TP les couches physiques Ethernet Limitation Ethernet Rappel La construction d'un réseau Ethernet est liée à plusieurs contraintes, rappelons les contraintes principales. Atténuation du signal (distance maximum du câble) La distance maximale entre deux répéteurs (IRL : Inter Repeater Link) dépend de l'atténuation du signal et donc de la qualité du support. Voici les réseaux que l'on trouve : · 10 Base 5 : 10 Mbps sur un gros coax avec 500 m max · 10 Base 2 : 10 Mbps sur un coax fin avec 185 m max · 1 Base 5 : 1 Mbps sur UTP 3 avec 250 m max · 10 Base T : 10 Mbps sur UTP 3 avec 100 m max · 10 Broad 36 : 10 Mbps sur un gros coax avec 1800 m max · 10 Base F : 10 Mbps sur fibre optique (MMF) avec 2000 m max · 100 Base TX : 100 Mbps sur 2 paires UTP 5 avec 100 m max · 100 Base FX : 100 Mbps sur 2 fibres optiques (MMF) avec 1000 m max · 100 Base T4 : 100 Mbps sur 4 paires UTP 3 avec 100 m max · 1000 Base SX : 1 Gbps sur fibre optique (MMF) avec 500 m max · 1000 Base LX : 1 Gbps sur fibre optique (SMF) avec 3000 m max · 1000 Base CX : 1 Gbps sur 4 paires UTP5 avec 25 m max Nombre de répéteurs maximum Il existe une autre contrainte pour les réseaux Ethernet : Pour du 10 Mbps, il ne faut traverser que 4 répéteurs au maximum. Pour du 100 Mbps, il ne faut traverser que 2 répéteurs au maximum. En fait on se permet la plupart du temps d'en traverser 4, la recommandation était assez stricte pour qu'en pratique ça marche. Remarque: un hub (ou un swicth) stackable, signifie que l'on peut les empiler de manière à ce qu'ils ne représentent qu'un seul nœud. Quel que soit le débit, on ne doit jamais traverser plus de 2 segments coaxiaux fins. Configurations possibles Voici quelques configurations de réseaux Ethernet, pour chacune précisez si cette configuration est valide, expliquez pourquoi et si elle ne l'est pas donnez une solution pour qu'elle le devienne. Config 1 : Config 2 : Config 3 : Config 4 : Config 5 : Si maintenant on vous fournissait le budget pour acheter 1 switch, quel hub remplaceriez vous (pourquoi) ou où l'insèreriez vous ? Si maintenant on vous fournissait le budget pour acheter encore 1 switch supplémentaire (2 en tout), quels hubs remplaceriez vous (pourquoi) ou où les insèreriez vous ? Round Trip Delay Rappel Pour gérer les détections de collision on limite la taille du réseau en fonction du temps de retournement (Round Trip Delay) de la trame minimum et du débit. C'est à dire en fonction du temps que les stations mettent à émettre 512 bits et du temps que met un bit pour faire l'aller retour entre les deux points les plus éloignés du réseau : il faut pour détecter une collision qu'avant que la station ait fini d'émettre ses 512 bits le signal du premier bit soit arrivé au bout et que si une station du bout a émis un bit à ce moment, il ait eu le temps de revenir. Donc, en résumé, il faut que le temps d'émission de 512 bits soit supérieur au temps d'un aller-retour du signal sur le réseau (Round Trip Delay). Sachant que la vitesse de propagation du signal est de l'ordre 2*107 m/s sur de la paire torsadée et de 2*108 m/s sur de la fibre optique, déterminez le diamètre maximum des réseaux suivants : 10baseT, 100baseTx, 1000baseCX, 10baseF, 100baseFX, 1000baseSX. Rappel détection des collisions (hub et switch) La limitation du diamètre vis à vis du Round Trip Delay est due au simple fait que lorsqu'on émet une trame sur un réseau Ethernet, cette trame est diffusée sur l'ensemble du réseau et qu'une collision peut se produire à n'importe quel moment. Lorsque l'on utilise un switch, cette limitation s'arrêtera au switch. En effet même si un switch fonctionne en mode répéteur par défaut, il sera toujours capable de gérer (et devra le faire) une collision qui se produit après lui. Un switch ayant relayé une trame devient " responsable " de cette trame. Un switch classique fonctionne en Store and Forward , i.e. qu'il récupère complètement la trame avant de la renvoyer, ceci prend du temps. Pour gagner ce temps certains switchs peuvent fonctionner en mode Cut Trough, la trame est alors renvoyée dès que l'on a décodé l'adresse destinataire. Ce mode permet effectivement une interconnection plus rapide mais possède au moins un inconvénient majeur : on ne pourra plus interconnecter 2 segments de débits différents. Calcul de distance maximum La configuration suivante n'est pas valide. Expliquez pourquoi. Rendez la valide. Nous allons essayer de construire un réseau, puis de le fiabiliser. Une société possède 3 bâtiments : Un bâtiment administratif qui contient un serveur de fichier qui stocke les fichiers de tous les utilisateurs de l'entreprise, un serveur Web qui offre un Intranet visible partout dans l'entreprise, un contrôleur de domaine permettant l'authentification de chaque utilisateur de l'entreprise. Dans ce bâtiment se trouve aussi une trentaine de PCs ainsi que 2 imprimantes réseau. Ce bâtiment n'a pas d'étage. Il fait 30 m sur 50 m. Un bâtiment bureautique qui compte 60 PCs de bureautique répartis sur 2 étages. Ce bâtiment est un carré de 40 m de côté. Un bâtiment d'exploitation qui compte une centaine de PCs réparti en 2 groupes à peu près égaux. Chacun de ces groupes (en plus des 3 serveurs de base) utilise un serveur dédié à ce groupe présent dans ce bâtiment (donc 2 serveurs). Les 100 PCs sont répartis indépendamment du groupe auquel ils appartiennent dans un hangar de 120m sur 50m. Ces trois bâtiments forment un triangle, il y a 40 m entre le bâtiment d'administration et celui de bureautique, 125 m entre le bâtiment d'administration et celui d'exploitation et enfin 110m entre celui d'exploitation et celui de bureautique. Les PCs fonctionnent en 100 Mbps, pour éviter des ralentissements on souhaiterait que les serveurs soient raccordés en 1 Gbps. 1) Pour chaque bâtiment, choisissez les Hubs et Switch nécessaires et dites quel type de câble vous utiliseriez. N'utilisez des switchs que si cela vous semble utile, de même pour la fibre optique. 2) Choisissez un chemin de raccordement entre les bâtiments, le type de câblage et le type de noeuds (hub ou switch) pour le raccordement. 3) Indiquez toutes les limitations en distance ou en débit pour chaque partie de votre réseau, n'oubliez pas de tenir compte du Round Trip Delay mais aussi du nombre de répéteurs et de la distance maximale avant atténuation du signal. Précisez donc ( par exemple) dans ce bâtiment il y aura 10 PCs à moins de X m du switch plus un Hub et 20 PCs à moins de Y m de ce Hub. Si vous avez tenu compte de toutes les limitations, le schéma obtenu doit correspondre à une architecture physique possible, nous reviendrons plus tard sur la fiabilisation de ce réseau. Fiabilisation Spanning Tree Utilité L'algorithme du Spanning Tree (802.1d) permet entre autre de placer des Switchs dit de backup qui ne serviront qu'en cas de panne du réseau. Cet algorithme va donc permettre de mettre en place des chemins secondaires pour que le réseau ne s'arrête pas complètement en cas de panne d'une seule partie. Explication de l'algorithme Soit un réseau raccordé par 5 switchs comme ci dessus. Cette configuration est valide mais sensible aux pannes d'un câble ou d'un switch. Si on raccorde les 5 switchs de cette manière il existera des chemins secondaires mais des cycles de diffusion vont apparaître et perturber le fonctionnement du réseau : Le but du 802.1d est de déterminer un arbre de recouvrement sans Cycle. Chaque switch a un identificateur unique Id éventuellement paramétrable par l'administrateur. Chaque switch au démarrage émet une trame BPDU avec son Id, si il reçoit une BPDU avec un Id inférieur au sien, il s'arrête d'émettre ses BPDU mais diffuse la BPDU reçue. Ce mécanisme permet d'élire un Switch Racine