Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP Proxy classique: Les clients sont adaptés pour communiquer avec le proxy avec un protocole spécifique: SOCKS rfc928, proxy web rfc3040 - Navigateurs 2- Proxy-cache 3- caching load balancer 4- Serveurs Web Proxy transparent pas de modification des clients applicatifs le proxy intercepte les communications Quelques proxys: Squid (libre) Microsoft Proxy server Proxy implémentés dans serveurs Web (IIS, apache) Conclusion Couche réseau Filtres de paquets (routeur) Élimine des adresses indésirables Couche transport Inspection des paquets SPI (pare-feu) Identifie les connexions autorisées (sollicitées) Traduction d'adresse Le réseau interne est invisible de l'extérieur Couche application Inspection des données (pare-feu proxy) Chaque méthode seule est insuffisante => Leur combinaison offre un bon niveau de protection Plan q q q Infrastructures d entreprises q Routeurs et Firewall q Topologie et DMZ q Proxy VPN q PPTP q IPSEC q VPNSSL Du concentrateur à la commutation q Hubs et switchs q Réseaux locaux virtuels q Introduction à la Qos q uthentification niveau 2
VPN: Virtual Private Network Différents types de VPN Ex: VPN site à site VPN hôte distant à Site - VPN avec logiciel client - VPN sans logiciel client (Navigateur + SSL) Protocoles pour VPN GRE, souvent remplacé par L2TP, tous deux développés par Cisco. PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, scend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Nortel et Shiva. Il est désormais quasi-obsolète. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'ietf (RFC 393) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, issu des travaux de l'ietf, permettant de transporter des données chiffrées pour les réseaux IP. Protocoles pour VPN SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est d'utiliser un navigateur Web comme client VPN. SSH, initialement connu comme remplacement sécurisé de telnet, Permet de créer des tunnels pour faire passer des connexions de type TCP, permettant d'accéder ainsi de façon sûre à des services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein. Serveur RDP Connexion sur 27.0.0.:0000 Redirection vers le port 3389 du serveur RDP Tunnel ssh/ssl 2
VPN SSL: exemple de portail VPN Professionnels: MPLS En vert: liens et backbone MPLS En rouge: VPN En marron: VPN2 Plusieurs VPN possibles: VPN entre siège et sites VPN2 entre siège et autres sites Trois protocoles Négociation de paramètres: IPSEC Ø IKE (Internet Key exchange) : port 500 Ø Connexion sécurisée en mode transport : port 50 Ø Connexion sécurisée en mode tunnel : port 5 PHSE : Négociation des clés pour la création d un tunnel sécurisé l intérieur du premier tunnel, PHSE 2 : Négociation des paramètres des tunnels utilisés pour le transport effectif des données 3
Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels: VLN Introduction à la Qos uthentification niveau 2 rchitecture traditionnelle Hubs, switchs, Routeurs Réseau 3 Routeur Réseau 2 Réseau Contraintes Les sous-réseaux sont liés aux switchs (ou hubs) Les utilisateurs sont groupés géographiquement Peu de sécurité sur un segment Plan d'adressage peut être difficile La mobilité entraîne obligatoirement un changement d'adresse HUB (répéteur multiport) Mode de fonctionnement Reçoit une trame sur un port Retransmet la trame sur tous les ports restants simule la diffusion sur un segment de câble. Caractéristiques Ne permet qu une transmission à la fois collision si deux machines émettent en même temps Tous les ports fonctionnent à la même vitesse Délai de l ordre de la µs. 4
