Module 3 : Planification du routage et de la commutation et. résolution des problèmes 61. Table des matières

Transcription

1 Table des matières Module 3 : Planification du routage et de la commutation et résolution des problèmes Vue d'ensemble 1 Leçon : Sélection de périphériques intermédiaires 2 Leçon : Planification d'une stratégie de connectivité Internet 20 Leçon : Planification du routage des communications 35 Leçon : Résolution des problèmes liés au routage TCP/IP 52 Atelier A : Planification du routage et résolution des problèmes 61

2 Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

3 Module 3 : Planification du routage et de la commutation et résolution des problèmes iii Notes du formateur Présentation : 150 minutes Atelier : 30 minutes Dans ce module, les stagiaires vont acquérir les connaissances nécessaires pour planifier le routage ainsi que la commutation et résoudre les problèmes s'y rapportant dans l'infrastructure réseau Microsoft Windows Server À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! créer un plan de routage et de commutation sécurisé ;! identifier les outils de résolution des problèmes liés à TCP/IP (Transmission Control Protocol/Internet Protocol) ;! résoudre les problèmes liés au routage TCP/IP. Matériel requis Pour animer ce module, vous devez disposer des éléments suivants :! Fichier Microsoft PowerPoint 2189a_03.ppt! Fichiers multimédias : Rôle du routage dans l'infrastructure réseau Stratégies de connectivité réseau à Internet Sélection d'une solution pare-feu de base/nat ou ISA Server Filtrage par un routeur de protocoles Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la visionneuse PowerPoint ou une version antérieure de PowerPoint, il est possible que certains éléments des diapositives ne s'affichent pas correctement. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :! lire tous les supports de cours de ce module ;! effectuer l'ensemble des applications pratiques et l'atelier ;! vous exercer à effectuer toutes les pages des procédures ;! visualiser les présentations multimédias ;! passer en revue les cours et modules de connaissances préalables. Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module.

4 iv Module 3 : Planification du routage et de la commutation et résolution des problèmes Pages de procédures, instructions, applications pratiques et ateliers Pages de procédures Pages d'instructions Applications pratiques Ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier. Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon. Les pages d'instructions vous fournissent les principaux points de décision relatifs au sujet. Utilisez ces instructions pour renforcer le contenu et les objectifs de la leçon. Expliquez qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon. À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module. À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nœud de domaine). Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module. Leçon : Sélection de périphériques intermédiaires Types de périphériques Avant de commencer cette leçon, déterminez si les stagiaires tireraient profit d'une révision sur le routage. Dans ce cas, reportez-vous aux informations de révision de l'annexe B. Pendant l'animation de cette section, vous devez :! définir chaque type de périphérique ;! fournir des exemples réels indiquant à quel moment chaque périphérique serait utilisé. Présentation multimédia : Rôle du routage dans l'infrastructure réseau Expliquez que cette présentation multimédia fournit une vue d'ensemble visuelle et élaborée de la planification d'une solution TCP/IP.

5 Module 3 : Planification du routage et de la commutation et résolution des problèmes v Cas d'emploi du routage Types de domaines réseau Description des fonctions des commutateurs Réseaux locaux virtuels Transmission en duplex intégral dans les environnements commutés Mettez l'accent sur les différences existant au niveau des modes d'utilisation des routeurs dans les environnements LAN (réseau local) et WAN (réseau étendu). Pendant l'animation de cette section, vous devez :! définir un domaine de collision ;! définir un domaine de diffusion ;! expliquer les différences existant entre les domaines de collision et de diffusion ;! indiquer pourquoi il est bénéfique de créer des domaines de collision et de diffusion. Pendant l'animation de cette section, vous devez :! définir les fonctions des commutateurs de couches 2 et 3 ;! expliquer les avantages d'un commutateur de couche 2 ;! expliquer les avantages d'un commutateur de couche 3. Pendant l'animation de cette section, vous devez :! définir ce qu'est un réseau local virtuel (VLAN, Virtual Local Area Network) ;! expliquer les avantages d'un réseau local virtuel ;! indiquer les options d'appartenance à un réseau local virtuel ;! expliquer la façon dont un réseau local virtuel peut être implémenté dans l'environnement de travail du stagiaire. Pendant l'animation de cette section, vous devez :! utiliser la diapositive de déploiement pour définir la transmission en duplex intégral ;! comparer la transmission en duplex intégral à la transmission en semiduplex ;! présenter des situations où les stagiaires implémenteraient la transmission en duplex intégral dans leur environnement de travail. Leçon : Planification d'une stratégie de connectivité Internet Configuration requise pour une solution de connectivité Internet Pendant l'animation de cette section, vous devez :! définir les différentes conditions requises pour une solution de connectivité Internet ;! mettre l'accent sur les points de décision que les stagiaires devront comprendre pour définir une solution de connectivité Internet. Protocole NAT en tant que solution pour la connectivité Internet Pendant l'animation de cette section, vous devez :! souligner que le protocole de traduction d'adresses réseau (NAT, Network Address Translation) est une solution appropriée lorsque tous les utilisateurs disposent du même accès à la connectivité, le réseau privé n'est pas routé et un adressage privé est requis ;

6 vi Module 3 : Planification du routage et de la commutation et résolution des problèmes! décrire les fonctions fournies par le protocole NAT et souligner le fait que cette solution s'adresse aux petites entreprises et qu'elle ne doit pas être utilisée si Microsoft ISA (Internet Security and Acceleration) Server est une solution appropriée ;! indiquer les informations requises pour les adresses publiques et privées, ainsi que les interfaces auxquelles elles peuvent être attribuées ;! expliquer les types de connexions permanentes et non permanentes. Insister sur le fait que toutes les requêtes Internet doivent être transmises via l'interface interne NAT ;! insister sur le fait que les options automatiques d'attribution d'adresses IP (Internet Protocol) et de résolution de noms éliminent le besoin de serveurs supplémentaires conçus pour Windows Server Souligner le fait que les stagiaires doivent s'assurer qu'aucun serveur DHCP (Dynamic Host Configuration Protocol) ne fournit une configuration IP. ISA en tant que solution pour la connectivité Internet Pendant l'animation de cette section, vous devez :! expliquer qu'isa Server n'est pas inclus dans Windows Server 2003, mais qu'il peut fonctionner sur un ordinateur exécutant Microsoft Windows Server 2003 ;! insister sur le fait que les spécifications de conception d'une solution ISA incluent les spécifications de sécurité, la configuration réseau, le nombre de ressources exposées à Internet et le nombre d'emplacements ;! insister sur le fait qu'isa Server fonctionne dans les environnements routés ou non routés, fournit des restrictions au niveau d'internet sur une base d'utilisateur individuel et restreint l'accès aux réseaux privés sur une base de ressource individuelle ;! souligner le fait qu'isa Server s'intègre avec d'autres services réseau pour tirer parti de leurs fonctions ;! expliquer que l'on obtient les adresses publiques requises auprès d'un fournisseur de services Internet ou d'un registre Internet, et que ces adresses sont ensuite affectées aux interfaces et périphériques appropriés ;! décrire la façon de déterminer l'interface appropriée et de sélectionner la connexion adaptée ;! expliquer que les plages d'adresses du réseau privé sont spécifiées et que le logiciel approprié est sélectionné afin de relier les ordinateurs de ce réseau au serveur ISA. Leçon : Planification du routage des communications Instructions de planification de la connectivité du routeur Les pages d'instructions vous fournissent les principaux points de décision de la section. Utilisez-les pour renforcer le contenu et les objectifs de la leçon.

7 Module 3 : Planification du routage et de la commutation et résolution des problèmes vii Leçon : Résolution des problèmes liés au routage TCP/IP Application pratique : Résolution des problèmes liés au routage TCP/IP Durée approximative de cette application pratique : 10 minutes Avant de commencer l'application pratique, indiquez aux stagiaires qu'ils peuvent se reporter au contenu traité dans la leçon. Demandez-leur de lire le scénario et d'effectuer les tâches pratiques. Après que tous les stagiaires ont terminé l'application pratique, demandez-leur de discuter des résultats obtenus. Atelier A : Planification du routage et résolution des problèmes Informations de personnalisation Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier. Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions et de contenu du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire. Cette section identifie les caractéristiques des ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires pendant les ateliers. Ces informations visent à vous aider à répliquer ou personnaliser le cours Microsoft Official Curriculum (MOC). Important L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section «Informations de personnalisation» située à la fin du Guide de configuration automatisée de la classe du cours 2189, Planification et maintenance d'une infrastructure réseau Microsoft Windows Server Mise en place de l'atelier Résultats de l'atelier Aucune configuration de mise en place de l'atelier n'affecte la réplication ou la personnalisation. Aucun changement de configuration des ordinateurs des stagiaires n'affecte la réplication ou la personnalisation.

8

9 Module 3 : Planification du routage et de la commutation et résolution des problèmes 1 Vue d'ensemble *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Objectifs Ce module présente la planification de la stratégie de routage d'une entreprise. En utilisant le document de conception du réseau fourni, vous allez planifier la configuration du routeur de façon à ce qu'il puisse prendre en charge cette conception. Vous allez également déterminer l'emplacement du routeur de manière à améliorer les communications. De plus, ce module fournit des informations sur la résolution des problèmes liés au routage TCP/IP (Transmission Control Protocol/Internet Protocol). À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! créer un plan de routage et de commutation sécurisé ;! identifier les outils de résolution des problèmes liés au routage TCP/IP ;! résoudre les problèmes liés au routage TCP/IP.

10 2 Module 3 : Planification du routage et de la commutation et résolution des problèmes Leçon : Sélection de périphériques intermédiaires *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Objectifs de la leçon Cette leçon présente les informations de base relatives aux commutateurs et aux routeurs. Elle traite également des critères à prendre en compte pour sélectionner un périphérique donné en fonction de la situation. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! comprendre le mode de fonctionnement du routage dans un environnement d'entreprise ;! comprendre l'impact des commutateurs sur les domaines de collision et de diffusion ;! déterminer le moment d'utilisation des routeurs et des commutateurs ;! identifier les critères de sélection des commutateurs ;! sélectionner le périphérique intermédiaire approprié à implémenter dans la stratégie de routage.

