Vous êtes sur la page 1sur 148

Techniques de Rseaux Informatiques (TRI)

Elabor par : A. EL GHATTAS


Janvier 2010

WWW.TRI.0FEES.NET
2

1J=GZT1GJ
==C=zn e t pour russir lexamen vient pour aider les stagiaires de la
filire Techniques de Rseaux Informatiques (TRI), deuxime anne, se prparer
pour lexamen
de fin de formation thorique. Vous trouverez des exercices, des tudes d
e cas,avec corrigs,
vous trouvez aussi les noncs des examens de fin de formation des dernires annes.
A. EL GHATTAS
Errachidia, le 12 Avril 2009

3
=z==CJ

Le calcul de la moyenne gnrale est comme suit :


Moyenne gnrale de fin de formation : (moyenne de passage + moyenne des modules2
+ moyenne de la thorie2 + moyenne de la pratique3 + moyenne de la
communication)/9
Avec : moyenne de la communication = (arabe + franais + anglais)/3
Exemple : un stagiaire ayant obtenu les notes suivantes :
Moyenne de passage : 09/20
Moyenne des modules : 12/20
Moyenne de la thorie : 08/20
Moyenne de la pratique : 11/20
Arabe : 13/20
Franais : 10/20
Anglais : 07/20
A pour moyenne gnrale : 10.22/20 admis
On rappelle aussi que :
Les stagiaires ayant obtenu aux examens de fin de formation, une moye
nne gnrale
suprieure ou gale 09/20 et infrieure 10/20 seront soumis aux dlibrations
du CGCP
en vue de dcider:
- soit de les autoriser redoubler;
- soit de les exclure.
Le droit au redoublement n est accord qu une seule fois durant le cycle de format
ion.
Tout stagiaire ayant obtenu une moyenne infrieure 09/20 aux examens de
fin de
formation est automatiquement exclu.
4
=GTTz1=C

Exonet 1 : URL, Web, FTP, messagerie lectronique.


Corrig :
Exonet 2 : Web, FTP, courrier lectronique
Corrig :
Exonet 3 : Linux, FTP, intranet...
Corrig :
Exonet 4 : messagerie lectronique, trame Ethernet
Corrig :
Exonet 5 : sous rseaux, proxy
Corrig :
Exonet 6: ISA Server (firewall, VPN,)..
Corrig :
Exonet 7 : firewall, virus, chiffrement.
Corrig :
Exonet 8 : VLAN, routage, firewall, proxy.
Corrig :
Exonet 9 : configuration dun routeur, ACL
Corrig :
Exonet 10 : routage, NAT/PAT, Proxy...
Corrig :
Exonet 11 : routage et adressage.
Corrig :
Exonet 12 : adressage de sur-rseau, routage..
Corrig :
Exonet 13 : DNS et la dlgation de zone...
Corrig :
Exonet 14 : sous adressage, DHCP.
Corrig :
Exonet 15 : adressage, routage, DNS..
Corrig :
Exonet 16 : adressage, routage, firewall..
Corrig :
Exonet 17 : adressage, DHCP, scurit
Corrig :
Exonet 18 : routage, firewall, ARP..
Corrig :
Exonet 19 : adressage, DHCP, HTTP..
Corrig :
Exonet 20 : routage, DHCP.
Corrig :
Exonet 21 : VLAN, DHCP, filtrage.
Corrig :
Exonet 22 : routage, DNS, proxy, chiffrement
Corrig :
Exonet 23 : VLAN, DNS, filtrage
Corrig :
6
9
11
13
15
18
20
24
25
26
27
28
29
33

35
41
43
49
51
53
55
59
61
62
63
69
72
74
78
82
84
87
89
92
95
100
103
106
108
116
119
124
126
132
136
142
5
Exonet 24 : routage, scurit
Corrig :
Exonet 25 : commutation, scurit...
Corrig :
Exonet 26 : commutation, routage, filtrage..
Corrig :
Exonet 27 : VPN, table de routage, VLAN, Wi-Fi
Corrig :
Exonet 28 : DHCP, DNS, VLAN....
Corrig :
145
150
153
159
162
170
173
178
182
189

6
CDGJC J

Pour se prparer pour les examens de fin de formation, vous sollicitez


laide de votre formateur
pour vous donner
les sujets et corrigs des preuves d examen de la fi
lire TRI des annes
prcdentes.
Il vous fournit pour cela un point de dpart, ladresse dun site Internet
dont il apprcie
rgulirement la pertinence, le site : http://www.tri-errachidia.org.ma
Navigation dans le site
Sur votre poste de travail connect Internet, vous utilisez votre navig
ateur et saisissez ladresse
fournie.
1. Analysez la structure de ladresse fournie : http://www.tri-errachidia.org.ma.
2. Expliquez les oprations qui se sont droules entre le moment o vous a
vez saisi votre
adresse et celui o elle sest affiche comme prsent ci-dessus.
Quel est le protocole qui a alors t mis en jeu, entre quelles machine
s sest il entremis et
quelle en est la finalit ?
7
Recherche dun examen
Dans lcran prcdent, vous choisissez dans le menu le lien Tlchargement FTP ce q
vous
conduit lcran :
Vous choisissez examens
et vous voyez le dossier
examen de fin de formation
dans lequel vous trouvez les

diffrents documents qui vous


intressent.
3. Quelles diffrences constatez-vous ici dans la mise en uvre des protocoles HTTP
et FTP ?
4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org.ma/ qu
i apparat dans la
barre dadresse de votre navigateur.
5. Votre navigateur prend-il en charge aussi bien le protocole HTTP que le proto
cole FTP ?
6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? C
omment
sont-elles structures ?
8
Recherche complmentaire
Le document que vous avez tlcharg rpond partiellement vos besoins, il vo
us manque les
corrigs de quelques examens. Vous pensez que ces informations ne sont peut-tre fou
rnies que sur
demande express.
Dans le bas de la page Tlchargement FTP , vous avez repr une information
qui peut vous
tre utile :
Vous cliquez sur le lien webmaster@tri-errachidia.org.ma .
Ce clic ouvre votre gestionnaire de courrier, dans lequel vous saisiss
ez votre demande avant de
lenvoyer :
7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma
8. Pourquoi votre gestionnaire de courrier a-t-il t automatiquement ouvert ?
9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
10. De quels outils logiciels disposerez-vous pour prendre connaissance de la rpo
nse et quels
sont les protocoles utiliss pour la relve du courrier ?
9
.... .... .... .... .... . .... . .... . .... .
Question 1. Analysez la structure de ladresse rticulaire (URL) fournie : http://ww
w.trierrachidia.org.ma .
Comme son nom lindique, une URL (Uniform Resource Locator) permet didentifier une
ressource
dans lespace Internet ; une ressource est une page fournie par un serv
eur un client selon un
certain protocole ; chez le client la page codifie laide du langage HTML est affic
he aprs avoir
t interprte par son explorateur.
Le client, cest la machine de lutilisateur disposant de lexplorateur Inte
rnet Explorer dans notre
exemple.
http :
nom du protocole utilis pour le dialogue entre le serveur et le client.
www : nom du serveur fournissant les ressources. Ce nom est choisi arbitraireme
nt par son
administrateur ; traditionnellement, cest www mais ce nest pas une obliga
tion. Ce
nest pas un nom de machine physique, mais celui dun service Web implmen
t
dans une machine.
tri-errachidia.org.ma : nom du domaine (ma) dans lequel se trouve un sous-domain
e (org) , rserv
pour quelques organisations, qui contient le sous sous domaine (tri-errachidia).

Les caractres : ou / sont des sparateurs.


Question 2. Expliquez les oprations qui se sont droules entre le moment
o vous avez
saisi votre adresse rticulaire et celui o elle sest affiche comme prsent ci-dessus.
Quel est le protocole qui a alors t mis en jeu, entre quelles machine
s sest il entremis et
quelle en est la finalit ?
Entre la saisie de ladresse www.tri-errachidia.org.ma et lobtention de la
page affiche avec
une adresse complte dans la barre dadresse, on peut constater que notre client a rus
si obtenir
la rponse deux questions :
- o se trouve la machine que je dsire joindre ?
- quel est le protocole de communication quelle utilise ?
1. O est la machine www.tri-errachidia.org.ma ? : un serveur DNS (Domain
Name Server) dont
ladresse IP est connue de mon poste de travail me fournit la rponse s
ous la forme de son
adresse IP.
2. Quel est le protocole de communication quelle utilise ? : une requte
envoye par mon poste
client destination de la machine dont on connat maintenant ladresse IP reoit une rpo
nse de
la part de ce serveur qui inclut le protocole quil utilise (HTTP). La
demande de la page
daccueil du serveur selon ce protocole permet alors laffichage observ.
10
Question 3. Quelles diffrences constatez vous ici dans la mise en uvre
des protocoles
HTTP et FTP ?
Pages affiches selon le protocole HTTP :
- affichage sous forme de texte riche ;
- contenu vari : essentiellement du texte mais aussi des objets divers (images, a
nimations) ;
- prsence de liens hypertextes (navigation entre les pages).
Pages affiches selon le protocole FTP :
- affichage sous la forme dun explorateur ;
- accs une arborescence de dossiers.
Question 4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org
.ma/ qui
apparat dans la barre dadresse de votre navigateur.
ftp : le nom du protocole utilis ici ;
ftp.tri-errachidia.org.ma :le serveur nomm ftp dans le sous domaine tri-errachidi
a du sous domaine
org du domaine ma
On visualise les diffrents dossiers prsents sur ce serveur.
Question 5. Votre navigateur prend il en charge aussi bien le protoco
le HTTP que le
protocole FTP ?
On constate que le navigateur utilis ici, mais ce sera aussi le cas
pour dautres navigateurs,
dialogue avec un serveur aussi bien selon le protocole HTTP que FTP.
Ce protocole est impos par le serveur. Le client doit donc pouvoir sy adapter.
Question 6. Quelles sont les informations qui apparaissent lorsquon visite un sit
e FTP ?
Comment sont elles structures ?
Le navigateur prsente une arborescence de dossiers.
Question 7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma
webmaster :nom dune bote aux lettres lectronique.
tri-errachidia.org.ma :dans le sous domaine tri-errachidia du sous domaine org d

u domaine ma.
@ : sparateur.
Question 8. Pourquoi votre gestionnaire de courrier a t il t automatiquement ouver
t ?
Parce que sur votre poste il existe une association prinstalle entre le protocole
denvoi de courrier
(SMTP) et lapplication que vous utilisez par dfaut pour expdier votre courrier.
Question 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
Cest le protocole SMTP (Simple Mail Transfer Protocol).
Question 10. De quels outils logiciels disposerez vous pour prendre co
nnaissance de la
rponse et quels seront les protocoles utiliss pour la relve du courrier ?
On peut prendre connaissance de la rponse directement sur le serveur en utilisant
son navigateur ;
c est le cas de la consultation par exemple des botes Gmail, HotMail.
L utilisateur envoie des
requtes au serveur de courrier et en reoit les rponses sous protocole H
TTP (prsentation des
donnes). Le traitement du courrier sur le serveur est alors ralis par le protoco
le IMAP (Internet
Message Access Protocol) : consultation du courrier, suppression...
On peut galement utiliser un logiciel de gestion de courrier (on parle de client
de messagerie ),
par exemple Microsoft Outlook (Express), Qualcomm Eudora qui va transfre
r le message sur la
machine du client ; dans ce cas, ce logiciel recourt au protocole POP3 (Post Off
ice Protocol version
3) ou IMAP.
11
CDGJC J =
Dans le cadre du dveloppement de Internet et Intranet, lentreprise REZOnet a insta
ll un serveur
Linux et la connect au niveau du commutateur des ses serveurs centraux. Pour ralise
r l accs vers
le monde extrieur, un accs RNIS a t retenu. Ce serveur Internet aura pour rle de:
- grer le courrier lectronique du REZOnet
- diffuser les informations du site Web local
- filtrer les donnes
1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
2. On vous donne l URL suivant: http://www.microsoft.com/products/pc.htm
- Donner la dfinition et le rle d une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d entre el
les
3. Par quel moyen fait-on la correspondance entre ladresse IP dun serve
ur et son nom sur
Internet ?
4. Donner la dfinition et le rle de SMTP
5. Donner la dfinition et le rle de POP
6. Donner la syntaxe gnrale d une adresse e-mail
7. Complter (Annexe 1) l interaction entre un client et un serveur SMTP et POP
Tout personnel autoris pourra se connecter au serveur Linux depuis son
domicile soit pour
consulter des donnes spcifiques, soit pour naviguer sur le Web.
8. Citer 4 possibilits d accs un fournisseur d accs Internet.
Il vous faut configurer un poste sous Windows 98 afin de permettre une connexi
on au fournisseur
daccs Internet.
9. Complter l annexe 2 (Point d accs: 05 35 57 57 57, Serveur DNS: 212.217.0.1, Ad
resse IP
obtenue par mon fournisseur, Domaine: rezonet.ma, Hte : localhost, Nom

utilisateur de
connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo).
10. Pour un accs par RTC, donner le type de protocole utilis.
12
Annexe 1
---------------------------------------------------------------------------------------------------------------Annexe 2
13
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
Le World Wide Web (WWW ou Web ou W3) est une banque dinformations (textuelles, im
ages,
sonores vido) bas sur un systme de noeuds et de liens quon nomme hypertexte.
Hyper Text Markup Language (HTML) : Langage utilis dans le WWW pour crire des docu
ments
hypertextes.
HyperText Transfer Protocol (HTTP). Protocole de transfert de fichiers
et documents HTML sur
Internet.
Question 2. On vous donne l URL suivant: http://www.microsoft.com/products/pc.ht
m
- Donner la dfinition et le rle d une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d entre el
les
Une URL (Uniform Resource Locator) donne lemplacement dun fichier sur le Web.
http : Protocole
www.microsoft.com : emplacement rseau / domaines
products : chemin / rpertoire
pc.html : nom du fichier
Question 3. Par quel moyen fait on la correspondance entre ladresse IP dun serveur
et son
nom sur Internet ?
Serveur DNS
Question 4. Donner la dfinition et le rle de SMTP
Le courrier lectronique sur TCP/IP et sur Internet utilise le protocole SMTP (Sim
ple Mail Transfer
Protocol).
Question 5. Donner la dfinition et le rle de POP
Le protocole POP (Post Office Protocole) permet daller chercher son cou
rrier personnel sur le
serveur responsable de le recevoir.
Question 6. Donner la syntaxe gnrale d une adresse e-mail
Une adresse de courrier lectronique est form de trois parties : le nom de lutilisat
eur, le caractre
@ et le nom du domaine.
Question 7. Complter (Annexe 1) l interaction entre un client et un serveur SMTP
et POP
Question 8. Citer 4 possibilits d accs un fournisseur d accs Internet.
Les diffrents modes de connexion disponibles pour accder un fournisseur daccs sont :
RTC
Numris
LADSL
Le cble
Le satellite
14
Question 9. Complter l annexe 2 (Point d accs :05 35 57 57 57, Serveur DNS :212.21
7.0.1,
Adresse IP obtenue par mon fournisseur, Domaine :rezonet.ma, Hte :localh

ost, Nom
utilisateur de connexion admin@rezonet.ma, mot de passe : a5b6cde_rezo).
Question 10. Pour un accs par RTC, donner le type de protocole utilis.
PPP (Point to Point Protocol). Protocole permettant la connexion entre
ordinateurs et routeurs par
lignes synchrones et asynchrones. Successeur du SLIP,il possde une corre
ction derreur et des
possibilits daffectation dadresse en rseau.
15
CDGJC J =
La socit REZOnet possde un serveur Linux possdant un serveur ftp, qui est install dan
s toutes
les distributions, ainsi quun client ftp en ligne de commande.
Partie I :
1. Quelle est la signification du sigle ftp ?
2. Quelle est lutilit de ce service rseau ?
Le serveur ftp est dclar dans le fichier /etc/inetd.conf mais pas toujours activ.
3. Quelle modification faut-il raliser dans le fichier inetd.conf se tr
ouvant en annexe pour
activer le serveur ftp ?
Les fichiers de configuration :
/etc/ftpaccess : ce fichier dfinit la plupart des contrles d accs pour votre serveu
r ftp. Vous pouvez
crer des groupes logiques pour contrler l accs depuis d autres sites, lim
iter le nombre de
connexions simultanes.
/etc/ftphosts : ce fichier est utilis pour autoriser ou non l accs du serveur un c
ertain nombre de
machines
/etc/ftpusers : ce fichier contient la liste des utilisateurs qui ne peuvent accd
er votre machine via
ftp.
4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom d
e login utiliser?
Pourquoi ?
5. Quel fichier est modifier pour autoriser root se connecter ? Quelle est la mo
dification
raliser dans le fichier ?
Les fichiers .rpm sous Linux sont des fichiers binaires qui permettent dinstaller
des programmes.
6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour
rapatrier le
fichier netscape-communicator-4.7.i386.rpm depuis un serveur sur une station lin
ux?
7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le no
m DNS
est ftp.microsoft.com avec un navigateur web ?
Partie II :
La direction de REZOnet pense mettre en place un serveur sur la toil
e (Web) permettant, dans un
premier temps, la mise en ligne d un systme d information interne (intr
anet) puis, dans un
deuxime temps, de l ouvrir la clientle via l internet (extranet).
8. Expliquer ce quest un intranet.
9. Citer les spcificits du dveloppement dun intranet par rapport d autres
types
d architectures client-serveur.
10. Citer les problmes que peut poser l accs de la clientle via l inter
net. Proposer des

solutions pour les viter.


16
Annexe 1
Extrait du fichier /etc/inetd.conf
# inetd.conf This file describes the services that will be available
# through the INETD TCP/IP super server
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
# These are standard services.
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# Shell, login, exec, comsat and talk are BSD protocols.
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
talk dgram udp wait root /usr/sbin/tcpd in.talkd
ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
# End of inetd.conf
linuxconf stream tcp wait root /bin/linuxconf linuxconf --http
Extrait du fichier /etc/ftpusers
bin, daemon, adm, lp, sync, root, shutdown, halt, mail, news, ucp, operator, gam
es, nobody
Extrait du fichier /etc/ftpacces
class all real,guest,anonymous *
email root@localhost
loginfails 5
readme README* login
readme README* cwd=*
message /welcome.msg login
message .message cwd=*
compress yes guest,real,anonymous
tar yes guest,real,anonymous
log transfers guest,real,anonymous inbound,outbound
shutdown /etc/shutmsg
passwd-check rfc822 warn
guestgroup profs Damotte
chmod yes guest,real,anonymous
delete yes guest,real,anonymous
overwrite yes guest,real,anonymous
17
Annexe 2
Les principales commandes ftp
help : Affiche l ensemble des commandes supportes par le serveur FTP
status : Permet de connatre certains paramtres de la machine cliente
binary : Cette commande vous fait basculer du mode ASCII (envoi de documents tex
tes) au mode
binary (envoi de fichiers en mode binaire, c est--dire pour les fichier
s non texte, commandes
images ou des programmes)
ascii : Bascule du mode binary au mode ascii. Ce mode est le mode par dfaut
type : Permet d afficher le mode courant de transfert (binary ou ascii)
user : Vous permet de rouvrir une session sur le site FTP en cours
avec un nom d utilisateur
diffrent. Un nouveau mot de passe vous sera alors demand
ls : Permet de lister les fichiers prsents dans le rpertoire courant. La commande
"ls -l" donne des

informations supplmentaires sur les fichiers


pwd : Affiche le nom complet du rpertoire courant
Cd : Cette commande signifie change directory, elle permet de changer
le rpertoire courant. La
commande "cd .." permet d accder au rpertoire de niveau suprieur
mkdir : La commande mkdir (sous UNIX, ou md sous systme Microsoft) pe
rmet de crer un
rpertoire dans le rpertoire courant. L utilisation de cette commande est
rserve aux utilisateurs
ayant un accs le permettant
rmdir : La commande rmdir (sous UNIX, ou rd sous systme Microsoft) permet de su
pprimer un
rpertoire dans le rpertoire courant. L utilisation de cette commande est rserve : au
x utilisateurs
ayant un accs le permettant
get : Cette commande permet de rcuprer un fichier prsent sur le serveur
Si la commande est
suivie d un nom de fichier, le fichier distant est transfr sur la mach
ine locale dans le rpertoire
local en cours
Si la commande est suivie de deux noms de fichiers, le fichier distant (le premi
er nom) est transfr
sur la machine locale : dans le rpertoire local en cours, avec le nom de fichier
prcis (le deuxime
nom)
Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entr
e guillemets
put : Cette commande permet d envoyer un fichier local sur le serveur
Si la commande est suivie
d un nom de fichier, le fichier local est transfr sur le serveur dans le rpertoire
distant en cours
Si la commande est suivie de deux noms de fichiers, le fichier local (le premier
nom) est transfr
sur le serveur dans le rpertoire distant en cours, avec le nom de fichier prcis (le
deuxime nom)
Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entr
e guillemets
open : Ferme la session en cours et ouvre une nouvelle session sur un autre serv
eur FTP
close : Ferme la session en cours, en laissant le logiciel FTP client actif
bye ou quit : Dconnecte le logiciel client du serveur FTP et le met en tat inactif
18
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Quelle est la signification du sigle ftp ?
File Transfert Protocol
Question 2. Quelle est lutilit de ce service rseau ?
Transfert de fichiers client serveur entre systmes dexploitation diffrents.
Question 3. Quelle modification faut-il raliser dans le fichier inetd.con
f se trouvant en
annexe pour activer le serveur ftp ?
Supprimer le symbole # devant la ligne ftp ..
Question 4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de lo
gin
utiliser? Pourquoi ?
anonymous (fichier /etc/access)
Question 5. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de lo
gin
utiliser? Pourquoi ?
Modifier le fichier /etc/ftpusers en supprimant le nom root
Question 6. Donner dans lordre la syntaxe des diffrentes commandes util

iser pour
rapatrier le fichier netscapecommunicator4.7.i386.rpm depuis un serveur sur u
ne station
linux?
ftp nom serveur
nom de login et mot de passe
binary
get nom_de_fichier.rpm
quit
Question 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp d
ont le
nom DNS est ftp.microsoft.com avec un navigateur web ?
ftp://ftp.microsot.com
Question 8. Expliquer ce quest un intranet.
Intranet : utilisation des standards de lInternet (HTML, http, SMTP, ) pour dvelopp
er
des applications internes lentreprise, que le rseau soit local ou tendu.
Question 9. Citer les spcificits du dveloppement dun intranet par rapport d autres t
ypes
d architectures client-serveur.
Les spcifits du dveloppement dun intranet sont :
- davantage de middleware standard, accs universel, pas de dploiement spcifique sur
chaque type de plate-forme
- lapplication est dveloppe sur le serveur, une mise jour de lapplication est immdiat
e
pour tous les clients quelle que soit leur plate-forme
19
Question 10. Citer les problmes que peut poser l accs de la clientle via l internet
. Proposer
des solutions pour les viter.
Le problme majeure concerne la scurit du rseau local vis--vis des accs ext
ernes : risque de
visibilit de resources sensibles, risque de prise de contrle distance et dactions m
alveillantes.
Les solutions possibles :
- utilisation dadresses non routables sur le rseau local.
- mise en place dun firewall destin filtrer les paquets entrants sur d
es critres prdfinis
(adresses accessibles, types de services autoriss,etc.).
- authentification des utilisateurs distants par un compte anonyme dont
les droits et permissions
sont trs limits.
- Contrle par mot de passe dans lapplication en prvoyant un code daccs su
r le bon de
rception
20
CDGJC J =
1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ?
2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@me
nara.ma.
Que reprsente la deuxime partie de cette adresse ?
Un analyseur de protocole situ dans "le rseau S" a permis de faire un relev entre u
ne station A
du rseau de "T" et un serveur de lentreprise REZOnet situ dans le "rsea
u S" au cours dun
change initi par lutilisateur.
Voici une des trames ETHERNET II rcupres :
A laide des annexes 1, 2 et 3 :

3.1. Prciser les valeurs des adresses MAC source et destinataire.


3.2. Faire un schma reprsentant la station A et le serveur en indiquan
t les sockets utiliss
par le client et le serveur.
Remarque : un socket est la combinaison de trois lments : ladresse IP de la machine
, le protocole
au niveau transport et le numro du port.
3.3. Indiquer la signification des numros de port source et destination.
3.4. Quelles sont les principales caractristiques du protocole de niveau TRANSPOR
T utiliss
?
4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
21
Annexe 1
Assignation de certains ports associs aux processus serveurs
en fonction des protocoles de transport TCP et UDP.
22
Annexe 2
Les champs spcifiques d un paquet IP sont:
- version est cod sur 4 bits. Actuellement ce champ a une valeur gale 4 (IPv4).
- longueur de l en-tte ou IHL (Internet Header Length) sur 4 bits spcifie le nombr
e de mots de 32
bits qui composent l en-tte. Si le champ option est vide, l IHL vaut 5.
- type de service ou ToS (Type of Service) est cod sur 8 bits. Spcifie la passerel
le intermdiaire
le type d acheminement attendu.
- identification cod sur 16 bits permet de scuriser le rassemblage des
paquets aprs
fragmentation.
- drapeau cod sur 3 bits a le 1er bit toujours nul, le 2me bit 0 indique que le pa
quet peut tre
fragment et 1 s il ne peut pas l tre, le 3me bit 0 indique s il s agit du dernier f
ragment et 1
que d autres fragments suivent.
- place du fragment cod sur 13 bits indique la position du 1er octet dans le data
gramme total non
fragment. Il s agit d un nombre multiple de 8 octets.
- dure de vie dtermine en seconde, la dure de vie d un datagramme. Cet
te valeur est
dcrmente toutes les secondes ou chaque passage travers une passerelle.
- protocole cod sur 8 bits indique le protocole de la couche suprieure (liste donne
par le rfc
1700, ex: "1"=ICMP, "2"=IGMP, "6"=TCP, "17"=UDP).
- checksum est la somme de contrle portant sur l en-tte.
- adresses de la source et de la destination sont codes sur 32 bits.
- option est de longueur variable et peut tre nul.
23
Annexe 3
Port source et Port destination : Ils identifient les programmes dapplication.
N de squence : Il indique le n du 1er octet transmis dans le segment.
Acquittement : indique le n du prochain octet attendu par l metteur de ce message
Lg entte : sur 4 bits, elle indique la taille en mots de 32 bits de l entte
Drapeaux : bit URG : Validation de la valeur du champ "pointeur message urgent"
bit ACK : la valeur du champ "acquittement" peut tre prise en compte
bit PSH : le donnes doivent tre immdiatement transmises la couche suprieure
bit RST : fermeture de la connexion cause d une erreur irrcuprable
bit SYN : ouverture de la connexion
bit FIN : fin de connexion (plus de data mettre)
Fentre : Nombre d octets que le rcepteur peut accepter sans ACR.
Pointeur de message urgent : Si le drapeau URG est positionn, les donnes passent a

vant le flot
de donnes normales. Ce champ indique alors la position de loctet de la fin des don
nes urgentes.
Le champ option peut-tre utilis si deux machines doivent se mettre dacco
rd sur une taille
maximale de segment appel MSS (Maximum Segment Size).
24
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir
?
SMTP, POP2, POP3 et IMAP.
Question 2. Dans la messagerie lectronique, on utilise des adresses du
type
r.errachidi@menara.ma.
Que reprsente la deuxime partie de cette adresse ?
La deuxime partie de r.errachidi@menara.ma reprsente le nom du domaine o
se trouve le
serveur de messagerie c--d le nom du bureau de poste contenant la bote aux lettres
r.errachidi.
Question 3.1. Prciser les valeurs des adresses MAC source et destinataire.
Lquipement source correspond ladresse MAC 00:0d:29:d4:69:7f
Lquipement cible qui correspond ladresse MAC 00:04:75:ce:24:cf
Question 3.2. Faire un schma reprsentant la station A et le serveur en
indiquant les
sockets utiliss par le client et le serveur.
Question 3.3. Indiquer la signification des numros de port source et destination.
Le port source 3432 indique le port dmission (client dynamique) ouvert par la stat
ion
Le port Destination 143 indique que le port de rception correspond au
service de messagerie
IMAP.
Question 3.4. Quelles sont les principales caractristiques du protocole
de niveau
TRANSPORT utiliss ?
Les qualits du protocole TCP:
- Fiabilit : retransmission des trames non acquittes
- Gestion des flux: ngociation de la taille de la fentre de transmission.
- Offre une transmission en mode connect.
- Remise en ordre des segments reus.
Question 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
Lobjectif est de rcuprer le courrier prsent sur le serveur de messagerie.
25
CDGJC J =
Un tablissement scolaire utilise un serveur mandataire (Proxy) dans le
DNS, pour contrler les
accs Internet.
Ce Proxy permet entre autre d autoriser ou pas l accs Internet en fon
ction de l adresse IP du
rseau auquel appartient la machine.
L administrateur du rseau a organis son plan d adressage en fonction des salles.
Chaque salle dispose dune plage d adresses spcifique qui va permettre au
niveau du Proxy
d interdire ou d autoriser l accs Internet tous les postes de la salle.
L annexe 1 donne le plan d adressage utilis.
L annexe 2 donne les rgles d accs Internet pour la journe du 15 Octobre 2008.
1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.
2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les

postes sont
tous configurs avec le mme masque et la mme adresse rseau.
3. Donner la ou les rgles appliquer pour interdire l accs la salle 204 et 208.
4. Donner la rgle appliquer pour interdire l accs la salle 201 et 202.
5. Expliquer les autres fonctions d un Proxy.
Annexes
Annexe 1 : Plan d adressage
Adresse IP du rseau de l tablissement :
10.100.40.0
Masque du rseau :
255.255.255.0
Plage d adresses par salle :
Salle 201 : 10.100.40.1 10.100.40.15
Salle 202 : 10.100.40.17 10.100.40.31
Salle 203 : 10.100.40.33 10.100.40.62
Salle 204 : 10.100.40.65 10.100.40.70
Salle 205 : 10.100.40.96 10.100.126
Salle 206 : 10.100.40.129 10.100.40.142
Salle 207 : 10.100.40.145 10.100.40.158
Salle 208 : 10.100.40.161 10.100.40.174
Salle 209 : 10.100.40.177 10.100.40.190
Salle 210 : 10.100.40.73 10.100.40.78
Annexe 2 : Rgles du 15 octobre 2008
Accs autoris tous sauf aux rseaux ci-dessous :
10.100.40.32 masque 255.255.255.224
10.100.40.128 masque 255.255.255.192
26
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octo
bre.
Le masque 255.255.255.224 dtermine une plage de 32 adresses (256 - 224
ou 2
5
). L adresse de
rseau 10.100.40.32 donne la premire adresse de la plage. Donc la premire rgle interd
it l accs
la salle 203.
Le masque 255.255.255.192 dtermine une plage de 64 adresses (256 - 192
ou 2
6
). L adresse de
rseau 10.100.40.128 donne la premire adresse de la plage
La deuxime rgle interdit donc l accs aux salles 206, 207, 208, 209. On aurait d ail
leurs pu utiliser
le masque 255.255.255.128 qui aurait donn le mme rsultat.
Question 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alor
s que les
postes sont tous configurs avec le mme masque et la mme adresse rseau.
La configuration des postes na pas dimportance ce niveau. Le Proxy reoi
t un paquet en
provenance d un poste, il rcupre dans l entte IP l adresse source du paq
uet et lui applique le
masque de chaque rgle en comparant le rsultat obtenu l adresse rseau de
la rgle. En cas
d galit le paquet est rejet. Il ne faut pas oublier que le masque de
sous rseau n est pas dans
l entte IP.
L administrateur rseau a bien sur choisi un plan d adressage qui lui p
ermettait en fonction du
nombre de postes par salle d appliquer ce type de restriction.

Question 3. Donner la ou les rgles appliquer pour interdire l accs la salle 204 et
208.
Les plages d adresses des salles 204 et 208 ne sont pas contigus, il faut donc un
e rgle pour chaque
salle. La salle 204 dispose des adresses 10.100.40.65 70, et la premire adresse n
e pas interdire
correspond la premire adresse de la salle 210. Il faut donc bloquer
au plus 8 adresses (de 64
72), soit un masque de 255.255.255.248 (256-8) pour une premire adresse de 10.100
.40.64
Pour la salle 208, la plage interdire est de 16 adresses (entre 10.
100.40.160 et 175), pour un
masque de 255.255.255.240 (256-16) et une adresse de 10.100.40.160
Il faut donc appliquer les rgles suivantes :
10.100.40.64 masque 255.255.255.248
10.100.40.160 masque 255.255.255.240
Question 4. Donner la rgle appliquer pour interdire l accs la salle 201 et 202.
En appliquant les principes prcdents, on dtermine la rgle suivante :
Interdire l accs au rseau
10.100.40.0 masque 255.255.255.224
Question 5. Expliquer les autres fonctions d un Proxy.
Un Proxy est utilis galement pour mettre en cache les pages Web consultes.
Un Proxy a aussi une fonction de translation d adresses. C est l adresse gnre par l
e Proxy qui part
sur Internet (selon la configuration bien sr) et non l adresse des postes qui fon
t appel lui. On parle
alors de rseau priv et de rseau public et du protocole NAT (Network Address Transla
tor).
Un Proxy peut filtrer les sites Web consults en utilisant pour cela u
n fichier des sites interdits. Il
peut aussi interdire certains protocoles (FTP par exemple) ou le tlchargement de c
ertains fichiers
en fonction de leur extension (MP3 par exemple). Il joue alors le rle de pare-feu
.
Enfin un Proxy peut disposer d un Anti-virus gnral qui s applique tous
les fichiers en
provenance de l Internet avant de les introduire dans le rseau local.
27
CDGJC J Z
Le serveur ISA (Internet Security and Acceleration Server 2000) remplit
les fonctions de firewall
(pare-feu) et de serveur proxy.
Configuration des interfaces du serveur ISA :
Lors de la configuration du serveur ISA, les rgles de scurit suivantes
ont t mises en oeuvre
pour l accs au serveur de messagerie :
1. Indiquez ce qu est le protocole HTTPS et prcisez son utilit (donnez
un exemple
d utilisation).
2. Indiquez ce qu est un "Client VPN". Vous donnerez la signification de l abrvia
tion VPN.
Les rgles de scurit sont traites de manire squentielle (ordre croissant). P
our chaque trame
reue, le firewall parcourt la liste des rgles jusqu ce qu il trouve une rgle qui s
applique. L ordre
dans lequel sont spcifies les rgles est trs important.
3. Expliquez l action de la rgle N1 sur les trames en provenance du rseau 192.168.1
0.0
4. Expliquez l action de la rgle N3, Prcisez la fonction du protocole D

NS et donnez la
signification de l abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?
6. Les rgles de scurit mises en oeuvre permettent-elles aux utilisateurs d accder au
serveur
de messagerie ? Pourquoi ?
Quelle rgle faut-il ajouter, et quelle place, pour permettre tous les utilisateur
s internes et
externes daccder la messagerie ?
28
.... .... . : .... .... . : .... .... . : .... .... . :
Question1. Indiquez ce qu est le protocole HTTPS et prcisez son utilit (donnez un
exemple
d utilisation).
Hyper Text Transfer Protocol Scuris, accs scuris Internet : paiement en li
gne, consultation
de compte bancaire
Question2. Indiquez ce qu est un "Client VPN". Vous donnerez la signif
ication de
l abrviation VPN.
Client distant qui se connecte au rseau via une liaison scurise VPN (Virtual Privat
e Network ou
rseau priv virtuel) en utilisant Internet comme support.
Question3. Expliquez l action de la rgle N1 sur les trames en provenanc
e du rseau
192.168.10.0
La rgle N1 autorise (Allow) le passage des messages FTP, HTTP et HTTPS
de l interface
interne (rseau 192.168.10.0) et des clients VPN vers l interface externe (accs Int
ernet) et vers la
DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users).
Question4. Expliquez l action de la rgle N3, Prcisez la fonction du prot
ocole DNS et
donnez la signification de l abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
La rgle N3 autorise (Allow) le passage des messages DNS de l interface
interne (rseau
192.168.10.0) et des clients VPN vers la DMZ (accs au serveur de mess
agerie) pour tous les
utilisateurs (All Users).
DNS : Domain Name System (ou Service), indispensable pour accder Internet car i
l effectue la
liaison entre un nom de machine et son adresse IP. Le serveur de messagerie fait
galement office
de serveur DNS.
Question5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquo
i ?
Pour une scurit maximum il faut interdire tout ce qui n a pas t autoris
dans les rgles
prcdentes, c est le rle de la rgle N4 qui interdit (Deny) tous les protocoles en prov
enance de
tous les rseaux et vers tous les rseaux pour tout le monde.
Question6. Les rgles de scurit mises en oeuvre permettent elles aux utilisateurs d
accder
au serveur de messagerie ? Pourquoi ?
Quelle rgle faut il ajouter, et quelle place, pour permettre tous les utilisateur
s internes et
externes daccder la messagerie ?
Non, car les protocoles de messagerie (SMTP et POP) ne sont pas autoriss.

Il faut donc ajouter une rgle autorisant les protocoles SMTP et POP entre tous le
s rseaux et
la DMZ pour tous le monde et la placer avant la rgle N4 :
* All Networks peut tre remplac par External + Internal
29
CDGJC J

Lentreprise CENTAURE, dirige par M.ARABI, emploie 27 salaris. Elle est co


nstitue de deux
services indpendants : le service multimdia assure linstallation et le dveloppement
des solutions
clientes couvrant la fois les aspects rseau et multimdia ; le service
administratif, quant lui,
assure la gestion interne de lentreprise.
Le schma du rseau de la socit est dcrit en annexe 1.
Les postes du service multimdia sont amens faire beaucoup daccs Internet
trs
consommateurs en bande passante.
Pour amliorer les temps de rponse, la socit a mis en service un serveur proxy.
1. Expliquer dans quelles conditions d usage ce type de serveur rpond lobjectif vi
s.
La socit, soucieuse damliorer sa notorit, dcide de mettre en ligne un serv
ur HTTP et FTP
accessible au public. Ce serveur, install dans les locaux de CENTAURE, sera plac d
ans une zone
dmilitarise (DMZ) comme lindique lannexe 1.
Lquipement pare-feu (firewall) contrle les accs qui arrivent sur ses diffrentes inter
faces. Il est
programm de telle faon que seul le trafic rseau respectant les rgles ind
iques dans lannexe 2
est accept. Ces rgles peuvent faire rfrence des adresses IP dordinateurs,
des adresses de
rseau et des protocoles rseau.
Un serveur mandataire (proxy) est galement install entre le routeur R1
et le pare-feu : il est le
point de passage obligatoire de tous les accs du rseau local vers lInternet.
2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la scurit
du rseau local.
Un anti-virus a rvl la prsence dun programme cheval de Troie sur le serveur situ d
la
DMZ. L tude rvle que le "troyen" n a pas t plac par les protocoles HTTP ou FTP.
3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa prsenc
e.
3.b. Donner deux exemples de faille intrinsque relative au protocole FTP.
3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre l ins
tallation de
ce programme.
3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgl
es en
remplacement de la rgle concerne.
Ce cheval de Troie est destin perturber le fonctionnement du rseau loc
al, en sexcutant
automatiquement priodiquement.
4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont
susceptibles
dtre atteints par le cheval de Troie .
Ladministrateur rseau du service Multimdia prend en charge ladministration
du serveur HTTP
et FTP (192.168.10.10). Il doit donc avoir la possibilit de lancer une commande T
ELNET vers ce

serveur, depuis sa machine dont ladresse IP est 192.168.1.75.


Le serveur PROXY a t paramtr afin de pouvoir traiter le protocole TELNET.
5. a. Citer les interfaces du pare-feu concernes par une commande TELNET.
5. b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lem
ploi de
cette commande, en donnant leur numro dordre.
30
Pour permettre une tolrance aux pannes le serveur 1 comporte un dispositif matriel
permettant de
mettre en uvre un systme RAID (redundant arrays of inexpensive disk) au niveau 1.
6. Expliquer ce qu est un tel systme.
Les utilisateurs du service Multimdia se plaignent de recevoir de nombreux pourri
els (spams).
7. a. Dfinir la notion de pourriel (spam) et prciser en quoi ils cons
tituent une gne pour
lentreprise.
7. b. Proposer une solution qui permet de se protger contre les spams.
CENATURE envisage largir ses activits pour cela elle sous-traite une par
tie de son activit en
confiant des entreprises extrieures linstallation des rseaux chez les clients.
La mise en uvre dune nouvelle application est envisage pour permettre au
x sous-traitants de
consulter leur planning et denregistrer leurs indisponibilits. Cette application s
era hberge sur le
serveur web.
Le souci de l entreprise est dassurer la scurit des changes avec les sous-traitants
et notamment la
confidentialit et l authentification. Le dispositif conseill CENATURE base
sa scurit sur une
mthode de chiffrement asymtrique des informations changes. Monsieur ARABI s
ouhaite en
matriser le principe.
8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de
cette
mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et rcepte
ur
du message) pour assurer confidentialit et authentification dans lchange.
La mise en uvre des techniques de chiffrement implique souvent un tiers de confia
nce, prestataire
de service.
9. Expliquer comment ce tiers de confiance intervient dans la procdure
d change
d informations.
31
Annexe 1 : schma du rseau de la socit CENTAURE
32
Annexe 2 : Rgles daccs programmes sur le pare-feu
Interface 192.168.3.254
Ordre Source Destination Service Accs
1 Any 192.168.2.10 HTTP Accept
2 Any 192.168.2.10 FTP Accept
3 Any 192.168.2.10 DNS Accept
4 Any 192.168.2.10 SMTP Accept
5 Any 192.168.2.10 POP3 Accept
6 Any 192.168.10.10 Any Accept
7 Any Any Any Refus
Interface 192.168.2.254
Ordre Source Destination Service Accs
1 192.168.2.10 Any Any Accept

2 Any Any Any Refus


Interface 192.168.10.254
Ordre Source Destination Service Accs
1 192.168.10.10 Any HTTP Accept
2 192.168.10.10 Any FTP Accept
3 Any 192.168.1.128 Any Refus
4 Any 192.168.1.64 Any Refus
5 Any Any Any Refus
Remarques :
Any : quelle que soit la valeur.
Une rgle traduit un droit ou un refus daccs ; les rgles sont values dans lordre.
Si une action est applique, on ne passe pas la rgle suivante.
Par exemple, la rgle 1 de linterface 192.168.10.254 indique que tout pa
quet entrant sur cette
interface, provenant de 192.168.10.10, destin nimporte quelle machine du rseau et e
ncapsulant
une requte du protocole HTTP, sera accept.
33
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Expliquer dans quelles conditions d usage ce type de serve
ur rpond lobjectif
recherch.
Le serveur Proxy est ici utilis pour mettre en cache les pages accdes sur Interne
t. Les temps
de rponse seront amliors si les personnes du service multimdia consultent souvent le
s mmes
sites. Si chacun deux consulte des sites diffrents et jamais les mmes,
la fonction cache du
serveur Proxy namliorera pas les temps de rponse.
Question 2. Expliquer en quoi la mise en uvre dune zone dmilitarise perm
et damliorer la
scurit du rseau local.
Lorsquune entreprise dsire rendre lun de ses serveurs accessible depuis Internet, l
e risque est
grand douvrir une brche de scurit vers lensemble du rseau local.
Une zone dmilitarise permet de ne rendre accessible de lextrieur quune partie des ser
veurs
en isolant totalement le reste du rseau. Gnralement, on trouve sur les DMZ les serv
eurs Web,
voire les serveurs de messagerie et les serveurs DNS.
Question 3.a. Expliquer ce quest cheval de Troie et comment les antivi
rus dtectent sa
prsence.
Question 3.b. Donner un exemple de faille intrinsque relative au protocole FTP.
Question 3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle
a pu permettre
l installation de ce programme.
Question 3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plus
ieurs rgles
en remplacement de la rgle concerne.
a. Un cheval de Troie est un programme cach dans un autre qui excute
des commandes
sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut.
Les antivirus s appuient ainsi sur cette signature propre chaque virus pour les
dtecter. Il s agit
de la mthode de recherche de signature (scanning), la plus ancienne mth
ode utilise par les
antivirus. Certains antivirus utilisent un contrleur d intgrit pour vrifier si les f
ichiers ont t
modifis.

b. Le premier dfaut du protocole FTP est de ne pas encrypter les mot


s de passe lors de leur
transit sur le rseau. Le deuxime dfaut est Le serveur FTP anonyme qui
pose de plus gros
problmes
c. Il sagit de la rgle 6 de linterface 192.168.3.254. Elle permet depuis Internet da
rriver sur le
serveur Web en utilisant des services quelconques (Telnet)
d. Il faut limiter aux seuls protocoles web (HTTP et FTP) laccs au se
rveur 192.168.10.10, en
rajoutant deux rgles aprs avoir supprim la rgle 6.
Cependant laccs FTP ne prserve pas de linstallation dun programme et de son activati
on si
le serveur web nest pas correctement configur.
Question 4. En analysant les rgles de lannexe 2, indiquer si les poste
s du rseau local sont
susceptibles dtre atteints par le cheval de Troie .
Les rgles 3 et 4 sur linterface 192.168.10.254 empchent laccs au rseau loc
al, sauf si le
cheval de Troie utilise des services bass sur HTTP ou FTP.
34
Question 5.a. Citer les interfaces du pare-feu concernes par une commande TELNET.
Question 5.b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour perm
ettre lemploi
de cette commande, en donnant leur numro dordre.
a.. Les interfaces concernes sont 192.168.2.254 et 192.168.10.254
b. La ligne numro 1 de linterface 192.168.2.254 autorise le passage vers le serveu
r internet.
Il faut autoriser le retour sur linterface 192.168.10.254 avec la rgle suivante :
Source 192.168.10.10 Destination : 192.168.2.10 Service : Telnet Accs : Accept
qui doit tre intercale avant la ligne 3.
Question 6. Expliquer le systme RAID1
Il existe plusieurs niveaux de systmes RAID. Ils utilisent plusieurs disques durs
pour garantir la
scurit des donnes ou augmenter les performances d entres-sorties du systme de stockag
e.
Dans un systme RAID 1, pour garantir l intgrit des donnes, le contrleur de disques ef
fectue
les mmes oprations sur les deux disques. La panne de l un des disques n entrane don
c aucune
perte de donnes. Coteux en termes despace disque (50 % du volume ddi la
scurit), un
systme Raid 1 n amliore pas les taux de transfert.
Question 7.a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constitue
nt une gne pour
lentreprise.
Question 7.b. Proposer une solution qui permet de se protger contre les spams.
7.a. Pourriel (spam) : dsigne les communications lectroniques massives, n
otamment de
courrier lectronique, sans sollicitation des destinataires, des fins publicitaire
s ou malhonntes.
Les pourriels polluent les boites aux lettres des usagers des messager
ies et ncessitent de leur
part un temps de traitement parfois non ngligeable (tri, suppression). P
ar ailleurs ils sont
parfois porteurs de virus, chevaux de Troie, espiogiciels ce qui peut
nuire lefficacit des
systmes (destruction de donnes, ralentissement des systmes).
7.b. Pour se protger contre les spams on pourra par exemple installer
un filtre anti spams au

niveau du serveur de messagerie.


