Master 1ère année. Infrastructure Réseau. TD n 2

Documents pareils
7.3 : Ce qu IPv6 peut faire pour moi

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

ALOHA LOAD BALANCER BONDING ACTIF-PASSIF

Réalisation d un portail captif d accès authentifié à Internet

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Configuration réseau Basique

I. Adresse IP et nom DNS

Internet Protocol. «La couche IP du réseau Internet»

TP SECU NAT ARS IRT ( CORRECTION )

MEMO-LINUX.COM BLOG SUR GNU/LINUX, LE LIBRE ET L'OPEN-SOURCE.

SECURIDAY 2012 Pro Edition

FILTRAGE de PAQUETS NetFilter

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Réseau - VirtualBox. Sommaire

Iptables. Table of Contents

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Connexion à un réseau local: Configuration et dépannage

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

1. Warm up Activity: Single Node

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

Développement de services de monitoring et de haute disponibilité pour le système de contrôle de l expérience LHCb

Mise en place d'un Réseau Privé Virtuel

UE Réseaux Avancés I P-F. Bonnefoi. Plan de la partie Fondamentaux

Formation Iptables : Correction TP

TCP/IP, NAT/PAT et Firewall

Table des matières GNU/Linux Services Serveurs Éléments de cours sur TCP/IP Fichiers de configuration et commandes de base ...

Sécurité des réseaux Firewalls

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

1 PfSense 1. Qu est-ce que c est

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Les firewalls libres : netfilter, IP Filter et Packet Filter

Présentation de netkit

Keepalived : haute disponibilité et répartition de charge enfin libérées!

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

DIFF AVANCÉE. Samy.

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Cisco CCVP. Configuration de CUCM

Année Universitaire ère année de Master Droit Mention Droit Privé 1 er semestre. 1 er SEMESTRE 8 matières CM TD COEFF ECTS.

Serveur de messagerie sous Debian 5.0

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Cisco Certified Network Associate

1. Fonctionnement de l Internet 2. Protocoles applicatifs 3. Programmation réseau

Figure 1a. Réseau intranet avec pare feu et NAT.

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Note d Application. Bascule d ALOHA via injection de route en BGP

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Architectures sécurisées

Cisco Certified Network Associate Version 4

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Configuration du serveur ESX

Firewall ou Routeur avec IP statique

Master of Science HES-SO in Engineering. OpenStack et haute disponibilité. Benoît Chalut

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

TP : Introduction à la qualité de service liée à la Toip 1

FORMATION CN01a CITRIX NETSCALER

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Analyse du réseau local

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

CASE-LINUX CRÉATION DMZ

CONFIGURATION FIREWALL

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Environnements informatiques

1/ Introduction. 2/ Schéma du réseau

Année Universitaire session 1 d automne Parcours : CSB5 Licence 3 STS Informatique

Plan. Programmation Internet Cours 3. Organismes de standardisation

Mise en place d un cluster NLB (v1.12)

Administration Système

Architecture réseau et filtrage des flux

COMMANDES RÉSEAUX TCP/IP WINDOWS.

04002-LOR 2004 Mars 2004

TP réseaux Translation d adresse, firewalls, zonage

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Les clés d un réseau privé virtuel (VPN) fonctionnel

Administration réseau Firewall

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

Guide sommaire d installation matérielle Avaya IG550 Integrated Gateway

Les systèmes pare-feu (firewall)

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Administration de Citrix NetScaler 10.5 CNS-205-1I

Microsoft web framework

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Programme formation pfsense Mars 2011 Cript Bretagne

OpenBSD Spamd. Nicolas Greneche. Mathrice Rouen MAPMO Projet SDS

Agrégation de liens Ethernet

F5 : SECURITE ET NOUVEAUX USAGES

Transcription:

