Vous êtes sur la page 1sur 17
NAT, DNS et DHCP 1 Adresses IP Pour obtenir une adresse de réseau (unique) Auprès

NAT, DNS et DHCP

1 Adresses IP Pour obtenir une adresse de réseau (unique) Auprès de son fournisseur d’accès
1
Adresses IP
Pour obtenir une adresse de réseau (unique)
Auprès de son fournisseur d’accès à Internet
Classe A : impossible
Cl
asse
B
: presque mposs
i
ibl
e (
é
pu s
i
é
)
Classe C ou partie de Classe C : OK
22

Principe du NAT

Le

mécanisme

de

translation

d'adresses

(Network

Address

Translation noté NAT) a été mis au point afin de répondre à la pénurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 répondra à terme à ce problème).

En adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la planète) n'est pas suffisant pour permettre à toutes les machines le nécessitant d'être connectées à internet.

Le principe du NAT consiste donc à utiliser une passerelle de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne et au moins une interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter l'ensemble des machines du réseau.

33

Principe du NAT statique

de la passerelle, une

traduction des paquets provenant du réseau interne

vers le réseau externe.

Il s'agit de réaliser, au niveau

Ainsi, chaque machine du réseau nécessitant d'accéder à internet est configurée pour utiliser la passerelle NAT

Lorsqu'une machine du réseau effectue une requête vers Internet, la passerelle effectue la requête à sa place, reçoit la réponse, puis la transmet à la machine ayant fait la demande.

44

Principe du NAT statique

Adresse privée de la passerelle Adresse publique de la passerelle 55 Principe du NAT statique
Adresse privée
de la
passerelle
Adresse publique
de la passerelle
55
Principe du NAT statique
La
passerelle
camoufle
complètement
l'adressage
interne d'un réseau
Le mécanisme de traduction d'adresses permet
d'assurer une fonction de sécurisation (pour un
observateur externe au réseau, toutes les requêtes
semblent provenir de l'adresse IP de la passerelle).
66

Translation d’adresse IP

Le principe du NAT consiste à associer une adresse IP publique à une adresse IP privée interne au réseau.

La passerelle permet donc d'associer à une adresse IP privée (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans

l'autre en modifiant l'adresse dans le paquet IP

,

NAT statique:

.

Avantage: association adresse privée adresse publique Eviter de perdre des adresses (adresses de sous réseau, adresse de broadcast, ) Inconvénient: Ne résout pas le problème de pénurie d’adresses. Solution: NAT dynamique

77

Translation dynamique

Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même adresse IP.

Afin de pouvoir « multiplexer » (partager) les différentes adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise le mécanisme de translation de port (PAT: Port Address Translation):

l'affectation d'un port source différent à chaque requête de telle manière à pouvoir maintenir une correspondance entre les requêtes provenant du réseau interne et les réponses des machines sur Internet, toutes adressées à l'adresse IP de la passerelle NAT.

88

Adresse numérique/ Nom de domaine

Chaque

ordinateur

connecté

à

moins une adresse IP.

Internet

possède

au

Cependant, les utilisateurs ne veulent pas travailler avec des adresses numériques du genre 194.152.205.26 mais avec un nom de domaine ou des adresses plus explicites (appelées adresses FQDN: Fully Qualified Domain Name) du type www.mes.tn

Adresse FQDN Dans un réseau TCP/IP, chaque machine possède une adresse FQDN appelée nom qualifié de domaine.

99

Noms d'hôtes

Dans le cas de réseaux très peu étendus (le nombre d’ordinateurs connectés à un même réseau est faible) les administrateurs réseau créent des fichiers appelés tables de conversion manuelle.

Ces tables de conversion manuelle sont des fichiers séquentiels, généralement nommés hosts ou hosts.txt, associant sur chaque ligne l’adresse IP de la machine et le nom littéral associé, appelé nom d'hôte. Ces tables de conversion nécessitait néanmoins la mise à jour manuelle des tables de tous les ordinateurs en cas d'ajout ou de modification d'un nom de machine

1010

DNS (Domain Name System).

Il est possible d'associer des noms en langage courant aux adresses numériques grâce à un système appelé DNS (Domain Name System).

On appelle résolution de noms de domaines (ou résolution d'adresses) la corrélation entre les adresses IP et le nom de domaine associé.

1111

Traduction nom Adresse IP

Traduction de noms en adresse IP

 

C’est la résolution directe : Nom Adresse IP Dans un réseau IP, lorsqu'une machine A veut communiquer avec une machine B, la machine A connaît le nom FQDN de B. Pour que A puisse communiquer avec B grâce au protocole IP, A va avoir besoin de connaître l'adresse IP de B. Le DNS permet à A d'effectuer la résolution directe.

