Patrick O.

KAMGUEU
University of Yaounde I
Position du cours
Crédit = 5cr. Heures = 50h (30h : CM + 30h : TD).
Objectifs
Aborder les technologies avancées des réseaux locaux telles que la configuration des
VLAN, protocoles STP, la sécurité des infrastructures commutées et les protocoles de
routage évolués. Les technologies et problématiques propres aux réseaux étendues sont
également étudiées.

Pré-requis
Fait suite au cours d’introduction aux réseaux présenté dans le cycle licence
informatique.
 Modèle OSI et TCP/IP.
 Conception, configuration et dépannage des réseaux locaux.
o Technologie Ethernet
o Adressage
o Réseaux locaux sans fils

Evaluation
 TD/TP + Assiduité/participation: A définir
 Contrôle continu: 30%
 Examen Final : 70%

2
Agenda
Rappels et compléments
 Adressage et configuration LAN.
 Ateliers pratiques

Concepts avancés de la commutation

 Commutateurs Ethernet.
 Réseaux Locaux Virtuels.
 Routage Inter – VLAN.
 Autres protocoles L2.
 Sécuriser son réseau local.

Routage IP
 Paradigmes de routage.
 VLSM/CIDR
 Etude de cas : OSPF

Technologies des réseaux étendus

 Options de connectivité WAN.
 Adressage des réseaux étendus : NAT, DHCP, IPv6
 Concepts et configuration VPNs.

3
Bibliographie
Les réseaux.
 GUY PUJOLLE
 Edition 2008 – Eyrolles.
Réseaux.
 Andrew TANENBAUM.
 4è Edition – Pearson Education.
Technologie des ordinateurs et des réseaux : cours et exercices corrigés.
 Alain GOUPILLE
 6è Edition – DUNOD.
Réseaux informatiques : notions fondamentales (normes, architectures,
modèle OSI, TCP/IP, WI-FI …)
 Philippe ATELIN
 3è Edition – ENI Editions.

CNAP (Cisco Networking Academy Program)

4
Mise en place d’un Inter-réseau d’entreprise

Comment procéder pour mettre en place un telle architecture réseau ?

5
Administrer son réseau

6
Que planifie t-on ?
Le nombre de réseaux ?
 Analyse de la communauté d’utilisateur
 Quels regroupements : fonction/proximité géographique, …

Le nombre d’hôte par réseaux

 Analyse de la communauté d’utilisateur [présente/future]
 Quels regroupements : fonction/proximité géographique, …

Quels équipements ?
 Type, capacité/bande passante, etc.
 Services déployés
 Vitesse et densité des ports

Quelles évolutions futures

 Planification des évolutions
 Etc.

7
Quelle conception pour son réseau ?
Choix de l’architecture réseau ?
 Topologie physique : Bus, étoile, arborescente, maillé, etc.
 Topologie logique : Déterministe, Basé sur le conflit.

Mise en œuvre d’un plan d’adressage

 Adresses publiques/privées
 Adressage avec classe ou sans classe (sous-réseaux : FLSM ou VLSM)

Documenter le réseau
 Diagramme de topologie du réseau
 Etiquetage des câbles

Caractéristiques à prendre en compte :

 Tolérance aux pannes
 Sécurité
 Qualité de service
 Evolutions futures

8
Que configure t-on ?
La pile de protocole
 Mise en place des connexions physiques (L1 – L2).
 Configuration des adresses logiques, routage (L3).
 Configuration des services (L4 – L7).

Sécurisation des configurations

 Sécurité physique des équipements
 Sécurisation des services

Accès { l’interface de configuration

 Configuration initiale :
 Console (Hors bande [Out-of-band])
 Client Web (En bande [In-band])
 Modification des configurations
 Console
 Service de connexion distants : client Web, Telnet, SSH
 Protocoles d’administration réseau : SNMP, NETCONF

9
Application !!!
Considérant le diagramme de topologie du transparent #5.
 Combien de réseau ?
 Quels types de réseau ?

Une analyse mène aux conclusions suivantes concernant les adresses hôtes nécessaires
pour les différents LANs :
o Réseaux LAN de CENTRAL : 100@ hôtes.
o Réseaux LAN de EAST : 52@ hôtes.
o Réseaux LAN de WEST : 20@ hôtes.
o Réseaux LAN sans Fil : 12@ hôtes.
o Réseaux point à point : Entre routeurs, réseau du serveur Local.

Cas 1 : Adressage par classe

 Choix dans le domaine privé : 192.168.X.X/12
 Ne pas tenir compte du réseau public (Internet).

Cas 2 : Conception VLSM.

 Même considération que précédemment.

En considérant chacun des cas précédents, combien d’adresse IP sont gaspillés ?

10
Equipements Réseaux Intermédiaires
Concentrateurs (Hub)
 Point de concentration des connexions
 Equipement L1 : OU

o Signal Processing
o Pas d’intelligence
 Unique domaine de collision et de diffusion
 Variante : Répéteur.

Réseau non hiérarchique Caractéristiques d’une telle conception !!!

1- Plus de collisions avec l’ajout de nouveaux équipements.
 Diminution de la bande passante.
 Augmentation de la latence.

2- Plus de diffusion savec l’ajout de nouveaux équipements.

 Utilisation importante des ressources réseaux.

3- Difficulté de dépannage.
 Réseaux à plat : Isolation des problèmes très difficile.

11
Equipements Réseaux Intermédiaires (Bis)
Commutateur (Switch)
 Point de concentration des connexions
 Equipement L2 :
o Filtrage du trafic
o Décisions basées sur l’@ MAC
 Domaine de collision par port
 Variante : Pont.

Conception Réseau commuté Caractéristiques d’une telle conception !!!

1- Moins de collisions avec l’ajout d’équipements.
 Amélioration des performances.

2- Boucles de commutation avec des architectures complexes.

