Services d infrastructure réseaux

Transcription

1 Services d infrastructure réseaux Cours de Réseaux Tuyêt Trâm DANG NGOC <dntt@u-cergy.fr> Université de Cergy-Pontoise Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 1 / 30

2 Plan 1 Adressage dynamique BOOTP DHCP 2 Réseaux privés et interconnexion Translation d adresses Encapsulation IP dans IP VLAN 3 Crédits Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 2 / 30

3 Panneau de brassage Les panneaux de brassages : à l arrière : les câbles qui viennent des salles à l avant : des bretelles (ou jarretières) qui relient ces câbles à un équipement actif (souvent un switch). prise-murale panneau-brassage Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 3 / 30

4 Cablage de batiment Exemple : 1 local technique comportant la baie de brassage et 4 salles avec prises murales Salle Salle 3 5 Salle 2 3 Salle 4 panneau de brassage 6 equipements actifs (concentrateur, commutateurs routeurs) Local technique Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 4 / 30

5 Cablage de batiment Exemple : 1 local technique comportant la baie de brassage et 4 salles avec prises murales portable 1 Salle imprimante Poste1 2 Salle 3 Serveur 1 5 Salle 2 3 panneau de brassage Salle Local technique switch 6 Portable 2 routeur Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 4 / 30

6 Cablage de batiment Exemple : 1 local technique comportant la baie de brassage et 4 salles avec prises murales portable 1 Salle imprimante Poste1 2 Salle 3 Serveur 1 5 Salle 2 3 panneau de brassage Salle Portable 2 S1 Local technique switch S2 routeur R1 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 4 / 30

7 Cablage de batiment Représentation matérielle (équipements actifs seulement) R1 S1 S2 portable 1 serveur 1 portable 2 imprimante 1 poste 1 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 4 / 30

8 Cablage de batiment Représentation logique R1 portable 1 serveur 1 portable 2 imprimante 1 poste 1 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 4 / 30

9 Adressage dynamique 1 Adressage dynamique BOOTP DHCP 2 Réseaux privés et interconnexion 3 Crédits Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 5 / 30

10 Adressage dynamique BOOTP (Bootstrap Protocol) BOOTP Certaines machines démarrent (boot) sur le réseau : terminal X une station sans disque PC configuré pour démarrer sur le réseau (PXE) Ils ont besoin : de sa configuration réseau : son adresse IP le masque réseau adresse du routeur par défaut adresse des serveurs DNS de la localisation du fichier contenant son système d exploitation d autres informations : serveurs de temps, serveurs de swap, serveur de disques NFS, etc. Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 6 / 30

11 Primergy BOOTP Adressage dynamique BOOTP Configuration automatique (lors du démarrage de la machine) des paramètres réseaux Terminaux X Je suis 00:00:a7:01:e0:76, quelle est ma configuration? Le protocole BOOTP est basé sur UDP (67) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 7 / 30

12 Primergy BOOTP Adressage dynamique BOOTP Configuration automatique (lors du démarrage de la machine) des paramètres réseaux Terminaux X Voilà ta configuration : Ton adresse IP : Le routeur par défaut : Ton nom : paquerette Le serveur DNS : Le serveur DNS secondaire : Ton fichier de boot : /boot/tx Le protocole BOOTP est basé sur UDP (67) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 7 / 30

13 BOOTP Adressage dynamique BOOTP OP HTYPE HLEN HOPS TRANSACTION ID SECONDS UNUSED CLIENT IP ADDRESS YOUR IP ADDRESS SERVER IP ADDRESS ROUTER IP ADDRESS CLIENT HARDWARE ADDRESS (16 OCTETS) SERVER HOST NAME (64 OCTETS) BOOT FILE NAME (128 OCTETS) VENDOR SPECIFIC AREA (64 OCTETS) op : vaut 1 pour BOOTREQUEST (requête client), 2 pour BOOTREPLY (réponse serveur) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 8 / 30

14 BOOTP Adressage dynamique BOOTP 0 OP type de l adresse longueur de physique l adresse physiquenombre de sauts numéro de transaction secondes inutilisé Adresse IP du client (s il en a déjà une) L adresse IP qui sera attribuée Adresse IP du serveur Adresse IP du routeur Adresse physique du client nom du serveur nom du fichier de boot champs réservé pour des options op : vaut 1 pour BOOTREQUEST (requête client), 2 pour BOOTREPLY (réponse serveur) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 8 / 30