Master 1ère année Infrastructure Réseau TD n 2 Routage et «Routing Policy» La notion d adresse 1 Soient les informations de configuration suivantes : Machine A - eth0: MAC Address - 00:11:22:33::AA IP Address - 192.168.1.1/2 Machine B - eth0: MAC Address - 00:11:22:33::BB IP Address - 10.1.1.1/8 Machine C - eth0: MAC Address - 00:11:22:33::CC IP address - 192.168.1.25/2 10.25.25.25/8 a. À quoi correspond la machine C? b. Quelles informations seront présentes dans les tables ARP de la machine A et de la machine B? c. Parmi les techniques suivantes lesquelles peuvent expliquer cette configuration? «Spoofing» ; «Proxy ARP» ; «load balancing» ; «NAT» d. Est-ce que chacune de ces adresses IP est attachée à un matériel spécifique et une seule interface réseau? 2 a. Soient les commandes suivantes : pef@cerberus:~$ sudo ip addr add 10.1.1.8/8 dev eth0 brd + pef@cerberus:~$ sudo ip addr add 172.16.1.1/16 dev eth0 brd + et la commande suivante : pef@cerberus:~$ ip addr show dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:a7:08:97 brd ff:ff:ff:ff:ff:ff inet 192.168.127.131/2 brd 192.168.127.255 scope global eth0 inet 10.1.1.8/8 brd 10.255.255.255 scope global eth0 inet 172.16.1.1/16 brd 172.16.255.255 scope global eth0 inet6 fe80::20c:29ff:fea7:897/6 scope link valid_lft forever preferred_lft forever À quoi correspond l option «brd +» et la notion de «scope»? b. Soient les 3 «scopes» suivants : À quel scope appartiennent les adresses suivantes : Adresse Scope Adresse Scope 10.1.1.1/8 Scope 1 10.1.1.2/16? 172.16.1.1/16 Scope 2 172.16.1.2/2? 192.168.1.1/2 Scope 3 192.168.1.2/2? c. Chaque adresse appartenant à un scope différent est considérée comme «primary» et une nouvelle adresse appartenant à un scope déjà existant est considérée comme «secondary». Donnez les adresses considérées comme «secondary». d. Soient la configuration suivante : pef@cerberus:~$ ip addr show dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:a7:08:97 brd ff:ff:ff:ff:ff:ff inet 192.168.127.131/2 brd 192.168.127.255 scope global eth0 inet 10.1.1.8/8 brd 10.255.255.255 scope global eth0 inet 172.16.1.1/16 brd 172.16.255.255 scope global eth0 inet 192.168.127.201/2 brd 192.168.127.255 scope global secondary eth0 inet6 fe80::20c:29ff:fea7:897/6 scope link valid_lft forever preferred_lft forever Quelle commande a défini l adresse considérée comme «secondary»? Si l adresse «primary» est supprimée avec la commande «ip addr del xxxxx/yy dev ethx» alors les adresses de même scope sont également supprimées. Resp. UE : P-F. Bonnefoi, http://p-fb.net/, «Infrastructure Réseau TD n 2» version du 9 mars 2016, rédigé avec ConTEXt Don t Panic! 1/5

