Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Transcription

1 Protocole DHCP (S4/C7) Le protocole DHCP (Dynamic Host Configuration Protocol) Le service DHCP permet à un hôte d obtenir automatiquement une adresse IP lorsqu il se connecte au réseau. Le serveur DHCP choisit une adresse dans une plage d adresses (pool) et la prête à l hôte qui en a fait la demande. Dans les faits, un service DHCP peut fournir principalement une adresse IP un masque de sous réseau l adresse IP de la passerelle par défaut l adresse IP du serveur DNS... Sur un réseau ayant beaucoup de stations, l utilisation d un serveur DHCP peut s avérer plus efficace que l utilisation d adresses fixes. Fonctionnement du protocole DHCP Lorsqu un périphérique se connecte au réseau et qu il est configuré en mode automatique, il diffuse un paquet DHCP DISCOVER pour identifier un serveur DHCP disponible. Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve une offre de bail donnant les indications : adresse IP prêtée serveur DNS passerelle par défaut durée de bail Le client renvoie un paquet DHCP REQUEST pour accepter l offre du serveur. Si l offre est encore valable, le serveur renvoie un DHCP ACK et dans le cas contraire DHCP NAK. Le protcole DHCP peut présenter un risque dans la sécurité d un réseau. Généralement, sur un même réseau, on utilise l adressage dynamique et l adressage statique. L adressage dynamique est utilisé pour les périphériques utilisateurs finaux. L adressage statique est utilisé pour les périphériques réseaux tels que passerelles (routeurs) commutateurs serveurs imprimantes

2 Configuration d un serveur DHCP Un routeur cisco peut agir comme un serveur DHCP. Il attribue et gère les adresses IP en fonction du ou des pools d adresses spécifés par l administrateur. Par défaut, le service DHCP est activé sur le routeur. Pour désactiver le service : no service dhcp. Etape 1 : on définit, en mode de configuration globale, les adresses NE devant PAS être allouées : interface du routeur, adresse IP du switch, serveurs, imprimantes du réseau. R1(config)# ip dhcp excluded-address adresse basse { adresse haute } Etape 2 : on crée le pool DHCP. R1(config)# ip dhcp pool nom pool Etape 3 : on configure le pool DHCP. Le pool d adresses : R1(dhcp-config)# network numero reseau masque La passerelle par défaut : R1(dhcp-config)# default-router adresse Le serveur DNS : R1(dhcp-config)# dns-server adresse Le nom de domaine : R1(dhcp-config)# domain-name domaine Le bail : R1(dhcp-config)# lease durée Si nécessaire, les services WINS : R1(dhcp-config)# netbios-node-type h-node R1(dhcp-config)# netbios-name-server adresse Vérification du service DHCP Pour vérifier le focntionnement du serveur DHCP, on utilise la commande suivante : R1# show ip dhcp binding Pour afficher le nombre de messages DHCP envoyés et reçus par le routeur : R1# show ip dhcp statistics Configuration d un client DHCP Généralement, les routeurs utilisés à la maison acquièrent automatiquement une adresse IP auprès d un FAI. Dans des petits bureaux ou des bureaux à domicile, les routeurs peuvent être configurés dynamiquement par le FAI.Dans ce cas on configure une interface Ethernet avec la commande ip address dhcp. Pour renouveler l adresse IP dynamique d un PC, on utilise la commande iponfig /release qui libère l adresse et l adresse devient alors : On utilise alors la commande iponfig /renew qui provoque la diffusion d un message DHCP DISCOVER. Relais DHCP Généralement, dans un réseau d entreprise, les clients DHCP ne se trouvent pas sur le même réseau que le serveur DHCP. Or, le client va diffuser un message DHCPDISCOVER et le routeur (passerelle) par défaut ne laisse pas passer les diffusions. Il faut donc configurer la passerelle du routeur comme un agent de relais DHCP avec la commande suivante : R1(config)# interface passerelle R1(config-if)# ip helper-address ad ip serveur DHCP 3 4