11 Module 3 : Planification du routage et de la commutation et résolution des problèmes 3 Types de périphériques *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Définition d'un concentrateur Définition d'un routeur Il est possible que votre entreprise utilise plusieurs périphériques intermédiaires dans le cadre de sa solution réseau. Les plus courants sont les concentrateurs, les routeurs et les commutateurs. Une fois que vous aurez compris les différences existant entre ces périphériques, vous serez à même de déterminer quel type de périphérique utiliser dans votre réseau. Un concentrateur (ou répéteur) opère au niveau de la couche 1 de l'osi (Open Systems Interconnection). Un concentrateur peut permettre d'accroître la taille d'un réseau en reliant plusieurs segments dans un segment de plus grande taille. Étant donné qu'un concentrateur fonctionne au niveau physique (couche 1), il ne traite pas les données ; il se contente de recevoir le signal entrant et de le reconditionner afin de le retransmettre sur tous les ports. Le concentrateur est invisible sur tous les nœuds d'un réseau local répété. Un routeur est un périphérique intermédiaire présent sur un réseau qui accélère la remise de messages. Il fonctionne au niveau de la couche 3 de l'osi et donc au niveau des paquets plutôt qu'au niveau des trames. Un logiciel de couche 3, comme IP ou IPX (Internetwork Packet Exchange), génère le paquet. Les routeurs déterminent à quel endroit envoyer les paquets en fonction de l'adressage spécifié dans le paquet (et non dans la trame). Les routeurs servaient à l'origine à relier des réseaux sur des distances importantes, c'est-à-dire sur des réseaux étendus (WAN, Wide Area Network). Le trafic WAN peut souvent voyager sur plusieurs itinéraires, et les routeurs choisissent le plus rapide ou le moins onéreux. Les routeurs servent également à connecter des réseaux locaux dissemblables, comme un réseau local Ethernet sur une dorsale principale FDDI (Fibre Distributed Data Interface). Vous pouvez utiliser des routeurs à hautes performances pour relier au sein d'une organisation des réseaux locaux homogènes, tels des réseaux locaux Ethernet de petite taille.

12 4 Module 3 : Planification du routage et de la commutation et résolution des problèmes Définition d'un commutateur Un commutateur examine l'adresse de destination et source d'une trame entrante et transfère cette dernière sur le port approprié en fonction de l'adresse de destination. Un commutateur opère au niveau de la couche 2 de l'osi. Vous pouvez considérer un commutateur comme un pont amélioré reliant plusieurs ports. Les commutateurs disposent de plusieurs chemins de données parallèles. Ils utilisent des connexions temporaires ou virtuelles pour connecter les ports source et de destination pendant le transfert de la trame. Une fois la trame arrivée à destination, la connexion virtuelle s'arrête. Les commutateurs sont rapides et peu onéreux, et ils sont généralement utilisés pour segmenter un réseau local en de nombreux segments de plus petite taille, ce qui permet d'accroître la vitesse d'un réseau existant. Un commutateur de couche 3 correspond essentiellement à un commutateur de couche 2 amélioré qui peut effectuer à la fois une commutation de couche 2 et un routage de couche 3 au niveau du matériel. Un commutateur de couche 3 est principalement un routeur IP matériel à fonction limitée bénéficiant de fonctionnalités de connexion par pont. La commutation de couche 3 est un terme marketing employé par les fabricants pour décrire la fonctionnalité de routage de leurs commutateurs.

13 Module 3 : Planification du routage et de la commutation et résolution des problèmes 5 Présentation multimédia : Rôle du routage dans l'infrastructure réseau *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Objectif Objectifs d'apprentissage Questions clés Pour visualiser la présentation Rôle du routage dans l'infrastructure réseau, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimédia, puis sur son titre. Cette présentation a pour objectif d'expliquer le rôle du routage dans une infrastructure réseau. Vous apprendrez à :! décrire comment le routage s'adapte à l'infrastructure réseau ;! expliquer la différence entre un routage local et à distance ;! décrire le rôle du service Routage et accès distant dans l'infrastructure réseau. Durant cette présentation, réfléchissez aux questions suivantes :! Quel est le rôle du routage dans l'infrastructure réseau?! Que se passe-t-il lorsque l'adresse IP de l'hôte auquel le client essaie de se connecter ne se trouve pas sur le sous-réseau local?! Quelle est la fonction des tables de routage?! Comment configurer un serveur exécutant le service Routage et accès distant?

14 6 Module 3 : Planification du routage et de la commutation et résolution des problèmes Cas d'emploi du routage *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Cas d'emploi du routage Les routeurs opèrent au niveau de la couche 3. Par conséquent, ils ne transfèrent pas automatiquement les diffusions (ou trafic de multidiffusion). L'utilisation de routeurs pour connecter des réseaux locaux similaires sur de courtes distances est de ce fait devenue courante pour diviser le domaine de diffusion d'une organisation. Vous pouvez également utiliser les routeurs pour aider à maintenir la sécurité. Le routage est pratiquement toujours utilisé au niveau IP. Pour les nouvelles installations réseau, le meilleur conseil à donner consiste à planifier en prenant le routage en compte, même si vous ne l'utilisez pas au départ. Une planification avancée est requise pour concevoir un schéma d'adresses fonctionnel. Vous devez prévoir la capacité à positionner les routeurs dans des emplacements stratégiques, même si ces derniers utilisent au départ des ponts ou des concentrateurs. Si vous créez votre plan de routage en tenant compte de la croissance future, vous pourrez par la suite facilement ajouter des routeurs. Si vous travaillez avec un réseau existant, la nécessité de cette stratégie de planification devient évidente. Savoir à quel endroit un routeur doit être placé puis réaliser qu'il vous faut modifier une centaine d'adresses avant de pouvoir l'ajouter peut s'avérer très frustrant. Si vous rencontrez des problèmes de performances réseau, vous devez évaluer si l'utilisation d'un routeur peut permettre d'y remédier. Dans certains cas, vous découvrirez peut-être qu'un routeur n'est pas la meilleure solution. Vous pouvez utiliser les routeurs pour isoler les réseaux les uns des autres et pour fournir une base à l'implémentation sécurisée d'un réseau. Pris isolément, les routeurs ne sécuriseront toutefois pas votre réseau vis-à-vis d'attaques provenant d'utilisateurs malveillants. Un plan de sécurité réseau approprié peut inclure des filtres de routeur, des pare-feu, des logiciels de détection des intrusions et des mécanismes de conception de réseaux, par exemple une conception en double pare-feu.

15 Module 3 : Planification du routage et de la commutation et résolution des problèmes 7 Utilisation traditionnelle des routeurs Utilisation du réseau local par les routeurs Utilisation du réseau WAN par les routeurs Traditionnellement, les routeurs étaient positionnés sur la périphérie des réseaux et servaient à connecter des réseaux locaux dissemblables sur de longues distances. Le positionnement de routeurs supplémentaires au centre des réseaux pour créer des réseaux connectés de plus petite taille avec plusieurs domaines de diffusion s'est cependant généralisé. L'utilisation d'un routeur est préférable à celle d'un commutateur pour les tâches suivantes :! connexion du réseau d'une filiale à celui de l'entreprise ;! segmentation d'un réseau de grande taille en sections plus petites afin d'améliorer les performances ;! connexion d'un réseau de grande taille à un réseau étendu. Vous devez positionner des routeurs dans le réseau local afin que :! le trafic réseau soit isolé des segments réseau source, de destination et intermédiaires ;! des sous-réseaux filtrés soient créés dans le réseau privé, protégeant ainsi les données confidentielles ;! des paquets réseau puissent être échangés entre des segments réseau dissemblables, par exemple, entre un segment réseau Ethernet et un segment réseau à mode de transfert asynchrone (ATM, Asynchronous Transfer Mode). Vous devez positionner des routeurs à la périphérie du réseau WAN afin que :! les emplacements distants au sein d'une organisation puissent échanger des paquets réseau en utilisant un réseau public ;! le réseau privé soit isolé du réseau public afin de protéger les données confidentielles ;! les paquets réseau puissent être échangés entre des segments réseau privés et publics, par exemple, entre un segment réseau privé Ethernet et un segment réseau public RNIS (Réseau numérique à intégration de services).

16 8 Module 3 : Planification du routage et de la commutation et résolution des problèmes Types de domaines réseau *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Domaine de collision Domaine de diffusion Avant de sélectionner un périphérique intermédiaire, vous devez comprendre les différents domaines et la façon dont un commutateur peut vous aider à développer l'efficacité de votre réseau. Comprendre en quoi un domaine de collision et un domaine de diffusion diffèrent influencera votre décision quant à l'emplacement d'un commutateur ou d'un routeur. Les commutateurs opèrent au niveau de la couche 2 du modèle OSI et formeront une frontière pour vos domaines de collision. Certains opèrent également au niveau de la couche 3 ; ils formeront une frontière pour vos domaines de diffusion. Dans un environnement partagé, les nœuds peuvent entrer en conflit les uns avec les autres en cas de transmissions simultanées. Si une collision survient, tous les nœuds du segment la détectent, d'où le terme «domaine de collision». Tous les nœuds d'un segment réseau partagé ou répété se situent dans le même domaine de collision. Cependant, les collisions ne traversent pas les ponts ou les commutateurs ; un commutateur constitue donc la périphérie ou la frontière d'un domaine de collision. L'introduction d'un commutateur dans l'environnement vous permet de réduire le nombre de nœuds se disputant les médias réseau en créant des domaines de collision séparés et distincts. La zone d'un réseau pouvant être atteinte par une trame de diffusion s'appelle un «domaine de diffusion». Les ponts et les commutateurs, qui opèrent au niveau de la couche 2, ne sont pas visibles par les trames de diffusion et transfèrent automatiquement tout le trafic de diffusion reçu. Un commutateur ne forme donc pas la frontière ou la périphérie d'un domaine de diffusion. Pour former une frontière, un périphérique de couche 3 tel qu'un routeur ou un commutateur de couche 3, est nécessaire. Cet isolement du trafic de diffusion peut permettre de fournir plus de bande passante pour le trafic de monodiffusion sur les différents segments du réseau.

17 Module 3 : Planification du routage et de la commutation et résolution des problèmes 9 Description des fonctions des commutateurs *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Fonctions des commutateurs de couche 3 Pour déterminer si un commutateur de couche 3 est approprié pour la configuration de votre entreprise, vous devez en comprendre les fonctions et les avantages au niveau de votre infrastructure réseau. Les commutateurs de couche 3 disposent des fonctions importantes suivantes :! le routage est effectué au niveau du matériel (puces de circuits intégrés ASIC) et permet des performances très rapides (proches de la vitesse du câble) avec une latence minimale (moins de 10 microsecondes pour 100 Mbits) ;! un prix considérablement plus faible par port que pour des routeurs de performances similaires ;! une implémentation très simple, principalement centrée sur le routage IP ou IPX basé sur le réseau local. Les commutateurs de couche 3 actuels servent principalement à interconnecter des réseaux locaux virtuels (VLAN) ou à subdiviser des réseaux locaux plus importants en domaines de diffusion de plus petite taille. Ces commutateurs remplacent les routeurs de réseaux locaux onéreux sur la dorsale principale de l'entreprise.

