Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

TP les couches physiques Ethernet Limitation Ethernet Rappel La

publicité 
TP
les couches physiques
Ethernet
Limitation Ethernet
Rappel
La construction d'un réseau Ethernet est liée à plusieurs contraintes,
rappelons les contraintes principales.
Atténuation du signal (distance maximum du câble)
La distance maximale entre deux répéteurs (IRL : Inter Repeater Link)
dépend de l'atténuation du signal et donc de la qualité du support.
Voici les réseaux que l'on trouve :
· 10 Base 5 : 10 Mbps sur un gros coax avec 500 m max
· 10 Base 2 : 10 Mbps sur un coax fin avec 185 m max
· 1 Base 5 : 1 Mbps sur UTP 3 avec 250 m max
· 10 Base T : 10 Mbps sur UTP 3 avec 100 m max
· 10 Broad 36 : 10 Mbps sur un gros coax avec 1800 m max
· 10 Base F : 10 Mbps sur fibre optique (MMF) avec 2000 m max
· 100 Base TX : 100 Mbps sur 2 paires UTP 5 avec 100 m max
· 100 Base FX : 100 Mbps sur 2 fibres optiques (MMF) avec 1000 m max
· 100 Base T4 : 100 Mbps sur 4 paires UTP 3 avec 100 m max
· 1000 Base SX : 1 Gbps sur fibre optique (MMF) avec 500 m max
· 1000 Base LX : 1 Gbps sur fibre optique (SMF) avec 3000 m max
· 1000 Base CX : 1 Gbps sur 4 paires UTP5 avec 25 m max
Nombre de répéteurs maximum
Il existe une autre contrainte pour les réseaux Ethernet :
Pour du 10 Mbps, il ne faut traverser que 4 répéteurs au maximum.
Pour du 100 Mbps, il ne faut traverser que 2 répéteurs au maximum. En
fait on se permet la plupart du temps d'en traverser 4, la recommandation
était assez stricte pour qu'en pratique ça marche.
Remarque: un hub (ou un swicth) stackable, signifie que l'on peut les
empiler de manière à ce qu'ils ne représentent qu'un seul nœud.
Quel que soit le débit, on ne doit jamais traverser plus de 2 segments
coaxiaux fins.
Configurations possibles
Voici quelques configurations de réseaux Ethernet, pour chacune précisez
si cette configuration est valide, expliquez pourquoi et si elle ne l'est
pas donnez une solution pour qu'elle le devienne.
Config 1 :
Config 2 :
Config 3 :
Config 4 :
Config 5 :
Si maintenant on vous fournissait le budget pour acheter 1 switch, quel
hub remplaceriez vous (pourquoi) ou où l'insèreriez vous ?
Si maintenant on vous fournissait le budget pour acheter encore 1 switch
supplémentaire (2 en tout), quels hubs remplaceriez vous (pourquoi) ou où
les insèreriez vous ?
Round Trip Delay
Rappel
Pour gérer les détections de collision on limite la taille du réseau en
fonction du temps de retournement (Round Trip Delay) de la trame minimum
et du débit. C'est à dire en fonction du temps que les stations mettent à
émettre 512 bits et du temps que met un bit pour faire l'aller retour
entre les deux points les plus éloignés du réseau : il faut pour détecter
une collision qu'avant que la station ait fini d'émettre ses 512 bits le
signal du premier bit soit arrivé au bout et que si une station du bout a
émis un bit à ce moment, il ait eu le temps de revenir. Donc, en résumé,
il faut que le temps d'émission de 512 bits soit supérieur au temps d'un
aller-retour du signal sur le réseau (Round Trip Delay).
Sachant que la vitesse de propagation du signal est de l'ordre 2*107 m/s
sur de la paire torsadée et de 2*108 m/s sur de la fibre optique,
déterminez le diamètre maximum des réseaux suivants :
10baseT, 100baseTx, 1000baseCX, 10baseF, 100baseFX, 1000baseSX.
