Vous êtes sur la page 1sur 99

Rseaux

Evolutions topologiques des


rseaux locaux

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du

concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels (VLAN)
Introduction la Qos

Authentification niveau 2
VPN
PPTP
IPSEC

Moyens de scurisation
Interdire les accs non autoriss
Bloquer les virus
Contrler laccs aux sites gourmands en bande passante
Contrler les informations non professionnelles
Accs aux applications mtier garanti
Utilisation de la bande passante optimise

Piratage
Virus

Internet
Non professionnel

Secure
Gateway

Intranet
Client

Professionnel
Postes
Utilisateurs

Scurit en couches (couches TCP/IP)


implmentes en plusieurs points du rseau
Filtres de paquets
entrants
(routeur, couche 3)

7. Application
4. TCP & UDP (transport)

Fonctions SPI et
NAT (pare-feu,
couche 4)
SPI: Stateful packet

3. IP (rseau)
2. Liaison de donnes

Inspection

1. Physique

Filtrage statique / routeur


Filtrage effectu sur le niveau rseau
adresses IP et numros de ports TCP ou UDP
Travail au niveau de la pile IP du routeur
Souvent inadapt pour les protocoles grant les ports dynamiquement
(Peer to Peer, FTP, H323, )

Filtrage de paquets au moyen de listes ACL


(Access Control Lists)
Les donnes TCP/IP segmentes en paquets
Couche 3 & 4 du modle TCP/IP
Examen du contenu des paquets et application de certaines rgles
Transmission du paquet
Suppression du paquet
Logs
Retour dinformations lmetteur
Technologie trs rpandue au dbut dinternet: cest la premire
ligne de dfense
Trs utilise encore dans les routeurs: TP Cisco
Routeur = routage statique, routage dynamique RIP, OSPF, BGP.
Plus tard dans le cours et en TP.

Types dACLs
ACL standards et tendues (CISCO)
Adresse source
Adresse destination
Ports
Fonctionnement : inspection de chaque paquet
Remarque : traitement de linformation rapide
Exemple dACL standard routeur CISCO
Autoriser les paquets (permit)
Interdire les paquets (deny)
access-list 10 permit any 192.168.10.0
access-list 10 permit any 192.168.20.0
access-list 10 deny any 192.168.30.0

ACL tendu (Cisco)


access-list numro-liste-accs {deny|permit} protocole \
adresse-source masque-source [oprateur port] \
adresse-destination masque-destination [oprateur port] [log]

access-list 101 permit udp any host 192.9.200.1 eq domain

Fonctionnement de linspection de paquets avec


suivi de ltat de connexion (SPI) (1/2)

Stateful Protocol Inspection : la rgle dpend des informations


contenues dans les enttes IP, UDP, TCP, ICMP du paquet ET des
paquets qui sont passs avant. Il y a donc un suivi des
connexions.
Inspection dun premier paquet autoris (par le routeur):

Une entre est cre dans une table (nouvelle connexion)

Fonctionnement de linspection de paquets avec


suivi de ltat de connexion (SPI) (2/2)
Examen de len-tte du paquet
Adresses source et destination
Type de protocole (TCP, UDP, ICMP)
Ports source et destination
Flags (SYN, ACK, FIN, RST)
Comparaison aux rgles de contrle du trafic
Exemple: Ne laisser passer que le trafic HTTP
Gnralement, le pare-feu autorise les connexions vers l'extrieur
=> entre dans la table d'tat
=>les paquets entrants (retours de requtes) appartenant ces
connexions ne sont pas filtrs
TCP SYN

TCP ACK

UDP requte DNS

tat du module conntrack :


NEW

TCP SYN + ACK

TCP ACK

t at ESTABLISHED pou r le
protocole TCP parti r dici

TCP RST

UDP rponse DNS

ESTABLISHED

Ex : Module Netfilter LINUX


(Commande iptables)
NEW : une nouvelle
connexion est tablie.
ESTABLISHED : la
connexion analyse a dj
t tablie
RELATED : la connexion est
en relation avec une autre
connexion dj tablie (par
exemple, une connexion de
donne de type..).
INVALID : le paquet
n'appartient aucune des
trois catgories
prcdentes.

Tracking de connexion FTP

eth0

eth1

modprobe ip_conntrack_ftp
iptables -t filter -A OUTPUT -o eth0 -p tcp \
--dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp \


--sport ftp -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --sport 20 -m state \


--state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20 -m state \


--state ESTABLISHED -j ACCEPT

Rgles de filtrage / Pare-feux


Rgles balayes dans lordre croissant
Ncessit de mettre les rgles les plus utilises au dbut
(performance)
Ncessit de mettre les rgles les plus restrictives avant les
autres (ex.: si une machine certains droits et le rseau
auquel elle appartient ne les a pas)
Interdire tout trafic vers le pare-feu
Rgle implicite interdisant tout trafic ne correspondant pas une
rgle explicite

Interface graphique pour iptables/netfilter:


fwbuilder

Fonction orientes Firewall sur les routeurs


Ex : Option Firewall Feature Set (FFS) sur un routeur priphrique
(CISCO) (1/3)
Dans loption FFS se trouve le CBAC (Context-Based Access
Control => contrle daccs contextuel)
Filtrage dynamique
Entres dynamiques pour les flux de rponses des connexions
TCP, UDP, ICMP
Non ncessit de laisser des ports ouverts de manire statique
(les ports restent ouverts uniquement le temps de la session)
Suivi des numros de squence TCP
Surveillance des numros de squence des paquets entrants et
sortants pour suivre les flux de communication
Protection contre les attaques man in the middle et les
piratages de session