 Nécessité de protocoles spécialisé : STP, RSTP, etc..

3- Domaine de diffusion étendu.

 Nécessité d’équipement de couche 3 ou prise en charge
de VLAN par les commutateurs.

12
Equipements Réseaux Intermédiaires (End)
Routeur
 Limite la propagation des diffusions
 Equipement L3 :
o Filtrage du trafic.
o Pont entre réseaux logiques
o Décisions basées sur l’@ IP.
 Domaine de diffusion par port

Inconvénients liés au routage !!!

1- Latence plus importante.
 Nécessite un processus logiciel.

2- Coût lié au port plus élevé.

13
Mauvaise conception LAN

OU

Problèmes
 Domaines de diffusion trop grand et limites non clairement définies
 Trafic monodiffusion avec MAC inconnu
 Challenge de gestion
 Problème de sécurité

14
Bonne conception LAN

Modèle hiérarchique
 Administration et dépannage facilité
 Disponibilité du réseau assurée (redondance)
 Evolutivité
 Implémentation de la sécurité facilité (zones du réseau bien définies)

15
Modèle de communication LAN
Diffusion (Broadcast)
o Un hôte (PC0) transmet en une communication la même infos à tous.

PC1

 PC2
PC0


Données
MACDiff MACPC0 IPPC0 IPDest Queue
Utilisateur

16
 Modèle de communication LAN (Bis)
Monodiffusion (Unicast)
o Un hôte (PC0) transmet une information à un autre (PC2).

PC1

 PC2
PC0


F0/2
Table de Commutation Vide (Init.)
F0/1 F0/3
Switch Port MAC Address
F0/1 PC0
Quelle est la structure de la trame envoyée ?
F0/2
Données
F0/3 MACPC2 MACPC0 IPPC0 IPPC2
Utilisateur
Queue

17
 Modèle de communication LAN (End)
Monodiffusion (Unicast)
o Un hôte (PC0) transmet une information à un autre (PC2).

PC1

PC0 PC2

Table de Commutation Pleine (Init.)

Switch Port MAC Address

F0/1 PC0
Trame envoyée
F0/2 PC1
Données
F0/3 PC2 MACPC2 MACPC0 IPPC0 IPPC2
Utilisateur
Queue

18
Commutateur : Fonctionnement (Résumé)
Apprentissage
 Basé sur l’adresse MAC source
 Processus dynamique ou statique.
 Horodaté

Inondation
 Destination Inconnue du commutateur
 Destination = MAC Diff. (FF-FF-FF-FF-FF-FF)

Réacheminement sélectif
 Unicast avec MAC connue
 Retransmission sur un port approprié

Filtrage
 Trame non transmise
Cause ? (Trois raisons possibles au moins)

19
 Problèmes liés à la commutation : Boucles

PC0 SOUCIS:

  1- Copies multiples la même info. à la Dst.

2- Incohérence de la table CAM.
3- Détérioration des performances réseaux
 Trames prises dans la boucle
 Tempête de diffusion possible

 
Switch Port MAC Address
F0/1 PC1
Switch Port MAC Address
F0/2 PC1
F0/1 PC1
F0/2 PC1

PC1
20
Discussion
Redondance ou non ?
 Objectif d’une conception LAN : Fonctionnalité
« Le réseau doit toujours être en service. Il doit permettre aux utilisateurs
finaux d’atteindre leurs objectifs. Il doit fournir aux utilisateurs finaux et
aux applications une connectivité avec un débit raisonnable et fiabilité. »

 Fonctionnalité  Fiabilité
 Fiabilité  Redondance : Dilemme

Cause de boucle
 Absence de mécanisme TTL
 Boucle "à priori" sans fin

Solution
 Créer un réseau sans boucle logique sur un réseau physique avec boucle.
 Protocole STP (Spanning Tree Protocol)
Traduction : Protocole d’Arbre Couvrant.
 Norme IEEE 802.1d
21
 Algorithme STP : Les Phases
1. Select Root
2. Calculate best path to root
3. Configure ports to forward to Root Root
4. Disable certain ports to break loop

22
 STP en action
1. Select Root
32768.00…01
BID=32768.00-00-00-00-00-01
Switch0
32768.00…01

Switch1 Switch2
BID=32768.00-00-00-00-00-02 BID=32768.00-00-00-00-00-03
32768.00…02 32768.00…03

32768.00…02 32768.00…03
 STP en action
1. Select Root
32768.00…01
ROOT=32768.00-00-00-00-00-01
BID=32768.00-00-00-00-00-01
Switch0
32768.00…01

ROOT=32768.00-00-00-00-00-01 ROOT=32768.00-00-00-00-00-01
Switch1 Switch2
BID=32768.00-00-00-00-00-02 BID=32768.00-00-00-00-00-03
32768.00…02 32768.00…03

32768.00…02 32768.00…03
STP en action

ROOT
Switch0

Cost = 100 Cost = 100

Switch1 Switch2
Cost = 100
 STP en action
1. Select Root
2. Calculate best path to root
ROOT 000
Switch0

Cost = 100
Cost = 100

100
Switch1 Switch2
Cost = 100

Cost to Root = 0+100

Cost to Root = 0+100
Cost to Root =
100+100
 STP en action
1. Select Root
2. Calculate best path to root
ROOT
3. Configure ports to forward to Root Switch0
(RP & DP) DP DP
4. Disable certain ports to break loop

Cost = 100
Cost = 100

RP RP
Switch1 Switch2
DP
? Cost = 100 X?
BID=32768.00-00-00-00-00-02 BID=32768.00-00-00-00-00-03
Réseaux Locaux Virtuels : pourquoi faire ?
Objectifs
 Séparation du trafic en domaines de diffusion distincts
o Sécurité
o Charge
o Diffusion
 Localisé au niveau L2
 Ne pas tenir compte de la position géographique :
o Regroupement orienté « communauté d’utilisateur »
o Ex : Groupes d’utilisateurs service financier, service technique, ressource humaine,
utilisateurs mobiles, invité, etc.