Question 8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de
cette mthode en prcisant le type de cl utilis par chacun des intervenant
s (metteur et
rcepteur du message) pour assurer confidentialit et authentification dans lchange.
Question 9. Expliquer comment ce tiers de confiance intervient dans la
procdure d change
d informations.
Le tiers de confiance, ou autorit de certification et denregistrement, a pour rle l
a dlivrance dun
certificat permettant dassocier une cl publique une entit. Ce tiers assu
re la validit du lien et
garantit lauthentification du dtenteur. Le certificat dlivr possde une date
de validit lui
confrant ainsi une dure de vie.
Message en
clair
Message en
clair avec auteur
authentifi
Message
chiffr et
sign
(authentifi)
Message
chiffr et
sign
Rseau
Cl PUBLIQUE de B pour
chiffrer et cl PRIVEE de
A pour signer
Cl PRIVEE de B pour
dchiffrer le message et cl
PUBLIQUE de A pour
afficher le certificat donc
lidentit de A
A
metteur
B
rcepteur
35
CDGJC J C
Le rseau de luniversit UNIV est organis comme suit :
Lorganisation logique sarticule sur 5 VLAN rpartis de la faon suivante :
Le schma ci-dessous indique quels numros de port physiques du backbone sont connec
ts :
Le Netasq F500 est dsign par le constructeur comme un firewall. En fai
t, cette machine est
configure de faon intgrer les fonctions suivantes : firewall, routeur et serveur DH
CP
La communication directe entre les diffrents rseaux de UNIV nest possible
qu travers le
Netasq. Ce dernier assure le routage InterVlan(s) . Sur son lien physiq
ue avec lOptiSwitch, il
possde donc une adresse IP par VLAN ; ses adresses IP sont indiques par la tableau
ci-dessous :
Le serveur proxy (rseau Serveurs ) assure uniquement les accs Web et FTP
des stations de
UNIV, sauf pour toutes les stations du rseau PC Profs pour lesquelles

le Netasq ralise alors


une translation dadresse IP. Les accs autres que Web et FTP se font sans passer pa
r le proxy.
Le firewall bridge assure le filtrage du trafic entre le rseau externe
, la DMZ et le rseau local
UNIV.
Toutes les requtes provenant du rseau externe sont diriges vers les services de la
DMZ.
Seul le routeur Netasq et le serveur proxy peuvent faire des requtes vers lextrieur
.
Dans le VLAN 4, la premire adresse du rseau IP (soit 192.168.8.1/24) est attribue u
n poste de
supervision. Ce poste permet dassurer la tlmaintenance sur tous les poste
s et serveurs du site
UNIV.
Les informations utiles concernant ladressage IP du rseau de UNIV se tr
ouvent sur le schma
donn en Annexe 1.
36
1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-o
n opt pour cette
solution ?
2. Le routeur Netasq F500 assure un routage InterVlan(s) . De ce fait,
sur son lien avec
lOptiSwitch, il possde une adresse IP par VLAN.
Sur le document rponse 1, complter la table de routage du routeur.
3. Les rseaux existants permettent dadresser chacun 254 machines. Le nom
bre dtudiants
augmentant, une extension des possibilits dadressage est envisage pour le rseau PC-tu
diants.
3.1. Donner le masque de sous-rseau qui permettrait de multiplier au m
oins par deux le
nombre de machines (sans changer les adresses existantes et en se limitant un ma
ximum de
1500 machines adressables). Justifier votre rponse.
3.2. Donner, dans ce cas, ladresse de diffusion.
3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la tabl
e de routage
du routeur Netasq F500.
4. Les configurations IP des stations du VLAN 3 sont attribues dynamiq
uement par le Netasq
F500. Sachant que les 10 premires et 10 dernires adresses de la plage
totale sont rserves
dautres usages, complter le tableau du document rponse 1 en indiquant le
s paramtres de
configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optio
nnel.
5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serve
ur proxy.
Complter la table de routage de ce serveur sur le document rponse 1.
Le firewall Netasq F500 en plus de la translation dadresses IP a pour
tche de filtrer le trafic
entrant et sortant en fonction du cahier des charges donn ci-dessous.
Ce cahier des charges du firewall Netasq est constitu des rgles suivantes :
Contraintes : les accs Web et FTP :
Tous les accs directes Web et FTP vers Internet sont interdits sauf :
i. requtes et rponses pour les adresses IP du rseau PC Profs ;
ii. requtes et rponses pour la station du Supervision ;
iii. les rponses du proxy (port : 1080) sont autorises vers le LAN.
Contraintes : les accs DNS :

Seules la rsolution DNS destination du serveur DNS externe situ dans la DMZ est au
torise.
6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles
de filtrage
correspondantes en compltant le tableau du document rponse 2.
NB. -Tenir compte de la priorit : une rgle nonce est toujours prioritaire vis--vis de
celles qui la
suivent.
-Un accs un service induit un change dans les deux sens (requte, rponse
). Il est donc
ncessaire den tenir compte dans les rgles de filtrage.
7. Admettant que le firewall bridge laisse passer les requtes provenant
de lInternet, est-il
ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rpons
e.
37
Annexe 1
38
Annexe 2
39
Document rponse 1
40
Document rponse 2

41
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on op
t pour
cette solution ?
Les VLAN sont grs comme des sous-rseaux afin de permettre le routage entre eux.
Question 2. Le routeur Netasq F500 assure un routage InterVlan(s) . De
ce fait, sur son
lien avec lOptiSwitch, il possde une adresse IP par VLAN.
Sur le document rponse 1, complter la table de routage du routeur.
Les rseaux existants permettent dadresser chacun 254 machines. Le nombre
dtudiants
augmentant, une extension des possibilits dadressage est envisage pour le
rseau PC
tudiants.
Question 3.1. Donner le masque de sous-rseau qui permettrait de multipl
ier au moins par
deux le nombre de machines (sans changer les adresses existantes et e
n se limitant un
maximum de 1500 machines adressables). Justifier votre rponse.
Question 3.2. Donner, dans ce cas, ladresse de diffusion.
Question 3.3. Indiquer sur le document rponse 1 quelle serait la modification dan
s la table

de routage du routeur Netasq F500.


3.1. La solution qui permettra de doubler les possibilits dadressage du sous rseau
PC-Etudiants consiste diminuer dune unit le nombre de bits du masque.
Il passera donc /23 soit 255.255.254.0
Diminuer de 2 bits provoquerait un chevauchement avec le rseau 192.168.
4.0 ; diminuer de 3bits
dpasserait la limite du nombre de machines impos.
3.2. Dans ce cas, ladresse de broadcast est 192.168.7.255
3.3.
Question 4. Les configurations IP des stations du VLAN 3 sont attribue
s dynamiquement
par le Netasq F500. Sachant que les 10 premires et 10 dernires adresses de la plag
e totale
sont rserves dautres usages, complter le tableau du document rponse 1 en indiquant le
s
paramtres de configuration DHCP, les valeurs correspondantes et en prcisant leur c
aractre
optionnel.
42
Question 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire
du
serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1
.
Question 6. En vous basant sur ces contraintes et sur le document annexe 2, crire
les rgles
de filtrage correspondantes en compltant le tableau du document rponse 2.
Question 7. Admettant que le firewall bridge laisse passer les requtes
provenant de
lInternet, est il ncessaire de prvoir des rgles qui protgent le LAN des
ces accs ?
Justifier votre rponse.
Non, il nest pas ncessaire de crer une rgle pour bloquer les accs extern
es, ceux-ci seront
inoprants du fait de la translation dadresse et de port (PAT) utilis sur le Netasq.

43
CDGJC J =
Le rseau de lentreprise REZOnet est compos de diffrents sites rpartis sur
toute la rgion
dErrachidia. Le routeur qui nous intresse (R-fw-dmz) se situe sur le site Errachid
ia centre et joue
le rle de passerelle filtrante vers Internet pour tous les sites en utilisant la
translation d adresses et
les listes d accs (access-list).
Zoom sur le routeur et ses interfaces :
Lintitul du routeur R-fw-dmz fait penser Firewall et DMZ.
1.1. Expliquer le rle d un firewall.
1.2. Expliquer ce qu est une DMZ.
1.3. Citer 2 protocoles routables et 2 protocoles de routage.
1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le
routeur R-fwdmz.

2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne
une partie
de la configuration du routeur R-fw-dmz .
2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer
les plages d adresses des
rseaux concerns.
2.3. Pourquoi toutes les access-lists prsentes dans la configuration du
routeur se terminent
par "permit ip any any" ?
2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut-il ajouter la c
onfiguration du
routeur dans l access-list "dmz_in".
44
Document rponse 1
45
Annexe 1
Les routeurs sont des quipements de niveau 3 (rseau) et sont chargs de
l acheminement des
datagrammes IP entre les rseaux.
En terme de scurit, ils sont chargs plus prcisment :
de la recherche de chemins de secours
du filtrage des broadcasts
du filtrage des datagrammes IP (ACL)
du contrle des correspondances entre ports et adresses IP, et entre adresses MAC
et adresses IP.
(contrle d usurpation)
Les ACL (Access Control Lists)
Les ACL sont des filtres appliqus chaque datagramme IP transitant travers le rout
eur et qui ont
pour paramtres :
l adresse IP de la source
l adresse IP de la destination
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet
Pour un datagramme donn, l ACL prend deux valeurs :
deny : le paquet est rejet.
permit : le paquet peut transiter par le routeur.
Syntaxe
Les routeurs Cisco acceptent deux types d ACL :
l access-list simple :
access-list access-list-number {deny|permit} protocole ip-source source-masque
l access-list tendue (extended) :
access-list access-list-number {deny|permit} protocole ip-source source-masque i
p destination
destination-masque port-destination
46
Activation de l access-list
On associe chaque interface du routeur une ACL.
Une ACL de type in, associe une interface, contrle le trafic qui entre dans le rou
teur par cette
interface
Une ACL de type out associe une interface contrle le trafic qui quitt
e le routeur par cette
interface.
Attention :
- les ACL ne s appliquent qu au trafic en transit et pas au trafic gnr par le route
ur lui-mme. Par
exemple, le trafic rsultant d une connexion telnet vers le routeur n est pas soum
is aux ACL.
- Implicitement la rgle : deny ip any any est toujours applique la f

in de l access-list, il n est
donc pas ncessaire de rajouter cette commande pour bloquer le reste du trafic.
47
L activation d une access-list sur une interface se fait par la commande :
ip access-group access-list-number {in|out}
Recommandations pour la configuration des routeurs :
Access-list contre le spoofing
L access-list suivante interdit l accs au rseau pour tous les datagrammes
en provenance de
l extrieur, dont :
l adresse source est locale (127.0.0.0, 0.0.0.0)
l adresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0) (RFC 1918),
l adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255
.255)
l adresse source est sur le rseau interne
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
interdire paquet ip de rseau 127.0.0.0 vers tout(toute station)
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.0.255.255 any
access-list 100 deny ip 224.0.0.0 31.255.255.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 permit ip any any
Cette access-list doit tre applique sur toutes les interfaces externes :
ip access-group 100 in
Adresse IP et masque gnrique
Les ACL dfinissent des familles d adresses IP l aide d une adresse IP et d un mas
que gnrique.
Pour vrifier si une adresse IP appartient une famille :
prendre l adresse IP
appliquer le masque gnrique, c est--dire mettre 0 dans l adresse IP tou
s les bits qui sont 1
dans le masque classique.
comparer le rsultat obtenu l adresse gnrique de la famille.
Exemples d adresses gnriques et de masques :
192.9.200.0 0.0.0.255 Toutes les adresses IP du rseau 192.9.200.0
192.9.200.1 0.0.0.0 L adresse IP 192.9.200.1
0.0.0.0 255.255.255.255 Toute adresse IP.
192.9.200.0 0.0.0.63 Toutes les adresses IP comprises entre 192.9.200.0 et 192.
9.200.63
147.210.0.254 0.0.255.0 Toutes les adresses IP de la forme 147.210.x.254
48
Annexe 2
Assignation de certains ports associs aux processus serveurs en fonction
des protocoles de
transport TCP et UDP.

49
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1.1 Expliquer le rle d un firewall.
FW : Un pare-feu (appel aussi coupe-feu ou firewall en anglais), est
un systme permettant de
protger un ordinateur des intrusions provenant d un rseau (ex: Internet). Le parefeu est en ralit

un systme permettant de filtrer les paquets de donnes changs avec le rseau.


Question 1.2. Expliquer ce qu est une DMZ.
DMZ : Une zone dmilitarise dit DMZ est un segment de rseau sur lequel des ressource
s internes
sont accessibles par des clients externes.
Question 1.3. Citer 2 protocoles routables et 2 protocoles de routage.
Protocoles routables : IP, IPX
Protocoles de routage : RIP, BGP, OSPF
Question 1.4. Hormis celles filtres, citer 2 types de trames qui ne s
ont pas routes par le
routeur R-fw-dmz.
Les trames et les datagrammes IP que le routeur ne laisse pas passer sont :
- les trames de diffusion
- les datagrammes dont ladresse de destination est inconnue.
- les datagrammes dont le TTL est 1.
Question 2.1. En vous aidant des annexes 1 et 2 complter le document
rponse 1 qui
concerne une partie de la configuration du routeur R-fw-dmz.
50
Question 2.2. Pour les rgles des lignes 4 et 6 du document rponse 1
calculer les plages
d adresses des rseaux concerns.
Ligne 4: la plage d adresses concerne est 10.0.0.0 10.255.255.255 car
le masque classique est
255.255.255.0 (masque gnrique: 0.255.255.255).
Ligne 6: la plage d adresses concerne est 195.52.208.0 195.52.215.255 c
ar le masque classique
est 255.255.248.0 (masque gnrique: 0.0.7.255).
Question 2.3. Pourquoi toutes les access-lists prsentes dans la configur
ation du routeur se
terminent par "permit ip any any" ?
Par dfaut, tout le trafic est bloqu donc si on veut au contraire auto
riser tout ce qui n a pas t
interdit , il faut mettre la ligne suivante la fin de l acces-list : " permit ip
any any"
Question 2.4. Si lon souhaite interdire le service TFTP, quelle ligne
faut il ajouter la
configuration du routeur dans l access-list "dmz_in".
deny udp any any eq 69
51
CDGJC J G
Lentreprise REZOnet externalisait ses serveurs HTTP, NNTP et SMTP pour
lInternet
et
lextranet. Elle a dcid daccueillir dans une zone dmilitarise ces serveurs.
Ceci la conduit
revoir son architecture rseau et sa politique de scurit.
Aprs avoir dcid dans un premier temps de crer une DMZ avec une adresse
publique,
l administrateur dcide d utiliser aujourd hui une adresse prive pour renforcer la
scurit.
Le routeur daccs distant (R1) est un routeur filtrant, il permet dinterd
ire certains flux et en
autoriser d autres. Ce routeur prend aussi en charge la traduction d adresses (N
AT/PAT).
Les clients du rseau local ont un accs Internet.
Lannexe 1 la structure schmatique du nouveau rseau de lentreprise.
Lannexe 2, des exemples de rgles NAT/PAT appliques par le routeur R1.
Lannexe 3 des exemples de rgles de redirection appliques par le routeur R1.
1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ?

2. Expliquer le rle des rgles de l annexe 3.


3. Le routage porte-t-il sur les adresses substitues ou sur les adresses relles ?
4. Pourquoi n utilise-t-on pas le port standard 80
pour rediriger ve
rs le serveur http
partenaire de nom prive.rezonet.ma ?
5. Comment les clients http des partenaires doivent-ils adresser leur requte pour
accder au
serveur http partenaire prive.rezonet.ma?
L administrateur dcide d appliquer une politique de scurit plus restrictive. Il v
eut empcher tout
trafic entre l Internet et l Intranet. Pour cela il va mettre en plac
e un Proxy HTTP sur un serveur
d adresse 192.168.100.4 dans la DMZ qui coutera sur le port 8080. Tous
les utilisateurs devront
passer par ce Proxy.
6. Comment fonctionne un Proxy-HTTP et quel est son intrt ?
7. Proposer une solution pour permettre aux postes de l Intranet d utiliser le P
roxy-HTTP de
faon transparente.
8. Rdiger le(s) rgle(s) permettant cette solution.
52
Annexe 1 : Structure schmatique du rseau
Annexe 2 : exemples de rgles NAT/PAT
Le type NP (NAT/PAT) s applique en sortie de l interface et substitue ladresse IP
source et le port
source privs par une adresse IP publique et un port public. Cette rgle gnre une ent
re dans une
table interne du routeur qui permettra de grer la substitution inverse.
N Interface Type protocole
Adresse
publique
port
public adresse prive
port
priv
1 213.152.47.9 NP TCP 213.152.47.9 * 192.168.50.0/24 *
2 213.152.47.9 NP TCP 213.152.47.9 * 192.168.100.0/24 *
Annexe 3 : exemples de rgles de redirection
Le Type R (Redirection) s applique en entre de l interface et substitue l adresse
IP destination et le
port
de destination publics
par une adresse IP prive et un
port
priv. Cette rgle gnre une
entre dans une table interne du routeur qui permettra de grer la substitution inve
rse.
N Interface
Type protocole Adresse
publique
port
public
adresse prive port priv
3 213.152.47.9 R TCP 213.152.47.9 80 192.168.100.2 80
4 213.152.47.9 R TCP 213.152.47.9 4500 192.168.100.3 80
53
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0
/24 ?
les adresses de classe C 192.168.x.x sont des adresses prives qui ne
peuvent tre routes sur
Internet, il faut donc les substituer par une adresse publique (ici l adresse pu
blique du routeur).

Question 2. Expliquer le rle des rgles de l annexe 3.


Les rgles de l annexe 3 redirigent vers les serveurs http de la DMZ l
es paquets dont l entte TCP
comporte les ports de destination prciss. L adresse IP de destination qui est l ad
resse publique du
routeur sera substitue par l adresse prive prcise. Le port de destination sera lui a
ussi substitu si
cela est ncessaire. Ces substitutions sont faites avant d entrer dans l
e processus de routage et de
filtrage.
Question 3. Le routage porte t-il sur les adresses substitues ou sur les adresses
relles ?
Le processus de routage utilise l adresse de destination d un paquet p
our prendre sa dcision de
routage. Cette dcision ne peut tre prise sur les adresses substitues car celles-ci
ne correspondent
pas aux adresses relles du rseau local. Les rgles suivantes sont donc appliques :
On substitue en entre de l interface les adresses et les ports de destination par
les adresses et les
ports privs. Cette substitution se fait avant le processus de routage et de filtr
age qui va donc porter
sur les adresses relles.
On substitue en sortie de l interface les adresses et les ports sourc
es par les adresses et les ports
publics. Cette substitution se fait aprs le processus de routage et de filtrage
qui a donc port sur les
adresses relles.
Question 4. Pourquoi n utilise t-on pas le port standard 80 pour rediriger vers
le serveur http
partenaire de nom prive.rezonet.ma ?
Il faut diffrencier les ports des serveurs. En effet une requte DNS su
r public.sagi.fr ou
prive.rezonet.ma renvoie l adresse IP publique du routeur. On ne peut
donc pas avoir deux fois le
mme port associ la mme adresse IP publique, car il est impossible de rediriger corr
ectement la
requte vers le serveur correspondant. On laisse ici les donnes publiques
sur le port 80 (port
standard du protocole http ) mais on change le port http des donnes partenaires.
Question 5. Comment les clients http des partenaires doivent ils adres
ser leur requte pour
accder au serveur http partenaire prive.rezonet.ma?
Les clients des partenaires doivent connatre ces numros de port (il fau
t saisir le numro de port
dans l URL.) ex: HTTP://prive.rezonet.ma:4500
Question 6. Comment fonctionne un Proxy HTTP et quel est son intrt ?
Le terme franais pour dsigner un Proxy est mandataire, c est--dire celui
qui on confie un
travail. Les proxys sont des relais. Ils jouent le rle de serveur pou
r le client, et de client pour le
serveur. Ils peuvent analyser les donnes dans le contexte de l applicat
ion et appliquer des filtres
(sites interdits blacklist , audit, etc.). Dans une configuration minimum
un proxy http mettra en
cache les pages HTML visites optimisant ainsi leur utilisation. Un prox
y peut
permettre d viter
les connexions directes depuis un rseau interne vers Internet. Sans routeur, il p
ermet le partage de
laccs Internet avec une interface publique.
54

Question 7. Proposer une solution pour permettre aux postes de l Intranet d util
iser le Proxy
HTTP de faon transparente.
Deux solutions sont possibles :
Configurer tous les navigateurs Internet pour paramtrer le Proxy. Cette
solution n est pas
transparente et peut tre contourne par les postes.
Rediriger en entre de l interface 192.168.50.1 tout paquet avec l adress
e du port destination 80
vers le Proxy 192.168.100.4. C est la technique dite du "Proxy transparent". Il
faut bien sr que le
Proxy le permette c est le cas de la plupart des Proxy du march.
Question 8. Rdiger le(s) rgle(s) permettant cette solution.
numro Interface Type protocole Adresse
publique
port
public
adresse prive Port
priv
5 192.168.50.1 R TCP * 80 192.168.100.4 8080
Ici les requtes http
partir du rseau local sont rediriges vers le pr
oxy situ dans la DMZ.
Le Proxy agira ensuite en tant que client Internet il utilisera donc
un port client suprieur 1024
pour ses changes. Il n y aura donc pas de confusion avec les changes des serveurs
de la DMZ.
Pour plus de scurit il faudrait supprimer la rgle 1 du NAT/PAT qui mas
que les adresses des
postes du rseau local et leur permet l accs Internet.
55
CDGJC J
La filiale d une socit est relie son sige par l intermdiaire de deux connexions dista
ntes : une
liaison spcialise et une liaison de secours RNIS. Chaque liaison est gre par un rout
eur diffrent:
un routeur principal et un routeur de secours.
La disponibilit de la connexion est une ncessit pour la filiale. Vous tes charg d tudi
er la mise
en uvre d une solution qui permettrait de tolrer la panne du routeur principal.
Pour cela vous allez tout d abord tudier ce qu un administrateur devrait faire ma
nuellement en cas
de panne du routeur principal pour utiliser le routeur de secours.
Puis vous allez tudier la mise en uvre de deux protocoles permettant dassurer dynam
iquement la
tolrance de panne.
L annexe 1 vous donne un schma non exhaustif du rseau.
L annexe 2 vous donne l tat initial de la configuration des diffrents lments actifs
du rseau avant
la simulation de la panne.
L annexe 3 prsente sommairement les protocoles utiliss.
Lannexe 4 prsente le cache ARP du poste 192.168.200.20 aprs la mise en
place de HSRP et
lexcution dune commande ping.
Lannexe 5 prsente lannonce de route faite par le routeur principal au r
outeur du sige aprs la
mise en place du protocole de routage RIP.
Vous testez le fonctionnement du routeur principal en excutant la commande suivan
te partir du
poste 192.168.200.20 : ping 192.168.10.1

Tout se droule normalement.


Vous simulez une panne sur le routeur principal puis vous activez le
routeur de secours sans
modifier les configurations dcrites dans l annexe 2.
1. Quel sera le rsultat de la commande ping 192.168.10.1 excute sur le
poste
192.168.200.20 ?
2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utilise
r le routeur de
secours ?
3. La modification apporte sur le poste 192.168.200.20 ne modifie pas
le rsultat de la
commande prcdente, pourquoi ? Proposez une solution.
Vous mettez en place le protocole HSRP entre le routeur principal et
le routeur de secours sur les
interfaces 192.168.200.253 et 192.168.200.254.
Vous affectez aux deux routeurs l adresse IP virtuelle suivante : 192.
168.200.1 et l adresse MAC
virtuelle suivante 00-00-0c-07-ac-02.
Toutes les tables de routage restent dans ltat prsent par lannexe 2.
Vous testez le fonctionnement du routeur principal en excutant la commande suivan
te partir du
poste 192.168.200.20 : ping 192.168.10.1
Tout se droule normalement.
Vous simulez de nouveau une panne sur le routeur principal.
4. Quelle doit tre l adresse du routeur par dfaut utilise par le poste
192.168.200.20 pour
tolrer une panne du routeur principal ?
5. Doit-on vider le cache ARP du poste 192.168.200.20 avant d excuter
de nouveau la
commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache ARP.
6. Quel sera le rsultat de la commande ping 192.168.10.1 ?
7. Pourquoi ne met-on pas en uvre HSRP entre les interfaces 200.100.10.
253 et
200.100.20.253 ?
56
Pour automatiser la mise jour des tables de routage notamment pour l
e routeur du sige, vous
installez un protocole de routage vecteur de distance sur les diffrents routeurs.
Dans un premier temps le routeur principal est actif et transmet des annonces de
route au routeur du
sige alors que le routeur de secours inactiv par HSRP ne transmet rien.
Lannexe 5 montre lannonce transmise.
Vous simulez une panne sur le routeur principal. Le routeur du sige cesse de rece
voir des annonces
de la part du routeur principal mais en reoit de la part du routeur
de secours qui a t activ par
HSRP.
8. Sur quelles interfaces doit-on activer le protocole de routage ?
9. Rajouter une colonne mtrique aux tables de routage des routeurs.
10. Que contient l annonce envoye par le routeur de secours au routeur du sige ?
11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception de
l annonce
?
Annexe 1 : Schma non exhaustif du rseau
Routeur Sige
Routeur P ri ncipal
192. 168.200. 253/24
Routeur de se cours

192. 168.200.254/24
PC PC PC
P C
1 92. 168.200.20
Commutate ur
Commutateur
Ser veur de fic hiers
192. 168.10.2/24
Se rveur de fi chi ers
192.168.10. 1/ 24
200.100. 10. 253/30
200.100. 20. 253/30
200. 100.20.254/ 30 200. 100.10.254/30
192.168.10.254/ 24
57
Annexe 2 : la configuration des diffrents lments actifs du rseau avant la
simulation de la panne.
Table de routage du routeur sige
Rseau Masque Passerelle Interface
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254
192.168.200.0 255.255.255.0 200.100.10.253 200.100.10.254
Table de routage du routeur principal
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.253 192.168.200.253
200.100.10.252 255.255.255.252 200.100.10.253 200.100.10.253
192.168.10.0 255.255.255.0 200.100.10.254 200.100.10.253
Le routeur Principal est actif
Table de routage du routeur de secours
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254
200.100.20.252 255.255.255.252 200.100.20.253 200.100.20.253
192.168.10.0 255.255.255.0 200.100.20.254 200.100.20.253
Le routeur de secours est inactif
Table de routage du poste 192.168.200.20
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.20 192.168.200.20
0.0.0.0 0.0.0.0 192.168.200.253 192.168.200.20
Adresse MAC du routeur principal : 0D 0A C1 10 5B 2D
Adresse MAC du routeur de secours : 0D 0A C1 00 24 11
Cache ARP du poste 192.168.200.20
Adresse MAC Adresse IP Type
0D 0A C1 10 5B 2D 192.168.200.254 dynamique
58
Annexe 3 : Prsentation des protocoles utiliss.
HSRP (Host Stanby Router Protocol)
HSRP est dcrit dans la RFC 2281. Ce document est class pour information ce qui veu
t dire qu il
n est pas un standard Internet. C est un protocole propritaire CISCO. I
l offre un mcanisme de
tolrance aux pannes de la passerelle par dfaut aux diffrentes machines d
u rseau incapables de
dcouvrir dynamiquement les routeurs qui leur sont affects (attention on ne fait pa
s rfrence ici
DHCP qui ne permet pas cela mais plutt des mthodes dynamiques comme IRDP ICMP Rout
er
Discovery Protocol).
HSRP permet deux routeurs de partager une adresse IP virtuelle et une adresse MA
C virtuelle. Le

routeur actif rpond aux requtes ARP destines l adresse commune comme s i
l s agissait de la
sienne puis prend en charge les trames adresses l adresse MAC commune.
Un change de
message ralis en multicast permet aux routeurs de dterminer le routeur actif puis
de vrifier la
prsence de l autre routeur. Lorsque le routeur actif est dfaillant, le deuxime rout
eur ne reoit plus
de message multicast de sa part, il devient alors actif et rpond aux requtes adres
ses aux adresses
communes (IP et MAC).
D autres protocoles sont bien sr utilisables comme par exemple VRRP (Vi
rtual Redundancy
Router Protocol).
RIP V2 (Routing Information Protocol). La version 2 transmet les masques de sous
-rseau.
Un protocole de routage permet de mettre jour dynamiquement les tables de routag
e des routeurs.
Les routeurs s envoient des messages contenant les rseaux qu ils peuvent atteindr
e soit directement
soit indirectement.
Pour atteindre un rseau, un routeur utilisant un protocole vecteur de distance ch
oisira toujours la
route la plus courte.
La route la plus courte est celle qui traverse le moins de routeur.
Pour valuer cette distance le routeur associe chaque rseau une mtrique
sous la forme d un
entier. La valeur 1 correspond une remise directe. Une valeur suprieur
e 1 correspond une
remise indirecte.
Un routeur utilisant le protocole de routage RIP diffuse toutes les 30s la liste
des rseaux qu il peut
atteindre avec leur mtrique. Pour RIP la valeur 16 associe une mtrique invalide la
route.
D autres protocoles vecteur de distance sont bien sr utilisables par e
xemple IGRP (Internet
Gateway Router Protocol) ou bien EIGRP (Extended Internet Gateway Router Protoco
l) de CISCO
protocle Hybride entre les protocoles vecteur de distance et ceux tats de lien.
Annexe 4
Cache ARP du poste 192.168.200.20 aprs la mise en place de ARP et la
commande ping
192.168.10.1
Adresse MAC Adresse IP Type
00-00-0c-07-ac-02 192.168.200.1 dynamique
Annexe 5
Annonce transmise par le routeur principal au routeur du sige
Rseau Masque Mtrique
192.168.200.0 255.255.255.0 1
59
.... .... . .... .... . .... .... . .... .... .
Question 1. Quel sera le rsultat de la commande ping 192.168.10.1 excu
te sur le poste
192.168.200.20 ?
Le rsultat sera "dlai d attente dpass". Le paquet ICMP echo est parti mais le p
aquet ICMP
reply nest pas revenu dans le temps imparti.
Question 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pou
r utiliser
le routeur de secours ?

Il faut modifier la passerelle par dfaut pour affecter l adresse IP du


routeur de secours
192.168.200.254
Question 3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le
rsultat
de la commande prcdente, pourquoi ? Proposez une solution.
Le problme se situe sur la table de routage du routeur du sige sur la route de ret
our . En effet le
paquet part du poste vers la nouvelle passerelle par dfaut 192.168.200.254 qui tr
ansmet au routeur
du sige. Celui-ci transmet au poste 192.168.10.1 qui rpond via le route
ur du sige. Mais ce
dernier continue orienter vers le routeur principal qui est inactif.
Il faut donc remplacer la
ligne obsolte par la ligne suivante :
192.168.200.0 255.255.255.0 200.100.20.253 200.100.20.254
Question 4. Quelle doit tre l adresse du routeur par dfaut utilise par
le poste
192.168.200.20 pour tolrer une panne du routeur principal ?
L adresse du routeur par dfaut doit tre l adresse virtuelle IP 192.168.200.1
Question 5. Doit on vider le cache ARP du poste 192.168.200.20 avant
d excuter de
nouveau la commande ping 192.168.10.1 Lannexe 4 prsente le contenu actue
l du cache
ARP.
Ce n est pas ncessaire de vider le cache ARP car les deux routeurs utilisent la mm
e adresse MAC
virtuelle donc mme si le poste ne refait pas de requte ARP pour rsoudre l adresse 1
92.168.200.1
le routeur de secours traitera bien les trames avec pour adresse MAC destinatair
e 00-00-0c-07-ac-02
Question 6. Quel sera le rsultat de la commande ping 192.168.10.1 ?
Le rsultat de la commande sera "dlai d attente dpasse" car la table de
routage du routeur du
sige n a pas t mise jour
Question 7. Pourquoi ne met on pas en uvre HSRP entre les interfaces 200.100.1
0.253 et
200.100.20.253 ?
On ne peut mettre en uvre HSRP que sur une mme liaison rseau or ces deux interfaces
ne sont
pas sur une mme liaison
Question 8. Sur quelles interfaces doit on activer le protocole de routage ?
Le protocole de routage doit tre activ sur les interfaces : 200.100.10.
254 200.100.20.254
200.100.10.253 200.100.20.253
60
Question 9. Rajouter une colonne mtrique aux tables de routage des routeurs.
Table de routage du routeur sige
Rseau Masque Passerelle Interface Mtrique
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254 1
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254 1
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254 1
192.168.200.0 255.255.255.0 200.100.10.253 200.100.10.254 2
Table de routage du routeur principal
Rseau Masque Passerelle Interface Mtrique
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254 1
200.100.10.252 255.255.255.252 200.100.10.253 200.100.10.253 1
192.168.10.0 255.255.255.0 200.100.10.254 200.100.10.253 2
Table de routage du routeur de secours
Rseau Masque Passerelle Interface Mtrique

192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254 1


200.100.20.252 255.255.255.252 200.100.20.253 200.100.20.253 1
192.168.10.0 255.255.255.0 200.100.20.254 200.100.20.253 2
Question 10. Que contient l annonce envoye par le routeur de secours au routeur d
u sige ?
Le routeur de secours envoie le mme message quenvoyait le routeur principal :
192.168.200.0 255.255.255.0 1
Question 11. Quelle est la nouvelle table de routage sur le routeur du sige ap
rs rception
de l annonce ?
Le routeur du sige invalide la route qui passait par le routeur princ
ipal car il ne reoit plus
dannonce sur cette interface et la remplace par la route propose par le routeur de
secours.
Rseau Masque Passerelle Interface Mtrique
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254 1
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254 1
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254 1
192.168.200.0 255.255.255.0 200.100.20.253 200.100.20.254 2
61
CDGJC J =
Une entreprise dispose de plusieurs routeurs dans son rseau. Un premier
routeur (appel
SUPERNET) constitue le point d entre sur le rseau local, de tous les rseaux partena
ires (filiales
et clients). Il est interconnect un deuxime routeur (nomm PRIVANET) qui
route vers les
diffrents sous-rseaux internes de l entreprise, en transmettant ventuellemen
t les paquets
d autres routeurs.
L annexe 1 prsente la table de routage de SUPERNET.
L annexe 2 prsente la table de routage de PRIVANET.
1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui sont accessi
bles via le routeur
SUPERNET
2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur
SUPERNET
pour router vers les rseaux non accessibles.
3. Indiquer sil est possible, avec une seule ligne dans la table de
routage du routeur
SUPERNET de router vers tous les rseaux.
Annexe 1 : Table de routage du routeur SUPERNET
Destination Masque Passerelle Interface
0.0.0.0 0.0.0.0 184.10.20.254 184.10.20.200
200.100.32.0 255.255.224.0 10.0.0.1 10.0.0.2
Annexe 2 : Table de routage du routeur PRIVANET
Destination Masque Passerelle Interface
0.0.0.0 0.0.0.0 10.0.0.2 10.0.0.1
200.100.18.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.31.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.32.0 255.255.255.0 200.100.32.254 200.100.32.254
200.100.33.0 255.255.255.0 200.100.33.254 200.100.33.254
200.100.34.0 255.255.255.0 200.100.34.254 200.100.34.254
200.100.48.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.49.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.50.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.66.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.98.0 255.255.255.0 200.100.33.250 200.100.33.254

62
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui son
t accessibles via le
routeur SUPERNET
La deuxime ligne de la table de routage du routeur SUPERNET fait rfrenc
e un masque
255.255.224.0. Cela signifie que dans le troisime octet, les trois premiers bits
sont 1.
Toutes les adresses disposant donc des mmes 19 premiers bits (8 + 8
+ 3) seront routes. Il faut
donc rechercher parmi lensemble des sous-rseaux contenus dans la table d
e routage de
PRIVANET les adresses de rseau qui correspondent cette proprit.
Pour rpondre il faut convertir ces adresses rseaux en binaire :
200.100.18.0 11001000.11000100.00010010.00000000
200.100.31.0 11001000.11000100.00011111.00000000
200.100.32.0 11001000.11000100.00100000.00000000
200.100.33 0 11001000.11000100.00100001.00000000
200.100.34 0 11001000.11000100.00100010.00000000
200.100.48 0 11001000.11000100.00110000.00000000
200.100.49 0 11001000.11000100.00110001.00000000
200.100.50.0 11001000.11000100.00110010.00000000
200.100.66.0 11001000.11000100.01000010.00000000
200.100.98.0 11001000.11000100.01100010.00000000
Les rseaux 200.100.32.0, 200.100.33.0; 200.100.34.0; 200.100.48.0; 200.100.
49.0; 200.100.50.0
sont ainsi accessibles. Car si on applique un masque qui restreint l
identifiant du rseau ces 19
bits, avec une seule ligne dans la table de routage on route vers l ensemble de
ces rseaux. Ce qui
implique bien un autre routeur (ici PRIVANET) qui distribue les paquet
s vers les bons sousrseaux.
Crer des sur-rseaux (l inverse des sous-rseaux) permet donc de limiter le
nombre de lignes sur
une table de routage, pour les routeurs "gnraux" d une entreprise.
Question 2. Indiquer quelles sont les lignes rajouter dans la table
de routage du routeur
SUPERNET pour router vers les rseaux non accessibles.
Ligne rajouter pour router vers 200.100.66.0 et 200.100.98.0
200.100.64.0 255.255.192.0 10.0.0.1 10.0.0.2
Il suffit en effet que les deux premiers bits du troisime octet soient gaux 01 (0x
2
7
+ 1x2
6
= 64),
et que le masque dispose dun troisime octet commenant par 11 (1x2
7
+ 1x2
6
= 192).
Ligne rajouter pour router vers 200.100.18.0 et 200.100.31.0
Il faut que les trois premiers bits du troisime octet soient gaux 000 (0x2
7
+ 0x2
6
+ 0x2
5