Ex : Option Firewall Feature Set (FFS) sur un routeur


priphrique (CISCO) (2/3)
Suivi de ltat des sessions
Suivi des sessions TCP demi-ouvertes, ouvertes et fermes
pour viter les attaques SYN Flood
Numros de session et dbits de transmission doivent tre
compris dans des seuils dfinis par ladministrateur
Journalisation des sessions
Dates et heures
Htes source et destination
Ports
Nombre total doctets transmis

Ex : Option Firewall Feature Set (FFS) sur un routeur


priphrique (CISCO) (3/3)
Suivi dapplications spcifiques (exemple de protocoles)
CU-SeeMe (port 7648): visioconfrence PTP
FTP (port 21)
H.323 (ports 1720, 1719 et ports dynamiques variables):
communication multimdia (VoIP, vido, audio)
ICMP: dpannage de problmes (administrateur) + utilis par les
pirates => ne laisser passer que les messages ICMP gnrs
lintrieur du rseau
MCGP (Media Control Gateway Protocol, port 2427) : VoIP
MSRPC (Microsoft Remote Procedure Call Protocol, port 135) :
communication de processus inter-systmes
Blocage des applets Java
Le routeur peut tre configur pour filtrer ou refuser les applets Java
Support de VPN

Nombre de tunnels dpend du Firewall.


Ex: 4 tunnels, 25 tunnels, etc

EX. de fonctionnalits avances

Limitations des pare-feux


Ne peut empcher des utilisateurs ou attaquants utilisant des
modems daccder lintrieur du rseau
Ne peut empcher une mauvaise utilisation des mots de passe
(non respect de la stratgie de mots de passe par les utilisateurs)
Concentration du trafic en un seul point = goulet dtranglement
= source de panne fatale

Translation dadresse: NAT


NAT statique
Mme adresse IP publique une adresse IP prive donne
Ex : serveur WEB
NAT dynamique
Associe une adresse IP prive une adresse publique alatoire
tire d'un groupe (pool)
PAT (Port Address translation)
Associe une seule adresse publique plusieurs adresses
prives en utilisant divers ports
Rappel : 65 535 ports TCP sont supports par adresse IP

Filtrage et NAT sur Linux

Rseau

nat
PREROUTING

route?

filter
FORWARD

nat
POSTROUTING

route?
filter
INPUT

filter
OUTPUT
nat
OUTPUT

Processus local

Rseau

Scurit avec NAT


Plus difficile pour un attaquant de :
Dterminer la topologie du rseau et le type de connectivit de
l'entreprise cible
Identifier le nombre de systmes qui s'excutent sur le rseau
Identifier le type des machines et leurs systmes d'exploitation
Raliser des attaques de type dni de service (Ex : SYN Flood,
scan de ports, injection de paquets)

Inconvnients de NAT
Connexions UDP mal gres
Estimation du temps o la connexion doit rester ouverte
D'autres protocoles sont mal grs
Kerberos, X Windows, rsh (remote shell), SIP (Session
Initiation Protocol)
Systmes de chiffrement et d'authentification
Ces systmes sont bass sur l'intgrit des paquets
Or NAT modifie ces paquets
Journalisation complique
Mise en corrlation des journaux demande d'intgrer les
traductions ralises par NAT
Problme de partage d'adresse avec PAT
Authentification auprs d'une ressource extrieure protge
(tous les utilisateurs partageant la mme adresse risquent de
pouvoir utiliser cette ressource)

Types de pare-feux
Pare-feu personnel
Peut-tre intgr au systme (Windows, Mac)
Ex Windows => dans le panneau de configuration

Pare-feu personnel (2/4)

Pare-feu personnel (3/4)

Windows XP :netsh firewall set icmpsetting 8 enable


Vista, Seven: netsh advfirewall firewall add rule name= ping entrant
ok protocol=icmpv4:8,0 dir=in action=allow

Pare feu personnel (Seven)

Types de pare-feux
Pare-feu tout en un: intgrent les fonctionnalits suivantes:
Routeur
Commutateur ethernet
Point daccs sans fil
pare-feu
Pare-feu pour bureau de taille moyenne
Ex : CISCO PIX 501 ou 506 F50 Netasq
Pare-feu dentreprise
Ex : CISCO PIX 515, ASA F200 Netasq
Diffrences entre les gammes de pare-feu
Nombre de connexions supportes
Capacit CPU, mmoire (RAM ou flash)
Souvent modulaires
Nombre de DMZ
Nombre de tunnels simultans
Bande passante dans tunnels.