 Conserver la même infrastructure commutée.

 Obtenir un schéma d’adressage cohérent.

Avantages
 Meilleures performances
 Sécurité accrue
 Réduction des coûts
 Administration simplifiée
28
Mode d’appartenance à un groupe
Attention !!!
Seuls les utilisateurs finaux sont associés aux communautés virtuelles (VLAN),
les équipements intermédiaires (routeurs, switchs, hubs, …) ne le sont pas.
VLAN Dynamique
 Basé sur un serveur spécialisé : VMPS
 Affectation dynamique
 Flexible (déplacement)

VLAN Statique
 Configuration manuelle (Switch)
 Liaison du groupe au port de commutateur
29
VLAN : Configuration
Etapes
 Créer le VLAN en spécifiant un ID (Décimal sur 16bits)
 Affecter un nom au VLAN crée (optionnel)
 Vérifiez la base de donnée VLAN

Application
Switch# vlan database
Switch(vlan)# vlan 10 name Mobil-User
Switch(vlan)# exit
ou bien
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Mobil-User
Switch(config-vlan)# exit

Verification
Switch# show vlan [brief]
30
VLAN : Assignation de port
Etapes
 Spécifier le type de l’interface comme interface d’accès
 Spécifier le VLAN d’accès
 Vérifiez la base de donnée VLAN

Application
Switch# configure terminal
Switch(config)# interface f0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

Verification
Switch# show vlan [brief]

31
Agrégation VLAN
But
 Transporter le trafic VLAN (Etiqueté ou encapsulé)
 Connexion entre commutateur

ISL IEEE 802.1Q

Types d’agrégation
Propriétaire Standard
 ISL (Inter-Switch Link)
Encapsule la trame Etiquette la trame
 IEEE 802.1Q
Trame originelle Trame originelle
non modifiée modifiée

32
Agrégation VLAN : Configuration
Etapes
 Spécifier le type de l’interface comme interface d’agrégation
 Spécifier les VLAN autorisé sur le lien agrégé
 Vérifiez que l’agrégation est établie sur l’interface

Application
Switch# configure terminal
Switch(config)# interface f0/10
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan all
Switch(config-if)# exit

Verification
Switch# show interface trunk

33
Négociation du type de port : DTP
Protocole DTP (Dynamic Trunking Protocol)
 Propriétaire Cisco
 A mettre en œuvre quand la nécessité est avérée

Configuration
Switch(config-if)# switchport mode dynamic auto
Switch(config-if)# switchport mode dynamic desirable
Switch(config-if)# switchport nonegociate

Etats négociés 34
Communication Inter-VLAN
Challenge
 Faire communiquer deux hôtes dans des domaines de diffusion différents
 Solution : Routage.

Solution 1 : Non scalable Solution 2 : scalable

35
Routage Inter-VLAN (Solution 2): Configuration
Etapes
(Sur le routeur)
 Sélectionner l’interface physique, puis l’activer
 Pour chaque interface logique (sous-interface) la sélectionner
 Définir l’encapsulation et le VLAN d’accès
 Configurer l’adresse IP et le masque
(Sur le commutateur)
 Configurer la liaison comme agrégée

Application
Router# configure terminal
Router(config)# interface f0/0
Router(config-if)# no shutdown
Router(config-if)# interface f0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 172.16.10.1 255.255.255.0

36
Let’s look in Packet Tracer …

37
Problèmes de configuration VLAN !!!
Agrégations
 Non concordance  Perte de connectivité
 VLAN autorisé sur les agrégations  Trafic imprévu
Switch (config-if)# switchport trunk allowed vlan [vlan-list]

Paramètres IP
 Adresse IP : Mauvaise saisie
Ex : 172.16.10.11 au lieu de 172.16.101.1
 Masque incorrect (255.255.0.0 contre 255.255.255.0)
 Encapsulation incorrecte sur la passerelle.

Commandes de vérification
o C:\> ipconfig ou home–ubuntu~$ ifconfig
o Switch# show interface trunk
o Switch# show running-confg
o Switch# show ip interface brief
o Switch# show interface <port> <number> switchport
o Switch# show ip route

38
Problèmes de sécurité dans le LAN
Focus sur L2, L3 ou L4 ?
 L2 très souvent négligée au profit de L3 et L4.
 Sécurité L3 et L4 mise en œuvre sur des routeurs [de bordure] et/ou pare-feux.
 Ambivalence de sécurité :
o Où accentuer la sécurité ? : protection externe vs protection interne.
o Par défaut : Tout refuser de l’extérieur, par contre tout accepter { l’intérieur.
o Switch et équipements L2 :
 Plusieurs mécanismes de sécurité existants
 A activer pour effectivité

Soucis au niveau de la couche d’accès

 Equipements non autorisés Catégories d’attaques L2 :
1- Attaques d’adresses MAC
2- Attaques par usurpation
3- Attaques VLAN
4- Attaques sur le commutateur.

39
Inondation d’adresses MAC
Progression de l’attaque :
 Le Switch transmet le trafic sur la base des entrées valides de la CAM.
 Attaquant envoie plusieurs trames avec des MAC src non valides et différentes.
 La CAM est très rapidement pleines (ce durant toutes l’attaque).
 Le Switch fonctionne par inondation.
Variante : Attaque par usurpation d’adresse MAC

Atténuation : Sécurité des ports 40

 Sécurité des ports : configuration
Etapes :
 Activer la sécurité des ports sur l’interface
 Définir le nombre d’adresse MAC accepté sur un port
 Spécifier les adresses MAC autorisées.
 Définir l’action entreprise en cas de violation.