18 10 Module 3 : Planification du routage et de la commutation et résolution des problèmes Principaux avantages de la commutation de couche 3 Le tableau ci-dessous décrit les avantages spécifiques applicables à la plupart des réseaux. Problème Avantage Routage plus rapide Protocoles «bavards» Erreurs des périphériques réseau Tempêtes de diffusion Sécurité Allocation de bande passante Des améliorations majeures en matière de performances résultent de l'utilisation de la commutation de couche 3. Lorsqu'un réseau existant dispose de ces types de protocoles, les réseaux locaux virtuels et la commutation de couche 3 pour IPX et AppleTalk deviennent nécessaires au moment de la mise à niveau vers des liaisons réseau plus rapides du type Ethernet Gigabit. Les réseaux locaux virtuels protègent les parties principales du réseau de ce type de problème. Ils doivent être connectés par des routeurs ou des commutateurs de couche 3. Les problèmes réseau courants, comme les cartes d'interface réseau dépassant le temps de transmission, représentent une perturbation importante qui peut avoir un impact conséquent à la fois sur les performances réseau et sur le temps humain nécessaire en matière de gestion et de résolution des problèmes. L'utilisation de la commutation de couche 3, à partir des commutateurs de périphérie vers le centre du réseau, pour créer une dorsale principale protégée des tempêtes de diffusion vous permet de positionner tous les serveurs de fichiers centraux, le stockage en réseau NAS (Network- Attached Storage) et les serveurs d'impression dans des réseaux locaux virtuels séparés. La commutation et le filtrage de couche 3 et de couche 4 à la vitesse du câble fournit une sécurité accrue et accélérée pour les sous-réseaux et les réseaux locaux virtuels, ce qui permet d'autoriser ou de refuser l'accès à Internet ou aux intranets à la vitesse du câble. La bande passante du réseau peut être allouée à plusieurs services en attribuant à chacun d'eux un réseau local virtuel distinct et en contrôlant le nombre ainsi que la vitesse des ports commutés et des liaisons montantes qui desservent chaque réseau local virtuel. La commutation de couche 3 est nécessaire pour relier les réseaux locaux virtuels.

19 Module 3 : Planification du routage et de la commutation et résolution des problèmes 11 Réseaux locaux virtuels *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Définition d'un réseau local virtuel Avantages des réseaux locaux virtuels Les réseaux locaux virtuels représentent une solution alternative aux routeurs pour la gestion des domaines de diffusion. Ces réseaux permettent en effet aux commutateurs de contenir également du trafic de diffusion. Lorsque vous implémentez des commutateurs et des réseaux locaux virtuels, chaque segment réseau peut ne contenir qu'un seul utilisateur, tandis que les domaines de diffusion peuvent être de taille plus importante. De plus, lorsqu'ils sont correctement implémentés, les réseaux locaux virtuels peuvent suivre les mouvements des stations de travail sans qu'aucune reconfiguration manuelle des adresses IP ne soit nécessaire. Un réseau local virtuel (VLAN, Virtual Local Area Network) correspond à un réseau local que le domaine de diffusion crée de façon artificielle via la configuration du commutateur. Il n'est pas nécessaire que les membres du réseau local soient physiquement connectés au même commutateur ou situés dans la même zone physique. Les nœuds configurés dans le même réseau local virtuel fonctionnent comme s'ils étaient connectés au même commutateur physique, même si ce n'est pas le cas. Voici les principaux avantages des réseaux locaux virtuels :! Du fait de l'isolement des diffusions, ils fournissent plus de bande passante.! Ils suppriment les limitations physiques des réseaux. Même si les ressources et les stations de travail se trouvent dans des bâtiments différents, elles peuvent faire partie du même réseau local virtuel.! Ils peuvent remplacer les routeurs de segmentation. Les réseaux locaux virtuels peuvent avoir la même fonction que les routeurs de segmentation (imbrication de diffusion) tout en étant moins onéreux et plus faciles à configurer.

20 12 Module 3 : Planification du routage et de la commutation et résolution des problèmes! Ils fournissent une imbrication de multidiffusion, augmentant ainsi la bande passante disponible.! Ils sont plus faciles à administrer qu'un réseau local physique. Les réseaux locaux virtuels peuvent être facilement modifiés en fonction de l'évolution des besoins et de la situation.! Ils facilitent le partage des ressources sur plusieurs réseaux locaux virtuels. Le serveur ou la station de travail peut être membre de plusieurs réseaux locaux virtuels, ce qui permet de réduire le besoin de router le trafic et fournit une flexibilité et un accès accrus aux ressources au moment et à l'endroit où on en a besoin.! Ils fournissent des performances à la demande. Si vous devez isoler un serveur ou une station de travail en raison de problèmes de performances, vous pouvez facilement le déplacer vers son propre réseau local virtuel.! Ils fournissent des améliorations en matière de sécurité. Si les diffusions représentent un risque de sécurité, vous pouvez les isoler du reste du réseau. Options d'appartenance à un réseau local virtuel L'appartenance à un réseau local virtuel permet d'identifier les clients qui font partie de ce réseau. De nombreuses options d'appartenance sont disponibles au moment de la création d'un réseau local virtuel. Elles montrent à quel point les réseaux locaux virtuels sont plus souples que les commutateurs traditionnels. Le tableau suivant décrit chacune des options d'appartenance à un réseau local virtuel. Option d'appartenance Description Exemple Basé sur un port Basé sur Macintosh Couche 3/protocole Chaque port d'un commutateur est affecté à un réseau local virtuel. L'appartenance est définie par le Macintosh source ou de destination. Les réseaux locaux virtuels sont basés sur le type de protocole de couche 3 (IP, NetBIOS). Le port 2 est affecté au réseau local virtuel du service ingénierie. Les adresses 00-a9-d e-c2 et 02-d9-22-f2-44-b2 sont affectées au réseau local virtuel du service commercial. Les paquets IP sont affectés au réseau local virtuel Microsoft Windows et les paquets IPX au réseau local virtuel Novell.

21 Module 3 : Planification du routage et de la commutation et résolution des problèmes 13 (suite) Option d'appartenance Description Exemple Couche 3/sous-réseau IP Basé sur la multidiffusion IP Combinaison Les réseaux locaux virtuels sont basés sur des adresses de couche 3. Les réseaux locaux virtuels sont basés sur l'adresse IP de multidiffusion. Les réseaux locaux virtuels sont basés sur n'importe quelle combinaison des options d'appartenance répertoriées. Les nœuds de sous-réseau IP ayant comme caractéristiques adresse masque sont affectés au SOUS- RÉSEAU VLAN 0 et les nœuds ayant comme caractéristiques adresse masque sont affectés au SOUS- RÉSEAU VLAN 1. L'adresse IP de multidiffusion X et le masque sont associés à VLAN MCAST X. Le port 10 est ajouté au réseau local virtuel du service commercial, qui était uniquement un réseau local virtuel basé sur le MAC.

22 14 Module 3 : Planification du routage et de la commutation et résolution des problèmes Transmission en duplex intégral dans les environnements commutés *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Définition du duplex intégral Exemple d'une transmission en duplex intégral L'utilisation de commutateurs dans votre réseau vous permet d'utiliser une technologie de pointe pour améliorer de façon conséquente le débit de votre réseau tout en préservant la compatibilité ascendante. La transmission en duplex intégral est une méthode de transmission qui double véritablement la bande passante d'un lien entre une carte réseau et un commutateur. Parce que ce type de transmission désactive le mécanisme de détection des collisions, la carte et le commutateur peuvent transmettre et recevoir simultanément à la vitesse optimale du câble sur chacun des chemins de transmission et de réception. La transmission en duplex intégral n'est opérationnelle qu'en cas de connexion directe avec le commutateur. Un segment en duplex intégral peut utiliser le même câble UTP (Unshielded Twisted Pair) de catégorie 5 que celui utilisé par Ethernet 10BaseT et Fast Ethernet. Sur un réseau local utilisant une technologie bénéficiant de la transmission en duplex intégral, une station de travail peut envoyer des données sur la ligne au moment où une autre en reçoit. Ce type de transmission implique nécessairement une ligne bidirectionnelle (qui peut déplacer des données dans les deux sens).

23 Module 3 : Planification du routage et de la commutation et résolution des problèmes 15 Intérêt de l'utilisation de la transmission en duplex intégral dans un environnement commuté Considérations relatives à l'implémentation de la transmission en duplex intégral Dans un environnement commuté, vous n'avez plus à vous inquiéter de l'accès simultané de plus de deux nœuds au média réseau. La transmission en duplex intégral fait évoluer la connexion commutée en utilisant différentes paires de câbles dans le câble CAT-5 pour envoyer et recevoir de façon simultanée, doublant véritablement ainsi le débit Ethernet théorique. Les collisions sont totalement éliminées, ce qui rend le réseau CSMA/CD (Carrier Sense Multiple Access with Collision Detection, réseau à accès multiple par détection de porteuse et détection de collision) obsolète. Vous conservez cependant une compatibilité ascendante totale avec le format de trame Ethernet et augmentez le débit du réseau en utilisant une technologie de commutation de pointe : les connexions en duplex intégral, dédiées et commutées. Même si un commutateur est utilisé, seul un périphérique peut être connecté à un port commuté fonctionnant en mode duplex intégral (encore connu sous le nom de «microsegmentation»). Si vous connectez un concentrateur partagé au port d'un commutateur, ce port ne pourra pas fonctionner en mode duplex intégral.

