GERET Garde-barrière & VPN

Paris, 30 septembre 2003

Architecture de réseau

Catherine Grenet
<catherine.grenet@urec.cnrs.fr>

1
Plan

Point de vue : laboratoire du CNRS

Gardes-barrière :
• cas-types
• exemples concrets

VPN :
• adressage
• routage
• contrôle d’accès
• exemples

2
Gardes-barrière

3
 Architecture réseau recommandée

Entité 1
WEB
MAIL
Internet DNS Entité N
R1 R2
R2
….

Base de Administration
données
publique
Serveurs internes

Zone Zone interne

semi-ouverte

4
Configuration type
Réseau de l’opérateur : Réseau du laboratoire
- réseau de campus
- réseau métropolitain Zone semi-ouverte Zone interne
- réseau régional
-… Serveurs
accessibles
de l ’Internet

Entité 1

R GB C/R
Entité N

Serveurs
internes

5
Variantes (1)
Réseau de l’opérateur : Réseau du laboratoire
- réseau de campus
- réseau métropolitain Zone semi-ouverte Zone interne
- réseau régional
-… Serveurs
accessibles
de l ’Internet

Entité 1

GB C/R
Entité N

Serveurs
internes

6
Variantes (2)
Réseau de l’opérateur : Réseau du laboratoire
- réseau de campus
- réseau métropolitain Zone semi-ouverte Zone interne
- réseau régional
-… Serveurs
accessibles
de l ’Internet

Postes
clients
GB
Serveurs
internes

7
 Réseau non segmenté connecté par un
commutateur Ethernet

Sans garde-barrière Avec un garde-barrière Avec un garde-barrière

(mode pont) (mode routeur)
INTERNET INTERNET INTERNET

Routeur Routeur Routeur

IP 1 IP 1 IP A

IP B
Laboratoire
Garde-barrière Garde-barrière
IP 1

Commutateur Ethernet Commutateur Ethernet Commutateur Ethernet

Poste serveur Poste client Poste serveur Poste client Poste serveur Poste client

8
 Réseau non segmenté connecté par un
routeur IP à 2 ports

Sans garde-barrière Avec un garde-barrière Avec un garde-barrière

(mode pont) (mode routeur)

INTERNET INTERNET INTERNET

Routeur Routeur Routeur

Routeur
Laboratoire Routeur Routeur
IP A
IP 1 IP 1

IP B
Garde-barrière Garde-barrière
IP 1

Commutateur Ethernet Commutateur Ethernet Commutateur Ethernet

Poste serveur Poste client Poste serveur Poste client Poste serveur Poste client

9
 Réseau segmenté connecté par un
routeur IP multiport

Sans garde-barrière Avec un garde-barrière Avec un garde-barrière

(mode pont) (mode routeur)

INTERNET INTERNET INTERNET

Routeur Routeur Routeur

IP 1 IP 1 IP 1
Laboratoire IP 2
Garde-barrière Garde-barrière
IP α
IP A
IP 2 IP 2 IP B

Routeur Routeur Routeur

IP α IP α

IP β IP β IP β

Serveurs Serveurs Postes Serveurs Serveurs Postes Serveurs Serveurs Postes

Internet internes clients Internet internes clients Internet internes clients

10
Réseau segmenté connecté par un
commutateur Ethernet

Sans garde-barrière Avec un garde-barrière

(mode pont)
INTERNET INTERNET

Routeur Routeur

Laboratoire
Transport de VLAN 802.1Q Garde-barrière

Commutateur Ethernet Commutateur Ethernet

VLAN 1 VLAN 2 VLAN 1 VLAN 2

Poste serveur Poste client Poste serveur Poste client

11
VPN

12
VPN : les questions à se poser

adressage
• quelles adresses IP pour le site ou la machine
distante ?

contrôle d’accès
• veut-on faire du contrôle d’accès entre le site ou
la machine distante et le réseau interne ?

accès Internet
• le site ou la machine distante accède-t-il à
Internet par l’intermédiaire du laboratoire ou par
son propre accès ?

13
VPN : adressage

adresse des machines distantes :

• dans un sous-réseau IP distinct
• plage(s) d’adresses dans un sous-réseau du
laboratoire

sous-réseau distinct :
• permet de distinguer facilement les machines
• facilite la mise en place du contrôle d’accès

le choix a des conséquences sur le
routage

14
VPN : contrôle d’accès

non si on accorde le même niveau de

confiance aux machines locales qu’aux
machines distantes

oui sinon

site distant : le niveau de confiance
dépend de l’organisation

itinérant : le niveau de confiance est
moindre
• aucun contrôle sur la machine
• mais c’est également vrai pour un portable
connecté sur le réseau local…

15
VPN : accès Internet

Internet
Réseau du
Serveur
laboratoire
VPN

Internet Réseau du
Serveur
laboratoire
VPN

16
VPN : proposition d’architecture

adressage : sous-réseau IP distinct

contrôle d’accès :
• se réserver la possibilité d’en faire
• ne peut se faire qu’en sortie du tunnel, après
déchiffrement

accès Internet :
• sites distants :
choisir plutôt l’accès indépendant (par le réseau
public)
• itinérants :
choisir plutôt l’accès par le laboratoire (à travers
le tunnel)
17
VPN : choix du type d’équipement

routeur, garde-barrière ou équipement

dédié ?

routeur ou garde-barrière :
• simplification du routage
• le contrôle d’accès en sortie du tunnel est fait
par le même équipement

équipement dédié :
• où le placer dans le réseau ?

18
VPN : routage

Site/utilisateur distant par Tunnel

Défaut par IPa

Tunnel Défaut par IP1

Equipement
Routeur ou IP1
opérateur
IPa garde-barrière

19
VPN : routage

Alternative : proxy ARP

Site/utilisateur distant par IP2

Défaut par IP1
Serveur IP2
VPN

Routeur ou
garde-barrière IP1

20
VPN avec boîtier dédié (1)

Réseau de Réseau du laboratoire

l’opérateur
Serveurs
accessibles
de l ’Internet

Vers réseau
R GB
interne

VPN

21
VPN avec boîtier dédié (2)

Réseau de Réseau du laboratoire

l’opérateur
Serveurs
accessibles
de l ’Internet

R Vers réseau
GB interne
C/R

VPN

22
Questions ?

23