15 Primergy Primergy Adressage dynamique BOOTP Mécanisme de relais de BOOTP Serveur maitre Serveur esclave Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 9 / 30

16 De BOOTP à DHCP Adressage dynamique BOOTP Problèmes de BOOTP le serveur BOOTP doit connaître l adresse éthernet de chaque machine susceptible de se connecter au réseau. l adresse IP est fournie définitivement. Nouveaux besoins : ordinateurs portables (et donc mobiles) raréfaction des adresses IP Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 10 / 30

17 Adressage dynamique DHCP DHCP (Dynamic Host Configuration Protocol) Configuration automatique (lors du démarrage de la machine) des paramètres réseaux Portable Utilisation d une plage d adresse IP pour un nombre de machine supérieur au nombre d adresse disponibles, mais non connectées simultanément Compatibilité avec BOOTP Pas d enregistrement des adresses éthernet obligatoire Prêt d une adresse IP pour un certain bail (lease) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 11 / 30

18 DHCP Adressage dynamique DHCP 0 OP type de l adresse longueur de physique l adresse physiquenombre de sauts numéro de transaction secondes inutilisé Adresse IP du client (s il en a déjà une) L adresse IP qui sera attribuée Adresse IP du serveur Adresse IP du routeur Adresse physique du client nom du serveur nom du fichier de boot champs réservé pour des options Tout comme BOOTP, le protocole DHCP est basé sur UDP (67) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 12 / 30

19 DHCP Adressage dynamique DHCP OP HTYPE HLEN HOPS TRANSACTION ID SECONDS FLAGS CLIENT IP ADDRESS YOUR IP ADDRESS SERVER IP ADDRESS ROUTER IP ADDRESS CLIENT HARDWARE ADDRESS (16 OCTETS) SERVER HOST NAME (64 OCTETS) BOOT FILE NAME (128 OCTETS) OPTIONS (VARIABLE) Tout comme BOOTP, le protocole DHCP est basé sur UDP (67) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 12 / 30

20 DHCP Adressage dynamique DHCP OP HTYPE HLEN HOPS TRANSACTION ID SECONDS FLAGS CLIENT IP ADDRESS YOUR IP ADDRESS SERVER IP ADDRESS ROUTER IP ADDRESS CLIENT HARDWARE ADDRESS (16 OCTETS) SERVER HOST NAME (64 OCTETS) code de l option longueur des données données BOOT FILE NAME (128 OCTETS) longueur des données code de l option données données longueur des données code de l option données Tout comme BOOTP, le protocole DHCP est basé sur UDP (67) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 12 / 30

21 Réseaux privés et interconnexion 1 Adressage dynamique 2 Réseaux privés et interconnexion Translation d adresses Encapsulation IP dans IP VLAN 3 Crédits Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 13 / 30

22 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Internet Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

23 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Internet Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

24 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Internet Réseau privé / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

25 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Je dois répondre à Internet Réseau privé Mon routeur par défaut est > / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

26 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Je dois répondre à > Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

27 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? C est moi, l officiel Je dois répondre à > Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

28 Réseaux privés et interconnexion Translation d adresses Connexion d un réseau privé avec une adresse publique Comment avec une seule adresse IP publique connecter plusieurs machines vers l Internet? Je dois répondre à > Mais, je t ai rien demandé, moi! Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 14 / 30

29 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Internet Réseau privé Mon routeur par défaut est > / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

30 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Internet > Réseau privé Mon routeur par défaut est Je modifie l adresse source, je mets la mienne à la place / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

31 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination > Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

32 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Je dois répondre à > Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

33 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Je dois répondre à > Internet Réseau privé Mon routeur par défaut est / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

34 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Je dois répondre à Internet Réseau privé Mon routeur par défaut est J ai noté quelque part que ce n est pas pour moi, je reconvertis l adresse destination > / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

35 Réseaux privés et interconnexion Translation d adresses NAT (Network Address Translation) NAT permet de modifier les adresses IP des datagrammes arrivant sur une interface avant de les envoyer par une autre interface. Table de correspondance Transparent pour les machines source et destination Je dois répondre à Internet Réseau privé Mon routeur par défaut est > / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 15 / 30