La notion de route 3 Soit un réseau défini comme suit : la société utilise un réseau défini par un scope 10.0.0.0/8 ; l Administration utilise le scope 172.16.0.0/16 ; l Ingénierie utilise le scope 192.168.2.0/2. la Comptabilité utilise le scope 172.17.0.0/16 ; le Testing Lab utilise le scope 192.168.1.0/2. Le «core router» de la société est connecté : à Internet sur 10.25.25.25 (défini comme routeur «par défaut» pour l accès à Internet) ; à la partie administration en 172.16.25.25 (cette interface permet sa configuration) ; Un second routeur est connecté en 192.168.1.25 à la partie Ingénierie. Core Router Internet 172.16.25.25 172.16.0.0/16 Administration 10.25.25.25 10.0.0.0/8 Réseau Core 192.168.1.0/2 Test eth1 172.17.25.25 Routeur Comptabilité eth0 10.25.25.252 eth0 10.25.25.253 Routeur Ingénierie eth1 192.168.2.25 192.168.1.25 172.17.0.0/16 Comptabilité 192.168.2.0/2 Ingénierie Un hôte possède sur son unique interface eth0, les adresses suivantes : 10.1.1.1/8 ; 172.16.1.1/16 ; 192.168.1.1/2. a. Comment évolue le synoptique réseau? b. Soit la trace suivante, obtenue avec «ip route list» : 10.0.0.0/8 dev eth0 proto kernel scope link src 10.1.1.1 172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.1.1 192.168.1.0/2 dev eth0 proto kernel scope link src 192.168.1.1 127.0.0.0/8 dev lo scope link Depuis l hôte il est possible de «pinger» l adresse 172.16.25.25 et d avoir une réponse. Pourquoi? c. L administrateur de l hôte réalise le travail suivant : 1 # ip addr flush dev eth0 2 # ip addr add 10.1.1.1/32 dev eth0 brd 10.255.255.255 3 # ip addr add 172.16.1.1/32 dev eth0 brd 172.16.255.255 # ip addr add 192.168.1.1/32 dev eth0 brd 192.168.1.255 5 # ip route list 6 127.0.0.0/8 dev lo scope link Expliquez le rôle de chaque ligne et le résultat obtenu? Quel lien existe entre «scope» et «route»? d. Soit la commande suivante, entrée après les commandes de la question c) : # ip route add 10.0.0.0/8 proto kernel scope link dev eth0 src 10.1.1.1 Quelles autres commandes doivent être entrées pour obtenir le résultat observé en b)? Resp. UE : P-F. Bonnefoi, http://p-fb.net/, «Infrastructure Réseau TD n 2» version du 9 mars 2016, rédigé avec ConTEXt Don t Panic! 2/5

e. L administrateur rentre maintenant les commandes suivantes : # ip route del 172.16.0.0/16 proto kernel scope link dev eth0 src 172.16.1.1 # ip route add 172.16.0.0/16 proto kernel scope link dev eth0 src 192.168.1.1 Quel est le résultat de ces commandes? Maintenant, le «core router» dispose d une connexion au réseau Ingénierie de scope 192.168.2.0/2 et dispose d une route vers 192.168.1.0/2 par le routeur de l Ingénierie. Que se passe-t-il si on fait un ping vers 172.16.25.25? Décrivez le chemin emprunté par les paquets. Soient : les réseaux suivants : Comptabilité : 172.17.0.0/16 ; Core/backbone : 10.0.0.0/8 ; Ingénierie : 192.168.2.0/2 ; la «Security Policy» suivante : la majorité du trafic en provenance du 10.0.0.0/8 est interdit dans les réseaux «Comptabilité» et «Ingénierie», avec les exceptions suivantes : «Comptabilité» est accessible depuis : 10.2.3.32/27 ; 10.3.2.0/27 ; tout autre réseau doit être bloqué administrativement. «Ingénierie» est accessible depuis : 10.10.0.0/1 ; les autres réseaux ne doivent pas connaître son existence. Soit la «Policy Routing» concernant les messages à faire retour à la machine d origine : Depuis «Comptabilité» 172.17.0.0/16 : Depuis «Ingénierie» 192.168.2.0/2 : Vers réseau Réponse 10.2.3.32/27 full route 10.3.2.0/27 full route 10.0.0.0/8 prohibit 172.16.0.0/16 prohibit 192.168.2.0/2 prohibit Vers réseau Réponse Questions : a. Complétez la «Policy Routing» concernant le réseau «Ingénierie». Soit la liste des commandes de configuration du routeur «Ingénierie» : 1 # ip addr add 192.168.2.25/2 dev eth1 brd + 2 # ip addr add 10.25.25.253/32 dev eth0 brd 10.255.255.255 3 # ip route add blackhole 10/8 # ip route add 10.10/1 scope link proto kernel dev eth0 src 10.25.25.253 5 # ip route add blackhole 172.17/16 6 # ip route add blackhole 172.16/16 b. À quoi correspond la notation «blackhole», en quoi est-elle différent de «prohibit»? c. Si on utilise les commandes {1, 2, 3} sans les commandes {, 5, 6} que renvoie le routeur? d. Donnez la liste des commandes de configuration du routeur «Comptabilité». e. Où sont situées les machines qui seront impactées par ces définitions de route? f. Est-ce que la sécurité est «suffisante»? Resp. UE : P-F. Bonnefoi, http://p-fb.net/, «Infrastructure Réseau TD n 2» version du 9 mars 2016, rédigé avec ConTEXt Don t Panic! 3/5

