Académique Documents
Professionnel Documents
Culture Documents
réseaux informatiques et
télécommunications
1
2
Licence professionnelle Métiers des
réseaux informatiques et
télécommunications
Séance 1:
- fonctionnement des commutateurs
- rappels sur les VLAN
- configurations avancées de STP
3
4
Fonctionnement d’un commutateur (switch)
· switch#show mac-address-table
5
Notes:
1) - A la mise sous tension du commutateur, ce dernier ne connait pas l’adresse MAC des
ordinateurs reliés à ses ports,
2) Lorsque le switch reçoit une trame, il en déduit quel est l’ordinateur relié à ce port en lisant
l’adresse MAC source et complète sa table de commutation
3) A ce stade il ne sait pas à quel port est relié l’hôte destinataire de la trame et émet cette
trame sur tous ses ports (flooding)
4) Au fil du temps, il sera capable de diriger les trames uniquement sur le port auquel sont reliés
les destinataires de la trame
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
6
Les VLAN
- Le principal intérêt des VLAN est de séparer les flux. L’objectif est de créer plusieurs
réseaux séparés sur un même LAN sans avoir besoin d’ajouter des commutateurs.
- Au niveau du commutateur, on crée autant de tables de commutation qu’il y a de VLAN
switch(config)#vlan 2
- On doit définir quelle table de commutation sera utilisée par quels ports
switch(config)#int fa0/4
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
7
C1 C2
VLAN sur plusieurs switchs
4 Lien trunk
VLAN (40,50)
1 2 3
Lien hybride
Lien d’accés
(PVID 40) (PVID 40) (PVID 50)
Lien d’accés
Principe de sauvegarde VLAN 40 pour les PC
d’un fichier de VLAN 50 pour les téléphones IP
Lien d’accés
C1(config)#vlan 40
C1(config-vlan)#exit
C1(config)#vlan 50
C1(config-vlan)#exit
C1(config)#interface FastEthernet 0/1
Initialiser un switch Cisco en ligne de C1(config-if)#switchport mode access
commande: C1(config-if)#switchport access vlan 40
C1(config-if)#switchport voice vlan 50
switch#erase startup-config
C1(config)#interface FastEthernet 0/2
switch#show flash C1(config-if)#switchport mode access
switch#delete flash:/vlan.dat C1(config-if)#switchport access vlan 40
C1(config)#interface FastEthernet 0/3
C1(config-if)#switchport mode access
C1(config-if)#switchport access vlan 50
C1(config)#interface FastEthernet 0/4
C1(config-if)#switchport mode trunk
8
C1(config-if)#switchport trunk allowed vlan 40,50
Norme 802.1Q
Le champ TPID détermine le type du tag, 0x8100 pour 802.1Q, ce champ est utilisé
pour prévoir des évolutions futures afin de pouvoir utiliser le principe du tagging pour
différentes fonctionnalités . Le champ TCI se décline en plusieurs éléments :
- Priorité: niveaux de priorité définis par l'IEEE 802.1P. Ce champ permet de réaliser
une priorisation des flux. Le champ étant sur trois bits il est possible de déterminer 8
niveaux de priorité.
- CFI: Ce bit permet de déterminer si le tag s'applique à une trame de type Ethernet ou
Token-Ring. Ethernet donc toujours égal à zéro.
- VID: VLAN identifier. C'est l'identifiant du VLAN. L'appartenance d'une trame à un
VLAN se fait grâce à cet identifiant. Le champ étant sur 12 bits, il est donc possible de
déclarer jusqu'à 4096 VLANs.
9
Types de port
• Access link: Dans ce mode de configuration, le port n’appartiendra qu’à un seul
Vlan. Ce mode de configuration est destiné aux ports auxquels seront reliés les
terminaux (PC, téléphones, impirmantes…). Ce type de lien ne peut lire que des
trames non étiquetées.
• Trunk link: Un lien trunk peut transporter le traffic en provenance et à
destination de plusieurs Vlan. Ce mode de configuration est destiné principalement
aux ports qui servent à relier des commutateurs entre eux.
• Hybrid port: Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur
un port. Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce
dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié
au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en
général en mode access, une commande sera C1 ajoutée pour la configuration du
C2
vlan
voix (voice vlan).