24 16 Module 3 : Planification du routage et de la commutation et résolution des problèmes Instructions pour la sélection d'un périphérique intermédiaire approprié *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Coût Facilité d'implémentation Complexité de l'administration et de la résolution des problèmes Prise en charge des protocoles Il est recommandé de prendre plusieurs facteurs en considération lors de la sélection d'un périphérique intermédiaire. Une fois que vous aurez étudié les exigences de votre entreprise, vous serez à même de sélectionner le périphérique qui répond le mieux à vos besoins et à vos contraintes. Le coût est un facteur important dans une décision relative à un réseau. Après avoir identifié vos paramètres de coût, vous devez les intégrer à votre processus de sélection. Par exemple, vous n'intégreriez pas un routeur principal onéreux dans un réseau local simplement pour segmenter un réseau alors qu'un commutateur de couche 3 peut accomplir la même fonction à un moindre coût. L'implémentation peut être un facteur important parce qu'elle se trouve en corrélation directe avec le temps nécessaire à l'installation et à la maintenance d'un périphérique. Vous devez prendre en compte non seulement la facilité d'implémentation, mais également la facilité de gestion. De nombreux commutateurs sont très faciles à implémenter et leur gestion ne nécessite pas une formation très poussée. Vous devez également prendre en compte l'interface qui gère le périphérique. Avant de prendre une décision s'y rapportant, vous devez déterminer les fonctions dont vous disposez pour administrer le périphérique et résoudre les problèmes s'y rapportant. Vous devez également déterminer si ce périphérique dispose d'une interface d'administration Web et de fonctions SNMP (Simple Network Management Protocol). Il est possible que plusieurs protocoles nécessitant des capacités de routage s'exécutent sur le réseau de votre entreprise. Vous devez déterminer les protocoles que le périphérique intermédiaire doit prendre en charge. Étant donné que certains commutateurs routent uniquement le protocole TCP/IP, il est important de définir si le périphérique peut router tous les protocoles utilisés par votre entreprise.

25 Module 3 : Planification du routage et de la commutation et résolution des problèmes 17 Prise en charge de la couche 1 Débit Fonctionnalité Programmabilité La prise en charge de la couche 1 est importante si votre réseau compte plusieurs types de réseaux différents. De nombreux commutateurs ne prennent en charge que le câblage à paires torsadées. Si vous avez besoin d'une prise en charge de couche 1 supplémentaire, vous devez déterminer si votre réseau comporte des types de réseaux autres que la paire torsadée et si le périphérique prend en charge les types de réseaux requis. Si le débit est un facteur crucial pour votre infrastructure réseau, vous devez vous assurer que le périphérique que vous sélectionnez répond à la configuration requise en matière de débit de réseau. Il est utile de savoir que les commutateurs de couche 3 peuvent router pratiquement à la vitesse du câble. Dans ce contexte, la fonctionnalité se rapporte à la capacité d'améliorer par la suite le périphérique. Vous devez déterminer s'il s'agit d'une condition requise pour le périphérique que vous sélectionnez. L'un des aspects de la fonctionnalité à prendre en compte dans le choix d'un périphérique intermédiaire est de savoir si un commutateur de couche 2 peut être mis à niveau pour effectuer une commutation de couche 3. Les fonctions de programmation d'un périphérique intermédiaire peuvent souvent vous faire économiser du temps. Vous pouvez par exemple programmer certains périphériques pour faciliter et accélérer les fonctions administratives. Vous devez toutefois être conscient du fait que le coût supplémentaire d'un tel périphérique pourrait l'emporter sur ses avantages.

26 18 Module 3 : Planification du routage et de la commutation et résolution des problèmes Application pratique : Sélection de périphériques intermédiaires *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectif : Scénario Dans cette application pratique, vous allez apprendre à effectuer les tâches suivantes :! sélectionner un périphérique intermédiaire approprié ;! identifier les fonctions requises du périphérique intermédiaire. Vous êtes ingénieur système chez Contoso, Ltd. On vous a demandé d'aider à planifier une mise à niveau de l'infrastructure réseau du service financier. Le service ne se trouve actuellement pas dans un environnement commuté, mais utilise un routeur traditionnel et des concentrateurs de 10 Mbits. Le réseau de ce service utilise plusieurs protocoles, notamment TCP/IP, IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) et AppleTalk. Deux segments d'anneaux à jeton («token ring») et trois segments Ethernet subsistent encore sur le réseau.

27 Module 3 : Planification du routage et de la commutation et résolution des problèmes 19 Application pratique 1. Quelles modifications apporteriez-vous à l'environnement actuel pour le transformer en un réseau commuté? Voyez si vous pouvez supprimer les protocoles IPX/SPX et AppleTalk et les remplacer par un protocole TCP/IP. Supprimez les réseaux Token Ring et remplacez-les par Fast Ethernet. Intégrez un commutateur de service de couche 3 et connectez les différents groupes au commutateur du service via des commutateurs. 2. Dans l'environnement existant, le routeur sert à segmenter le réseau en plusieurs domaines de diffusion. Dans le nouveau réseau commuté, qu'utiliseriez-vous pour créer différents domaines de diffusion? Des réseaux locaux virtuels pourraient être créés et l'appartenance pourrait être basée sur diverses options telles que le sous-réseau, MAC, le port ou toute combinaison de ces options.

28 20 Module 3 : Planification du routage et de la commutation et résolution des problèmes Leçon : Planification d'une stratégie de connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Objectifs de la leçon Cette leçon aborde la configuration nécessaire ainsi que des solutions possibles pour la connectivité Internet. La plupart des entreprises nécessitent une solution de connexion Internet très sécurisée. Pour y parvenir, elles implémentent des serveurs proxy, des pare-feu et/ou la traduction d'adresses réseau (NAT, Network Address Translation). Les serveurs proxy, les pare-feu et NAT sont des périphériques qui fonctionnent entre le client et le serveur. En ce sens, il s'agit également de périphériques intermédiaires. Les serveurs proxy, les pare-feu et NAT n'effectuent toutefois pas davantage de traitement des paquets que les routeurs et commutateurs traditionnels et ils ont principalement été développés à des fins de sécurité. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer la technologie et le service appropriés pour les besoins de votre entreprise ;! planifier l'implémentation de NAT ;! planifier l'implémentation de Microsoft ISA (Internet Security and Acceleration) Server.

29 Module 3 : Planification du routage et de la commutation et résolution des problèmes 21 Présentation multimédia : Stratégies de connectivité réseau à Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Objectif Objectifs d'apprentissage Questions clés Pour visualiser la présentation multimédia Stratégies de connectivité réseau à Internet, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation. Cette présentation a pour objectif d'étudier certaines recommandations possibles en matière de connexion d'un réseau d'entreprise à Internet. Vous allez apprendre à :! expliquer le mode d'activation d'une connexion à Internet à partir de votre réseau d'entreprise ;! expliquer la fonctionnalité de NAT, du partage de connexion Internet (ICS, Internet Connection Sharing) et des serveurs ISA ;! identifier certaines recommandations pour la planification d'une connexion réseau sécurisée à Internet. Durant cette présentation, réfléchissez aux questions suivantes :! Comment les routeurs sont-ils positionnés dans votre conception de réseau?! Devez-vous enregistrer vos adresses IP privées?! Comment allez-vous positionner les pare-feu?! Quelles sont les spécifications de sécurité de votre organisation?

30 22 Module 3 : Planification du routage et de la commutation et résolution des problèmes Configuration requise pour une solution de connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Configuration requise en matière d'évolutivité et de tolérance de pannes Avant de choisir la solution à implémenter dans votre entreprise, vous devez déterminer la configuration qui répondra aux besoins de l'entreprise. Cette configuration s'applique principalement à une solution d'entreprise sécurisée. Le terme «tolérant aux pannes» est généralement utilisé pour décrire une technologie qui offre un niveau supérieur de résilience et de récupération instantanée. Cela s'obtient en utilisant une redondance matérielle en complément de logiciels spécialisés. L'évolutivité est le concept de création d'une infrastructure réseau capable de s'adapter à la croissance sans que des révisions drastiques ne soient nécessaires au niveau de la configuration actuelle. En fonction de ces deux définitions, une solution évolutive et tolérante aux pannes correspond à un système qui :! s'adapte au nombre de personnes qui utiliseront immédiatement le système ;! s'adapte au nombre de personnes qui pourraient l'utiliser dans 1, 5 ou 10 ans ;! ne tombe pas en panne en cas de défaillance de l'un de ses composants ;! permet une récupération de plusieurs échecs. Remarque Les groupes de serveurs et l'équilibrage de la charge sont deux moyens permettant de fournir une tolérance des pannes.

31 Module 3 : Planification du routage et de la commutation et résolution des problèmes 23 Configuration requise pour le filtrage Configuration requise pour l'accès utilisateur Configuration requise pour l'authentification Configuration requise pour le contrôle de la bande passante Configuration requise pour le calendrier d'accès Le filtrage vous permet de contrôler le flux des données. Vous devez déterminer le type de filtrage nécessaire pour assurer une meilleure sécurité réseau. Il existe plusieurs types de filtrage à prendre en considération :! Filtrage des paquets Lorsque ce type de filtrage est activé, tous les paquets de la surface externe sont ignorés à l'exception de ceux que vous autorisez de façon explicite. Le filtrage des paquets peut être statique ou dynamique. Lorsqu'il est dynamique, les ports ne s'ouvrent que lorsque cela s'avère nécessaire pour les communications et se ferment à la fin de la communication.! Filtrage au niveau du circuit Le filtrage de niveau circuit active la prise en charge de pratiquement toutes les applications Internet standard et personnalisées conçues pour être utilisées avec le système d'exploitation Windows. Cela s'effectue en utilisant des sessions d'inspection plutôt que des connexions ou des paquets.! Filtrage au niveau de l'application Ce type de filtrage permet d'effectuer le traitement en fonction des applications, y compris l'inspection, le filtrage ou le blocage, la redirection ou même la modification des données alors qu'elles traversent le pare-feu.! Filtrage des protocoles Ce type de filtrage empêche le transfert du trafic des protocoles spécifiés en dehors des ports commutés. Il est possible que la sécurité de votre entreprise requière un contrôle avancé des accès. Vous pouvez contrôler l'accès utilisateur en fonction du nom d'utilisateur, du groupe, de l'adresse IP, de la destination, du programme ou du type de contenu. Vous devrez vous demander si votre solution prend en charge l'authentification renforcée de l'utilisateur. La solution doit pouvoir effectuer les tâches suivantes :! authentifier les utilisateurs avant qu'il n'emploient les ressources ;! prendre en charge les méthodes d'authentification ;! configurer différentes méthodes d'authentification pour les requêtes entrantes et sortantes. Vous devez déterminer la quantité relative de bande passante à allouer aux différents types de trafics réseau. Pour cela, définissez des priorités dans les règles de bande passante qui déterminent la connexion prioritaire. Comme mesure de sécurité supplémentaire, vous devez avoir la possibilité de configurer des règles qui déterminent les jours et les heures auxquels l'accès est autorisé.