Application
Switch# configure terminal
Switch(config)# interface f0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address E02A.025B.0023
Switch(config-if)# switchport port-security violation shutdown

Vérification
Switch# show port-security
Switch# show port-security interface f0/1
Switch# show port-security address
41
Attaque par usurpation : Exemple
Présentation
 Détourner le trafic en prétendant être légitime
 Se transforme en un “man-in-the-middle” attack

Attaque Solution

42
Mystification DHCP : Solution – configuration
Etapes :
 Activer la surveillance DHCP sur le Switch globalement
 Sélectionner les ports fiables
 Spécifier la fréquence de réception des requêtes DHCP autorisées

Application
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# interface f0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
Switch(config)# ip dhcp snooping limit rate 20

Vérification
Switch# show ip dhcp snooping

43
Usurpation ARP
Processus ARP :
 Un hôte émet un diffusion sollicitant l’@ MAC d’un tiers connaissant son IP.
 L’hôte sollicité réponds en envoyant sa MAC.
 L’hôte solliciteur consigne l’infos dans un cache.

Usurpation ARP :
 Exploite le mécanisme gratuitous ARP.

44
Usurpation ARP : solution – configuration
Etapes :
 Implémenter préalablement la protection contre la mystification DHCP.
 Mettre en œuvre la surveillance ARP (DAI : Dynamic ARP Inspection).

 Détermine la validité des paquets ARP sur la base de la BD DHCP snooping

 Transmet sans vérification des trames sur les ports fiables
 Intercepte et vérifie toutes les trames sur les ports non fiables

Application
Switch# configure terminal
Switch(config)# ip arp inspection vlan 10
Switch(config)# interface f0/1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit

45
Ecoute passive …
Préalables
 Envoie texte en clair :
o Administration : Telnet, SNMP v1
o Information de routage
o Application : HTTP, FTP, …
 Accès du pirate au LAN
 Disponibilité des sniffers (analyseurs de protocoles)
Ex : Wireshark

Solution
 Chiffrement
 Protocoles sécurisés : HTTPS, SSH, SNMPv3, …

46
SSH configuration
Etapes :
 Définir un nom de domaine.
 Générer les clés asymétriques
 Configurer les paramètres d’authentification
 Utilisateur et mot de passe
 Protocole de connexion virtuelle
 Le nombre de tentative, délais d’attente, etc.

Application
Switch# configure terminal
Switch(config)# ip domain-name uy1.uninet.cm
Switch(config)# crypto key generate rsa
Switch(config)# username TOTO secret mypass
Switch(config)# line vty 0 4
Switch(config-line)# transport input ssh
Switch(config-line)# login local
Switch(config-line)# exit
Switch(config)# ip ssh authentication-retries 3
Switch(config)# ip ssh time-out 10
Switch(config)# ip ssh version 2 47
Routage : fonction des routeurs
Routeurs
 Aiguilleur d’informations
 Sert de passerelle pour le(s) réseau(x) connecté(s)
 Décision sur la base des infos L3.
 Construction d’une structure de données sur la base de protocole (algorithme)

Application Application

Présentation Présentation

Session Session

Transport Transport

Réseau Réseau Réseau Réseau

Liaison D. Liaison D. Liaison D. Liaison D.

Physique Physique Physique Physique

PC Local_Routeur Corporate_Routeur Server 48

Routeurs et protocoles
Protocoles des routeurs
 Protocole de routage :
o Règle mise en œuvre pour découvrir les réseaux distants
o Construction de la table de routage
 Protocole routé :
o Transport des PDU de couches sup.
o Règle de localisation/adressage des nœuds

Protocole IP
 Sans connexion
 Acheminement au mieux
 Indépendant du média de transport

49
Paradigmes de routage
Routage statique
 Mis en œuvre manuellement par l’administrateur
 Utilisé dans des circonstances particulières : Ex: Route par défaut, route résumé.
 Avantages :
o Plus sûr/sécurisé,
o efficace en ressource
 Inconvénient :
o Ne passe pas l’échelle

Routage dynamique
 Coopération entre voisins
 Structure de données et algorithmes [plus/moins] complexes

50
Configuration : routage statique
Deux méthodes de paramétrage:
 Interface de sortie
 Adresse du prochain saut

Application
R1# configure terminal
R1(config)# ip route 0.0.0.0 0.0.0.0 S0/0/0
Et sur le second routeur
R2# configure terminal
R2(config)# ip route 172.16.3.0 255.255.255.0 172.16.2.2

51
Routage dynamique
Caractéristiques:
 Echange dynamique d’infos de routage
o Auto-découverte du réseau
o Auto-reconstitution de route
 Composants
o Structure de données (Table de routage, de voisinage, topologique, etc.)
o Algorithme de calcul des meilleures routes
o Mise à jour

Coût
 Ressources consommées
o Matérielles : processeur, mémoire
o Bande passante (Mise à jour, voisinage, etc.)
 Compétences requises

Diversité de mise en œuvre

 Vecteur de distance : RIP, IGRP, EIGRP, BGP, etc.
 Etat de liens : OSPF, IS-IS

52
Routage avec/sans classe …
Variable Length Subnet Masking
 Pénurie d’adresse
 Ajustement de l’espace d’adressage aux réels besoins
 Compétences requises

Conséquences
 Segmentation de l’espace d’adressage
o Table de routage importante
 Masque non pris en compte par les protocoles de routage
o Fonctionnement natif

Evolutions de routage : CIDR (RFC1519,1817)

 Routage sans classe
o Classless Inter-Domain Routing
o Prise en compte des infos sur le masque
o RIPv2, EIGRP, OSPF
o Contre exemple : RIPv1, IGRP
 Agrégation de préfixe
o Résumé des routes/super-réseau
o Table de routage plus compacte

53
Scénario VLSM (1)

54
Scénario VLSM (2)

55
VLSM/CIDR en action!!! (1)

Agrégation de route : super-réseau

56
VLSM/CIDR en action!!! (2)

Quel est le résumé ?