Rappel détection des collisions (hub et switch)
La limitation du diamètre vis à vis du Round Trip Delay est due au simple
fait que lorsqu'on émet une trame sur un réseau Ethernet, cette trame est
diffusée sur l'ensemble du réseau et qu'une collision peut se produire à
n'importe quel moment. Lorsque l'on utilise un switch, cette limitation
s'arrêtera au switch. En effet même si un switch fonctionne en mode
répéteur par défaut, il sera toujours capable de gérer (et devra le
faire) une collision qui se produit après lui. Un switch ayant relayé une
trame devient " responsable " de cette trame. Un switch classique
fonctionne en Store and Forward , i.e. qu'il récupère complètement la
trame avant de la renvoyer, ceci prend du temps. Pour gagner ce temps
certains switchs peuvent fonctionner en mode Cut Trough, la trame est
alors renvoyée dès que l'on a décodé l'adresse destinataire. Ce mode
permet effectivement une interconnection plus rapide mais possède au
moins un inconvénient majeur : on ne pourra plus interconnecter 2
segments de débits différents.
Calcul de distance maximum
La configuration suivante n'est pas valide. Expliquez pourquoi. Rendez la
valide.
Nous allons essayer de construire un réseau, puis de le fiabiliser.
Une société possède 3 bâtiments :
Un bâtiment administratif qui contient un serveur de fichier qui stocke
les fichiers de tous les utilisateurs de l'entreprise, un serveur Web qui
offre un Intranet visible partout dans l'entreprise, un contrôleur de
domaine permettant l'authentification de chaque utilisateur de
l'entreprise. Dans ce bâtiment se trouve aussi une trentaine de PCs ainsi
que 2 imprimantes réseau. Ce bâtiment n'a pas d'étage. Il fait 30 m sur
50 m.
Un bâtiment bureautique qui compte 60 PCs de bureautique répartis sur 2
étages. Ce bâtiment est un carré de 40 m de côté.
Un bâtiment d'exploitation qui compte une centaine de PCs réparti en 2
groupes à peu près égaux. Chacun de ces groupes (en plus des 3 serveurs
de base) utilise un serveur dédié à ce groupe présent dans ce bâtiment
(donc 2 serveurs). Les 100 PCs sont répartis indépendamment du groupe
auquel ils appartiennent dans un hangar de 120m sur 50m.
Ces trois bâtiments forment un triangle, il y a 40 m entre le bâtiment
d'administration et celui de bureautique, 125 m entre le bâtiment
d'administration et celui d'exploitation et enfin 110m entre celui
d'exploitation et celui de bureautique.
Les PCs fonctionnent en 100 Mbps, pour éviter des ralentissements on
souhaiterait que les serveurs soient raccordés en 1 Gbps.
1) Pour chaque bâtiment, choisissez les Hubs et Switch nécessaires et
dites quel type de câble vous utiliseriez. N'utilisez des switchs que si
cela vous semble utile, de même pour la fibre optique.
2) Choisissez un chemin de raccordement entre les bâtiments, le type de
câblage et le type de noeuds (hub ou switch) pour le raccordement.
3) Indiquez toutes les limitations en distance ou en débit pour chaque
partie de votre réseau, n'oubliez pas de tenir compte du Round Trip Delay
mais aussi du nombre de répéteurs et de la distance maximale avant
atténuation du signal. Précisez donc ( par exemple) dans ce bâtiment il y
aura 10 PCs à moins de X m du switch plus un Hub et 20 PCs à moins de Y m
de ce Hub.
Si vous avez tenu compte de toutes les limitations, le schéma obtenu
doit correspondre à une architecture physique possible, nous reviendrons
plus tard sur la fiabilisation de ce réseau.
Fiabilisation
Spanning Tree
Utilité
L'algorithme du Spanning Tree (802.1d) permet entre autre de placer des
Switchs dit de backup qui ne serviront qu'en cas de panne du réseau. Cet
algorithme va donc permettre de mettre en place des chemins secondaires
pour que le réseau ne s'arrête pas complètement en cas de panne d'une
seule partie.