3 Fonction NAT La fonction NAT (Network Address Translation) traduit les adresses non routables (sur Internet), privées et internes en adresses routables publiques. NAT ajoute aussi un niveau de confidentialité et de sécurité car il empêche les réseaux externes de voir les adresses IP internes. Cette traduction est effectuée par un routeur de passerelle frontière; cela signifie qu il fait le lien entre le réseau d entreprise et le WAN. La fonction NAT définit trois types d adresses : locale interne globale interne globale externe Adresse locale interne : il s agit souvent d une adresse privée. Adresse globale interne : adresse publique attribuée à l hôte interne lorsque ce dernier quitte le routeur NAT. Configuration du NAT statique Cette configuration s effectue en trois étapes : Etape 1 : On établit une correspondance entre une adresse locale interne et une adresse globale interne : R1(config)# ip nat inside source static Etape 2 : On identifie l adresse locale interne comme l interface NAT inside : R1(config)# interface S0/0/0 R1(config-if)# ip nat inside Etape 3 : On identifie l adresse globale interne comme l interface NAT outside : R1(config)# interface S0/1/0 R1(config-if)# ip nat outside Adresse globale externe : adresse IP attribuée à un hôte sur Internet. Mappage statique et mappage dynamique Il existe deux types de traduction NAT : statique et dynamique. Le NAT statique utilise un mappage biunivoque entre les adresses locales et globales. Le NAT dynamique utilise un pool d adresses publiques et les attribue selon la méthode du premier arrivé, premier servi. Lorsqu un hôte ayant une adresse IP privée demande un accès à Internet, la fonction NAT dynamique choisit dans le pool une adresse IP qui n est pas encore utilisée par un autre hôte. Les NAT statique et dynamique nécessitent suffisamment d adresses publiques disponibles pour satisfaire simultanément tous les hôtes du réseau privé qui souhaitent accéder à Internet. La surchage NAT ou PAT mappe plusieurs adresses IP privées à une seule ou à quelques adresses IP publiques. En effet, plusieurs adresses peuvent être mappées à une seule adresse car chaque adresse privée est suivie par un numéro de port. 5 6

4 Configuration du NAT dynamique Cette configuration s effectue selon les étapes suivantes : Etape 1 : On définit un pool d adresses IP publiques : R1(config)# ip nat POOL netmask Etape 2 : On définit les adresses ayant les droits d être mappées : R1(config)# access-list 1 permit Etape 3 : On relie le pool NAT à l ACL : R1(config)# ip nat inside source list 1 pool POOL1 Etape 4 : On identifie l adresse locale interne comme l interface NAT inside : R1(config)# interface S0/0/0 R1(config-if)# ip nat inside Configuration de la surchage NAT Cette configuration s effectue selon les étapes suivantes : Etape 1 : On définit les adresses ayant les droits d être mappées : R1(config)# access-list 1 permit Etape 2 : On identifie l interface allant être surchargée : R1(config)# ip nat inside source list 1 interface serial 0/1/0 overload Etape 3 : On identifie l adresse locale interne comme l interface NAT inside : R1(config)# interface S0/0/0 R1(config-if)# ip nat inside Etape 4 : On identifie l adresse globale interne comme l interface NAT outside : R1(config)# interface S0/1/0 R1(config-if)# ip nat outside Etape 5 : On identifie l adresse globale interne comme l interface NAT outside : R1(config)# interface S0/1/0 R1(config-if)# ip nat outside 7 8

5 Vérification et dépannage des configurations NAT b La commande show ip nat translations affiche les traductions NAT. La commande show ip nat statistics affiche les informations sur le nombre total de traductions actives, les paramètres de configuration NAT, le nombre d adresses dans le pool et le nombre d adresses attribuées. Par défaut, les entrées de traduction sont désactivées au bout de 24 heures. Il est possible de modifier les compteurs avec la commande ip nat translation timeout La commande clear ip nat translation * efface toutes les entrées de traduction dynamique d adresses de la table de traduction NAT. 9 10

6 Pourquoi utiliser IPv6 L espace d adressage IPv4 offre un peu plus de 4 milliards d adresses. Seules 3.7 milliards peuvent être utilisées car les autres sont réservées pour la multidiffusion, les tests et autres usages spécifiques. On estime que les adresses IPv4 seront épuisées d ici quelques années. Le pool d adresses IPv4 diminue pour les raisons suivantes : croissance de la population utilisateurs mobiles transport électronique grand public Adressage IPv6 Une adresse IPv6 est une valeur binaire longue de 128 bits, affichée sous forme de 32 chiffres hexadécimaux. Ces chiffres sont regroupés par 4, chaque groupe étant séparé des autres groupes par le signe : Exemple : 2031 :0000 :130F :0000 :0000 :09C0 :876A :130B Certaines adresses peuvent être raccourcies en respectant les règles suivantes : dans un champ les zéros de tête sont facultatifs : Exemple : 2031 :0 :130F :0 :0 :9C0 :876A :130B deux champs successifs de zéros peuvent être représentés par le signe : :. Cette abréviation ne peut être utilisée qu une seule fois dans l adresse. Exemple : 2031 :0 :130F : : 9C0 :876A :130B une adresse indéterminée s écrit : : Quelques exemples : 0 :0 :0 :0 :0 :0 :0 :1 devient : :1 0 :0 :0 :0 :0 :0 :0 :0 devient : : FF01 :0000 :0000 :0000 :0000 :0000 :0000 :1 devient FF01 :0 :0 :0 :0 :0 :0 :1 devient FF01 : :1 Types d adresses IPv6 On distingue les types d adresse suivants : monodiffusion globale réservées privées bouclage indéterminée Une adresse de monodiffusion globale est constituée généralement d un préfixe de routage global de 48 bits et un ID de sous réseau de 16 bits. Ce dernier permet à une organisation de créer ses sous-réseaux. Actuellement les adresses de monodiffusion globale attribuées par l IANA utilise la plage d adresses commençant par 2000 : :/3. L IANA alloue l espace d adressage IPv6 dans les plages 2001 : :/16 aux organismes d enregistrement Internet locaux : ARIN, RIPE, APNC, LACNIC et AfriNIC. Une adresse réservée est utilisée par l IETF pour divers usages. Une adresse privée n est jamais acheminée en dehors du réseau de l entreprise. Elle commence par FE, suivi d un chiffre hexadécimal compris entre 8 et F. Les adresses privées sont divisées en deux types : locales-sites monodiffusion de liaison locale L étendue des adresses locales-sites correspond à l ensemble d un site ou d une organisation. Elles commencent par FEC, FED,FEE ou FEF. Les adresses de monodiffusion de liaison locale : elles se rapportent à une liaison physique particulière d un réseau local. Elles commencent par FE8, FE9,FEA ou FEB. Une adresse de bouclage a été prévue à des fins de test. L adresse est : : :1. L adresse : : est utilisée lorsqu un hôte ne connait pas sa propre adresse