qui sera la racine de l'arbre de recouvrement. Dans le paramétrage ci dessus l'administrateur, en choisissant les Id, précise qu'il souhaite que le switch 2 soit racine, si il ne fonctionne pas alors que ce soit le switch 5 et sinon peu importe. En fonctionnement normal on aura donc le switch 2 comme switch racine de l'arbre de recouvrement. Dans les BPDU, en plus de l'Id il y a inscrit un coût. Ce coût est soit simplement le nombre de switchs traversés, soit 1000 divisé par le débit de la ligne empruntée, soit un coût paramétré par port du switch. Prenons ici le cas du coût en fonction du débit de la ligne. Le switch 5 recevra des BPDU en provenance du switch racine de trois manières différentes : 1) directement avec un coût de 100 2) par le switch 3 avec un coût de 10 + 10 3) par le switch 1 et 4 avec un coût de 10 + 100 + 10 Il choisira donc que le chemin le plus court vers le switch racine sera par le switch 3, il fermera ses 2 autres ports (vers le switch 2 et 4) et les considèrera comme des ports de backup (en cas d'égalité de coût). C'est à dire qu'il continuera à écouter sur ces ports mais n'enverra rien dans cette direction. Chaque switch fera la même chose, ce qui nous donnera l'arbre de recouvrement suivant : Le switch racine continuera à envoyer ses BPDU régulièrement, au bout d'un certain temps si un switch ne reçoit plus les BPDU du switch racine (ou si il reçoit d'autres BPDU) il se remettra à émettre ses propres BPDU et débloquera ses ports de backup. Un nouvel arbre de recouvrement sera calculé. Calcul de l'arbre de recouvrement 1) Dessinez l'arbre de recouvrement de ce réseau. 2) Si le câble en gras entre le switch Id 1 et Id 2 tombe en panne, que se passe-t-il ? dessinez le nouvel arbre de recouvrement. 3) Si le switch Id 1 tombe en panne que se passe-t-il ? dessinez le nouvel arbre de recouvrement. Rappel RSTP Le protocole 802.1w ou Rapid Spanning Tree Protocol fonctionne de la même manière que le 802.1d mais le complète par un protocole Hello qui permet une détection des pannes et une reconfiguration plus rapide. Adapter Fault Tolerance But Le but de l'AFT est que le réseau continue de fonctionner malgré la panne d'un câble. Le principe de la fiabilisation appliqué est que si un câble tombe en panne, seule la machine qui est raccordée par ce câble doit avoir un soucis réseau. Ce qui signifie que si un câble entre 2 switchs tombe en panne le réseau ne doit pas s'arrêter ! Exercice Dans la configuration précédente où vous aviez conçu l'architecture d'un réseau avec 3 bâtiments, mettez en place un niveau AFT. Pour cela pensez que l'on peut soit doubler les câbles (RSTP fonctionne aussi sur 2 câbles reliant 2 switchs) soit avoir des chemins de secours. Switch Fault Tolerance But Le but du SFT est que le réseau continue de fonctionner malgré la panne d'un switch. Le principe de la fiabilisation appliqué est que si un switch tombe en panne, seules les machines qui sont raccordées directement à ce switch doivent avoir un soucis réseau. Pour cela on n'utilise rien d'autre que RSTP, en poussant le raisonnement jusqu'au bout, on obtient non seulement des chemins secondaires mais aussi des switchs secondaires. Exercice Dans la configuration précédente où vous avez fiabilisé l'architecture d'un réseau avec 3 bâtiments, mettez en place un niveau SFT. Faites attentions aux switchs des serveurs ! Adaptative Load Balancing But Le but de la répartition des charges c'est d'augmenter les performances tout en améliorant la fiabilité en utilisant tous les câblages disponibles. Ceci fonctionne à l'aide du protocole 802.3ad. Exercice Dans la configuration précédente où vous avez fiabilisé l'architecture d'un réseau avec 3 bâtiments, où serait il intéressant d'utiliser 802.3ad ? WiFi Portée Un réseau avec un PA et un réseau Ad Hoc Exercices Sur le réseau de gauche un PA diffuse un ESSID toutes les 0.1s dans la zone grisée. Sur le réseau de droite, il n'y a pas de PA mais les portables sont configurés en ad hoc. En nommant les portables de gauche à droite A,B et C, précisez qui peut discuter avec qui. Dans le réseau ad hoc (sans ajouter de routeur) nous voudrions partager une connexion Internet. Est ce possible ? comment faire ? Seulement, on est malheureusement sur un site où il n'y a ni de xDSL, ni de BLR, ni de câble. Donnez une solution selon les besoins en termes de débits : 1) 30 kbps (up et down) 2) 128 kbps (up et down) 3) 512 kpbs (up et down) 4) 2048 kpbs (up et down garanties) Si on veut pouvoir télécharger l'équivalent de 2 CDs (700 Mo chacun) chaque matin en environ 1h qui contiennent la mise à jour de la base sur laquelle on travaille. Quelles liaisons doit on envisager (en termes de débit)? Sachant qu'en plus, plusieurs sites doivent télécharger ce même cd tous les matins à la même heure quelle technologie choisiriez vous ? Firewall Soit le réseau suivant : Remarque: le serveur de mail permet d'envoyer (SMTP) mais aussi de stocker (POP) les mails des utilisateurs de ce réseau, le serveur web pour Internet contient une description de la société (disponible à tout le monde), le serveur web pour l'extranet contient des informations sur les stocks disponibles pour les 3 filiales dont l'adresse IP publique du routeur de chacune de ces filiales est 82.134.56.12, 187.54.54.13 et 154.32.76.231 (disponible en interne mais aussi pour les 3 filiales). le serveur web pour l'intranet contient des informations sur la réservation des différentes salles de formation du batiment (disponible uniquement en interne). le serveur de fichier contient les données des utilisateurs. Sachant que le fournisseur d'accès Internet nous fournit une adresse IP publique (82.87.192.10/24) avec un DNS primaire (82.87.192.201), un DNS secondaire (82.87.193.201) et un routeur par défault (82.87.192.254), donnez un plan d'adressage de ce réseau (donnez une adresse IP à tout ce qui peut en avoir une) et donnez si il y a lieu le paramétrage du NAT intégré au routeur. Supposons maintenant qu'il y ait un firewall intégré dans chaque switch et routeur de notre réseau. On peut décrire la configuration d'un matériel de la manière suivante : Configuration du firewall Branchement 1 En entrée Tout interdire sauf Adresse ip source port souce adresse ip destination port destination 87.65.45.154 TCP-* 192.123.23.154 TCP-80 à 82 En sortie Tout autorisé sauf Adresse ip source port souce adresse ip destination port destination 192.168.1.1 à 192.168.1.3 TCP-* * * * * * 21 Branchement 2 ... cet exemple n'est que montré le principe de description des filtres. Pour chaque prise on décrit le filtre entrant et sortant, en précisant si on interdit tout sauf, ou si on autorise tout sauf. Ensuite on décrit sur une ou plusieurs lignes les filtres en précisant les adresses IP (ou plage d'adresse) source filtrées, les ports (ou plage de port) sources filtrés et les adresses destinations ainsi que les ports destinations. une étoile signifie simplement "tous". Par exemple la dernière ligne du branchement 2 précise que (sachant que tout est autorisé) aucune machine, quelque soit le port source autorisé, ne peut se connecter au port 21 de n'importe quel serveur ! En utilisant un tableau dans ce genre pour les 3 matériels du réseau ci précédement cité, indiquez les filtres à mettre en place pour : interdire aux postes de travail de communiquer entre eux (évite la propagation des virus). interdire l'accès aux postes de travail depuis l'extérieur. n'autoriser aux postes de travail que l'accès au Web, à FTP et SSH. interdire l'accès aux différents serveurs depuis l'exterieur (sauf au serveur web, au serveur de mail qui doit être joignable des serveurs smtp, à l'extranet qui ne doit être joignable que depuis les filiales). interdire