Explication de l'algorithme
Soit un réseau raccordé par 5 switchs comme ci dessus. Cette
configuration est valide mais sensible aux pannes d'un câble ou d'un
switch.
Si on raccorde les 5 switchs de cette manière il existera des chemins
secondaires mais des cycles de diffusion vont apparaître et perturber le
fonctionnement du réseau :
Le but du 802.1d est de déterminer un arbre de recouvrement sans Cycle.
Chaque switch a un identificateur unique Id éventuellement paramétrable
par l'administrateur.
Chaque switch au démarrage émet une trame BPDU avec son Id, si il reçoit
une BPDU avec un Id inférieur au sien, il s'arrête d'émettre ses BPDU
mais diffuse la BPDU reçue. Ce mécanisme permet d'élire un Switch Racine
qui sera la racine de l'arbre de recouvrement. Dans le paramétrage ci
dessus l'administrateur, en choisissant les Id, précise qu'il souhaite
que le switch 2 soit racine, si il ne fonctionne pas alors que ce soit le
switch 5 et sinon peu importe.
En fonctionnement normal on aura donc le switch 2 comme switch racine de
l'arbre de recouvrement.
Dans les BPDU, en plus de l'Id il y a inscrit un coût. Ce coût est soit
simplement le nombre de switchs traversés, soit 1000 divisé par le débit
de la ligne empruntée, soit un coût paramétré par port du switch.
Prenons ici le cas du coût en fonction du débit de la ligne. Le switch 5
recevra des BPDU en provenance du switch racine de trois manières
différentes :
1) directement avec un coût de 100
2) par le switch 3 avec un coût de 10 + 10
3) par le switch 1 et 4 avec un coût de 10 + 100 + 10
Il choisira donc que le chemin le plus court vers le switch racine sera
par le switch 3, il fermera ses 2 autres ports (vers le switch 2 et 4) et
les considèrera comme des ports de backup (en cas d'égalité de coût).
C'est à dire qu'il continuera à écouter sur ces ports mais n'enverra rien
dans cette direction.
Chaque switch fera la même chose, ce qui nous donnera l'arbre de
recouvrement suivant :
Le switch racine continuera à envoyer ses BPDU régulièrement, au bout
d'un certain temps si un switch ne reçoit plus les BPDU du switch racine
(ou si il reçoit d'autres BPDU) il se remettra à émettre ses propres BPDU
et débloquera ses ports de backup. Un nouvel arbre de recouvrement sera
calculé.
Calcul de l'arbre de recouvrement
1) Dessinez l'arbre de recouvrement de ce réseau.
2) Si le câble en gras entre le switch Id 1 et Id 2 tombe en panne, que
se passe-t-il ? dessinez le nouvel arbre de recouvrement.
3) Si le switch Id 1 tombe en panne que se passe-t-il ? dessinez le
nouvel arbre de recouvrement.
Rappel RSTP
Le protocole 802.1w ou Rapid Spanning Tree Protocol fonctionne de la même
manière que le 802.1d mais le complète par un protocole Hello qui permet
une détection des pannes et une reconfiguration plus rapide.
Adapter Fault Tolerance
But
Le but de l'AFT est que le réseau continue de fonctionner malgré la panne
d'un câble. Le principe de la fiabilisation appliqué est que si un câble
tombe en panne, seule la machine qui est raccordée par ce câble doit
avoir un soucis réseau. Ce qui signifie que si un câble entre 2 switchs
tombe en panne le réseau ne doit pas s'arrêter !
Exercice
Dans la configuration précédente où vous aviez conçu l'architecture d'un
réseau avec 3 bâtiments, mettez en place un niveau AFT. Pour cela pensez
que l'on peut soit doubler les câbles (RSTP fonctionne aussi sur 2 câbles
reliant 2 switchs) soit avoir des chemins de secours.