= 0), donc
que le masque dispose dun troisime octet commenant par 111 (1x2
7
+ 1x2
6
+ 1x2
5
=224).
200.100.0.0 255.255.224.0 10.0.0.1 10.0.0.2
Il est aussi possible de restreindre la plage dadresses routes en tablant sur les
quatre premiers bits
identiques (0001), ce qui donnerait ladresse 200.100.16.0 et le masque /20 .
Question 3. Indiquer sil est possible, avec une seule ligne dans la t
able de routage du
routeur SUPERNET de router vers tous les rseaux.
On considre que toutes les adresses ont le troisime octet qui commence
par 0 (adresse
200.100.0.0) ce qui donne un masque dans lequel le troisime octet commence par 1
(soit 128)
200.100.0.0 255.255.128.0 10.0.0.1 10.0.0.2
On pourrait aussi tendre la plage dadresses routes en considrant que seul
s les deux
premiers
octets sont identiques, ce qui donnerait une adresse identique, mais le masque /
16 .
63
CDGJC J =
La configuration propose ne reprsente pas, loin s en faut, une configura
tion idale. Son tude a
simplement pour objectif de balayer diffrentes fonctionnalits d un DNS. L annexe
1 vous permet
de vous familiariser avec le vocabulaire et les concepts employs. Lannex
e 2 fournit le plan
dadressage du rseau gberger.fr.
1. Complter l annexe 3 afin de positionner chaque machine rfrence dans so
n domaine
(associe son adresse IP) partir de lanalyse du fichier de configuratio
n des zones
gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour c
haque zone la
liste des serveurs DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
2. Rpondre aux questions suivantes, en les justifiant :
2.1 Sur quelle machine est stock le fichier de configuration de la zone tsig.gber
ger.fr ?
2.2 Quelle est la dure de validit de ses donnes en cache (exprime en jours) ?
2.3 Quelle est l adresse et le nom du serveur secondaire de la zone tscg.gberger
.fr ?
2.4 Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zon
e qui a t le plus
souvent modifie ?
2.5 arle.tsig.gberger.fr est-elle une zone indpendante ?
2.6 Que faut-il faire pour que la rsolution de nom pour la machine srv.gberger.fr
, d adresse
10.0.2.1 soit possible ?
3. En utilisant la mme reprsentation que pour les fichiers de configura
tion fournis en annexe 4,
lorsque cela est ncessaire, rpondre aux questions suivantes :
3.1 Quel est le contenu du fichier de description
de zone associ au

serveur
dns2.tsig.gberger.fr ?
3.2 Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberg
er.fr, de
nom dns2 et d adresse 10.0.2.13 ?
3.3 Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
64
Annexe 1
Rappels de quelques dfinitions
Le rle d un serveur de noms de domaines est avant tout de permettre de "rsoudre un
nom", c est-dire d associer une adresse IP un nom d hte.
L espace des noms de domaines est dcoup en zones. Ces dcoupes peuvent tr
e ralises entre
deux nuds adjacents quelconques. Chaque groupe de nuds interconnects devient ainsi
une zone
indpendante.
Du fait de la structure d arbre (dans lequel chaque branche correspond un domain
e), chaque zone
contient un nud "de plus haut niveau" qui est plus proche de la racine que tous l
es autres nuds de
cette zone. Le nom de ce nud est utilis pour identifier la zone elle-mme.
Chaque zone est gre par une organisation, qui peut modifier ses donnes
de faon unilatrale,
crer des nouveaux sous-arbres l intrieur de la zone, supprimer des nuds
existants, ou encore
dlguer la gestion de sous-zones d autres organisations plus locales.
Une zone contient donc un ensemble d htes (noeuds). Les donnes dcrivant une zone se
divisent
en quatre parties majeures :
Les donnes sur lesquelles le serveur fait autorit (pour tous les nuds dans la zone)
.
Des donnes dfinissant le nud de plus haut niveau de la zone (qui fait partie des do
nnes
sur lesquelles le serveur fait autorit).
Des donnes dcrivant les sous-zones dlgues, c est--dire, les points de coupure dans le
parties infrieures de la zone.
Les donnes permettant l accs aux serveurs de noms traitant les sous-zone
s dlgues
(appeles souvent "glue data").
Toutes ces donnes sont exprimes dans un fichier sur le serveur primaire
de la zone, sous forme
d enregistrements de ressources (en anglais Ressource Record : RR.)
Les principaux types d enregistrements sont reprs par un code. On rencontre le plu
s souvent :
SOA (Start Of Authority) : identifie le dbut d une "sphre d autorit" (description
d une zone)
A
(Address)
: dcrit une adresse d hte
NS
(Name Server) : dfinit un serveur de noms faisant autorit sur la zone
Un serveur primaire d une zone dispose du fichier de configuration de cette zone
. Il fait rfrence
sur cette zone.
Un serveur secondaire travaille sur une copie locale du fichier de co
nfiguration d un serveur
primaire, serveur qu il contacte rgulirement pour mettre jour les donnes
qu il possde sur la
zone.
Chaque serveur dispose galement d un cache qui contient d autres rfrences
(sur lesquelles il ne

fait pas autorit) obtenues au cours des diffrentes oprations de rsolutions


de noms. Pour
simplifier, on considrera que sa structure correspond un ensemble de RR de type A
.
Un serveur de cache ne travaille quavec un cache local qui contient les rsultats d
es prcdentes
rsolutions de noms. Cela vite une mise jour priodique partir du serveu
r primaire (moins de
trafic rseau), mais peut entraner beaucoup de trafic sur le rseau, notamment au dpar
t, lorsque le
cache est vide, et des erreurs, lorsque la dure de validit des informations est tr
op longue.
65
Annexe 2
Plan d adressage du rseau gberger.fr
Remarque : Seules les machines ncessaires cet exercice sont visualises sur ce docu
ment
Le serveur proxy fait office de passerelle vers le Fournisseur d Accs Internet qu
i a fourni deux
adresses de DNS : 118.39.5.53 et 118.39.17.26.
Les htes du rseau 10.0.2.0/24 ont pour passerelle par dfaut 10.0.2.200.
Les htes du rseau 10.0.1.0/24 ont pour passerelle par dfaut 10.0.1.200.
66
Annexe 3
Arbre de la zone gberger.fr
gberger
fr
tsig
tscg
arle da
.
67
Annexe 4
Description de la zone gberger.fr
Configuration des postes
Chaque poste du rseau 10.0.1.0/24 dispose de la liste des serveurs DNS par dfaut :
10.0.1.8
10.0.2.9
Chaque poste du rseau 10.0.2.0/24 dispose de la liste des serveurs DNS par dfaut :
10.0.2.9
10.0.1.8
Contenu du fichier de configuration de la zone gberger.fr
; dfinition de la zone gberger.fr
; le serveur d autorit est dns.tsig.gberger.fr (serveur primaire)
; il est administr par une personne qu on peut joindre l adresse admgb@gberger.fr
gberger.fr. IN
SOA
dns.tsig.gberger.fr. admgb.gberger.fr. (
3 ; numro de version : permet aux serveurs secondaires de savoir s ils doivent
mettre
jour leur
; base
36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes)
3600 ; dlai avant une autre tentative de mise jour par un serveur s
econdaire (en
secondes)
360000 ; dure au-del de laquelle les donnes de zones seront marques comm
e
obsoltes par un

;serveur
; secondaire (en secondes)
86400) ; dure de validit en cache par dfaut des enregistrements de zones (en second
es)
; avec deux serveurs de noms dans cette zone
NS dns.tsig.gberger.fr.
NS dns2.gberger.fr.
; et dlgation de la zone tsig.gberger.fr avec trois serveurs de noms
tsig.gberger.fr. IN NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr
NS dns2.gberger.fr.
; et dlgation de la zone tscg.gberger.fr avec deux serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
68
; dclaration des adresses faisant autorit
localhost.gberger.fr.
IN A 127.0.0.1
dns2.gberger.fr.
IN A 10.0.2.9
proxy.gberger.fr.
IN A 10.0.2.2
routeur.gberger.fr
IN A 10.0.2.200
routeur.gberger.fr
IN A 10.0.1.200
; fin de la zone dautorit
; glue data
dns.tsig.gberger.fr.
IN A 10.0.1.8
dns.arle.tsig.gberger.fr
IN A 10.0.1.4
dns.tscg.gberger.fr
IN A 10.0.2.12
dns2.tsig.gberger.fr
IN A 10.0.1.9
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN
SOA
dns.arle.tsig.gberger.fr.
admig.gber
ger.fr. (19 18000 3600 72000
86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
NS dns2.gberger.fr.
localhost.tsig.gberger.fr.
IN A 127.0.0.1
dns.arle.tsig.gberger.fr.
IN A 10.0.1.4
dns2.tsig.gberger.fr.
IN A 10.0.1.9
srv.arle.tsig.gberger.fr.
IN A 10.0.1.2
srv.da.tsig.gberger.fr. IN A 10.0.1.3
Contenu du fichier de configuration de la zone tscg.gberger.fr
tscg.gberger.fr. IN
SOA
dns.tscg.gberger.fr.
admcg.gberger.fr
. (13 54000 3600 108000
86400)
NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
localhost.tscg.gberger.fr.
IN A 127.0.0.1
dns.tscg.gberger.fr.
IN A 10.0.2.12
dns2.gberger.fr.
IN A 10.0.2.9
srv.tscg.gberger.fr.
IN A 10.0.2.11
69
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Complter l annexe 3 afin de positionner chaque machine rfrence dans son
domaine
(associe son adresse IP) partir de lanalyse du fichier de configuration des zones
gberger.fr,
tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone l
a liste des serveurs
DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
les htes du rseau gberger.fr qui ne sont pas encore rfrencs sont :

srv.gberger.fr (adresse 10.0.2.1)


dns2.tscg.gberger.fr (adresse 10.0.2.13)
Question 2.1. Sur quelle machine est stock le fichier de configuration
de la zone
tsig.gberger.fr ?
Sur dns.arle.tsig.gberger.fr (ligne SOA dans le fichier de configuration)
Question 2.2. Quelle est la dure de validit de ses donnes en cache (exprime en jour
s) ?
86400 secondes, soit une journe (ligne SOA)
70
Question 2.3.Quelle est l adresse et le nom du serveur secondaire de la zone tsc
g.gberger.fr ?
10.0.2.9, dns2.gberger.fr (deuxime ligne NS du fichier de configuration
de tscg.gberger.fr : la
premire ligne correspond au serveur primaire (apparaissant dans la ligne
SOA de la zone
tscg.gberger.fr )
Question 2.4. Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle
est la zone qui
a t le plus souvent modifie ?
C est la zone tsig.gberger.fr qui en est la 19
me
version (ligne SOA)
Question 2.5. arle.tsig.gberger.fr est elle une zone indpendante ?
non, car il n y a pas de dlgation de zone prvue , ni dans gberger.fr, ni dans tsig.
gberger.fr
Question 2.6. Que faut il faire pour que la rsolution de nom pour la machine srv.
gberger.fr,
d adresse 10.0.2.1 soit possible ?
Il faut ajouter une ligne de type A dans le fichier de configuration de gberger.
fr :
srv.gberger.fr. IN A 10.0.2.1
Question 3.1. Quel est le contenu du fichier de description
de zone
associ au serveur
dns2.tsig.gberger.fr ?
Il contient la description de la zone tsig.gberger.fr pour lequel il est serveur
secondaire.
Question 3.2. Comment faire pour dclarer un nouveau serveur de noms po
ur la zone
tscg.gberger.fr, de nom dns2 et d adresse 10.0.2.13 ?
Il faut ajouter une ligne NS dans le fichier de configuration de la
zone gberger.fr (dans la partie
correspondant la dlgation de cette zone : le nom de la zone peut tre
omis s il est ajout la
suite des deux lignes NS actuelles
tscg.gberger.fr. IN NS dns2.tscg.gberger.fr.
et une ligne A dans la zone des "glue data"
dns2.tscg.gberger.fr.
IN A 10.0.2.13
ce qui donne le rsultat suivant :
; et dlgation de la zone tscg.gberger.fr avec trois serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
NS dns2.tscg.gberger.fr.
; dclaration des adresses sur lesquelles les serveurs font autorit
localhost.gberger.fr.
IN A 127.0.0.1
dns.tsig.gberger.fr.
IN A 10.0.1.8
dns2.gberger.fr.
IN A 10.0.2.9
proxy.gberger.fr.
IN A 10.0.2.2
routeur.gberger.fr.
IN A 10.0.2.200
routeur.gberger.fr.
IN A 10.0.1.200

; fin de la zone dautorit


; glue data
dns.arle.tsig.gberger.fr.
IN A 10.0.1.4
dns.tscg.gberger.fr.
IN A 10.0.2.12
dns2.tsig.gberger.fr.
IN A 10.0.1.9
dns2.tscg.gberger.fr. IN A 10.0.2.13
71
Question 3.3. Comment faire pour que arle.tsig.gberger.fr devienne une zone indpe
ndante ?
Il faut crer une dlgation de zone dans le fichier de configuration de tsig.gberger.
fr, en dclarant
au moins un serveur primaire et un serveur secondaire (pour amliorer l
a scurit - tolrance aux
pannes et les performances rpartition des charges -) :
; dlgation de la zone arle.tsig.gberger.fr
arle.tsig.gberger.fr NS dns.arle.tsig.gberger.fr
NS dns2.tsig.gberger.fr
La ligne SOA permettra de dterminer le serveur primaire.
Les adresses tant dj disponibles dans la zone autorise, il n est pas ncessaire d ajou
ter de lignes
d adresse. Il faut enlever la ligne correspondant au serveur srv.arle.tsig.gberg
er.fr.
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admig.gberger.fr. (19 1800
0 3600 72000
86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
NS dns2.gberger.fr.
; dlgation de la zone arle.tsig.gberger.fr avec deux serveurs
arle.tsig.gberger.fr. NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
localhost.tsig.gberger.fr.
IN A 127.0.0.1
dns2.tsig.gberger.fr.
IN A 10.0.1.9
; adresse deuxime
serveur
srv.da.tsig.gberger.fr. IN A 10.0.1.3
srv.arle.tsig.gberger.fr. IN A 10.0.1.2 ; ligne
supprimer
; "glue data
dns.arle.tsig.gberger.fr.
IN A 10.0.1.4
; adresse premier
serveur
Il faut ensuite crer le nouveau fichier de configuration qui sera implant sur le s
erveur primaire de
la zone (dns.arle.tsig.gberger.fr)
Contenu du fichier de configuration de la zone arle.tsig.gberger.fr
arle.tsig.gberger.fr.
IN SOA dns.arle.tsig.gberger.fr. admarle.gberger.f
r. (1 18000 3600
72000 86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
localhost.arle.tsig.gberger.fr. IN A 127.0.0.1
dns.arle.tsig.gberger.fr.
IN A 10.0.1.4
dns2.tsig.gberger.fr.
IN A 10.0.1.9
srv.arle.tsig.gberger.fr.
IN A 10.0.1.2
72
CDGJC J =
Une entreprise dispose d un rseau Ethernet supportant le protocole TCP/I
P et regroupant
actuellement 66 htes (stations, serveurs, routeurs, passerelles,). Vous tes charg(e)

de proposer
un plan dtaill pour automatiser l attribution des configurations TCP/IP aux htes en
respectant le
cahier des charges rdig par l administrateur du rseau.
Cahier des charges
A. Donnes
Ladresse du rseau est 193.250.17.0.
L entreprise est structure en trois dpartements : Administratif, Commercial et Pro
duction.
Ces trois dpartements comportent respectivement 24, 16 et 18 htes ayant
le rle de postes de
travail.
B. Contraintes
1. Chaque dpartement doit tre plac dans un sous-rseau IP distinct. On carte les rseaux
ayant
une adresse "tout zro" ou "tout un"
2. Les htes doivent pouvoir obtenir automatiquement leur configuration IP
en en faisant la
demande auprs d un serveur DHCP.
3. Plusieurs serveurs offriront le service DHCP sur le rseau, l indisponibilit de
l un d entre eux ne
doit pas totalement interrompre l attribution des configurations TCP/IP aux htes
qui en font la
demande. On retient comme hypothse que la panne d un seul serveur DHCP sera assu
me. Si
un sous-rseau est priv de son serveur DHCP suite une panne, 25% de s
es htes doivent
pouvoir obtenir une adresse IP valide auprs du serveur DHCP d un autre sous-rseau.
4. La configuration des serveurs DHCP doit permettre l ajout de nouveaux htes dan
s chaque sousrseau.
5. Certains htes ayant un rle de serveur doivent se voir attribuer des
adresses IP toujours
identiques. Les serveurs DHCP se voient attribuer ladresse IP de numro le plus hau
t utilisable
dans chaque sous-rseau. Les serveurs et routeurs devront disposer dadress
es situes dans la
partie haute de la plage d adresses du sous-rseau. Les postes de trava
il se voient attribuer des
adresses situes dans la partie basse de la plage d adresses du sous-rseau
Liste des htes auxquels une adresse fixe doit tre attribue
Hte Adresse MAC de l hte
Sous-rseau Administratif
Serveur DNS 00-32-DE-5A-78-9C
Passerelle par dfaut 1F-7A-90-02-F0-F0
Sous-rseau Commercial
Passerelle par dfaut 2B-14-62-91-C9-B1
Routeur 82-00-06-01-9B-7A
Sous-rseau Production
Passerelle par dfaut 1C-96-AA-F4-C2-91
6. Trois htes du dpartement administratif ne sont pas clients DHCP.
7. Certains htes du domaine Production utiliss sur les chanes de montage ne sont pa
s grs par
le service informatique. Une plage d adresses leur a t rserve, elle recou
vre les adresses
193.250.17.110 193.250.17.117.
73
1. Proposer un masque de sous-rseau pour le rseau de l entreprise.
2. Calculer le nombre total d htes que peut contenir chaque sous-rseau.

3. Affecter un numro de sous-rseau chaque dpartement. Dfinir les plages


d adresses
utilisables dans chaque sous-rseau.
4. Tracer un schma du rseau de l entreprise en faisant apparatre les htes du rseau et
leur
adresse IP.
5. Dfinir comment sera assure l attribution des configurations IP suite une panne
sur un
des serveurs DHCP. Argumenter notamment sur la dure des baux. Noter le
s ventuelles
contradictions vis vis du cahier des charges.
6. Dfinir la configuration des serveurs DHCP pour chaque sous-rseau : te
ndue, dure du
bail, options DHCP (passerelle par dfaut, adresse de serveur DNS), adre
sses exclure,
rservations prvoir. (voir annexe)
Annexe : Fiche de CONFIGURATION DHCP
CONFIGURATION DHCP DU DEPARTEMENT ______________________
Adresses exclues Rservations tendue du sous-rseau
IP : _________________ Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut
Adresse fin
Masque
Dure du bail
Options DHCP
Nom Valeur

IP Fixes attribuer
Nom Valeur
Adresses exclues Rservations tendue de secours du sousrseau
IP : ___________________
Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut
Adresse fin
Masque
Dure du bail
Options DHCP
Nom Valeur
74
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Proposer un masque de sous-rseau pour le rseau de l entreprise.
193.250.17.0 est une adresse de classe C, le dernier octet doit servi
r coder les numros de sousrseau et les numros d htes dans chaque sous-rseau.
Pour coder trois numros de sous-rseaux, sachant que les configurations "
tout zro" et
"tout
un" sont rserves, il est ncessaire d utiliser 3 bits, d o le masque de sous-rseau (11
10 0000)
2

soit
(224)
10
.
Finalement le masque de sous-rseau complet est : 255.255.255.224.
Question 2. Calculer le nombre total d htes que peut contenir chaque sous rseau.
Il reste 5 bits dans le dernier octet pour coder les numros d htes, soit 2
5
= 32 possibilits
auxquelles il faut retirer le numro de sous-rseau ("tout zro" ) et l adresse de dif
fusion dans le
sous-rseau ("tout un"), soit finalement 30 htes par sous-rseau.
Question 3. Affecter un numro de sous rseau chaque dpartement. Dfinir le
s plages
d adresses utilisables dans chaque sous rseau.
Le dpartement Production dispose dj d un numro de rseau puisque nous connaissons cert
aines
adresses statiques dans ce sous-rseau :
Prenons l adresse 193.250.17.110. Le dernier octet est 110 = (0110 1110)
2
, donc le numro de sousrseau est (011)
2
sur 3 bits, d o l adresse de sous-rseau 193.250.17.96 pour le dpartement
Production.
Pour les dpartements Administratif et Commercial nous affectons respectivement le
s numros de
sous-rseau (001)
2
et (010)
2
. Rcapitulons :
Dpartement Numro
binaire du
sous-rseau
Adresse IP
du sous-rseau
Adresses utilisables
de
(dernier octet)
Administratif (001)
2
193.250.17.32 33 62
Commercial (010)
2
193.250.17.64 65 94
Production (011)
2
193.250.17.96 97 126
Question 4. Tracer un schma du rseau de l entreprise en faisant apparatr
e les htes du
rseau et leur adresse IP.
Lnonc stipulait : dutiliser ladresse la plus haute pour le serveur DHCP, les adresses
en dessous
pour les htes particuliers (serveurs, routeurs) avec souvent une rservati
on dadresse et enfin les
adresses les plus basses pour les postes de travail.
75
Question 5. Dfinir comment sera assure l attribution des configurations I
P suite une

panne sur un des serveurs DHCP. Argumenter notamment sur la dure des
baux. Noter les
ventuelles contradictions vis vis du cahier des charges.
En cas de panne d un serveur DHCP, les htes doivent pouvoir solliciter
une configuration auprs
d un autre serveur DHCP situ sur un autre sous-rseau, les requtes en diffusion envo
yes par ces
htes doivent pouvoir passer les routeurs. Aussi, les routeurs R1 et R2
doivent tre capables de
router les datagrammes DHCP (BOOTP) ou un agent de relais DHCP doit
s excuter sur chaque
sous-rseau.
Chaque serveur DHCP se voit attribu une deuxime tendue d adresse dans un
autre sous-rseau
dont il assure en quelque sorte le remplacement en cas de dfaillance. Ces tendues
"de scurit" ne
doivent pas entrer en conflit (comporter des adresses identiques) avec
les plages d adresses du
serveur DHCP "titulaire" dans son sous-rseau car un risque d attribution
d une adresse en double
existerait.
Voici une proposition d attribution de ces tendues de scurit :
Le serveur DHCP du
dpartement
Assure une
redondance pour
le dpartement
Nombre d adresses
(25% des htes
dynamiques)
De
(dernier octet)
Administratif Commercial 4 De 81 84
Commercial Production 4 De 118 121
Production Administratif 5 De 57 59 (*)
(*) seules trois adresses sont encore disponibles dans le sous-rseau Administrati
f, la rgle des 25%
ne peut tre respecte.
Dans une telle configuration (nombre d adresses trs limit) la dure des baux sera pl
utt longue de
faon limiter le nombre d htes susceptibles de demander une nouvelle con
figuration
un
moment donn. La dure peut tre fixe 24 heures de faon laisser le temps
de remettre en
service le serveur DHCP. l inverse la dure de bail des tendues de secours sera pl
utt brve de
faon minimiser le recours aux serveurs de secours.
Question 6. Dfinir la configuration des serveurs DHCP pour chaque sous
rseau : tendue, dure du bail, options DHCP (passerelle par dfaut, adresse
de serveur
DNS), adresses exclure, rservations prvoir. (voir annexe)
CONFIGURATION DHCP DU DEPARTEMENT Administratif
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.32 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.33 193.250.17.54 0032de5a789c 193.250.17.60
Adresse fin 193.250.17.61 193.250.17.56
3 htes
statiques

1f7a9002f0f0 193.250.17.61
Masque 255.255.255.224 193.250.17.57
Dure du bail 1 jour 193.250.17.59
tendue de
secours
Options DHCP
Nom Valeur
Serveur DNS 193.250.17.60
Passerelle 193.250.17.61
IP Fixes
Serveur DHCP 193.250.17.62
Htes statiques 193.250.17.54
56
tendue de secours du sous-rseau Adresses exclues Rservations
76
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.81
Adresse fin 193.250.17.84
Masque 255.255.255.224
Dure du bail 30 mn
Options DHCP
Nom Valeur
Passerelle 193.250.17.125
Le tableau ci-dessus stipule des plages dadresses dexlusion. Cette foncti
onnalit nexiste pas sur tous les
systmes et dans ce cas il serait ncessaire de faire plusieurs plages dadresses pou
r un mme sous-rseau.
Ainsi sous linux on aurait lquivalent des exclusions de windows sous la forme :
subnet 193.250.17.32 netmask 255.255.255. 224 {
range 193.250.17.33 192.168.0.53;
range 193.250.17.60 192.168.0.61; }
Dans la ralit ladministrateur sarrangerait pour que sa planification noblige pas de t
elles complications,
il dfinirait une plage qui ds le dpart nintgrerait pas les adresses des htes statiques
CONFIGURATION DHCP DU DEPARTEMENT Commercial
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.65 193.250.17.81 2b146291c9b1 193.250.17.93
Adresse fin 193.250.17.93 193.250.17.84
tendue de
secours
820006019b7a 193.250.17.92
Masque 255.255.255.224
Dure du bail 1 jour
Options DHCP
Nom Valeur
Passerelle 193.250.17.93
IP Fixes
Serveur DHCP 193.250.17.94
Adresses exclues Rservations tendue de secours du sous-rseau
IP : 193.250.17.96 Plage De
A
Commentaire Adresse MAC Adresse IP

Adresse dbut 193.250.17.118


Adresse fin 193.250.17.121
Masque 255.255.255.224
Dure du bail 30 min
Options DHCP
Nom Valeur
Passerelle 193.250.17.125
77
CONFIGURATION DHCP DU DEPARTEMENT Production
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.96 Plage De A Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.97 193.250.17.110 1c96aaf4c291 193.250.17.125
Adresse fin 193.250.17.125 193.250.17.117
8 htes
statiques
Masque 255.255.255.224 193.250.17.118
Dure du bail 1 jour 193.250.17.121
tendue de
secours
Options DHCP
Nom Valeur
Passerelle 193.250.17.125
IP Fixes
Serveur DHCP 193.250.17.126
Adresses exclues Rservations tendue de secours du sous-rseau
IP : 193.250.17.32 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.57
Adresse fin 193.250.17.59
Masque 255.255.255.224
Dure du bail 30 min
Options DHCP
Nom Valeur
Serveur DNS 193.250.17.60
Passerelle 193.250.17.61
78
CDGJC J =
LaPointe SA est une entreprise de grande taille intervenant dans le s
ecteur du Btiment et des
Travaux Publics (BTP). Son sige social est localis Marseille.
Rcemment elle a fusionn avec EuroBTP, une des premires entreprises europen
nes dans ce
secteur dactivit. Pour tre en conformit avec les mthodes dEuroBTP, LaPointe SA est ame
ne
restructurer son rseau informatique et modifier certaines pratiques de gestion.
Ainsi, tous les postes de travail et les serveurs de LaPointe SA doivent tre racc
ords directement
Internet. La socit a obtenu la plage dadresses IP 195.10.228.0/24 pour lensemble des
machines
du sige et des agences de LaPointe SA.
Vous tes charg(e) de participer la refonte du rseau.
Le Directeur Financier rencontre un problme avec le nouvel ordinateur que vous l
ui avez install

la semaine dernire et qui est connect au rseau de faon intermittente. Il a not les me
ssages qui
sont apparus lors de ses deux dernires tentatives de connexion :
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse
matrielle
00 :13 :B8 :3C :F7 :B2
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse
matrielle
00 :13 :B8 :3C :F4 :D5
Son adresse IP fixe est 195.10.228.116/25 (soit un masque de 255.255.255.128).
Votre responsable vous demande de rsoudre ce problme, en vous appuyant sur les ann
exes 1 et 2.
1. Expliquer la cause du dysfonctionnement.
2. Proposer une solution pour liminer ce dysfonctionnement.
En utilisant les annexes 1 et 2 vous tes charg(e) danalyser le plan dadressage de la
socit.
3. Vrifier que le plan dadressage permet de prendre en charge le nombr
e dinterfaces
ncessaire pour chaque site.
Vous tes galement charg(e) de tester la configuration actuelle des routeu
rs R1, R2 et R3. Le
routeur R4 a dj t configur et test.
Deux commandes ont t lances avec succs :
Commande 1 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.135
Commande 2 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.164
Une commande na pas abouti :
Commande 3 : partir du poste dadresse 195.10.228.135 : ping 195.10.228.164
4. Lister les quipements traverss lors de lexcution de la commande 3, ai
nsi que les lignes
des tables de routage utilises et expliquer la raison de lchec de cette commande.
5. Proposer la correction apporter pour que la commande 3 fonctionne correctemen
t.
6. Donner le contenu de la table de routage de R4.
Le service informatique a conu une architecture DNS pour lentreprise, le
principe de cette
architecture est fourni en annexe 3.
7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit tr
e dfini
le nom dhte www.marseille.lapointe.fr
8. Donner les paramtres de la configuration DNS des postes de travail
du site dAix qui
permettent daccder lensemble des serveurs de lentreprise en utilisant leur nom.
9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone lapointe.f
r
79
Annexe 1 : Architecture du rseau de LaPointe SA
R1, R2, R3 et R4 sont des routeurs qui relient les sites. SWn ident
ifie les commutateurs (switch)
installs dans les locaux de sous-rpartition de chaque tage du site de M
arseille, et dans le local
technique (il ny a pas plus de quinze mtres entre les locaux les plus loigns).
Il sagit de commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacemen
t accueillant
actuellement un adaptateur (transceiver) optionnel 10BASE 5, et qui dis
posent par ailleurs dun
emplacement libre permettant dinstaller au choix un adaptateur 1000BASE-SX, 1000B
ASE-LX ou
1000BASE-T.
R1
SLP-PRINC

SLP-AUX
SW1
SW2
SW3
SW4
PC PC PC PC PC PC PC PC PC
Internet
R2 R3 R4
PC PC PC PC PC PC PC PC PC
Workgroup Switch Workgroup Switch Workgroup Swi tch
SLP-SP SLP-AP SLP-AR
Agence de
Salon de Provence
28 interfaces
Agence
d Aix en Provence
16 interfaces
Agence d Arles
22 interfaces
RDC ETAGE 1
ETAGE 2 Local Technique
Sige 122 interfaces
195.10.228.226 195.10.228.230 195.10.228.234
195.10.228.193 195.10.228.161 195.10.228.129
195.10.228.1
195.10.228.225
195.10.228.229
195.10.228.233
12 interfaces
(dont 20 rserves pour la connexion des
portables des chefs de chantier)
60 htes 30 htes 30 htes 2 htes
Site de Marseille
80
Annexe 2 : Extraits du plan dadressage
Site ou liaison Adresse rseau Masque de sous-rseau
Marseille 195.10.228.0 255.255.255.128
Salon 195.10.228.128 255.255.255.224
Aix 195.10.228.160 255.255.255.224
Arles 195.10.228.192 255.255.255.224
R1-R2 195.10.228.224 255.255.255.252
R1-R3 195.10.228.228 255.255.255.252
R1-R4 195.10.228.232 255.255.255.252
Le sous-rseau de Marseille dispose de postes en adressage fixe, mais aussi de pos
tes en adressage
dynamique (les portables des chefs de chantier qui rapatrient les donne
s enregistres dans la
journe leur retour des visites de chantier).
Le serveur DHCP de Marseille gre la plage dadresse suivante :
Plage dadresses disponibles : 195.10.228.106 195.10.228.125
Exemples de configuration des postes dans chaque site
Site Adresse dun poste Masque Routeur par dfaut
Marseille 195.10.228.4 255.255.255.128 195.10.228.1
Salon 195.10.228.135 255.255.255.224 195.10.228.129
Aix 195.10.228.167 255.255.255.224 195.10.228.161
Arles 195.10.228.201 255.255.255.224 195.10.228.193
Table de routage pour R1
Rseau Masque Routeur Interface
195.10.228.0 255.255.255.128 195.10.228.1 195.10.228.1
195.10.228.128 255.255.255.224 195.10.228.226 195.10.228.225

195.10.228.160 255.255.255.224 195.10.228.230 195.10.228.229


195.10.228.192 255.255.255.224 195.10.228.234 195.10.228.233
Table de routage pour R2
Rseau Masque Routeur Interface
195.10.228.128 255.255.255.224 195.10.228.129 195.10.228.129
195.10.228.0 255.255.255.128 195.10.228.225 195.10.228.226
195.10.228.160 255.255.255.224 195.10.228.225 195.10.228.226
195.10.228.192 255.255.255.224 195.10.228.225 195.10.228.226
Table de routage pour R3
Rseau Masque Routeur Interface
195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161
195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230
195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.230
195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
81
Annexe 3 : Architecture DNS du domaine lapointe.fr
Architecture administrative
Lentreprise dispose du domaine lapointe.fr et chaque site, lexception de celui de
Marseille,
gre son propre sous-domaine.
Chaque ovale correspond une zone.
Architecture dimplmentation
Chaque ligne du tableau ci-dessous reprsente un serveur DNS et indique
dans quel site il est
implant, quelle est son adresse IP, pour quelle zone il est serveur DNS primair
e et pour quelle(s)
zone(s) il est serveur DNS secondaire.
Site Adresse IP
du serveur DNS
Serveur primaire
de
Serveur secondaire
de
Marseille 195.10.228.2 lapointe.fr salon.lapointe.fr
aix.lapointe.fr
arles.lapointe.fr
Salon 195.10.228.130 salon.lapointe.fr lapointe.fr
Aix 195.10.228.162 aix.lapointe.fr lapointe.fr
Arles 195.10.228.194 arles.lapointe.fr lapointe.fr
82
.... .... . .... .... . .... .... . .... .... . , , , ,
Question 1. Expliquer la cause du dysfonctionnement
On est dans la situation o 2 machines utilisent la mme adresse IP dans le mme sous
-rseau.
Le poste fixe dadresse 195.10.228.116 entre en conflit avec dautres mach
ines, par exemple avec
un portable connect dans la plage dadresse 195.10.228.106 et 195.10.228.1
25 (deux adresses
MAC pour une seule adresse IP).
Question 2. Proposer une solution pour liminer ce dysfonctionnement
Il faut donc changer ladresse du poste pour quelle sorte de cette plag
e, sous rserve dadresses
disponibles (par exemple 195.10.228.126).
Il faut que ladresse IP du poste du directeur soit unique sur le rsea
u et nappartienne pas une
plage DHCP.
On peut conserver la plage du DHCP en indiquant simplement ladresse du
poste du directeur
financier comme une adresse interdite.
Question 3. Vrifier que le plan dadressage permet de prendre en charge

le nombre
dinterfaces ncessaire pour chaque site
Les masques de sous-rseau sont utiliss ici pour rpartir les plages dadres
ses en fonction des
besoins de chaque site :
Pour le site de Marseille on a besoin de 122 adresses (123 avec le
routeur). Le dernier octet
commenant par un 1 ( 255.255.255.128), on dispose donc de 126 adresses dhtes.
Pour le site de Salon on a besoin de 28 adresses. Le dernier octet
commenant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dAix on a besoin de 12 adresses. Le dernier octet comme
nant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dArles on a besoin de 22 adresses. Le dernier octet com
menant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Question 4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi
que
les lignes des tables de routage utilises et expliquer la raison de lchec de cette
commande.
La russite des deux premires commandes permet de constater que les liai
sons entre les sites de
Marseille, Salon et Aix fonctionnent correctement.
Liste des quipements traverss et lignes des tables de routage utilises :
Aller : Switch Salon, R2 (ligne 3), R1 (ligne 3), R3 (ligne 1), Switch Aix
Retour : Switch Aix, R3 (ligne 3)
Explication de la raison de lchec de la commande :
Pour la rponse, le poste dadresse 195.10.228.164 envoie la rponse la commande ping
vers
le routeur R3.
Dans le routeur R3, la troisime ligne entrane lenvoi de cette rponse sur
linterface
195.10.228.230 vers le routeur dadresse 195.10.228.233, vers le sous-rseau 195.10.
228.192
Ladresse de ce routeur nest pas accessible directement partir de cette interface.
83
Question 5. Proposer la correction apporter pour que la commande 3 f
onctionne
correctement
Il faut modifier la troisime ligne de la table de routage de R3
Table de routage pour R3
Rseau Masque Routeur Interface
195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161
195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230
195.10.228.128 255.255.255.224 195.10.228.229 195.10.228.230
195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
Question 6. Donner le contenu de la table de routage de R4
Rseau Masque Routeur Interface
195.10.228.192 255.255.255.224 195.10.228.193 195.10.228.193
195.10.228.0 255.255.255.128 195.10.228.233 195.10.228.234
195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.234
195.10.228.160 255.255.255.224 195.10.228.233 195.10.228.234
Question 7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur leq
uel doit
tre dfini le nom dhte www.marseille.lapointe.fr.
Le domaine concern est marseille.lapointe.fr, qui appartient la zone la
pointe.fr. Un nom dhte
est enregistr sur le serveur DNS primaire de la zone laquelle il appartient (cett

e zone pouvant tre


ensuite rplique sur le ou les serveurs DNS secondaires). Le serveur pri
maire pour la zone
lapointe.fr est situ Marseille et daprs le tableau de lannexe 3 il a p
our adresse IP :
195.10.228.2.
Question 8. Donner les paramtres de la configuration DNS des postes de
travail du site
dAix qui permettent daccder
lensemble des serveurs de lentreprise en uti
lisant leur
nom.
Il faut, sur chaque poste de travail, ladresse IP du serveur DNS dAix ou dun autre
serveur DNS .
Prciser les adresses IP des serveurs consulter : Aix (195.10.228.162) (serveur D
NS
dAix en priorit pour prendre en charge les rsolutions de noms au plus prs ) puis
celui de Marseille (195.10.228.2), qui stocke lensemble des rfrences pour le domain
e
lapointe.fr (en tant que primaire de la zone lapointe.fr, et secondaire pour les
domaines
aix.lapointe.fr et salon.lapointe.fr)
Donner un nom dhte
Indiquer le nom de domaine par dfaut : aix.lapointe.fr (ou lapointe.fr)
Question 9. Indiquer quel est le rle et lintrt des serveurs secondaires
de la zone
lapointe.fr
Les serveurs secondaires stockent le fichier de configuration du serveur primair
e, permettant dune
part une rpartition des charges (le serveur primaire nest pas le seul
sollicit), dautre part une
tolrance aux pannes (la liaison avec le site de Marseille peut tre dfai
llante, sans perturber la
rsolution de noms en local, quelque soit le site considr).
84
CDGJC J Z
Le rseau local de la socit Ludo utilise les protocoles TCP/IP (adresse
rseau 192.168.1.0,
masque 255.255.255.0). Les adresses IP des postes de travail sont attribues dynam
iquement par un
serveur DHCP. Les serveurs possdent des adresses statiques.
Pour prendre en charge les nouveaux serveurs et les routeurs, le FAI
attribue la socit Ludo le
rseau 179.169.10.96 avec le masque de sous-rseau 255.255.255.240.
Ce rseau doit tre dcoup en deux sous-rseaux afin de sparer les deux segments suivants
:
le lien entre le routeur daccs R1 et le routeur R2,
la partie comprenant le commutateur SW2 et les trois serveurs internet.
Pour pouvoir identifier les deux sous-rseaux, on donne la valeur 255.2
55.255.248 au masque de
sous-rseau.
Sur le schma du rseau (annexe 1) figurent les adresses IP des serveurs et des rout
eurs. Le routeur
R1 est fourni pr-configur par le fournisseur daccs.
1. Indiquer le nombre dadresses IP dhtes dont on dispose dans chaque sous-rseau avec
ce
dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous-rseaux.
2. crire la table de routage du routeur R2 en indiquant les valeurs utiliser po
ur ladresse
rseau, le masque de sous-rseau, la passerelle et linterface.

3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer l


a correspondance
entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises
sur internet.
4. Expliquer ce qu il faut faire pour que la configuration TCP/IP des postes per
mette ceux-ci
daccder internet.
Le routeur R2 servira galement de pare-feu et permettra disoler le rseau
local de la zone
contenant les trois nouveaux serveurs. Cette zone est appele zone dmilitarise .
5. Justifier le choix davoir spar le rseau en deux parties : Zone dmilita
rise et
Rseau local protg .
Le routeur R2 est un routeur filtrant agissant au niveau paquet. Il
filtre les paquets entrants et
sortants sur toutes ses interfaces rseau en fonction de rgles de filtrage dfinies p
ar ladministrateur
du rseau. Un extrait de sa table de filtrage ainsi que lalgorithme quil
utilise pour la prendre en
compte sont prsents en annexe 2.
6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
Le contrat de maintenance du site marchand prvoit la mise jour du sit
e pendant deux ans. Pour
permettre au technicien de maintenance deffectuer des mises jour distance sur le
serveur Web,
vous devez autoriser les connexions par le protocole SSH (Secure Shell
) sur ce serveur, ceci
uniquement en provenance de lordinateur dadresse 195.65.21.4.
7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en
spcifiant sa
position dans la table.
85
Annexe 1 : schma du rseau
86
Annexe 2 : Filtrage du pare-feu
Algorithme de filtrage
Pour chaque paquet qui transite en entre ou en sortie sur une interfa
ce du routeur, les rgles sont
examines dans lordre partir de la rgle n 1. La premire rgle dont les p
ramtres
correspondent exactement au paquet reu ou envoy est applique, aprs quoi la
nalyse des rgles
sarrte. Si la fin de la table est atteinte sans quaucune rgle ne soit applicable, le
paquet est refus.
Table de filtrage
N
rgle
Interface Sens IP
source
Port
source
IP
destination
Port
destination
Action
1 179. 169.10.98 Entre tous tous 179.169.10.106 80 Autorise
2 179. 169.10.98 Entre tous tous 179.169.10.106 443 Autorise
3 179. 169.10.98 Entre tous tous 179.169.10.107 53 Autorise
4 179. 169.10.98 Entre tous 53 179.169.10.107 tous Autorise

5 179. 169.10.98 Entre tous tous 179.169.10.108 25 Autorise


6 179. 169.10.98 Entre tous 25 179.169.10.108 tous Autorise
7 179. 169.10.98 Entre tous tous tous 22 Interdit
8 179. 169.10.98 Entre tous tous tous 23 Interdit
Table de correspondance entre les protocoles dapplication et les ports TCP ou UDP
protocole port utilis
SMTP 25
HTTP 80
SSL 443
DNS 53
Telnet 23
SSH 22
87
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Indiquer le nombre dadresses IP dhtes dont on dispose dans
chaque sous-rseau
avec ce dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous
-rseaux.
Avec le masque 255.255.255.248 appliqu au rseau 179.169.10.96 / 255.255.255.240, o
n obtient 1
bit pour le sous-rseau (donc deux sous-rseaux), et 3 bits pour ladresse machine, do
nc 2
3
= 8,
soit 8 2 = 6 machines dans chaque sous-rseau.
(1 pt par adresse de sous-rseau) Les sous rseaux sont 179.169.10.96 et
179.169.10.104 (masque
255.255.255.248)
Question 2. crire la table de routage du routeur R2 en indiquant les
valeurs utiliser pour
ladresse rseau, le masque de sous-rseau, la passerelle et linterface.
Rseau Masque Passerelle Interface
179.169.10.96 255.255.255.248 179. 169.10.98 179. 169.10.98
179.169.10.104 255.255.255.248 179. 169.10.105 179. 169.10.105
192.168.1.0 255.255.255.0 192.168.1.100 192.168.1.100
0.0.0.0 0.0.0.0 179.169.10.97 179. 169.10.98
Question 3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer la co
rrespondance
entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises
sur internet.
Le routeur pare-feu permet la traduction des adresses IP prives du rseau local (no
n routables sur
Internet) en une adresse publique (ici 179.169.10.98, ladresse IP de linterface du
routeur pare-feu
relie Internet).
Le mcanisme NAT (Network Address Translation) ou PAT (Port Address Translation )
qui utilise
le champ port source pour faire la correspondance entre les paquets mis et reus et
leur adresse
source ou destination dans le rseau local permet la traduction dadresses de une pl
usieurs (une IP
publique pour plusieurs IP prives).
Question 4. Expliquer ce qu il faut faire pour que la configuration TCP/IP des p
ostes leur permettre
daccder internet.
On doit ajouter dans la configuration des postes ladresse de la passerelle par dfa
ut (par une option
DHCP ou en dur ) soit 192.168.1.100
Question 5. Justifier le choix davoir spar le rseau en deux parties : Zo

ne dmilitarise et
Rseau local protg .
Ces deux zones ne peuvent pas bnficier du mme niveau de scurit. En effet
, la partie zone
dmilitarise doit tre accessible d Internet pour permettre la connexion des
clients au serveur
Web, la rception des requtes de rsolution de noms par le serveur DNS, la rception d
u courrier
par le serveur POP. Par contre aucun utilisateur extrieur ne doit pouvoir accder a
u rseau local.
88
Question 6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
a. Rgle N 1 : elle autorise les connexions des clients internet (IP sou
rce non spcifie) au site
Web (serveur 179.169.10.106) par le protocole http (port 80)
b. Rgle N4 : elle autorise lentre des rponses aux requtes DNS (port source 53) destin
tion
du serveur DNS (serveur 179.169.10.107) venant de nimporte quel serveur internet
(IP source
non spcifie).
Question 7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en
spcifiant sa
position dans la table.
La rgle suivante doit tre ajoute dans la table avant la rgle n 7 :
ligne insrer :
Interface Sens IP
source
Port
source
IP
destination
Port
destination
Action
179.169.10.98 Entre 195.65.21.4 tous 179.10.169.106 22 Autorise
89
CDGJC J
Lentreprise DUGALDE dite des ouvrages spcialiss dartisanat et dart.
Ouverte au march mondial depuis 1998, elle assure la traduction et limp
ression douvrages en
langues trangres : un service TRADUCTION a dailleurs t constitu cet effet.
Devant grer notamment les droits dauteur et de reproduction dimages pour
des uvres et des
auteurs originaires des cinq continents, elle a d se doter dun service JURIDIQUE c
onsquent.
Aujourdhui, 500 personnes sont salaries de lentreprise qui sest implante dans les deu
x premiers
tages dun grand btiment.
Lentreprise est maintenant largement informatise, mais le fonctionnement du rseau e
t sa scurit
doivent tre amliors et la gestion de la qualit des projets doit dsormais tre prise en
compte.
Le responsable informatique dcide de vous en confier ltude.
Au 1er tage se trouvent les services DITION, JURIDIQUE et TRADUCTION, au 2me tage le
service ADMINISTRATIF et le service INFORMATIQUE. Le rseau informatique de lentre
prise
est dcrit en annexe 1.
1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentr

eprise
DUGALDE. Justifier la rponse.
1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le pl
us
grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet t
age. Justifier la
rponse.
1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine da
dresse
172.16.132.2. Justifier la rponse.
Chaque tage dispose dun ou de plusieurs serveurs DHCP. Le serveur nomm EDITI peut a
ttribuer
des adresses IP aux postes du 1er tage. Les serveurs ADMINI et INFORI attribuen
t, quant eux,
des adresses IP respectivement aux postes des deux sous-rseaux 4 et 5.
2. Expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Des utilisateurs du sous-rseau 1 se plaignent parfois quils narrivent pas se connec
ter au rseau,
un message leur signalant quune adresse IP existe dj sur le rseau. Un c
ontrle a t ralis
permettant dcarter les routeurs comme cause possible.
3. Donner une cause possible du problme rencontr par ces utilisateurs.
4. Proposer les paramtres de configuration du serveur DHCP EDITI afin
dassurer le bon
fonctionnement de lensemble des postes du 1er tage.
Lentreprise situe au 3me tage dmnage et la socit DUGALDE profite de locc
pour y
dplacer certains postes de travail du service DITION qui manque actuelle
ment cruellement de
place.
5. Proposer une solution matrielle permettant dassurer linterconnexion avec un dbit
de 1
Gbit/s entre les postes du service DITION dplacs au 3me tage et les post
es du service
DITION rests au 1er tage.
On prendra soin de ne modifier en aucun cas la configuration logicielle des mach
ines.
90
On dcide dimplanter galement au 3me tage un nouveau service qui aura pour adresse de
sousrseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
6. Donner les lignes de la table de routage du routeur AGR2 qui per
mettront aux postes du
sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise.
Seules les
lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau
de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Tous les services de lentreprise doivent accder lInternet, mais les droits daccs aux
diffrents
services (web, courrier, etc.) ne sont pas les mmes. Pour rsoudre le p
roblme et aprs avoir
effectu une tude de march, ladministrateur sest dot dun pare-feu (firewall)
disposant
galement dune fonction de translation dadresses.
7. Expliquer en quoi la translation dadresses est intressante pour la scurit de lentr
eprise.