l'accès à l'extérieur (sauf au web) depuis chaque serveur, seul le serveur de mail peut accèder à un serveur SMTP. Chiffrement Comprendre le hachage une fonction de hachage permet de donner un code sur une longueur le plus souvent fixe représentatif d'un texte. L'exemple ci dessous n'est pas une réelle fonction de hachage connue mais fonctionne sur le même principe : soit le message suivant : "1001101101001011110101010110110101010". sur ce message nous voudrions avoir un code représentatif sur 5 bits, pour cela nous allons décomposer le message en morceau de 5 bits et nous allons donner une valeur à chaqeu morceau en considérant le bit de poids faible à gauche (ce qui n'est pas habituel) : 10011=1+0+0+8+16=25 01101 =2+4+16=22 00101 =20 11101 =23 01010 =10 11011 =27 01010 =10 10=1 puis on va faire la somme de ces nombres : 25+22+20+23+10+27+10+1=138 et noter le résultat (modulo 32) sur 5 bits : 138 modulo 32 = 10. Le résultat de notre fonction de hachage sur le texte sera donc 01010. Bien sûr si il y aura plusieurs textes ayant le même résultat mais si on change des bits dans le texte, le résultats n'a qu'une chance sur 32 d'être identique. Une bonne fonction de hachage permet de garantir que peu de textes auront le même code et que ceux qui auront le même code seront de préférence radicalement différents. En utilisant le même principe que ci dessus, donner un code hachage sur 10 bits du texte suivant : 1001101101001011110101010110110101010100100100100101111011010100101010101 1000011011010101010101110101010101010101010011001010101010101010101010101 111101010 vous pouvez essayer de changer quelques bits du message, le code de hachage sera différent. Essayez de décrire quels sont les autres messages ayant le même code de hachage. Signer un message avec un secret partagé un exemple de cryptage avec un secret partagé est d'utiliser le ou exclusif, par exemple si le message est 1001101010 et le secret partagé est 0101011011, un ou exclusif entre les 2 donne : 1100110001. Ce message n'a rien à voir avec le message d'origine mais si on refait un ou exclusif avec le secret partagé on obtient : 1001101010 qui est exactement le message d'origine. C'est un moyen simple de crypter les données. A l'aide du secret partagé ci dessus et de la fonction de hachage précédente décrire le message envoyé sur le réseau pour transmettre le message : (message de l'exercice précédent) 1001101101001011110101010110110101010100100100100101111011010100101010101 1000011011010101010101110101010101010101010011001010101010101010101010101 111101010 en garantissant l'intégrité du contenu et l'authentification de l'emetteur. Expliquer en quoi on est sûr de l'auteur du message et quel est l'inconvénient de cette méthode. Signer un message avec une paire de clés. Le cryptage asymétrique permet de crypter avec une clé et de décrypter avec une autre clé. Ces clés sont calculées de telle sorte qu'il soit plus complexe de trouver une clé à partir de l'autre que d'essayer toutes les clés. Supposons que nous possédions 10 postes nommés de A à J, chaque poste possède une paire de clés nommées CléPrivA et CléPubA pour le poste A, ... Chaque poste connait la CléPub des autres postes. Nous somme aussi capable de hacher un texte avec une fonction nommée SHA. Décrivez un échange de message et les étapes de test de l'intégrité et de l'authentification de l'envoi d'un message du poste A vers le poste B en utilisant les notations suivantes : poste A message varA=SHA(message) : signifie on hache le message et on stocke le résultat dans varA. varB=CléPubC(message) : signifie on crypte le message avec la clé publique de C et stocke le resultat dans varB. envoi(B,message+varA+varB) : signifie on envoie à B le message suivi de varA et de varB. poste B reception(message+varA+varB) : signifie on recoit message suivi de varA suivi de varB. message=CléPrivA(message) : signifie on decrypte avec la clé privée de A. (l'exemple ci dessus est complètement incohérent, il permet juste de décrire la notation) Quel inconvénient voyez vous à cette méthode si il y a 1000 utilisateurs ? décrire de la même manière un échange entre A et B mais avec une autorité de certification qui est le poste C. Sécurité Même si cela fait partie d'un autre registre, la mise en place d'une protection par mot de passe sur un site Internet peut être plus ou moins efficace. Essayez d'arriver au moins au niveau 12 du site http://academy.dyndns.org/ TP Correction les couches physiques Ethernet Limitation Ethernet Rappel La construction d'un réseau Ethernet est liée à plusieurs contraintes, rappelons les contraintes principales. Atténuation du signal (distance maximum du câble) La distance maximale entre deux répéteurs (IRL : Inter Repeater Link) dépend de l'atténuation du signal et donc de la qualité du support. Voici les réseaux que l'on trouve : · 10 Base 5 : 10 Mbps sur un gros coax avec 500 m max · 10 Base 2 : 10 Mbps sur un coax fin avec 185 m max · 1 Base 5 : 1 Mbps sur UTP 3 avec 250 m max · 10 Base T : 10 Mbps sur UTP 3 avec 100 m max · 10 Broad 36 : 10 Mbps sur un gros coax avec 1800 m max · 10 Base F : 10 Mbps sur fibre optique (MMF) avec 2000 m max · 100 Base TX : 100 Mbps sur 2 paires UTP 5 avec 100 m max · 100 Base FX : 100 Mbps sur 2 fibres optiques (MMF) avec 1000 m max · 100 Base T4 : 100 Mbps sur 4 paires UTP 3 avec 100 m max · 1000 Base SX : 1 Gbps sur fibre optique (MMF) avec 500 m max · 1000 Base LX : 1 Gbps sur fibre optique (SMF) avec 3000 m max · 1000 Base CX : 1 Gbps sur 4 paires UTP5 avec 25 m max Nombre de répéteurs maximum Il existe une autre contrainte pour les réseaux Ethernet : Pour du 10 Mbps, il ne faut traverser que 4 répéteurs au maximum. Pour du 100 Mbps, il ne faut traverser que 2 répéteurs au maximum. En fait on se permet la plupart du temps d'en traverser 4, la recommandation était assez stricte pour qu'en pratique ça marche. Remarque: un hub (ou un swicth) stackable, signifie que l'on peut les empiler de manière à ce qu'ils ne représentent qu'un seul nœud. Quel que soit le débit, on ne doit jamais traverser plus de 2 segments coaxiaux fins. Configurations possibles Voici quelques configurations de réseaux Ethernet, pour chacune précisez si cette configuration est valide, expliquez pourquoi et si elle ne l'est pas donnez une solution pour qu'elle le devienne. Config 1 : Config 2 : Config 3 : Config 4 : Config 5 : La config 1 est valide, en effet les seules contraintes à respecter sur ces schémas sont le nombre de nœud à traverser (qui ne doit pas excéder 4 ) et le nombre de segments coaxiaux (qui ne doit pas dépasser 2). Ici il n'y a pas de segment coaxial, et aucun chemin allant d'une station à une autre n'emprunte plus de 4 nœuds. La config 2 n'est pas valide : une station de gauche doit traverser 5 hubs pour atteindre une station de droite. Pour résoudre ce problème on peut soit se rapprocher de la configuration 4, soit stacker (empiler des noeuds pour qu'ils n'en fassent qu'un) chaque groupe de 3 hub, soit supprimer un hub du haut et revenir vers la configuration 1. Si l'architecture choisie ressemble à ça à cause des distances (distance max entre station et hub, puis entre noeuds), il ne reste plus qu'une solution : séparer en deux réseaux IP avec un routeur. La config 3 est valide, malgré le nombre important de concentrateurs aucun chemin allant d'une station à une autre n'emprunte plus de 4 noeuds. La config 4 est valide, elle pourrait être une solution au problème de la 2. La config 5 n'est pas valide puisque qu'une station de gauche doit traverser 3 segments coaxiaux pour atteindre une station de droite. Une solution serait de relier chaque hub vers le hub des serveurs et donc de supprimer le coaxial du haut et