32 24 Module 3 : Planification du routage et de la commutation et résolution des problèmes Configuration requise pour l'extensibilité et la souplesse Configuration requise pour la connectivité des applications Un point important à prendre en considération pour toute solution est sa capacité à fournir des outils et une fonctionnalité de personnalisation. Ceci s'obtient généralement par l'utilisation d'un kit de développement (SDK, Software Development Kit) disponible pour les développements en interne. Vous devez également déterminer si la solution fournit une large gamme de solutions d'extension de tierce partie et une option d'administration extensible. Vous pouvez prendre en considération certaines des fonctions d'extensibilité suivantes :! Analyse antivirus! Outils de gestion! Filtrage du contenu! Blocage de site! Surveillance en temps réel! Création de rapports La solution que vous sélectionnez doit permettre à tous vos protocoles et applications requis de se connecter et être personnalisable.

33 Module 3 : Planification du routage et de la commutation et résolution des problèmes 25 NAT en tant que solution pour la connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Fonctions de NAT Lorsque vous déterminez une solution appropriée pour la connectivité Internet, vous devez prendre en compte à la fois la taille du réseau privé et les spécifications de sécurité de l'organisation. Cette leçon présente NAT en tant que solution pour la connectivité Internet. Pour obtenir une solution efficace en matière de connectivité Internet, vous devez comprendre de quelle façon les fonctions de NAT prennent en charge les spécifications de connectivité de l'organisation. NAT est l'un des protocoles pris en charge par le service Routage et accès distant de Windows Server Si vous utilisez NAT, vous devez par conséquent inclure ce service dans votre solution. Les fonctions de NAT vous fournissent une solution simple pour la connectivité Internet. Ses principales fonctions sont :! Traduction d'adresses réseau La fonction de traduction d'adresses réseau de NAT sécurise le réseau privé en masquant les adresses de ce réseau de façon à ce qu'elles ne soient pas visibles par les utilisateurs basés sur Internet. La traduction d'adresses réseau permet à une ou plusieurs adresses publiques d'être traduites dans le schéma d'adresses IP privées au sein du réseau privé. La traduction d'adresses réseau est inhérente à NAT et nécessite l'utilisation de l'adressage privé.! IP automatique Les fonctions d'ip automatique de la fonction NAT d'attribution d'adresses fournissent la configuration IP aux ordinateurs clients du réseau privé. Ceci élimine la nécessité de disposer d'un serveur DHCP (Dynamic Host Configuration Protocol) séparé. Vous pouvez utiliser l'attribution d'adresses IP pour configurer n'importe quel client compatible DHCP.

34 26 Module 3 : Planification du routage et de la commutation et résolution des problèmes! Résolution de noms La fonction de résolution de noms de NAT utilise des serveurs proxy DNS (Domain Name System) pour transférer les demandes de résolution de noms. Le serveur NAT envoie les requêtes des clients au service de serveur DNS approprié. NAT est-il une solution appropriée pour vous? NAT est une solution appropriée en matière de connectivité Internet lorsque :! les spécifications pour l'accès Internet et l'accès au réseau privé ne nécessitent pas de restrictions en fonction de chaque utilisateur ;! le réseau privé se compose d'un certain nombre d'utilisateurs dans un environnement non routé ;! l'organisation nécessite un adressage privé pour les ordinateurs du réseau privé.

35 Module 3 : Planification du routage et de la commutation et résolution des problèmes 27 ISA en tant que solution pour la connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Définition de ISA Server Si votre entreprise requiert un niveau de sécurité et de fonctionnalité supplémentaire, vous pouvez opter pour un serveur proxy. Un serveur proxy peut améliorer les performances en fournissant les données fréquemment demandées, comme une page Web très visitée. Il peut également filtrer et ignorer les requêtes que le propriétaire ne considère pas comme appropriées, comme les requêtes pour un accès non autorisé aux fichiers propriétaires. ISA Server est un serveur proxy. Il s'agit d'un pare-feu d'entreprise extensible et d'un serveur de cache qui s'intègre avec les systèmes d'exploitation Windows 2000 et Windows Server 2003 pour la sécurité basée sur les stratégies ainsi que pour l'accélération et l'administration de l'interconnexion de réseaux. ISA Server fournit deux modes bien intégrés : un pare-feu à plusieurs couches et un serveur de cache Web à hautes performances. Les outils de gestion avancés simplifient la définition de la stratégie, le routage du trafic, la publication sur serveur et l'analyse. Qu'il soit déployé en tant que pare-feu et serveurs de cache séparés ou en mode intégré, ISA Server peut être utilisé pour améliorer la sécurité du réseau, appliquer une stratégie cohérente d'utilisation d'internet, accélérer l'accès à Internet et optimiser la productivité des employés dans les organisations de toutes tailles.

36 28 Module 3 : Planification du routage et de la commutation et résolution des problèmes Fonctions d'isa Server ISA Server fournit les fonctions suivantes :! Connectivité Internet sécurisée ISA Server protège les réseaux des accès non autorisés, inspecte le trafic et alerte les administrateurs réseau en cas d'attaque. Il fournit aux organisations un moyen rapide et exhaustif de contrôler l'accès et de surveiller l'utilisation, permettant ainsi aux administrateurs réseau de répondre aux besoins de l'organisation ainsi que de ses clients. ISA Server propose un pare-feu d'entreprise multicouche extensible disposant des fonctions de sécurité suivantes : Filtrage du trafic au niveau des paquets, circuits et applications Inspection avec état Large prise en charge d'applications Mise en réseau privé virtuel intégré Détection intégrée des intrusions Filtres d'applications intelligents Transparence pour tous les clients Authentification avancée Publication sur serveur sécurisée! Accès rapide à Internet Le cache Web d'isa Server peut maximiser les performances ainsi que les ressources de la bande passante du réseau en stockant et servant le contenu Web mis en cache au niveau local.! Gestion unifiée En associant le pare-feu d'entreprise et les fonctions de cache Web à hautes performances, ISA Server fournit une infrastructure de gestion commune qui réduit la complexité et les coûts du réseau.! Plate-forme extensible et ouverte ISA Server est conçu pour être extrêmement extensible et inclut un kit de développement logiciel exhaustif pour le développement en interne, un large choix de solutions d'extension tierces et une option d'administration extensible. Remarque Pour plus d'informations sur les avantages d'isa Server, consultez le site

37 Module 3 : Planification du routage et de la commutation et résolution des problèmes 29 Instructions de planification d'isa Server Lors de la planification d'une solution de connectivité Internet basée sur ISA Server, vous devez déterminer les éléments suivants :! Taille du réseau Il est important d'avoir une idée précise de la taille de votre réseau ou de l'utilisation prévue pour les serveurs de publication, afin que vous puissiez déterminer le nombre d'ordinateurs ISA Server à déployer.! Tolérance des pannes Vous devez déterminer le nombre approprié d'ordinateurs ISA Server. Pour cela, gardez à l'esprit les considérations relatives à la sécurité, les fonctions attendues des ordinateurs ISA Server et la façon dont les clients y accéderont.! Mode ISA Server Vous devez déterminer le mode ISA Server que vous installerez pour chacun des groupes : pare-feu, cache ou intégré.! Besoins des utilisateurs Vous devez déterminer les applications et services dont vos utilisateurs ont besoin. Ceci vous aide à déterminer, le cas échéant, le type de logiciel client à installer sur les ordinateurs clients.! Spécifications de connectivité Internet Vous devez déterminer comment vous allez connecter physiquement votre réseau interne à Internet. Lorsque vous utilisez ISA Server, vos décisions en matière de planification pour une solution de connectivité Internet doivent se fonder sur vos spécifications de sécurité, la configuration de votre réseau, le nombre de ressources exposées à Internet et le nombre d'emplacements distribués géographiquement relatifs à l'organisation. Remarque Pour plus d'informations sur la planification de l'utilisation d'isa Server, consultez le site: ISA Server est-il une solution appropriée pour vous? ISA Server est une solution appropriée pour la connectivité Internet dans les cas suivants :! l'accès à Internet et au réseau privé est restreint sur une base de ressource ou d'utilisateur individuel ;! un certain nombre de ressources réseau privées doivent être partagées avec des utilisateurs basés sur Internet ;! le réseau privé englobe plusieurs emplacements géographiques.

38 30 Module 3 : Planification du routage et de la commutation et résolution des problèmes Présentation multimédia : Sélection d'une solution pare-feu de base/nat ou ISA Server *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Objectif Objectifs d'apprentissage Questions clés Pour visualiser la présentation Sélection d'une solution pare-feu de base/nat ou ISA Server, ouvrez la page Web du CD-ROM du stagiaire, puis cliquez sur Multimédia et sur le titre de la présentation. Cette présentation a pour objectif d'expliquer comment faire un choix entre une solution de pare-feu de base/nat et une solution ISA Server. Vous allez apprendre à :! identifier à quel moment utiliser une solution de pare-feu de base/nat ;! identifier à quel moment utiliser une solution ISA Server ;! identifier les critères de sélection de la solution de pare-feu la plus appropriée ;! appliquer la solution de pare-feu appropriée à votre organisation. Durant cette présentation, réfléchissez aux questions suivantes :! Votre planification s'applique-t-elle à un ou à plusieurs sous-réseaux?! Quelles sont les spécifications de sécurité de votre réseau?! L'équilibrage de la charge du réseau et les groupes de serveurs entrent-ils en ligne de compte dans votre conception?! Votre réseau privé est-il routé?! Votre organisation nécessite-t-elle la mise en cache du contenu HTTP (Hypertext Transfer Protocol) et FTP (File Transfer Protocol) sortant des serveurs publiés?

39 Module 3 : Planification du routage et de la commutation et résolution des problèmes 31 Instructions pour la planification d'une stratégie de connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Définir la structure actuelle du réseau Définir les spécifications de sécurité La planification d'une stratégie de connectivité Internet est un prolongement du choix des périphériques intermédiaires. Vous devez déterminer quelle est pour votre entreprise la meilleure méthode de connexion à Internet en suivant les instructions détaillées dans cette section. Vous devez tout d'abord identifier le niveau de complexité de votre entreprise. Si vous disposez d'un environnement de petite taille constitué d'un simple réseau à un seul segment, le service NAT du service Routage et accès distant peut répondre à la configuration minimale requise du réseau. Si vous disposez d'un réseau complexe avec des spécifications elles-mêmes complexes, envisagez un produit (comme ISA Server) qui dispose de fonctions permettant de répondre à cette configuration. La connectivité Internet et la sécurité sont étroitement liées. L'identification de vos spécifications de sécurité vous aide à déterminer la meilleure solution. Le service NAT, dans ISA Server et dans le service Routage et accès distant, traite des problèmes de sécurité. ISA Server offre cependant des fonctions de filtrage, d'authentification et de contrôle de l'accès bien plus avancées.