On prendra soin de dcrire le processus mis en uvre.


Le pare-feu choisi gre les autorisations daccs aux services de linternet en regroupa
nt les postes
de travail qui ont des droits similaires. Pour crer un groupe de mach
ines, on associe une plage
dadresses IP son nom. Le responsable informatique a ainsi choisi de crer un groupe
de machines
par sous-rseau.
Voici un extrait partiel de la table actuelle des contrles daccs du pare-feu. Dans
cette table, tout
ce qui nest pas explicitement autoris est interdit.
Groupe de machines Protocoles autoriss
Sous-rseau 1 DNS, HTTP,
Sous-rseau 2 DNS, HTTP,
Sous-rseau 3
Sous-rseau 4
Sous-rseau 5
On souhaite que les postes de travail :
- du sous-rseau 1 puissent accder au web et faire du transfert de fichiers,
- des sous-rseaux 2, 3 et 4 puissent accder au web et utiliser le courrier lectron
ique,
- du sous-rseau 5 puissent accder tous les services de linternet, y co
mpris les forums de
discussion.
8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, p
ur chaque
groupe de machines, la liste des protocoles autoriss.
On envisage dautoriser les commerciaux transmettre leurs commandes dist
ance travers
lInternet, en utilisant les portables qui leur ont t fournis, quips de cartes modem P
CMCIA.
9. Indiquer comment assurer la scurit et la confidentialit de ces transactions.
91
Annexe 1 : Rseau informatique de lentreprise DUGALDE
172.16.128.1
172.16.160.1
2
me
tage
Service TRADUCTION
Sous-rseau 3
192.168.3.0
50 postes
clients DHCP de EDITI
Service EDITION
Sous-rseau 1
192.168.1.0
200 postes
Service JURIDIQUE
Sous-rseau 2
192.168.2.0
50 postes
clients DHCP de EDITI
EDITI
192.168.1.100
serveur DHCP
192.168.1.1 192.168.2.1
192.168.3.2
192.168.2.2

1
er
tage
172.16.128.1
172.16.160.1
2
me
tage
Service TRADUCTION
Sous-rseau 3
192.168.3.0
50 postes
clients DHCP de EDITI
Service EDITION
Sous-rseau 1
192.168.1.0
200 postes
Service JURIDIQUE
Sous-rseau 2
192.168.2.0
50 postes
clients DHCP de EDITI
EDITI
192.168.1.100
serveur DHCP
192.168.1.1 192.168.2.1
192.168.3.2
192.168.2.2
1
er
tage
Routeur R1
Routeur Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0
20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
Routeur R1
Routeur Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0

20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
ADMINI
172.16.128.100
Serveur DHCP
Routeur R2
Routeur Agent Relais DHCP
AGR1
172.16.128.3
192.168.1.3
92
... ... ... .... .... . , . .... . , . .... . , . .... . ,
Question 1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage
de lentreprise
DUGALDE. Justifier la rponse.
Question 1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prv
oir le
plus grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
Question 1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage
. Justifier la
rponse.
Question 1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la
machine dadresse
172.16.132.2. Justifier la rponse.
1.a. 1
er
octet = 172 , compris entre 128 et 191 correspond la classe B
Autre solution : en binaire 172 = 1011 1110
( 10xx xxxx : classe B )
L adresse du rseau de l entreprise DUGALDE est 172.16.0.0
1.b. Le masque de rseau par dfaut de la classe B est 255.255.0.0
Pour adresser des sous-rseaux, on dispose des 2 octets de poids faible.
Pour pouvoir disposer dun rseau en x.y.160.0, il faut utiliser 3 bits sur les 2 oc
tets de poids faible
(160 base 10 = 1010 0000 base2). Les autres bits pourront tre utiliss pour ladressa
ge des nuds.
On a donc : 1111 1111. 1111 1111. 1110 0000 . 0000 0000, soit 255.255.224.0
1.c. 3 bits sont utiliss dans la partie hte pour adresser les sous-rseaux.
2
3
2 = 6. On peut adresser 6 sous-rseaux
1.d. Les 2 octets de poids faible ont pour valeur 132.2 , soit en binaire 1000
0100 . 0000 0010. Les
3 premiers bits concernant le rseau (1000 0000 base 2 = 128), la machine d adress
e 172.16.132.2
appartient au sous-rseau d adresse 172.16.128.0
Question 2. expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Les agents relais DHCP AGR1 et AGR2 sont situs entre un sous-rseau qui dispose dun
serveur
DHCP et des sous-rseaux ne disposant pas de serveur DHCP ; les postes
des sous-rseaux 2 et 3
doivent obtenir une adresse du serveur EDITI situ sur un autre sous-rseau ; l agen
t relais va servir
de passerelle avec le sous-rseau 1 ; il a dans sa configuration l adresse IP du s
erveur DHCP EDITI
et redirigera ainsi les requtes de demandes d adresse IP provenant des postes app

artenant aux sousrseaux 2 et 3 vers ce serveur DHCP. Inversement il relayera ladresse I


P attribue vers la station
qui en a fait la demande (il route les trames DHCP).
Question 3. Donner une cause possible du problme rencontr par ces utilisateurs.
Il se peut que la plage dtendue DHCP propose par EDITI nait pas exclu ladresse du ser
veur luimme ou celle du routeur. Un utilisateur faisant une demande peut donc se voir aff
ecter une de ces
adresses qui entre alors en conflit avec celle affecte de manire statiq
ue au serveur DHCP ou au
routeur. Une autre cause ventuelle peut consister en une dure de bail trop longue
ou trop courte.
Une autre raison moins probable ici pourrait tre la prsence dune adresse
IP statique (fixe) sur
quelques postes.
93
Question 4. Proposer les paramtres de configuration du serveur DHCP EDITI afin das
surer
le bon fonctionnement de lensemble des postes du 1
er
tage.
Le serveur DHCP EDITI doit attribuer des adresses aux 3 sous-rseaux 1, 2 et 3. Il
doit donc grer
trois tendues.
tendue de sous-rseau 1 :
Plage dadresses affecter: de 192.168.1.1 192.168.1.203
Adresse exclure : 192.168.1.100 (adresse du serveur EDITI )
192.168.1.1 (adresse Agent Relais AGR1)
192.168.1.3 (adresse du routeur R2)
Masque de rseau
: 255.255.255.0
Adresse de passerelle : 192.168.1.3
tendue de sous-rseau 2 :
Plage dadresses affecter: de 192.168.2.1 192.168.2.52
Adresse exclure : 192.168.2.1 (adresse Agent Relais AGR1)
: 192.168.2.2 (adresse Agent Relais AGR2)
Masque de rseau
: 255.255.255.0
Adresse de passerelle : : 192.168.2.1
tendue de sous-rseau 3
Plage dadresses affecter: de 192.168.3.1 192.168.3.51
Adresse exclure : 192.168.3.2 (adresse Agent Relais AGR2)
Masque de rseau : 255.255.255.0
Adresse de passerelle : : 192.168.3.2
Question 5. Proposer une solution matrielle permettant dassurer linterconne
xion avec un
dbit de 1 Gbit/s entre les postes du service EDITION dplacs au 3
me
tage et les postes du
service DITION rests au 1
er
tage.
On prendra soin de ne modifier en aucun cas la configuration logicielle des mach
ines.
Il sagit ici de dplacer des machines sans toucher leur configuration. Pas question
donc de crer
un autre sous-rseau au troisime tage. Il est exclu de fait, de relier
les tages au travers dun
routeur, puisque toutes les machines conservent leur adresse IP et restent donc
dans le mme sousrseau. La solution consiste alors relier les deux tages (distance suppo

se infrieure 25 m)
laide dun brin supportant le 1 Gbit/s (catgorie 5
e
, 5+, 6 ou 7, voire fibre optique obligatoire
pour des distances suprieures 25 m). On ne va pas, bien entendu, tirer autant de
brins quon
dplace de stations et il faut donc prvoir en plus, ltage, un quipement
dinterconnexion des
postes (en principe commutateur plutt que concentrateur afin de limiter les colli
sions) qui sera reli
lquipement actuel dinterconnexion. (on ignore son type, son dbit actuel e
t donc sil faut le
changer). On ne demande pas changer les cartes rseau.
On dcide dimplanter galement au 3
me
tage un nouveau service qui aura pour adresse de sousrseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
94
Question 6. Donner les lignes de la table de routage du routeur AGR2
qui permettront aux
postes du sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de le
ntreprise.
Seules les lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau
de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Rseau Masque Passerelle Interface
.. ..
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.2
192.168.2.0 255.255.255.0 192.168.2.2 192.168.2.2
192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.2
192.168.4.0 255.255.255.0 192.168.4.2 192.168.4.2
172.16.128.0 255.255.224.0 192.168.2.1 192.168.2.2
172.16.160.0 255.255.224.0 192.168.2.1 192.168.2.2

Question 7. Expliquer en quoi la translation dadresses est intressante p
our la scurit de
lentreprise.
On prendra soin de dcrire le processus mis en uvre.
La translation dadresses (NAT Network Address Translation, PAT Port Address Trans
lation, )
permet de masquer au monde extrieur les adresses IP rellement utilises dans lentrepr
ise, rendant
ainsi plus difficiles les tentatives dintrusion.
Quand un poste du rseau local met une demande de service vers linternet, le disposi
tif (pare-feu,
routeur NAT, serveur mandataire ou proxy, ) disposant dune fonction de translation
dadresses,
remplace l adresse IP du poste metteur du paquet par sa propre adresse avant lenvo
i sur linternet.
Il remplace de mme le port de l application cliente par une valeur particulire, en
gnral situe au
del de 61 000. Ces informations, adresse IP du poste metteur, port dorigine de lappl
ication
cliente et port attribu, sont enregistres dans une table. Lorsque la rponse du serv
ice invoqu
arrive sur le pare-feu, ce dernier vrifie dans la table qu il possde bien l entre c
orrespondante, par
rapport au port attribu, puis il rcrit dans les paquets ladresse IP du poste metteur
et port initial

de lapplication cliente. Le paquet peut ainsi rejoindre sa destination dans le rse


au local.
Question 8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, pour
chaque groupe de machines, la liste des protocoles autoriss.
Groupe de machines Protocoles autoriss
Sous-rseau 1 DNS, HTTP, FTP
Sous-rseau 2, 3 et 4 DNS, HTTP, SMTP, POP3, IMAP
Sous-rseau 5 DNS, HTTP, SMTP, POP3, IMAP, NNTP
Question 9. Indiquer comment assurer la scurit et la confidentialit de ces transact
ions.
Une solution
consiste mettre en uvre un tunnel travers linternet en
utilisant un protocole
comme PPTP ou L2TP (cration dun VPN).
Du ct de lentreprise Dugalde, il faut installer un serveur daccs distant et sur les
portables des
commerciaux, il faut configurer un client daccs distant.
Le VPN sera cr entre le client et le serveur et les donnes seront cryptes lors des ch
anges.
Il est galement possible denvisager la transmission de fichiers crypts en utilisant
des outils PGP.
Le commercial pourra alors rdiger sa commande sur son portable et cryp
ter le fichier concern
avant de lenvoyer. La fiabilit et la rapidit dun tel cryptage est obtenu en combinan
t les principes
des cls prives/publiques et des cls secrtes.
95
CDGJC J C
Le groupement d intrt conomique (GIE) SILVIA regroupe une dizaine de memb
res (appels
aussi clients) dans des domaines d activit varis relevant de la filire bois.
Sa mission est de fournir ses membres une expertise dans le conseil
(gestion, informatique de
gestion) et de proposer galement tous les services de traitement numrique (comptabi
lit, paie,
...)
Le GIE hberge sur ses propres machines toutes les applications informatiques de c
omptabilit, de
gestion et de publication en ligne et propose ses membres l accs ses services sou
s la forme d un
intranet.
Toutes les applications sont bases sur IPv4.
Sur le rseau du GIE, les postes clients ont comme passerelle par dfaut l adresse 1
72.16.0.253.
La liaison avec les rseaux des membres du GIE
Chaque nouveau membre se voit attribuer par le GIE une adresse de rseau de classe
C prive prise
dans la plage dadresses de 192.168.0.0 192.168.255.0.
Les membres accdent aux applications de l intranet par une liaison ddie loue un oprat
eur.
Ils accdent Internet par un autre moyen (Numris, ADSL, modem...) afin de ne pas su
rcharger la
liaison loue et garantir la scurit des donnes prives.
Sur les rseaux des membres, le cahier des charges prvoit que les postes utilisent
:
le serveur de nom qui est situ sur le rseau du GIE,
l adresse du routeur qui les relie au GIE comme passerelle par dfaut.
Le GIE s est dot d un SIG (systme d information gographique) qu il met

la disposition de ses
membres. Il souhaite s attacher les services du cabinet de gomtres Gom &
Trie, situ 25 km
afin de renseigner le SIG partir de relevs effectus sur le terrain.
Pour chaque parcelle de bois appartenant un membre du GIE, le cabine
t de gomtres devra
numriser le plan cadastral correspondant, effectuer un relev sur le terr
ain par systme GPS
(Global Positioning System), caractriser le boisement et alimenter le SIG.
La liaison entre le site du GIE et le site de Gom & Trie sera ralise par une liaiso
n loue Transfix.
Afin d tablir le besoin en bande passante, les techniciens du GIE cons
ultent les statistiques
d utilisation des liaisons avec ses membres. Il en ressort que :
Les applications de gestion bases sur le protocole HTTP reprsentent 75 % des flux.
Elles
ncessitent un dbit de 10 Kbit/s par poste utilisateur pour garantir une
qualit de service
suffisante.
Le reste des flux est constitu par les autres services (DNS, FTP...) de l intrane
t.
1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que
devra
supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Toutes les machines du rseau du GIE sont configures pour utiliser le routeur rtr
-ext comme
passerelle par dfaut. Ce routeur dispose d une table de routage, dont voici un ex
trait :
Rseau Masque Passerelle Interface
192.168.11.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.12.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.13.0 255.255.255.0 172.16.0.254 172.16.0.253
2. Proposer la ligne ajouter dans la table de routage du routeur rt
r-ext pour que les
machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
96
3. Proposer la ligne qui permettrait, en remplaant toutes les lignes p
rcdentes, dadresser
tous les rseaux possibles des membres du GIE.
Un des gomtres semble rencontrer quelques dysfonctionnements partir de l
a machine
192.168.62.11 alors que tout fonctionne normalement sur les autres machines. Il
peut accder
tous les services Internet, mais n arrive pas accder aux applications
situes sur la machine
172.16.0.10 de nom srv10.silvia.fr.
Afin de dterminer la cause du dysfonctionnement entre ces deux nuds, vous souhaite
z, partir du
poste 192.168.62.11, utiliser la commande ping pour vrifier le fonctionn
ement des lments
suivants :
pile de protocoles TCP/IP sur lui-mme,
couche Physique et Liaison de donnes sur le rseau de la socit Gom & Trie,
couche Rseau entre le rseau de la socit Gom & Trie et celui du GIE,
rsolution de nom en utilisant le protocole DNS.
4. Pour chacune des vrifications souhaites, indiquer la commande ping e
xcuter.
Justifier la rponse pour chacune des quatre commandes employes.
Vous demandez au gomtre de taper la commande ping 172.16.0.10 sur la m

achine qui ne
fonctionne pas. La consultation du cache arp de cette machine donne le rsultat su
ivant :
Adresse internet Adresse physique Type
192.168.62.253 00:D0:59:86:3B:68 dynamique
Vous demandez ensuite au gomtre de taper la commande ping 172.16.0.10 , depuis une
autre
machine dadresse 192.168.62.12. Aprs quoi, la consultation du cache arp de cette a
utre machine
donne le rsultat suivant :
Adresse internet Adresse physique Type
192.168.62.254 00:D0:59:82:2B:86 dynamique
5. Expliquer le rle du protocole arp.
6. Expliquer le problme que lanalyse des caches arp rvle pour la machine 192.168.62.
11.
Les fonctions de filtrage du routeur rtr-ext sont dj actives sur les interfaces 193
.252.19.3 et
195.115.90.15. Les tableaux ci-dessous donnent un extrait des tables de
filtrage correspondant
chacune de ces interfaces :
Table de filtrage de l interface 193.252.19.3 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 Toutes Tous 195.115.90.1/32 25 TCP Accepter
2 Toutes Tous 195.115.90.1/32 110 Tous Accepter
3 Toutes Tous 195.115.90.1/32 53 Tous Accepter
4 Toutes Tous 195.115.90.2/32 80 TCP Accepter
6 Toutes Tous 195.115.90.0/28 22 Tous Accepter
7 195.115.90.0/28 Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
97
Table de filtrage de l interface 195.115.90.15 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
Dfaut Toutes Tous Toutes Tous Tous Accepter
L algorithme utilis par le service de filtrage est quivalent ceci :
1. Tant qu il y a un paquet traiter
o En suivant l ordre des rgles de 1 n, rechercher la premire rgle applicable.

o Si une des rgles est applicable, alors appliquer l action au paquet


et arrter le
parcours de la table.
o Si aucune rgle nest applicable, appliquer la rgle par dfaut.
On souhaite remplir la table de filtrage sur l interface 172.16.0.253
du routeur rtr-ext entre le
rseau du GIE et la DMZ (zone dmilitarise), en appliquant les rgles suivantes :
L accs au service DNS de la DMZ n est autoris que pour le serveur DNS du GIE.
L accs au service SSH est autoris partir de toutes les machines du GIE sauf pour l
e serveur
d adresse 172.16.0.10.
Tout le reste est refus.
7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la table de f
iltrage
de l interface 193.252.19.3.
8. Proposer une table de filtrage pour l interface 172.16.0.253 afin d
e prendre en compte les
contraintes exprimes ci-dessus. Vous respecterez la prsentation adopte pour
les tables de
filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux provenant du GIE e
n direction
de la DMZ que les flux en retour.
Afin de raliser des tests, vous mettez en place, avec un autre membre
de l quipe, un logiciel de
capture de trames sur lune des machines du rseau du GIE.
Capture de trames
Cette capture ne prsente pas le prambule de la trame Ethernet.
9. Indiquer l adresse MAC (adresse physique ou Ethernet) de la machine
destinataire de la
trame capture.
10. Donner en dcimal l adresse IP du destinataire du datagramme qui a t captur.
Chaque membre du GIE dispose d une base de donnes sur la machine 195.115.90.2. Ce
s donnes
sont exploites par le serveur HTTP pour la cration dynamique de pages web.
11. Dcrire, ventuellement l aide d un schma, le dialogue qui stablit entre
un client
HTTP (navigateur Internet), un serveur HTTP et un serveur de bases de
donnes lorsque le
client soumet un formulaire au serveur HTTP et que celui-ci doit retourner des i
nformations
contenues dans la base de donnes.
98
Annexe 1 : Plan du rseau
99
Annexe 2 : Format des trames Ethernet et datagrammes IP
Format dune trame Ethernet
Donnees FCS
8 ocfefs
o ocfefs o ocfefs 4 ocfefs Z ocfefs de 4o I b00 ocfefs
PreombuIe + SFD
Adresse desfinofion
Adresse source
Type
SFD : Start Frame Delimiter indique le dbut de la trame
FCS : Frame Check Sequence ou code de contrle CRC
Str uctur e du datagr amme IP (par lignes de 32 bits)
1
4 5
8 9
16 17 19 20
24 25
32
Version IHL TOS (Type Of Service) Longueur du datagramme - TL (Total Length)
ID (IDentification) FO Dplacement (Offset)
TTL (Time To Live) Protocole Total de Contrle (Header Checksum)

Adresse IP Source
Adresse IP Destination
Options IP ventuelles Bourrage
Donnes (de 2 65 517o)

IHL : Internet Header Length ou longueur den-tte, en mots de 32 bits


FO : Fragment Offset indique si le fragment est suivi dautres fragments
100
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Dterminer la bande passante minimum ncessaire, exprime en Kbi
t/s, que devra
supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Comme lindique clairement le schma du rseau (annexe 1), il y a douze p
ostes dans la socit
Gom & Trie . Le texte mentionne de son ct les applications de gestion reprsentent 7

des flux. Ces applications ncessitent un dbit de 10 Kbit/s par poste utilisateur .
Il faut donc : 10 Kbit/s * 12 postes soit 120 Kbit/s pour les applications de ge
stion. Ces applications
de gestion reprsentent 75 % des flux . Il faut donc rajouter les 25 % utiliss par le
s autres flux
(DNS, FTP) soit 40 Kbit/s (120/75*25), pour obtenir le dbit total ncessaire.
Le dbit total ncessaire est donc de 120+40 Kbit/s soit 160 Kbit/s.
Question 2. Proposer la ligne ajouter dans la table de routage du routeur r tr ext pour
que les machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
Aidons nous du schma de lAnnexe 1 et plaons nous mentalement sur le routeur r tr -e
xt dont
il convient de complter la table. La question indique que le rseau atteindre est c
elui de socit
Gom & Trie puissent atteindre le rseau de la socit Gom & Tri soit 192.168.62.0
comme lindique clairement le schma. Le masque de rseau est not, dans cette mme annexe
, /24
ce qui correspond la notation CIDR (Classless InterDomain Routing) dun masque de
24 bits 1
soit, en notation traditionnelle : 255.255.255.0. Depuis le routeur r tr -ext, t
ous les paquets destins
au rseau Gom & Trie doivent donc tre expdis au routeur r tr -gie (dont le travail se
a de les
rediriger son tour vers le rseau de la socit) et dont ladresse de linterface dentre
172.16.0.254. Pour cela, les paquets doivent sortir de notre routeur r tr -ext p
ar linterface de sortie
172.16.0.253. Bien entendu le concentrateur na rien voir avec un problme de routag
e
puisquil est cens travailler au niveau 2 du modle OSI et non pas au niveau 3 comme
le routeur.
La ligne rajouter dans la table de routage est donc en dfinitive :
Rseau
atteindre
Masque de ce rseau On doit sadresser On sort du routeur
par
Rseau Masque Passerelle Interface
192.168.62.0 255.255.255.0 172.16.0.254 172.16.0.253
Question 3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcde
ntes,
dadresser tous les rseaux possibles des membres du GIE
A lobservation de la table de routage (complte en principe par la ligne
issue de la rponse la
question prcdente) on constate que tous les rseaux appartiennent la mme
plage dadresses

192.168.x.y. On constate galement que, quel que soit le rseau de destin


ation, les valeurs de
passerelle atteindre et dinterface de sortie sont les mmes. Comment fus
ionner toutes ces
lignes en une seule ?
Si le masque de rseau appliqu aux paquets au niveau du routeur ne couvre que les d
eux premiers
octets dadresse, tous les paquets vont sembler appartenir au mme rseau 192.168.0.0.
En effet,
quand les dcisions de routage sont prises, seuls les bits couverts par le masque
de sous-rseau
sont utiliss pour dterminer quel est le rseau atteindre et donc, en ap
pliquant un masque
tronqu ou sur-masque , toutes les adresses semblent faire partie du mme rseau du po
nt de
vue du routage.
On doit donc utiliser ici un sur-masque /16 alors que pour des rseaux de classe C
on sattend
avoir /24. Cette technique est largement utilise par les oprateurs pour limiter la
taille des tables de
routage.
101
La ligne de remplacement des quatre lignes prcdentes est donc en dfinitive :
Rseau Masque Passerelle Interface
192.168.0.0 255.255.0.0 172.16.0.254 172.16.0.253
Question 4. Pour chacune des vrifications souhaites, indiquer la commande
ping
excuter. Justifier la rponse pour chacune des quatre commandes employes.
Vr ification 1 : Pile de protocoles TCP/IP sur lui-mme
La commande ping 127.0.0.1 permet de tester la pile TCP/IP de la machine, sans d
escendre au
niveau de la carte. Un ping sur ladresse IP du poste (ping 192.168.62.11) permet
aussi de tester la
pile TCP/IP sans descendre sur la carte mais teste en plus la validit de ladresse.
Lune ou lautre
de ces rponses est donc acceptable.
Vr ification 2 : Couche Physique et Liaison de donnes sur le rseau de la socit Go
Trie
La commande ping 192.168.62.254 (ou sur toute autre adresse du rseau 192.168.62.1 par
exemple) suffit et permet de dterminer que la liaison fonctionne sur 2
nuds adjacents. Cette
commande permet de tester la carte rseau, le concentrateur et le cble
de liaison. Par contre un
ping 127.0.0.1 ou ping 192.168.62.11 est insuffisant ce niveau car le paquet ne
sort pas
sur le rseau et donc la couche physique ne serait pas teste.
Vr ification 3 : Couche Rseau entre le rseau de la socit Gom & Trie
elui du
GIE
Il sagit de vrifier ici si le routage couche rseau se fait bien. Il faut donc u
g qui
concerne les routeurs intermdiaires aux deux rseaux intresss. Les commandes
ping
172.16.1.254 ou ping 172.16.0.10 par exemple, sont valides. Ces command
es permettent de
dterminer que le routage fonctionne entre les deux nuds distants. Ces c
ommandes testent le
fonctionnement du routeur (configuration et table de routage) mais aussi celui d
e la table de routage

du poste metteur et de celle du poste rcepteur. L aussi la rponse doit normalement tr


e positive
puisque les autres postes accdent au serveur.
Vr ification 4 : Rsolution de nom en utilisant le protocole DNS
Pour provoquer la rsolution de nom en son adresse IP, il faut faire un ping qui u
tilise le nom dhte
du poste. Ce nom est prcis dans le texte du sujet la machine 172.16.
0.10 de nom
srv10.silvia.fr . On fera donc un ping sr v10.silvia.fr . On travaille ic
i dans les couches
suprieures la couche 3 (rseau), et donc au dessus du protocole de transport. On va
ainsi tester la
configuration DNS du poste ainsi quventuellement le fichier de zone du serveur DNS
contact si
le cache DNS sur le poste est vide, c est--dire que cette rsolution na
pas dj t faite
antrieurement.
Question 5. Expliquer le rle du protocole arp.
Le protocole ar p permet la rsolution d adresse IP en adresse MAC adre
sse physique ou adresse
Ethernet.
Question 6. Expliquer le problme que lanalyse des caches arp rvle pour l
a machine
192.168.62.11.
En clair, alors que les adresses MAC devraient tre toutes les deux ce
lles du routeur r tr _geo, une
seule est la bonne. Lautre est donc celle du routeur ADSL qui rpond a
u lieu du routeur r tr _geo
attendu. La rponse est alors vidente , le problme vient de ce que la pa
sserelle par dfaut
(gateway) sur la machine dfectueuse (192.168.62.11) correspond en fait
celle du routeur
ADSL et non celle du routeur r tr _geo.
Il faudrait modifier la passerelle par dfaut du poste 192.168.62.11 en remplaant l
a valeur actuelle
192.168.62.253 par la valeur correcte : 192.168.62.254.
102
Question 7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la t
able
de filtrage de l interface 193.252.19.3.
En clair : La rgle 1 autorise les requtes SMTP partir d Internet sur la machine d
adresse
195.115.90.1
En clair : La rgle 6 autorise les requtes SSH sur toutes les machines appartenant
au rseau DMZ
(195.115.90.0/28)
Question 8. Proposer une table de filtrage pour l interface 172.16.0.25
3 afin de prendre en
compte les contraintes exprimes ci-dessus. Vous respecterez la prsentation
adopte pour
les tables de filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux prov
enant du GIE
en direction de la DMZ que les flux en retour.
N
de r gle
Adr esse
sour ce
Por t
sour ce
Adr esse

destination
Por t
destination
Pr otocole
tr anspor t
Action
1 172.16.0.10/32 Tous 195.115.90.1/32 53 Tous Accepter
2 195.115.90.1/32 53 172.16.0.10/32 Tous Tous Accepter
3 172.16.0.10/32 Tous 195.115.90.0/28 22 Tous Refuser
4 172.16.0.0/24 Tous 195.115.90.0/28 22 Tous Accepter
5 195.115.90.0/28 22 172.16.0.0/24 Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Question 9. Indiquer l adresse MAC (adresse physique ou Ethernet) de l
a machine
destinataire de la trame capture.
00 : d0 : 59 : 82 : 2b : 86
Question 10. Donner en dcimal l adresse IP du destinataire du datagramme qui a t ca
ptur
172.16.0.10
Question 11. Dcrire, ventuellement l aide d un schma, le dialogue qui stablit entre u
n
client HTTP (navigateur Internet), un serveur HTTP et un serveur de b
ases de donnes
lorsque le client soumet un formulaire au serveur HTTP et que celui-c
i doit retourner des
informations contenues dans la base de donnes.
1. Le client envoie la requte.
2. Les requtes des clients arrivent sur le port HTTP (80 en gnral).
3. Le serveur HTTP transmet les valeurs (noms de champs + valeurs) u
n script par une
mthode get ou post.
4. Le serveur excute un script (requte SQL encapsule) et via un middleware la requt
e SQL
est transmise au SGBD.
5. Le SGBD excute la requte et renvoie le rsultat au serveur http.
6. Le serveur http met en forme le rsultat (HTML dynamique) et retourne au client
(navigateur)
ce rsultat (page HTML).

103
CDGJC J =
Le Domaine VISTE est un domaine qui possde vingt hectares dorange, il produit envi
ron 50 000
litres de jus dorange par an.
VISTE dispose dj dun rseau informatique, reliant les bureaux, le dpt (ou
sont stocks les
bouteilles de jus dorange) et la cave, et dun serveur HTTP en intranet.
VISTE est une petite entreprise ambitieuse qui cherche se faire connat
re en participant aux
diffrents salons.
Rcemment le propritaire du domaine a lou un stand dans un salon qui va se drouler Me
kns.
Durant le salon, les commerciaux prsents auront besoin dobtenir en temps rel ltat des
stocks et
de se connecter sur le rseau du domaine. Il faut en effet offrir la possibilit aux
visiteurs du salon
de commander des jus dorange prsents ou non sur le stand et disponibles en stock au

domaine.
Dans le cadre de sa participation aux diffrents salons, le propritaire du Domaine
VISTE souhaite
mettre en place un accs sa base de donnes de gestion de stocks afin
de faciliter la prise de
commandes des produits non disponibles en quantit suffisante ou non prsents au salo
n.
Pour cela, il a contact une socit de services qui, aprs tude, lui propose dabord de mo
difier le
rseau existant afin den amliorer la scurit. La proposition de modification
est jointe en
annexe 2.
Le propritaire vous demande de valider les choix techniques et technolo
giques proposs par la
socit de services.
1. Indiquer la classe, ladr esse r seau et le nombr e dhtes que peut ac
cueillir chacun des
sous-r seaux r epr sents dans le nouveau plan dadr essage. Vous justifier ez vos r po
nses.
Le schma propos par la socit de service indique la prsence dun serveur DHCP et dun age
t
relais DHCP, dans la cave et dans le dpt.
2. Indiquer en quoi une telle configur ation est utile.
Pour assurer le bon fonctionnement de lentreprise, il vous faut ensuite prvoir les
tables de routage
des routeurs afin que Tous les htes du rseau puissent communiquer entre eux et ave
c lextrieur.
3. tablir la table de r outage du r outeur Gnr al afin dassur er le b
on fonctionnement du
r seau.
Pour maintenir la scurit interne de lentreprise VISTE, la socit de service
propose de ne pas
mettre les serveurs HTTP et Mail sur le rseau interne. Sur le routeur Gnral, les rgl
es suivantes
ont t crites
Rgles NAT (Network Address Translation) PAT (Port Address Translation) a
ppliques sur
linter face 172.16.0.129
IP Port IP Port
172.16.0.66 2020
192.168.0.5 5600
104
Rgles de filtr age appliques sur linter face 172.16.0.129
N r gle Inter face IP Sour ce Por t Sour ce IP
Destination
Por t
Destination
Action
1 172.16.0.129 * * * * Refus
Les rgles de filtrage sappliquent dans lordre de leur numro.
Pr incipes dassociation des r gles de filtr age et de NAT-PAT sur une inter face.
Inter face
Sortie
Filtre NAT-PAT Entre
Sur un paquet en sor tie dune interface, on applique dabord les rgles d
e filtrage puis les
rgles NAT-PAT.
Sur un paquet en entr e dune interface, on applique dabord les rgles NAT-PAT puis le

s
rgles de filtrage.
Le serveur HTTP utilise le por t 1060 pour communiquer et le serveur de bases de
donnes le por t
2020.
4. Donner les adr esses IP et les por ts sour ce et destination dun paquet envoy
par le ser veur
HTTP au ser veur de bases de donnes. Vous justifier ez votr e r ponse.
5. Rdiger la (ou les) r gle(s) dfinie(s) sur linter face 172.16.0.129, q
ui per met(tent) au
ser veur HTTP de communiquer avec le ser veur de bases de donnes. Vous pr ciser
ez lor dr e
de cette (ces) r gle(s) par r appor t la r gle actuelle.
Lorsque les commerciaux du domaine VISTE participent un salon, ils do
ivent quiper le stand
afin de pouvoir consulter le stock disponible. Pour assurer cette fonc
tion, le domaine a fait
lacquisition de trois ordinateurs portables.
Ce matriel utilise les structures fournies par le salon pour accder au
serveur HTTP du domaine.
Cette connexion scurise permet dinterroger, au travers dune interface au format HTML
, la base
de donnes de gestion des stocks.
La solution technique propose par la socit de services a t mise en place
. Lors dun premier
salon, les commerciaux ont d installer leurs portables en paramtrant leur navigate
ur avec ladresse
IP du routeur Internet, adresse fournie par le fournisseur daccs Interne
t (FAI) et releve par la
socit de service. De plus, alors quen interne ils utilisent lURL http://catalogue.vi
ste.fr , ils ont
d employer ladresse IP fournie par le FAI comme adresse dans leur navigateur.
6. Expliquer pour quoi les commer ciaux ont d saisir ladr esse IP four
nie par le FAI et non
pas ladr esse IP du ser veur HTTP.
7. Expliquer pour quoi ils ont d saisir cette adr esse IP au lieu du
ne adr esse URL,
contr air ement ce quils font en inter ne.
Quelques semaines plus tard, lors dun autre salon, les commerciaux ont cherch en v
ain utiliser
cette mme adresse IP mais elle ne fonctionnait plus ! Aprs contact durge
nce avec la socit de
services, ils ont d employer une autre adresse IP.
8. Pr oposer une solution per mettant aux commer ciaux daccder au site
web dune manir e
conventionnelle (saisie soit de ladr esse URL du site web, soit dune adresse IP st
able).
105
Annexe 1 : schma du r seau apr s modification
106
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Indiquer la classe, ladresse rseau et le nombre dhtes que pe
ut accueillir
chacun des sous-rseaux reprsents dans le nouveau plan dadressage. Vous justifierez
vos
rponses.
Rseau 1 : 192.168.0.0/29 (locaux techniques, DMZ)
192 en binaire 1100 0000 => dbut par 110 => Classe C
Adresse rseau : 192.168.0.0

Nombre dhtes : masque sur 29 bits => reste 3 bits pour les htes. On dispose donc de
2
3
soit 8 adresses, on enlve [000] et [111] il reste donc 6 htes possibles (2
3
- 2).
Rseau 2, 3, 4 : 172.16.0.0/24, 172.16.1.0/24 (dpt), 172.16.2.0/24 (Cave),
172 en binaire 1010 1100 => dbut par 10 => Classe B
Adresse rseau : 172.16.0.0, 172.16.1.0, 172.16.2.0
Nombre dhtes : masque sur 24 bits => reste 8 bits pour les htes. On dispose donc de
2
8
soit 256 adresses, on enlve [0000 0000] (adresse de rseau ) et [1111
1111]
(adresse de broadcast) il reste donc 254 htes possibles (2
8
- 2).
Question 2. Indiquer en quoi une telle configuration est utile.
En cas de dfaillance du serveur DHCP, le relais DHCP est prsent ici, pour assurer
la continuit
de service . Dans ce cas, il faut prvoir sur les diffrents serveurs DHCP des tendues
de secours
pour les sous-rseaux pour lesquels on veut assurer la tolrance de panne.
Question 3. tablir la table de routage du routeur Gnral afin dassurer le
bon
fonctionnement du rseau.
A partir des documents fournis, on constate que les routeurs de la c
ave et du chai ne connaissent
quune route par dfaut sur le routeur gnral. Par consquent il convient de
passer par ce routeur
pour atteindre les rseaux du dpt et de la cave.
La table de routage du r outeur Gnr al sera donc de la forme suivante :
Destination rseau
Masque rseau
Adr. passerelle
interface Mtrique
0.0.0.0
0.0.0.0
192.168.0.1
192.168.0.5
1
172.16.0.0
255.255.255.0
172.16.0.129
172.16.0.129
1
172.16.1.0
255.255.255.0
172.16.0.131
172.16.0.129
1
172.16.2.0
255.255.255.0
172.16.0.130
172.16.0.129
1
192.168.0.0 255.255.255.248
192.168.0.5
192.168.0.5
1
Question 4. Donner les adresses IP et les ports source et destination dun paquet
envoy par
le serveur HTTP au serveur de bases de donnes. Vous justifierez votre rponse.
Le paquet est envoy du serveur HTTP (192.168.0.2) sur le port 1060 comme lindique
le texte, et
destination du serveur de bases de donnes (172.16.0.66) pour le port 2020. Mais l
e paquet est pris
en charge par le routeur NAT qui va assurer la translation de certai
nes valeurs. En effet ladresse
172.16.0.66 et le port 2020 vont tre convertis en ladresse 192.168.0.5 et le port
5600. Les valeurs
dfinitives seront donc :
Adresse IP source :
192.168.0.2
Port source :
1060
Adresse IP Destination : 192.168.0.5
Port Destination :
560
107
Question 5. Rdiger la (ou les) rgle(s) dfinie(s) sur linterface 172.16.0.1
29, qui
permet(tent) au serveur HTTP de communiquer avec le serveur de bases

de donnes. Vous
prciserez lordre de cette (ces) rgle(s) par rapport la rgle actuelle.
Il est ncessaire dautoriser le dialogue dans les deux sens (serveur HTTP vers Serv
eur de bases de
donnes et inversement). Dautre part on na pas se proccuper du NAT puisq
ue les rgles de
filtrage sappliquent AVANT ce NAT en sortie et aprs le NAT en entre.
N r gle Inter face IP Sour ce Por t
Sour ce
IP
Destination
Por t
Destination
Action
1 172.16.0.129 192.168.0.2 1060 172.16.0.66 2020 Accept
2 172.16.0.129 172.16.0.66 2020 192.168.0.2 1060 Accept
3 172.16.0.129 * * * * Refus
Ces nouvelles rgles seront places AVANT la ligne actuellement prsente dans la table
de filtrage
(dans un ordre qui importe peu) car la dernire ligne a pour objet de bloquer TOUT
E transmission
quels que soient les IP et ports de lmetteur et de la destination.
Question 6. Expliquer pourquoi les commerciaux ont d saisir ladresse IP
fournie par le
FAI et non pas ladresse IP du serveur HTTP.
Il nest pas possible de saisir ladresse IP du serveur HTTP car il sagi
t dune adresse de classe
pr ive (192.x.y.z) et qui ne sera donc pas route sur lInternet. En consquence les ac
cs ne peuvent
se faire que sur ladresse IP fournie par le FAI, gnralement obtenue partir dun serve
ur DHCP et
renouvele rgulirement.
En effet, lors du premier salon on a saisi ladresse IP du moment, telle que le se
rveur DHCP du FAI
lavait affecte au client. Mais lors du deuxime salon cette adresse avait chang (bail
expir) et
on ne pouvait plus rutiliser la mme.
Question 7. Expliquer pourquoi ils ont d saisir cette adresse IP au lieu dune adre
sse URL,
contrairement ce quils font en interne.
En interne, les clients font appel au serveur DNS 172.16.0.65 pour rsoudre le nom
catalog.viste.fr
en ladresse IP du serveur web. Comme ce serveur DNS est situ der r ir e
deux routeurs NAT et
que de plus il est en adressage pr iv, il sera inaccessible de lextrieur.
Question 8. Proposer une solution permettant aux commerciaux daccder au site web du
ne
manire conventionnelle (saisie soit de ladresse URL du site web, soit du
ne adresse IP
stable).
Le domaine VISTE devra faire lacquisition dune adresse IP fixe et dun nom de domain
e.
108
CDGJC J =G
La SOVAMI est une socit installe en France et spcialise dans la collecte,
le traitement et la
valorisation de dchets d quipements lectriques et lectroniques (DEEE).
La socit possde son sige historique Lyon. Il regroupe, outre les service

s administratifs et de
direction, une unit de recherche et dveloppement.
Une autre usine de traitement se situe Fos. D autres sites dits de
prvalorisation existent
Toulouse, Tarbes et Bordeaux et un nouveau site doit ouvrir Bussy en rgion parisi
enne ; ces sites
servent de lieu de collecte et de premire valorisation..
Le cur du systme d information de la SOVAMI est Lyon. Les autres site
s accdent au site de
Lyon pour l essentiel de leurs traitements.
Le rseau local du site de Lyon est vous est prsent en annexe 1.
Au sige de Lyon, on souhaite quiper une salle de runion pour des visit
eurs extrieurs quips
dordinateurs portables. Cette salle disposera de prises rseau, dune imprimante en
rseau et dun
point daccs sans fil. Lensemble sera reli un commutateur capable de grer des rseaux l
caux
virtuels (VLAN). Pour des raisons de scurit, on veut pouvoir isoler momentanment le
rseau de
la salle de runion du rseau du sige tout en autorisant des communications entre les
quipements
prsents dans cette salle. Une prsentation de la notion de VLAN est fournie en anne
xe 2.
1. Indiquer quel niveau de VLAN per mettr a de pr endr e en char ge lisolement t
empor air e du
r seau de la salle de r union du sige. Justifier la r ponse.
En utilisant les annexes 1, 3 et 4, vous tes charg(e) danalyser le plan dadressage d
e la socit.
2. Indiquer le nombr e d adr esses IP encor e disponibles dans le r s
eau IP de la zone " DMZ"
du r seau. Justifier le r sultat.
L organisation du rseau interconnectant le sige de Lyon aux diffrents sit
es de la SOVAMI est
conue de telle sorte que chaque poste de n importe quel site puisse se connecter
au sige mais NE
PUISSE PAS avoir accs aux autres sites.
Afin de vrifier que cette organisation est bien en place, vous effectu
ez la premire srie de tests
suivante :
a) depuis une machine de Fos vers Bussy :
ping 10.192.1.254
vous obtenez le message " Impossible de joindr e lhte de destination .
b) depuis le serveur de fichiers de Lyon 10.0.1.1 vers Fos :
ping 10.128.1.254
vous obtenez le message " Rponse de 10.128.1.254 : octets=32 temps<10 ms ..." .
c) depuis une machine utilisateur de Lyon vers Fos :
ping 10.128.1.254
vous obtenez le message " Impossible de joindr e l hte de destination" .
d) depuis une machine de Bordeaux vers Tarbes :
ping 10.130.1.254
vous obtenez le message " Rponse de 10.130.1.254 : octets=32 temps<10 ms ..." .
3. Justifier les messages obtenus en r ponse chaque commande ping en analysant l
es tables
de r outage de l annexe 4.
4. Pr oposer une solution pour empcher les machines de Bor deaux de
communiquer avec
celles de Tar bes.
109
Au fur et mesure de l accroissement du nombre de sites connects, les
tables de routage des

routeurs se sont complexifies.