les liaisons entre les hubs de droite et de gauche. Si maintenant on vous fournissait le budget pour acheter 1 switch, quel hub remplaceriez vous (pourquoi) ou où l'insèreriez vous ? Lorsqu'on positionne un switch sur un réseau c'est en fonction de l'utilisation de ce réseau, ici nous n'avons aucune indication et allons donc le positionner sous le cas général mais chaque réseau peut être un cas particulier : le seul but est de limiter les domaines de collision. Dans la configuration 1 : on pourrait être tenté de le positionner entre les 2 hubs du hauts (au milieu du réseau), seulement l'intérêt serait relativement limité. Il est bien plus interessant ici de remplacer un des deux hubs du haut par un switch, ainsi le réseau de droite sera toujours séparé du réseau de gauche (comme si on avait positionné le switch au milieu) mais en plus les deux hubs connectés à ce switch et les serveurs seront bien séparés. Dans la configuration 2 : la configuration n'étant pas valide il est difficile de dire ou on mettrait le switch, cela dépend de la solution choisie. Si on choisit de se rapprocher de la configuration 4 ou 1 il faut positionner le switch comme dans la configuration 1 ou 4. Dans la configuration 3 : idem que dans la configuration 1. Dans la configuration 4 : dans cette configuration, si on change le hub des serveurs par un switch ca n'aura quasi aucun effet : en effet le switch sera connecté au cable coaxial pour l'ensemble du réseau et vers chacun des serveurs mais de ce fait quelle que soit la machine qui veut communiquer avec n'importe qui (serveur ou pas) tout passe par le cable coaxial. Le seul interêt de ce switch serait de faciliter la communication entre les serveurs, communication qui est quasi négligeable ! En fait ici ce cable coaxial est très mal positionné, il sera quoi qu'il arrive le passage obligatoire et donc le goulot d'étranglement mais faisons avec ... Dans ce cas le plus interessant sera de remplacer un des hubs connectés au coaxial (autre que celui du serveur) afin de séparer le réseau en trois. Dans la configuration 5 : avec la solution d'utiliser le hub des serveurs comme concentrateur central, il est interessant cette fois de remplacer ce hub par un switch étant donné qu'à cette position il séparera les 4 réseaux et les 3 serveurs. C'est une position idéale. Si maintenant on vous fournissait le budget pour acheter encore 1 switch supplémentaire (2 en tout), quels hubs remplaceriez vous (pourquoi) ou où les insèreriez vous ? Dans la configuration 1 : on placerait évidement ce nouveau switch à la place de l'autre hub du haut. Dans la configuration 2 : la configuration n'étant pas valide il est difficile de dire ou on mettrait le switch, cela dépend de la solution choisie. Si on choisit de se rapprocher de la configuration 4 ou 1 il faut positionner le switch comme dans la configuration 1 ou 4. Dans la configuration 3 : idem que dans la configuration 1. Dans la configuration 4 : on placerait évidement ce nouveau switch à la place de l'autre hub du haut. Dans la configuration 5 : ici la position du switch au centre est idéal, un second switch n'est pas indispensable mais si on en ajoute un, il vaut mieux choisir de remplacer un hub connecté aux machines qu'un connecté à un cable coaxial. Il aura plus d'effet. Round Trip Delay Rappel Pour gérer les détections de collision on limite la taille du réseau en fonction du temps de retournement (Round Trip Delay) de la trame minimum et du débit. C'est à dire en fonction du temps que les stations mettent à émettre 512 bits et du temps que met un bit pour faire l'aller retour entre les deux points les plus éloignés du réseau : il faut pour détecter une collision qu'avant que la station ait fini d'émettre ses 512 bits le signal du premier bit soit arrivé au bout et que si une station du bout a émis un bit à ce moment, il ait eu le temps de revenir. Donc, en résumé, il faut que le temps d'émission de 512 bits soit supérieur au temps d'un aller-retour du signal sur le réseau (Round Trip Delay). Sachant que la vitesse de propagation du signal est de l'ordre 2*10^7 m/s sur de la paire torsadée et de 2*10^8 m/s sur de la fibre optique, déterminez le diamètre maximum des réseaux suivants : 10baseT, 100baseTx, 1000baseCX, 10baseF, 100baseFX, 1000baseSX. Le diamètre d'un réseau correspond à la distance maximale entre 2 points du réseaux. La distance maximale dépend du temps d'écoute. Ce dernier est de 512 bit time, c'est à dire du temps que la machine mettra pour émettre 512 bits. 512 bits time à 10 Mbps = 512 * 10 ^-7 secondes 512 bits time à 100 Mbps = 512 * 10 ^-8 secondes 512 bits time à 1 Gbps = 512 * 10 ^-9 secondes Le temps de propagation du signal dépend du support physique : Sur du gros coaxial, 6 * 10^7 m/s. Sur de la paire torsadée ou coaxial fin, 2 * 10^7 m/s. Sur de la fibre optique, 2 * 10^8 m/s. Pour du 10 base T, pendant les 512 bit time le signal parcourt donc : 512 * 10 -7 * 2 * 10^7 = environ 1000m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 500m. Pour du 10 base F, pendant les 512 bit time le signal parcourt donc : 512 * 10 -7 * 2 * 10^8 = environ 10000m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 5000m. Pour du 100 base TX, pendant les 512 bit time le signal parcourt donc : 512 * 10 -8 * 2 * 10^7 = environ 100m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 50m. Pour du 100 base FX, pendant les 512 bit time le signal parcourt donc : 512 * 10 -8 * 2 * 10^8 = environ 1000m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 500m. Pour du 1000 base CX, pendant les 512 bit time le signal parcourt donc : 512 * 10 -9 * 2 * 10^7 = environ 10m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 5m. Pour du 1000 base SX, pendant les 512 bit time le signal parcourt donc : 512 * 10 -9 * 2 * 10^8 = environ 100m. Cette distance doit être l'aller retour maximum, le diamètre est donc de 50m. Comme le montre cette exemple la fibre optique est donc surtout utilisée pour allonger les distances, le 100baseFX et le 100baseTX ont le même débit (100 Mbps) mais ont des diamètres différents. Rappel détection des collisions (hub et switch) La limitation du diamètre vis à vis du Round Trip Delay est due au simple fait que lorsqu'on émet une trame sur un réseau Ethernet, cette trame est diffusée sur l'ensemble du réseau et qu'une collision peut se produire à n'importe quel moment. Lorsque l'on utilise un switch, cette limitation s'arrêtera au switch. En effet même si un switch fonctionne en mode répéteur par défaut, il sera toujours capable de gérer (et devra le faire) une collision qui se produit après lui. Un switch ayant relayé une trame devient " responsable " de cette trame. Un switch classique fonctionne en Store and Forward , i.e. qu'il récupère complètement la trame avant de la renvoyer, ceci prend du temps. Pour gagner ce temps certains switchs peuvent fonctionner en mode Cut Trough, la trame est alors renvoyée dès que l'on a décodé l'adresse destinataire. Ce mode permet effectivement une interconnection plus rapide mais possède au moins un inconvénient majeur : on ne pourra plus interconnecter 2 segments de débits différents. Calcul de distance maximum La configuration suivante n'est pas valide. Expliquez pourquoi. Rendez la valide. Le premier "bug" de cette configuration est que le serveur se trouve relié à 15 m en 1000baseCX à un Switch alors que nous avons dit précédemment qu'en 1000baseCX le diamètre du réseau ne peut excéder 5 m ! Il faut donc le rapprocher du switch. Il restera encore un problème, visiblement l'architecte réseau qui a proposé cette configuration n'a pas dû obtenir de DUT Informatique. Effectivement si il avait suivi les cours de l'IUT, il saurait qu'il existe