VLSM et réseaux discontinus

57
Etude de cas : Etat de lien (OSPF)
Protocole à Etat de lien : Fonctionnement général
1. Découverte de réseau connecté
o Interfaces configurées activées
2. Etablissement des contiguïtés
o Protocole HELLO
o Table de voisinage
3. Inondation de zone/région
o Paquets LSA
o Table topologique
4. Algorithme de routage
o Algorithme SPF
o Table de routage

Caractéristiques OSPF
 Convergence rapide
 Consommation améliorée de la bande passante
 Gourmand en ressources matérielles
 Adapté à des topologies complexes
o Conception hiérarchique
o Protocole sans classe
o Standards : RFC2328 (v2), RFC2740 (v3)
58
Vue d’ensemble : Concepts OSPF (1)
Zone OSPF
 Ensemble de routeur ayant une BD topologique identique
o BD topologique = Ens. des LSA des routeurs de la zone.
o Caractérisé par un ID (numéro)

 LSA = Link-State Advertisements

o Structure de données d’infos de config. OSPF (réseau et voisins)
• Adresse et Masque de sous-réseau
• Bande passante/coût du lien
• Type de réseau (Point-à-Point, Accès multiple à diffusion, lien virtuel, etc.)
• Minuteurs OSPF (Intervalle HELLO, intervalle d’arrêt)
• Numéro de séquence, etc.
o Envoyé en multidiffusion (à 224.0.0.5)

Messages OSPF
 Hello = Etablissement des contigüités
 DBD = Synchronisation de DB topologique entre pairs.
 LSR = Demande de mise à jour à état de liens
 LSU = Mise à jour à état de liens
 LSAck = Accusé de réception

59
Vue d’ensemble : Concepts OSPF (2)
Inondation LSA
 Après formation des contigüités
 Dépend du type de réseau

o Point-à-Point
Le pair envoie ses LSA à son vis-à-vis qui les consigne dans sa BD topologique
Puis la diffuse vers ses propres voisins.
o Réseaux à diffusion
Optimisation par élection de représentants :
• DR = Designated Router, BDR = Backup Designated Routeur
• Chargé(s) d’inonder les voisins du réseau { diffusion par les LSA du groupe.
• Les autres routeurs (DROthers) communiquent avec DR/BDR à 224.0.0.6

60
Vue d’ensemble : Concepts OSPF (3)
Election du DR/BDR
1. Priorité du routeur
 Le routeur de plus grande priorité devient DR
 Le routeur de priorité suivante est élu BDR
 En cas d’égalité passer { 2.

2. Sélection sur la base d’ID.

 Le routeur de plus grand ID gagne (voir 2.a) pour config d’ID)
a) ID défini par la commande router-id
Si l’ID n’est pas configuré aller { 2.b)
b) Interface logique (Loopback)
 La valeur la plus importante gagne.
 En absence d’interface logique config. aller { 2.c)
c) Plus grande interface physique active.

Résultat élection DR/BDR ?

61
Vue d’ensemble : Concepts OSPF (4)
Etat d’un routeur OSPF

1. Down State = Etat initial d’un routeur activé pour OSPF

2. Init State = Le routeur reçoit des HELLO, mais pas de contiguïté établie
3. Two-Way State = Le routeur se voit dans la liste de voisin des routeurs adjacents
NB : En dehors des HELLO tous les autres messages sont acquittés.

Phase 1
62
Vue d’ensemble : Concepts OSPF (5)
Etat d’un routeur OSPF (suite)

4. Exstart State = Etablissement d’un relation maître/esclave pour l’échange des DBD.
5. Exchange = Pairs échangeant une/plusieurs DBD pour vérifier leur synchronisation.
6. Loading State = En cas de non synchronisation des LSR et LSU sont échangés pour
synchroniser la BD des LSA.
7. Full State = Etat final, ici les pairs sont parfaitement synchronisés.

Phase 2 Phase 3 63
Vue d’ensemble : Concepts OSPF (6)
Resynchronisation OSPF
 Modification topologique : Changement d’une donnée de configuration { état de liens.
 Toutes le 30 min : Rafraîchissement de la DB topo. de tous les routeurs de la zone.
Application pour un réseau à diffusion :

1. A fait une multidiffusion LSU au DR/BDR (224.0.0.6)

2. Le DR/BDR acquitte le msg, réalise la modif. et informe tous les autres routeurs
du groupe (224.0.0.5)
3. Si un routeur fait parti d’un autre réseau (lien), il inonde ce dernier avec la (les)
nouvelle(s)LSA.
4. Chaque routeur individuellement, ré-exécute SPF sur la nouvelle BD topo. pour
en extraire les meilleures routes. 64
OSPF en multiples zones
Subdivision en régions/zones
 Hiérarchie à deux niveaux
o Zone de transit ou Backbone (Area 0)
• Toutes les autres zones doivent y être connectés d’une façon ou d’une autre
•  Tout trafic interzone passe nécessairement par le Backbone
o Zones régulières

 Exécution de SPF le moins fréquemment possible

o Maintenir la cohérence de la BD { l’intérieur d’une même zone.
o Confiner et optimiser le processus d’inondation
o Mise à jour de routage spécifique entre zone
• Résumé de routage (table de routage plus compacte)
• Filtrage de routage

65
OSPF en multiples zones (bis)
Terminologie de zone
 Routeur interne
o Possède toutes les interfaces dans la même zone
o BD d’états de lien identique avec autres Internal Routers
 Routeur Backbone
o Possède au moins une interface dans la zone de transit
 ABR (Area Border Router)
o Possède des interfaces dans des zones différentes
o Conserve une DB topo. séparée pour chaque zone
o Peuvent être configuré pour résumer leur infos de routage
 ASBR (Autonomous System Boundary Router)
o Possède au moins une interface dans un autre système autonome (Non OSPF par ex.)
o Peuvent être configuré pour redistribuer (importer) les routes externes (non-OSPF) et vise versa.