Switch Fault Tolerance
But
Le but du SFT est que le réseau continue de fonctionner malgré la panne
d'un switch. Le principe de la fiabilisation appliqué est que si un
switch tombe en panne, seules les machines qui sont raccordées
directement à ce switch doivent avoir un soucis réseau. Pour cela on
n'utilise rien d'autre que RSTP, en poussant le raisonnement jusqu'au
bout, on obtient non seulement des chemins secondaires mais aussi des
switchs secondaires.
Exercice
Dans la configuration précédente où vous avez fiabilisé l'architecture
d'un réseau avec 3 bâtiments, mettez en place un niveau SFT. Faites
attentions aux switchs des serveurs !
Adaptative Load Balancing
But
Le but de la répartition des charges c'est d'augmenter les performances
tout en améliorant la fiabilité en utilisant tous les câblages
disponibles. Ceci fonctionne à l'aide du protocole 802.3ad.
Exercice
Dans la configuration précédente où vous avez fiabilisé l'architecture
d'un réseau avec 3 bâtiments, où serait il intéressant d'utiliser 802.3ad
?
WiFi
Portée
Un réseau avec un PA et un réseau Ad Hoc
Exercices
Sur le réseau de gauche un PA diffuse un ESSID toutes les 0.1s dans la
zone grisée. Sur le réseau de droite, il n'y a pas de PA mais les
portables sont configurés en ad hoc. En nommant les portables de gauche à
droite A,B et C, précisez qui peut discuter avec qui.
Dans le réseau ad hoc (sans ajouter de routeur) nous voudrions partager
une connexion Internet. Est ce possible ? comment faire ?
Seulement, on est malheureusement sur un site où il n'y a ni de xDSL, ni
de BLR, ni de câble. Donnez une solution selon les besoins en termes de
débits :
1) 30 kbps (up et down)
2) 128 kbps (up et down)
3) 512 kpbs (up et down)
4) 2048 kpbs (up et down garanties)
Si on veut pouvoir télécharger l'équivalent de 2 CDs (700 Mo chacun)
chaque matin en environ 1h qui contiennent la mise à jour de la base sur
laquelle on travaille. Quelles liaisons doit on envisager (en termes de
débit)? Sachant qu'en plus, plusieurs sites doivent télécharger ce même
cd tous les matins à la même heure quelle technologie choisiriez vous ?
Firewall
Soit le réseau suivant :
Remarque:
le serveur de mail permet d'envoyer (SMTP) mais aussi de stocker (POP)
les mails des utilisateurs de ce réseau,
le serveur web pour Internet contient une description de la société
(disponible à tout le monde),
le serveur web pour l'extranet contient des informations sur les stocks
disponibles pour les 3 filiales dont l'adresse IP publique du routeur de
chacune de ces filiales est 82.134.56.12, 187.54.54.13 et 154.32.76.231
(disponible en interne mais aussi pour les 3 filiales).
le serveur web pour l'intranet contient des informations sur la
réservation des différentes salles de formation du batiment (disponible
uniquement en interne).
le serveur de fichier contient les données des utilisateurs.
Sachant que le fournisseur d'accès Internet nous fournit une adresse IP
publique (82.87.192.10/24) avec un DNS primaire (82.87.192.201), un DNS
secondaire (82.87.193.201) et un routeur par défault (82.87.192.254),
donnez un plan d'adressage de ce réseau (donnez une adresse IP à tout ce
qui peut en avoir une) et donnez si il y a lieu le paramétrage du NAT
intégré au routeur.
Supposons maintenant qu'il y ait un firewall intégré dans chaque switch
et routeur de notre réseau. On peut décrire la configuration d'un
matériel de la manière suivante :
Configuration du firewall
Branchement 1
En entrée
Tout interdire sauf
Adresse ip source
port souce
adresse ip destination
port destination
87.65.45.154
TCP-*
192.123.23.154
TCP-80 à 82
En sortie
Tout autorisé sauf
Adresse ip source
port souce
adresse ip destination
port destination
192.168.1.1 à 192.168.1.3
TCP-*
*
*
*
*
*
21
Branchement 2
...