une distance maximum entre 2 répéteurs et que celle ci est de 100m pour un 10baseT. La liaison entre le switch et le Hub fait 125m, il faut donc soit ajouter un petit répéteur au milieu de ce câble soit rapprocher le hub d'une trentaine de m et allonger les liaisons des stations d'autant. Ainsi aucune liaison ne dépassera la limite entre 2 répéteurs. Par rapport au diamètre à gauche du switch il doit être de 500m maximum ce qui sera respecté sans problème et en bas du switch de 50m maximum ce qui sera aussi respecté. Il n'y aura donc plus de problème. Nous allons essayer de construire un réseau, puis de le fiabiliser. Une société possède 3 bâtiments : Un bâtiment administratif qui contient un serveur de fichier qui stocke les fichiers de tous les utilisateurs de l'entreprise, un serveur Web qui offre un Intranet visible partout dans l'entreprise, un contrôleur de domaine permettant l'authentification de chaque utilisateur de l'entreprise. Dans ce bâtiment se trouve aussi une trentaine de PCs ainsi que 2 imprimantes réseau. Ce bâtiment n'a pas d'étage. Il fait 30 m sur 50 m. Un bâtiment bureautique qui compte 60 PCs de bureautique répartis sur 2 étages. Ce bâtiment est un carré de 40 m de côté. Un bâtiment d'exploitation qui compte une centaine de PCs répartis en 2 groupes à peu près égaux. Chacun de ces groupes (en plus des 3 serveurs de base) utilise un serveur dédié à ce groupe présent dans ce bâtiment (donc 2 serveurs). Les 100 PCs sont répartis indépendamment du groupe auquel ils appartiennent dans un hangar de 120m sur 50m. Ces trois bâtiments forment un triangle, il y a 40 m entre le bâtiment d'administration et celui de bureautique, 125 m entre le bâtiment d'administration et celui d'exploitation et enfin 110m entre celui d'exploitation et celui de bureautique. Les PCs fonctionnent en 100 Mbps, pour éviter des ralentissements on souhaiterait que les serveurs soient raccordés en 1 Gbps. 1) Pour chaque bâtiment, choisissez les Hubs et Switch nécessaires et dites quel type de câble vous utiliseriez. N'utilisez des switchs que si cela vous semble utile, de même pour la fibre optique. 2) Choisissez un chemin de raccordement entre les bâtiments et le type de câblage pour le raccordement. 3) Indiquez toutes les limitations en distance ou en débit pour chaque partie de votre réseau, n'oubliez pas de tenir compte du Round Trip Delay mais aussi du nombre de répéteurs et de la distance maximale avant atténuation du signal. Précisez donc ( par exemple) dans ce bâtiment il y aura 10 PCs à moins de X m du switch plus un Hub et 20 PCs à moins de Y m de ce Hub. Batiment Administratif On aurait pu tout relier au hub, le switch ici n'a pas vraiment une grande utilité mais il faudra bien raccorder ce bâtiment ( et notamment les serveurs et les imprimantes) avec les autres bâtiments. A ce moment le switch sera bien utile. On pourrait aussi bien sur raccorder tout le monde sur le switch mais il semble plus rentable d'avoir un hub 32 ports et un switch 8 ports qu'un switch de plus de 40 ports. En utilisant un câblage classique paire torsadée UTP 5.5e , la distance limite entre 2 répéteurs à 100 Mbps sera de 100m (non gênant dans ce bâtiment) et le diamètre maximum sera de 50 m. Ce qui signifie qu'il faudra positionner le switch et le hub tels que la distance du switch au hub + la distance du poste le plus éloigné du hub ne soit pas supérieure à 50m. Pour cela il serait intéressant que le local technique ne soit pas dans un angle du bâtiment mais plutôt vers le centre. Il est intéressant de remarquer qu'il n'y a aucun intérêt à éloigner le hub du switch, le résultat sera le même. Un dernier point, si on veut connecter les serveurs avec du Gbps, il faudra un switch en conséquence et bien sur que les serveurs soient à moins de 5 m du switch (ou utiliser des jarretières optiques). Batiment Bureautique Un seul hub 64 ports est suffisant. En utilisant un câblage classique paire torsadée UTP 5.5e , le diamètre maximum sera toujours de 50 m. Ce qui signifie qu'il faudra positionner le hub tel que la distance du poste le plus éloigné du hub ne soit pas supérieur à 25m. Pour cela il serait intéressant que le local technique ne soit pas dans un angle du bâtiment mais plutôt vers le centre. Batiment d'Exploitation Ce bâtiment est plus grand que les autres, il nécessite obligatoirement un switch à cause au moins du round trip delay à 100 mbps. Ici il ne faudra pas qu'un poste se situe à plus de 50 m du switch. Si on doit absolument ajouter de la longueur, sans ajouter de switch, on peut simplement relier les hubs au switch avec de la fibre optique. Dans la configuration du schéma on utilise le fait d'être obligé d'utiliser un switch pour séparer les deux groupes afin qu'ils soient le plus indépendant possibles. Toutes les machines d'un même groupe, dans une même partie du hangar seront reliées sur le même hub mais 2 postes, même côte à côte seront sur 2 hub différents si ils ne font pas partie du même groupe. Cette configuration aura pour effet que les discussions des postes du groupe 1 avec leur serveur n'auront jamais d'effet sur les discussions des postes du groupe 2 avec leur serveur. Liaison des 3 batiments Pour relier ces 3 bâtiments il suffit en premier lieu de relier le switch du hangar avec celui du bâtiment administratif avec obligatoirement de la fibre optique (à cause de la distance). Puis d'ajouter un switch dans le bâtiment de bureautique, en effet si on reliait directement le hub avec le switch du bâtiment administratif, il y aurait au moins 40 m du switch au hub, ce qui condamnerait les postes de bâtiment à être à moins de 10 m du hub (relativement gênant !). On ajoute donc un switch, connecté d'un coté au hub et de l'autre au switch du bâtiment administratif. La liaison pourrait ici être en paire torsadé mais pour une liaison extérieur il serait peut être préférable d'utiliser de la fibre optique. Si vous avez tenu compte de toutes les limitations, le schéma obtenu doit correspondre à une architecture physique possible, nous reviendrons plus tard sur la fiabilisation de ce réseau. Fiabilisation Spanning Tree Utilité L'algorithme du Spanning Tree (802.1d) permet entre autre de placer des Switchs dit de backup qui ne serviront qu'en cas de panne du réseau. Cet algorithme va donc permettre de mettre en place des chemins secondaires pour que le réseau ne s'arrête pas complètement en cas de panne d'une seule partie. Explication de l'algorithme Soit un réseau raccordé par 5 switchs comme ci dessus. Cette configuration est valide mais sensible aux pannes d'un câble ou d'un switch. Si on raccorde les 5 switchs de cette manière il existera des chemins secondaires mais des cycles de diffusion vont apparaître et perturber le fonctionnement du réseau : Le but du 802.1d est de déterminer un arbre de recouvrement sans Cycle. Chaque switch a un identificateur unique Id éventuellement paramétrable par l'administrateur. Chaque switch au démarrage émet une trame BPDU avec son Id, si il reçoit une BPDU avec un Id inférieur au sien, il s'arrête d'émettre ses BPDU mais diffuse la BPDU reçue. Ce mécanisme permet d'élire un Switch Racine qui sera la racine de l'arbre de recouvrement. Dans le paramétrage ci dessus l'administrateur, en choisissant les Id, précise qu'il souhaite que le switch 2 soit racine, si il ne fonctionne pas alors que ce soit le switch 5 et sinon peu importe. En fonctionnement normal on aura donc le switch 2 comme switch racine de l'arbre de recouvrement. Dans les BPDU, en plus de l'Id il y a inscrit un coût. Ce coût est soit simplement le nombre de switchs traversés, soit 1000 divisé par le débit de la ligne empruntée, soit un coût paramétré par port du switch. Prenons ici le cas du coût en fonction du débit de la ligne. Le switch 5 recevra des BPDU en provenance du switch racine de trois manières différentes : 1) directement avec un coût de 100 2) par le switch 3 avec un coût de 10 + 10 3) par le switch 1 et 4 avec un coût de 10 + 100 + 10 Il choisira donc que le chemin le plus court vers le switch racine sera par le switch 3, il fermera ses 2 autres ports (vers le switch 2 et 4) et les considèrera comme des ports de backup (en cas d'égalité de coût). C'est à dire qu'il continuera à écouter sur ces ports mais n'enverra rien dans cette direction. Chaque switch fera la même chose, ce qui nous donnera l'arbre de recouvrement suivant : Le switch racine continuera à envoyer ses BPDU régulièrement, au bout d'un certain temps si un switch ne reçoit plus les BPDU du switch racine (ou si il reçoit d'autres BPDU) il se remettra à émettre ses propres BPDU et débloquera ses ports de backup. Un nouvel arbre de recouvrement sera calculé. Calcul de l'arbre de recouvrement 1) Dessinez l'arbre de recouvrement de ce réseau. 