66
Configuration OSPF de base
Etapes :
 Passer en mode configuration de routage OSPF [spécifier le num. de processus]
 Spécifier l’ID du routeur
 Spécifier les réseaux participant aux annonces de routage, masque générique et
ID de zone
 Configurer les paramètres OSPF additionnel
 Distance administrative
 Bande passante de référence
 Interface passive
 Redistribution des routes (par défaut, statiques, etc.)
 Etc.

Application
Router(config)# router ospf 1
Router(config-router)#router-id 1.1.1.1
Router(config-router)#network 192.168.1.0 0.0.0.3 area 0
Router(config-router)#distance 10
Router(config-router)#auto-cost reference-bandwidth 10000
Router(config-router)#passive-interface FastEthernet 0/0
Router(config-router)#default-information originate
Router(config-router)#redistribute static 67
Réglages OSPF minutieux
Options de configuration :
 Modification du coût
 Modification des minuteurs (Intervalles Hello, et d’arrêt)
 Modification de la priorité du routeur
 Définir la (les) clé(s) d’authentification et activer l’authentification

Application
Router(config)# interface s0/0/0
Router(config-if)#ip ospf cost 10
Router(config-if)#ip ospf hello-interval 15
Router(config-if)#ip ospf dead-interval 60
Router(config-if)#ip ospf priority 0
Router(config-if)#ip ospf message-digest-key 1 md5 password
Router(config-if)#ip ospf message-digest-key 2 md5 secret
Router(config-if)#ip ospf authentication message-digest
68
Vérification du fonctionnement OSPF
Eléments vérifiables :
 Ens. de protocoles de routage activé et leurs principaux paramètres de configuration
 Table de voisinage OSPF
 Paramètres de config. OSPF d’interface
 Paramètres de config. globaux OSPF et statistiques

 Activation du débogage OSPF

 Relancer/redémarrer le processus OSPF

Application
Router# show ip protocols
Router# show ip ospf neighbor
Router# show ip ospf interface S0/0/0
Router# show ip ospf

Router# debug ip ospf [adj | events | packet | flood]

Router# clear ip ospf process

69
Lien virtuel OSPF
Conception en zone multiple OSPF
 Constante :
o Toutes les zones sont physiquement relié au backbone
o Un lien virtuel doit relier au backbone toute zone non directement connecté à ce dernier

o Zone de transit = Région de jonction des deux zones non contigües

1. Zone normale non contigüe 2. Backbone non contigüe

70
Lien virtuel OSPF : configuration

71
Technologies WANs : buts et défis !!!
Objectifs
 Extension de l’infrastructure réseau aux utilisateurs/sites distants
 Nouveaux services et opportunités
o Courriel, ToIP/VoIP, E-commerce, Télétravail, Banque de données distribuées, etc.
o Suivre le modèle d’évolution des entreprise : Bureau  Agence  Succursale  Siège

Challenges
 Administration : Responsabilités partagées (Opérateurs privés/télécom, FAI)
 Adressage : Accessibilité globale (publique # privée); passage { l’échelle (IPv6)
 Bande passante : Multiples technologies existantes.
 Sécurité : Infrastructure partagée, parfois publique (Internet)
72
Options de connectivité
Critères de choix
 Besoins de l’entreprise
o Type de trafic, services fournis  Bande passante requise
o Sensibilité des informations transportées  Niveau de sécurité requis (infrastructure
publique/privée)

 Etendue du réseau cible

o Ville, région, pays, continent, global/mondial ?

 Disponibilité de la technologie
Dans certaines régions la seule option de connectivité viable est la liaison satellitaire.

 Budget à disposition
Evaluer le coût de l’option de la technologie par rapport aux exigences/niveau de satisfaction
souhaité

Exemples de Technologies WANs

 Dédiée : Lignes louées (Exple : T1 = 1.544Mbits/s; E1 = 2.048Mbits/s)
 Accès commuté:
o Mode circuit : RTPC  Analogique (modem); RNIS  Numérique (CSU/DSU)
o Mode paquet : Frame – Relay
 Public : Internet
o ADSL, Modem Câble, Technologie sans fil (IEEE802.11, 802.16, etc.)
73
Adressage WAN : NAT
Origines
 Adressage privée
o Fortes croissances du nombre d’hôtes de l’Internet
o Ménager l’espace d’adressage déclaré publiquement.
o Réutilisation de l’espace privé sur les ilots connectés (LANs privés)

 Inaccessibilité des hôtes externes

o Routeurs de bordure (FAI) bloquant toutes les adresses privées { l’entrée du nuage.
o Nécessité d’obtenir une adresse publique pour accéder aux ressources externes.
o Dilemme : Quel nombre d’@ publiques obtenir ?

 NAT :
 Permet aux hôtes locaux d’emprunter une @ légitime pour les ressources externes
 Communication possible le temps de l’emprunt.
 Réglementations rigoureuses pour l’obtention des @ publiques :
INTERNIC (APNIC, RIPE, LACNIC, AfriNIC, ARIN) 74
Scénario NAT :
Stratégie
 Mis en œuvre sur le(s) routeur(s) de bordure
o Le réseau local [d’entreprise] doit être un réseau d’extrémité.
o Seul un bloc réduit d’adresses publiques est obtenu légalement.