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels
Introduction la Qos
Authentification niveau 2
VPN
PPTP
IPSEC

Zone dmilitarise
(DMZ, Demilitarized Zone)
Zone du rseau interne isole (entre la zone publique et la zone
prive)
Serveur web
Serveur de messagerie
Serveur FTP
Serveur DNS (donnes publiques, donnes internes)
...
Cela permet au trafic venant dinternet daller dans cette zone,
mais pas de pntrer ailleurs sur le rseau interne
Possibilit dauditer le trafic chang avec la DMZ
Possibilit de placer un systme de dtection dintrusion

Localisation et fonction dune DMZ


Rseau
dentreprise
interne (priv)

public
Pare-feu

Routeur
209.164.3.1

192.168.2.1
209.164.3.2

Internet

152.77.128.1

192.168.2.10

Serveur FTP

Serveur de messagerie
152.77.128.103

Serveur web

Serveur DNS
152.77.128.104

Zone dmilitarise (DMZ)

Autre architecture avec DMZ


Rseau
dentreprise
interne (priv)

public
Pare-feu

Pare-feu

Routeur

Internet

Serveur de messagerie
Serveur FTP

Serveur DNS
Serveur web

Zone dmilitarise (DMZ)

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du

concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels
Introduction la Qos

Authentification niveau 2
VPN
PPTP
IPSEC

Proxy
Proxy = passerelle applicative
Exemple: proxy/cache FTP , proxy/cache HTTP
Proxy classique:
Les clients sont adapts
pour communiquer avec
le proxy avec un protocole
spcifique: SOCKS rfc1928,
proxy web rfc3040

1- Navigateurs
2- Proxy-cache

3- caching load balancer


4- Serveurs Web

Proxy transparent
pas de modification des clients applicatifs
le proxy intercepte les communications
Quelques proxys:
Squid (libre)
Microsoft Proxy server
Proxy implments dans serveurs Web (IIS, apache)

Conclusion
Couche rseau
Filtres de paquets (routeur)
limine des adresses indsirables
Couche transport
Inspection des paquets SPI (pare-feu)
Identifie les connexions autorises (sollicites)
Traduction d'adresse
Le rseau interne est invisible de l'extrieur
Couche application
Inspection des donnes (pare-feu proxy)
Chaque mthode seule est insuffisante
=> Leur combinaison offre un bon niveau de protections

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du

concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels: VLAN
Introduction la Qos

Authentification niveau 2
VPN
PPTP
IPSEC

Architecture traditionnelle
Hubs, switchs, Routeurs

Contraintes
Les sous-rseaux sont lis aux switchs (ou hubs)
Les utilisateurs sont groups gographiquement
Peu de scurit sur un segment
Plan d'adressage peut tre difficile
La mobilit entrane obligatoirement un changement d'adresse

HUB (rpteur multiport)


Mode de fonctionnement
Reoit une trame sur un port
Retransmet la trame sur tous les ports restants
simule la diffusion sur un segment de cble.
Caractristiques
Ne permet qu une transmission la fois
collision si deux machines mettent en mme temps
Tous les ports fonctionnent la mme vitesse
Dlai de l ordre de la s.

Switch
Mode de fonctionnement
Fonctionne sur la couche 2

Peut recevoir et transmettre plusieurs


trames simultanment
Procde l apprentissage et au filtrage
des trames sur la base des adresses MAC
srialise les trames destination d un mme port
Si une destination ne peut tre localise, la trame est retransmise
sur tous les ports.
Caractristiques
des buffers sur tous les ports en entre et en sortie
Supporte le full-duplex avec contrle de flux
Supporte des ports diffrents dbits simultanment
Implmente ou pas le Spanning-tree (voir plus loin)
fonctionnement
cut -through, store and forward
bloquant ou non-bloquant (bus interne)
propage les broadcasts sur tous les ports restants

Auto-negociation (FastEthernet)
Base sur des impulsions
Exemple ci-contre: 10 ou 100M
Choix dbit
Choix Half-duplex/full-duplex

Cbles UTP cat.5, cat.6


Ordre de ngociation

1000BASE-T full duplex


1000BASE-T half duplex
100BASE-T2 full duplex
100BASE-TX full duplex
100BASE-T2 half duplex
100BASE-T4
100BASE-TX half duplex
10BASE-T full duplex
10BASE-T half duplex

Impulsions de test d intgrit sur lien 10 base T

16 ms

FLP=Fast Link Pulse sur lien Fast Ethernet

16 ms

Le rseau local commut


Utilisation de commutateurs: switchs
Domaines de collisions rduits
Dbit ddi et non plus partag
Intelligence dans le port du
commutateur

Utilisation de ces proprits pour :


Crer des regroupements logiques
des utilisateurs
Centraliser l'administration

Ncessit dun routeur pour la


communication inter-rseau

Dbit de 100M
Par connexion

Qu est ce qu un rseau virtuel: VLAN


Trois ncessits pour introduire le concept
Limiter les domaines de broadcast
Garantir la scurit
Permettre la mobilit des utilisateurs
Les rseaux virtuels s appuient sur la commutation pour donner
de la flexibilit aux rseaux locaux
Le VLAN est un rseau LOGIQUE

Plusieurs types de VLAN


VLAN 1 ire GENERATION

VLAN 2 imee GENERATION

Groupe dadresses MAC

Groupe dadresses MAC

VLAN niveau 1

VLAN niveau 2

VLAN niveau 3

Groupe de ports

Groupe dadresses MAC

Sous-rseaux protocolaire(IP)

VLAN 1

1
2

VLAN 2

VLAN 1

0000AA ABABAB
010101 FCCCFC
00FB68 AEFACC

VLAN 2

00000C 1DDFAA
0A0A1D 0FFFAB
010000 DCFABA

VLAN 1

Sous-rseau IP 193.54.157.4

3
Ports 4
5
6

VLAN 2

7
8

Chaque adresse Mac


appartient un seul
VLAN,
Plusieurs VLAN par port
autoris

Sous-rseau IP 193.54.157.8

Rcapitulatif
Vlan niveau 1: par port
Vlan niveau 2: par adresse Mac
Vlan niveau 3: par adresse IP ou par
protocole
Vlan niveau 4: voir plus loin dans le
cours, par authentification.