• PVID: toutes les trames 4 Lien trunk
reçues sur un port sans VLAN (40,50)
identification de VLAN
(“utagged” ou “priority 1 2 3
Lien hybride
Lien d’accés
1 2 3
Lien hybride
Lien d’accés
(PVID 40) (PVID 40) (PVID 50)
Lien d’accés
VLAN 40 pour les PC
VLAN 50 pour les téléphones IP
Lien d’accés
1 2 3
Lien hybride
Lien d’accés
(PVID 40) (PVID 40) (PVID 50)
Lien d’accés
VLAN 40 pour les PC
VLAN 50 pour les téléphones IP
Lien d’accés
C1#config
C1(config)#vlan 40
C1(vlan-40)#untagged 1-2
C1(vlan-40)#tagged 4
C1(config)#vlan50
C1(vlan-50)#tagged 1 4
C1(vlan-50)#untagged 3
C1(vlan-50)#exit
C1(config)#int 1-4 enable
C1(config)#int 5-24 disable
C1(config)#write memory
12
STP: Spanning Tree Protocol (802.11D)
1. Infrastructure assurant la haute disponibilité sur un réseau
Ethernet
15
STP: Spanning Tree Protocol
1. Une tempête de diffusion est inévitable sur un réseau comportant des boucles.
En raison du nombre croissant des périphériques qui envoient des diffusions sur le
réseau (ex: requêtes ARP), une quantité croissante de trafic est prise dans la
boucle, ce qui consomme des ressources. Cela finit par créer une tempête de
diffusion, provoquant ainsi la défaillance du réseau.
16
Objectifs du protocole STP
(définition Wikipedia):
Le Spanning Tree
Protocol (algorithme de l'arbre
recouvrant) est un protocole
réseau de niveau 2 permettant de
déterminer
une topologie réseau sans
boucle(appelée arbre) dans
les LAN avec ponts.
Durée de convergence
lente (environ 50 sec.)
S1 S2
· BID VLAN 10 : priorité =24586 / · BID VLAN 10 : priorité =28682 /
adresse =0030.A3E8.DEB6 adresse =000C.CFD5.445E
· BID VLAN 20 : priorité = 28692 / · BID VLAN 20 : priorité = 24596 /
adresse =0030.A3E8.DEB6 adresse =000C.CFD5.445E
· Ge0/1 (VLAN 10,20) : PID = 128.25 · Ge0/1 (VLAN 10,20) : PID = 128.25
· Fa0/1 (VLAN 10,20) : PID = 128.1 · Fa0/1 (VLAN 10,20) : PID = 128.1
· Fa0/2 (VLAN 10,20) : PID = 128.2 · Fa0/2 (VLAN 10,20) : PID = 128.2
Fa0/1 Fa0/2
Fa0/2 Fa0/1
S3 S4
S3 S4
· BID VLAN 10 : priorité = 32778 / · BID VLAN 10 : priorité = 32778 /
adresse =0001.428C.E976 adresse =0001.645A.CD0B
· BID VLAN 20 : priorité = 32788 / · BID VLAN 20 : priorité = 32788 /
adresse = 0001.428C.E976 adresse = 00001.645A.CD0B
· Fa0/1 (VLAN 10,20) : PID = 128.1 · Fa0/1 (VLAN 10,20) : PID = 128.1
· Fa0/2 (VLAN 10,20) : PID = 128.2 · Fa0/2 (VLAN 10,20) : PID = 128.2
18
L’identité de pont:
Schémas extrait de
ciscomadesimple.be
19
Pour supprimer les boucles dans le réseau, les commutateurs utilisent
l’algorithme STP et s’envoient des trames Ethernet spécifiques appelées BPDU
« Bridge Protocol Data Unit ».
20
A chaque entrée sur une interface, le coût de l’interface est additionné au « Root
Path Cost » du BPDU.
S2 reçoit deux BPDUs, l’un venant directement de S1, l’autre par le côté de S3. Celui
provenant de S3 a un « Root Path Cost » de 8, inférieur à celui venant de S1 (19), le
chemin passant par S3 est donc le meilleur chemin vers le Root Bridge, l’interface
Gig0/1 de S2 sera donc un Rp.
Un port faisant face à un Rp ne peut être qu’un Designated Port (Dp). Gig0/2 sur S3
sera donc un Dp.