La notion de règle 5 Du point de vue du «core router» : Vers «Comptabilité» 172.17.0.0/16 : Depuis le réseau Décision 10.2.3.32/27 allow 10.3.2.0/27 allow 0.0.0.0/0 prohibit Vers «Ingénierie» 192.168.2.0/2 : Depuis le réseau Décision 10.10/1 allow a. Est-ce que la définition de la «vue» du réseau depuis le «core router» corrige les problèmes rencontrés dans l exercice précédent? Du point de vue du routeur «Comptabilité» : Depuis le réseau Décision 10.2.3.32/27 allow 10.3.2.0/27 allow Du point de vue du routeur «Ingénierie» : Depuis le réseau Décision b. Comparez ces définitions avec celles données dans l exercice. 10.10.0.0/1 allow Soient les commandes implémentant la «vue» du «core router» : 1 # Pour le réseau Comptabilité : 2 ip rule add from 10.2.3.32/27 to 172.17.0.0/16 prio 16000 3 ip rule add from 10.3.2.0/27 to 172.17.0.0/16 prio 16010 ip rule add from 0.0.0.0/0 to 172.17.0.0/16 prio 16020 prohibit c. À quoi correspond la notation «prio xxxx»? Est-ce que l ordre d entrée des lignes est important? À quoi sert la ligne n? Donnez les règles pour la partie «réseau Ingénierie». d. Soient les commandes implémentant les règles sur le routeur «Comptabilité» : 1 ip rule add from 10.2.3.32/27 dev eth0 prio 16000 2 ip rule add from 10.3.2.0/27 dev eth0 prio 16010 3 ip rule add from 0.0.0.0/0 dev eth0 prio 16020 blackhole En quoi les règles définies ci-dessus permettent de mettre en œuvre la «vue» du routeur «Comptabilité»? À quoi sert la règle n 3? Donnez les règles sur le routeur «Ingénierie». Resp. UE : P-F. Bonnefoi, http://p-fb.net/, «Infrastructure Réseau TD n 2» version du 9 mars 2016, rédigé avec ConTEXt Don t Panic! /5

Les tables de routage multiples Par défaut, sous Linux, un système dispose des tables suivantes : Table #253 = DEFAULT (created by the default rule #32767) La table LOCAL n est pas à modifier, elle sert Table #25 = MAIN (default master route table) pour la diffusion, «broadcast», et le routage Table #255 = LOCAL (broadcast & local addresses) local. Les nouvelles tables sont définies dans /etc/iproute2/rt_tables : # reserved values 255 local 25 main 253 default 0 unspec # local #1 inr.ruhep 1 compta 2 ingenierie 6 Il est possible d isoler le trafic en le redirigeant dans des tables de routage différentes : 1 # Pour le réseau Comptabilité 2 ip rule add from 10.2.3.32/27 to 172.17.0.0/16 prio 16000 table compta 3 ip rule add from 10.3.2.0/27 to 172.17.0.0/16 prio 16010 table compta 5 # Pour le réseau Ingénierie 6 ip rule add from 10.10.0.0/1 to 192.168.2.0/2 prio 17000 table ingenie rie Il est ensuite possible de remplir les tables de routages : 1 # La table compta 2 ip route add 172.17.0.0/16 table compta via 10.25.25.252 proto static 3 ip route add prohibit default 5 # La table ingenierie 6 ip route add 192.168.2.0/2 table compta via 10.25.25.253 proto static 7 ip route add blackhole default a. Est-ce que l implémentation donnée est conforme à la «Security Policy»? Vous décrirez le chemin emprunté par les paquets de source autorisée et non autorisée. Que se passe-t-il si un trafic provenant de 10.0.0.0/8 interdit dans le réseau Ingénierie essaye d accèder au réseau 192.168.2.0/2? b. Comment y remédier? Resp. UE : P-F. Bonnefoi, http://p-fb.net/, «Infrastructure Réseau TD n 2» version du 9 mars 2016, rédigé avec ConTEXt Don t Panic! 5/5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back