2) Si le câble en gras entre le switch Id 1 et Id 2 tombe en panne, que se passe-t-il ? dessinez le nouvel arbre de recouvrement. 3) Si le switch Id 1 tombe en panne que se passe-t-il ? dessinez le nouvel arbre de recouvrement. 1) Voici l'arbre de recouvrement : 2) La coupure d'un cable provoquerait le recalcul de l'arbre de recouvrement (absence de BPDU régulière), voici un arbre possible : et un autre : 3) La perte du switch provoquerait cet arbre : Rappel RSTP Le protocole 802.1w ou Rapid Spanning Tree Protocol fonctionne de la même manière que le 802.1d mais le complète par un protocole Hello qui permet une détection des pannes et une reconfiguration plus rapide. Adapter Fault Tolerance But Le but de l'AFT est que le réseau continue de fonctionner malgré la panne d'un câble. Le principe de la fiabilisation appliqué est que si un câble tombe en panne, seule la machine qui est raccordée par ce câble doit avoir un soucis réseau. Ce qui signifie que si un câble entre 2 switchs tombe en panne le réseau ne doit pas s'arrêter ! Exercice Dans la configuration précédente où vous aviez conçu l'architecture d'un réseau avec 3 bâtiments, mettez en place un niveau AFT. Pour cela pensez que l'on peut soit doubler les câbles (RSTP fonctionne aussi sur 2 câbles reliant 2 switchs) soit avoir des chemins de secours. Il faut pour ca (comme dit dans l'énoncé) soit doubler les cables qui relient les switchs entre eux, soit relier le batiment d'exploitation au batiment de bureautique. Seulement ce n'est pas suffisant, ici cela mettrait en place un niveau AFT pour les liaisons extérieures mais que se passe-t-il si un cable qui relie un hub à un switch tombe en panne ? c'est toute une partie du réseau qui tombe en panne ... Dans l'architecture actuelle il n'y a aucune solution, les hubs n'étant pas capables de faire du spanning tree, on ne peut pas faire de boucles avec eux. Pour véritablement mettre en place une architecture AFT, il faut en premier lieu n'avoir ici que des switchs : Dans le batiment administratif on peut donc remplacer le hub par un switch puis doubler les cables entre les deux swtichs. Dans le batimentent bureautique, il suffit de remplacer le hub et le petit switch par un seul "gros" switch. Dans le batiment d'exploitation je propose plutot que de doubler les cables de relier les switchs remplacant les hubs entre eux : Switch Fault Tolerance But Le but du SFT est que le réseau continue de fonctionner malgré la panne d'un switch. Le principe de la fiabilisation appliqué est que si un switch tombe en panne, seules les machines qui sont raccordées directement à ce switch doivent avoir un soucis réseau. Pour cela on n'utilise rien d'autre que RSTP, en poussant le raisonnement jusqu'au bout, on obtient non seulement des chemins secondaires mais aussi des switchs secondaires. Exercice Dans la configuration précédente où vous avez fiabilisé l'architecture d'un réseau avec 3 bâtiments, mettez en place un niveau SFT. Faites attentions aux switchs des serveurs ! Pour cette configuration on peut aller très loin et tout mettre en double, voilà une proposition qui semble raisonnable tout en ayant un niveau fiabilité assez important : le niveau AFT décrit précédement correspond à ce schéma (les cables doublés ne sont pas inscrit sur ce schéma) Afin d'assurer l'accès au serveur ceux ci doivent être connectés à 2 switchs différents. Etant donné que l'on ne vas pas connecter une imprimante à deux switchs on choisira plutot de connecter une imprimante par switch. Pour le batiment de bureautique le risque est que tout repose sur un seul switch, on peut proposer une solution en utilisant 2 switchs, ainsi si l'un des deux tombe en panne, seule la moitié des postes n'accédera plus au réseau. Pour le batiment d'exploitation, l'avantage de la connection que l'on a prévu est que l'on peut très simplement rendre transparente la panne du switch central en connectant un des switchs (ou plus) périphériques à un autre batiment. On peut toujours améliorer une architecture mais ici, la perte d'un switch n'entraine un problème que pour les postes directement relié à ce switch. Ce qui est déjà raisonnable. Adaptative Load Balancing But Le but de la répartition des charges est d'augmenter les performances tout en améliorant la fiabilité en utilisant tous les câblages disponibles. Ceci fonctionne à l'aide du protocole 802.3ad. Exercice Dans la configuration précédente où vous avez fiabilisé l'architecture d'un réseau avec 3 bâtiments, où serait il intéressant d'utiliser 802.3ad ? Le load Balancing serait interessant ici entre les serveurs et les switchs ainsi qu'entre les batiments. Ces passages obligatoires étant des goulots d'étranglement il est interessant de pouvoir augmenter le débit à chaque fois qu'on ajoute un cable de "backup". Puisqu'on a tiré 2 ou 4 lignes entre 2 batiments pour assurer la fiabilité, il serait dommage de ne pas pouvoir les rentabiliser en transmettant sur ces lignes 200 ou 400 Mbps (voir plus) au lieu de simplement 100 Mbps. WiFi Portée Un réseau avec un PA et un réseau Ad Hoc Exercices Sur le réseau de gauche un PA diffuse un ESSID toutes les 0.1s dans la zone grisée. Sur le réseau de droite, il n'y a pas de PA mais les portables sont configurés en ad hoc. En nommant les portables de gauche à droite A,B et C, précisez qui peut discuter avec qui. Sur le réseau de gauche tous les portables étant à portée du PA, ils accèdent tous au réseau désigné par le ESSID diffusé. Chaque portable accède à la parole par CSMA/CA et n'emmettra donc une trame que lorsque le PA lui enverra un CTS (à la suite du RTS). Sur le réseau de droite chaque portable pourra être à la fois client et PA. A et B étant dans la même zone de couverture pourront discuter entre eux, B et C de même mais, par contre A et C ne se "voyant" pas (et la station B ne jouant pas le rôle de relais) ne pourront pas échanger de données ! Dans le réseau ad hoc (sans ajouter de routeur) nous voudrions partager une connexion Internet. Est ce possible ? comment faire ? Si on installe la connexion Internet sur le poste B, ce dernier aura donc accès à Internet. Ensuite il suffira de mettre en place un Proxy HTTP sur ce poste, le proxy étant visible par A et C, ces 2 machines pourront accéder à internet via le poste B. Seulement, on est malheureusement sur un site où il n'y a ni de xDSL, ni de BLR, ni de câble. Donnez une solution selon les besoins en termes de débits : 1) 30 kbps (up et down) 2) 128 kbps (up et down) 3) 512 kpbs (up et down) 4) 2048 kpbs (up et down garanties) 1) Plusieurs solutions sont possibles, la solution qui semble la plus adaptée est certainement une liaison RTC classique avec un modem 56k V92 mais rien n'empêche d'utiliser une liaison RNIS (avec numeris de FT par exemple) ou même une connexion à un opérateur mobile à l'aide d'un modem GPRS même si la première solution sera sans aucun doute la moins couteuse. 