5. Pr oposer une solution pour r duir e le nombr e de lignes de la
table de r outage du r outeur
RLY2. Cette simplification ne doit pas modifier les r gles de r outage actuellem
ent en place.
Les sites reoivent souvent la visite de salaris itinrants qui utilisent leur ordina
teur portable pour
se connecter au rseau et travailler. C est pourquoi il a t dcid de grer
de manire centralise
tout l adressage IP de tous les postes clients de la SOVAMI l aide
d un serveur DHCP situ au
sige de Lyon. Le service DHCP sera install sur le serveur de fichiers. Dans chaque
site, il existe
un poste qui fait office de serveur d impression. On souhaite que ce poste obtie
nne toujours la mme
adresse IP du serveur DHCP.
6. Indiquer quel ser vice r seau doit tr e activ sur les r outeur s po
ur que les postes des
diffr ents sites puissent obtenir une configur ation IP du ser veur DHCP.
7. Dfinir , pour le site de Lyon uniquement, ltendue (plage d adr esses IP) qui e
st gr e par
le ser veur DHCP en pr cisant les exclusions str ictement ncessair es.
8. Indiquer comment pr ocder pour que le ser veur dimpr ession obtien
ne toujour s la mme
adr esse IP de la par t du ser veur DHCP.
Le routeur Internet nomm RLY3 a t install par un prestataire de service qui a config
ur sur
l interface 201.10.1.1 les rgles de filtrage suivantes :
Table de filtr age de l inter face 201.10.1.1 du r outeur RLY3 :
N de
r gle
Adr esse
sour ce
Por t
sour ce
Adr esse
destination
Por t
destinatio
n
Pr otocole
tr anspor t
Action
1
Toutes Tous 201.10.1.10/
32 80
TCP Accepter
2
Toutes Tous 201.10.1.10/
32 53
Tous Accepter
3
Toutes Tous 201.10.1.11/
32 25
Tous Accepter
4
Toutes Tous 201.10.1.12/
32 > 1024
Tous Accepter
5

201.10.1.8/2
9
Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Table de cor r espondance entr e les pr otocoles dapplication et les por ts TCP o
u UDP
Pr otocole/ap
plication
Por t utilis
SMTP 25
HTTP 80
HTTPS 443
DNS 53
Telnet 23
SSH 22
POP3 110
IMAP 143
L algorithme utilis par le service de filtrage fonctionne selon
le principe suivant :
Pour chaque paquet traiter :
En suivant l ordre des rgles de 1 n, rechercher la
premire rgle applicable,
Si une des rgles est applicable, alors appliquer l action
au paquet et arrter le parcours de la table,
Si aucune rgle nest applicable, appliquer la rgle par dfaut.
9. Expliquer la r gle de filtr age n 4 et pour quoi le numr o de por
t de destination est
supr ieur 1024.
110
Un utilisateur itinrant, qui consulte souvent ses messages lectroniques d
epuis l extrieur via des
connexions RTC, par exemple l htel ou chez lui, se plaint qu il ne peut pas rapat
rier ses messages
l aide de son logiciel client de messagerie habituel. Il accde ses messages uniq
uement via son
logiciel navigateur en mode webmail , ceci au dtriment du temps de connexion.
10. Expliquer la r aison de l impossibilit de l utilisation du logici
el client de messager ie et
pr oposer une solution ce pr oblme en inter venant sur les r gles de filtr age.
111
Annexe 1 : Ar chitectur e du r seau local de la SOVAMI - site de Lyon
112
Annexe 2 : Pr sentation des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes
faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est
affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
donc chaque port du commutateur se voit affect dynamiquement un VLAN
en fonction de
ladresse MAC mettrice contenue dans une trame en entre sur ce port.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte
un VLAN en

fonction de son adresse IP, donc chaque port du commutateur se voit affect dynami
quement
un VLAN en fonction de ladresse IP contenue dans le paquet transport d
ans la trame en
entre.
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur
pouvant grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocol
e 802.1q ; ils
changent ces trames via des ports dinterconnexion.
On considre quun port de commutateur ne sera associ qu un seul VLAN ( le
ception des
ports dinterconnexion).
113
Annexe 3 : Ar chitectur e du r seau de la SOVAMI
114
Annexe 4 : Extr ait du plan dadr essage et des tables de r outage
Site ou liaison Adr esse r seau Masque de sous-r seau
Lyon 10.0.0.0 255.255.0.0
Fos 10.128.0.0 255.255.0.0
Bussy 10.192.0.0 255.255.0.0
Toulouse 10.129.0.0 255.255.0.0
Tarbes 10.130.0.0 255.255.0.0
Bordeaux 10.131.0.0 255.255.0.0
RLY1-RBU1 10.1.1.0 255.255.255.0
RLY2-RFO1 10.1.3.0 255.255.255.0
RFO1-RTO1 10.1.4.0 255.255.255.0
RTO1-RTA1 10.1.5.0 255.255.255.0
RTO1-RBO1 10.1.6.0 255.255.255.0
Configur ation des postes de tr avail dans chaque site
Site
Exemple dadr esse
dun poste
Masque Routeur par dfaut
Lyon - postes de
travail
10.0.2.1 255.255.0.0 Pas de passerelle par
dfaut
Lyon - serveurs 10.0.1.1 255.255.0.0 10.0.1.253
Fos 10.128.1.1 255.255.0.0 10.128.1.254
Bussy 10.192.1.1 255.255.0.0 10.192.1.254
Toulouse 10.129.1.1 255.255.0.0 10.129.1.254
Tarbes 10.130.1.1 255.255.0.0 10.130.1.254
Bordeaux 10.131.1.1 255.255.0.0 10.131.1.254
Table de r outage pour RLY2
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0
10.0.1.253
10.1.3.0 255.255.255.0
10.1.3.254
10.128.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.129.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.130.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.131.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.192.0.0 255.255.0.0 10.0.1.254 10.0.1.253
Table de r outage pour RFO1
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.3.254 10.1.3.253
10.1.3.0 255.255.255.0
10.1.3.253
10.1.4.0 255.255.255.0
10.1.4.254
10.128.0.0 255.255.0.0
10.128.1.254

10.129.0.0 255.255.0.0 10.1.4.253 10.1.4.254


10.130.0.0 255.255.0.0 10.1.4.253 10.1.4.254
10.131.0.0 255.255.0.0 10.1.4.253 10.1.4.254
115
Table de r outage pour RTO1
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.4.254 10.1.4.253
10.1.4.0 255.255.255.0
10.1.4.253
10.1.5.0 255.255.255.0
10.1.5.254
10.1.6.0 255.255.255.0
10.1.6.254
10.129.0.0 255.255.0.0
10.129.1.254
10.130.0.0 255.255.0.0 10.1.5.253 10.1.5.254
10.131.0.0 255.255.0.0 10.1.6.253 10.1.6.254
Table de r outage pour RTA1
Rseau Masque Routeur Inter face
0.0.0.0 0.0.0.0 10.1.5.254 10.1.5.253
10.1.5.0 255.255.255.0
10.1.5.253
10.130.0.0 255.255.0.0
10.130.1.254
Table de r outage pour RBO1
Rseau Masque Routeur Inter face
0.0.0.0 0.0.0.0 10.1.6.254 10.1.6.253
10.1.6.0 255.255.255.0
10.1.6.253
10.131.0.0 255.255.0.0
10.131.1.254
La route par dfaut sur les routeurs s exprime l aide du numro de rseau 0.0.0.0.
116
.... .... . .. .... .... . .. .... .... . .. .... .... . ..
Question 1. Indiquer quel niveau de VLAN permet de prendre en charge lisolement t
emporaire du
rseau de la salle de runion. Justifier la rponse.
On choisira le niveau 1 (VLAN par ports) en effet il suffira alors
de modifier la configuration du
commutateur pendant les runions pour que les ports auxquels sont relis les prises
et la borne wi-fi
ne soient pas affects au VLAN donnant laccs au rseau de lentreprise
Le niveau 2 ne convient pas car il nest pas facile de connatre les adresses MAC de
s portables des
visiteurs. Par ailleurs, cette solution ne respecte pas la contrainte de lieu (a
ccs limit partir de la
salle de runion), en effet un ordinateur portable dont ladresse MAC ser
ait autorise pourrait se
connecter en dehors de la salle de runion.
Le niveau 3 peut prsenter un risque en terme de scurit puisquune adresse
IP valide peut tre
ventuellement choisie par un visiteur.
Question 2. Indiquer le nombre d adresses IP encore disponibles dans l
e rseau IP de la zone
"DMZ" du rseau. Justifier le rsultat.
La zone DMZ a pour adresse de rseau 201.10.1.8 avec comme masque 255.
255.255.248. Il y a
donc 29 bits pour la partie rseau et 3 bits pour la partie hte, soit 2
3
-2= 6 adresses utilisables dans
le rseau. 4 adresses sont dj utilises (3 serveurs et le 1 routeur), il
reste donc 2 adr esses IP
disponibles.
Question 3. Justifier les messages obtenus en rponse chaque commande p
ing en analysant les
tables de routage de l annexe 4.
a) depuis une machine de Fos ver s Bussy :
ping 10.192.1.254

vous obtenez le message " Impossible de joindr e l hte de destination " .


Il n y a pas de route vers le rseau de Bussy (10.192.0.0) ni de
r
oute par dfaut dans la table de
routage du routeur RFO1 (et idem pour RLY2). Le routeur envoie au po
ste une message ICMP
indiquant que le destinataire est inaccessible.
b) depuis le ser veur de fichier s de Lyon 10.0.1.1 ver s Fos :
ping 10.128.1.254
vous obtenez le message " Rponse de 10.128.1.254 : octets=32 temps<10 ms ..." .
Les routes sont bien dfinies entre le serveur de fichiers de Lyon et le rseau loca
l de Fos. En effet
les routeurs de Lyon ont comme passerelle par dfaut 10.0.1.253(RLY2) RL
Y2 a une route
indirecte
vers 10.128.0.0 qui passe par le routeur 10.1.3.253 (RFO1)
qui dessert directement le
rseau de Fos. La route de retour ne pose pas de problme. La premire ligne de la tab
le de routage
de RFO1 permet de retourner vers le rseau de Lyon Tant mieux puisque c est ce qu
e l on veut !
c) depuis une machine utilisateur de Lyon ver s Fos:
ping 10.128.1.254
vous obtenez le message " Impossible de joindr e l hte de destination" .
La communication est impossible entre une machine utilisateur de Lyon
et le rseau local de Fos.
La machine utilisateur ne possde pas de passerelle par dfaut. Cela dnote
l aussi une
configuration conforme aux exigences (structure hirarchique, les postes de Lyon no
nt pas besoin
de routeur pour accder aux serveurs de Lyon)).
117
d) depuis une machine de Bor deaux ver s Tar bes:
ping 10.130.1.254
vous obtenez le message " Rponse de 10.130.1.254 : octets=32 temps<10 ms ..." .
Les machines de Bordeaux peuvent atteindre le rseau local de Tarbes, c
e qui ne devrait pas tre
possible (voir routeurs RTA1, RBO1 et RTO1). Les machines de bordeaux
ont comme routeur
10.131.1.254 (RB01) . Celui-ci a une route par dfaut qui renvoie RT01 (10.1.6.254
). RT01 a une
route vers 10.130.0.0 via le routeur 10.1.5.253 (RTA1) . Les postes d
e Tarbes ont aussi une
passerelle par dfaut RTA1 qui dispose dune route de retour vers Bordeaux via la r
oute par dfaut
et le routeur RTO1.
Question 4. Proposer une solution pour empcher les machines de Bordeaux de commun
iquer avec
celles de Tarbes.
La configuration des routeurs RTA1 et RBO1 comporte une route par dfaut qui rend
accessible le
rseau de Bordeaux pour le rseau de Tarbes et retour. La solution la plus simple po
ur rpondre aux
exigences de scurit est de remplacer la ligne de la route 0.0.0.0 dans les routeur
s RTA1 et RBO1
par une route qui permet laccs au site de Lyon :
Pour RTA1 :
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.5.254 10.1.5.253
Et pour RBO1 :
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.6.254 10.1.6.253

Question 5. Proposer une solution pour rduire le nombre de lignes de


la table de routage du
routeur RLY2. Cette simplification ne doit pas modifier les rgles de routage actu
ellement en place.
Le routeur RLY2 connat la route de 4 rseaux dont les numros sont conscu
tifs (10.128.0.0
10.131.0.0). Cela correspond pour le deuxime octet aux valeurs binaires
10000000 10000011,
soit 6 bits communs.
Les 4 lignes concernant ces rseaux peuvent tre condenses en une seule.
Rseau Masque Routeur Inter face
10.128.0.0 255.252.0.0 10.1.3.253 10.1.3.254
Les masques 255.192.0.0 255.252.0.0 sont galement corrects.
Question 6. Indiquer quel service rseau doit tre activ sur les routeurs
pour que les postes des
diffrents sites puissent obtenir une configuration IP du serveur DHCP.
Le service Agent de relais DHCP doit tre activ pour relayer les requtes DHCP des
rseaux des
sites vers le serveur DHCP du site de Lyon.
118
Question 7. Dfinir, pour le site de Lyon uniquement, ltendue (plage d adresses IP)
qui est gre
par le serveur DHCP en prcisant les exclusions strictement ncessaires.
Solution 1
Exclusions tendue
10.0.1.1 10.0.1.4
10.0.1.253 10.0.1.254
10.0.0.1 10.0.255.254 masque 255.255.0.0
Solution 2
Exclusions tendue
10.0.0.1 10.0.1.0 masque 255.255.0.0
10.0.1.5 10.0.1.252 masque 255.255.0.0
10.0.1.255 10.0.255.254 masque 255.255.0.0
Question 8. Indiquer comment procder pour que le serveur dimpression obt
ienne toujours la
mme adresse IP de la part du serveur DHCP.
Au niveau du serveur DHCP, il faut procder une r ser vation, c est dire associer l
adresse MAC
de la carte rseau du serveur d impression l adresse IP souhaite.
Question 9. Expliquer la rgle de filtrage 4 et pourquoi le numro de p
ort de destination est
suprieur 1024.
Cette ligne concerne l accs depuis Internet au serveur proxy en rponse des requtes
inities par
le serveur proxy la demande des postes clients du rseau local, lesquels utilisent
forcment un port
suprieur 1024 (Registered Ports) car de 0 1023 il sagit des ports rse
rvs des processus
systme (Well Known Ports).
Les ports autoriss sont ceux qu utilise le proxy pour les accs Internet. On admett
ra les rponses
qui indiquent que le proxy ralisant une translation dadresses, les ports
utiliss sont suprieurs
1024.
Question 10. Expliquer la raison de l impossibilit de l utilisation du logiciel c
lient de messagerie et
proposer une solution ce problme en intervenant sur les rgles de filtrage.
L accs au serveur de messagerie depuis l extrieur est interdit pour un client de m
essagerie, car les
protocoles POP3 (port 110) et IMAP (port 143) ne sont pas expliciteme

nt autoriss et sont donc


bloqus par la rgle de filtrage par dfaut.
Pour l autoriser, il faudrait ajouter la rgle suivante :
N Adr esse sour ce Por t
sour ce
Adr esse
destination
Por t
destination
Pr otocole
tr anspor t
Action
6 Toutes Tous 201.10.1.11/32 110 ou 143 Tous Accepter
119
CDGJC J =
La socit AHOLA est une socit dont lactivit est centre sur la conception dquipements
vtements de surf. Elle emploie 74 personnes, chaque salari est quip dun o
rdinateur. Les
ordinateurs sont des machines de bureau. Toutes ces machines sont relie
s au rseau local de
lentreprise.
Le rseau de distribution est constitu dune centaine de concessionnaires i
mplants dans les
principaux pays europens et de vingt agents commerciaux. Chacun deux dispose dun or
dinateur
portable qui lui permet de se connecter distance pour transmettre les
commandes des clients et
pour obtenir une mise jour rgulire des catalogues de produits. Les com
merciaux viennent
rgulirement travailler dans les locaux de lentreprise.
Prenant conscience quil est temps de rorganiser totalement son rseau, l a
dministrateur dcide
dtudier les principes dune architecture Ethernet entirement commute et la m
ise en uvre de
rseaux locaux virtuels (VLAN).
Pour cela, il a fait lacquisition dun premier commutateur qu il a reli provisoireme
nt au rseau afin
de l tudier.
Sur ce commutateur, il a connect diffrents concentrateurs comme le montre l annexe
1.
Le commutateur mis en place peut grer les rseaux locaux virtuels (VLAN)
, comme lexplique
l annexe 3.
Pour tester son commutateur, l administrateur met en place provisoirement deux V
LAN de niveau 1
(VLAN par ports). Les concentrateurs 3, 4 et 5 sont respectivement connects au
port 3, 4 et 5 du
commutateur. L administrateur dclare un VLAN pour le port 3 et 4 et un autre VLAN
pour le port
5.
Avant cette manipulation, le poste de l administrateur communiquait avec l ensem
ble des serveurs et
accdait Internet sans problme.
partir de son poste, ladministrateur excute une commande qui vide son cache ARP pu
is excute
plusieurs commandes laide de lutilitaire ping.
1. Apr s la mise en place des VLAN, dir e quel ser a le message mis lissue de lexcuti
on des

commandes suivantes mises par le poste de l administr ateur :


- ping 192.168.1.2
- ping 192.168.1.5
- ping 195.26.36.2
Justifier les r ponses.
2. Dir e quel ser a le contenu du cache ARP du poste de ladministr ateur lissue
de ces tr ois
commandes. Utiliser lannexe 2 pour r pondr e cette question.
Aprs son test sur le commutateur, l administrateur est revenu la confi
guration sans VLAN
prsente en annexe 1.
Les adresses des machines du rseau 192.168.1.0, autres que les serveurs
et les routeurs, sont
attribues dynamiquement. Le serveur DHCP est paramtr pour distribuer des
adresses aux 74
machines de bureau. Mais il faut prvoir aussi des adresses supplmentaires pour les
commerciaux
qui peuvent avoir besoin de connexion rseaux dans les locaux du sige.
Pour des raisons de scurit, ladministrateur veut imprativement limiter la plage dadre
sses IP aux
seules adresses indispensables, il a dfini la configuration DHCP suivante :
Adr esse de dbut : 192.168.1.10
Adr esse de fin : 192.168.1.93
Masque de sous-r seau : 255.255.255.192
Dur e du bail : 30 jours 0 heure 0 minute
Mais le serveur DHCP refuse la valeur du masque de sous-rseau.
3. Expliquer la cause de cet chec et pr oposer un nouveau masque.
120
Aprs rectification, toutes les stations obtiennent maintenant une adresse
mais la configuration
DHCP n est pas complte.
4. Dfinir les par amtr es DHCP per mettant aux stations de se connecter
Inter net et de
r soudr e les noms d hte inter net.
On estime quau plus 10 commerciaux par semaine peuvent tre amens se co
nnecter
simultanment au sige de la socit. Ils branchent leur portable sur les pr
ises RJ45 disponibles
dans les bureaux et restent au maximum 3 jours sur le site.
La premire semaine suivant la mise en place de la configuration DHCP,
5 commerciaux se sont
connects sans problme.
La deuxime semaine, 3 autres commerciaux se sont connects.
La troisime semaine, 6 commerciaux ont tent de se connecter mais certains ont chou.
5. Expliquer la cause de cet chec et pr oposer une solution.
Le choix des adresses rseau 192.168.1.0 et 192.168.2.0 pour le rseau dAH
OLA a amen
ladministrateur installer le service NAT (service de translation dadresse
s IP) sur le routeur
192.168.1.254.
6. Justifier la ncessit du ser vice NAT.
Le serveur du fournisseur daccs Internet (FAI), poste 200.12.200.12, est utilis com
me serveur
mandataire (proxy) et serveur de messagerie. Il a t paramtr pour livrer des messages
(protocole
POP sur le port 110) et envoyer des messages (protocole SMTP sur le port 25).
Tous les salaris de lentreprise (y compris ceux du dpt de Benesse-Maremne
) sont autoriss
utiliser le protocole HTTP (port 80) pour consulter les sites web disponibles su
r le Net.

Le tableau suivant donne le filtre mis en uvre par ladministrateur sur


le routeur pour que les
serveurs web extrieurs l entreprise puissent rpondre :
N r gle
Inter face
dar r ive
Action Sour ce
Por t
sour ce
Destination
Por t
destination
1 195.26.36.2 accepte * * 192.168.1.0 >1024
2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.0 > 1024
3 192.168.1.254 accepte * * 200.12.200.12 80
4 192.168.2.254 accepte * * * 80
Le filtre s applique aprs les oprations de translation d adresses sur les adresses
relles et non sur
les adresses substitues.
La pr emir e r gle (r gle n 1) sinter pr te ainsi :
Sur linterface darrive 195.26.36.2, quelle que soient ladresse IP source e
t le numro de port
source du paquet, on accepte tous les paquets destination du rseau 192.168.1.0 et
dun numro de
port suprieur 1024.
La deuxime r gle (r gle n 2) sinter pr te ainsi :
Sur linterface darrive 195.26.36.2, on accepte les paquets dont ladresse I
P source est
200.12.200.12, le port source 80 destination du rseau 192.168.2.0 et d
un numro de port
suprieur 1024.
Les r gles gnr ales de filtr age sont les suivantes :
- Pour chaque paquet qui transite par le routeur, les rgles sont parcourues de la
rgle 1 la rgle
4.
- Ds quune rgle sapplique, on arrte le parcours des rgles.
- Tout ce qui nest pas autoris est interdit.
121
7.a. Dir e en quoi les r gles 1 et 2 expr iment un fonctionnement diffr ent en ter
mes de scur it
et pr ciser quelle est la plus sr e.
7.b. Dir e en quoi les r gles 3 et 4 expr iment un fonctionnement diffr ent en ter
mes de scur it
et pr ciser quelle est la plus sr e.
8. En r espectant le for malisme pr opos ci-dessus, r diger la ou les r gles qui p
er mettent tous
les salar is de l entr epr ise (dpt de Benesse-Mar emne compr is) d envoy
er des messages
lectr oniques (on ne tiendr a pas compte des flux DNS et des flux POP ou IMAP).
122
Annexe 1 : Schma du r seau
123
Annexe 2 :Tableau de cor r espondance adr esses IP adr esses MAC
Adr esses IP Adr esses MAC
192.168.1.2 00-02-3f-23-9C-02
192.168.1.3 00-02-3f-23-3f-03
192.168.1.4 00-02-3f-23-40-04
192.168.1.5 00-02-3f-3a-80-05
192.168.1.8 00-02-3f-10-7d-08
192.168.1.254 00-02-3f-01-02-54

192.168.2.254 00-0b-cd-02-02-54
195.26.36.2 00-0b-cd-00-36-02
200.12.200.12 00-06-1b-02-00-12
Annexe 3 : Pr incipe de fonctionnement des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes
faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est
affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,

donc chaque port du commutateur se voit affect dynamiquement un VLAN


en fonction de
ladresse MAC mettrice contenue dans une trame en entre sur ce port.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte
un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affect dynami
quement
un VLAN en fonction de ladresse IP contenue dans le paquet transport d
ans la trame en
entre.
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur
pouvant grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocol
e 802.1q ; ils
changent ces trames via des ports dinterconnexion.
On considre quun port de commutateur ne sera associ qu un seul VLAN ( le
ception des
ports dinterconnexion).
124
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Aprs la mise en place des VLAN, dire quel sera le messag
e mis lissue de
lexcution des commandes suivantes mises par le poste de l administrateur :
- ping 192.168.1.2
- ping 192.168.1.5
- ping 195.26.36.2
Justifier les rponses.
Chaque ping sera prcd d une requte ARP qui rsoudra l adresse IP en adress
e MAC. Une
requte ARP est transmise par une trame de diffusion. Chaque VLAN const
itue un domaine de
diffusion.
La commande "ping 192.168.1.2" aura des rponses "reply" car la requte d
e diffusion ARP
parvient au poste 192.168.1.5 et l change ICMP echo/reply peut donc se
faire. 192.168.1.2 fait
partie du mme VLAN que le poste de l administrateur.
La rponse la commande "ping 192.168.1.5" sera "dlai d attente dpass" car
la requte de
diffusion ARP ne parvient pas au poste 192.168.1.5 qui ne fait pas p
artie du mme VLAN que le
poste de l administrateur.
La rponse la commande "ping 195.26.36.2" aura des rponses "reply" car la requte de

diffusion
ARP parvient au routeur 192.168.1.254 qui fait partie du mme VLAN que le poste de

l administrateur
Question 2. Dire quel sera le contenu du cache ARP du poste de ladministrateur lis
sue de ces
trois commandes. Utiliser lannexe 2 pour rpondre cette question.
On trouvera dans le cache ARP les associations suivantes :
00-02-3f-23-9c-02
192.168.1.2
00-02-3f-01-02-54
192.168.1.254 // correspondant au ping 195.26.36.2 qu
i provoque le
renvoi de ladresse MAC du routeur
00-02-3f-3a-80-05
192.168.1.5 // cette association ne doit pas se tro
uver dans le cache
ARP
Question 3. Expliquer la cause de cet chec et proposer un nouveau masque.
Le masque ne permet pas de grer les 84 adresses que prtend offrir la
plage dadressage (6 bits
dans la partie host 64 2 = 62 adresses hosts). Il faut changer le
masque. Les deux masques
permettant de grer au moins 84 adresses sont 255.255.255.0 et 255.255.255.128. Co
mme le routeur
a pour adresse 192.168.1.254, et que ladresse du rseau est 192.168.1.0
seul le masque
255.255.255.0 est acceptable.
Question 4. Dfinir les paramtres DHCP permettant aux stations de se connecter Inte
rnet et de
rsoudre les noms d hte internet.
Il faut renvoyer l adresse 192.168.1.254 pour le routeur et 200.12.200.12 comme
adresse de serveur
DNS.
Question 5. Expliquer la cause de cet chec et proposer une solution.
La plage dadresses disponibles pour DHCP propose 84 adresses ; 74 postes de trava
il utilisent en
permanence une adresse dynamique. La premire semaine, 5 commerciaux pour
ront donc se
connecter au rseau du sige sans soucis, la deuxime semaine trois autres.
En revanche, la
troisime semaine, seuls 2 des 6 commerciaux russiront se connecter. En effet, comm
e le bail est
de trente jours, les adresses n ont pas t libres.
Il faut diminuer la dure du bail pour que les adresses soient libres (
attention car le
renouvellement se fait avant l expiration).
125
Question 6. Justifier la ncessit du service NAT.
Pour assurer la scurit de son rseau, loprateur lui a conseill dopter pour des adresses
de rseau
priv. Ces adresses ne sont pas routables sur Internet. Il faut donc substituer, d
ans tous les paquets
IP, ces adresses par des adresses routables. C est ce que fait le service NAT su
r le routeur. Ce
service prend une adresse IP dans une plage d adresses sur son rseau (195.26.36.0
), ces adresses
sont obligatoirement des adresses publiques.
Question 7.a. Dire en quoi les rgles 1 et 2 expriment un fonctionneme
nt diffrent en termes de
scurit et prciser quelle est la plus sre.
Question 7.b. Dire en quoi les rgles 3 et 4 expriment un fonctionneme
nt diffrent en termes de

scurit et prciser quelle est la plus sre.


En autorisant l adressage des ports suprieurs 1024, la premire rgle auto
rise des flux autres
quen provenance de HTTP. La deuxime rgle autorise des changes avec le proxy sur le p
ort 80
uniquement. La deuxime rgle est donc plus sre que la premire.
La quatrime rgle autorise des changes HTTP qui ne passent pas par le proxy. La troi
sime rgle
est donc plus sre.
Question 8. En respectant le formalisme propos ci-dessus, rdiger la ou les rgles qu
i permettent
tous les salaris de l entreprise (dpt de Benesse-Maremne compris) d envoy
er des messages
lectroniques (on ne tiendra pas compte des flux DNS et des flux POP ou IMAP).
N
rgle
Interface
darrive
Action Source Port source Destination Port destination
1 195.26.36.2 accepte * * 192.168.1.0 >1024
2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.1
3 192.168.1.254 accepte
* 200.12.200.12 80
4 192.168.2.254 accepte
*
80
5 195.26.36.2 accepte 200.12.200.12 25 192.168.0.0/16 >1024
6 192.168.1.254 accepte 192.168.1.0/24 * 200.12.200.12 25
7 192.168.2.254 accepte 192.168.2.0/24 * 200.12.200.12 25
La notation employe sur les rgles 5 est optimise avec un supernetting,
ce nest pas bien sr la
notation exige. Cette ligne peut tre dcompose en deux lignes prenant en
compte les rseaux
192.168.1.0 et 192.168.2.0.
126
CDGJC J ==

Le groupe polymousse est spcialis dans la fabrication et la transformati


on de mousse de
polyurthanne.
Employant quelque 3 000 collaborateurs, le groupe polymousse est princip
alement prsent sur le
march franais mais il a rcemment rachet dans diffrents pays plusieurs socit
qui sont
devenues des succursales.
La rpartition de leffectif des collaborateurs du groupe est dsormais la suivante :
- France : 1 500
- Espagne :
800
- Allemagne :
400
- Belgique :
300
Cette volution majeure ncessite de raliser lintgration des diffrents systmes
dinformation
prsents au sein du groupe. Le systme dinformation (SI) ainsi obtenu doit garantir l
a disponibilit
des applications informatiques dans lensemble du groupe.
Aprs lacquisition des diffrentes succursales, le groupe polymousse est org
anis en quatre
divisions : France, Espagne, Allemagne et Belgique.
Chaque division regroupe plusieurs succursales :
- lEspagne compte trois succursales,
- lAllemagne huit succursales,
- la Belgique quatre succursales,
- la France comporte une succursale qui hberge les applications du groupe.

Dans un premier temps, les administrateurs du groupe dsirent harmoniser le plan da


dressage pour
lensemble des divisions. Lorganisation du rseau et le plan dadressage rete
nu pour le groupe
polymousse sont dcrits en annexe 1.
Pour optimiser les tables de routage, on utilise un plan dadressage dans lequel
chaque division se
voit attribuer un sous-rseau dans le rseau dadresse 10.0.0.0, quelle subdivise son t
our en sousrseaux pour ses succursales.
La division Espagne doit regrouper terme jusqu 11 succursales rparties s
ur lensemble du
territoire de ce pays.
1. Expliquer quelle classe cor r espond ladr esse 10.0.0.0 et donner le masque
de sous-r seau
par dfaut cor r espondant cette classe.
2. Calculer le nombr e maximum de divisions que le plan dadr essage per met de df
inir .
3. Donner le masque de sous-r seau qui per met dadr esser les 11 sous-r seaux des
succur sales
de la division Espagne. Justifier la r ponse.
4. Indiquer les adr esses IP des sous-r seaux accessibles, en utilisant
la pr emir e ligne de la
table de r outage du r outeur nomm R.Belgique, pr sente sur lannexe 1.
Expliquer la
r ponse.
5. Donner les lignes de la table de r outage du r outeur nomm R.Cent
r al qui donne accs
lensemble des divisions du gr oupe dans tous les pays.
Aprs la mise en uvre du plan dadressage global au sein du groupe, il
savre ncessaire de
mettre en place un service priv de rsolution de nom DNS. Larchitecture
DNS prsente en
annexe 2, doit permettre de nommer les diffrents serveurs du groupe qu
i sont rpartis sur
lensemble des Divisions.
Le domaine appel polynet
constitue la racine du
domaine priv du gro
upe. Chaque division
gre son propre sous domaine et porte lextension du pays. Ainsi la Belg
ique disposera du sous
domaine be.polynet
127
6. Expliquer le pr incipe et lintr t de la dlgation de zone dans le systme de r sol
tion de
nom DNS.
7. Donner ladr esse IP et le nom du ser veur DNS sur lequel doit t
r e dfini le nom dhte
sap.be.polynet. Expliquer ce choix.
8. Pr oposer une solution per mettant damlior er la
tolr ance aux pann
es du ser vice DNS
dune division.
Ladministrateur du rseau de la division France dsire limiter les flux de diffusion
aux services. Le
commutateur install permet de mettre en place une configuration base sur
les VLAN, dont le
principe et les niveaux sont prsents en annexe 3.
Dans un premier te
mps, ladministrateur ne
prend pas en compte les problmes lis ladressage IP. Il se demande si cette opration
peut tre
ralise immdiatement en conservant les concentrateurs existants.

9. Donner le nombr e de domaines de collision et le nombr e de domaines de diff


usion pr sents
dans le r seau de la division Fr ance avant la mise en place des VLAN. Justifier
la r ponse.
10. Expliquer sil est possible disoler les flux des ser vices en cons
er vant les concentr ateur s
existants.
Dans ltude mene pour linterconnexion des rseaux des diffrentes divisions, il a t dci
chaque division grerait son propre accs Internet.
Dans un premier temps on sintresse la gestion de laccs Internet du sige. Les administ
rateurs
ont mis en place larchitecture reprsente en annexe 4. Celle-ci est constitue dun rout
eur filtrant
(nomm RF) et dun serveur mandataire (nomm proxy) pour le service HTTP.
Ce serveur
mandataire analyse les URL demandes pour ne retenir que celles qui ne
comportent pas certains
mots et qui nappartiennent pas une liste rgulirement mise jour. Le routeur filtrant
ne gre pas
automatiquement les flux de retour.
Lensemble du personnel lexception du poste de ladministrateur doit accder
lInternet en
utilisant le serveur mandataire.
Rgles de filtrage dfinies actuellement sur le routeur filtrant RF (interface S0)
rgle direction IP source
Port
source
IP
destination
Port
destination
Action
1 Sortie 10.1.0.50 /
32
Tous Tous Tous Router
2 Entre Tous Tous 10.1.0.50 /3
2
Tous Router
3 Sortie Tous Tous Tous Tous Bloquer
4 Entre Tous Tous Tous Tous Bloquer
11. Compar er la natur e des actions de filtr age que peuvent r aliser
le r outeur filtr ant RF
dune par t et le ser veur mandatair e dautr e par t, en pr enant appui sur le mo
dle OSI.
12. Expliquer le r le et lor donnancement des r gles de filtr age dfinies sur le r
outeur RF.
13. Insr er cor r ectement des nouvelles r gles dans la table de filtr
age de RF de faon
per mettr e au ser veur mandatair e de communiquer sur le web, sans
tenir compte des flux
DNS.
14. Indiquer la configur ation r equise sur les postes clients du sig
e pour leur per mettr e
daccder Inter net avec le pr otocole HTTP.
128
Linfrastructure rseau du groupe polymousse permettant de relier lensemble des divis
ions au sige
est actuellement construite sur des liaisons internationales loues haut dbit. Tout
es les garanties
de scurit exiges par le groupe sont prises en charge par cette infrastructure, mais

lextension du
groupe devrait augmenter considrablement les cots de location des liaisons.
La solution envisage prvoit lexploitation du rseau public Internet avec un
e mise en uvre de
Rseaux Privs Virtuels (RPV, ou Virtual Private Network, ou VPN).
Dans un premier temps, une solution RPV va tre teste entre les divisions France e
t Belgique qui
disposent de routeurs implmentant les fonctions de RPV.
15. Dcr ir e les diffr entes gar anties quoffr ent les mcanismes de signatur e et de
chiffr ement.
16. Indiquer les cls ncessair es dans chacune des divisions en pr cisant leur r le
.
129
Annexe 1 : ar chitectur e du r seau du gr oupe POLYMOUSSE
Routeur
Routeur R.Allemagne
Routeur R.Belgique
WAN Belgique
Routeur R1
Routeur R10 Routeur R11 Routeur R12
Division ALLEMAGNE 10.30.0.0 /16
Division ESPAGNE 10.20.0.0 /16
Division BELGIQUE 10.10.0.0 /16
Succursale S2
Succursale S3 Succursale S4
Succursale S1
Rseau
10.10.17.0/24
Rseau
10.10.20.0/24
Rseau
10.10.18.0/24
Classe d adresse 10.0.0.0 pour le groupe Polymousse
Rseau 10.10.32.0 /20
195.0.0.1
195.0.0.13
195.0.0.12
195.0.0.11 10.10.32.254
10.10.32.253
Rseau WAN Europe
Le rseau du groupe forme une structure arborescente dans
laquelle chaque division est connecte au site central par un
routeur division ddi.
Au sein de chaque division les succursales sont connectes
un site central qui est lui mme une succursale.
Division FRANCE
10.1.0.0 /16
Sige
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tudes
Service Ventes
Service Comptabilit
Rseau10.1.0.0/16
Routeur R.Espagne
Internet
Compose de 8

succursales
Compose de 11
succursales
10.10.32.252
concentrateur
concentrateur
10.1.0.254
Extrait de la table de routage du routeur R. Belgique
ligne Adresse rseau Passerelle Interface
1
10.10.16.0/20 10.10.32.253 10.10.32.254
2 10.10.32.0/20 10.10.32.254 10.10.32.254

n dfaut 10.10.32.252 10.10.32.254
130
Annexe 2 : or ganisation DNS du gr oupe
Liste des ser veur s DNS :
Annexe 3 : pr sentation des r seaux locaux vir tuels
Les rseaux locaux virtuels (VLAN) permettent de crer
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et
ffuse
que sur les ports du commutateur associs ce Vlan. Il existe
er des ports
un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du
affect un VLAN,
donc chaque carte rseau est affecte un VLAN en fonction de
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC

des domaines de di
cette trame ne peut tre di
diffrentes faons dassoci
commutateur est
son port de connexion.
est affecte un VLAN,

donc chaque port du commutateur se voit affecter dynamiquement un VLA


N en fonction de
ladresse MAC de la carte rseau qui y est connecte.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte
un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affecter dyn
amiquement
un VLAN en fonction de ladresse IP de la carte rseau qui y est connecte
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur
peut grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocol
e 802.1q, ils
changent ces trames via des ports dinterconnexion.
En pratique, un port de commutateur ne sera associ qu un seul VLAN ( le
xception des ports
dinterconnexion).
pays Zone fonction Nom du serveur adresse IP
Belgique
be.polynet Primaire dns.be. polynet 10.10.32.2
Allemagne
de. polynet Primaire dns.de. polynet 10. 30.32.2
Espagne
es. polynet Primaire dns.es. polynet 10. 20.32.2
France
fr. polynet Primaire dns.fr. polynet 10.1.0.2
France
polynet Primaire Racine.polynet 10.1.0.1
Polynet

fr be
de es
Dlgation
Domaine polynet
131
Annexe 4 : ar chitectur e du r seau pour laccs lInter net

Internet
Routeur R.Central
Modem
d accs internet
Routeur Filtrant RF
10.1.0.253
postes clients
S0
Serveur mandataire
HTTP
10.1.0.100
Serveurs Privs
Administrateur
10.1.0.50
132
.... .... . .. .... .... . .. .... .... . .. .... .... . ..
Question 1. Expliquer quelle classe correspond ladresse 10.0.0.0 et don
ner le masque de sousrseau par dfaut correspondant cette classe.
- Ladresse 10.0.0.0 est comprise entre 1.0.0.0 et 127.0.0.0, elle correspond donc
une classe A.
- Le masque de sous-rseau associ une classe A est 255.0.0.0.
Question 2. Calculer le nombre maximum de divisions que le plan dadressage permet
de dfinir.
- Le plan dadressage prvoit 16 bits pour le masque de sous rseau des divisions, soi
t 8 bits (16
8) pour la partie sous rseau. Ce qui permet dadresser 256 (2
8
) sous-rseaux.
Question 3. Donner le masque de sous rseau qui permet dadresser les 11
sous rseaux des
succursales de la division Espagne.
- Pour adresser un minimum de 11 sous-rseaux, il faut au minimum prlev
er 4 bits sur la partie
hte. On dispose alors de 16 (2
4
) sous-rseaux.
- Pour les divisions, le masque est dj sur 16 bits, pour les succursa
les de lEspagne, le masque

sera donc sur 20 bits (16 + 4). Soit 255.255.240.0


Question 4. Indiquer les adresses IP des sous-rseaux accessibles, en utilisant la
premire ligne de
la table de routage du routeur nomm R.Belgique, prsente sur lannexe 1. Expliquer la
rponse.
- La premire ligne de la table de routage fait rfrence un masque de
20 bits donc toutes les
adresses disposant des mmes 20 premiers bits seront routes :
Soit les succursales
S2 : 00001010.00001010.00010001.0
soit 10.10.17.0
S3 : 00001010.00001010.00010010.0
soit 10.10.18.0
S4 : 00001010.00001010.00010100.0
soit 10.10.20.0
Question 5. Donner les lignes de la table de routage du routeur nomm R.Central qu
i donne accs
lensemble des divisions du groupe dans tous les pays.
Table de routage du routeur R.Centr al
Adr esse r seau Passer elle Inter face
10.1.0.0 /16 10.1.0.254 10.1.0.254
10.30.0.0 /16 195.0.0.13 195.0.0.1
10.20.0.0 /16 195.0.0.12 195.0.0.1
10.10.0.0 /16 195.0.0.11 195.0.0.1
Question 6. Expliquer le principe et lintrt de la dlgation de zone dans le systme de r
olution
de nom DNS.
- Permet de diviser lespace de noms et de dlguer la gestion dune partie de lespace de
nom DNS
chaque Division. Lextension de lespace de noms sera ainsi simplifie et sous la resp
onsabilit de
chaque Division. La modification dun nom dhte sera ralise par la division
qui gre la zone
concerne.
Question 7. Donner ladresse IP du serveur DNS sur lequel doit tre dfini
le nom dhte,
SAP.be.polynet. Expliquez ce choix.
- Le nom dhte sap.be.polynet est situ dans le sous-domaine be.polynet. Le serveur p
rimaire qui
gre cette zone est situ en Belgique. Il a pour adresse IP 10.10.32.2 et pour nom d
ns.be.polynet.
133
Question 8. Proposer une solution permettant damliorer la tolrance aux pannes du se
rvice DNS
dune division.
- Un serveur DNS supplmentaire peut tre rajout au niveau de chaque succursale perme
ttant ainsi
doffrir une redondance de zone. Les informations de zone seront rpliques sur chacun
deux.
- Une autre solution consiste utiliser le serveur racine (parent) de la zone Pol
ynet pour rpliquer
lensemble des zones.
Question 9. Donner le nombre de domaines de collision et le nombre d
e domaines de diffusion
prsents dans le rseau de la division France avant la mise en place des VLAN. Justi
fier la rponse.
Un domaine de diffusion (broadcast domain) est une aire logique dun rse
au informatique o
nimporte quel ordinateur connect au rseau peut directement transmettre tous les aut
res.
Un domaine de collision est une zone logique dun rseau informatique o les trames d
e donnes
peuvent entrer en collision entre elles. Dans le cas du rseau Ethernet