Les ports d’un Root Bridge sont toujours des Designated Ports. Fa0/1 et Gig0/1 de S1
seront donc des Dp.
Pour ouvrir la boucle il suffit de bloquer un seul port. Dans ce cas, la seule possibilité
est Fa0/1 sur S2.
21
Si le coût de l’interface est égal des deux côtés du lien, le Bridge ID est utilisé pour
définir le côté du lien où le port sera bloqué. Ici, S2 a un BID plus grand que S3
(donc moins bon), le lien entre S3 et S2 sera alors bloqué du côté de S2.
Dans ce cas, S1 est Root Bridge, tous ses ports sont donc Dp. C’est alors du côté de
S2 qu’il y aura un port bloqué. Les coûts sont égaux, le BID aussi. C’est donc le nom
de l’interface qui va permettre de choisir. Gig0/1 est plus petit que Gig0/2, donc
meilleur. Gig0/2 sera donc le port bloqué.
22
Configurer la priorité STP
L’effet de ces deux commandes est identique. L’option « root primary » est un raccourci pour définir
une priorité de 24576 (soit 32768 – 2x 4096).
La commande « spanning-tree vlan 1 root secondary » revient à définir une priorité de 28672 (soit
32768 – 1x 4096).
Si la priorité est définie explicitement via la commande « spanning-tree vlan 1 priority XXXXX », la
valeur donnée doit être un multiple de 4096.
Avec PVST+ , il faut soustraire le numéro de VLAN pour calculer la priorité d’un
switch. Exemple: S1(config)#spanning-tree vlan 30 root primary; BID priority =
32768 -2x4096 + 30 = 24546
23
24
S1#show spanning-tree vlan 10 S2#show spanning-tree vlan 10
VLAN0010 VLAN0010
Spanning tree enabled protocol ieee Spanning tree enabled protocol ieee
Root ID Priority 24586 Root ID Priority 24586
Address 0030.A3E8.DEB6 Address 0030.A3E8.DEB6
This bridge is the root Cost 4
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Port 25(GigabitEthernet0/1)
Bridge ID Priority 24586 (priority 24576 sys-id-ext 10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Address 0030.A3E8.DEB6 Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Address 000C.CFD5.445E
Aging Time 20 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Interface Role Sts Cost Prio.Nbr Type Aging Time 20
---------------- ---- --- --------- -------- -------------------------------- Interface Role Sts Cost Prio.Nbr Type
Fa0/1 Desg FWD 19 128.1 P2p ---------------- ---- --- --------- -------- --------------------------------
Fa0/2 Desg FWD 19 128.2 P2p Fa0/1 Desg FWD 19 128.1 P2p
Gi0/1 Desg FWD 4 128.25 P2p Fa0/2 Desg FWD 19 128.2 P2p
Gi0/1 Root FWD 4 128.25 P2p
S1#show spanning-tree vlan 20
VLAN0020 S2#show spanning-tree vlan 20
Spanning tree enabled protocol ieee VLAN0020
Root ID Priority 28692 Spanning tree enabled protocol ieee
Address 0030.A3E8.DEB6 Root ID Priority 28692
This bridge is the root Address 0030.A3E8.DEB6
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Cost 4
Bridge ID Priority 28692 (priority 28672 sys-id-ext 20) Port 25(GigabitEthernet0/1)
Address 0030.A3E8.DEB6 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32788 (priority 32768 sys-id-ext 20)
Aging Time 20 Address 000C.CFD5.445E
Interface Role Sts Cost Prio.Nbr Type Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
---------------- ---- --- --------- -------- -------------------------------- Aging Time 20
Fa0/1 Desg FWD 19 128.1 P2p Interface Role Sts Cost Prio.Nbr Type
Fa0/2 Desg FWD 19 128.2 P2p ---------------- ---- --- --------- -------- --------------------------------
Gi0/1 Desg FWD 4 128.25 P2p Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Gi0/1 Root FWD 4 128.25 P2p
25
S3#sh spanning-tree vlan 10 S4#sh spanning-tree vlan 10
VLAN0010 VLAN0010
Spanning tree enabled protocol ieee Spanning tree enabled protocol ieee
Root ID Priority 24586 Root ID Priority 24586
Address 0030.A3E8.DEB6 Address 0030.A3E8.DEB6
Cost 19 Cost 19
Port 1(FastEthernet0/1) Port 1(FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Address 0001.428C.E976 Address 0001.645A.CD0B
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20 Aging Time 20
Interface Role Sts Cost Prio.Nbr Type Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- -------------------------------- ---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p Fa0/2 Altn BLK 19 128.2 P2p
26
Portfast
27
Travaux Pratiques:
- 2.3.2.3 Lab - Configuring Rapid
PVST, PortFast, and BPDU Guard
28
Sécurisation de l’accès aux ports
▪ Activer la sécurité des ports afin de se protéger des attaques de type « Mac Flooding »
29
• Licence professionnelle Métiers des
réseaux informatiques et
télécommunications
Séance 2: Le routage
- protocoles de routage
- OSPF zone simple & multizone
Ce deuxième cours
s’inscrit dans la
continuité du premier
cours (STP) sur la haute
disponibilité du réseau
LAN
Le routage, au sens informatique, est la fonction mise en œuvre par un élément
du réseau (hôte, routeur, commutateur --> niveau 3OSI) pour acheminer un
paquet jusqu’à sa destination.
