Académique Documents
Professionnel Documents
Culture Documents
Chapitre 1
Chapitre 1
Scientifique
Université de Sousse
2
Rôle de l’administrateur réseau
3
Les plates-formes d’administration
4
Les plates-formes d’administration
Les outils d’administration des couches basses
Dans cette catégorie, on trouve les consoles d’administration (les consoles pour gérer
les équipements CISCO) et les analyseurs de protocoles (Wireshark). Les gestionnaires
de câblage permettent de suivre les évolutions du câblage et le brassage de celui-ci.
Les sonde sont des éléments insérés dans un réseau pour en surveiller le fonctionnement.
Elles fournissent, en temps réel, toutes les informations utiles au gestionnaire pour
connaître l’état actuel de son réseau (taux d’erreur, trafic...). (Les sondes de sécurité
IDS/IPS).
Les IDS, ou systèmes de détection d'intrusions, sont des systèmes software ou
hardware conçus de pouvoir signaler à l'administrateur système, toute trace d'activité
anormale sur ce dernier ou sur la machine surveillée.
5
Les plates-formes d’administration
Les hyperviseurs
Les hyperviseurs sont de véritables plates-formes complètes d’administration de
réseau. Ils permettent de superviser le réseau global de l’entreprise. Offrant les
services d’une administration propriétaire (ex. :NetView d’IBM pour le réseau
SNA) ou ouverte (ex. :OpenView d’HP pour les environnements Unix), les
hyperviseurs offrent une vue d’ensemble du réseau (état des liens, des nœuds, d’un
port d’un routeur, d’une carte...).
6
Les plates-formes d’administration
7
Conception de réseaux
Les services basés réseau sont des programmes tournant sur la machine serveur,
les autres ordinateurs du réseau peuvent accéder à ces services en se connectant
sur le serveur. Les ports de service sont des noms numériques des différents
services réseau, les numéros de ports service vont de 0 à 65535.
Les programmes serveurs (démons) sont à l'écoute des connexions entrantes sur
un port service qui leur est assigné, il existe une correspondance numéro de
port/service établie sur la base de conventions et de standards.
Les principaux services réseau occupent le rang inférieure de la plage 0-65535
compris entre 0 et 1023. Ces ports de rangs inférieurs sont ou référencés ou
encore ports bien connus ( Well known ports), ces ports sont liés à des
applications spécifiques.
Les numéros de ports de rangs supérieurs 1024 à 65535 sont appelés ports non-
privilégiés car en grande partie, ces ports sont assignés dynamiquement à des
machines clientes se connectant aux services réseau offerts par le serveur.
9
Services réseau et ports de service
Tableau: Principaux services et ports privilégiés
Service Protocole Port
Pour des raisons d'optimisation des ressources réseau, les adresses IP sont
délivrées pour une durée limitée. C'est ce qu'on appelle un bail (lease en
anglais).
12
Les services d'adressage IP: DHCP
Fonctionnement général de DHCP
2. Le, ou les serveurs DHCP du réseau qui vont recevoir ce message vont se sentir
concernés et répondre par un "DHCPOFFER". Cette proposition au client contient
une @ IP, durée de bail, @ matérielle du client, masque et @ IP du serveur DHCP.
Tous les DHCP répondent et le client normalement accepte la première réponse
venue.
3. Le client répond alors par un DHCPREQUEST à tous les serveurs (donc
toujours en "Broadcast") pour indiquer quelle offre il accepte.
14
Les services d'adressage IP: DHCP
15
Les services d'adressage IP: DHCP
DHCP utilise les mêmes ports (le port UDP 67 pour le serveur et le port UDP 68
pour le client) et le même format de message que BOOTP, seul le dernier champ
diffère.
17
Les services d'adressage IP: DHCP
18
Les services d'adressage IP: DHCP
Adresse IP du serveur : champ utilisé par le serveur pour indiquer l'adresse du
serveur que le client doit utiliser pour l'étape suivante du processus d'amorçage.
(contient l’adresse IP du serveur qui a répondu à la requête).
19
Les services d'adressage IP: DHCP
20
Les services d'adressage IP: DHCP
Renouvellement de bail IP
Lorsqu’on rallume l’ordinateur, celui-ci a gardé, dans son registre, son @ IP. Il
envoie un message au serveur DHCP demandant s’il peut réutiliser cette @, en
émettant un DHCPREQUEST. En cas d’échec, le client continue à utiliser la
même adresse IP si le bail n’a pas encore expiré.
Une adresse IP proposée par un serveur DHCP a une durée de vie limitée appelé
bail. Lorsque le client aura atteint 50% de sa durée, il enverra un
DHCPREQUEST à son serveur DHCP afin de le renouveler.
Si à 50% le bail n'a pu être renouvelé, le client tente de contacter l'ensemble des
serveurs DHCP (diffusion) lorsqu'il atteint 87,5% de son bail, avec un
DHCPREQUEST, les serveurs répondent soit par DHCPACK soit par
DHCPNACK (adresse inutilisable, étendue désactivée...).
21
Les services d'adressage IP: DHCP
Renouvellement de bail IP
Lorsque le bail expire ou qu'un message DHCPNACK est reçu le client doit
cesser d'utiliser l'adresse IP et demander un nouveau bail (retour au processus
de souscription). Lorsque le bail expire et que le client n'obtient pas d'autre
adresse la communication TCP/IP s'interrompt.
Si la demande n'aboutit pas et que le bail n'est pas expiré, le client continue à
utiliser ses paramètres IP.