40 32 Module 3 : Planification du routage et de la commutation et résolution des problèmes Identifier les spécifications de connectivité L'identification des spécifications de connexion aux ressources externes vous aide également à déterminer la meilleure solution pour votre entreprise. Réfléchissez par exemple aux points suivants:! ce qui sera connecté ;! le moment auquel les connexions seront autorisées ;! la bande passante qui sera allouée à l'application. Vous devez également identifier les spécifications relatives à la connexion aux ressources internes. Si vous déterminez que les spécifications dépassent la capacité d'un ou de deux serveurs, le service NAT du service Routage et accès distant n'est alors pas une solution acceptable. Sélectionner la solution appropriée Après avoir identifié les spécifications de votre entreprise, vous pouvez associer tous ces facteurs et les comparer aux fonctions proposées par les diverses solutions. Cependant, n'oubliez pas que des spécifications complexes requièrent des solutions sophistiquées.

41 Module 3 : Planification du routage et de la commutation et résolution des problèmes 33 Application pratique : Planification d'une stratégie de connectivité Internet *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Scénario Dans cette application pratique, vous allez apprendre à planifier une stratégie de connectivité Internet. Avant de lire le scénario et d'effectuer l'application pratique, passez en revue la présentation multimédia Stratégies de connectivité réseau à Internet de ce module. Vous êtes ingénieur système à Contoso, Ltd. On vous a demandé d'aider à planifier la stratégie de connectivité Internet d'une nouvelle filiale située à Cardiff, au Pays de Galles. Les 50 chercheurs de Cardiff effectueront des activités de recherche environnementale et doivent se connecter à Internet pour communiquer avec des universités et des organismes de recherche de premier plan, ainsi que pour communiquer avec le réseau de l'entreprise, situé à Londres. Une connexion de 768 kilobits par seconde (Kbits) sera installée et utilisée pour la connexion à Internet. Les chercheurs ont quelques doutes quant à la connexion de leurs serveurs à un réseau qui dispose également de la connectivité Internet et souhaitent être rassurés quant au fait que tous les plans prendront en compte la sécurité des documents de recherche de valeur stockés sur leurs serveurs de fichiers. La filiale de Cardiff créera également cinq postes de stagiaires pour les étudiants de l'université voisine. Cinq étudiants seront à tout moment en stage de trois mois dans le bureau. Ils devront avoir accès à un nombre limité d'emplacements Internet en fonction de leurs tâches de recherche et de leur appartenance au groupe. Il est possible que ces stagiaires aient également à accéder de façon simultanée à Internet.

42 34 Module 3 : Planification du routage et de la commutation et résolution des problèmes Application pratique 1. Quelle serait votre stratégie préférée pour connecter la filiale de Cardiff à Internet? L'utilisation d'un serveur ISA. 2. Quelles sont vos raisons pour choisir cette stratégie particulière? Le serveur ISA peut fournir la sécurité que requièrent les chercheurs et il peut être configuré en fonction de chaque utilisateur ou groupe afin de limiter les emplacements auxquels les étudiants pourront se connecter et les protocoles utilisés pour la connexion. Ceci est impossible avec RRAS NAT, ICS ou simplement avec un routeur.

43 Module 3 : Planification du routage et de la commutation et résolution des problèmes 35 Leçon : Planification du routage des communications *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Objectifs de la leçon Dans cette leçon, vous allez apprendre à planifier le routage des communications pour une conception d'entreprise donnée. Vous apprendrez à sélectionner la méthode de connexion, à déterminer les protocoles de routage et à identifier le protocole de connexion à utiliser. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! déterminer les options de connectivité à utiliser ;! déterminer les protocoles de routage et/ou les itinéraires statiques à utiliser ;! déterminer les options de sécurité à implémenter.

44 36 Module 3 : Planification du routage et de la commutation et résolution des problèmes Sélection de la méthode de connexion appropriée *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lignes allouées Tunneling La première étape dans la planification du routage des communications consiste à identifier le mode de transfert des données par les routeurs. Pour ce faire, les quatre moyens les plus courants sont les lignes allouées, le tunneling, la connexion permanente à la demande et les connexions sur demande. Chaque méthode de communication répond à une configuration réseau spécifique. Vous devez évaluer votre configuration réseau et déterminer ensuite la méthode qui répondra le mieux à vos besoins. Une ligne allouée est une connexion ouverte en permanence qui est disponible moyennant le paiement d'un forfait annuel. Ce type de connexion est généralement employé lorsque l'utilisation du réseau d'une entreprise est intensive. Une ligne allouée permet une solution de connectivité bien plus rentable que les types de connexion plus traditionnels (comme RNIS ou les modems d'accès à distance). Parce que les lignes allouées sont des connexions point à point dédiées, leur utilisation peut s'avérer plus sûre que l'envoi de données dans un réseau maillé point à multipoint. Le tunneling correspond à la transmission de données du réseau privé interne sur un réseau public. Cela s'effectue de telle façon que le routage du réseau public n'a pas conscience du fait que la transmission fait partie d'un réseau privé. Le tunneling s'effectue généralement en encapsulant les données du réseau privé et les informations de protocole dans les unités de transmission du réseau public. Ces informations encapsulées s'affichent sous la forme de données dans le réseau public. Toutefois, dans le cadre de l'utilisation d'un réseau public pour l'envoi de données privées, vous pouvez crypter ces dernières afin qu'elles ne puissent pas facilement être lues par des utilisateurs non autorisés.

45 Module 3 : Planification du routage et de la commutation et résolution des problèmes 37 Routage à la demande Similaires aux lignes allouées, les connexions à la demande sont des connexions point à point, avec toutefois une différence : elles ne sont pas dédiées. Les connexions à la demande doivent toujours être composées pour établir la connexion, mais leur nature point à point les rend moins vulnérables à la surveillance du trafic de paquets. Les connexions à la demande peuvent être :! sur demande ou permanentes ;! initiées de façon bidirectionnelle ou unidirectionnelle. La décision d'utiliser l'un ou l'autre des types de connexions a un impact sur la configuration de l'interface de connexion à la demande. Connexions sur demande Connexions permanente à la demande Les connexions sur demande sont utilisées lorsque le coût d'utilisation de la liaison de communications est sensible au temps. Le comportement de déconnexion inactive peut être configuré à la fois sur le routeur appelant et sur le routeur récepteur. Les appels téléphoniques analogiques longue distance sont facturés à la minute. Avec les connexions sur demande, la connexion est établie lorsque le trafic est transféré et arrêtée après un temps d'inactivité configuré. Les connexions permanente à la demande utilisent une technologie WAN de numérotation lorsque le coût de la liaison est fixe et que la connexion peut être active 24 heures sur 24. Le comportement de connexion permanente doit être configuré à la fois sur le routeur appelant et sur le routeur récepteur. Voici quelques exemples de connexions permanente à la demande :! appels locaux qui utilisent des lignes téléphoniques analogiques ;! lignes analogiques allouées ;! RNIS forfaitaire. Si une connexion permanente est perdue, le routeur appelant essaie immédiatement de rétablir la connexion. Initiées de façon unidirectionnelle Avec les connexions initiées de façon unidirectionnelle, un routeur correspond toujours au routeur récepteur et l'autre au routeur appelant. Le routeur récepteur accepte la connexion et le routeur appelant l'initie. Les connexions initiées de façon unidirectionnelle conviennent bien à une topologie «spoke-and-hub» sur demande où le routeur de la filiale est le seul routeur qui initie la connexion. Les connexions initiées de façon unidirectionnelle requièrent les conditions suivantes :! Le routeur récepteur est configuré comme un routeur LAN et WAN.! Un compte d'utilisateur est ajouté pour les informations d'authentification du routeur appelant, auquel le routeur récepteur accède et qu'il valide. Une interface de connexion à la demande est configurée sur le routeur récepteur avec le même nom que le compte d'utilisateur utilisé par le routeur appelant. Parce que cette interface n'est pas utilisée pour appeler, elle n'est pas configurée avec le numéro de téléphone du routeur appelant ou avec les informations d'identification valides de l'utilisateur.

46 38 Module 3 : Planification du routage et de la commutation et résolution des problèmes Initiées de façon bidirectionnelle Avec les connexions initiées de façon bidirectionnelle, l'un ou l'autre des routeurs peut être le routeur récepteur ou le routeur appelant, en fonction de celui qui initie la connexion. Les deux routeurs doivent être configurés pour initier et accepter une connexion à la demande. Vous pouvez utiliser les connexions initiées de façon bidirectionnelle lorsque le trafic en provenance d'un des routeurs peut créer la connexion à la demande. Les connexions à la demande initiées de façon bidirectionnelle requièrent les conditions suivantes :! Les deux routeurs sont configurés en tant que routeurs LAN et WAN.! Des comptes d'utilisateurs sont ajoutés aux deux routeurs, afin que le routeur récepteur puisse accéder aux informations d'authentification du routeur appelant et les valider.! Les interfaces de numérotation à la demande portant le même nom que le compte d'utilisateur utilisé par le routeur appelant sont entièrement configurées sur les deux routeurs, y compris le numéro de téléphone du routeur récepteur et les informations d'identification du compte d'utilisateur permettant d'authentifier le routeur appelant.

47 Module 3 : Planification du routage et de la commutation et résolution des problèmes 39 Sélection d'un protocole de routage *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Itinéraires statiques Intérêt du choix des itinéraires statiques Pour que le routeur puisse transférer des paquets sur des réseaux auxquels il n'est pas directement connecté, vous devez créer des entrées de table de routage pour ces réseaux. Dans un petit réseau, vous pouvez ajouter manuellement ces entrées en configurant des itinéraires statiques dans la table de routage de votre routeur. Vous pouvez inclure dans la conception des routeurs RIP (Routing Information Protocol) pour IP, afin que ceux-ci puissent automatiquement mettre à jour les informations de la table de routage. Les tables de routage statiques sont créées et mises à jour manuellement. Si un itinéraire change, l'administrateur réseau doit mettre manuellement à jour les tables de routage. Les itinéraires statiques peuvent être adaptés aux réseaux d'interconnexion de petite taille. Cependant, en raison de leur administration manuelle, ils ne sont pas très évolutifs. Vous pouvez normalement utiliser des itinéraires statiques si votre environnement répond à l'une des conditions suivantes :! Petit nombre d'itinéraires Si votre environnement est relativement simple, un protocole de routage n'est peut-être pas utile.! Environnement statique Si votre environnement réseau ne fait pas l'objet de nombreuses modifications et que vous ne disposez pas de plusieurs voies d'accès redondantes, vous aurez peut-être besoin d'un protocole de routage.! Un besoin de limiter l'utilisation de la bande passante Les protocoles de routage nécessitent davantage de bande passante ; par conséquent, si la bande passante est un motif de préoccupation, vous pourriez prendre en considération les itinéraires statiques.