La prise de décision est faite
par ce matériel en
comparant l’adresse IP de
destination du paquet avec
sa table de routage.
e
193.17.52.128 193.17.52.129 gigabitEth1 0 (direct)
193.48.32.0 193.48.32.2 gigabitEth2 0 (direct)
43
Lors du calcul du chemin optimal, une route peut posséder 3 états:
Validée : à partir de la racine il n’existe aucun autre chemin plus court pour atteindre le
nœud ; ( bulles grisées)
Découverte : nouvelle route pour joindre le nœud suivant à partir d’un nœud
nouvellement validée
En attente : nouvelle route dont on ne sait si elle peut être validée ou pas (en blanc) i.e.
s’il existe une route plus courte pour atteindre le nœud extrémité
44
45
46
47
48
49
OSPF classifie les réseaux en différents types selon les technologies de couche 2
utilisées, par exemple:
Les réseaux de type "broadcast" tels que les LAN (Ethernet ou anciennement Token
Ring ou FDDI) sont connectés au routeur par des interfaces LAN. Ils peuvent supporter
plusieurs routeurs et si un routeur est HS, les autres ne sont pas sensé le détecter
puisque pour eux la connexion au LAN est toujours active ! OSPF identifie ce type de
réseau comme des BMA (Broadcast Multi Access). Sur ce type de réseau il devra
mettre en place un mécanisme qui lui permettra de savoir si ses routeurs voisins sont
toujours actifs ou non afin de mettre à jour sa LSDB si nécessaire.
• Les routeurs à état de liens inondent les
voisins de leurs paquets d’état de liens
lorsque le protocole OSPF est initialisé
ou que la topologie change.
• Dans le cadre d’un réseau à accès
multiple, cette inondation peut devenir
excessive.
• Sur les réseaux à accès multiple, OSPF
choisit un routeur désigné (DR) et un
routeur désigné de sauvegarde (BDR) en
cas d’indisponibilité du routeur désigné.
• Tous les autres routeurs deviennent des
DROthers
• Les DROthers forment des contiguïtés
complètes avec le DR et le BDR du
réseau, et transmettent leur LSA au DR
et au BDR avec l’adresse de
multidiffusion 224.0.0.6 (IPv6 FF02::06)
Élection du DR/BDR
Comment le DR et le BDR sont-ils
élus ?
Les critères suivants sont
appliqués :
1. DR : routeur dont la priorité
d’interface OSPF est la plus
élevée.
2. BDR : routeur dont la priorité
d’interface OSPF est la
deuxième plus élevée.
3. Si les priorités d’interface
OSPF sont identiques, l’ID de
routeur le plus élevé prévaut.
1. Utilisez l’adresse IP configurée avec
la commande OSPF router-id.
2. Si router-id n’est pas configuré, le
routeur choisit l’adresse IP la plus
élevée parmi ses interfaces de
bouclage IP.
3. Si aucune interface de bouclage
n’est configurée, le routeur choisit ID de routeur = 192.168.10.5
l’adresse IP active la plus élevée
parmi ses interfaces physiques.