36 Adresses privées Réseaux privés et interconnexion Translation d adresses Loi de Murphy : s il existe le moindre risque que la pire chose se produise, alors elle se produira inévitablement :-) Que se passera-t-il, si un jour, un client voudra accéder à une machine du réseau officiel dont son réseau a pris arbitrairement l adresse. Je dois répondre à Internet Réseau privé / Je cherche à accéder à Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 16 / 30

37 Adresses privées Réseaux privés et interconnexion Translation d adresses Loi de Murphy : s il existe le moindre risque que la pire chose se produise, alors elle se produira inévitablement :-) Que se passera-t-il, si un jour, un client voudra accéder à une machine du réseau officiel dont son réseau a pris arbitrairement l adresse. Je dois répondre à Internet Réseau privé > / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 16 / 30

38 Adresses privées Réseaux privés et interconnexion Translation d adresses Il existe des plages d adresses IP (RFC 1918) qui ne seront jamais attribuée officiellement sur l Internet. Classe A : [ ] Classe B : [ ] Classe C : [ ] En utilisant ces adresses pour son réseau privé, on est sûr qu aucune machine accessible de l Internet n aura cette adresse. Je dois répondre à Internet Réseau privé / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 17 / 30

39 Réseaux privés et interconnexion Problèmes du réseau privé Translation d adresses Une machine du réseau privé peut adresser des machines du réseau public ou du même réseau privé. Une machine du réseau public peut adresser ne peut adresser une machine du réseau privé Inconvénient : de l extérieur on peut pas se connecter directement vers une de ses machines en interne (astuce limitée : translation par port). Avantage : le réseau privé est plus sécurisé. Je dois répondre à Internet Réseau privé / Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 18 / 30

40 Réseaux privés et interconnexion Redirection en fonction du port Nat statique PAT (Port Address Translation) Translation d adresses Internet TCP/80 > :80 TCP/22 > :22 TCP/2000 > :22 UDP/53 > : /8 TCP/80 TCP/22 TCP/ UDP/53 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 19 / 30

41 Réseaux privés et interconnexion Redirection en fonction du port Nat statique PAT (Port Address Translation) Translation d adresses Initiation d une connexion vers TCP/2000 Internet TCP/80 > :80 TCP/22 > :22 TCP/2000 > :22 UDP/53 > : /8 TCP/80 TCP/22 TCP/ UDP/53 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 19 / 30

42 NAT statique : table 1-pour-1 de correspondance entre un ensemble d adresses internes (certaines machines bien identifiée) et un ensemble d adresses externes. NAT statique unidirectionnelle : seulement les connexions de l extérieurs vers l intérieur. NAT statique bidirectionnelle : connexions dans les deux sens. NAT statique PAT : traduction du port serveur NAT dynamique : ensemble d adresses internes traduit dans un plus petit ensemble d adresses externes. NAT dynamique PAT : Ce sont les numéros de ports qui vont permettre d identifier la traduction en place : le numéro du port source (celui de la machine interne) va être modifié par le routeur. Il va servir pour identifier la machine interne. Dans le cas particulier du Masquerading, c est l adresse IP du routeur qui est seule utilisée comme adresse externe. NAT pool de source (obsolète) La première connexion venant de l intérieur prend la première adresse externe, la suivante la seconde, jusqu à ce qu il n y ait plus d adresse externe. NAT pool de destination : permet de faire de la répartition de charge Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 20 / 30 Types de NAT Réseaux privés et interconnexion Translation d adresses

43 Réseaux privés et interconnexion VPN (Virtual Private Network) Encapsulation IP dans IP PPTP (Point-to-Point Tunneling Protocol) : PPP encapsulé dans IP L2F (Layer Two Forwarding) : PPP encapsulé dans IP L2TP (Layer Two Tunneling Protocol) : PPP encapsulé dans IP IPSec : 3 modules : IP Authentification Header (AH) : intégrité et authentification. Encapsulating Security Payload (ESP) : chiffrement de paquets. Security Assocation (SA) : échange des clés et paramètres de sécurité. Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 21 / 30

44 Réseaux privés et interconnexion VLAN VLAN (Virtual Local Area Network) Réseau local regroupant un ensemble de machines de façon logique et non physique. s affranchir des limitations de l architecture physique (contraintes géographiques, contraintes d adressage,...) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 22 / 30