Ex : VLAN de niveau 2

la table de commutation du
switch asssocie chaque port
une ou plusieurs adresses MAC
qui sont les adresses de la ou
des machines connectes sur
ce port.

VLAN 1

VLAN 2
M18

M17

M10

M11

VLAN niveau 1 (par port)


VLAN 1 = M1, M2, M3, M4, M5, M6 et M17
VLAN 2 = M7, M8, M9, M10, M11, M12 et M18

VLAN niveau 2 (par @MAC)


VLAN 1 = M1, M2, M3, M4 et M17
VLAN 2 = M7, M8, M9, M10, M11, M12 et M18
+ M5 et M6

M1

M2

M4

M3

M5

M6
M7

M8

M9

M12

Extension des VLANS


Interconnexion des commutateurs
1re solution
Il faut un port ddi pour
chaque VLAN sur chaque
commutateur
Solution coteuse
Manque de souplesse

VLAN 2

VLAN 1

Interconnexion des VLANS (2)

2me solution
On peut sur certains
commutateurs dfinir des
ports multi-VLANS

VLAN 1
&
VLAN2

Le rle des routeurs dans les VLANS

Un commutateur ne peut pas


router un paquet entre deux
rseaux et, par consquent,
entre deux VLANS.
Un routeur est ncessaire.
La diffusion (broadcast) est
limite au VLAN.

Architecture classique
Un switch central collecte les trames en
provenance des switchs utilisateurs
Un routeur est charg de la
communication entre les VLANS
SWITCH
1

ROUTEUR
SWITCH
2

Dfinition de sous-interfaces
Si le routeur le permet :
FastEthernet 0/0

dfinition de sous-interfaces
chacune appartenant
un VLAN diffrent.

VLAN 1

VLAN 2

VLAN 3

PORT 1

PORT 2 8

PORT 9 12

Ex: Cisco
Le p ort 1 est un port TRUNK
multi-VLAN
!
interface FastEthernet 0/0.1
ip address 192.5.5.1 255.255.255.0
!
interface FastEthernet 0/0.2
ip address 205.7.5.0 255.255.255.0

PC 1 A IP =
192.5.5.11 /24

PC 1B
IP = 207.5.5.13/24

Administration des VLANS


Marquage des trames sur les liens TRUNK
Norme 802.1Q (encapsulation dot1q sur Cisco)
Protocoles propritaires (ISL: Inter switch Link: cisco)
Exemple de la norme 802.1Q sur Ethernet.
Couche 2
802.1Q
PREAM.

SFD

DA

SA

Tag Protocol ID
0x8100

VLAN TAG
4 Bytes

CFI

PRI 1bit

Type
/Len

FCS

DATA

VLAN ID
12 bits

3 Bits utiliss pour le CoS


(802.1P User Priority)

CoS
7
6
5
4
3
2
1
0

Application
Reserved
Reserved
Voice Bearer
Video
Conferencing
Call
Signaling
High Priority Data
Medium Priority
Data Data
Best Effort

Cas classique, switch Cisco

Trame non tague

SW
Trame sortante du port (egress):
Non tague

SW#vlan database
SW(vlan)#vlan 2 name vlan_pc

Trame entrante (ingress):


-Si tag Vlan 2: ?
-Sans tag: tag avec Vlan 2
exit
SW(config)#int fastEthernet 0/10 -Si tag autre Vlan: ignore
SW(config-if)# switchport mode access
SW(config-if)# switchport access vlan 2
ATTENTION: Vlan 1 : vlan par dfaut sur cisco !!!

Cas de la VoIp, switch Cisco


IP Phone

Trame tague
VLAN 6

Trame non tague

SW

SW(config-if)#
Trame sortante du port (egress):
switchport trunk encapsulation- dot1q
Si Tag 6: reste avec tag 6
switch port mode trunk
- Si Tag 12: part sans Tag
switch trunk native vlan 12 Trame entrante (ingress):
switch trunk allowed vlan 6

-Si Tag avec Vlan 6: on garde le tag 6


-Si non taggue: taggue avec Vlan 12
-Si autre valeur de Tag: ignore

Cas des Vlans dynamiques


Exemple avec VTP (Vlan trunk Protocol)
Dmonstration
Protection par mot de passe possible
Exemples de commandes:
SW(config)#vtp ?
domain Set the name of the VTP administrative domain
file Configure IFS filesystem file where VTP configuration is stored
interface Configure interface as the preferred source for the VTP IP updater
address.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
pruning Set the administrative domain to permit pruning
version Set the administrative domain to VTP version

Pb de la redondance des liens


Chemins redondants et absence de Spanning Tree: Quel est donc le problme ?

sw1
pc1

00-90-27-76-96-93
00-90-27-76-96-93

Concentrateur
A
sw2
pc2
00-90-27-76-5D-FE
00-90-27-76-5D-FE

pc1 envoie une trame Ethernet pc2.