cet exemple n'est que montré le principe de description des filtres. Pour
chaque prise on décrit le filtre entrant et sortant, en précisant si on
interdit tout sauf, ou si on autorise tout sauf. Ensuite on décrit sur
une ou plusieurs lignes les filtres en précisant les adresses IP (ou
plage d'adresse) source filtrées, les ports (ou plage de port) sources
filtrés et les adresses destinations ainsi que les ports destinations.
une étoile signifie simplement "tous". Par exemple la dernière ligne du
branchement 2 précise que (sachant que tout est autorisé) aucune machine,
quelque soit le port source autorisé, ne peut se connecter au port 21 de
n'importe quel serveur !
En utilisant un tableau dans ce genre pour les 3 matériels du réseau ci
précédement cité, indiquez les filtres à mettre en place pour :
interdire aux postes de travail de communiquer entre eux (évite la
propagation des virus).
interdire l'accès aux postes de travail depuis l'extérieur.
n'autoriser aux postes de travail que l'accès au Web, à FTP et SSH.
interdire l'accès aux différents serveurs depuis l'exterieur (sauf au
serveur web, au serveur de mail qui doit être joignable des serveurs
smtp, à l'extranet qui ne doit être joignable que depuis les filiales).
interdire l'accès à l'extérieur (sauf au web) depuis chaque serveur, seul
le serveur de mail peut accèder à un serveur SMTP.
Chiffrement
Comprendre le hachage
une fonction de hachage permet de donner un code sur une longueur le plus
souvent fixe représentatif d'un texte. L'exemple ci dessous n'est pas une
réelle fonction de hachage connue mais fonctionne sur le même principe :
soit le message suivant : "1001101101001011110101010110110101010".
sur ce message nous voudrions avoir un code représentatif sur 5 bits,
pour cela nous allons décomposer le message en morceau de 5 bits et nous
allons donner une valeur à chaqeu morceau en considérant le bit de poids
faible à gauche (ce qui n'est pas habituel) :
10011=1+0+0+8+16=25
01101 =2+4+16=22
00101 =20
11101 =23
01010 =10
11011 =27
01010 =10
10=1
puis on va faire la somme de ces nombres : 25+22+20+23+10+27+10+1=138 et
noter le résultat (modulo 32) sur 5 bits : 138 modulo 32 = 10. Le
résultat de notre fonction de hachage sur le texte sera donc 01010. Bien
sûr si il y aura plusieurs textes ayant le même résultat mais si on
change des bits dans le texte, le résultats n'a qu'une chance sur 32
d'être identique. Une bonne fonction de hachage permet de garantir que
peu de textes auront le même code et que ceux qui auront le même code
seront de préférence radicalement différents.
En utilisant le même principe que ci dessus, donner un code hachage sur
10 bits du texte suivant :
1001101101001011110101010110110101010100100100100101111011010100101010101
1000011011010101010101110101010101010101010011001010101010101010101010101
111101010
vous pouvez essayer de changer quelques bits du message, le code de
hachage sera différent.
Essayez de décrire quels sont les autres messages ayant le même code de
hachage.
Signer un message avec un secret partagé
un exemple de cryptage avec un secret partagé est d'utiliser le ou
exclusif, par exemple si le message est 1001101010 et le secret partagé
est 0101011011, un ou exclusif entre les 2 donne :
1100110001. Ce message n'a rien à voir avec le message d'origine mais si
on refait un ou exclusif avec le secret partagé on obtient : 1001101010
qui est exactement le message d'origine. C'est un moyen simple de crypter
les données.
A l'aide du secret partagé ci dessus et de la fonction de hachage
précédente décrire le message envoyé sur le réseau pour transmettre le
message : (message de l'exercice précédent)
1001101101001011110101010110110101010100100100100101111011010100101010101
1000011011010101010101110101010101010101010011001010101010101010101010101
111101010
en garantissant l'intégrité du contenu et l'authentification de
l'emetteur. Expliquer en quoi on est sûr de l'auteur du message et quel
est l'inconvénient de cette méthode.