48 40 Module 3 : Planification du routage et de la commutation et résolution des problèmes RIP pour IP Intérêt du choix de RIP OSPF Intérêt du choix de OSPF RIP est conçu pour l'échange d'informations de routage au sein d'un réseau d'interconnexion de petite ou de moyenne taille. Un routeur RIP gère une table de routage et envoie de façon périodique des annonces afin d'informer les autres routeurs RIP du réseau des réseaux qu'ils peuvent et ne peuvent plus atteindre. La version 1 de RIP utilise les paquets de diffusion IP pour ses annonces, alors que la version 2 utilise les paquets de multidiffusion. Le service Routage et accès distant prend en charge RIP versions 1 et 2. Par rapport aux autres protocoles, RIP est simple à configurer et à déployer. Cependant, alors que la taille des réseaux augmente, les annonces périodiques générées par chaque routeur RIP provoquent un trafic excessif sur le réseau. RIP est généralement utilisé dans les réseaux comportant au maximum 50 routeurs. Vous devez inclure RIP dans votre plan de routage pour les raisons suivantes :! pour mettre automatiquement à jour les informations des tables de routage ;! si la mise à jour manuelle des tables de routage prend beaucoup trop de temps ;! en cas de modifications constantes apportées aux informations des tables de routage ;! si les routeurs existants utilisent RIP ;! si la conception inclut une interface de connexion à la demande afin que vous puissiez utiliser RIP pour créer des entrées d'itinéraires autostatiques ;! si le nombre maximal de routeurs qu'un paquet IP doit traverser est inférieur à 14. OSPF (Open Shortest Path First) est un protocole d'état des liens basé sur l'algorithme SPF (Shortest Path First) qui traite le chemin le plus court entre un nœud source et les autres nœuds du réseau. Vous pouvez inclure le protocole de routage OSPF dans un plan réseau afin que les routeurs puissent automatiquement mettre à jour leurs informations de routage pour les paquets monodiffusion. À la différence des routeurs RIP pour IP, les routeurs OSPF gèrent une carte du réseau dans la base de données des états des liens. Les mises à jour apportées au réseau sont reflétées dans cette base de données et synchronisées entre les routeurs. Les routeurs OSPF gèrent à la fois une base de données des états des liens et une table de routage. Vous devez inclure OSPF dans le plan de routage de votre entreprise si :! les informations de routage changent constamment ;! les routeurs existants utilisent OSPF ;! la conception inclut des chemins redondants entre deux sous-réseaux ;! le nombre de sous-réseaux de la conception est supérieur à 50.

49 Module 3 : Planification du routage et de la commutation et résolution des problèmes 41 Utilisation de filtres de paquets IP *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Filtres de paquets IP Filtres d'entrée et de sortie Le filtrage des paquets est une mesure de sécurité que vous implémentez au niveau de la couche réseau. Un routeur IP peut fournir la possibilité d'autoriser ou d'interdire le transfert de types spécifiques de trafic IP. Grâce aux filtres de paquets IP, vous pouvez intercepter et autoriser ou bloquer les paquets destinés à des ordinateurs spécifiques du réseau de votre entreprise. Vous configurez les filtres d'entrée et de sortie sur une interface. Le filtrage des paquets IP vous fournit un moyen de définir précisément le trafic IP qui est autorisé à traverser le routeur. Ce filtrage devient important lorsque vous connectez des intranets d'entreprise aux réseaux publics (Internet, par exemple). Vous pouvez configurer deux types de filtres de paquets IP statiques :! Filtres d'autorisation Les filtres d'autorisation sont des filtres d'exception, ce qui signifie que tous les types de paquets sont bloqués à l'exception de ceux que vous autorisez. Si aucun filtre de paquets n'est activé pour un port spécifique, le service ne peut pas écouter sur ce port sauf si vous l'ouvrez de façon dynamique.! Filtres de blocage Les filtres de blocage ferment les ports spécifiés. Vous pouvez créer et configurer les filtres de blocage pour définir de façon plus détaillée le trafic autorisé via le serveur ISA. Les filtres d'entrée filtrent le trafic d'entrée de l'interface. Les filtres de sortie filtrent le trafic de sortie d'une interface. Les filtres d'entrée et de sortie sont configurés sur une base d'exception. Vous pouvez configurer l'action de filtrage de façon à recevoir ou, au contraire, à rejeter tout le trafic à l'exception de celui qui est spécifié. Lorsque plusieurs filtres sont configurés, les filtres séparés appliqués au paquet d'entrée sont comparés à l'aide de l'opérateur logique OU. Si le paquet correspond au moins à l'un des filtres configurés, il est reçu ou rejeté en fonction du paramètre d'action de filtrage.

50 42 Module 3 : Planification du routage et de la commutation et résolution des problèmes Exemple de filtrage d'entrée Exemple de filtrage de sortie Configuration des filtres Spécification d'une action de filtrage Supposons que l'interface A dispose d'un filtre d'entrée configuré pour bloquer le trafic ICMP (Internet Control Message Protocol) entrant. Les paquets ICMP sont ignorés au niveau du routeur. Lorsque l'utilisateur 1 essaie de communiquer avec l'utilisateur 2 à l'aide d'autres protocoles, ces paquets sont transférés sans être modifiés. En bloquant le trafic ICMP avec un filtre d'entrée, un administrateur réseau peut empêcher les utilisateurs de provoquer le passage d'un trafic inutile à travers le routeur. Lorsque l'utilisateur 1 essaie de se servir du protocole SNMP pour administrer l'ordinateur de l'utilisateur 3, la tentative échoue, car le routeur dispose sur l'interface B d'un filtre de sortie configuré pour transmettre tous les protocoles à l'exception de SNMP. Vous pouvez également configurer un filtre de sortie afin d'empêcher la pénétration du trafic SNMP sur certains réseaux. Par exemple, si une organisation dispose d'ordinateurs dans un emplacement non sécurisé tel qu'un réseau de laboratoires, un administrateur peut configurer un filtre de routage afin qu'il empêche l'entrée du trafic SNMP sur ce réseau. Le blocage du trafic SNMP empêche les utilisateurs de ce réseau d'effectuer des fonctions d'administration sur les ordinateurs connectés aux autres parties du réseau. Vous pouvez configurer les filtres d'entrée et de sortie sur les champs de clé des en-têtes IP, TCP, UDP (User Datagram Protocol) et ICMP de chaque interface. La configuration d'un filtre implique le choix d'une interface, la spécification d'un filtre d'entrée ou de sortie et la spécification d'une action de filtrage. Pour configurer le filtrage des paquets IP dans le service Routage et accès distant, vous créez des filtres pour autoriser ou interdire certains types de trafic sur une interface de routage. Un filtre IP déclenche une décision relative à l'action à entreprendre au niveau du paquet, en fonction d'une correspondance avec la source, la destination et le type du trafic IP. Les filtres sont configurés sur une base d'exception. Vous pouvez configurer l'action de filtrage de façon à recevoir ou, au contraire, à rejeter tout le trafic à l'exception de celui qui est spécifié. Vous pouvez sélectionner une action de filtrage après avoir défini au minimum un filtre. Les options de configuration de filtres sont les suivantes :! Recevoir tous les paquets à l'exception de ceux que vous spécifiez comme devant être bloqués, ce qui permet de protéger un réseau contre des menaces spécifiques. Utilisez ce paramètre lorsque vous n'avez pas besoin d'un niveau élevé de sécurité.! Rejeter tous les paquets à l'exception de ceux répondant aux critères spécifiés. Utilisez ce paramètre lorsque vous avez besoin d'un niveau élevé de sécurité. Remarque Pour des exemples de scénarios de filtrage courants, consultez le site ( en anglais) prodtechnol/windows2000serv/reskit/intnetwk/part1/intch03.asp

51 Module 3 : Planification du routage et de la commutation et résolution des problèmes 43 Considérations relatives à l'administration Lorsque l'entreprise doit évoluer, vous devez passer en revue tous les filtres pour vous assurer qu'ils sont toujours appropriés. Les considérations suivantes en matière d'administration vous aident à déterminer si le filtrage de paquets est utile dans votre environnement :! Vous devez vous assurer que le filtrage est modifié en fonction de l'installation et de l'utilisation de nouvelles applications sur le réseau.! Vous devez passer en revue les types de paquets qui sont autorisés. Vous constaterez sans doute que certains paquets sont autorisés alors qu'ils ne devraient pas l'être ; vous devez donc passer régulièrement en revue les paquets que vous avez filtrés.

52 44 Module 3 : Planification du routage et de la commutation et résolution des problèmes Présentation multimédia : Filtrage par un routeur de protocoles *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement du fichier Objectif Objectifs d'apprentissage Questions clés Pour visionner l'animation Filtrage par un routeur de protocoles, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation. Cette présentation a pour objectif de montrer comment configurer un routeur afin qu'il filtre des protocoles spécifiques. Vous allez apprendre à effectuer les tâches suivantes :! utiliser le service Routage et accès distant pour ajouter un routeur à la console ;! configurer le routeur pour qu'il traite les paquets ICMP ;! utiliser la commande ping pour identifier les filtres sortants bloqués. Durant cette présentation, réfléchissez aux questions suivantes :! Pourquoi le serveur doit-il être ajouté à la console MMC (Microsoft Management Console) Routage et accès distant lors de la configuration de vos filtres à distance?! Comment les filtres sont-ils définis séparément pour le trafic d'entrée et de sortie d'une interface?! Pourquoi devez-vous définir le type et le code lorsque vous ajoutez un filtre ICMP?