Les commutateurs sw1 et sw2 voient tous deux la trame et
enregistrent l'adresse MAC de pc1 dans leurs tables de commutation.
Table des adresses d'origine
Port 1 : 00-90-27-76-96-93

sw1
A

pc1
00-90-27-76-96-93

Concentrateur
A
sw2
Larry
pc2
00-90-27-76-5D-FE
00-90-27-76-5D-FE

Table des adresses d'origine


Port 1 : 00-90-27-76-96-93

Aucun des deux commutateurs ne possde l'adresse MAC de


destination dans sa table.
Ils diffusent donc la trame vers tous les ports.
Table des adresses d'origine

Port 1 : 00-90-27-76-96-93

sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2
Table des adresses d'origine

00-90-27-76-5D-FE

Port 1 : 00-90-27-76-96-93

Le commutateur sw1 apprend, tort, que l'adresse d'origine


00-90-27-76-96-93 se situe sur le port A.

Table des adresses d'origine


Port 1 : 00-90-27-76-96-93

Port A : 00-90-27-76-96-93

sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2

Table des adresses d'origine


Port 1 : 00-90-27-76-96-93

00-90-27-76-5D-FE

Le commutateur sw2 apprend lui aussi, tort, que l'adresse origine


00-90-27-76-96-93 se situe sur le port A.
Table des adresses d'origine
Port 1 : 00-90-27-76-96-93
Port A : 00-90-27-76-96-93

1
sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2
Table des adresses d'origine
Port 1 : 00-90-27-76-96-93

00-90-27-76-5D-FE

Port A : 00-90-27-76-96-93

Dornavant, lorsque pc2 envoie une trame pc1, celle-ci est reue
par sw1 qui ignore celle-ci.
Table des adresses d'origine

Port A : 00-90-27-76-96-93

sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2

Table des adresses d'origine


Port A : 00-90-27-76-96-93

Cas des trames de diffusion


pc1 envoie une trame de broadcast de couche 2, comparable une
requte ARP.

1
sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2

00-90-27-76-5D-FE

La trame de broadcast tant de couche 2, les deux commutateurs,


sw1 et sw2 la diffusent vers tous les ports, y compris leur port A.

1
sw1
pc1
Concentrateur

00-90-27-76-96-93

A
sw2
1 2

pc2

00-90-27-76-5D-FE

Les deux commutateurs reoivent le mme broadcast, mais sur un port


diffrent. Ils diffusent tous deux la trame de broadcast en double vers leurs
autres ports.
Les commutateurs diffusent nouveau le mme
broadcast vers leurs autres ports, ce qui a pour effet de gnrer des trames
en double; c'est ce que l'on appelle une tempte de broadcast !
Pour rappel, les broadcasts de couche 2 ne sont pas seulement des grands
consommateurs de bande passante du rseau. Ils doivent en outre tre
traits par chaque hte. Cela peut avoir une incidence ngative sur le
rseau, au point de le rendre totalement inutilisable.

Protocole " spanning tree "


Il fait partie de la norme 802.1d.
Le principe est simple : construire une arborescence sans boucle partir
d'un point identifi, connu sous le nom de racine.
Les chemins redondants sont autoriss, mais un seul peut tre le chemin
actif.

Lien de secours

Protocole " spanning tree "

L'algorithme " spanning tree " (STA) est utilis pour calculer un chemin
exempt de boucle.
Les trames " spanning tree ", appeles units BPDU (Bridge Protocol Data
Units), sont envoyes et reues par tous les commutateurs du rseau
intervalles rguliers. Elles servent en outre dterminer la topologie "
spanning tree ".

Une instance distincte du protocole STP s'excute dans chaque VLAN


configur.

Explication des tats STP

Les tats ont t dfinis au dpart, puis ils ont t modifis par le
protocole STP..

Blocage
Ecoute
Apprentissage
Transmission
Dsactiv

Il est possible de configurer les ports du serveur de sorte qu'ils


passent automatiquement en mode de transmission STP

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du

concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels: VLAN
Introduction la Qos

Authentification niveau 2
VPN
PPTP
IPSEC

O a ton besoin de QOS

Central Campus

Si

Si

Agence centrale
Dbits
Classification Voix ou
Donnes
Gestion de queues
multiples sur ports avec
Ordi et Tlphones

Accs vers lextrieur

Remote Branch

WAN

QoSWAN

Rgles de distribution
niveau 3

Contrle dadmission
des paquets

Gestion de queues
multiples

Traffic shaping

Traitement de la
congestion

Fragmentation niveau 2

Agence distante
Dbits
Classification Voix ou
Donnes
Gestion de queues
multiples sur ports avec
Ordi et Tlphones

Problmatique en 3 niveaux
Classer les flux

Marquer les flux

Appliquer des rgles


de gestion du trafic

Rappel: structure Couches 2 & 3


PREAM.

SFD

DA

VLAN TAG
4 Bytes

SA

Tag Protocol ID
0x8100

CFI

PRI 1bit

Type
/Len

FCS

DATA

CoS
7
6
5
4
3
2
1
0

VLAN ID
12 bits

PRI: 3bits
Layer 3
IPV4
Version
IHL

ToS
1 Octet

Long

IP Precedence

ID

Offset

TTL

Proto

FCS

IP-SA

Application
Reserved
Reserved
Voice Bearer
Video
Conferencing
Call Signaling
High Priority Data
Medium Priority
Data Data
Best Effort

IP-DA

Contrle Flux
Pour DSCP

DSCP
IPV4 classique: 3 bits de poids fort appel IP Prcdence
(Diffuseur doivent utiliser 6 bits de DSCP et 2 bits de contrle de flux)

Data

Valeurs Diff-Serv
Version
IHL

ToS Long ID
1 Octet

Offset TTL Proto


4

IP Prcdence
DSCP
Type de flux

DiffServ

Codepoint DSCP

Trafic rseau
(routage,
contrle)