2) La connexion GPRS et RTC ne sont pas vraiment utilisable dans ce cas, il semble donc que la meilleure solution soit de s'orienter vers une liaison RNIS. 3) Il est toujours possible d'obtenir un tel débit avec une aggrégation de liaisons RNIS mais on peut commencer à envisager la mise en place d'une liaison spécialisée (câble direct vers l'opérateur). Au niveau du coût, la liaison RNIS restera moins couteuse à l'abonnement mais il faut se connecter (numéroter) à chaque besoin (comme avec le RTC) d'accès à Internet, cette solution sera intéressante pour mettre en place une liaison à Internet non continue mais si il s'agit de rester connecté 24h/24h, il sera envisageable alors d'aller vers une LS. 4) la seule solution pour assurer un tel débit dans ces conditions et surtout de le garantir est bien sur la LS. Si on veut pouvoir télécharger l'équivalent de 2 CDs (700 Mo chacun) chaque matin en environ 1h qui contiennent la mise à jour de la base sur laquelle on travaille. Quelles liaisons doit on envisager (en termes de débit)? Sachant qu'en plus, plusieurs sites doivent télécharger ce même cd tous les matins à la même heure quelle technologie choisiriez vous ? On doit donc télécharger 1400 Mo soit 11744051200 bits en 1h (3600secondes). Il faut donc une liaison en download de 3263 kbps. Dans la mesure où il s'agit d'une connexion ponctuelle (1h par jour) et que les mêmes données sont à télécharger sur différents sites la liaison à utiliser (sans hésitation possible) est une liaison satellite. Firewall Soit le réseau suivant : Remarque: le serveur de mail permet d'envoyer (SMTP) mais aussi de stocker (POP) les mails des utilisateurs de ce réseau, le serveur web pour Internet contient une description de la société (disponible à tout le monde), le serveur web pour l'extranet contient des informations sur les stocks disponibles pour les 3 filiales dont l'adresse IP publique du routeur de chacune de ces filiales est 82.134.56.12, 187.54.54.13 et 154.32.76.231 (disponible en interne mais aussi pour les 3 filiales). le serveur web pour l'intranet contient des informations sur la réservation des différentes salles de formation du batiment (disponible uniquement en interne). le serveur de fichier contient les données des utilisateurs. Sachant que le fournisseur d'accès Internet nous fournit une adresse IP publique (82.87.192.10/24) avec un DNS primaire (82.87.192.201), un DNS secondaire (82.87.193.201) et un routeur par défault (82.87.192.254), donnez un plan d'adressage de ce réseau (donnez une adresse IP à tout ce qui peut en avoir une) et donnez si il y a lieu le paramétrage du NAT intégré au routeur. Une solution possible : réseau des serveurs 192.168.1.0/24 avec comme adresse 192.168.1.1 à 192.168.1.5 pour les serveurs et 192.168.1.254 pour le routeur. réseau des postes de travail 192.168.2.0/24 avec comme adresse 192.168.2.1 à 192.168.2.5 pour les postes et 192.168.2.254 pour le routeur. le routeur a une troisième adresse IP côté FAI, 82.87.192.10. le NAT doit bien sur fonctionner en dynamique pour permettre à tous d'accéder à Internet mais il doit aussi fonctionner en statique pour permettre l'accès au serveur pour l'Internet et celui pour l'extranet. La configuration statique pourrait être : port TCP 80 => adresse IP du serveur pour l'Internet sur le port 80. port TCP 8000 => adresse IP du serveur pour l'extranet sur le port 80. Supposons maintenant qu'il y ait un firewall intégré dans chaque switch et routeur de notre réseau. On peut décrire la configuration d'un matériel de la manière suivante : Configuration du firewall du routeur Branchement 1 En entrée Tout interdire sauf Adresse ip source port souce adresse ip destination port destination 87.65.45.154 TCP-* 192.123.23.154 TCP-80 à 82 En sortie Tout autorisé sauf Adresse ip source port souce adresse ip destination port destination 192.168.1.1 à 192.168.1.3 TCP-* * * * * * 21 Branchement 2 ... cet exemple n'est que montré le principe de description des filtres. Pour chaque prise on décrit le filtre entrant et sortant, en précisant si on interdit tout sauf, ou si on autorise tout sauf. Ensuite on décrit sur une ou plusieurs lignes les filtres en précisant les adresses IP (ou plage d'adresse) source filtrées, les ports (ou plage de port) sources filtrés et les adresses destinations ainsi que les ports destinations. une étoile signifie simplement "tous". Par exemple la dernière ligne du branchement 2 précise que (sachant que tout est autorisé) aucune machine, quelque soit le port source autorisé, ne peut se connecter au port 21 de n'importe quel serveur ! En utilisant un tableau dans ce genre pour les 3 matériels du réseau ci précédement cité, indiquez les filtres à mettre en place pour : interdire aux postes de travail de communiquer entre eux (évite la propagation des virus). interdire l'accès aux postes de travail depuis l'extérieur. n'autoriser aux postes de travail que l'accès au Web, à FTP et SSH. interdire l'accès aux différents serveurs depuis l'exterieur (sauf au serveur web, au serveur de mail qui doit être joignable des serveurs smtp, à l'extranet qui ne doit être joignable que depuis les filiales). interdire l'accès à l'extérieur (sauf au web) depuis chaque serveur, seul le serveur de mail peut accèder à un serveur SMTP. Configuration du firewall du routeur Branchement 1 En entrée Tout interdire sauf Adresse ip source port souce adresse ip destination port destination * TCP-* 192.168.1.1 TCP-25 * TCP-* 192.168.1.3 TCP-80 82.134.56.12 TCP-* 192.168.1.4 TCP-80 187.54.54.13 TCP-* 192.168.1.4 TCP-80 154.32.76.231 TCP-* 192.168.1.4 TCP-80 En sortie Tout interdire sauf Adresse ip source port souce adresse ip destination port destination 192.168.2.1 à 192.168.2.5 TCP-* * TCP-21 à 22 * TCP-* * TCP-80 192.168.1.1 TCP-* * TCP-25 Branchement 3 En entrée Tout interdire sauf Adresse ip source port souce adresse ip destination port destination 192.168.2.1 à 192.168.2.5 * 192.168.1.2 à 192.168.1.5 TCP-80 192.168.2.1 à 192.168.2.5 * 192.168.1.1 TCP-25 192.168.2.1 à 192.168.2.5 * 192.168.1.1 TCP-110 192.168.2.1 à 192.168.2.5 * 0.0.0.0 à 192.168.0.255 * 192.168.2.1 à 192.168.2.5 * 192.168.3.0 à 255.255.255.255 * En sortie Tout autorisé Branchement 3 Tout autorisé Configuration du firewall du switch des postes de travail Pour tout les branchements En sortie Tout autorisé sauf Adresse ip source port souce adresse ip destination port destination 192.168.2.1 à 192.168.2.5 TCP-* 192.168.2.1 à 192.168.2.5 TCP-* tout le reste est autorisé ! Chiffrement Comprendre le hachage une fonction de hachage permet de donner un code sur une longueur le plus souvent fixe représentatif d'un texte. L'exemple ci dessous n'est pas une réelle fonction de hachage connue mais fonctionne sur le même principe : soit le message suivant : "1001101101001011110101010110110101010". sur ce message nous voudrions avoir un code représentatif sur 5 bits, pour cela nous allons décomposer le message en morceau de 5 bits et nous allons donner une valeur à chaqeu morceau en considérant le bit de poids faible à gauche (ce qui n'est pas habituel) : 10011=1+0+0+8+16=25 01101 =2+4+16=22 00101 =20 11101 =23 01010 =10 11011 =27 01010 =10 10=1 puis on va faire la somme de ces nombres : 25+22+20+23+10+27+10+1=138 et noter le résultat (modulo 32) sur 5 bits : 138 modulo 32 = 10. Le résultat de notre fonction de hachage sur le texte sera donc 01010. Bien sûr si il y aura plusieurs textes ayant le même résultat mais si on change des