Vérification
R1(config)#interface loopback 0 ID de routeur = 10.1.1.1
R1(config-if)#ip address 10.1.1.1
255.255.255.255
R1(config)#router ospf 1
R1(config-router)#router-id 10.1.1.1
Il faut alors redémarrer ou utiliser la commande "clear
ip ospf process" pour que les modifications soient
prises en compte
Vérification
• Protocole de routage à état de liens
• Convergence plus rapide
• Mesure des coûts (Cisco, bande
passante)
• SPF : algorithme de Dijkstra
R1(config)#int s 0/0/0
R1(config)#int s 0/0/1
R1(config-if)#router ospf 1
network network-address
wildcard-mask area area-id
© 2013 Cisco et/ou ses filiales. Tous droits réservés. 67
Document public de Cisco
• Calculs fréquents de
l’algorithme SPF
• Table de routage
importante
• LSDB de grande taille
Solution :
• Scinder le réseau en
plusieurs zones OSPF
• Diminution de la fréquence des
calculs SPF : des informations de route
détaillées existent dans chaque zone, les
changements d’état de liens ne sont pas
diffusés dans les autres zones.
• Réduction de la taille des tables de
routage : au lieu d’annoncer des routes
explicites en dehors de la zone, les
routeurs peuvent être configurés de
sorte à récapituler les routes dans une
ou plusieurs annonces récapitulatives.
• Réduction de la surcharge des LSU :
plutôt que d’émettre un paquet LSU sur
chaque réseau à l’intérieur d’une zone,
un routeur peut annoncer une seule
route récapitulative ou un plus petit
nombre de routes entre les zones.
Le routage OSPF à zones multiples nécessite une
conception réseau hiérarchique dans laquelle
existe une zone principale, appelée zone de
backbone (Area 0), à laquelle toutes les autres
zones doivent se connecter.
• Routeurs internes
Toutes les interfaces
situées dans la
même zone
LSDB identiques
• Routeurs backbone
Au moins 1 interface
dans la zone 0
• Routeurs ABR
Interfaces situées
dans plusieurs zones
• Routeurs ASBR
Au moins 1 interface
dans un réseau non-
OSPF
© 2013 Cisco et/ou ses filiales. Tous droits réservés. 72
Document public de Cisco
• Une seule LSA de routeur
(type 1) pour chaque routeur
d’une zone
Comprend une liste de liens
directement connectés
Chaque lien est identifié par le
préfixe IP attribué au lien et par
son type
• Annoncée par le DR du
réseau de diffusion
• Diffusée uniquement dans sa
zone sans traverser l’ABR
• Annonce servant à diffuser des
informations de réseau aux
zones situées en dehors de la
zone émettrice (inter-zone)
Décrit le numéro de réseau et le
masque du lien
• Émise par l’ABR de la zone
émettrice
• Ré-émise par les ABR suivants
en vue d’une inondation à
travers le système autonome
• Par défaut, les routes ne sont
pas récapitulées. Des LSA de
type 3 sont diffusées pour
chaque sous-réseau
• Permet d’annoncer un
ASBR à toutes les autres
zone du système
autonome
• Émise par l’ABR de la
zone émettrice
• Ré-émise par les ABR
suivants pour les diffuser
à travers le système
autonome
• Contient l’ID de routeur
de l’ASBR
• Sert à annoncer les
réseaux issus d’autres
systèmes autonomes
• Annoncée et détenue par
l’ASBR émetteur
• Diffusée à travers tout le
système autonome
• Routeur annonceur
(ASBR) non modifié à
travers tout le système
autonome
• LSA de type 4 nécessaire
pour localiser l’ASBR
• Par défaut, les routes ne
sont pas récapitulées
O : les LSA de routeur
(type 1) et de réseau (type
2) annoncent les détails
relatifs à l’intérieur d’une
zone (la route est interne à
la zone)
O IA : les LSA
récapitulatives
apparaissent dans la table
de routage sous forme d’IA
(routes entre les zones)
O E1 ou OE 2 : LSA
externes signalées comme
étant des routes de type
externe 1 (E1) ou externe
2 (E2))
Routes externes
• E2 (par défaut) : le
coût des routes du
paquet O E2
correspond au coût
externe. Utilisez ce
type si un seul ASBR
annonce une route
externe au système
autonome.
• E1 : calcule le coût en
ajoutant un coût
externe au coût
interne de chaque lien
que le paquet croise.
1. Tous les routeurs
calculent les meilleurs
chemins vers les
destinations internes à
leur zone et ajoutent ces
entrées à la table de
routage.