CS7, CS6

56, 48

Voix

EF

46

Visio confrence

AF41, AF42,
AF43

34, 36, 38

Signalisation
voix

AF31, AF32,
AF33

26, 28, 30

Critique

AF21, AF22,
AF23

18, 20, 22

Prioritaire

AF11, AF12,
AF13

10, 12, 14

Standard

CS0

FCS IP-SA IP-DA Data


1

Contrle
Flux
Pour DSCP

DSCP Decimal Binary IP PREC Binary


BE1
2 101110
000010
0
000
4
BE2
000100
0
000
6
BE3
000110
0
000
BE
0
000000
0
000
Nom Drop
commercial
High
AF11
001010
1
001
10
Prt
12
AF12
001100
1
001
Critical/network
AF43 14
AF13
001110
1
001
AF21
010010
2
010
18
Premium
AF33
AF22
20
010100
2
010
22
AF23Platinium
010110
2
010
AF23 26
AF31
011010
3
011
AF32 Gold 28
011100
3
011
AF13 30
AF33
011110
3
011
AF41 Silver34
100010
4
100
AF42
36 000000
100100
4
100
AF43 Bronze38
100110
4
100
EF
101110
5
101
46
Best effort

Classification (confiance)
terminaisons

Accs

Distribution

Noyau

Si

Si

Si

Si

WAN Agg.

2
3

Frontire de confiance
Un quipement est dit de confiance (trusted) sil classifie correctement les paquets
La classification doit tre fait le plus tt possible
La frontire de confiance est dlimite par des quipements de confiance
1 et 2

sont optimums,

3 est acceptable (le switch daccs ne gre pas la QOS)

Remarque:

Si on veut plutt une classification par VLAN: Qos sur Cos


Si plutt une classification par application: Qos sur DCSP

Valeurs de Cos dun PC modifier


Non conserve:
le switch de lIP
Phone change
la valeur de Cos
0

IP Phone

COS = 5
COS = 5

COS = X

COS = 0
set port qos <mod/port> trust-ext _____
Seulement appliqu au port PC Ethernet du switch de lIP Phone
set port qos <mod/port> trust ____
Applique au port en question lune des lois suivantes: untrusted (default),
trust-cos, trust-ipprec, trust-dscp
Sur les ports des 6k, on peut ajouter des ACL pour paramtrer le niveau de
confiance

Congestion WAN.
10/100m

Queued

128k Uplink
WAN

Router

100 meg / 128 kb/s en sortie: srialisation des paquets dentre


plus vite quen sortie
Les paquets sont placs dans des queues ( queued ) le temps de
traitement de la srialisation sur le lien bas dbit

Congestion LAN
1 Gig Link

Switch de distrib.

Queued

100 Meg Link

Switch daccs

1G /100 meg : mmes problmes de srialisation que


prcdemment: paquets placs dans des queues

Congestion de queue de transmission


Les queues multiples
permettent de traiter les
queues contenant un trafic
plus important
Suppression possible
seulement dans les queues de
type BE

Round Robin,
Weighted Round
Robin ou Priority
Queuing utiliss pour
classifier les
diffrentes queues

Queue Mgr

Queue 1

Queue 2

RR/WRR/PQ
Queue Scheduler

Data

Voice

Les files dattente


FIFO (First In First Out). Cest le principe du best effort ( la queue leu leu!).
Traffic Shaping : un trafic erratique est liss en temporisant les pics de
trafic.
Policing : les pics de trafic sont crts.
Priorit (SPQ pour Strict Priority Queuing) : tant quil y a des paquets
prioritaires dans la file dattente, ils seront traits avant de passer aux
autres moins prioritaires (ambulance).
WFQ (Weighted Fair Queuing). Priorit certains trafics par rapport
dautres (les ESF aux remontes mcaniques) ssi congestion. WRR
(Weighted Round Robin)
RED (Random Early Detection) intervient avant la congestion. Des paquets
sont alatoirement rejets lorsquon sapproche de la congestion.
WRED (Weighted RED) et ERED (Enhanced RED) permettent de slectionner
les flux en fonction de priorits (precedence, dscp) qui dterminent le rejet
des paquets
SFQ (Stochastic Fairness Queueing) : N paquets de chaque file dattente
sont traits avant de passer la prochaine file dattente. Chaque file
correspond un flux, et N est toujours le mme, quel que soit la file
dattente, donc quel que soit le flux.

Application: queues de transmission sur Cisco


Queue Mgr

Ex: Catalyst 3550: show mls qos int statistics fa3/2


Queue 1

Port

InPkts 1549-9216 OutPkts 1549-9216

Port

InPkts 1549-9216 OutPkts 1549-9216

Fa3/2
Port
Fa3/2
Port
Fa3/2
Port
Fa3/2

0
Tx-Bytes-Queue-1
0
Tx-Drops-Queue-1

RR/WRR/PQ
Queue Scheduler
Data

0
Tx-Bytes-Queue-2 Tx-Bytes-Queue-3
0

Queue 2

Tx-Bytes-Queue-4

Tx-Drops-Queue-2 Tx-Drops-Queue-3

Tx-Drops-Queue-4

1122

Rx-No-Pkt-Buff

RxPauseFrames

TxPauseFrames

PauseFramesDrop

Voice

Ex: Catalyst 3550


4 queues de transmission (1P3Q2T or 4Q2T)
802.1p, DSCP et Qos base sur les ACL
Trust DSCP, et CoS (policy maps)