bits dans le texte, le résultats n'a qu'une chance sur 32 d'être identique. Une bonne fonction de hachage permet de garantir que peu de textes auront le même code et que ceux qui auront le même code seront de préférence radicalement différents. En utilisant le même principe que ci dessus, donner un code hachage sur 10 bits du texte suivant : 1001101101001011110101010110110101010100100100100101111011010100101010101 1000011011010101010101110101010101010101010011001010101010101010101010101 111101010 1001101101=729 0010111101=756 0101011011=874 0101010100=170 1001001001=585 0111101101=734 0100101010=338 1011000011=781 0110101010=342 1010111010=373 1010101010=341 1010100110=405 0101010101=682 0101010101=682 0101011111=1002 01010=10 TOTAL : 8804 modulo 1024 = 612 (0010011001) vous pouvez essayer de changer quelques bits du message, le code de hachage sera différent. Essayez de décrire quels sont les autres messages ayant le même code de hachage. Il suffit d'obtenir un resultat équivalent modulo 1024, donc par exemple sur les 2 premiers paquets on peut faire cette transformation : 1001101101=729 => 0001101101=728 0010111101=756 => 1010111101=757 le total ne sera pas changé, le code de hachage sera donc le même. soit on fait cettre transformation : 1001101101=729 => 0001101100=217 0010111101=756 => 1010111100=244 le total aura changé mais fera simplement 1024 de moins donc le code de hachage sera identique ! C'est une mauvaise fonction de hachage mais elle permet de comprendre le principe. Signer un message avec un secret partagé un exemple de cryptage avec un secret partagé est d'utiliser le ou exclusif, par exemple si le message est 1001101010 et le secret partagé est 0101011011, un ou exclusif entre les 2 donne : 1100110001. Ce message n'a rien à voir avec le message d'origine mais si on refait un ou exclusif avec le secret partagé on obtient : 1001101010 qui est exactement le message d'origine. C'est un moyen simple de crypter les données. A l'aide du secret partagé ci dessus et de la fonction de hachage précédente décrire le message envoyé sur le réseau pour transmettre le message : (message de l'exercice précédent) 1001101101001011110101010110110101010100100100100101111011010100101010101 1000011011010101010101110101010101010101010011001010101010101010101010101 111101010 en garantissant l'intégrité du contenu et l'authentification de l'emetteur. Expliquer en quoi on est sûr de l'auteur du message et quel est l'inconvénient de cette méthode. Message d'origine : 1001101101001011110101010110110101010100100100100101111011010100101010101 1000011011010101010101110101010101010101010011001010101010101010101010101 111101010 Code de hachage : 0010011001 Secret partagé : 0101011011 Code de hachage crypté : 0111000010 Message envoyé = message d'origine+code de hachage crypté. Le code de hachage étant crypté, il est difficile de modifier le contenu et de modifier le code code hachage pour qu'il tombe juste, l'intégrité est donc garantie. Si l'auteur du message ne connait pas le secret partagé, il ne pourra crypté correctement le code de hachage, si on peut décrypté le code de hachage correctement, c'est que l'auteur connaissait le secret donc on peut dire que l'auteur est authentifié. L'inconvénient: il faut s'échanger le secret et en plus il faut connaitre un secret par correspondant. Dans notre exemple, la fonction de hachage étant simple et non paramétrée, si on connait la fonction on peut déduire du message le code de hachage. Essayez de faire un ou exclusif entre le code de hachage et le code de hachage crypté vous obtiendrez le secret partagé. En résumé les méthodes décrites ici ne sont pas de "bonnes" méthodes, elles permettent juste de comprendre le mécanisme. Une remarque est que les clés de cryptage du WiFi sont des clés qui fonctionnent par ou exclusifs (pas directement, la clé permet en fait d'obtenir pour chaque message une clé de la longueur du message), il y a 2 manières de les casser : 1) si on connait le message d'origine, en observant le message crypté on peut en déduire la clé. 2) dans notre exemple (codage sur 10 bits) il y a 1024 clé possibles, en les essayant tous on trouve la clé qui marche, c'est un algo de force brute. Sur un AMD Athlon 64 à 3000 Mhz il faut à peine plus d'une seconde pour tester toutes les combinaisons possibles sur 32 bits ! Signer un message avec une paire de clés. Le cryptage asymétrique permet de crypter avec une clé et de décrypter avec une autre clé. Ces clés sont calculées de telle sorte qu'il soit plus complexe de trouver une clé à partir de l'autre que d'essayer toutes les clés. Supposons que nous possédions 10 postes nommés de A à J, chaque poste possède une paire de clés nommées CléPrivA et CléPubA pour le poste A, ... Chaque poste connait la CléPub des autres postes. Nous somme aussi capable de hacher un texte avec une fonction nommée SHA. Décrivez un échange de message et les étapes de test de l'intégrité et de l'authentification de l'envoi d'un message du poste A vers le poste B en utilisant les notations suivantes : poste A message varA=SHA(message) : signifie on hache le message et on stocke le résultat dans varA. varB=CléPubC(message) : signifie on crypte le message avec la clé publique de C et stocke le resultat dans varB. envoi(B,message+varA+varB) : signifie on envoie à B le message suivi de varA et de varB. poste B reception(message+varA+varB) : signifie on recoit message suivi de varA suivi de varB. message=CléPrivA(message) : signifie on decrypte avec la clé privée de A. (l'exemple ci dessus est complètement incohérent, il permet juste de décrire la notation) poste A: message varA=SHA(message) varB=CléPrivA(varA) envoi(B,message+varB) poste B: reception(message+varB) varA=SHA(message) varC=CléPubA(varB) si varA=varC OK sinon problème !! Quel inconvénient voyez vous à cette méthode si il y a 1000 utilisateurs ? décrire de la même manière un échange entre A et B mais avec une autorité de certification qui est le poste C. Il faudrait connaitre les 1000 clés publiques ! Avec les certificats il suffit de connaitre la clé de l'autorité de certification. A l'origine (1 seule fois) poste C : certifA="poste A, nom d'utilisateur, date, durée de validité, CléPubA" certifAsignature=CléPrivC(SHA(certifA)) envoi(A,certifA+certifAsignature) poste A: reception(certifA+certifAsignature) Au moment de l'échange Poste A message varA=SHA(message) varB=CléPrivA(varA) envoi(B,message+varB+certifA+certifAsignature) poste B: reception(message+varB+certifA+certifAsignature) varA=SHA(certifA) varC=CléPubC(varB) si varA=varC certificat accepté sinon problème !! CléPubA=extraire clé publique (certifA) varA=SHA(message) varC=CléPubA(varB) si varA=varC OK sinon problème !! Sécurité Même si cela fait partie d'un autre registre, la mise en place d'une protection par mot de passe sur un site Internet peut être plus ou moins efficace. Essayez d'arriver au moins au niveau 12 du site http://academy.dyndns.org/ On ne mettra pas de correction pour cette partie, elle serait domageable pour le site lui même. Je ne dirais simplement qu'une chose, le source d'une page dans IE est visible avec affichage/source et que tout ce qui s'affiche dans votre navigateur a forcément été chargé sur votre PC (au moins dans les fichiers temporaires Internet) ... une conclusion que l'on pourrait tirée de cet exercice est qu'il est complètement incohérent de mettre en place une contrôle de mot de passe chez le client, même si cela impose que les clients doivent envoyer leur mot de passe sur le réseau. Il est certainement plus difficile de capter un mot de passe sur un réseau (même non crypté) que de forcer une porte si elle est chez nous et que l'on a tous les outils souhaités