Signer un message avec une paire de clés.
Le cryptage asymétrique permet de crypter avec une clé et de décrypter
avec une autre clé. Ces clés sont calculées de telle sorte qu'il soit
plus complexe de trouver une clé à partir de l'autre que d'essayer toutes
les clés.
Supposons que nous possédions 10 postes nommés de A à J, chaque poste
possède une paire de clés nommées CléPrivA et CléPubA pour le poste A,
... Chaque poste connait la CléPub des autres postes.
Nous somme aussi capable de hacher un texte avec une fonction nommée SHA.
Décrivez un échange de message et les étapes de test de l'intégrité et de
l'authentification de l'envoi d'un message du poste A vers le poste B en
utilisant les notations suivantes :
poste A
message
varA=SHA(message) : signifie on hache le message et on stocke le résultat
dans varA.
varB=CléPubC(message) : signifie on crypte le message avec la clé
publique de C et stocke le resultat dans varB.
envoi(B,message+varA+varB) : signifie on envoie à B le message suivi de
varA et de varB.
poste B
reception(message+varA+varB) : signifie on recoit message suivi de varA
suivi de varB.
message=CléPrivA(message) : signifie on decrypte avec la clé privée de A.
(l'exemple ci dessus est complètement incohérent, il permet juste de
décrire la notation)
Quel inconvénient voyez vous à cette méthode si il y a 1000 utilisateurs
?
décrire de la même manière un échange entre A et B mais avec une autorité
de certification qui est le poste C.
Sécurité
Même si cela fait partie d'un autre registre, la mise en place d'une
protection par mot de passe sur un site Internet peut être plus ou moins
efficace.
Essayez d'arriver au moins au niveau 12 du site
http://academy.dyndns.org/
TP Correction
les couches physiques
Ethernet
Limitation Ethernet
Rappel
La construction d'un réseau Ethernet est liée à plusieurs contraintes,
rappelons les contraintes principales.
Atténuation du signal (distance maximum du câble)
La distance maximale entre deux répéteurs (IRL : Inter Repeater Link)
dépend de l'atténuation du signal et donc de la qualité du support.
Voici les réseaux que l'on trouve :
· 10 Base 5 : 10 Mbps sur un gros coax avec 500 m max
· 10 Base 2 : 10 Mbps sur un coax fin avec 185 m max
· 1 Base 5 : 1 Mbps sur UTP 3 avec 250 m max
· 10 Base T : 10 Mbps sur UTP 3 avec 100 m max
· 10 Broad 36 : 10 Mbps sur un gros coax avec 1800 m max
· 10 Base F : 10 Mbps sur fibre optique (MMF) avec 2000 m max
· 100 Base TX : 100 Mbps sur 2 paires UTP 5 avec 100 m max
· 100 Base FX : 100 Mbps sur 2 fibres optiques (MMF) avec 1000 m max
· 100 Base T4 : 100 Mbps sur 4 paires UTP 3 avec 100 m max
· 1000 Base SX : 1 Gbps sur fibre optique (MMF) avec 500 m max
· 1000 Base LX : 1 Gbps sur fibre optique (SMF) avec 3000 m max
· 1000 Base CX : 1 Gbps sur 4 paires UTP5 avec 25 m max
Nombre de répéteurs maximum
Il existe une autre contrainte pour les réseaux Ethernet :
Pour du 10 Mbps, il ne faut traverser que 4 répéteurs au maximum.
Pour du 100 Mbps, il ne faut traverser que 2 répéteurs au maximum. En
fait on se permet la plupart du temps d'en traverser 4, la recommandation
était assez stricte pour qu'en pratique ça marche.
Remarque: un hub (ou un swicth) stackable, signifie que l'on peut les
empiler de manière à ce qu'ils ne représentent qu'un seul nœud.
Quel que soit le débit, on ne doit jamais traverser plus de 2 segments
coaxiaux fins.
Configurations possibles
Voici quelques configurations de réseaux Ethernet, pour chacune précisez
si cette configuration est valide, expliquez pourquoi et si elle ne l'est
pas donnez une solution pour qu'elle le devienne.