Si

Peut appliquer DSCP ou CoS par port


(marked/rewrite ou unmarked)
Translation (map) depuis CoS vers DSCP ou DSCP
vers CoS
POE: Power On Ethernet, pour alimentation
Commutation niveau 3

3550

6500

6500

3550

3550

Cisco Catalyst : Exemple 1


Limitation de bande passante par shapping
Si

mls qos map cos-dscp 0 10 18 26 34 46 48 56


mls qos
!
class-map match-all ftp
match protocol ftp
!
policy-map my_Policy
class ftp
shape average 32000
!
interface GigabitEthernet0/1
ip address 10.33.1.1 255.255.0.0
service-policy output my_policy

6500

3550

6500

3550

3550

Cisco Catalyst : Exemple 2


Limitation de bande passante avec rate-limit
Si

access-list 102 permit tcp any any eq 20


access-list 102 permit tcp any any eq 21
!
interface GigabitEthernet0/1
ip address 10.33.1.1 255.255.0.0
rate-limit output access-group 102
25600000 4000000 8000000
conform-action transmit
exceed-action drop

6500

3550

6500

3550

3550

Sur linterface Giga 0/1: pour le trafic ftp (ici access-list 101 ou 102):
- Limitation 25,6 Mbit/s, Rafale Max 8Moctets/s
- Transmission du paquet si paquet conforme
- Action si non conforme: drop

Cisco Catalyst : Exemple 3


Priorisation des traffics
On classe les flux dans des
class-map match-all data
class-map en fonction de
match access-group 102
Marquage
leur
access-list des paquets
class-map match-all video
match access-group 103
class-map match-all basic - 8 valeurs de precedence possibles
6500
6500
match access-group 104
- 64 valeurs de DSCP possibles
!
policy-map my_Policy
Les
marqus
ip precedence ou ip
On paquets
place une
valeur dip
class video
dscp
sont traits
les files dattente de
precedence
pour dans
marquer
set ip precedence 5
type
le
fluxWRED
et pouvoir appliquer
class data
3550
set ip precedence 1
la Qos sur le rseau3550
3550
class basic
- 8 valeurs de marquage COS possibles
set ip precedence 0
(marquage
COS
quand un paquet
quitte
un
On
applique
la
policy-map
en
sortie
dinterface
!
routeur pour aller sur un switch qui traite le
interface GigabitEthernet0/1
COS pour la gestion de la QoS)
ip address 10.33.1.1 255.255.0.0
service-policy output my_policy
Si

Qos: L2 to L3 / L3 to L2
On diffrencie les paquets IP
entrants
en fonction
de leur
valeur
On
diffrencie
les trames
entrantes
deleur
DSCP.
en fonction de
valeur de COS.

Suivant la class-map, on met une


valeur de COS dans ltiquette de
la trame
Suivant la class-map, on met une
valeur de DSCP dans lentte IP
On applique les rgles l3 to l2
sur linterface voulue, dans le sens
On appliqueles
rgles
output
l2 to l3
sur linterface voulue, dans le sens
input

Bande passante ncessaire: exemple VoIP et


codec utilis
CODEC

Sampling Rate

Voice Payload
in Bytes

Packets per
Second

Bandwidth per
Conversion

G.711

20 msec

160

50

80 kbps

G.711

30 msec

240

33

74 kbps

G.729A

20 msec

20

50

24 kbps

G.729A

30 msec

30

33

19 kbps

Mthode de calcul plus prcise: ajout de lentte


couche 2 en fonction de la technologie
CODEC

801.Q Ethernet
+ 32 L2 Bytes

MLP
+ 13 L2 Bytes

Frame-Relay
+ 8 L2 Bytes

ATM
+ Variable L2 Bytes
(Cell Padding)

G.711 at 50 pps

93 kbps

86 kbps

84 kbps

106 kbps

G.711 at 33 pps

83 kbps

78 kbps

77 kbps

84 kbps

G.729A at 50 pps

37 kbps

30 kbps

28 kbps

43 kbps

G.729A at 33 pps

27 kbps

22 kbps

21 kbps

28 kbps

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy

Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels: VLAN
Introduction la Qos

Authentification niveau 2
Gnralits
EAP

VPN
PPTP
IPSEC

Gnralits
Contexte
802.1X: standard mis en place 2001 par lIEEE
Fait partie du groupe des protocoles IEEE 802 (802.1).
Besoin dauthentification ds laccs physique au rseau (trs
important dans le domaine du WIFI, o les cls de cryptage WEP ne
sont pas trs efficaces, do lide dune authentification physique ds
les bornes).
Norme dveloppe aussi pour les VLAN.
LIEEE souhaitait donc standardiser un mcanisme de relais
dauthentification au niveau 2.

Objectif
Autoriser laccs physique un rseau local aprs une phase
dauthentification, peu importe le systme de transmission utilis.
Mcanisme dauthentification de laccs au rseau devant tre fait
avant mme tout autre mcanisme dauto-configuration tel que DHCP.
Le 802.1x va apporter des avantages considrables au niveau de
ladministration du rseau, notamment par laffectation dynamique des
VLAN en fonction des caractristiques de cette authentification.