 C.f. Animation flash (cliquez ici)

75
 Mise en œuvre NAT
Plusieurs variantes
 Assignation statique
o Permet une correspondance un-à-un avec une adresse globale.
Router(config)# ip nat inside source static <@_local> <@_global>

 Assignation dynamique
o Un pool d’adresse [publique] est utilisé pour la correspondance @ privée  @ publique
Router(config)# ip nat pool <nom> <@_deb> <@_fin> netmask <Mask>
Router(config)# access-list <num> permit <@_réseau> <Mask_gen>
Router(config)# ip nat inside source list <num> pool <nom>

 NAT avec surcharge (PAT)

o Utilise un pool (ou une seule adresse) pour la correspondance @ privée  @ publique
o Exception : Permet plusieurs traductions simultanées, utilisant des numéros de port comme élément
de différenciation.
Router(config)# ip nat pool <nom> <@_deb> <@_fin> netmask <Mask>
Router(config)# access-list <num> permit <@_réseau> <Mask_gen>
avec l’une ou l’autre des commandes
Router(config)# ip nat inside source list <num> pool <nom> overload
Router(config)# ip nat inside source list <num> int <num> overload
76
Application

 Scripts de configuration
o Définir la liste des adresses à traduire
Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255
o Définir le pool de traduction [d’@ publiques]
Router(config)# ip nat MYPOOL 179.9.8.80 179.9.8.95 netmask
255.255.255.0
o Lier la liste d’adresses privées au pool
Router(config)# ip nat inside source list 1 pool MYPOOL overload
o Définir la fonction des interfaces
Router(config)# interface e0
Router(config-if)# ip nat inside
Router(config-if)# interface s0
Router(config-if)# ip nat outside 77
DHCP
But
 Automatisation de la configuration des hôtes
o Diminution de la charge administrative
o Mobilité des hôtes + transparence de configuration
o Prise en charge de plusieurs sous-réseaux IP

Fonctionnement
 Modèle client/serveur
Serveur : Routeurs ou station de travail spécialisée
Clients : Hôtes (paramétrage automatique)
 Phases
o Recherche de serveur : DHCPDISCOVER
o Offre d’adresse : DHCPOFFER
o Demande explicite : DHCPREQUEST
o Acquittement : DHCPACK

78
Configuration DHCP
Paramètres de configuration
o Définir un (plusieurs) pool(s) d’adresse { attribuer
o Définir le sous-réseau et le masque de sous-réseau [par pool]
o Définir l’adresse de la passerelle [par pool]
o Définir les paramètres optionnels DHCP (bail, nom de domaine, serveur WINS, TFTP, DNS, etc.)

Application (Cisco Router IOS)

Router(config)# ip dhcp excluded-address 10.0.0.1 10.0.0.10

Router(config)# ip dhcp excluded-address 10.10.0.1 10.10.0.10
Router(config)# ip dhcp pool LAN-2
Router(dhcp-config)# network 10.10.0.0 255.255.240.0
Router(dhcp-config)# default-router 10.10.0.1
Router(dhcp-config)# dns-server 4.2.2.2
Router(dhcp-config)# domain-name uy1.uninet.cm
etc.
79
Relais DHCP
Constats
o Par défaut : Un serveur DHCP dans chaque domaine de diffusion
o Comment centraliser les services DHCP en un seul point du réseau ?
o Problème : Les routeurs par défaut bloquent toutes les diffusions

Agent de relais
 Fonction :
o Transmet des diffusions spécifiques (forward-protocol) sous forme de
monodiffusion à une adresse prévue à cet effet (helper-address).
 Configuration
Router(config)# ip forward-protocol udp 67
Router(config)# int f0/0
Router(config-if)# ip helper-address 192.168.3.10
Router(config-if)# int f0/1
Router(config-if)# ip helper-address 192.168.3.10
80
Nouvelle génération IP (IPng/IPv6)
Objectifs/Origines
o Développé pour surmonter les limitations de IP
 Espace d’adressage limité par rapport aux besoins
 Croissance de la population, développement de nouvelles régions
 IPv4 ≈ 4 milliards @ VS IPv6 ≈ 3.4 x 1038 @

o Besoins d’un système d’adressage pour supporter les nouveaux services

 Mobilité des utilisateurs et équipements
 Electronique grand public : Smartphone, PDA, voitures, électroménager, etc.
 Ubiquité de l’information

o Communication bout-en-bout sans NAT

81
Nouvelle génération IP (IPng/IPv6) – Bis…
Caractéristiques IPv6 (RFCs 3513, 4291)
 Espace d’adressage quasi-illimité
 En-tête simplifié : Routage, Diffusion.
 Mobilité et Sécurité
 Compatible IP-mobile
 Sécurité intégrée dans IPv6
 Transition riche et souple
 Double pile
 Tunnel
 Traduction

82
IPv6 : Représentation et Configuration
Format d’adressage
o 128 bits organisé en 8 champs hexadécimaux (séparateur « : »)
X : X : X : X : X : X : X : X où chaque X est de la forme HHHH (H=Hexadécimal)
Exple 1 : 2031:0000:130F:0000:0000:09C0:876A:130B
o Développement de technique de compression
 Ignorer les zéros de tête
 Champ successif de zéros remplacé par « :: », ceci une seule fois par @ IPv6
Exple 2 : 2031:0:130F::9C0:876A:130B
o Quelques adresses IPv6 valides : FF01 :: 1 :: 1 ::

Configuration IPv6
Deux types d’assignation : Statique et dynamique
 Configuration statique :
 Attribution manuelle
 Attribution EUI-64 (Extended Universal Identifier)
 Configuration dynamique :
 Config. automatique sans état (stateless autoconfiguration)
 DHCPv6

83
Config. Statique IPv6: Application
Config. Manuelle
Router(config-if)# ipv6 address AAAA::1/96
Router(config-if)# ipv6 enable
Router(config-if)# end
Router# show ipv6 interface brief
Sur une machine on fait: ipv6config [/all]

Configuration EUI-64
 Permet de générer l’ID d’interface { partir de l’adresse physique (48-bits)

Router(config-if)# ipv6 address AAAA::/64 eui-64

Router(config-if)# ipv6 enable
Router(config-if)# do show ipv6 interface brief
Exercice : Pour chaque cas que vaut l’@ IPv6?
84
Config. Dynamique IPv6: Application
Stateless autoconfiguration
 Permet d’attribuer automatiquement une @ lien local { un équipement
 Très utilisé pour la config. d’équipements Plug-and-Play
 Communication limité au voisinage (lien physique, @ non routable)