, le domaine de collision
comprend lensemble des segments connects par des concentrateurs ou rpteurs.
Il y a 3 (ou 4) domaines de collision et 1 domaine de diffusion, le segment ent
re le routeur et le
commutateur peut-tre considr comme un domaine de collision.
- Soit le schma suivant.
Division FRANCE
Succursale Centrale
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tude
Service Vente
Service Comptabilit
Domaine de diffusion
Domaine de collision
Question 10. Expliquer sil est possible disoler les flux des services e
n conservant les
concentrateurs existants.
Pour isoler les trois services, il est donc ncessaire de crer trois VLAN.
Tous les postes dun service doivent appartenir au mme VLAN pour communiquer ensemb
le. Ces
postent sont relis par des concentrateurs connects sur un port du commutateur. Ce
s ports doivent
donc tre affects un VLAN.
Il est donc possible de conserver les concentrateurs existants. La sol
ution est de configurer des
VLAN de niveau 1 sur le commutateur existant en affectant le numro de Vlan du se
rvice au port
connect au concentrateur du service. Mais le fait de conserver les concentrateurs
impose que tous
les postes appartiennent au mme VLAN.
134
Remar que : le port connect vers le routeur Central peut tre affect au
mme VLAN que celui
correspondant au service comportant les serveurs accessibles depuis les autres D
ivisions.
Les VLAN de niveau 2 : ncessitent dans cette configuration de saisir toutes les a
dresses MAC des
postes pour les affecter un VLAN, mais dans cette configuration (avec
concentrateur), cest
inutile. Un port appartient un seul Vlan (non 802.1q), donc toutes l
es adresses appartiennent au
VLAN correspondant au port connect au concentrateur.
Les VLAN de niveau 3 : laffectation des vlan dpend de ladresse Ip dun rseau. Mme remar
que
que pour le niveau 2 avec les concentrateurs.
La question demande de ne pas prendre en compte les problmes lis ladressage Ip. En
effet, si la
communication inter-VLAN est autorise, il faut passer par la mise en place dun rou
teur (avec une
interface sur chaque VLAN) et donc des adresses rseaux diffrentes pour chaque VLAN
.
Question 11. Comparer la nature des actions de filtrage que peuvent raliser le ro
uteur filtrant RF
dune part et le serveur mandataire dautre part, en prenant appui sur le modle OSI.
Le routeur filtrant agit aux niveaux 3 et 4 du modle OSI. Les filtre
s sont bass sur lanalyse des

adresses IP source et destination et les ports de protocole. Il nest


capable ni de comprendre le
contexte du service quil rend, ni didentifier le demandeur du service.
Le serveur mandataire agit au niveau application du modle OSI. Le filtrage se sit
ue donc au niveau
applicatif. Les rgles de filtrage peuvent tre plus labores (discriminantes)
et faire rfrence
lidentit de lutilisateur ou la nature du service fourni.
Question 12. Expliquer le rle et lordonnancement des rgles de filtrage dfinies sur R
F.
Les rgles 1 et 2 permettent au poste de ladministrateur dadresse IP 10.1.0.50 daccder
tous les
services disponibles sur Internet.
La rgle 3 bloque en sortie tout autre trafic de faon ce quil faille
passer par le serveur
mandataire (proxy) pour accder Internet.
La rgle 4 bloque en entre tout autre trafic provenant dInternet.
Les rgles 1 et 2 sont places avant les rgles 3 et 4 qui bloquent tout le trafic
Question 13. Insrer correctement des nouvelles rgles dans la table de filtrage d
e RF de faon
permettre au serveur mandataire de communiquer sur le web, sans tenir compte des
flux DNS.
Rgl
e
direction IP source Port source IP destination
Port
destination
Action
1 Sortie 10.1.0.50 /32 Tous Tous Tous Router
2 Entre Tous Tous 10.1.0.50 /32 Tous Router
3 Sor tie 10.1.0.100 /3
2
Tous Tous 80 / HTTP Router
4 Entr e Tous 80 / HTTP 10.1.0.100 /32 Tous Router
5 Sortie Tous Tous Tous Tous Bloquer
6 Entre Tous Tous Tous Tous Bloquer
Question 14. Indiquer la configuration requise sur les postes clients
du sige pour leur permettre
daccder Internet avec les protocoles HTTP.
Il convient dindiquer au niveau des applications, voire au niveau du systme dexploi
tation, que les
accs se font via un serveur mandataire (pr oxy) dont on indiquera ladresse IP ou l
e nom.
135
Question 15. Dcrire les diffrentes garanties quoffrent les mcanismes de si
gnature et de
chiffrement.
Les mcanismes de signature et de chiffrement permettent dassurer les fonctions de
confidentialit,
dauthentification, de non-rpudiation et dintgrit.
Le chiffrement assure la confidentialit : linformation change entre deux en
tits du
rseau, ne doit pas tre intelligible pour une tierce personne qui serait
lcoute ou
rcuprerait le message.
Laction de signer assure authentification et imputabilit (non-rpudiation).
o Lauthentification (ou identification) permet de prouver que la provenan
ce de
linformation est bien celle quelle dit tre.
o La non-rpudiation (ou non-dsaveu) concerne la validit juridique des

signatures. metteur et rcepteur ne pourront nier lmission et la rception d


e
lobjet.
Le chiffrement assure lintgrit : le destinataire est assur que linformation
qui lui
parvient est bien linformation qui a t transmise.
Question 16. Indiquer les cls ncessaires dans chacune des divisions en prcisant leu
r rle.
Lors dun change entre la succursale S1 et le sige, S1 utilisera la cl publique du de
stinataire (le
sige) pour chiffrer le message. Puis le sige utilisera rception sa cl prive pour dch
ffrer. En
outre S1 peut utiliser sa propre cl prive pour signer son envoi et ga
rantir ainsi lauthentification
du message. Toute transmission linitiative du sige gnrera un processus inverse quant
la mise
en uvre des cls.(chiffrage avec la cl publique de S1 qui dchiffrera avec sa propre c
l prive, le
sige utilisant ventuellement sa cl prive pour signer son envoi).
136
CDGJC J ==
Le Conseil Gnral rassemble 43 lus. Il emploie environ 1 500 personnes d
ont 19 au service
informatique, bas la cit administrative.
Linfrastructure rseau se compose principalement dune vingtaine de serveurs
et environ dun
millier de postes de travail rpartis sur plusieurs sites.
Le rseau dispose
-dune zone dmilitarise (DMZ) publique comportant :
un serveur DNS matre pour la zone cg96.fr, le serveur secondaire (esclave) tant hbe
rg par le
fournisseur daccs ;
un serveur relais de messagerie/anti-virus de messagerie ;
un serveur web public (www.cg96.fr).
-d un rseau priv o sont situs :
des serveurs dinfrastructure (DNS, DHCP, WWW, messagerie SMTP et POP3,
annuaires
dauthentification, serveurs de fichiers et dimpression, SGBD) ;
des serveurs applicatifs ;
les postes de travail.
Lorganisation logique TCP/IP est base sur le domaine Internet cg96.fr .
Ladressage est effectu
par des serveurs DHCP.
Ladministratrice du rseau, Mme Simonet, veut mettre en place une infrast
ructure Wifi dans la
salle du Conseil pour que les lus et les visiteurs, essentiellement des journalis
tes, puissent accder
Internet depuis leur ordinateur portable lors des sessions du Conseil gnral.
Pour cela, elle dispose dun point daccs Wifi qui propose deux SSID (ide
ntifiant de rseau
physique) associs chacun un VLAN par le commutateur Wifi, ce qui perm
et la sparation
complte des rseaux.
Le premier SSID nest pas diffus sur le rseau. Il est paramtr sur les portables des lus
du CG96.
Ce SSID a t configur par le service informatique pour n autoriser que certaines adr
esses MAC.
Le second SSID est diffus sur le rseau. Il ne dispose daucune scurit particulire et pe
rmet une

connexion implicite pour un poste de travail configur de manire standard


. Les postes de travail
utilisant ce SSID accderont Internet au moyen dun accs ADSL classique.
Les adresses MAC
des portables des lus sont interdites sur ce SSID.
Ladressage sera effectu par deux serveurs DHCP (un pour chaque VLAN).
Le point daccs est reli un commutateur qui gre des VLAN. Selon la configuration dun p
oste
de travail portable, celui-ci se connectera sur le VLAN 1 (lus) ou sur le VLAN 2
(Visiteurs).
1. Dir e pour quoi les por tables des visiteur s qui se connectent sur le secon
d SSID obtiendr ont
obligatoir ement une adr esse IP donne par le ser veur DHCP 192.168.1.
33 et non par le
ser veur DHCP 172.16.108.2. Justifier la r ponse en vous appuyant sur le pr ot
ocole DHCP et
les VLAN.
Pour le rseau VLAN2 (Visiteurs), Mme Simonet souhaite mettre en oeuvre un plan dad
ressage IP
limitant 13 le nombre dadresses htes utilisables dans le rseau. Le serv
eur DHCP d adresse
192.168.1.33 fera aussi office de routeur NAT.
2. Donner en la justifiant la valeur du masque de sous-r seau en no
tation classique et en
notation CIDR.
3. Donner la plage dadr esses utilisables par le ser veur DHCP ainsi
que les diffr ents
par amtr es TCP/IP ncessair es au fonctionnement des postes de tr avail d
u r seau VLAN2
(Visiteur s).
137
Aprs avoir paramtr le serveur DHCP du VLAN 1 (lus), Mme Simonet teste la connexion a
vec
la cit administrative au moyen de commandes ping depuis un portable d lu disposant
de ladresse
172.16.108.10 et dont la passerelle par dfaut est 172.16.108.1. Les liaisons sont
oprationnelles et
les postes et routeurs sont actifs. Elle excute les deux commandes suivantes.
ping 172.16.4.10
Rponse de 172.16.108.1 : impossible de joindr e l hte de destination
le message sous Linux ser ait : Networ k Unr eachable)
ping 192.168.8.1
Dlai d attente de la demande dpass (le message sous Linux ser ait : De
stination Host
Unr eachable)
En analysant les tables de r outage de l annexe 2 :
4. Justifier les r ponses obtenues aux deux commandes.
5. Pr ciser quelles modifications sur les tables de r outage Mme Simonet doit f
air e pour que la
communication entr e la salle du Conseil et la cit administr ative fonctionne.
Mme Simonet doit installer un nouveau serveur dapplication architecture
3-tiers (serveur web,
couche applicative et base de donnes relationnelle). Elle a command un
serveur performant
nomm
SRV-IM. Mais le fournisseur vient de la prvenir que la livraison sera
retarde de trois semaines.
Or, elle doit imprativement mettre ce serveur en production ds la semai
ne prochaine. En
attendant, elle va donc installer le serveur sur une machine un peu ancienne nom

m SRV-FIC.
L application sera accessible sur SRV-FIC au moyen de lURL suivante :
http://intr a-mar che.cg96.fr
Elle prparera ensuite SRV-IM, installera les outils et les applicatifs,
rinstallera le contenu de la
base de donnes, puis testera la nouvelle configuration. Les deux machin
es, SRV-FIC et SRV-IM
devront donc fonctionner simultanment sur le rseau. Lorsque les tests se
ront concluants, elle
lancera le basculement sans que cela modifie l URL en mettant jour le fichier de
la zone cg96.fr .
6. Dir e quelle modification doit tr e effectue sur le fichier de zon
e cg96.fr du ser veur
Richelieu pour fair e le basculement.
Mme Simonet dcide d installer un serveur DNS secondaire (Milady) pour le domaine
cg96.fr .
7. Dir e quel intr t pr sente la mise en place dun ser veur DNS secondair e (esclav
e).
A lissue des tests, le serveur secondaire est oprationnel pour la rsolut
ion de noms sur la zone
cg96.fr . Les postes de travail de la cit administrative sont configurs pour utili
ser le serveur DNS
Milady en premier et le serveur DNS Richelieu en deuxime. Aprs linstalla
tion dun nouveau
serveur applicatif (g-equip), Mme Simonet ajoute manuellement un enregis
trement Adresse (ou
Hte) dans le fichier de zone cg96.fr du serveur matre (Richelieu), mai
s oublie d incrmenter le
numro de version.
Pour tester le nouvel hte, elle lance partir d un poste de travail d
e la cit administrative la
commande suivante : ping g-equip.cg96.fr
8. Donner et justifier la r ponse cette commande en vous appuyant sur les fic
hier s de zone
de l annexe 3.
138
Le pare-feu externe est paramtr pour filtrer les flux en provenance d Internet :
Extrait de la table de filtrage du pare-feu externe cot Internet
Remarques : les rgles sont appliques dans l ordre. "> 1024" signifie tous les port
s suprieurs
1024. Une toile (*) signifie "tout". "SO" signifie sans objet, c est dire que le
paramtre n a pas
d intrt dans ce cas. L tat TCP tabli correspond une connexion TCP en cours.
Le serveur DNS Athos ayant t victime d attaques sur le port SSH, Mme Simonet a tro
is objectifs :
viter momentanment toute connexion SSH ;
continuer autoriser l accs au DNS, au relais de messagerie et au serveur WWW de l
a DMZ ;
continuer permettre la navigation sur Internet des postes du rseau interne.
Pour cela elle envisage la solution suivante :
Supprimer les rgles 9, 10, 11, 12, 13 et 14, puis n autoriser dans u
n premier temps en entre du
pare-feu externe ( partir d Internet) que les requtes TCP tablies (c est
dire postrieures une
requte de connexion TCP pralable). Pour cela elle modifie la table de filtrage ain
si :
Extrait de la nouvelle table de filtrage du pare-feu externe cot Internet :
9. Dir e si cette table de filtr age r pond aux tr ois objectifs. Just
ifier la r ponse pour chaque
objectif.

Non satisfaite par cette solution, Mme Simonet revient la table de filtrage init
iale.
10. Pr oposer une deuxime solution r espectant les tr ois objectifs. Justifier
la r ponse.
La politique de scurit interne implique l utilisation d un serveur mandataire (pro
xy) pour accder
Internet. Les postes de travail de la cit administrative auront comme
passerelle par dfaut le
routeur R-CA8 d adresse 172.16.4.2. La solution de paramtrer les navigateurs sur
les postes n a pas
t retenue car elle n offre pas une garantie suffisante. Mme Simonet a
paramtr PROXY1 en
proxy transparent. Un proxy transparent est un proxy dont l existence
n est pas connue par les
navigateurs.
PROXY1 coute les requtes HTTP sur le port 8080, les navigateurs envoient leurs req
utes sur le
port 80.
11. Dir e quel mcanisme doit mettr e en oeuvr e l administr atr ice pour que le
s r equtes HTTP
des postes de tr avail soient envoyes PROXY1.
139
Annexe 1 : schma simplifi du r seau
140
Annexe 2 : Adr esses des ser veur s DNS des r seaux sans fil et tables de
Routage
Rseau VLAN1 (lus)
Ser veur DNS inter ne : 172.16.4.10
Rseau VLAN2 (Visiteur s)
Ser veur DNS du four nisseur daccs Inter net : 201.110.47.38
Table de r outage du r outeur R-SC1
Table de r outage du r outeur R-CA8
141
Annexe 3 : Fichier s de zones DNS des ser veur s Richelieu et Milady
Serveur Richelieu : extrait du contenu du fichier de configuration de la zone cg
96.fr (toutes les
portions de texte prcdes par un point virgule (;) sont des commentaires).
; dfinition de la zone cg96.fr
; le serveur d autorit est richelieu.cg96.fr (serveur primaire)
; il est administr par une personne qu on peut joindre l adresse simonet@cg96.fr
; le serveur esclave est milady.cg96.fr (serveur secondaire)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (
136 ; numro de version : permet aux serveurs secondaires de savoir s ils d
oivent mettre
; jour leur base, une incrmentation de ce numro provoque un transfert
de zone entre
; primaire et secondaire(s)
36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes)
3600 ; dlai avant une autre tentative de mise jour par un serveur secondai
re (en secondes)
360000 ; dure au-del de laquelle les donnes de zones seront marques comme obs
oltes par
; un serveur secondaire (en secondes)
86400); dure de validit en cache par dfaut des enregistrements de zones (en
secondes)
; avec deux serveurs de noms dans cette zone
NS richelieu.cg96.fr.
NS milady.cg96.fr.
; dclaration des adresses faisant autorit (extrait)
richelieu.cg96.fr. IN A 172.16.4.10 ; dclaration des diffrents nom d hte

milady.cg96.fr.
IN A 172.16.12.10
srv-im.cg96.fr.
IN A 172.16.4.100
srv-fic.cg96.fr.
IN A 172.16.4.50
g-equip.cg96.fr. IN A 172.16.4.97 ; ligne rajoute dans la nouvelle version
r-sc1.cg96.fr.
IN A 192.168.8.2
r-ca8.cg96.fr.
IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr. ; declaration d un alias
; fin de la zone dautorit
Serveur Milady : extrait du contenu du fichier de configuration de la zone cg96.
fr du serveur
Milady (les commentaires ont t effacs)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (136 36000 3
600 360000 86400)
NS richelieu.cg96.fr.
NS milady.cg96.fr.
richelieu.cg96.fr.
IN A 172.16.4.10
milady.cg96.fr
IN A 172.16.12.10
srv-im.cg96.fr.
IN A 172.16.4.100
srv-fic.cg96.fr.
IN A 172.16.4.50
r-sc1.cg96.fr
IN A 192.168.8.2
r-ca8.cg96.fr
IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr.
142
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Dire pourquoi les portables des visiteurs qui se connecten
t sur le second SSID
obtiendront obligatoirement une adresse IP donne par le serveur DHCP 192.168.1.33
et non par le
serveur DHCP 172.16.108.2. Justifier la rponse en vous appuyant sur le
protocole DHCP et les
VLAN.
Les VLAN dfinissent logiquement des domaines de diffusion. Ces domaines sont hermt
iques.
Le protocole DHCP est bas sur des diffusions (broadcast). La requte DHCPDISCOVER e
nvoye
par un portable de journaliste sur le VLAN 2 ne parviendra jamais au serveur DHC
P 172.16.108.2.
Question 2. Donnez en la justifiant la valeur du masque de sous-rseau en notation
classique et en
notation CIDR.
13 adresses +1 (serveur)
Au total 14 + 2 (Adr. Diffusion + Rseau) = 16 adresses possibles
Il faut donc 4 bits pour adresser ces 16 adresses, car 24 = 16
Il reste donc 4 bits pour adresser les sous-rseaux
Ce qui donne 255.255.255.240.
Ou encore un masque 28 bits ce qui donne la notation CIDR suivante 192.168.1.32/
28
Question 3. Donnez la plage dadresses utilisables par le serveur DHCP
ainsi que les diffrents
paramtres TCP/IP ncessaires au fonctionnement des postes de travail du rs
eau VLAN2
(Visiteurs).
Plage dadresses utilisable pour les postes de travail : 192.168.1.34 192.168.1.46
Paramtres DHCP :
masque de sous-rseau : 255.255.255.240
passerelle par dfaut : 192.168.1.33
serveur DNS : 201.110.47.38
Ladresse 172.16.4.10 nest pas acceptable.
dure du bail : 4 h (dure dune session du Conseil)

Question 4. Justifier les rponses obtenues aux deux commandes.


a)Le poste de travail 172.16.108.10 peut joindre la passerelle par dfaut 172.16.1
08.1, mais ensuite
le routeur R-SC1 ne dispose pas de route vers le rseau 172.6.4.0. Le ping ne peut
pas aboutir, donc
ce routeur envoie un message ICMP au poste indiquant qu il ne connat pas de route
vers ce rseau.
b)Il y a un problme pour le retour sur le routeur R-CA8. Le poste d
e travail 172.16.108.10 peut
joindre la passerelle par dfaut 172.16.108.1, le routeur R-SC1 connat la
route vers 192.168.8.1
mais la route vers le rseau 172.16.108.0 est fausse.
Question 5. Prciser quelles modifications sur les tables de routage Mme Simonet d
oit faire pour
que la communication entre la salle du conseil et la cit administrative fonctionn
e.
Il suffit dajouter la route 172.16.4.0/255.255.255.252 passerelle 192.168.
8.1 sur R-SC1 et de
modifier la route
vers 172.16.108.0/255.255.252 passerelle 192.168.8.2 sur le routeur R-CA8.
Table de r outage du r outeur R-CA8
143
Table de r outage du r outeur R-SC1
Question 6. Dire quelle modification doit tre effectue sur le fichier d
e zone cg96.fr du serveur
Richelieu pour faire le basculement.
; dclaration des adresses faisant autorit (extrait)
richelieu.cg96.fr. IN A 172.16.4.10
milady.cg96.fr IN A 172.16.12.10
srv-im.cg96.fr. IN A 172.16.4.100
srv-fic.cg96.fr. IN A 172.16.4.50
g-equip.cg96.fr. IN A 172.16.4.97
r-sc1.cg96.fr IN A 192.168.8.2
r-ca8.cg96.fr IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-im.cg96.fr.
Il faut modifier l enregistrement CNAME en le faisant maintenant pointer vers la
nouvelle machine.
Question 7. Dire quel intrt prsente la mise en place dun serveur DNS secondaire (esc
lave).
Un serveur secondaire (esclave) permet :
La tolrance de pannes en permettant de rsoudre les noms (pendant un certain temps)
mme si le
serveur matre est en panne
Lquilibrage de charge en rpartissant les requtes DNS.
Question 8. Donner et justifier la rponse cette commande en vous appuyant sur l
es fichiers de
zone de l annexe 3.
La rsolution de noms ne se fait pas. Milady rpond qu il n a pas d association pour
ce nom donc les
clients ne vont pas interroger Richelieu.
Le fichier du secondaire n a pas t mis jour cause de l erreur sur le numro de versi
on.
Les postes du site quipement sont configurs pour interroger d abord le DNS Milady
puis si celuici ne rpond pas et uniquement si celui-ci ne rpond pas, Richelieu.
Question 9. Dire si cette table de filtrage rpond aux trois objectifs.
Justifier la rponse pour
chaque objectif.
En bloquant les flux entrants ne correspondant pas des connexions TCP
tablies en interne, on

obtient le rsultat suivant :


On ne peut plus se connecter de l extrieur sur le service SSH car i
l nest pas explicitement
autoris la ligne 13 est supprime la ligne par dfaut bloque et la ligne
9 nautorise que les
connexions tablies de lintrieur ;
mais on ne peut plus se connecter sur le relais de messagerie et sur le serveur
WWW qui ncessite
une connexion TCP et on ne peut plus se connecter non plus au serveur DNS y comp
ris avec UDP
car la rgle par dfaut bloque l accs ; les lignes 10 11 12 ont t supprimes ;
par contre les utilisateurs peuvent utiliser Internet avec leur naviga
teur parce quils tablissent la
connexion
Cette solution ne rpond donc pas aux trois objectifs.
144
Question 10. Proposer une deuxime solution en respectant les trois objectifs. Jus
tifier la rponse.
Il suffit de supprimer (ou de mettre sa dcision ltat bloquer ) la lig
ne 13 car cette ligne
autorise la connexion SSH.
Cette table rpond aux trois objectifs
on ne peut plus se connecter de l extrieur sur le service SSH car la rgle par dfaut
s applique ;
mais on peut se connecter aux autres services ;
et les utilisateurs peuvent utiliser Internet.
Question 11. Dire quel mcanisme doit mettre en oeuvre l administratrice
pour que les requtes
HTTP des postes de travail soient envoyes PROXY1.
Il faut mettre en place sur le routeur R-CA8 une redirection de port
145
CDGJC J ==
La mairie de la ville de L. est charge de la gestion de 47 restaurants scolaires.
Ces restaurants sont regroups en cinq secteurs, superviss par des responsables de
secteur, chargs
de la gestion pratique des restaurants et de lorganisation des quipes. Les resp
onsables de secteur
disposent chacun dun ordinateur utilis pour des travaux de bureautique.
Ces responsables de
secteur sont situs dans un local distant de lhtel de ville, btiment principal de la
mairie.
La gestion administrative de ces restaurants scolaires est assure par l
e Service des Affaires
Gnrales . Ce service, situ dans les locaux de la mairie, soccupe ainsi de la gestion
du personnel
et de ltablissement du planning des quipes.
Monsieur Franck DUBOIS, attach administratif au Service des Affaires Gnral
es , veut
interconnecter le rseau principal de la mairie au rseau des responsables
de secteur afin
damliorer lorganisation et la gestion administrative du personnel.
Vous tes amen(e) installer et configurer deux routeurs R2 et R3 pour relier le rsea
u principal
de la mairie au rseau des responsables de secteur.
1. Expliquer la ligne 2 de la table de r outage du r outeur R3 (Annexe 2)
Il est dcid que les responsables de secteur connects au rseau principal de la mairie
doivent aussi
avoir la possibilit de se connecter au serveur de messagerie de la mairie.

2. Indiquer ladr esse de passer elle qui doit tr e dfinie sur chaque o
r dinateur des
r esponsables de secteur .
Ces modifications faites, il savre que les ordinateurs des responsables
de secteur nont toujours
pas accs au serveur de messagerie 192.168.200.130.
partir du serveur Windows NT4 dadresse 172.30.16.3, vous excutez la com
mande
ping 192.168.200.130. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1,
vous excutez la
commande ping 172.30.16.3. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1,
vous excutez la
commande ping 192.168.200.130. Cette fois la rponse est Impossible de jo
indre lhte de
destination .
3. Indiquer , en justifiant votr e r ponse, le r outeur qui est la cause du dysf
onctionnement.
Vous avez la possibilit dutiliser, pour modifier les tables de routage, la command
e route.
On considrera que la syntaxe de la commande route se limite :
route {[ADD] | [PRINT] | [DELETE] | [CHANGE] } destination MASK masque passerell
e
Exemple : route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.1
4. Pr ciser , en justifiant votr e r ponse, la commande que vous devez employer p
our mettr e
jour la table de r outage du r outeur incr imin, de faon obtenir un
e r ponse cor r ecte la
commande ping pr cdente.
Le serveur de messagerie de la mairie est dsormais accessible par les responsable
s de secteur.
On vous demande dappliquer sur le routeur R3, la commande suivante :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Une commande route print montre quune ligne supplmentaire a t cre dans la table de rou
tage
du routeur R3.
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
5. Indiquer la r aison pour laquelle on a dcid dinsr er une telle lig
ne dans la table de
r outage de R3.
146
On a mis en place sur le routeur R1 connect Internet des rgles de scurit.
Aprs tude de la documentation technique du routeur R1 et de la configu
ration existante, vous
devez mettre jour les fonctions de filtrage dfinies en Annexe 3pour autoriser aux
responsables de
secteur l accs aux serveurs web et de messagerie.
6. Indiquer , en justifiant votr e r ponse, si le ser veur web de la
DMZ est accessible par tir
dInter net.
7. Ajouter une nouvelle r gle qui autor ise les r esponsables de secte
ur accder au ser veur
web de la DMZ en passant par le r seau pr incipal de la mair ie.
Le Service des Affaires Gnrales est rparti sur les 1
er
et 2
me
tages quil partage avec dautres
services. Le Service des Administrs , quant lui, occupe lui seul la t

otalit du rez-dechausse.
Le responsable informatique souhaite isoler chacun de ces deux services
en mettant en uvre des
rseaux locaux virtuels (VLAN).
Le commutateur actuellement install dans les btiments de la mairie est
un commutateur
administrable ne grant que les VLAN de niveau 1 .
Aprs observation du schma du rseau (Annexe 1), ladministrateur saperoit que,
dans ltat
actuel de linstallation, il peut crer un VLAN de niveau 1 pour isoler
le Service des
Administrs mais quil ne peut pas en crer pour le Service des Affaires Gnrales .
8. Expliquer pour quoi il est possible de cr er un VLAN de niveau 1
pour le Ser vice des
Administr s .
9. Expliquer pour quoi il nest pas possible de cr er un VLAN de nive
au 1 pour le Ser vice
des Affair es Gnr ales .
Les responsables de secteur se plaignent de recevoir de nombreux pourriels (spam
s).
10. Dfinir la notion de pour r iel (spam) et pr ciser en quoi ils co
nstituent une gne pour
lentr epr ise.
Le responsable informatique vous demande de filtrer la rception des mes
sages, afin de bloquer
certaines sources (adresses lectroniques, noms de domaine, adresses IP).
Dans cette optique, la
mairie adhre un service de liste noire anti-pourriels (blacklist anti-spam) hberg s
ur un serveur
DNSBL (DNS BlackList).
11. Expliquer , en vous aidant ventuellement dun schma, le pr incipe de f
onctionnement de
linter r ogation par lentr epr ise dune liste de type Blacklist anti-spam lor s de
la pr ocdur e
de r ception dun message.
147
Annexe 1 : schma du r seau
148
Annexe 2: Tables de r outage
Table de r outage du r outeur R1
Adresse destinataire Masque Passerelle Interface
1 195.167.221.0 255.255.255.0 195.167.221.12 195.167.221.12
2 192.168.200.128 255.255.255.128 192.168.200.131 192.168.200.131
3 172.30.16.0 255.255.240.0 172.30.30.253 172.30.30.253
4 172.30.32.0 255.255.255.0 172.30.16.254 172.30.30.253
5 0.0.0.0 0.0.0.0 195.167.221.12 195.167.221.12
Table de r outage du r outeur R2
Adresse destinataire masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.254 172.30.128.254
2 172.30.16.0 255.255.240.0 172.30.16.254 172.30.16.254
3 172.30.32.0 255.255.255.0 172.30.128.253 172.30.128.254
3 192.168.200.128 255.255.255.128 172.30.30.253 172.30.16.254
4 195.167.221.0 255.255.255.0 172.30.30.253 172.30.16.254
5 0.0.0.0 0.0.0.0 172.30.30.253 172.30.16.254
Table de r outage du r outeur R3
Adresse

destinataire
Masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.253 172.30.128.253
2 172.30.16.0 255.255.240.0 172.30.128.254 172.30.128.253
3
4
149
Annexe 3: Politique de scur it de la mair ie
Le routeur R1 est un routeur filtrant. Il agit au niveau des couches 3 et 4 du
modle OSI et assure
des fonctions de translation dadresses et de ports (NAT/PAT). Cette tra
nslation est assure aprs
filtrage. titre dexemple, voici une des rgles NAT/PAT appliques sur linte
rface dentre
195.167.221.12 du routeur R1, ladresse IP de destination du paquet.
Avant Trans|at|on Apres Trans|at|on
Adresse Porl Adresse Porl
195.1Z.221.12 80 192.18.200.129 80
Chaque paquet arrivant sur une interface du routeur est analys et les rgles de fil
trage sont traites
squentiellement.
Rgles de filtr age pour R1
N de
Reg|e
|nterface
d arr|ve
Adresse
8ource
Port
8ource
Adresse
0est|nat|on
Port
0est|nat|on
Numro de
Protoco|e
Act|on
1 195.1Z.221.12 Ary Ary 195.1Z.221.12 80 accepl
2 1Z2.30.30.253 1Z2.30.1.0 /20 Ary 192.18.200.130 25 accepl
3 195.1Z.221.12 Ary Ary Ary 23 rejel
0laul (1) Ary Ary Ary Ary Ary Ary rejel
(1) Tout ce qui nest pas autoris est interdit.
Pr incipaux pr otocoles et por ts associs
Protoco|e Port rserv Numro de Protoco|e
FTP 21
Te|rel 23
3VTP 25
lTTP 80
NNTP 119
3NVP 11
0lCP 8
0N3 53
lCVP
1
TCP

u0P
1Z

150
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer la ligne 2 de la table de routage du routeur R3 (Annexe 2)
.
Rappelons quune ligne de la table de routage sinterprte de la manire suivante : pour
atteindre le
rseau w.x.y.z, dfini par le masque m.m.m.m, il faut transmettre les paquets ladress
e w.x.y.z et
pour cela quitter le routeur ou le poste par linterface w.x.y.z.
Pour atteindre le rseau 172.30.16.0, dfini par le masque 255.255.240.0,
il faut transmettre les
paquets ladresse 172.30.128.254 (passerelle : point dentre dans ce sens l
du routeur R2) et
pour cela quitter le routeur (R3 dans notre cas) par linterface 172.30.128.253.
Question 2. ndiquer ladresse de passerelle qui doit tre dfinie sur chaqu
e ordinateur des
responsables de secteur.
La passerelle doit avoir pour valeur le point dentre dans le routeur R
3, ct rseau des
responsables de secteur, soit ladresse 172.30.32.254.
Question 3. Indiquer, en justifiant votre rponse, le routeur qui est la cause du
dysfonctionnement.
Comme le ping passe depuis le serveur NT4 vers le serveur SMTP, on
peut en dduire que le
routeur R1 nest pas en cause. Il nous reste donc prciser qui, des routeurs R2 ou R
3, est en cause.
A lobservation des tables de routage, on constate que le routeur R3 n
e dispose daucune ligne
concernant le rseau 192.168.200.128 /25. Il ne peut donc atteindre les postes de
ce rseau. Il faut
lui rajouter cette ligne.
Question 4. Prciser, en justifiant votre rponse, la commande que vous d
evez employer pour
mettre jour la table de routage du routeur incrimin, de faon obtenir une rponse cor
recte la
commande ping prcdente.
Ladresse du rseau joindre est 192.168.200.128, ce quon dtermine en appliquant le mas
que /25
ladresse du Serveur SMTP/POP (192.168.200.130).
La commande appliquer au routeur R3 est donc :
route ADD 192.168.200.128 MASK 255.255.255.128 172.30.128.254
Question 5. Indiquer la raison pour laquelle on a dcid dinsrer une telle
ligne dans la table de
routage de R3.
Rappelons que la ligne de commande qui a t excute sur le routeur R3 est :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Ce qui a pour effet dinsrer la ligne :
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
La ligne insre indique donc au routeur R3 quil doit rediriger les flux
sortants (toutes adresses
inconnues ) vers le routeur suivant R2 (interface dentre 172.30.128.254).
Ici, cette ligne
permet aux postes des responsables de secteur daccder Internet en passant par les
routeurs R3,
R2 et R1.
151
Question 6. Indiquer, en justifiant votre rponse, si le serveur web de la DMZ est
accessible partir

dInternet.
Rappelons la rgle 1 de la table de filtrage :
N de
r gle
Inter face
dar r ive
Adr ess
e
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n
Pr otocol
e
Action
1 195.167.221.
12
Any Any 195.167.221.1
2
80 6 accept
Daprs cette rgle, tout accs (quelle que soit la source et quel que soit
le port) en provenance
dInternet (interface darrive 195.167.221.12), destination de 195.167.221.12 avec le
port 80 est
accept.
Rappelons la table de translation :
Avant Tr anslation Apr s Tr anslation
Adresse Port Adresse Port
195.167.221.12 80 192.168.200.129 80
Du fait de lapplication de la rgle de translation, ladresse de destinati
on 195.167.221.12 est
substitue en ladresse 192.168.200.129 du serveur Web de la Mairie, qui est donc bi
en accessible
depuis Internet.
Question 7. Ajouter une nouvelle rgle qui autorise les responsables de secteur ac
cder au serveur
web de la DMZ en passant par le rseau principal de la mairie.
Donc, quel que soit le port source, tout flux en provenance du rseau
des responsables de secteur
(172.30.32.0 /24) arrivant sur linterface 172.30.30.253, destination du s
erveur web
(192.168.200.129) doit tre accept.
La rgle doit tre place avant la rgle par dfaut :
N de
r gle
Inter face
dar r ive
Adr esse
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n

Pr otocol
e
Action
4 172.30.30.25
3
172.30.32.0
/24
Any 192.168.200.129 80 6 accept
Question 8. Expliquer pourquoi il est possible de crer un VLAN de niveau 1 pour l
e Service des
Administrs .
Toutes les machines du rez-de-chausse doivent tre isoles. Donc, si lon af
fecte le por t du
commutateur sur lequel est connect le concentrateur du rez-de-chausse un
VLAN (VLAN par
port ou de niveau 1), toutes les machines situes derrire le concentrateu
r vont appartenir ce
VLAN.
Question 9. Expliquer pourquoi, il nest pas possible de crer un VLAN d
e niveau 1 pour le
Service des Affaires Gnrales .
Il nest plus possible dutiliser des VLAN par port sans bloquer, dans un unique VLA
N, toutes les
machines situes derrire le concentrateur. Or certaines doivent appartenir un VLAN
et dautres
un autre. On ne peut donc pas mettre en place de VLAN de niveau 1 pour le Servi
ce des Affaires
Gnrales.
152
Question 10. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituen
t une gne pour
lentreprise.
Pourriel (spam, pollupostage) : dsigne les communications lectroniques massi
ves, notamment
de courrier lectronique, sans sollicitation des destinataires, des fins publicita
ires ou malhonntes.
Les pourriels polluent les boites aux lettres des usagers des messageries et nce
ssitent de leur part
un temps de traitement parfois non ngligeable (tri, suppression). Par ai
lleurs ils sont parfois
porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire le
fficacit des systmes
(destruction de donnes, ralentissement des systmes).
Question 11. Expliquer, en vous aidant ventuellement dun schma, le principe de fonc
tionnement
de linterrogation par lentreprise dune liste de type Blacklist anti-spam lors de la
procdure de
rception dun message.
153
CDGJC J ==
Consciente de l importance de modifier nos habitudes nutritionnelles et
de protger notre
environnement, la socit ESN a dvelopp lenseigne Espace Sant Nature qui offr
e une large
gamme de produits issus de lagriculture biologique, labelliss et contrls p
ar des organismes
agrs.
Pour accompagner le dveloppement de son enseigne Espace Sant Nature la
socit a dcid de

faire voluer son systme dinformation.


Les locaux du sige de la socit ESN accueillent un rseau informatique darc
hitecture
FastEthernet , entirement commut et distribu sur deux btiments principaux (A
et B). Au
moment de votre collaboration, le projet dvolution de larchitecture du rseau local e
st en cours de
ralisation.
Lensemble des serveurs et le cur de llectronique active ont t migrs vers
n nouveau
btiment appel local technique gnral . Celui-ci permet de bnficier de locaux mieux ad
notamment en termes de scurit daccs physique (utilisation de badges), de
climatisation, de
systme anti-incendie et de tolrance aux pannes.
Chacun des trois btiments dispose d un commutateur : CA, CB et CG (annexe 1).
Pour grer la tolrance aux pannes des liaisons, ladministrateur a reli les trois comm
utateurs entre
eux en formant un circuit. Pour viter les temptes de diffusion, il a activ le proto
cole 802.1d. Ce
protocole utilise un algorithme darbre de recouvrement minimum (spanning tree) po
ur transformer
un circuit en arbre. Les liaisons redondantes doivent tre invalides quand elles ne
sont pas utiles et
valides en cas de rupture dune liaison. L administrateur influe sur le choix des l
iaisons invalides
en pondrant chaque liaison. Les serveurs sont situs dans le local technique gnral.
Il n y a pas de
trafic rseau entre les postes du btiment A et ceux du btiment B.
1. Expliquer ce qu est une tempte de diffusion et sa cause.
2. Identifier le lien qui doit tr e invalid par le pr otocole 802.1d en justifia
nt la r ponse.
La sparation des flux entre btiments est assure par la mise en place d
e rseaux locaux virtuels
(VLAN) sur les commutateurs. Le commutateur CG dispose galement dune fon
ction de routage
qui n est pas active. L annexe 2 prsente la configuration des rseaux virtuels et IP
de la socit.
3. Expliquer pour quoi les por ts d inter connexion entr e commutateur s doive
nt tr e tiquets.
4. Expliquer s il est ncessair e d activer le r outage sur le commutateur C
G pour per mettr e la
communication entr e un poste du btiment B et le ser veur SRV-ESN.
Tous les postes obtiennent dynamiquement leur configuration IP (adresse, routeur
, DNS) partir du
serveur SRV-ESN. Mais un commercial connect avec son portable un point
d accs sans fil du
btiment A n a pas pu accder au serveur SRV-SAGE. La liaison entre le portable et l
e point d accs
est pourtant oprationnelle.
5. Dfinir les adr esses IP des passer elles par dfaut affectes aux postes fixes
du btiment A et
du btiment B pour aller ver s Inter net.
6. Expliquer la cause du dysfonctionnement obser v sur l or dinateur por tabl
e.
Afin de remplacer des serveurs de donnes obsoltes, on a fait l acquisit
ion d un unique serveur
nomm SRV-NAS plus performant, dont les caractristiques sont prsentes en ann
exe 3.
Il

dispose notamment de caractristiques matrielles permettant d assurer la co


ntinuit d exploitation
en cas de panne.
7. Compar er les solutions RAID 0, RAID 1 et RAID 5 de ce ser veur :
- en ter me de volume utile justifier par un calcul,
- en ter me de tolr ance aux pannes.
154
8. Dir e quels sont les autr es lments du ser veur NAS qui per mettent d assur e
r la continuit
de ser vice et la tolr ance aux pannes.
La socit ESN a mis en place un catalogue en ligne accessible tous sur Internet. Ma
is elle a aussi
dvelopp pour son rseau commercial de boutiques un accs web permettant de
passer des
commandes en ligne.
Les sites web public et priv sont installs sur le serveur SRV-3W. Ils
se distinguent par des
numros de port diffrents (80 et 8000). Le SGBDR utilis par le site web est situ su
r le serveur
SRV-SAGE.
Dans le cadre de son nouveau contrat daccs Internet, la socit ESN bnficie dune liais
haut
dbit SDSL 2 Mbps, dune plage dadresses IP sur le sous-rseau 217.167.171.
128 de masque
255.255.255.248 et dun nom de domaine gr par le fournisseur daccs (espacesantenatur e.com).
9. Justifier le choix dune offr e daccs Inter net de type SDSL.
10. Dter miner la classe, le nombr e d adr esses et la plage dadr esse
s IP offer tes par le FAI
(four nisseur daccs Inter net) ESN.
Les boutiques sont identifies par la plage dadresses 195.200.10.65 195.2
00.10.126 rserve
auprs du FAI.
Dans un pr emier temps, l administrateur n a pas mis en place de DMZ
, il a utilis les
fonctionnalits NAT/PAT et de redirection du routeur SDSL pour rendre accessibles
le site public et
le site priv. Puis sur le pare-feu SRV-WALL, il a labor les rgles de f
iltrage suivantes sur
linterface externe (annexes 1 et 2 uniquement) :
Extr ait de la table de filtr age qui ne montr e pas les flux bidir ectionnels :
(Information sur les ports utilisables : DNS (53), HTTP site public (
80), HTTP site priv (8000),
SMTP (25), POP3 (110) et SGBDR (3306), tous(ports > 1024))
Source Destination
N
IP Port IP Port
Dcision
.
20 Toutes Tous 192.168.0.7/32 80 Accepter
30 Toutes Tous 192.168.0.7/32 8000 Accepter
40 Toutes Tous 192.168.0.9/32 25 Accepter
41 Toutes Tous 192.168.0.9/32 110 Accepter
Dfaut Toutes Tous Toutes Tous Bloquer
11. Donner la signification de la r gle n 20.
12. Donner la signification de la r gle n 30 et expliquer pour quoi c
ette r gle ne r pond pas
pr cisment aux contr aintes daccs.