Gnralits
Principe Gnral
Le 802.1x utilise le un protocole EAP (Extensible Authentification
Protocol) Le standard sappuie sur des mcanismes dauthentification
existants.
Il se base sur 3 entits

Serveur
dauthentification

Authentificateur
Supplicant

Mthode EAP spcifique


Extensible Authentication Protocole
EAPoL (EAP Over LAN)

Radius

Ethernet / 802.11

IP/UDP

EAP
EAP : PPP Extensible Authentification Protocol
Extension du protocole PPP. Normalis dans la RFC 2284 par l'IETF.

Authentificateur
Supplicant

Paquets EAP rencapsuls


dans format adapt

Paquets EAP
EAPOL

Le dbut de l'authentification peut se faire


soit l'initiative du systme authentifier,
soit par le systme authentificateur, par le biais d'une requte.

Avant que l'authentification soit complte, seul le trafic EAP est


autoris transiter.

Exemple filaire + MD5 (type 4)

Requte initiale
Envoye par lauthentificateur

Composition du paquet EAP


Adr. Dest.
Entte MAC

Adr. Src.

Type 888E

Version
2

type

longueur

Message EAP

Entte 802.1x (EAPoL)

Les diffrents types de trames EAP sont les suivants:


0 : EAP-Packet
1: EAP-Start (authentification demand par le client)
2: EAP-Logoff (fermeture du port contrle demande par le
client)
3: EAP-PolKey (si mise en uvre dun dispositif de chiffrement
ex. 802.11)
4: EAPOL-Encapsulated-ASF-Alert

http://standards.ieee.org/getieee802/download/802.1X-2001.pdf

Quelques mthodes EAP


LEAP: Lightweight EAP. Implmentation propritaire soutenue par
Cisco. Mthode utilisant des mots de passe (pb longueur mots de
passe)
EAP MD5: Acceptable en filaire interdite en WIFI
EAP/PEAP : Tunnel chiffr + Autre mthode EAP dans le tunnel.
Dabord cration du tunnel puis EAP/TLS par exemple.
EAP/TLS : Tunnel chiffr + Authentification par certificats (2).
Mthode trs rpandue . Le supplicant et le serveur doivent tre
reconnus, sinon dconnexion. Utilise des clefs publiques. Seul
protocole devant tre implment pour avoir un matriel lablis
WPA ou WPA2.
EAP/SIM : mthode EAP pour client GSM
EAP/AKA: carte SIM dans le cas de lUMTS
.

Scnario EAP/TLS

Client Hello
Envoi certificat
serveur
- Envoi certificat client
- Vrification certificat Serveur
- Gnration clef session

Affectation dynamique des Vlans


VLAN Comptabilit

VLAN Direction

Postes wifi

Authentificateur

Postes filaires

Numro de Vlan envoy dans rponse du


serveur Radius
Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802 (6)
Tunnel-Private-Group-ID=<numro de VLAN>

Radius
VLAN Ingnierie

VLAN Invit

Plan
Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels
Introduction la Qos
Authentification niveau 2
VPN
PPTP
IPSEC

Quest ce quun VPN


VPN: Virtual Private Network
Ex: VPN site site
VPN Client distant Site
Quels sont les mthodes et
protocoles dauthentification ?
PPTP (Microsoft): utilise MPPE
pour encrypter.

L2TP: Layer 2 Tunneling Protocol:


utilisation de certificats, et du
protocole IPsec pour encrypter.

Problme de la route par dfaut dans un VPN !

PPTP
R s e a u d e tra n s p o rt

O u v e rtu re d u n e s e s s io n T C P s u r le s e rv e u r
PPTP

1723

N g o c ia tio n d e s p a ra m tre s d u tu n n e l P P T P
C e lia is o n d e c o n tr le s e r a m a in te n u e d u r a n t
to u te le x is te n c e d u tu n n e l

P P P L in k C o n tro l : N g o c ia tio n d e la lia is o n


P P P , m th o d e d a u th e n tific a tio n e t d e
c o m p re s s io n
E x M sC H A P V 2
c h a lle n g e
A u th e n tific a tio n C H A P
(e n v o i d u n c h a lle n g e = n o m b re a l a to ir e )
R p o n s e (c h a lle n g e c o n d e n s p a r le m o t d e
passe)
A c c e p t a tio n d u s e rv e u r

R e p o n s e = F (c h a lle n g e , p a s s w d )

T unnel
en m ode
d a ta g ra m m e

OK

N g o c ia tio n d e s p a ra m tre s IP

N g o c ia tio n d u m o d e d e c o m p re s s io n e t o u
c r y p ta g e

DATA

P P P L in k C o n tro l : F in d e s e s s io n P P P

F e rm e tu re d u tu n n e l P P T P
1723

IPSEC
Trois protocoles
Ngociation de paramtres:
IKE (Internet Key exchange) : port 500
Connexion scurise en mode transport : port 50
Connexion scurise en mode tunnel : port 51

IKE

PHASE 1:
Ngociation des cls
pour la cration dun
tunnel scuris

A lintrieur du premier tunnel,

PHASE 2 :
Ngociation des paramtres
des tunnels utiliss pour le
transport effectif des
donnes

Mode transport et mode tunnel


Mode transport :
Seules les donnes du paquet sont rencapsules

Entte IP

Entte IP

Donnes

Entte IPSEC

Donnes

code de scurit

Mode tunnel :
la totalit du paquet est rencapsule

Entte IP

Entte IPSEC
code de scurit

Entte IP

Donnes

Entte IP

Donnes

Deux types de codes de scurit


Code de type AH : Authentication Header

Deux types de codes de scurit


Code de type ESP : Encapsulation security payload