T

d

ra

ti

uc on

d'

d

une a resse

IP

au nom

Traduction de l'adresse IP au nom FQDN est appelé la résolution inverse : Adresse IP Nom La machine B reçoit un datagramme IP en provenance de A. Ce datagramme contient l'adresse IP de A. La machine B doit donc être capable de trouver le nom FQDN de A à partir de son adresse IP. C'est ce qu'on appelle la résolution de noms inverse.

1212

L'espace de noms

La structuration du système DNS s'appuie sur une structure arborescente dans laquelle sont définis des domaines de niveau supérieurs appelés TLD (Top-Level Domains), rattachés à un nœud racine représenté par un point « . » Il y a deux types de Top-Level Domain:

Les domaines internationaux génériques composés de trois lettres ou plus

Ex :

.com

: structure commerciale

 

.org

: les organisations

Les domaines géographiques composés de deux lettres

Ex :

.tn

: Tunisie

 

.ca

: Canada

1313

Ex : .tn : Tunisie   .ca : Canada 1313 Structure arborescente de l’espace des noms

Structure arborescente de l’espace des noms

tn mes
tn
mes

1414

Nom de domaine – hôte – FQDN

Nom de domaine:

Chaque nœud de l’arbre possède une étiquette d'une longueur maximale de

63 caractères Le « domaine » correspond formellement au suffixe d'un nom de domaine,

c'est-à-dire l'ensemble des étiquettes de nœuds d'une arborescence, à l'exception de l'hôte. Exp: mes.tn, isigk.rnu.tn

Nom d’hôte

L'extrémité d'une branche est appelée hôte, et correspond à une machine

ou une entité du réseau. Le nom d'hôte qui lui est attribué doit être unique dans le domaine considéré, ou le cas échéant dans le sous-domaine. Le serveur web d'un domaine porte généralement le nom www.

Le serveur ftp d'un domaine porte généralement le nom ftp

Adresse FQDN (Fully Qualified Domain Name)

Le nom absolu correspondant à l'ensemble des étiquettes des nœuds d'une arborescence, séparées par des points est appelé adresse FQDN La profondeur maximale de l'arborescence est de 127 niveaux et la longueur maximale d'un nom FQDN est de 255 caractères. L'adresse FQDN permet de repérer de façon unique une machine sur le réseau des réseaux (Internet). Exp: www.isigk.rnu.tn

FQDN permet de repérer de façon unique une machine sur le réseau des réseaux (Internet). Exp:
FQDN permet de repérer de façon unique une machine sur le réseau des réseaux (Internet). Exp:
FQDN permet de repérer de façon unique une machine sur le réseau des réseaux (Internet). Exp:

1515

Système DNS

Le système DNS est basé sur:

un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une structure arborescente un système de serveurs distribués permettant de rendre disponible l'espace de noms. un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.

1616

Serveur de noms DNS

Chaque domaine possède:

un serveur de noms de domaines, appelé « serveur de noms primaire » (primary domain name server), un serveur de noms secondaire (secondary domaine name server), permettant de prendre le relais du serveur de noms primaire en cas d'indisponibilité ou de saturation.

name server ), permettant de prendre le relais du serveur de noms primaire en cas d'indisponibilité

Lorsque vous vous connectez à internet le fournisseur d'accès va automatiquement modifier vos paramètres réseau pour vous mettre à disposition ces serveurs de noms.

,

1717 Le serveur DNS secondaire Chaque ordinateur doit être configuré avec l'adresse d’un serveur DNS
1717
Le serveur DNS secondaire
Chaque ordinateur doit être configuré avec l'adresse
d’un serveur DNS primaire ainsi qu’un serveur DNS
secondaire
Sous Unix, il s’agit du fichier /etc/resolv.conf
P
ourquo
i
l
e
serveur
DNS
secon a re
d
i
?
Le serveur primaire peut être saturé à cause des requêtes de
millions de machines.
S'il est en panne, les machines sur le réseau ne sont plus
capables de communiquer entre elles.
L'administrateur réseau doit installer un ou plusieurs serveur(s)
secondaire(s) pour améliorer la résistance aux pannes du
réseau.
1818

Architecture hiérarchisée

Chaque serveur de nom est déclaré à un serveur de nom de domaine de niveau immédiatement supérieur, ce qui permet implicitement une délégation d'autorité sur les domaines.