7 Stratégies de transition IPv6 Il existe différentes techniques pour effectuer une transition entre IPv4 et IPv6. double pile transmission tunnel NAT-PT (NAT-Protocol Translation) La double pile : les routeurs sont configurés pour prendre en charge simultanément les protocoles IPv4 et IPv6, avec une préférence pour ce dernier. Configuration de RIPng avec IPv6 Une fois le protocole IPv6 activé globalement et les interfaces configurées avec des adresses IPv6, on active le protocole RIPng : R1(config)# ipv6 router rip nom On identifie alors les interfaces du routeur devant exécuter RIPng avec la commande : R1(config-if)# ipv6 router rip nom enable La transmission tunnel consiste à encapsuler un paquet IPv6 dans un autre protocole, tel que IPv4. Cette méthode permet de connecter des îlots IPv6. Cette méthode nécessite des routeurs à double pile. Le NAT-PT (dès la version ios 12.3(2)T) est un NAT entre IPv6 et IPv4. Cette traduction permet aux hôtes qui utilisent diffŕentes versions du protocole IP de communiquer directement. La méthode de la double pile est la méthode la plus couramment utilisée. Configuration de la double pile Chaque noeud dispose de deux piles de protocoles avec une configuration IPv4 et IPv6 sur la même interface ou sur plusieurs interfaces. Un noeud à double pile choisit la pile à utiliser en fonction de l adresse de destination du paquet. Il privilégie IPv6 lorsque celui-ci est disponible. La version d IOS 12.2(2)T et les versions ultérieures sont compatibles avec IPv6. Il faut activer le protocole IPv6 sur le routeur, puis configurer les interfaces avec IPv4 et/ou IPv6. Configuration des adresses IPv6 Il faut tout d abord activer IPv6 sur le routeur : R1(config)# ipv6 unicast-routing Il est possible de spécifier l adresse IPv6 dans son intégralité : R1(config-if)# ipv6 address adresse-ipv6/ longueur-prefixe Ou alors de calculer l identificateur hôte à partir de l identificateur EUI-64 de l interface : R1(config-if)# ipv6 address adresse-ipv6 /64 eui

8 Le VPN GRE GRE (Generic routing encapsulation) est un protocole de tunneling permettant de créer une liaison virtuelle point à point entre deux routeurs distants. GRE peut encapsuler divers protocoles de couche 3 à l intérieur d un tunnel IP. Un protocole de routage peut être utilisé à travers le tunnel, permettant un échange dynamique d informations de routage dans le réseau virtuel ainsi créé. Les tunnels GRE sont stateless : chaque extrémité du tunnel ne conserve pas d informations sur l état de l extrémité distante. GRE n inclut par défaut aucun mécanisme de sécurité pour protéger les données transitant par le tunnel. Configuration d un tunnel site à site GRE La configuration s effectue en 5 étapes : Etape 1 : On créé une interface de tunnel avec la commande interface tunnel 0. Etape 2 : On assigne une adresse IP au tunnel. Les firewalls Un firewall est un logiciel et/ou un matériel dont le but est de faire respecter la politique de sécurité d un réseau en définissant les communications permises ou interdites. Les points communs à tous les firewalls sont : résistance aux attaques tout le traffic passe à travers application la politique de sécurité On distingue deux types principaux de firewall : stateless stateful Un firewall stateless (sans état) inspecte chaque paquet indépendamment des autres et le compare une liste de règles préconfigurées (ACLs). Un firewall stateful (à état) vérifie la conformité des paquets à une connexion en cours. En d autres termes, il s assure que chaque paquet d une connexion est bien la suite du précédent paquet et une réponse à un paquet dans l autre sens. Etape 3 : On identifie l interface source du tunnel avec la commande tunnel source. Etape 4 : On identifie l interface destination du tunnel avec la commande tunnel destination. Etape 5 : On indique le protocole qui sera encapsulé par le protocole GRE avec la commande tunnel mode gre