Dans un deuxime temps, l administrateur a dcid de crer une zone dmilitarise


(DMZ) pour
amliorer la scurit des accs Internet (annexe 4).
Les deux interfaces du routeur SDSL sont configures avec ladresse IP 21
7.167.171.126 sur
linterface externe et 217.167.171.133 sur linterface interne. Les adresses IP aff
ectes aux serveurs
SRV-MAIL et SRV-3W sont dsormais 217.167.171.129 et 217.167.171.130. Sur le route
ur SDSL
les fonctionnalits NAT/PAT et de redirection ne sont plus ncessaires.
13. Donner la table de r outage du par e-feu SRV-WALL.
155
Le pare-feu du routeur SDSL et le pare-feu SRV-WALL disposent dsormais des rgles d
e filtrage
permettant l accs au site web public et au serveur SMTP et POP. L adm
inistrateur vous demande
dcrire les nouvelles rgles qui permettent laccs au site web pr iv depuis les boutiques
pour la
mise jour des commandes dans la base de donnes.
14. tablir la nouvelle r gle de filtr age sur linter face exter ne 217.
167.171.126
du r outeur
SDSL.
15. tablir la r gle de filtr age sur linter face exter ne de SRV-WALL sachant q
ue le SGBDR
(implant sur le ser veur SRV-SAGE) coute sur le por t 3306.
Le serveur SRV-MAIL assure les services SMTP et POP. Ces deux service
s ont t tests et
fonctionnent correctement. Ils utilisent les mmes mots de passe de connexion.
Depuis un poste du service informatique dans le rseau local, ladministra
teur a configur un
compte de messagerie existant ainsi :
SMTP : 217.167.171.129
POP : pop.espace-sante-nature.com
Il envoie les courriels avec succs, mais il ne parvient pas en recev
oir. Le logiciel client de
messagerie affiche lerreur suivante :
chec de la connexion au serveur. Compte : admin , Serveur : pop.espace
-sante-nature.com ,
Protocole : POP3, Port : 110
16. Expliquer la cause de lchec de r ception du cour r iel, sachant que
le FAI na pas t
infor m du nouveau plan d adr essage.
156
Annexe 1 : Nouvelle ar chitectur e du r seau
157
Annexe 2 : Configur ation des r seaux vir tuels et IP de la socit
Ar chitectur e gnr ale de l inter connexion : Chaque btiment (A, B et lo
cal technique gnral)
dispose d un commutateur principal
qui s interconnecte avec les commut
ateurs principaux des
autres btiments.
Ar chitectur e des VLAN
Commutateurs
principaux
CA CB CG
Emplacement Btiment A Btiment B Local Technique gnral
VLAN grs 1,100, 200 1,100, 200 1,100, 200
Remar que : Le commutateur CG est un commutateur / routeur. chaque V
LAN dfini sur le
commutateur peut tre associe une adresse IP qui permet le routage entre VLAN. Cett

e fonction de
routage n est pas active.
Tableau d affectation Por ts - VLAN avec statut 802.1q des por ts
VLAN
1
VLAN
100
VLAN
200
Etiquets
802.1q (taggs)
Ports de connexion des points d accs sans fil du
btiment A
X
NON
Ports de connexion des postes fixes filaires et des
autres quipements du Btiment A
X
NON
Ports de connexion des postes fixes filaires et des
autres quipements du btiment B
X NON
Ports de connexion des serveurs et des
quipements du local technique gnral
X X OUI
Ports d interconnexion des commutateurs CA, CB
et CG
X X X OUI
Adr esse IP du sous-r seau associ chaque VLAN
VLAN 1 (par dfaut) VLAN 100 VLAN 200
Pas d adresse IP affecte 192.168.0.0/24 192.168.1.0/24
Adr essage IP des postes de tr avail : Tous les postes des btiments A
et B doivent obtenir une
adresse dynamiquement partir du serveur DHCP SRV-ESN. Ce serveur gre d
eux plages
d adresses, une pour chaque rseau IP.
Adr essage IP des ser veur s : Le protocole 802.1q est activ sur les interfaces rs
eau des serveurs.
Ces interfaces sont associes au VLAN 100 et au VLAN 200 et disposent
d une adresse IP par
VLAN. Les cartes rseaux de ces serveurs sont donc multi-adresses. Elles associen
t un VLAN la
trame reue en fonction de l tiquette contenue dans la trame et remetten
t le paquet l adresse IP
correspondante. En mission, elles tiquettent la trame en fonction du VLAN d mission
.
Tableau d affectation ser veur s / VLAN et adr essage IP des ser veur
s (avant le dplacement
dans la DMZ des ser veur s SRV-3W et SRV-MAIL)
VLAN 100 VLAN 200
SRV-ESN (serveur d authentification DHCP DNS cache) 192.168.0.1 192.168.1.1
SRV-SAGE (serveur d applications de gestion et SGBDR) 192.168.0.3 192.168.1.3
SRV-NAS (stockage des fichiers et des bases de donnes)

192.168.0.5 192.168.1.5

SRV-3W (serveur web interne et externe) 192.168.0.7 192.168.1.7


SRV-MAIL (serveur de messagerie interne et externe) 192.168.0.9 192.168.1.9
SRV-WALL (pare-feu, accs Internet des postes sur l interface
interne)
192.168.0.254 192.168.1.254
NB: le pare-feu SRV-WALL dispose de l adresse IP 217.167.171.134 sur l interface
externe.

158
Annexe 3 : Infor mations techniques sur le ser veur NAS
Le ser veur NAS est une solution simple pour ajouter du stockage disque en rseau
. Le NAS est un
priphrique rseau de stockage (serveur de fichiers). Il se connecte sur u
n rseau Ethernet et se
comporte comme un serveur autonome de fichiers. Sa simplicit d installation et d
administration, la
redondance de ses composants en font une solution fiable et efficace
pour le stockage et la
sauvegarde des donnes sur un rseau htrogne.
Car actr istiques du ser veur NAS
Matr iel
Pentium 4 2.8GHz avec 512KB L2 cache et 2 DIMM
slots for 2GB ECC DDR 266/333 memory,
2 interfaces intgres Intel Gigabit Ethernet
8 disques SATA hot-swappable (250 GB chacun)
RAID 0, 1, 5
Gravure sur CD-R/RW et DVD+RW (Option)
Alimentation redondante et compatibilit UPS
Administr ation et Compatibilit
Microsoft Windows NT/2000/2003 support Domaine
et Active Directory
UNIX, Solaris, FreeBSD, Linux, support Network
Information Service (NIS),
MacOS 8.x, 9.x, OS X
TCP/IP, AppleTalk, IPX
HTTP, CIFS/SMB, NFS v3, NCP, FTP, AFP
BOOTP, RARP, DHCP, DNS, WINS, SMTP, SNMP,
NTP, SSL
Annexe 4 : Schma de la DMZ
Boutiques
Clients
SDSL
2 Mbps
SRV-WALL
SRV-MAIL
SRV-SAGE
SRV-ESN
SRV-NAS
CG
192.168.0.254
192.168.1.254
SRV-3W
217.167.171.134
217.167.171.129
217.167.171.130
217.167.171.133
DNS
194.20.0.50
FAI
217.167.171.126
159
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer ce qu est une tempte de diffusion .
Le commutateur segmente le domaine de collision, il laisse cependant p
asser les diffusions de
trames Ethernet (MAC FF-FF-FF-FF-FF-FF).
Larchitecture en annexe prsente une interconnexion des commutateurs en boucle.
Consquences :

Les commutateurs mettent jour leur table de correspondance port source


= @mac partir de la
trame qui arrive. Les trames de diffusion et de multidiffusion sont achemines pa
r inondation vers
tous les autres ports du commutateur et donc vers tous les commutateu
rs interconnects. La trame
boucle indfiniment (pas de TTL), il y a inondation de la bande passan
te et surcharge de tous les
noeuds connects sur tous les ports.
Question 2. Identifier le lien qui doit tre invalid en justifiant la rponse
Le lien a invalider doit tre CA CB, pour deux raisons, le dbit est plus faible et
il n y a pas de flux
changs entre le btiment A et le btiment B, tous les flux sont destins au local techni
que gnral
o sont placs tous les serveurs.
Question 3. Expliquer pourquoi les ports d interconnexion entre commutat
eurs doivent tre
tiquets (taggs).
Les ports d interconnexion appartiennent plusieurs VLAN. Pour pouvoir associer
une trame un
VLAN il faut donc rajouter l tiquette 802.1q dans la trame.
Question 4. Expliquer s il est ncessaire d activer le routage sur le commutateur
CG pour permettre
la communication entre un poste du btiment B et le serveur SRV-ESN.
Non car le serveur SRV-ESN a deux adresses IP sur son interface o le protocole 8
02.1q est actif.
Les trames mises et reues par lui sont "tiquetes" puis associer la bonne adresse IP
en fonction
du VLAN. Le serveur et le poste sont donc dans le mme rseau IP et dans le mme VLAN,
on n a
donc pas besoin de router.
Question 5. Dfinir les adresses IP des passerelles par dfaut affectes aux postes du
btiment A et
du btiment B pour aller vers Internet.
L accs Internet se faisant par le pare-feu SRV-WALL, on utilise l interface de ce
lui-ci associe au
VLAN correspondant :
Pour le btiment A il s agit de 192.168.0.254 (VLAN 100).
Pour le btiment B il s agit de 192.168.1.254 (VLAN 200).
Question 6. Expliquer la cause du dysfonctionnement observ sur l ordinateur porta
ble.
Les points d accs Wi-Fi sont associs au VLAN par dfaut. Ils ne peuvent communiquer
avec les
autres Vlan directement. Il s agit soit d une erreur de configuration, soit d un
e volont d isoler le flux
des portables.
Question 7. Comparer les solutions RAID0, RAID1 et RAID5 de ce serveur :
- en terme de volume utile justifi par un calcul,
- en terme de tolrance aux pannes.
RAID0 : on utilise tous les disques, donc la totalit du volume (2000 G0) est disp
onible mais on n a
aucune tolrance aux pannes.
RAID1 : (mirroring) la moiti de l espace est disponible pour l utilisateur (1000G
O) et celle-ci est
duplique sur l autre moiti, la tolrance de panne est assure. Aprs une perte de disque
la remise
en service est trs rapide puisqu on dispose d un disque identique au disque perdu
.
160
RAID5 : un disque est utilis pour le contrle de parit. Donc l espace disponible est

de (7 X 250 =
1750) pour l utilisateur et la tolrance aux pannes est assure. La remis
e en service ncessite la
reconstruction du disque perdu partir des autres disques.
Question 8. Dire quels sont les autres lments du serveur NAS qui perme
ttent d assurer la
continuit de service et la tolrance aux pannes.
Disques durs hot-swappable (branchement chaud) en RAID 0 5
Alimentation redondante et compatibilit UPS (l arrt se fera proprement partir de l
onduleur)
Mmoire vive de type ECC (contrle derreur),
2 interfaces intgres Intel Gigabit Ethernet (tolrance de panne possible)
Question 9. Justifier le choix dune offre daccs Internet de type SDSL.
Symetric Digital Subscriber Line, liaison haut dbit symtrique en descente
et en monte. Les
besoins de lentreprise sont effectivement un haut dbit bidirectionnel puisque laccs
Internet est
offert sur le rseau local et le serveur web hberg en local est ouvert lextrieur.
Question 10. Dterminer la classe, le nombre d adresses et la plage dadr
esses IP offertes par le
FAI (fournisseur daccs internet) ESN.
217.167.171.128 : classe C publique (rseau de 192.0.0.0
10
223.255.255.0
10
soit 110
2
au 1
er
octet)
IP :
217.167.171.128
10
1000 0000
2
Masque : 255.255.255.248
10
1111 1000
2
Plage : 1000 0001
2
1000 0110
2
217.167.171.129
10
217.167.171.134
10
Nombre d adresses : il reste trois bits pour la partie poste (host-id) donc 2
3
2 = 6
Question 11. Donner la signification de la rgle n 20.
Les internautes (tout le monde) accdent aux pages web publiques (port
standard 80) du serveur
SRV-3W.
Question 12. Donner la signification de la rgle n 30, et expliquer pourquoi cette
rgle ne rpond
pas prcisment aux contraintes daccs.
Tout le monde accde aux pages web prives du serveur SRV-3W. Les intern
autes devront
nanmoins connatre le port non standard utilis (http://www.espace-sante-nature.com:8
000)

Ceci ne rpond pas explicitement aux besoins. Au niveau du pare-feu, ri


en ne permet la scurit
daccs aux pages prives (extranet) rserves exclusivement aux boutiques.
Question 13. Donner la table de routage du pare-feu SRV-WALL.
Destination Masque Passerelle Interface
192.168.0.0 255.255.255.0 192.168.0.254 192.168.0.254
192.168.1.0 255.255.255.0 192.168.1.254 192.168.1.254
217.167.171.128 255.255.255.248 217.167.171.134 217.167.171.134
0.0.0.0 0.0.0.0 217.167.171.133 217.167.171.134
161
Question 14. tablir la nouvelle rgle de filtrage sur linterface externe
217.167.171.126
du
routeur SDSL.
Source Destination
N
IP Port IP Port
tat
10 Toutes 53 217.167.171.134/32 Tous Accepter
20 Toutes Tous 217.167.171.130/32 80 Accepter
30 195.200.10.64/26 Tous 217.167.171.130/32 8000 Accepter
40 Toutes Tous 217.167.171.129/32 25 Accepter
41 Toutes Tous 217.167.171.129/32 110 Accepter
Dfaut Toutes Tous Tous Tous Bloquer
Adresses : 195.200.10.65 195.200.10.126 .0100 0001
2
.01111 1110
2
Masque : .1100 0000
2
255.255.255.192
Rseau 195.200.10.64/26
Question 15. tablir la nouvelle table des rgles de filtrage sur linterface externe
de SRV-WALL
sachant que le SGBDR (implant sur le serveur SRV-SAGE) coute sur le port 3306.
Source Destination
N
IP Port IP Port
tat
10 217.167.171.134/32 53 Toutes Tous Accepter
20 217.167.171.130/32 Tous 192.168.0.3/32 3306 Accepter
30 217.167.171.130/32 80 192.168.0.0/24 Tous Accepter
40 217.167.171.129/32 25 192.168.0.0/24 Tous Accepter
41 217.167.171.129/32 110 192.168.0.0/24 Tous Accepter
Dfaut Toutes Tous Tous Tous Bloquer
Question 16. Expliquer la cause de lchec de rception du courriel, sachant que le FA
I na pas t
inform du nouveau plan d adressage.
Les noms de domaine
smtp.espace-sante-nature.com et pop.espace-sante-nat
ure.com doivent tre
raffects ladresse
217.167.171.129 dans la zone espace-sante-nature.com ad
ministre par le
DNS primaire (SOA) du FAI.
162
CDGJC J =Z
La socit A CLICK est spcialise dans la production et la distribution de logiciels pd
agogiques
destins aux enfants.
La socit dispose aussi d un service rdaction pour l laboration de magazine
s quotidiens pour

enfants.
L impression des magazines et fascicules est ralise par un imprimeur situ 160 km en
viron.
Vingt personnes de la socit A CLICK collaborent llaboration des logiciels,
dont quatre en
tltravail ( partir de leur domicile) et trois autres chez l imprimeur po
ur la mise en forme des
magazines et fascicules.
La socit A CLICK dispose dj dun rseau informatique reliant les collaborateur
s domicile
(essentiellement des dveloppeurs) et limprimeur.
Vous disposez du plan du rseau de la socit (annexe 1).
Le rseau de la socit A CLICK dessert le rez-de-chausse et le premier tage
de deux btiments
distants d une trentaine de mtres.
Les serveurs principaux sont placs au premier tage du btiment A dans un
local technique. Les
personnels sont rpartis sur les deux btiments.
Les dveloppeurs sur site travaillent essentiellement dans le btiment B.
La socit a mis en place un rseau bas sur une architecture Ethernet 100
Mbit/s commute
bidirectionnelle avec des liaisons fibres optiques entre les commutateurs ayant
un dbit de 1 Gbit/s.
Pour la configuration des commutateurs, l administrateur a choisi une solution b
ase sur des VLAN
(Virtual Local Area Network) de niveau 1 (annexe 2).
1. Pr senter les cr itr es qui plaident en faveur de lutilisation de r seaux locau
x vir tuels.
Le plan d adressage IP en fonction des rseaux locaux virtuels et la c
onfiguration actuelle des
commutateurs sont spcifis dans les annexes 3 et 4.
2. Indiquer la classe, ladr esse r seau et le masque par dfaut cor r e
spondant au plan
dadr essage spcifi lannexe 3. Justifier les r ponses.
3. Calculer le nombr e dhtes que peut accueillir chacun des r seaux vi
r tuels avec ce plan
dadr essage.
4. Donner le nombr e de domaines de diffusion (br oadcast) mis en pl
ace par la configur ation
des commutateur s C2, C3, C4 et C5.
Ladministrateur du rseau souhaite modifier la configuration des commutateurs (anne
xe 4).
Ladministrateur connecte un poste (appartenant au rseau IP 192.168.10.32/2
7 et configur sans
passerelle) sur le port libre c2e8 du commutateur C2 pour le configur
er. Il lance ensuite la
commande http://192.168.10.33 pour accder la page daccueil de loutil dadmi
nistration du
commutateur C2.
Il obtient le message " page web non disponible hor s connexion" " ter min" .
Pour comprendre la nature du problme, il effectue les trois tests suivants :
Test1 : Il lance la commande ping 192.168.10.33
Il obtient le message " Dlai dattente de la demande dpass" .
Test2 : Depuis le poste il branche un cble console sur le commutateur C2 et lance
une connexion
srie avec les proprits (Bits par seconde : 9600, Bits de donnes : 8, Parit : Aucun, B
its d arrt :
1, Contrle de flux : Matriel).
Il obtient le message de connexion Login : permettant daccder loutil
dadministration.

163
Test3 : Il connecte alors directement le poste (en Ethernet) sur le p
ort libre c3e8 du commutateur
C3 et lance la commande http://192.168.10.34
Il obtient la page web d accueil de loutil dadministration du commutateur C3.
5. Donner la r aison pour laquelle l administr ation du commutateur
C2 ne peut se fair e
actuellement que par le cble console. Pr oposer une solution pour r soudr e ce
pr oblme.
Suite une rorganisation des quipes de projet, il est ncessaire de dplacer le poste d
e travail dun
dveloppeur, identifi Dev5, pour l installer au rez-de-chausse du btiment B. Ce poste
est reli par
l intermdiaire d une prise murale, au port c4e7 du commutateur C4.
Aprs ce changement, l administrateur constate que le poste Dev5 ne peut plus com
muniquer avec
son serveur d applications Sappl. Il ralise diffrents tests partir de l
a prise et en conclut que ce
n est pas un problme de connexion physique.
6. Expliquer pour quoi ce dplacement a gnr ce pr oblme. Pr oposer une solution pou
r que
le poste Dev5 puisse de nouveau communiquer avec son ser veur d applications
par tir de son
nouvel emplacement.
Tous les postes du rseau peuvent communiquer entre eux grce la fonction de routage
active sur
C2 qui est un commutateur de niveau 3. Cependant, l administrateur n a
pas encore ajout dans la
table de routage de C2, la route par dfaut pour accder Internet. La syntaxe de la
commande pour
ajouter une route dans la table de routage de C2 est dcrite dans l annexe 4.
7. cr ir e l instr uction qui ajoute une r oute dans la table de r outage de C2
pour autor iser tous
les postes du r seau accder Inter net.
L tude des flux sur les rseaux montre qu aprs le redmarrage de l ensemble
des commutateurs
une multitude de trames de diffusion ARP parviennent au portable de l administra
teur.
Celui-ci entreprend des recherches sur Internet et obtient des rponses
lui expliquant un problme
de "tempte de broadcast".
8. Expliquer lexpr ession " tempte de br oadcast" et ce qui a pr ovoqu ce pr oblme
. Indiquer
quel pr otocole (ou algor ithme) l administr ateur doit activer sur
les commutateur s pour
r soudr e ce pr oblme.
Les pages des magazines sont stockes dans une base de donnes. Elles sont composes d
e textes et
d images numrises et dattributs de mise en forme. Les flux de communication avec lim
primeur
sont de simples transferts de donnes composant le magazine : texte, images et att
ributs de mise en
page.
La solution utilise actuellement pour relier lentreprise la socit A CLICK repose sur
une liaison
distance Numris 64 Kbit/s point point.
L impression quotidienne des magazines pour enfant tant en constante aug
mentation, l adaptation
de la ligne de communication reliant la socit A CLICK l imprimeur devient une prio
rit.

Le responsable du rseau estime en effet que le transfert des pages d


un magazine est trop long.
Ainsi, pour le transfert dune page de 300 Ko laquelle sajoute 15 % de
donnes de gestion (des
diffrents protocoles mis en uvre lors du transfert), il faut prs de 44 secondes.
9. Dter miner la bande passante minimum ncessair e, expr ime en Kbit/s, que doit s
uppor ter
la liaison pour r amener le temps de tr ansfer t d une page envir
on 10 secondes (justifier la
r ponse, pr endr e 1 Ko = 1 000 octets).
164
L administrateur constate que pour obtenir des temps de transfert de pages et un
cot acceptables, il
va falloir augmenter considrablement les dbits de transfert.
Lors d une runion, la direction de la socit a donn son accord pour augm
enter les dbits via
Internet.
Pour amliorer les capacits d accs, l administrateur propose la mise en pl
ace d une technologie
ADSL pour les dveloppeurs domicile et dune technologie SDSL pour l imprimeur.
10. Expliquer les pr incipales diffr ences techniques qui existent entr
e l ADSL et le SDSL
pr oposes par l administr ateur .
La connexion devra se faire de manire crypte, virtuelle, point point,
avec une passerelle VPN
(Virtual Private Network) dite aussi RPV (Rseau Priv Virtuel), situe sur le routeur
Rte_Aclick
de la socit. Elle offrira ainsi aux dveloppeurs et l imprimeur une extension du rsea
u priv.
Les dveloppeurs domicile pourront se connecter Internet, puis tablir une connexion
VPN vers
le rseau de la socit.
Pour la mise en place de ce tunnel VPN, le routeur Rte_A click doit
possder une adresse IP
publique fixe, utiliser un pare-feu effectuant de la translation d adresses et tr
e capable de rediriger
une demande vers une adresse IP prive (annexes 1 et 5).
11. Expliquer la dmar che que doit suivr e l administr ateur du r seau
pour obtenir une
adr esse IP publique fixe.
12. Lister les avantages (en dehor s des dbits) dune solution DSL/VPN
Aprs ces dmarches, ladresse IP attribue linterface publique est 66.101.21.1
2. En plus des
accs Internet, les donnes circulant sur le routeur Rte_A click provienn
ent des changes entre
l imprimeur et le serveur de base de donnes Ssgbd ainsi que des changes entre les
dveloppeurs
domicile et le serveur Intranet Sweb.
13. cr ir e la table de r outage du r outeur Rte_A click, par tir des informat
ions de l annexe 1.
Les fonctions de filtrage du routeur Rte_A click sont dj actives sur lin
terface publique
66.101.21.12 et sur l interface prive 172.16.120.253. Les tableaux ci-des
sous donnent un extrait
des tables de filtrage correspondant chacune de ces interfaces :
Table de filtr age de l inter face publique (66.101.21.12) du r outeur Rte_A
click
N de
rgle
Adresse source Port

source
Adresse
destination
Port
destination
Protocole Action
1 Toutes Tous 66.101.21.12/32 tous GRE Accepter
2 66.101.21.12/32 1723 Toutes tous TCP (tabli) Accepter
3 Toutes Tous 66.101.21.12/32 1723 TCP Accepter
4 Toutes Tous 66.101.21.12/32 500 UDP Accepter
6 Toutes Tous 66.101.21.12/32 1701 UDP Accepter
7 Toutes Tous 66.101.21.12/32 4500 UDP Accepter

Dfaut Toutes Tous Toutes Tous Tous Bloquer
Table de filtr age de l inter face pr ive (172.16.120.253) du r outeur Rte_A c
lick
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole Action

Dfaut Toutes Tous Toutes Tous Tous Accepter
14. Expliquer les r gles de filtr age 2 et 3 appliques sur l inter face publiqu
e.
165
Lors de la mise en place du tunnel la connexion, le serveur VPN doit attribuer a
ux dveloppeurs
domicile une adresse IP, prise sur une tendue statique allant de 172.1
6.120.8 172.16.120.15.
L imprimeur, quant lui, doit toujours recevoir l adresse IP 172.16.120.100.
Les dveloppeurs domicile ont accs au serveur de base de donnes Ssgbd et au serveur
Intranet
Sweb, mais en aucun cas l imprimeur ne pourra accder au serveur Intranet Sweb.
Ni les dveloppeurs domicile, ni l imprimeur ne doivent avoir accs au rs
eau interne de la
socit.
15. Ajouter la (les) r gle(s) de filtr age mettr e en place sur l
inter face 172.16.120.253 du
r outeur Rte_A click, afin de r especter les accs pr ciss ci-dessus, sa
chant que laction de la
r gle par dfaut est Accepter .
166
Annexe 1 : Rseau Ether net de la socit A CLICK
167
Annexe 2 : Rappel sur les VLAN
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion, grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Une trame ou un port peuvent tre
associs
un VLAN de manire statique ou dynamique :
- Statique : chaque port du commutateur est affect un VLAN par ladministrateur, un
e trame
en entre sur ce port sera associe au VLAN du port. On parle de VLAN de niveau 1 ou

VLAN
par port.
- Dynamique : chaque port du commutateur se voit affect dynamiquement un VLAN par
tir
dune information contenue dans la trame en entre sur ce port. Cette af
fectation peut tre
dfinie en fonction de ladresse MAC mettrice, de ladresse IP mettrice, dun
protocole, etc.
contenues dans la trame. On parle de VLAN de niveau 2 (VLAN dadresse MAC) de nive
au 3
(VLAN dadresse IP) ou de niveau applicatif (VLAN bas sur les protocoles d applicat
ion).
On considre quun port de commutateur ne sera associ qu un seul VLAN lexception des po
ts
dinterconnexion 802.1q. Un port 802.1q (dit tagged port) transporte des trames tiq
uetes avec un
en-tte 802.1q qui permet d associer la trame un VLAN. Ce port est gnra
lement rserv la
communication entre commutateurs.
Une trame ne peut tre associe qu un seul VLAN. Chaque VLAN peut tre gr
ar un
commutateur ou par plusieurs et un commutateur peut grer un ou plusieurs VLAN.
Lorsqu un commutateur reoit une trame de diffusion (broadcast), il la t
ransmet dune part
l ensemble des ports sur lesquels sont relis les postes appartenant au mme VLAN qu
e lmetteur,
dautre part aux ports 802.1q affects ce VLAN.
Annexe 3 : Plan d adr essage IP en fonction des r seaux locaux vir tuels
Chaque VLAN correspond un sous-rseau IP.
VLAN 1 (VLAN par dfaut) : Pour les postes du service administratif, a
dresse rseau
192.168.10.32 masque 255.255.255.224
VLAN 2 : Pour les postes du service de comptabilit, adresse rseau 192.168.10.64 ma
sque
255.255.255.224
VLAN 3 : Pour les postes du service dveloppement et serveurs, adresse rs
eau
192.168.10.96 masque 255.255.255.224
La communication entre les VLAN est assure par la fonction de routage
active sur C2,
commutateur de niveau 3. Pour constituer la table de routage de C2,
une adresse IP est affecte
chaque VLAN sur le commutateur C2, soit :
VLAN 1 : 192.168.10.62/27 VLAN 2 : 192.168.10.94/27 VLAN 3 : 192.168.10.126/27
Chaque poste du rseau est configur avec une passerelle par dfaut qui est l adresse
IP du VLAN
correspondant, mis en place sur le commutateur C2, soit :
- Service administratif, VLAN 1 (VLAN par dfaut), passerelle par dfaut : 192.168.1
0.62
- Service de comptabilit, VLAN 2, passerelle par dfaut : 192.168.10.94
- Service de dveloppement et serveurs, VLAN 3, passerelle par dfaut : 192.168.10.1
26
168
Annexe 4 : Configur ation des commutateur s et des r seaux locaux vir tuels
Commutateur C2 :
Administrable sur le VLAN2,
192.168.10.33/27
Protocole 802.1q activ, ports : c2f1, c2f2
Routage activ

Table gre du C2
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c2e1
c2e6
c2e7
c2e8
c2e9
c2ea
c2eb
c2ec
Aimp c2e2 Rte_Int c2e3
c2e4
c2e5
Sdns
Sfic
Simp
Commutateur C3 :
Administrable sur le VLAN1, 192.168.10.34/27
Protocole 802.1q activ, ports : c3f1, c3f2
Table gre du C3
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c3e7
c3e8
c3e9
c3ea
c3eb
c3ec
c3e1
c3e2
c3e3
c3e4
c3e5
c3e6
Sappl
Dev1
Dev2
Dev3
Dev5
Dimp
Commutateur C5 :
Administrable sur le VLAN3,
192.168.10.97/27
Protocole 802.1q activ, ports : c5f1, c5f2
Table gre du C5
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c5e1
c5e9
c5ea
c5eb
c5ec
Ad6 c5e2
c5e3
c5e4
c5e5
c5e6
c5e7
Ac1

Ac2
Ac3
Ac4
Ac5
Acim
c5e8 Scomp
Commutateur C4 :
Administrable sur le VLAN1, 192.168.10.35/27
Protocole 802.1q activ, ports : c4f1, c4f2
Table gre du C4
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c4e1
c4e2
c4e3
c4e4
c4e5
c4e7
c4e8
c4e9
c4ea
c4eb
c4ec
Ad1
Ad2
Ad3
Ad4
Ad5
c4e6 Dev4
Chaque commutateur dispose dau moins une adresse IP et est administrable sur un
seul VLAN.
Seul C2 est un commutateur de niveau 3 qui possde une fonction de r
outage. Il est configur
pour assurer la communication entre les rseaux locaux virtuels.
La commande pour ajouter une r oute dans la table de r outage de C2 est la sui
vante :
Syntaxe :
ADD IP ROUTE=ipadd1 INTERFACE=vlan NEXTHOP=ipadd2 [MASK=ipadd3]
Paramtres :
ROUTE ipadd1 : dfinit l adresse IP du rseau destinataire (0.0.0.0 pour la route
par dfaut).
INTERFACE vlan : dfinit le VLAN sur lequel est associe la route ajouter (par exe
mple : INTERFACE=vlan1).
NEXTHOP ipadd2 : dfinit l adresse IP du prochain saut (routeur) pour cette rout
e.
MASK
ipadd3 : dfinit le masque associ cette route (rseau destinataire). Ce paramt
re est facultatif.
Sil n est pas dfini, c est le masque de la classe de l adresse IP du
rseau destinataire qui est utilis
(0.0.0.0 pour la route par dfaut).
169
Annexe 5 : Le r seau VPN (Vir tual Pr ivate Networ k)
Ce rseau VPN utilise soit le protocole PPTP (Point to Point Tunneling Protocol),
soit le protocole
L2TP (Layer Two Tunneling Protocol) pour tablir une connexion.
Le ser veur VPN : Le serveur VPN doit possder une adr esse IP publique fixe afin
que les clients
VPN puissent utiliser cette adresse ou un nom DNS correspondant pour t
ablir leur connexion
VPN.

Lors de la demande de connexion du client VPN, le serveur VPN attrib


ue aux clients VPN une
adresse IP prive prise sur une tendue statique prdfinie.
Les paquets VPN entrent sur linterface publique du serveur VPN. Aprs vrification de
s filtres en
entre, celui-ci les dsencapsule du tunnel crypt (dchiffrement des donnes) e
t envoie le
datagramme IP priv en sortie sur linterface prive qui applique les filtres avant
de transmettre le
paquet vers le rseau priv.
Le filtr age du ser veur VPN :
Le pare-feu doit laisser entrer sur linterface publique les paquets VPN suivants
:
Pour un tunnel PPTP (Point to Point Tunneling Pr otocol) :
Adresse IP source : adresse IP publique du client VPN source
Adresse IP destination : adresse IP publique du serveur VPN destination
Port de destination : TCP/1723 (pour ltablissement et la maintenance du tunnel)
ID de protocole : GRE/47 (protocole spcifique pour les donnes encapsules dans le tu
nnel)
Pour un tunnel L2TP/IPSec (Layer Two Tunneling Pr otocol / Inter net
Pr otocol
Secur ity) :
Adresse IP source : adresse IP publique du client VPN source
Adresse IP destination : adresse IP publique du serveur VPN destination
Port de destination : UDP/500 (pour la gestion des cls dauthentification utilises p
our scuriser les
informations)
Port de destination : UDP/1701 (trafic L2TP)
Port de destination : UDP/4500 (IPSec NAT-Transversal)
170
.... .... . .: .... .... . .: .... .... . .: .... .... . .:
Question 1. Prsenter les critres qui plaident en faveur de lutilisation de rseaux lo
caux virtuels.
Le responsable du rseau a dcid de mettre en uvre des rseaux locaux virtu
els pour isoler les
flux entre les diffrents services (chaque VLAN tant associ un rseau IP)
et amliorer ainsi la
scurit des changes (les postes de mme VLAN communiquent
entre eux) et
optimiser
l utilisation de la bande passante (broadcast).
Question 2. Indiquer la classe, ladresse rseau et le masque par dfaut c
orrespondant au plan
dadressage spcifi lannexe 3. Justifier les rponses.
Classe : C car 192 en binaire commence par 110 - Adresse rseau : 192.168.10.0 ca
r on trouve par
exemple une adresse 192.168.10.33 et quen classe C on considre les 3 p
remiers octets comme
ladresse de rseau. Masque par dfaut 255.255.255.0
Question 3. Calculer le nombre dhtes que peut accueillir chacun des rsea
ux virtuels avec ce
plan dadressage.
Masque des sous-rseaux : 255.255.255.224, soit le dernier octet en binaire : 1110
0000.
Donc 3 bits pour les sous-rseaux, reste 5 bits pour les postes, soit
2
5
-2 = 30 htes possibles par
VLAN.
Question 4. Donner le nombre de domaines de diffusion (broadcast) mis
en place par la

configuration des commutateurs C2, C3, C4 et C5.


Il y a trois VLAN, donc trois domaines de diffusion.
Question 5. Donner la raison pour laquelle l administration du commutat
eur C2 ne peut se faire
actuellement que par le cble console. Proposer une solution pour rsoudre ce problme
.
Que se passe-t-il ? L administrateur ne peut pas administrer le commutateur C2.
Justification :
Car le commutateur C2 est administrable uniquement sur le VLAN2.
Or, lorsque l on se connecte sur le port C2e8 le portable est rattach au VLAN1 ce
qui implique une
impossibilit d administrer le commutateur C2.
Solutions :
1. Sur le commutateur C2 : changer le VLAN d administration (pass du VLAN2 en VLA
N1)
2. Sur le commutateur C2 : changer le port c2e8 en VLAN2 (avec cette
solution, lIP du
commutateur nest pas compatible avec le VLAN2).
Question 6. Expliquer pourquoi ce dplacement a gnr ce problme. Proposer une solution
pour
que le poste Dev5 puisse de nouveau communiquer avec son serveur d applications
partir de son
nouvel emplacement.
Justification :
Avant le dplacement, le poste Dev5 appartient au VLAN3, port c3e5 du commutateur
C3.
Aprs le dplacement, il est connect sur le port c4e7 du commutateur C4,
qui appartient au
VLAN1.
Dev5, plac dans le VLAN1, ne peut plus communiquer directement avec le
VLAN3 et sa
configuration IP ne permet pas de communiquer avec le VLAN3 en utilisant sa pass
erelle par dfaut
(routage activ sur C2).
Solution :
Sur le commutateur C4 : Configurer le port c4e7 en VLAN3.
171
Question 7. crire l instruction qui ajoute une route dans la table de routage de
C2 pour autoriser
tous les postes du rseau accder Internet.
L instruction est :
ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93
ou (le masque est facultatif pour la route par dfaut)
ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93 MASK=0.0.0.0
Question 8. Expliquer lexpression "tempte de broadcast". Indiquer quel pr
otocole (ou
algorithme) l administrateur doit activer sur les commutateurs pour rsoudre ce pr
oblme.
Explication de lexpression
Les liaisons redondantes entranent que chaque trame parcourant des chemi
ns diffrents passent
plusieurs fois par le mme commutateur qui rgnre de nouvelles trames etc.
On appelle a une
tempte de broadcast .
Choix de lalgorithme :
Les liaisons redondantes doivent tre invalides (suite la formation de liaison inte
r-commutateur)
sous peine de diffuser en plusieurs exemplaires des trames de broadcast et d aut
res trames.
Pour y remdier il faut s assurer que les commutateurs grent un algorith

me de gestion des
redondances comme STP (Spanning Tree Protocol) ou protocole 802.1d et
l activer sur tous les
commutateurs.
Question 9. Dterminer la bande passante minimum ncessaire, exprime en Kbi
t/s que doit
supporter la liaison pour ramener le temps de transfert d une page environ 10 se
condes (justifier
la rponse, prendre 1 Ko = 1 000 octets).
Bande passante dterminer :
Bande passante : Soit 15 % de donnes de gestion : 300 * 1,15 = 345
ko pour une page de
magazine.
Le temps de transfert actuel est de 43,12 secondes : [(345 * 1000 * 8) / (64 * 1
000)], soit 345 / 8.
Pour ramener 10 secondes :
10 = [(345 * 1000 * 8) / (d * 1000)]
d = (345 * 8) / 10
Il faut un dbit rel de 276 kbit/s.
Question 10. Expliquer les principales diffrences techniques qui existent entre l
ADSL et le SDSL
proposes par l administrateur.
ADSL (Asymetric DSL) est la technique utilise actuellement.
Les canaux
(la voie descendante
allant de l abonn vers le rseau et la voie montante allant du rseau ve
rs l abonn) sont
asymtriques c est--dire que leur dbit est diffrent.
SDSL (Symetric DSL ou Single line DSL) est une version monoligne de
HDSL.
Les canaux (la
voie descendante allant de l abonn vers le rseau et la voie montante allant du rsea
u vers l abonn)
sont symtriques c est--dire que leur dbit est identique.
Question 11. Expliquer la dmarche que doit suivre l administrateur du rs
eau pour obtenir une
adresse IP publique fixe.
Faire une demande dadresse IP Publique fixe auprs du fournisseur daccs Internet.
Question 12. Lister les avantages (en dehors des dbits) dune solution DSL/VPN.
Connexion permanente du fait de la liaison DSL, cot forfaitaire et indpendant de l
a distance
Scurit lie au VPN : encapsulation de la trame crypte et authentification.
172
Question 13. crire la table de routage du routeur Rte_A click, partir
des informations de
l annexe 1.
Table de r outage pour Rte_A click
Rseau Masque Routeur Interface
0.0.0.0 0.0.0.0 @IP_FAI_A Click 66.101.21.12
192.168.10.0 255.255.255.0 172.16.120.252 172.16.120.253
172.16.120.0 255.255.255.0 172.16.120.253 172.16.120.253
On acceptera en lieu et place de ladresse @IP_FAI_A Click une adresse publique co
hrente.
Question 14. Expliquer les rgles de filtrage 2 et 3 appliques sur l interface publ
ique.
Le pare-feu doit laisser entrer les flux VPN sur linterface publique.
Les rgles de filtrage 2 et 3 servent ltablissement et le maintien du tunnel VPN, l
a connexion
des clients VPN.
Question 15. Ajouter la (les) rgle(s) de filtrage mettre en place sur l interface
172.16.120.253 du
routeur Rte_A click afin de respecter les accs prciss ci-dessus, sachant que lact

ion de la rgle
par dfaut est Accepter .
Table de filtrage de l interface 172.16.120.253 du routeur Rte_A click :
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 172.16.120.100/32 Tous 172.16.120.7/32 Tous Tous Bloquer
2 172.16.120.100/32 Tous 192.168.10.0/24 Tous Tous Bloquer
3 172.16.120.8/29 Tous 192.168.10.0/24 Tous Tous Bloquer

Dfaut Toutes Tous Toutes Tous Tous Accepter
173
CDGJC J =
La socit Tholdi est implante dans plusieurs installations portuaires europe
nnes.
Elle est spcialise dans la gestion de containeurs destins au transport d
e marchandises.
Son sige social est situ en rgion parisienne et ses zones dactivits dans les ports de
:
- Le Havre (France) ;
- Marseille (France) ;
- Hambourg (Allemagne) ;
- Anvers (Belgique) ;
- Rotterdam (Pays-Bas).
Chacune des implantations comporte un systme informatique organis en rseau local. C
es rseaux
sont interconnects afin de permettre lchange dinformations en temps rel entre tous le
s sites.
Le rseau de cette entreprise est bas sur un protocole unique : TCP/IP
V4. Les rseaux locaux
utilisent une technologie Ethernet 100 Mb/s pour la connexion des pos
tes de travail et 1 Gb/s
pour tous les serveurs. Les diffrents sites sont relis au sige par des liaisons spci
alises.
Tous les utilisateurs des diffrents sites accdent aujourdhui lInternet via
le serveur proxy du
sige.
La socit THOLDI, toujours soucieuse de diminuer ses charges dexploitation, dcide de
tester une
solution RPV (Rseau Priv Virtuel) ou VPN (Virtual Private Network), pour
remplacer ses
actuelles liaisons loues reliant tous les ports au site de Paris. Le site pilote
choisi pour ce projet est
le site de Rotterdam. Vous tes charg de cette mission par ladministrateur rseau de l
a socit.
Ce dernier vous a fourni le plan de la solution mettre en place en annexe 1 et l
e plan dadressage
en annexe 2.
1. Indiquer , en obser vant le plan dadr essage, de quelle classe dadr e
sses il sagit. Expliquer
sil sagit dadr esses pr ives ou publiques. Justifier les r ponses.

Le projet commence par linstallation du routeur daccs lInternet qui doit


remplacer le routeur
grant la liaison loue avec Paris. Celui-ci possde une fonction NAT (Netw
ork Address
Translation) et une adresse publique en 82.216.198.161/29.
2. Donner ladr esse de r seau public de Rotter dam. Justifier la r ponse.
3. Dter miner le nombr e dhtes pouvant tr e adr esss sur ce sous-r seau.
Donner les
adr esses utilisables pour ces htes ainsi que ladr esse de diffusion. Justifier
la r ponse.
Il sagit maintenant dinstaller le serveur RPV et de configurer les lments
du rseau
indispensables la ralisation de ce projet. Pour faciliter votre travail, ladminist
rateur rseau vous
a fourni une documentation sur les RPV. Elle est disponible en annexe 3.
La configuration suivante a t retenue pour la mise en place du RPV entre le site d
e Rotterdam et
le site de Paris :
Le serveur
RPV du rseau de Rotterdam, paramtr pour faire du routage e
t de la
tunnelisation , est install ladresse relle 172.30.192.100/19. Ce serveur RPV possde
une
carte virtuelle dadresse 10.7.124.240/8.
Ladministrateur rseau sest charg de linstallation du serveur RPV de Paris.
Ce dernier est
install sur la machine hbergeant le serveur DHCP. Ladresse virtuelle du
serveur RPV de
Paris est 10.119.255.97/8.
Les paquets transports par le RPV utilisent le protocole UDP et le port 1500.
174
Le routeur Internet du site de Paris possde ladresse 83.225.12.17/30. Po
ur autoriser la
redirection des paquets reus sur le routeur Internet de ce site vers le serveur R
PV de ce mme
site, ladministrateur rseau a mis en place une redirection de port ou
DNAT (Destination
Network Address Translation).
Vous tes charg(e) deffectuer un paramtrage similaire sur le routeur Intern
et du site de
Rotterdam. Pour effectuer ce travail vous utiliserez le modle de tableau prsent cidessous.
Interface Type Protocole Adresse
publique
Port
public
Adresse
prive
Port
priv
DNAT
4. cr ir e, en utilisant le modle de tableau pr sent ci-dessus, la r gle mettr e en p
lace.
Lannexe 4 vous prsente la table de routage du serveur RPV de Rotterdam.
5. Indiquer , en obser vant la table de r outage du ser veur RPV de Rotter dam,
si le site de Par is
et le site de Rotter dam sont bien r elis par un tunnel dadr esse de r seau 10.0.0
.0/8. Justifier
la r ponse.
6. Complter la table de r outage pour que le site de Rotter dam pui
sse communiquer avec le

site du Havr e via le ser veur RPV de Par is.