53 Module 3 : Planification du routage et de la commutation et résolution des problèmes 45 Conditions d'utilisation des tunnels VPN *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Sécurité VPN Conditions d'utilisation des tunnels VPN Les connexions VPN (Virtual Private Network) permettent aux organisations de disposer de connexions routées avec des bureaux géographiquement séparés ou avec d'autres organisations sur un réseau d'interconnexion public, comme Internet, tout en préservant des communications sécurisées. Une connexion VPN routée sur Internet fonctionne de façon logique comme une liaison réseau étendu dédiée. Avec les deux types de connexions routées, les connexions VPN permettent aux organisations de remplacer les lignes commutées ou allouées longue distance avec des lignes locales chez un fournisseur de services Internet. Microsoft utilise le terme VPN pour se référer à la sécurité fournie sur une infrastructure réseau public ou non approuvé, y compris :! un accès distant sécurisé du client vers la passerelle, via des connexions Internet ou au sein de réseaux privés ou externalisés ;! des connexions passerelles à passerelles à travers Internet ou à travers des réseaux privés ou externalisés. Les tunnels VPN servent à crypter les données et à empêcher l'affichage non autorisé de données confidentielles transmises à travers des réseaux publics. Vous pouvez spécifier le niveau de cryptage en utilisant la liste des algorithmes de cryptage pris en charge par les tunnels VPN. VPN prend en charge les protocoles PPTP (Pointto-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) pour la sécurisation du trafic. Vous pouvez utiliser les tunnels VPN si :! tous les routeurs à sécuriser prennent en charge les tunnels VPN ;! l'authentification des routeurs s'effectue avec les comptes d'utilisateurs, les certificats basés sur l'ordinateur ou avec ces deux éléments.

54 46 Module 3 : Planification du routage et de la commutation et résolution des problèmes Le tableau suivant décrit à quel moment choisir chacun des protocoles de tunnels pris en charge par VPN dans votre plan. Protocole pris en charge par VPN Description Spécifiez la méthode de cryptage des données VPN si Tunnels PPTP utilisant MPPE (Microsoft Point-to- Point Encryption) Tunnels L2TP utilisant IPSec (Internet Protocol Security) pour le cryptage Les tunnels PPTP utilisent MPPE pour crypter les données. La famille de produits Windows Server 2003 prend en charge le cryptage 40, 56 ou 128 bits. Les tunnels L2TP utilisent IPSec pour crypter les données dans une connexion. IPSec utilise pour l'authentification des certificats basés sur l'ordinateur, réduisant ainsi la possibilité qu'un routeur non autorisé emprunte l'identité d'un routeur autorisé. Vous utilisez les protocoles d'authentification MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), MS-CHAP version 2 ou EAP-TLS (Extensible Authentication Protocol-Transport Level Security). L'authentification basée sur l'utilisateur est suffisante et la sécurité ajoutée par l'authentification basée sur l'ordinateur n'est pas requise. Il n'existe aucune infrastructure de certificats basée sur l'ordinateur, de type Kerberos V5 ou infrastructure des clés publiques (PKI). La sécurité supplémentaire que fournit l'authentification basée sur l'ordinateur est souhaitée et l'authentification basée sur l'utilisateur est insuffisante. Il existe une infrastructure de certificats basée sur l'ordinateur, de type Kerberos V5.

55 Module 3 : Planification du routage et de la commutation et résolution des problèmes 47 Utilisation de IPSec en mode de tunnel *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Modes IPSec Sécurité du mode de tunnel IPSec Vous pouvez empêcher l'affichage non autorisé de données confidentielles transmises à travers des réseaux publics en cryptant ces données avec des tunnels IPSec. IPSec propose plusieurs algorithmes d'authentification et de cryptage des données. La méthode choisie pour l'authentification et le cryptage des paquets varie en fonction à la fois de la confidentialité des informations et des limitations imposées par les normes gouvernementales. IPSec prend en charge le mode de tunnel et le mode de transport pour la sécurisation des données. Le mode de transport ne spécifie pas de points d'arrivée parce qu'il communique avec plusieurs ordinateurs à la fois. Le mode de tunnel spécifie les points d'arrivée du tunnel. Vous spécifiez les points d'arrivée du tunnel à l'aide des adresses IP des routeurs. IPSec en mode de tunnel est spécifié pour l'authentification et le cryptage de routeur à routeur. Lorsque vous utilisez le mode de tunnel IPSec, IPSec crypte à la fois l'en-tête et la charge utile IP, alors que le mode de transport ne crypte que la charge utile IP. Le mode de tunnel fournit la protection de tout un paquet IP en le traitant comme une charge utile AH (Authentication Header) ou ESP (Encapsulating Security Payload). Grâce au mode de tunnel, tout un paquet IP est encapsulé avec un en-tête AH ou ESP et un en-tête IP supplémentaire. Les adresses IP de l'en-tête IP externe correspondent aux points d'arrivée du tunnel et les adresses IP de l'en-tête IP encapsulé représentent les dernières adresses source et de destination.

56 48 Module 3 : Planification du routage et de la commutation et résolution des problèmes Conditions d'utilisation des tunnels IPSec Vous pouvez sélectionner IPSec en mode de tunnel si :! tous les routeurs à sécuriser prennent IPSec en charge ;! les certificats basés sur l'ordinateur effectuent l'authentification des routeurs ;! il existe un service d'annuaire Microsoft Active Directory ou une infrastructure de clés publiques qui permet d'émettre les certificats basés sur l'ordinateur ;! votre conception n'inclut que les routeurs basés sur le service Routage et accès distant ; vous pouvez dans ce cas sélectionner IPSec pour authentifier les routeurs et crypter les transmissions de données. Remarque Le mode de tunnel IPSec requiert la prise en charge du matériel. Si vous choisissez d'implémenter le mode de tunnel IPSec, vous devez vérifier auprès du fabricant que le matériel est bien pris en charge.

57 Module 3 : Planification du routage et de la commutation et résolution des problèmes 49 Instructions de planification de la connectivité du routeur *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Identifier la méthode de connexion du routeur Déterminer les options de connectivité à utiliser Déterminer le protocole de routage à utiliser Identifier les paramètres de filtrage Les instructions de planification de la connectivité routeur à routeur consistent en une liste de décisions que vous devez prendre lorsque vous planifiez la stratégie de connectivité routeur à routeur de votre entreprise. Vous devez tout d'abord déterminer si vous allez utiliser des lignes allouées, le tunneling, le routage à la demande ou une connexion sur demande. Pour prendre cette décision, vous devez tenir compte de votre configuration réseau, du matériel et de la sécurité de connexion souhaitée. Une fois que vous avez identifié la méthode de connexion que vous utiliserez, vous devez choisir une option de connexion sécurisée. Les options sécurisées sont le mode de tunnel VPN et IPSec. Les protocoles PPTP et L2TP sont plus largement pris en charge que le mode de tunnel IPSec. Par conséquent, vous devriez probablement choisir ces options si vous sélectionnez l'option de tunneling. Vous devez déterminer le protocole que les routeurs utiliseront pour transférer les paquets. Les options de base sont statique, RIP et OSPF. Vous devez vous assurer que le protocole que vous sélectionnez répond aux besoins actuels et qu'il anticipe les besoins futurs. L'une des mesures de sécurité que vous pouvez prendre consiste à identifier les paquets autorisés à traverser le routeur. Vous devez déterminer le type de paramètres de filtrage que vous utiliserez. Les choix possibles sont d'entrée, de sortie ou les deux associés. Vous devez également déterminer si les filtres autorisent ou bloquent les paquets.

58 50 Module 3 : Planification du routage et de la commutation et résolution des problèmes Application pratique : Planification du routage des communications *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Scénario Dans cette application pratique, vous allez planifier les communications du routeur en fonction du scénario fourni. Vous êtes ingénieur système à Contoso, Ltd. On vous a demandé de planifier pour une filiale un nouveau réseau comportant six stations de travail et un serveur. Le bureau se reconnectera au bureau principal de l'entreprise via un circuit commuté bidirectionnel. Les utilisateurs de la filiale utiliseront la connexion à distance pour accéder à leurs serveurs de messagerie et à un serveur de bases de données Microsoft SQL Server.

59 Module 3 : Planification du routage et de la commutation et résolution des problèmes Devez-vous créer un compte sur le serveur de la filiale? Oui. Vous devez créer un compte d'appels rentrants pour le routeur du siège de l'entreprise. 2. Devez-vous installer un protocole de routage dans la filiale? Non, le réseau de la filiale, ne comportant qu'un seul réseau, est très simple. Une entrée de passerelle par défaut pourrait, au niveau du routeur de la filiale, gérer l'ensemble du trafic destiné à l'extérieur. 3. Le volume de trafic réseau a augmenté de façon très importante et empêche les employés de faire leur travail. Après avoir contrôlé le serveur, vous constatez que cela provient du fait qu'ils surfent sur Internet. Que pouvezvous faire pour éliminer ce trafic? Configurer un filtre d'entrée sur l'interface de numérotation à la demande du port 80. Ceci empêchera l'initialisation de connexions via le trafic HTTP.

60 52 Module 3 : Planification du routage et de la commutation et résolution des problèmes Leçon : Résolution des problèmes liés au routage TCP/IP *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Objectifs de la leçon Cette leçon utilise les procédures normalisées de résolution de problèmes préalablement présentées dans ce cours, ainsi que des étapes personnalisées pour la résolution des problèmes liés au routage TCP/IP. Elle présente également les outils nécessaires pour la résolution de ce type de problèmes. À la fin de cette leçon, vous serez à même de vérifier les points suivants :! le service Routage et accès distant est en cours d'exécution ;! le routage est activé ;! le routeur reçoit des itinéraires en provenance des protocoles de routage ;! les itinéraires statiques sont correctement configurés ;! les protocoles de routage adéquats sont activés sur les interfaces appropriées ;! la configuration TCP/IP est correcte ;! la configuration d'itinéraire par défaut est appropriée pour le client.

61 Module 3 : Planification du routage et de la commutation et résolution des problèmes 53 Procédure d'isolement d'un problème de routage *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Extérieur-intérieur Les trois méthodes de base permettant d'isoler des problèmes réseau sont extérieur-intérieur, intérieur-extérieur et moitié-moitié. Elles sont toutes trois efficaces car systématiques. Suivre une procédure systématique vous permet de mieux gérer une situation donnée. L'utilisation d'une approche systématique présente un autre avantage : elle vous fournit un enregistrement de toutes vos tentatives de résolution du problème. Un dépannage effectué à partir de l'approche extérieur-intérieur commence au niveau du système distant pour revenir vers l'hôte local, un saut à la fois.