2. Tous les routeurs
calculent les meilleurs
chemins vers les autres
zones dans l’inter-réseau
(inter-zone) ou les LSA
de type 3 et 4.
3. Tous les routeurs
calculent les meilleurs
chemins jusqu’aux
destinations du système
autonome externe
(type 5). Ils sont signalés
par le descripteur de
routage O E1 ou O E2.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. 82
Document public de Cisco
R1 transmet
une LSA
récapitulative
au routeur
principal C1.
C1 transmet à
son tour la LSA
récapitulative à
R2 et R3.
R2 et R3 la
transfèrent à
leurs routeurs
internes
respectifs.
Récapituler 10.1.1.0/24 et
10.1.2.0/24
10.1.0.0.
Remarque : les routes RIPv2 doivent également être
redistribuées dans OSPF, dans cet exemple
• Deux méthodes :
• default-information
originate
• default-information
originate always
• Le mot clé « always »
autorise l’annonce de la
route par défaut même si
le routeur annonceur n’a
pas de route par défaut
• Valeur de mesure
facultative pour indiquer la
préférence
Commandes pour la vérification :
• show ip ospf neighbor
• show ip ospf
Pour OSPFv3,
remplacer
• show ip ospf interface simplement ip par ipv
• show ip protocols 6
• show ip ospf interface brief
Séance 3:
- NAT,
- DHCP
- ACL
- VRRP, HSRP
94
La translation d’adresse (NAT)
95
PAT: Port Address Translation ou NAT Dynamique
Grâce au PAT, une seule adresse IP publique suffit pour relier un grand nombre de
machine d’un LAN privé à Internet.
Les procédés de translation (NAT & PAT) apportent un premier niveau de sécurité
au LAN
96
PAT: Epilogue
Port forwarding:
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-------------------------------------------------------------------------
----------------- - ---------------------------
Si j’ai deux serveurs web accessibles à partir d’une seule IP publique il faudra
mettre en place un proxy reverse.
97
PAT: Epilogue
D’abord il faut associer la même ip publique pour deux noms de domaines différents.
Donc deux enregistrements DNS
www.bob.info à 112.45.67.109
Et www.alice.info à 112.45.67.109 (même IP publique…car j’en ai qu’une)
Puis lorsqu’un client fait une requête http://www.bob.info ou http://www.alice.info ça renvoie
sur le même serveur Web et là si c’est configuré comme ci-dessous (extrait conf apache), pour le
site bob.info c’est le site en local qui répond et pour l’autre alice.info c’est Proxypass…la requête
est renvoyée vers http://192.168.0.1
NameVirtualHost *
#
# Premier vhost (site d’origine)
#
<VirtualHost *>
ServerName www.bob.info
DocumentRoot /var/www/localhost/htdocs
</VirtualHost>
#
# Second vhost utiliseant le reverse proxy
# 192.168.0.1 est l’exemple d’IP du second serveur http
#
<VirtualHost *>
ServerName www.alice.info
ProxyPass / http://192.168.0.1/
ProxyPassReverse / http://192.168.0.1/
</VirtualHost>
98
NAT: quelques remarques s’imposent
Le NAT dynamique permet de sortir sur Internet mais ne permet pas d’être
joignable. Une machine de l’extérieur ne peut initier une requête.
Du point de vue de la
sécurité, cela apporte un
petit plus!
Le routeur se base sur l’identifiant ICMP présent dans l’en-tête des messages ICMP
99
NAT/FTP Mode passif et mode actif
21
INITIALISATION
INITIALISATION
20
Solution: un proxy qui va lire les informations contenues dans les données FTP. Ce
proxy est capable de voir quelle machine a initialisé la connexion sur le port21 et
autorise alors l’initialisation de la connexion (pour les DATA) venant de l’extérieur.
100
NAT/PAT
Création d’une ACL (Liste de Contrôle d’Accès) « standard » (sur adresse IP) : ici, toutes les
adresses des stations de l’Intranet sont éligibles à la translation.
