IP peuvent tre dcoupes de cette manire :
1. Recherche, dans une table de routage, de lentre associe ladresse IP de
destination. Sil trouve une correspondance entre la table de routage et ladresse
de destination, le datagramme IP est envoy au routeur de saut suivant(nexthop router). Ce cas de figure est utilis pour les liaisons point point.
2. Recherche, dans la table de routage, de lentre correspondant exactement
lindentificateur du rseau de destination. Si cette adresse est localise, envoi du
paquet au routeur de saut suivant indiqu ou linterface directement connect
(par exemple : si linterface existe sur le routeur). Cest ici aussi que lon tient
compte des masques de sous-rseau.
3. Recherche, dans la table de routage, de lentre par dfaut. Envoi du paquet au
routeur de saut suivant si cette entre est configure. Si le droulement de ces
3 phases est correct, alors le datagramme IP est dlivr au prochain routeur ou
host. Par contre, si cela nest pas le cas, un message ICMP (host unreachable ou
network unreachable) est envoy au host dorigine et le datagramme IP est jet.

Routage dynamique
Lorsquun rseau atteint une taille assez importante, il est trs lourd de devoir
ajouter les entres dans les tables de routage la main. La solution est le routage
dynamique. Cela permet de mettre jour les entres dans les diffrentes tables de
routage de faon dynamique.
RIPv1(Routing Information Protocol)
Cest le protocole (distance vector protocol) le plus vieux mais qui est toujours
implant sur beaucoup de sites. Cest un protocole de type IGP (Interior Gateway
Protocol) qui utilise une algorithme permettant de trouver le chemin le plus court. Il
supporte un maximum de 15 noeuds traverss (il nest pas adapt au rseau de
grande taille). Il fonctionne par envoi de messages toutes les 30 secondes. Les
messages RIP permettent de dresser une table de routage.
RIPv2 (Routing Information Protocol)
Cest une version amlorie pour ajouter le support des sous-rseaux (subnets), des
liaisons multipoints et de lauthentification.
EIGRP
Ce protocole (Hybrid link-state & distance vector protocol) de routage a t
developp par Cisco pour amliorer RIP et le rendre plus stable. Il fonctionne trs
bien mais il est bien sr uniquement compatible avec les produits Cisco.

OSPF(Open Shortest Path First)


Cest la deuxime gnration de protocole de routage (Link-state
protocol). Il est beaucoup plus complexe que RIP mais ses
performances et sa stabilit sont suprieures. Le protocole OSPF utilise
une base de donnes distribues, qui garde en mmoire ltat des
liaisons. Ces informations forment une description de la topologie du
rseau et de ltat de linfrastructure. Le protocole RIP est adapt pour
des rseaux de taille raisonnable par contre OSPF est de meilleure
facture pour les rseaux de taille importante (par exemple ISP).
BGP (Border Gateway Protocol)
BGP est utilis sur Internet pour le routage entre, par exemple, les
diffrents systmes autonomes OSPF. Ce protocole a t cr pour des
besoins propres Internet suite la grande taille du rseau lui-mme.
IDRP (Interdomain Routing Protocol - IPv6)