Router(config-if)# ipv6 address autoconfig

Router(config-if)# ipv6 enable
Router(config-if)# do show ipv6 interface brief

NB:
1. Le préfixe lien-local vaut : FE80::/10
2. L’ID d’interface est de type EUI-64

DHCPv6
 Utilise un serveur dédié pour envoyer les paramètres de configuration IPv6 aux nœuds.
 Les adresses offertes sont routables.
 Contrairement au cas précédent la config. est statefull 85
Transition IPv4  IPv6
Philosophie : Migration souple …
 Souplesse = Pas de « paralysation » d’Internet envisageable : Enormes ressources
(équipements, logiciels, biens/services, entreprises, etc.) mis en jeux.
 Exple d’adoption : Europe (progressive), Stade très avancé : Japon, Corée, Malaisie,
Chine, autres pays Asie – Pacifique.
 Moto : Dual stack when you can, tunnel when you must!!!

Techniques de transition
 Double pile

o Nécessite une mise à niveau du matériel + logiciel

o Le nœud double pile choisit la pile { implémenter en
fonction du format de l’@ IP Dest du paquet.

 Tunnel
Encapsulation d’un paquet IPv6 dans un
paquet IPv4 = Interconnexion d’ilots IPv6
{ travers l’infrastructure IPv4.
o Statique : (Protocole GRE).
o Automatique : 6to4, ISATAP, Toredo.

 Traduction : NAT-PT
86
Configuration de tunnel

87
Routage avec IPv6
Evolutions
 Plusieurs protocoles de routage adaptés à IPv6 et basé sur ceux existants
Exple : Routage statique, RIPng, OSPFv3, EIGRPv6, MP-BGP4, etc.
 Amélioration des mécanismes de routage
 Avant de configurer un protocole de routage IPv6, activer la transmission de paquets
IPv6 globalement :
Router(config)# ipv6 unicast-routing

Routage statique
 Utilisé et configuré de la même façon qu’avec IPv4 (excepté quelques spécificités)

Router(config)# ipv6 route 2001:DB8::/64 {S0/0 | AAAA::1}

Router(config)# do show ipv6 route

Routage dynamique : OSPFv3

 (Mécanismes similaires { ceux d’OSPFv2) Ex : Adresses de multicast : FF02::5 et FF02::6.
 Le processus OSPFv3 est orienté lien et non plus réseau (innovation majeure)

Router(config)# ipv6 router ospf 1

Router(config-rtr)# router id 1.1.1.1
Router(config-rtr)# exit
Router(config)# interface FastEthernet 0/0
Router(config-if)# ipv6 ospf 1 area 0 88
OSPv3 : Application
 La plupart des commandes sont mis en œuvre sur les interfaces.

89
Base de la technologie VPN
Définition
 VPN : Virtual Private Network
 VPN = Réseau privé construit sur un réseau public (Internet), tout en garantissant une
certaine sécurité.
 Sécurité VPN : Utilisation de techniques de cryptage avancées pour établiss. de connex.

Composants VPN
 Réseaux d’entreprise existant (Serveur, Station de travail, etc.)
 Bonne connexion à Internet (Large Bande ou autre)
 Passerelles VPN : Routeurs/Equipements spécialisés (PIX, ASA, Concentrateurs VPN, ...)
 Logiciels appropriés : Client VPN, autres.

90
Concepts clés VPNs
Sécurité : Point focal VPN
 Authentification : Seuls les utilisateurs/équipements légitimes ont accès { l’infos.
 Confidentialité : Protéger les données d’écoutes indiscrètes.
 Intégrité : Garantir la non falsification ou altération des infos.

Encapsulation/tunnel VPN
 Tunnel : Assure le transport de l’infos privé sur le réseau public, sans que les nœuds de
routage de ce dernier n’est conscience qu’il s’agit dune comm. Privée.
 Tunnel  Encapsulation : Incorporation d’un paquet d’infos dans un autre
o Protocole de transport : A travers lequel l’infos est transportée (Techno. Couche 2 : PPP, Frame-relay, etc.)
o Protocole d’encapsulation : Encapsule l’infos originelle (IPsec, GRE, etc.)
o Protocole passager : Transporte les données d’origine (IPv4, IPv6, etc.)

91
Chiffrement : Confidentialité/Intégrité VPN
Principe/Définition
 Cryptage : Processus d’envoie d’un msg. d’un poste { l’autre en l’encodant de sorte que
seule la destination soit capable de décoder ce dernier.
 Base du chiffrement : Elle repose sur une clé.

Forme de chiffrement
 Chiffrement symétrique (clé sécrète): Portion message des données, moins
consommateur de ressource (temps processeur)
Exple : DES, 3DES, AES
 Chiffrement asymétrique (clé publique): Gestion des clés, plus gourmand en
ressources.
Exple : RSA, DH
Intégrité VPN
 Fonction de hachage (MAC): Sert de signature au message.
Exple : SHA-1, MD5

92
IPsec VPN
Définition
 Suite de protocoles fournissant un mécanisme pour sécuriser les transmission de
données sur des réseaux IP non protégé, en garantissant la confidentialité, l’intégrité et
l’authenticité des communications.
 Standards: IETF RFCs 2401 – 2412.
 Protocoles (3 au total)
o IKE (Internet Key Exchange): Plateforme de négociation des param. De sécurité et
établissement de clés d’authentification.
o AH (Authentication Header) : Garanti l’intégrité (non orienté connexion) et
l’authentification des données de l’en tête des messages.
o ESP (Encapsulation Security Payload): Plateforme pour le chiffrement des données utiles
(confidentialité).

Les 5 phases IPsec.

93
Configuration IPsec VPN

94