Lab-C(config)#access-list 10 permit 172.16.0.0 0.0.0.255
Activation du PAT
Lab-C(config)#ip nat inside source list 10 interface S0/0 overload
101
DHCP (rappels)
Transfert des « broadcasts » UDP à un serveur DHCP en utilisant la commande
« Helper Address »
Listes de contrôle d’accès
Listes de contrôle d’accès
On utilise les ACL pour sécuriser les réseaux
Utiliser les ACL pour sécuriser les
réseaux
• ACLs vous permettent de contrôler le traffic
entrant et/ou sortant du réseaux.
– Cela peut être très simple en autorisant ou
refusant le traffic d’un hôte ou d’un réseaux tout
entier
IP Standard 1 à 99
Etendue 100 à 199
E0 E0 E0
RouterA(config)#
access-list 11 permit 172.16.30.0 0.0.0.255
access-list 11 permit 172.16.50.2 0.0.0.0
Dernière instruction implicite deny any
Bits de masque générique
=
RouterA(config)#
access-list 11 permit host 172.16.50.2
Le routeur A bloque le trafic uniquement en provenance de l ’hôte 172.16.50.2
RouterA(config)#
access-list 11 deny host 172.16.50.2
access-list 11 permit any
Dernière instruction implicite deny any
E0 E0 E0
RouterA(config)# interface e0
RouterA(config-if)# ip access-group 11 out
E0 E0 E0
Ip Access-group Numéro In
Out
Liste de contrôle d ’accès étendue
Le routeur A permet à la station 172.16.50.2 du bureau d’étude l’accès au serveur web
de l’administration d ’adresse IP 172.16.10.2.
E0 E0 E0
E0 E0 E0
RouterA(config)# inter e0
RouterA(config-if)# ip access-group 110 out
Liste de contrôle d ’accès étendue
Le routeur A permet à n’importe quelle station du service des
ventes d’accéder au serveur web de l’administration.
E0 E0 E0
RouterA(config)#
Access-list 110 permit tcp 172.16.30.0 0.0.0.255
host 172.16.10.2 eq 80
Où placer les listes d’accès ? Là où elle auront le
plus grand impact « on efficiency »
Standard
- Le plus près possible de la destination. (pour
supprimer tout le trafic vers cette destination et
éviter que le réseau source ne se retrouve bloqué
pour les autres réseaux)
Etendue
- Le plus près possible de la source. (pour utiliser
moins de bande passante.)
ACLs nommées
Command Protocol
Responses
Number Source
Permit/Deny Destination
Créer des ACLs nommées étendues
Access Control Lists
Configurer des ACLs complexes
Qu’est ce que les ACLs complexes?
• 3 types:
– Dynamic (lock-and-key):
• Les utilisateurs qui souhaitent traverser le routeur sont
bloqués à moins qu’ils ne se soient connectés en Telnet
au routeur et se soient authentifiés.
– Reflexive:
• Autorise le traffic sortant et limite le traffic entrant à
celui qui a été initié depuis l’intérieur.
– Time-based:
• L’accès est permis à certaines heures de la journée.
Redondance au premier saut
protocoles FHRP (First Hop Redundancy Protocols, protocoles de redondance au premier saut)
Même
si un routeur redondant existe qui
pourrait servir de passerelle par
défaut à ce segment, il n'y a
aucune méthode dynamique par la
quelle ces
dispositifs peuvent déterminer l'adr
esse d'une nouvelle passerelle par
défaut.
Concept de protocoles de redondance au premier saut
Redondance de routeur
Des routeurs multiples sont
configurés pour un
fonctionnement conjoint, de
manière à présenter l'illusion
d'un routeur unique au regard
des hôtes du LAN
La capacité d'un réseau à
effectuer une reprise
dynamique après la défaillance
d'un périphérique jouant le
rôle de passerelle par défaut
est appelée « redondance au
premier saut ».
Concept de protocoles de redondance au premier saut
Before we discuss more advanced HSRP concepts, lets create a basic HSRP configuration to get
an idea of how this all works. For this scenario we will use a topology consisting of just two
routers. Keep in mind that one or both of these routers could be multilayer switches such as a
6509 or 3750 as well. But for this discussion lets just refer them as routers.
R1 and R2 will both be configured to be in standby group 1. The HSRP address will be given an IP
address of 192.168.1.1/24. All hosts on the segment and in the VLAN will use this address as
their default gateway.
The default priority is 100. The higher priority will determine which router is active. If both
routers are set to the same priority, the first router to come up will be the active router
Advanced HSRP Configuration - Load Balancing