45 Type de VLAN Réseaux privés et interconnexion VLAN Un VLAN de niveau 1 (VLAN par port Port-Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur ; Un VLAN de niveau 2 (VLAN MAC MAC Address-Based VLAN) définit un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station ; Un VLAN de niveau 3 : plusieurs types : VLAN par sous-réseau (Network Address-Based VLAN) associe des sous-réseaux selon l adresse IP source des datagrammes. VLAN par protocole (Protocol-Based VLAN) un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d un même réseau. Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 23 / 30

46 Réseaux privés et interconnexion VLAN Virtual Local Area Network (VLAN) Internet Routeur Interface 2 Interface 1/ Interface 1/ Switch 2 Internet Schéma logique Site 2 M F N G S6 O / /24 Switch 1 A B C D E F G H I J K L M N O H Site 1 A I B S5 J K L C D S3 E Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 24 / 30

47 Réseaux privés et interconnexion VLAN Virtual Local Area Network (VLAN) VLAN 1 VLAN 2 TRUNK Routeur Interface 2 Internet Interface Interface Internet Schéma logique Switch 2 Site 2 M F N G S6 O / /24 Switch 1 A B C D E F G H I J K L M N O H Site 1 A I B S5 J K L C D S3 E Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 24 / 30

48 Réseaux privés et interconnexion VLAN Virtual Local Area Network (VLAN) VLAN 1 VLAN 2 TRUNK Routeur Internet Interface 2 Interface 1/ Interface 1/ Switch 2 Internet Schéma logique Site 2 M F N G S6 O / /24 Switch 1 A B C D E F G H I J K L M N O sire 1 H A I B S5 J K L C D S3 E Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 24 / 30

49 Réseaux privés et interconnexion VLAN Virtual Local Area Network (VLAN) Niveau 2 (Ethernet) Numéro de VLAN dans l en-tête ethernet (extension) Switch : configuration par ports : Port avec numéro de VLAN ou Port en mode Trunk (tous les VLAN) Routeur peut (éventuellement) avoir des sous-interfaces sur un même port. Chacune correspondant à une adresse sur un VLAN Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 25 / 30

50 Réseaux privés et interconnexion VLAN Virtual Local Area Network (VLAN) Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique. Il offre les avantages suivants Plus de souplesse pour l administration et les modifications du réseau car toute l architecture peut être modifiée par simple paramètrage des commutateurs Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées Réduction de la diffusion du traffic sur le réseau Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 26 / 30

51 Lien Trunk Réseaux privés et interconnexion VLAN Le lien trunk indique un lien de réseau supportant des VLAN multiples entre 2 commutateurs ou entre un commutateur et un routeur. Deux protocoles : Inter Switch Link (ISL) propriétaire CISCO : encapsule la trame éthernet avec sa propre encapsulation, et marque la trame comme appartenant à un VLAN spécifique Norme 802.1Q (la plus utilisée, non propriétaire) ajoute une étiquette à l en-tête du paquet Ethernet pour marquer la trame comme appartenant à un VLAN spécifique Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 27 / 30

52 Norme 802.1Q Réseaux privés et interconnexion VLAN ADRESSE ETHERNET DESTINATION TYPE ADRESSE ETHERNET SOURCE DATA ( bytes)... FCS/CRC Checksum TPID : identifier le protocole de la balise insérée. Dans le cas de la balise 802.1Q la valeur de ce champ est fixée à 0x8100. TCI Priorité (IEEE 802.1p) de 0 à 7 de VLAN par rapport aux autres VLAN Canonical Format Identifier (CFI) sur un scitch ethernet, toujours à 0. VLAN ID : sert à identifier le VLAN auquel appartient la trame (4096 VLANs possibles) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 28 / 30

53 Norme 802.1Q Réseaux privés et interconnexion VLAN Priorité (3 bits) ADRESSE ETHERNET DESTINATION CFI (1 bit) TPID TYPE ADRESSE ETHERNET SOURCE ( bytes)... TCI DATA FCS/CRC Checksum VLAN ID (12 bits) TPID : identifier le protocole de la balise insérée. Dans le cas de la balise 802.1Q la valeur de ce champ est fixée à 0x8100. TCI Priorité (IEEE 802.1p) de 0 à 7 de VLAN par rapport aux autres VLAN Canonical Format Identifier (CFI) sur un scitch ethernet, toujours à 0. VLAN ID : sert à identifier le VLAN auquel appartient la trame (4096 VLANs possibles) Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 28 / 30

54 Crédits 1 Adressage dynamique 2 Réseaux privés et interconnexion 3 Crédits Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 29 / 30

55 Crédits I Crédits Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 30 / 30