7. Simplifier la table de r outage obtenue en pr oposant une agr gatio
n de r outes. Justifier la
r ponse.
8. Indiquer ladr esse de passer elle qui doit tr e dfinie sur chaque o
r dinateur du site de
Rotter dam.
Pour tester votre RPV, vous connectez votre portable ladresse 172.30.192.1/19 et
vous excutez
la commande ping, en continu, vers le portable de ladministrateur rseau
situ Paris ladresse
172.30.32.1/19. Vous lancez alors une capture de paquets sur la carte rseau relle
du serveur RPV
de Rotterdam. Cette capture est prsente en annexe 5.
9. Expliquer , en utilisant la captur e de paquets de lannexe 5, pour
quoi les adr esses IP
dor igine et de destination des paquets en entr e et en sor tie du ser
veur RPV (r outeur
chiffr ant) sont diffr entes alor s quil sagit pour tant du mme message (ping reques
t pour les
lignes 1 et 2).
Vous testez maintenant le fonctionnement global de linterconnexion du site de R
otterdam avec le
site de Paris depuis un poste fixe de Rotterdam. Vous constatez que
le serveur DHCP de Paris
narrive pas vous fournir une adresse IP.
10. Indiquer la fonctionnalit qui na pas t mise en place sur le site de Rotter dam
. Justifier
la r ponse.
Aprs la mise en place de larchitecture dcrite en annexe 1, on se proccupe maintenant
des accs
Wi-Fi pour le site de Rotterdam.
Les conducteurs dengins du port maritime sont quips de PDA (Personal Dig
ital Assistant ou
Assistant Personnel) de type HP iPAQ hx2490, qui ne supportent que le chiffremen
t en mode Wep.
Les informations sur chaque transport sont ainsi saisies en temps rel.
175
Le rseau Wi-Fi de la socit THOLDI respecte la norme 802.11g et offre un dbit thorique
de 54
Mbits/s (26 Mbits/s rels) sur la bande de frquence 2,4 GHz. Cette norme offre une
compatibilit
descendante avec la norme 802.11b. Le mode de fonctionnement utilis est le mode i
nfrastructure,
centralis autour dun seul point daccs Wi-Fi pour le site. Ce point daccs joue galement
le rle
de commutateur et dispose de six ports RJ45 dont trois sont libres.
11. Donner les avantages du mode point daccs (infr astr uctur e) par r appor t a
u mode dgal
gal (ad hoc).
12. Expliquer ce quest un SSID.
Le point d accs Wi-Fi a t paramtr ainsi :
Non diffusion du SSID du rseau ;
Chiffrement Wep activ ;
Activation du filtrage par adresse MAC.
13. Citer les par amtr es Wi-Fi enr egistr er sur les PDA pour pouvoir se co
nnecter au
commutateur Wi-Fi.
Pour accentuer la scurit des LAN du site, ladministrateur rseau envisage de mettre e
n place des

VLAN. Il espre ainsi mieux grer le trafic gnr par les PDA des camionneurs. Il pense i
nstaller
deux VLAN : un VLAN Wifi pour les seuls PDA et un VLAN Lan pour le reste du site
. Le
commutateur Wi-Fi permet d associer un SSID chaque VLAN et permet de grer des V
LAN par
port.
14. Dcr ir e le pr incipe de fonctionnement dun VLAN par por t.
Avant de mettre en uvre cette solution, l administrateur souhaite tudier
ses consquences sur la
configuration actuelle du rseau du site de Rotterdam.
15. Donner le nombr e de domaines de diffusion ainsi dfini sur le site.
16. Dter miner si l administr ateur r seau peut conser ver le plan d
adr essage IP des PDA.
Justifier la r ponse.
17. Exposer une solution per mettant au PDA du VLAN Wifi de communiq
uer avec les
postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matrie
l peut tre
ajout). Pr ciser les configur ations mettr e en place sur le commutateur Wi-Fi
et sur les PDA.
L objectif attendu par l administrateur rseau est la limitation d coute passive pa
r un portable pirate
disposant dune liaison Wi-Fi et ayant cass la cl Wep.
18. Indiquer , avant la mise en uvr e des VLAN, la natur e des changes entr e les
ser veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant
dune liaison Wi-Fi.
Justifier la r ponse.
19. Indiquer , apr s la mise en uvr e des VLAN, la natur e des changes entr e les s
er veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant
dune liaison Wi-Fi.
Justifier la r ponse.
Aprs cette tude pralable l administrateur rseau dcide d abandonner la mise en place d
es VLAN
estimant que la solution n est pas techniquement et financirement adapte.
20. Pr oposer une autr e solution per mettant de r duir e les r isques
dcoute passive et ses
consquences sur les quipements actuels
176
177
Annexe 2 : Plan dadr essage r seau de la socit THOLDI
172.30.32.0/19 rseau du sige Paris
172.30.64.0/19 rseau du port du Havre
172.30.96.0/19 rseau du port de Hambourg
172.30.128.0/19 rseau du port dAnvers
172.30.160.0/19 rseau du port de Marseille
172.30.192.0/19 rseau du port de Rotterdam
Annexe 3 : Fonctionnement dun RPV (Rseau pr iv vir tuel)
Le RPV correspond une interconnexion de rseaux locaux via une techniqu
e de tunnel . On
parle de RPV lorsqu un organisme interconnecte ses sites via une infra
structure partage avec
d autres organismes. C est sur Internet et les infrastructures IP que
se sont dveloppes les
techniques de tunnel .
Le RPV utilise Internet comme support de transmission en utilisant un
protocole de
tunnelisation qui encapsule les donnes transmettre, donnes qui sont elle

s-mmes chiffres.
On parle alors de RPV pour dsigner le rseau ainsi cr, qui est dit virtuel car il rel
ie deux rseaux
physiques (rseaux locaux) par une liaison non fiable (Internet) et priv car seuls
les ordinateurs
des rseaux locaux de part et d autre du RPV peuvent accder aux donnes en clair.
Le RPV permet donc d obtenir une liaison scurise moindre cot, si ce n est la mise e
n uvre des
quipements terminaux. En contrepartie, il ne permet pas d assurer une q
ualit de service
comparable une ligne loue dans la mesure o le rseau physique est public, donc non g
aranti.
Annexe 4 : Table de r outage du ser veur RPV de Rotter dam
Destination rseau Masque rseau Adresse de
Passerelle
Adresse
Interface
0.0.0.0 0.0.0.0 172.30.192.254 172.30.192.100
10.0.0.0 255.0.0.0 10.7.124.240 10.7.124.240
172.30.32.0 255.255.224.0 10.119.255.97 10.7.124.240
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100
Annexe 5 : Captur e de paquets sur le ser veur RPV de Rotter dam
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500 Destination
port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500 Destination
port: 1500
4 Sortie 172.30.32.1 172.30.192.1 ICMP Echo (ping) reply
178
.... .... . . .... .... . . .... .... . . .... .... . ., ,, ,
Question 1. Indiquer, en observant le plan dadressage, de quelle classe
dadresses il sagit.
Expliquer sil sagit dadresses prives ou publiques. Justifier les rponses.
Il sagit de classe B car les valeurs de 128 191 pour le premier octet dfinissent l
a classe B.
Il sagit dadresses prives car de 172.16.0.0 172.31.255.255 ce sont des adresses pri
ves.
Question 2. Donner ladresse du rseau public de Rotterdam. Justifier la rponse.
Ladresse du routeur internet est 82.216.198.161/29. Avec un masque de 2
9 on utilise les cinq
premiers bits du dernier octet pour adresser les sous-rseaux et les tr
ois derniers pour adresser les
htes du sous-rseau.
Les adresses rseau des sous-rseaux varient donc de 8 en 8.
soit 0,8,16,32,40,48,56,64,72,80,88,96,104,112,120,128,136,144,152,160,168. Lad
resse du sousrseau public de Rotterdam est donc 82.216.198.160/29.
Question 3. Dterminer le nombre dhtes pouvant tre adresss sur ce sous-rseau
. Donner les
adresses utilisables pour ces htes ainsi que ladresse de diffusion. Justifier la rp
onse.
Les 3 bits restant permettent dadresser 2
3
-2 = 6 htes. Premier hte 82.216.198.161, dernier hte
82.216.198.166, adresse de diffusion 82.216.198.167.
Question 4. En utilisant le modle de tableau prsent ci-dessous, donner la rgle mettr
e en place.
Interface Type Protocole Adresse publique Port

public
Adresse prive Port
priv
82.216.198.161 DNAT UDP 82.216.198.161/29 1500 172.30.192.100/19 1500
Question 5. Indiquer, en observant la table de routage du serveur RPV de Rotterd
am, si le site de
Paris et le site de Rotterdam sont bien relis par un tunnel dadresse de rseau 10.0.
0.0/8. Justifier la
rponse.
Destination rseau Masque rseau Adr. Passerelle Adr. Interface Mtrique
0.0.0.0
0.0.0.0
172.30.192.254
172.30.192.100
20
10.0.0.0
255.0.0.0
10.7.124.240
10.7.124.240
2
0
172.30.32.0 255.255.224.0
10.119.255.97
10.7.124.240
1
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100
20
On constate bien que pour atteindre le rseau de Paris situ en adresse
172.30.32.0/19 on sort par
linterface 10.7.124.240 pour atteindre la passerelle 10.119.225.97. Cette
adresse de passerelle est
en fait ladresse virtuelle du serveur RPV de PARIS. Tous les paquets
destination de Paris
passeront donc bien par le tunnel RPV dadresse de rseau 10.0.0.0/8.
Question 6. Complter la table de routage pour que le site de Rotterdam puisse com
muniquer avec
le site du Havre via le serveur RPV de Paris.
Il faut rajouter la ligne suivante :
172.30.64.0 255.255.224.0
10.119.255.97
10.7.124.240
179
Question 7. Simplifier la table de routage obtenue en proposant une agrgation de
routes. Justifier
la rponse.
Les routes concernant le site de Paris et du Havre peuvent tre regrou
pes car elles ont une partie
commune en binaire sur le troisime octet :
32
00100000
64
01000000
172.30.0.0 255.255.128.0
10.119.255.97
10.7.124.240
Question 8. Indiquer ladresse de passerelle qui doit tre dfinie sur chaq
ue ordinateur du site de
Rotterdam.
Les communications intersites doivent passes par le RPV. Ladresse de pas
serelle des htes de
Rotterdam doit tre ladresse du serveur RPV soit 172.30.192.100. Comme le
montre la table de
routage si le rseau de destination est inconnu, le serveur RPV route le paquet ve
rs sa passerelle par
dfaut, le routeur internet. Les accs lInternet ne sont donc pas perturbs par la mise
en place de
cette passerelle par dfaut.
Question 9. Expliquer, en utilisant la capture de paquets de lannexe 5
, pourquoi les adresses IP
dorigine et de destination des paquets en entre et en sortie du serveur RPV (route
ur chiffrant) sont
diffrentes alors quil sagit pourtant du mme message (ping request lignes 1 et 2).
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500
Destination port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500

Destination port: 1500


4 Sortie 172.30.32.1 172.30.192.1 ICMP Echo (ping) reply
Un serveur RPV encapsule les paquets dorigine pour les faire transiter dans le tu
nnel. La ligne 1 est
le premier echo request de la commande ping mise par le portable de Rotterdam des
tination du
portable de ladministrateur rseau de Paris. Ce paquet est trait par le
serveur RPV de la faon
suivante : il y a chiffrement et encapsulation
Paquet reu en premier par le serveur RPV
172.30.192.1 172.30.32.1 ICMP Donnes
Le premier paquet pour pouvoir voyager sur internet est encapsul dans ce deuxime p
aquet
172.30.192.100 83.255.12.17 1500 UDP Donnes
La ligne 2 est donc le paquet qui encapsule les donnes chiffres du ping de la lign
e 1.
Ladresse 83.255.12.17 est ladresse du routeur internet du site de Paris.
Ladresse 172.30.192.100, adresse du serveur RPV de Rotterdam, sera nate pa
r le routeur
internet de Rotterdam et deviendra 82.216.198.161.
Il existe donc dans les fichiers de configuration du serveur RPV, une
correspondance entre son
adresse virtuelle, son adresse relle et son adresse publique.
180
Question 10. Indiquer la fonctionnalit qui na pas t mise en place sur l
e site de Rotterdam.
Justifier la rponse.
Le site de Rotterdam et le site de Paris ne sont pas sur le mme rseau. Le serveur
DHCP est situ
Paris. Il est donc ncessaire dinstaller un serveur relais DHCP sur le site de Rott
erdam. En effet le
serveur relais DHCP permet de relayer les demandes et les attributions
dadresses dans le port de
Rotterdam depuis le serveur DHCP du site de Paris.
Question 11. Donner les avantages du mode point daccs (infrastructure) p
ar rapport au mode
dgal gal (ad hoc).
cot Scurit Mise en uvre
Infrastructure Plus lev Trs bonne avec un
routeur
Point daccs ou routeur wifi
Cartes wifi
Ad hoc Peu lev Peu scuris Trs simple
Cartes wifi
Il sagit ici du rseau dune entreprise, le mode infrastructure est donc le mode le p
lus appropri.
Question 12. Expliquer ce quest un SSID.
Service Set Identifier, identifiant de 32 caractres de long au format ASCII serva
nt de nom pour le
rseau. La connaissance du SSID est ncessaire pour quune station puisse se connecter
au rseau.
Question 13. Citer les paramtrages Wi-Fi enregistrer sur les PDA pour pouvoir se
connecter au
commutateur Wi-Fi.
Il faut configurer le SSID sur le poste puisquil nest pas diffus.
Il faut dfinir la cl WEP utilise par le point daccs.
Question 14. Dcrire le principe de fonctionnement dun VLAN par port.
Cest lassociation dans le commutateur dun port un numro de VLAN. Toutes les trames mi
ses
et reues sur le port ne seront commutes que vers un port appartenant

au mme VLAN. Si
plusieurs VLAN sont dfinies sur le port il faut que les trames soient tiquetes.
Question 15. Donner le nombre de domaines de diffusion ainsi dfinis sur le site.
Deux domaines de diffusion sont grs sur chaque site. Un par Vlan.
Question 16. Dterminer si l administrateur rseau peut conserver le plan d adressag
e IP des PDA.
Justifier la rponse.
Les deux VLANS sont isols. On peut conserver le mme plan dadressage IP mais dans ce
cas on
ne pourra jamais communiquer entre les deux Vlans.
En effet pour co
mmuniquer en IP entre les
deux VLANs il faut un routeur ce qui implique que les rseaux IP sur chaque Vlan s
oient diffrents.
181
Question 17. Exposer une solution qui permettrait au PDA du VLAN Wifi de commu
niquer
avec les postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel
peut
tre ajout). Prciser les configurations mettre en place sur le commutateu
r Wi-Fi et sur les
PDA.
Il faut un routeur. Ce routeur aura deux cartes rseaux (relles ou virtuelles) avec
une adresse IP sur
chacun des rseaux.
Si le routeur possde deux cartes relles, il faut associer chacune de ces cartes un
VLAN et donc
mettre jour sur le commutateur Wi-Fi les associations VLAN <-> port (une carte s
ur Wi-Fi et une
carte sur LAN).
Si le routeur ne possde quune carte relle mais deux cartes virtuelles, i
l faut sur le commutateur
Wi-Fi installer le protocole 802.1Q sur le port o est connecte cette carte relle.
Sur les PDA, il faut paramtrer ladresse IP de la carte rseau du routeur situe sur le
mme VLAN
comme passerelle.
Question 18. Indiquer, avant la mise en uvre des VLAN, la nature des
changes entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune
liaison WiFi. Justifier la rponse.
Les changes entre les serveurs sont commuts. Les changes unicast ne seront pas capt
urables car
non transmis par le point daccs par contre les changes broadcast le seront.
Question 19. Indiquer, aprs la mise en uvre des VLAN, la nature des ch
anges entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune
liaison WiFi. Justifier la rponse.
Cela ne change pas grand chose. Les changes entre les serveurs sont t
oujours commuts. Les
changes unicast ne seront pas capturables car non transmis par le poin
t daccs et isols dans un
VLAN. Par contre les changes de broadcast ne seront pas transmis par le point daccs
car le SSID
a t associ au VLAN Wifi.
Question 20. Proposer une autre solution permettant de rduire les risques dcoute pa
ssive et ses
consquences sur les quipements actuels.
Il faut passer un mode de chiffrement plus difficile craquer que le

chiffrement Wep, le
chiffrement WPA par exemple. On peut aussi envisager la mise en place dun serveur
Radius et une
authentification des PDA par certificats lectroniques.
Le choix de chiffrement WPA impose le changement des PDA.
182
CDGJC J =C
La socit FEFORT, installe en France, est spcialise dans la torrfaction et
lassemblage de
cafs.
Activit de lentreprise
FEFORT possde des units de production en Afrique, Amrique Centrale et Amrique du Sud
qui
soccupent de la collecte de la matire premire, la cerise de caf , auprs
es producteurs
locaux. Cette matire premire est ensuite lave et dpulpe sur place. Une f
is schs, les
grains verts qui rsultent de lopration prcdente traversent lAtlantique, en b
ateau, jusquau
Havre.
La socit procde en France la torrfaction des grains verts. Ceux-ci, gril
ls dans des fours,
librent alors larme attendu. Les laboratoires ralisent aussi, si ncessaire,
lassemblage des
diffrentes varits de caf, tous les consommateurs nayant pas les mmes attent
es du produit,
souvent en fonction de leurs habitudes culturelles.
Son client principal est la grande distribution sous sa propre marque
ou sous la marque du
distributeur.
Implantation gographique
Le sige de la socit est situ en rgion PACA (Provence-Alpes-Cte dAzur). Il
regroupe les
services administratifs et de direction, un service qualit, recherche et dveloppem
ent (QR&D)
intgrant un laboratoire charg de tester de nouveaux produits. Le service
qualit est charg de
veiller la qualit des processus de lentreprise, aussi bien administratifs, que de
production.
Le centre informatique principal est implant au sige de la socit. Les autres sites y
accdent pour
l essentiel de leurs traitements.
Le rseau et le parc informatique ont pris de lampleur au fil des annes
et il est ncessaire de le
rationaliser.
Jeune diplm(e), vous travaillez en tant que technicien(ne) sur le site
principal, dans lquipe
rseau et systmes, charge de larchitecture et de la scurit de celui-ci.
Le rseau principal du sige regroupe un grand nombre de stations cliente
s (environ 250) et de
serveurs. Bien que ce rseau s appuie sur une arborescence de commutateu
rs, les diffusions sont
nombreuses et pnalisent lourdement le rseau. De plus, la direction souha
ite que les changes de
donnes entre les postes dun mme service ne soient pas, pour des raisons
de confidentialit,
accessibles aux autres services. Pour scuriser et allger la charge du rseau, Mon
sieur Godard, le
directeur du service informatique envisage deux solutions :
La premire consiste crer 8 sous-rseaux (7 services plus la liaison vers

le pare-feu) en
remplaant le commutateur central (voir annexe 1) par un routeur IP 8
interfaces. Monsieur
Godard vous demande d tudier dans un premier temps la faisabilit de cette solution
.
La seconde solution fait appel aux VLAN et sera envisage dans le dossier suivant.
tude de la pr emir e solution
Chaque service correspondra un sous rseau. Monsieur Godard a choisi duti
liser un masque de
sous-rseau de 20 bits.
1. Donner l cr itur e dcimale pointe de ce masque et indiquer combien
de sous r seaux
pour r ont tr e cr s l aide de celui-ci.
2. Pr oposer une adr esse IP de r seau pour chacun des ser vices. La
proposition doit tre
compatible avec les adresses statiques existantes indiques dans l annexe 2.
183
3. Donner ladr esse de la passer elle par dfaut des postes du ser vice commer ci
al, sachant quil
sagit de ladr esse disponible la plus leve pour ce sous-r seau.
Suite cette modification, les postes des diffrents services configurs en DHCP ne r
eoivent plus
leurs paramtres IP.
4. Expliquer la r aison de ce dysfonctionnement et pr ciser les modifications a
ppor ter , dune
par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Par e-feu : Filtr age du tr afic r seau
En complment de la protection des accs lentreprise prise en charge par le fourniss
eur daccs
Internet, le DSI envisage de filtrer le trafic rseau entre le sige et les units du
groupe.
Le pare-feu du sige doit tre configur pour :
permettre tous les utilisateurs l accs la navigation web via le serveur mandatai
re (proxy)
du FAI (port 3128) ;
limiter laccs des units du groupe uniquement au service informatique ;
donner au service informatique (et donc au poste de l administrateur) accs l ens
emble des
services et sites distants.
5. En utilisant le for malisme donn en annexe 4, donner les r gles ap
plicables en entr e de
linter face concer ne per mettant de r especter les consignes donnes. Vous veiller
ez limiter le
nombre de rgles dfinir.
DHCP : Cr ation d une tendue de secour s
Chaque unit dispose de son propre serveur DHCP. L administrateur du rsea
u souhaite introduire
un dispositif de tolrance de panne s appuyant sur le serveur DHCP du sige.
En cas de dysfonctionnement dun serveur local, le serveur du sige devra
donc pouvoir fournir
leurs paramtres IP aux stations distantes qui en font la demande.
Vous avez t charg(e) de tester la solution sur le site de Villeurbanne.
Le serveur DHCP local possde la configuration suivante :
tendue
: Villeurbanne
Plage d adresses : 172.22.0.1 172.22.0.149
Masque
: 255.255.0.0
Options
Passerelle : 172.22.250.204 (adresse interne du routeur 4)

DNS
: 172.16.200.2
6. Indiquer les modifications appor ter afin de distr ibuer des adr esses val
ides aux stations de
Villeur banne, sur une tendue de mme taille.
DNS : Mise en place d une dlgation de zone
Le serveur DNS du sige prend en charge les rsolutions de noms pour l
ensemble du groupe. La
charge importante pour ce serveur et lutilisation des liaisons distantes
pnalisent les temps de
rponse. Il a donc t dcid de mettre en place des serveurs DNS locaux sur
le principe des
dlgations de zone. Chaque site grera sa propre zone dpendante de la zone principale
du groupe.
L arborescence souhaite est donne en annexe 6.
7. Appor ter les modifications ncessair es au fichier de la zone fefort.loc (an
nexe 5) et cr ir e le
fichier de la zone villeurbanne.fefort.loc.
184
Pour amliorer la tolrance aux pannes, il a t dcid que le serveur DNS du
sige serait serveur
secondaire pour chacun des domaines fils. En cas de dfaillance d un se
rveur DNS, les clients du
site pourront alors utiliser les services du serveur DNS du sige.
Une premire exprimentation de ce dispositif doit tre mise en uvre sur le site de Vil
leurbanne.
8. Expliquer les modifications appor ter au ser veur DNS du sige dune par t et
celui du site
de Villeur banne dautre par t.
Le directeur vous suggre de mettre en place une solution base sur lutilisation de rs
eaux locaux
virtuels (VLAN). Cette solution permettra de rduire le primtre des domain
es de diffusion et de
scuriser les changes entre les services. Lacquisition dun nouveau commutate
ur est ncessaire
pour remplacer le commutateur actuel, notamment pour :
Grer les VLAN et la priorit des flux ;
viter les temptes de diffusion ;
Supporter la redondance de liens avec un autre commutateur de mme type ;
Administrer distance le commutateur en mode console ainsi qu laide doutils de superv
ision
de rseau.
9. Dter miner la configur ation matr ielle et pr ciser les pr otocoles q
ue devr a suppor ter le
nouveau commutateur . Le rle des fonctions et protocoles quil prendra en
charge sera
expliqu.
En vous documentant sur les VLAN afin de monter le dossier, vous vou
s apercevez que
ltanchit quoffrent les VLAN ne permettra plus aux postes de communiquer a
ec les
serveurs du service informatique.
10. Pr oposer une solution matr ielle complmentair e pour per mettr e aux postes
de tr avail des
diffr ents ser vices daccder aux ser veur s du ser vice infor matique. Exp
liquer br ivement
comment elle doit tr e mise en uvr e.
Une fois cette solution mise en place, un problme survient. Le service
dassistance tlphonique
interne au groupe est dbord dappels : les diffrents sites ne peuvent plus
accder aux serveurs.

Lorigine de la panne est trouve : le routeur R1 est hors service.


Le problme est rgl par le remplacement du routeur dfaillant par un nouveau routeur q
uil a fallu
configurer. Le dpannage a ncessit une journe de travail. Aprs avoir reu les chiffres d
e la perte
dexploitation gnre par cette rupture de liaison, le DSI cherche viter quune telle int
rruption
de service puisse nouveau survenir. Ce dernier vous demande de proposer une solu
tion permettant
de garantir la continuit du service daccs aux serveurs du sige lorsquune
panne identique se
prsente.
11. Pr oposer une solution per mettant de gar antir la continuit du ser vice dac
cs aux ser veur s
du sige lor s dune panne du r outeur . Expliquer les pr incipes de fon
ctionnement de votr e
solution.
185
Annexe 1 Schma du r seau de la socit FEFORT
Internet
Rseau
maill
MPLS
Fournisseur dAccs Internet
? Filtrage de contenu
? Proxy Web/ Ftp
? Relais de messagerie
? Anti-virus
? Anti- spam
? DNS
Costa Rica
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Brsil
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Kenya
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Sige
Villeurbanne ( F)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Bourg- en- Bresse ( F)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Serveur
DNS
Direction
Service
Marketing
Service

Relation
Client
Service
Commercial
Service
Gestion/
compta
Service Qualit,
Recherche et
Dveloppement
Liaisons SDSL jusquau
fournisseur MPLS
F.A.I . priv
Neuchtel ( Suisse)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Ethernet Commut
Lgende
R1
R2
R3
R4
R5
R6
R7
Connexion
vers le reste
du groupe
Pare-feu
172.16. 0. 0/16
172.17.0. 0/ 16
172.20. 0. 0/16
172. 21.0.0/16
172.22.0.0/ 16
172.23.0.0/16
172.24.0. 0/ 16
172.25.0. 0/ 16
Commutateur
central
Serveur
DHCP
Service informatique
Serveur
SGBD et
DHCP
Commutateurs vers
les diffrents
services
186
Annexe 1 (suite)
Les sites du groupe sont interconnects
Le rseau et son
adressage sont grs par le fournisseur.
nt observer le
fonctionnement de celui-ci, dtecter les
t demander le
redimensionnement de certaines liaisons
quil est important
dconomiser la bande passante inter-sites.

par un rseau professionnel MPLS.


Le groupe FEFORT peut tout mome
goulets dtranglement et ventuellemen
sites vers MPLS . Cest pour cela

Plan d adr essage du gr oupe FEFORT


Classe B prive : 172.16.0.0/16 172.25.0.0/16
Le sige possde 2 rseaux : 172.16.0.0 (services sige), 172.17.0.0 (liaison PF-Routeur
)
Chaque service dispose dun maximum de 50 stations.
Seuls le service informatique et le pare-feu utilisent des adresses statiques.
Pour infor mation : MPLS (Multi-Protocol Label Switching)
Un rseau MPLS est mis en place par un oprateur spcialis, il permet des
entreprises trs
tendues dinterconnecter leurs sites trs facilement comme sils appartenaient un rseau
local. Le
protocole MPLS intervient au niveau 2 du modle OSI. On sy connecte le
plus souvent avec une
liaison SDSL.
Diffrentes entreprises peuvent emprunter les mmes chemins, car ltanchit en
les
diffrents clients de ce rseau est assure, en partie, par un marquage d
s trames. La
marque (tag) est unique pour une entreprise.
Annexe 2 : Adr esses statiques attr ibues au sige
Machine @ IP F.Q.D.N.
Serveur d authentification 172.16.200.1 logon.fefort.loc
Serveur DNS 172.16.200.2 ns.fefort.loc
Serveur DHCP 172.16.200.3 dhcp.fefort.loc
Serveur de messagerie 172.16.200.4 mail.fefort.loc
Serveur de dveloppement 172.16.200.5 dev.fefort.loc
Serveur de fichiers 172.16.200.6 fichiers.fefort.loc
Serveur de sauvegardes 172.16.200.7 backup.fefort.loc
Serveur d impressions 172.16.200.8 imp.fefort.loc
Serveur de bases de donnes 172.16.200.9 bdd.fefort.loc
Ferme de serveurs d applications 172.16.200.10 appli.fefort.loc
Poste admininistrateur 172.16.200.200 poste_admin.fefort.loc
Pare-feu 172.16.220.1
172.17.0.1
Routeur 1 (R1) 172.17.0.201
187
Annexe 3 : Configur ation du ser veur DHCP du sige
tendue
: Sige FEFORT
Plage d adresses distribues : 172.16.0.1 172.16.2.255
Masque
: 255.255.0.0
Options
Passerelle par dfaut : 172.16.220.1
Serveur DNS
: 172.16.200.1
Annexe 4 : Str uctur e de la table de filtr age
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action

Chaque adresse sera indique au format xxx.xxx.xxx.xxx/nn o nn est le no


mbre de bits 1 du
masque.
Annexe 5 : Contenu du fichier de configur ation de la zone fefor t.loc
; dfinition de la zone fefort.loc
; le serveur d autorit est dns.fefort.loc (serveur primaire)
; il est administr par une personne qu on peut joindre l adresse admin@fefort.loc
fefort.loc. IN
360000; 86400)

SOA

ns.fefort.loc.

admin.fefort.loc. (3; 36000; 3600;

NS ns.fefort.loc. ; nom du serveur DNS primaire


; dclaration des adresses faisant autorit
; serveurs du sige
localhost.fefort.loc. IN A 127.0.0.1 ; serveur local
logon.fefort.loc. IN A 172.16.200.1 ; serveur d authentification
ns.fefort.loc. IN A 172.16.200.2 ; serveur de nom
dhcp.fefort.loc. IN A 172.16.200.3 ; serveur dhcp
mail.fefort.loc. IN MX 172.16.200.4 ; serveur de messagerie
dev.fefort.loc. IN A 172.16.200.5 ; serveur de dveloppement
fichiers.fefort.loc. IN A 172.16.200.6 ; serveur de fichiers
backup.fefort.loc. IN A 172.16.200.7 ; serveur de sauvegardes
imp.fefort.loc. IN A 172.16.200.8 ; serveur d impressions
bdd.fefort.loc. IN A 172.16.200.9 ; serveur de bases de donnes
appli.fefort.loc. IN A 172.16.200.10 ; serveurs d applications
poste_admin.fefort.loc. IN A 172.16.200.200 ; station de l administrateur
; serveurs de Villeurbanne
log-vi.fefort.loc. IN A 172.22.200.1 ; serveur d authentification
dhcp-vi.fefort.loc. IN A 172.22.200.3 ; serveur dhcp
fic-vi.fefort.loc. IN A 172.22.200.6 ; serveur de fichiers
; serveurs des autres sites
;
; fin de la zone dautorit
188
Annexe 6 : Ar bor escence DNS
F e fo r t . l o c B o u r g . fe fo r t . l o c
N e u c h a t e l . f e fo r t . l o c
V i l l e u r b a n n e . f e f o r t . l o c
K e n y a . f e f o r t . l o c
B r e s i l . fe fo r t . l o c
C o s t a . fe fo r t . l o c
189
.... .... . . .... .... . . .... .... . . .... .... . .: :: :
Question 1. Donner l cr itur e dcimale pointe de ce masque et indiquer
combien de sous
r seaux pour r ont tr e cr s l aide de celui-ci.
255.255.240.0
4 bits ==> 2
4
= 16 sous-rseaux possibles (on tolre 16-2 obsolte depuis 1995)
Question 2. Proposer une adresse IP pour chacun des services. La proposition doi
t tre compatible
avec les adresses statiques existantes indiques dans l annexe 2.
Tous les sous-rseaux commencent par 172.16 et se terminent par 0.
Ils s crivent donc sous la forme 172.16.x.0/20 o x reprsente un nombre multiple de
16 (puissance
de 2 correspondant au dernier bit 1 du masque de sous-rseau) :
0, 16, 32, 48, 64, 80, 96, 112, 128, 144, 160, 176, 192, 208, 224 et 240.
Tous les ordinateurs du service informatique sont en 172.16.200.x : ils doivent
donc appartenir au
sous rseau 172.16.192.0 car celui-ci va jusqu l adresse 172.16.207.255.

Le pare-feu possde une adresse 172.16.220.1 : il est donc dans le rseau 172.16.208
.0
Pour les diffrents services, puisqu ils n ont que des adresses dynamiques fournie
s par le DHCP, on
peut choisir n importe quel autre sous-rseau non encore attribu.
sous-r seaux ser vices
172.16.0.0
172.16.16.0 Gestion/comptabilit
172.16.32.0 Commercial
172.16.48.0 Relation Client
172.16.64.0 Marketing
172.16.80.0 Direction
172.16.96.0 Q, R & D
172.16.112.0
172.16.128.0
172.16.144.0
172.16.160.0
172.16.176.0
172.16.192.0 Service informatique
172.16.208.0 Accs pare-feu (pour
information : non
exig)
172.16.224.0
172.16.240.0
La liste complte des sous rseaux possibles n est pas demande et les deux derniers rs
eaux sont
aussi utilisables.
Question 3. Donner ladr esse de la passer elle par dfaut des postes d
u ser vice commer cial,
sachant quil sagit de ladr esse disponible la plus leve pour ce sous-r seau.
172.16.47.254
Ladresse fournie doit tre cohrente avec ladresse du sous rseau retenue pour
le service
commercial (ici 172.16.32.0).
Au choix
Obligatoire
190
Question 4. Expliquer la r aison de ce dysfonctionnement et pr ciser
les modifications
appor ter , dune par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Raison
En l tat actuel des choses, le routeur ne laisse pas passer les paquets DHCP Disc
over qui sont des
paquets de diffusion gnrale (adresse 255.255.255.255). Seuls les clients
du service informatique
sont susceptibles de recevoir leurs paramtres IP.
Mise jour du r outeur
Sur le routeur, il faut :
attribuer au routeur une adresse dans chaque sous-rseau (fait la question prcdente
donc
pas exige);
activer le relais DHCP sur toutes les interfaces du routeur sauf celle du servic
e informatique;
La citation de l agent relais est exige mais pas sa prsence sur toutes les interfa
ces.
lui indiquer l adresse du serveur DHCP : 172.16.200.3.
Mise jour du ser veur
Sur le serveur DHCP, il faut :
supprimer l tendue existante (pas exige);
crer une tendue par sous-rseau utilis, donc par service

Par exemple, pour le service Comptabilit/Gestion :


tendue : 172.16.16.1 172.16.16.100 (doit contenir au moins 50 adresses)
Masque : 255.255.240.0
Options :
Passerelle : 172.16.31.254 (adresse de routeur sur ce sous-rseau)
serveur DNS : 172.16.200.2
Il n tait pas demand dexemple. Une simple phrase prcisant une cration d ten
due par sousrseau sera donc admise.
Question 5. En utilisant le for malisme donn en annexe 4, donner les
r gles applicables en
entr e de linter face concer ne per mettant de r especter les consignes donnes. Vou
s veiller ez
limiter le nombr e de r gles dfinir .
Interface concerne (pas demand) :
172.16.220.1 (ct sige) en entre pour la communication sige vers sites distants
172.17.0.1 (ct site) en entre pour la communication retour
Ou bien une de ces interfaces en entre et en sortie (on nexige pas les deux).
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 Toutes Tous proxy 3128 TCP Accepter
2 Adresse proxy 3128 Toutes Tous TCP Accepter
3 172.0.0.0/8 Tous 172.16.192.0/20 Tous Tous Accepter
4 172.16.192.0/20 Tous 172.0.0.0/11 Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
1
re
consigne : les rgles 1 et 2 permettent les changes entre le sige et
le proxy du fournisseur
d accs.
2
me
consigne : la rgle 3 permet aux units d envoyer des paquets tous les services dis
ponibles du
service informatique et la rgle 4 permet les rponses.
3
me
consigne : la rgle 4 permet au service informatique de contacter les units et la
rgle 3 permet
les rponses.
La rgle finale (non exige) par dfaut interdit tout trafic non spcifiqueme
nt autoris donc les
changes directs entre les services du sige et les units du groupe. Le pare-feu n in
tervient pas dans
les changes entre les services du sige.
191
On acceptera :
toute adresse proxy cohrente.
toute faon cohrente d exprimer le mot "tous".

tout masque de sur-rseau cohrent (/11, /12, et avec deux lignes /14 et /15)
Une solution avec une ligne spcifique pour le poste de ladministrateur (/32).
La ligne par dfaut n est pas exige.
Question 6. Indiquer les modifications appor ter afin de distr ibuer des adr
esses valides aux
stations de Villeur banne, sur une tendue de mme taille.
Il faut crer une tendue pour Villeurbanne, par exemple :
Plage d adresses : 172.22.1.1 172.22.1.149
Masque : 255.255.0.0
Options Passerelle : 172.22.250.204 (adresse interne du routeur 4)
DNS : 172.16.200.2
La seule modification par rapport l tendue du serveur DHCP de Villeurbanne conce
rne la plage
d adresses distribues.
Bien videmment, il faudra activer le relais DHCP du routeur 4 et lui indiquer l a
dresse du serveur
DHCP du sige mais cela n est pas demand.
Question 7. Appor ter les modifications ncessair es au fichier de la zone fefo
rt.loc (annexe 5)
et cr ir e le fichier de la zone villeurbanne.fefort.loc.
Il faut ajouter le serveur DNS de Villeurbanne. Ce serveur aura par
exemple les caractristiques
suivantes :
Machine @ IP F.Q.D.N.
serveur DNS 172.22.200.2 ns.villeurbanne.fefort.loc
Exemple avec BIND :
Dans la zone fefort.loc :
il faut rajouter une ligne de dlgation de zone pour chaque unit ainsi qu une ligne
de dclaration
de l adresse du serveur. Exemple pour villeurbanne
villeurbanne.fefort.loc. IN NS ns.villeurbanne.fefort.loc.
ns.villeurbanne.fefort.loc. IN A 172.22.200.2
On nexige quune seule zone.
il faut
supprimer la dclaration des serveurs de Villeurbanne (sauf le
serveur DNS dclar cidessus bien sr)
Le fichier zone de villeurbanne.fefort.loc. ressemblera ceci :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc
.
(3; 36000; 3600; 360000; 86400)
IN
NS ns.villeurbanne.fefort.loc.
; serveurs de Villeurbanne
log-vi IN A 172.22.200.1 ; serveur d authentification
dhcp-vi IN A 172.22.200.3 ; serveur dhcp
fic-vi IN A 172.22.200.6 ; serveur de fichiers
ns IN A 172.22.200.2 ; serveur de nom
192
Exemple sur un ser veur MS-Windows :
Dans la zone fefort.loc :
Slectionner la zone fefort.loc
Crer une nouvelle dlgation
Saisir le nom de la sous-zone (ici : villeurbanne)
Ajouter le nom (ns.villeurbanne.fefort.loc) et l adresse IP (172.22.200.2
) du serveur DNS
qui a obtenu la dlgation.
Ajout de la zone de villeurbanne.fefort.loc :
2. Slectionner les zones de recherche directes
3. Ajouter une nouvelle zone principale
4. Saisir le nom de la zone (ici : villeurbanne.fefort.loc).

Question 8. Expliquer les modifications appor ter au ser veur DNS du sige dune
par t et
celui du site de Villeur banne dautr e par t.
Exemple avec BIND :
Au sige :
Sur le serveur du sige, il faut ajouter l information selon laquelle il sera serv
eur esclave pour la
zone villeurbanne.fefort.loc .
zone "villeurbanne.fefort.loc" {
type slave;
masters {
172.22.200.2;
};
};
Villeur banne :
Sur le serveur DNS de Villeurbanne, il faut ajouter une ligne NS pour le serveur
ns.fefort.loc, ce qui
nous donne :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc
.
(3; 36000; 3600; 360000; 86400)
IN
NS ns.villeurbanne.fefort.loc.
IN
NS ns.fefor t.loc
Exemple sur un ser veur MS-Windows :
Au sige :
zSlectionner Zones de recherche directes.
zDfinir une nouvelle zone secondaire
zSaisir le nom de la zone (ici : villeurbanne.fefort.loc).
zSaisir l adresse IP du serveur DNS principal (ici : 172.22.200.2)
Villeur banne :
Slectionner la zone villeurbanne.fefort.loc
Ajouter un serveur de nom
Saisir nom et adresse IP du nouveau serveur NS.
Question 9. Dter miner la configur ation matr ielle et pr ciser les pr o
tocoles que devr a
suppor ter le nouveau commutateur . Le rle des fonctions et protocoles quil prend
ra en charge
sera expliqu.
193
Exemple de rponse :
Fonctions/pr otocoles Rle, explication
Configuration matrielle : 8 ports au moins
+ ports de liaison
Connectivit
Supporter la redondance de lien en vitant
les temptes de diffusion
Protocole 802.1D, STP
Arbre de recouvrement (Spanning tree),
Tolrance de panne par agrgation de liens
Grer les VLAN
Protocole 802.1q
Marquage de trames pour identifier les VLAN
Grer la priorit de flux
Protocole 802.1p
Gestion de la priorit de trames
Protocoles SNMP, Telnet, HTTP Accs en mode administrateur
Question 10. Proposer une solution matrielle complmentaire pour permettre
aux postes de
travail des diffrents services daccder aux serveurs du service informatiqu

e. Expliquer
brivement comment elle doit-tre mise en uvre.
Pour la solution base sur un routeur, il faut soit une interface relle par VLAN sa
ns ncessit de
taguer les trames soit une interface virtuelle par VLAN dans ce dernier cas le
routeur doit taguer
les trames.
Pour la solution base sur des serveurs multidresss , il faut une interface virtue
lle par VLAN et le
serveur doit taguer les trames.
Pour la solution base sur un commutateur-routeur il y a une interface relle par VL
AN, il n est pas
ncessaire de taguer.
Il existe aussi une rponse non dtaille ici avec des VLAN asymtriques?
Rponses possibles :
Prise en charge de la fonction de routage par lajout dun routeur avec
une interface tague multi
adresse afin dinterconnecter logiquement tous les VLAN.
Une solution avec un commutateur de niveau 3 peut assurer l ensemble
de ces fonctionnalits.
Chaque port du commutateur s interconnectant un autre commutateur est associ un V
LAN et on
affecte une adresse IP. Les liaisons ne grant pas plusieurs VLAN il n est pas nces
saire de taguer.
Si les serveurs grent les VLAN (protocole 802.1Q) on peut multiadresser
les serveurs en
dfinissant une interface virtuelle par VLAN, dans ce cas la liaison en
tre les commutateurs et les
serveurs doit tre tague.
Question 11. Pr oposer une solution per mettant de gar antir la conti
nuit du ser vice daccs
aux ser veur s du sige lor s dune panne du r outeur . Expliquer les pr
incipes de
fonctionnement de votr e solution.
Exemples :
Mettre en place un routeur de secours et le protocole VRRP (Virtual Redondancy R
outer Protocol)
(HSRP pour Cisco) pour activer/dsactiver le routeur de secours.
Prvoir une redondance des routeurs avec rpartition de charges
On accepte une solution qui n assure pas la continuit de service mais la reprise
rapide de service
Par exemple :
Prvoir un routeur de secours avec une reprise dactivit base sur modificat
ion dynamique de
ladresse de passerelle sur les postes
VRRP permet deux routeurs R1 et R1 de partager une adresse IP virtuelle. De mme p
our leur
adresse MAC. Lun des routeurs est actif comme sil tait seul. Mais sil tombe en panne
lautre le
dtecte. (Arrt des changes mutuels de messages signalant leurs prsences). R1 ne reoit p
lus de
messages, il devient alors actif et rpond aux requtes adresses aux adres
ses communes (IP et
MAC).