DHCP fonctionne avec IPv4 mais il fonctionne aussi avec IPv6 et il est alors
appelé DHCPv6. Toutefois, en IPv6, les adresses peuvent être auto configurées
sans DHCP.
Les clients peuvent être de tout type : Windows, Mac OS, Linux...
Si un réseau d’entreprise est constitué de sous-réseaux, il faut que les routeurs
agissent en tant qu’agents de relais DHCP, sinon il faut un serveur DHCP sur
chaque sous-réseau.
22
Les services d'adressage IP: DHCP
Votre réseau physique peut être formé de plusieurs sous réseaux logiques, avec
des routeurs entre chaque sous réseau et le tout peut fonctionner avec un seul
serveur DHCP.
Les requêtes DHCP doivent pouvoir atteindre le serveur qui est situé sur un autre
réseau logique, elles doivent donc passer les routeurs, ce qui n'est théoriquement
pas possible. Il est alors nécessaire d'installer sur un ou plusieurs routeurs un
agent de relais qui va intercepter les requêtes en broadcast et les transmettre à un
serveur DHCP connu de cet agent.
C'est l'agent de relais situé sur la passerelle qui va faire l'intermédiaire et le client
réussira tout de même à obtenir un bail, donné par un DHCP situé sur un autre
réseau et transmis par l'agent de relais.
23
Virtual Local Area Network (VLAN)
24
Virtual Local Area Network (VLAN)
Organisation Réseau avec VLANs sur un
Organisation Réseau sans VLANs
seul commutateur
25
Virtual Local Area Network (VLAN)
Il n’est pas nécessaire d’avoir des VLAN lorsque vous avez un petit réseau avec
très peu de fonctionnalité.
26
Intérêt à avoir des VLAN
•Segmentation : réduire la taille d’un domaine de broadcast (Réduction de la
diffusion du trafic inutile sur le réseau). Atténuation des tempêtes de diffusion
(Broadcast storm): La segmentation en VLAN empêche une tempête de diffusion
de se propager sur l’ensemble du réseau.
•Sécurité : Renforcer la sécurité en isolant les données sensibles dans des VLANs
séparés. Le seul moyen de communiquer entre des machines appartenant à des
VLAN différents est alors de passer par un routeur (on peut appliquer des règles
ACL aux routeurs).
28
Type de VLAN
29
Type de VLAN
- VLAN niveau 1 : Le switch est équipé d’une table « port/VLAN » remplie par
l’administrateur qui précise le VLAN affecté à chaque port.
30
Type de VLAN
31
Type de VLAN
32
L’ identification des VLAN (802.1Q)
Un commutateur peut gérer plusieurs VLAN et un même VLAN peut être géré
par plusieurs commutateurs. L’appartenance d’une trame circulant entre les
différents commutateurs devra donc être déterminée pour savoir à quel VLAN
elle appartient. Le marquage (attribution d’un code d'identification de VLAN
unique à chaque trame) permet donc de reconnaître le VLAN d'origine d'une
trame. Il peut être:
33
L’ identification des VLAN (802.1Q)
– Dans le cas d'un VLAN par adresse MAC, on peut envisager de distribuer sur
tous les commutateurs concernés la table de correspondance entre adresses MAC et
numéros de VLAN. C'est une solution lourde à laquelle on peut préférer un
marquage explicite.
– Dans le cas d'un VLAN de niveau 3 le marquage est implicite et il n'est donc pas
nécessaire de marquer les trames qui transitent entre commutateurs. Toutefois,
l'analyse des trames dégradant les performances, il peut être, là encore, préférable
de les marquer explicitement.
34
L’ identification des VLAN (802.1Q)
on distingue deux types d’équipement:
Les VLAN aware: ceux qui savent gérer l’étiquetage et qui ont donc
connaissance des VLAN. Les trames émises par les équipements awares sont
marquées (tagged). Lorsqu’un équipement aware reçoit une trame marquée à
destination d’un équipement unaware , il en extrait le tag. (Les commutateurs
et les routeurs).
Les VLAN unaware: ceux qui ignorent cette appartenance. Les trames
émises par les équipements unawares ne sont pas marquées (untagged) (les
équipements terminaux: station, serveur).
Plusieurs protocoles de gestion des VLAN sont proposées par les constructeurs
tels que VTP (Vlan Trunk Protocol) de CISCO, GARP (Generic Attribute
Registration Protocol), ou GVRP (Generic – ou GARP - Vlan Registration Protocol)
qui permet à une station de déclarer son appartenance à un VLAN et maintient sur
les commutateurs une base de données des ports membres du VLAN. (Toutes ces
solutions sont incompatibles entre elles)
35
L’ identification des VLAN (802.1Q)
36
L’ identification des VLAN (802.1Q)
37
Communication intra et inter-VLAN
Lors qu’il s’agit de faire circuler la trame à travers plusieurs commutateurs
ou routeurs, on doit gérer son appartenance à tel ou tel VLAN. On utilise en
effet la commutation à l'intérieur du VLAN (communication intra-Vlan),
mais pour les interconnecter (communication inter-Vlan), on doit utiliser des
routeurs ou des commutateurs supportant les fonctions de routage
(commutateur de niveau 3).
Plusieurs solutions constructeurs ont été proposées telles Virtual Tag
Trunking de 3Com ou encore Inter Switch Link (ISL) Protocol de Cisco,
toutes incompatibles entre elles. Pour cette raison, l'IEEE a défini une norme
de définition des VLAN sous la référence 802.1Q.
39
Communication intra et inter-VLAN
40