Switch Mode de fonctionnement Fonctionne sur la couche 2 Peut recevoir et transmettre plusieurs trames simultanément Procède à l apprentissage et au filtrage des trames sur la base des adresses MC sérialise les trames à destination d un même port Si une destination ne peut être localisée, la trame est retransmise sur tous les ports. Caractéristiques des buffers sur tous les ports en entrée et en sortie Supporte le full-duplex avec contrôle de flux Supporte des ports à différents débits simultanément Implémente ou pas le Spanning-tree (voir plus loin) fonctionnement cut-through, store and forward bloquant ou non-bloquant (bus interne) propage les broadcasts sur tous les ports restants uto-negociation (FastEthernet) Basée sur des impulsions Exemple ci-contre: 0 ou 00M Choix débit Choix Half-duplex/full-duplex Impulsions de test d intégrité sur lien 0 base T 6 ms Câbles UTP cat.5, cat.6 Ordre de négociation 000BSE-T full duplex 000BSE-T half duplex 00BSE-T2 full duplex 00BSE-TX full duplex 00BSE-T2 half duplex 00BSE-T4 00BSE-TX half duplex 0BSE-T full duplex 0BSE-T half duplex FLP=Fast Link Pulse sur lien Fast Ethernet 6 ms Le réseau local commuté Utilisation de commutateurs: switchs Domaines de collisions réduits Débit dédié et non plus partagé Intelligence dans le port du commutateur Débit de 00M Par connexion Utilisation de ces propriétés pour : Créer des regroupements logiques des utilisateurs Centraliser l'administration Nécessité d un routeur pour la communication inter-réseau 5
Qu est ce qu un réseau virtuel: VLN Trois nécessités pour introduire le concept des VLNs Limiter les domaines de broadcast Garantir la sécurité Permettre la mobilité des utilisateurs Les réseaux virtuels s appuient sur la commutation pour donner de la flexibilité aux réseaux locaux Le VLN est un réseau LOGIQUE Plusieurs types de VLN VLN ière GENERTION Groupe d adresses MC VLN niveau Groupe de ports VLN niveau 2 Groupe d adresses MC VLN 2 ièmee GENERTION Groupe d adresses MC VLN niveau 3 Sous-réseaux protocolaire(ip) VLN VLN 2 VLN VLN 2 VLN 2 3 Ports 4 5 6 7 8 0000 BBB 000 FCCCFC 00FB68 EFCC 00000C DDF 00D 0FFFB 00000 DCFB Chaque adresse Mac appartient à un seul VLN, Plusieurs VLN par port autorisé Sous-réseau IP 93.54.57.4 VLN 2 Sous-réseau IP 93.54.57.8 Ex : Différence entre niveaux et 2 la table de commutation du switch associe à chaque port une ou plusieurs adresses MC qui sont les adresses de la ou des machines connectées sur ce port. VLN VLN 2 M7 M8 VLN niveau (par port) VLN = M, M2, M3, M4, M5, M6 et M7 VLN 2 = M7, M8, M9, M0, M, M2 et M8 M M2 M3 0 2 3 4 5 6 7 M0 M M2 VLN niveau 2 (par @MC) VLN = M, M2, M3, M4 et M7 VLN 2 = M7, M8, M9, M0, M, M2 et M8 + M5 et M6 M4 M5 M6 M7 M8 M9 6
Extension des VLNS Interconnexion des commutateurs ère solution Il faut un port dédié pour chaque VLN sur chaque commutateur Solution coûteuse Manque de souplesse 0 2 3 4 5 6 7 VLN VLN 2 0 2 3 4 5 6 7 Interconnexion des VLNS (2) 2ème solution On peut sur certains commutateurs définir des ports multi-vlns Lien «trunk» chez Cisco Propagation de plusieurs VLN sur un même lien physique Exe: activation sur switch cisco: conf t interface f0/0 switchport mode trunk switchport trunk allowed vlan -2 end 0 VLN & VLN2 0 2 3 4 5 6 7 2 3 4 5 6 7 Le rôle des routeurs dans les VLNS Un commutateur ne peut pas router un paquet entre deux réseaux et, par conséquent, entre deux VLNS. Un routeur est nécessaire. La diffusion (broadcast) est limitée au VLN. 7