Le système de nom est une architecture distribuée, où chaque entité est responsable de la gestion de son nom de domaine. Il n'existe donc pas d'organisme ayant à charge la gestion de l'ensemble des noms de domaines.

Les serveurs correspondant aux domaines de plus haut niveau (TLD) sont appelés «serveurs de noms racine».

1919

Résolution de noms de domaine

Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé « résolution de nom de domaine ». L'application permettant de réaliser cette opération (généralement intégrée au système d'exploitation) est appelée « résolveur » (en anglais « resolver »). Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine (par exemple « www.mes.tn »), celle- ci va interroger un serveur de noms défini dans sa configuration réseau. Une requête est ainsi envoyée au premier serveur de noms (serveur de nom primaire).

Si celui-ci possède l'enregistrement (correspondance nom adresse IP) dans son cache, il l'envoie à l'application dans le cas contraire il interroge un serveur racine (dans cet exemple un serveur racine correspondant au TLD « .tn »). Le serveur de nom racine renvoie une liste de serveurs de noms faisant autorité sur le domaine (dans le cas présent les adresses IP des serveurs de noms primaire et secondaire de mes.tn).

autorité sur le domaine (dans le cas présent les adresses IP des serveurs de noms primaire

2020

Résolution de noms de domaine

Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé (par le serveur de noms primaire) et retourner l'enregistrement correspondant à l'hôte sur le domaine (dans cet exemple www).

à l'hôte sur le domaine (dans cet exemple www ). 2121 Exemple sur l'interrogation d'une machine

2121

à l'hôte sur le domaine (dans cet exemple www ). 2121 Exemple sur l'interrogation d'une machine

Exemple sur l'interrogation d'une machine au serveur DNS

1. Un client sur la machine M1 veut connaître l’adresse IP du serveur S1: www.altavista.com

2. M1 est configurée pour interroger le serveur de noms primaire D1

3. M1 va envoyer une requête en UDP à D1 qui écoute sur le port 53 pour connaître l’adresse IP du serveur S1.

4. D1 va envoyer une requête vers l’un des serveurs de noms racine «l.root-servers.net » dont l’adresse fait partie de ses fichiers initiaux

5. «l.root-servers.net » retourne une liste de 10 serveurs qui gèrent la zone « .com »

6. D1 choisit un serveur de nom 192.41.0.4 et lui envoie une requête pour connaître l’@IP de S1

2222

Exemple sur l'interrogation d'une machine au serveur DNS (2) 7. Le serveur de nom 192.41.0.4

Exemple sur l'interrogation d'une machine au serveur DNS (2)

7. Le serveur de nom 192.41.0.4 retourne l’adresse du serveur de noms pour la zone « altavista.com »

8. D1 envoie une requête vers le serveur de nom du domaine « altavista.com » pour connaître l’adresse IP de S1

9. Le serveur de nom de « altavista.com » retourne l’@IP de S1 204.132.2.107

10. D1 retourne l’@ IP 204.132.2.107 à M1 tout en gardant dans son cache toutes les informations qui lui ont permis de trouver l’@ de S1

11. Si M1 veut formuler une nouvelle requête vers S1, D1 lui retourne l’@IP de S1 directement à partir de son cache

2323 Protocole DHCP Dynamic Host Configuration Protocol 2424
2323
Protocole DHCP
Dynamic Host Configuration Protocol
2424

DHCP: Dynamic Host Configuration Protocol

Une adresse IP statique doit être attribuée manuellement par l'administrateur de réseau.

DHCP est un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement (c'est-à-dire sans intervention particulière) sa configuration (principalement, sa configuration réseau: Adresse IP, netmask, ).

DHCP permet aux machines d’un réseau d'avoir une adresse IP différente à chaque fois qu’elles se connectent au réseau.

DHCP permet la simplification de l'administration d'un réseau.

2525

Allocation d’adresses IP

DHCP utilise un modèle Client/Serveur qui apporte une configuration dynamique, centralisée et qui distribue les adresses IP aux clients sans conflit.

Trois mécanismes pour l'allocation d'adresses IP:

Allocation statique: l'adresse IP est assignée manuellement par l'administrateur du réseau Cette adresse statique est une adresse dont la durée de location est indéfinie.

.

Allocation automatique: le client du réseau va avoir une adresse IP permanente, cette adresse est définie par le serveur DHCP.

Allocation dynamique: l'adresse IP est assignée par le serveur DHCP pendant une période limitée (utilisation du bail).

Bail: Le fait de délivrer des adresses IP avec une date de début et une date de fin de validité.