rchitecture classique Un switch central collecte les trames en provenance des switchs utilisateurs SWITCH Un routeur est chargé de la ROUTEUR communication entre les VLNS SWITCH 2 Définition de sous-interfaces Si le routeur le permet : définition de sous-interfaces chacune appartenant à un VLN différent. Ex: Cisco (config)#int fast 0/0. (config-subif)#encapsulation dotq vlan (config-subif)#ip address 92.5.5.254 255.255.255.0 (config-subif)#no shut FastEthernet 0/0 Encapsulation 802.q VLN 2 VLN 3 PORT 2 à 8 PORT 9 à 2 (config)#int fast 0/0.2 Port trunk (config-subif)#encapsulation dotq vlan 2 (config-subif)#ip address 207.5.5.254 255.255.255.0 (config-subif)#no shut PC IP = 92.5.5. /24 PC B IP = 207.5.5.3/24 PREM. dministration des VLNS Marquage des trames sur les liens TRUNK Norme 802.Q (encapsulation dotq sur Cisco) Protocoles propriétaires (ISL de cisco de moins en moins utilisé) Exemple de la norme 802.Q sur Ethernet. Couche 2 802.Q SFD D S VLN TG 4 Bytes Type /Len DT FCS Tag Protocol ID 0x800 PRI CFI bit VLN ID 2 bits 3 Bits utilisés pour le CoS (802.P User Priority) 8
Cas classique, switch Cisco SW Trame non taguée SW#vlan database SW(vlan)#vlan 2 name vlan_pc exit SW(config)#int fastethernet 0/0 SW(config-if)# switchport mode access SW(config-if)# switchport access vlan 2 Trame sortante du port (egress): Non taguée Trame entrante (ingress): - Si tag Vlan 2:? - Sans tag: tag avec Vlan 2 - Si tag autre Vlan: ignorée TTENTION: Vlan : vlan par défaut sur cisco!!! Cas de la VoIp, switch Cisco IP Phone Trame taguée VLN 6 Trame non taguée SW SW(config-if)# switchport trunk encapsulation dotq switch port mode trunk switch trunk native vlan 2 switch trunk allowed vlan 6 Trame sortante du port (egress): - Si Tag 6: reste avec tag 6 - Si Tag 2: part sans Tag Trame entrante (ingress): - Si Tag avec Vlan 6: on garde le tag 6 - Si non tagguée: tagguée avec Vlan 2 - Si autre valeur de Tag: ignorée Cas des Vlans dynamiques Exemple avec VTP (Vlan trunk Protocol) Démonstration Protection par mot de passe possible Exemples de commandes: SW(config)#vtp? domain Set the name of the VTP administrative domain file Configure IFS filesystem file where VTP configuration is stored interface Configure interface as the preferred source for the VTP IP updater address. mode Configure VTP device mode password Set the password for the VTP administrative domain pruning Set the administrative domain to permit pruning version Set the administrative domain to VTP version 9
Pb de la redondance des liens Chemins redondants et absence de Spanning Tree: Quel est donc le problème? sw pc pc envoie une trame Ethernet à. Les commutateurs sw et voient tous deux la trame et enregistrent l'adresse MC de pc dans leurs tables de commutation. Port : sw pc Larry Port : ucun des deux commutateurs ne possède l'adresse MC de destination dans sa table. à Ils diffusent donc la trame vers tous les ports. Port : sw pc 2 Port : 0
Le commutateur sw apprend, à tort, que l'adresse d'origine se situe sur le port. Port : Port : sw pc 2 Port : Le commutateur apprend lui aussi, à tort, que l'adresse origine se situe sur le port. sw pc 2 Port : Port : Port : Port : Dorénavant, lorsque envoie une trame à pc, celle-ci est reçue par sw qui ignore celle-ci. Port : sw pc 2 Port :
Cas des trames de diffusion pc envoie une trame de broadcast de couche 2, comparable à une requête RP. sw pc 2 La trame de broadcast étant de couche 2, les deux commutateurs, sw et la diffusent vers tous les ports, y compris leur port. sw pc 2 Les deux commutateurs reçoivent le même broadcast, mais sur un port différent. Ils diffusent tous deux la trame de broadcast en double vers leurs autres ports. Les commutateurs diffusent à nouveau le même broadcast vers leurs autres ports, ce qui a pour effet de générer des trames en double; c'est ce que l'on appelle une tempête de broadcast! Pour rappel, les broadcasts de couche 2 ne sont pas seulement des grands consommateurs de bande passante du réseau. Ils doivent en outre être traités par chaque hôte. Cela peut avoir une incidence négative sur le réseau, au point de le rendre totalement inutilisable. 2