2626

Avantages de l’allocation dynamique d’adresses IP L'allocation intéressante parmi les trois. Elle assigne une

Avantages de l’allocation dynamique d’adresses IP

L'allocation

intéressante parmi les trois. Elle assigne une adresse IP au client, elle la reprend et l'utilise pour un autre client lorsqu'elle est disponible. n

ité

plus

dynamique

est

la

méthode

la

n de gestion des adresses IP. Elle est très utile dans les cas où :

u

sa

o

a oca

o

y

a

que

L'

tili

ti

n d'

ll

ti

n d

mi

d

nn

o

ffi

e u

e e

cac

Il y a une quantité limitée d'adresses IP dans le réseau. Les ordinateurs qui temporairement se relient et débranchent au réseau (exp: les ordinateurs portables) et le réseau qui change fréquemment.

2727

Fonctionnement du protocole DHCP

Il faut dans un premier temps un serveur DHCP qui distribue des adresses IP.

Le serveur DHCP va servir de base pour toutes les requêtes DHCP

Il doit avoir une adresse IP fixe.

Dans

un

réseau,

on

peut

donc

n'avoir

qu'une

seule

machine avec adresse IP fixe: le serveur DHCP.

Quand une machine est démarrée, elle n'a aucune information sur sa configuration réseau, et l'utilisateur ne doit rien faire de particulier pour trouver une adresse IP.

2828

Fonctionnement du protocole DHCP

Le client diffuse un paquet DHCP_DISCOVER pour découvrir les serveurs DHCP de son réseau.

Les serveurs répondent en envoyant une offre de configuration par le paquet DHCP_OFFER (adresse IP au client, durée de validité )

Le client choisit sa configuration (Ex: il prend le premier DHCP_OFFER reçu) puis fait un DHCP_REQUEST au serveur DHCP pour valider son adresse IP.

Le serveur répond simplement par un DHCP_ACK avec l'adresse IP pour confirmation de l'attribution.

2929 Fonctionnement du protocole DHCP 30
2929
Fonctionnement du protocole DHCP
30

Paquets DHCP

Il existe plusieurs types de paquets DHCP pouvant être émis soit par le client pour le/les serveurs, soit par le serveur vers un client:

DHCP_DISCOVER (pour localiser les serveurs DHCP disponibles) DHCP_OFFER (réponse du serveur à un paquet DHCP_DISCOVER, qui contient les premiers paramètres) DHCP_REQUEST (requête diverse du client pour par exemple prolonger son bail) DHCP_ACK (réponse du serveur qui contient des paramètres et l'adresse IP du client) DHCP_NAK (réponse du serveur pour signaler au client que son bail est échu ou si le client annonce une mauvaise configuration réseau) DHCP_DECLINE (le client annonce au serveur que l'adresse est déjà utilisée) DHCP_RELEASE (le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà son adresse IP)

(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà
(le client libère son adresse IP) DHCP_INFORM (le client demande des paramètres locaux, il a déjà

3131

Le bail

Pour des raisons d'optimisation des ressources réseau, les adresses IP sont délivrées avec une date de début et une date de fin de validité. C'est ce qu'on appelle un "bail".

Un client qui voit son bail arriver à terme peut demander au serveur une prolongation du bail par un DHCP_REQUEST. De même, lorsque le serveur verra un bail arriver à terme, il émettra un paquet DHCP_NAK pour demander au client s'il veut prolonger son bail. Si le serveur ne reçoit pas de réponse valide, il rend disponible l'adresse IP.

On peut optimiser l'attribution des adresses IP en jouant sur la durée du bail:

Sur un réseau où beaucoup d'ordinateurs se branchent et se débranchent souvent (réseau d'école ou de locaux commerciaux par exemple), il est intéressant de proposer des baux de courte durée. A l'inverse, sur un réseau constitué en majorité de machines fixes, très peu souvent rebootées, des baux de longues durées suffisent.

un réseau constitué en majorité de machines fixes, très peu souvent rebootées, des baux de longues

Il faut pas oublier que DHCP marche principalement par broadcast, et que cela peut bloquer de la bande passante sur des petits réseaux fortement sollicités.

3232

Contraintes de DHCP

Le service DHCP ne marche pas avec plusieurs réseaux séparés ou les réseaux qui ne sont pas dans le même réseau physique.

 

Le message de diffusion ne peut pas être envoyé vers les machines qui ne sont pas sur le même réseau physique.

DHCP est peu sûr

 

DHCP est construit directement sur les protocole UDP et IP

3333