Config 1 :
Config 2 :
Config 3 :
Config 4 :
Config 5 :
La config 1 est valide, en effet les seules contraintes à respecter sur
ces schémas sont le nombre de nœud à traverser (qui ne doit pas excéder 4
) et le nombre de segments coaxiaux (qui ne doit pas dépasser 2). Ici il
n'y a pas de segment coaxial, et aucun chemin allant d'une station à une
autre n'emprunte plus de 4 nœuds.
La config 2 n'est pas valide : une station de gauche doit traverser 5
hubs pour atteindre une station de droite. Pour résoudre ce problème on
peut soit se rapprocher de la configuration 4, soit stacker (empiler des
noeuds pour qu'ils n'en fassent qu'un) chaque groupe de 3 hub, soit
supprimer un hub du haut et revenir vers la configuration 1. Si
l'architecture choisie ressemble à ça à cause des distances (distance max
entre station et hub, puis entre noeuds), il ne reste plus qu'une
solution : séparer en deux réseaux IP avec un routeur.
La config 3 est valide, malgré le nombre important de concentrateurs
aucun chemin allant d'une station à une autre n'emprunte plus de 4
noeuds.
La config 4 est valide, elle pourrait être une solution au problème de la
2.
La config 5 n'est pas valide puisque qu'une station de gauche doit
traverser 3 segments coaxiaux pour atteindre une station de droite. Une
solution serait de relier chaque hub vers le hub des serveurs et donc de
supprimer le coaxial du haut et les liaisons entre les hubs de droite et
de gauche.
Si maintenant on vous fournissait le budget pour acheter 1 switch, quel
hub remplaceriez vous (pourquoi) ou où l'insèreriez vous ?
Lorsqu'on positionne un switch sur un réseau c'est en fonction de
l'utilisation de ce réseau, ici nous n'avons aucune indication et allons
donc le positionner sous le cas général mais chaque réseau peut être un
cas particulier : le seul but est de limiter les domaines de collision.
Dans la configuration 1 : on pourrait être tenté de le positionner entre
les 2 hubs du hauts (au milieu du réseau), seulement l'intérêt serait
relativement limité. Il est bien plus interessant ici de remplacer un des
deux hubs du haut par un switch, ainsi le réseau de droite sera toujours
séparé du réseau de gauche (comme si on avait positionné le switch au
milieu) mais en plus les deux hubs connectés à ce switch et les serveurs
seront bien séparés.
Dans la configuration 2 : la configuration n'étant pas valide il est
difficile de dire ou on mettrait le switch, cela dépend de la solution
choisie. Si on choisit de se rapprocher de la configuration 4 ou 1 il
faut positionner le switch comme dans la configuration 1 ou 4.
Dans la configuration 3 : idem que dans la configuration 1.
Dans la configuration 4 : dans cette configuration, si on change le hub
des serveurs par un switch ca n'aura quasi aucun effet : en effet le
switch sera connecté au cable coaxial pour l'ensemble du réseau et vers
chacun des serveurs mais de ce fait quelle que soit la machine qui veut
communiquer avec n'importe qui (serveur ou pas) tout passe par le cable
coaxial. Le seul interêt de ce switch serait de faciliter la
communication entre les serveurs, communication qui est quasi négligeable
! En fait ici ce cable coaxial est très mal positionné, il sera quoi
qu'il arrive le passage obligatoire et donc le goulot d'étranglement mais
faisons avec ... Dans ce cas le plus interessant sera de remplacer un des
hubs connectés au coaxial (autre que celui du serveur) afin de séparer le
réseau en trois.
Dans la configuration 5 : avec la solution d'utiliser le hub des serveurs
comme concentrateur central, il est interessant cette fois de remplacer
ce hub par un switch étant donné qu'à cette position il séparera les 4
réseaux et les 3 serveurs. C'est une position idéale.
Si maintenant on vous fournissait le budget pour acheter encore 1 switch
supplémentaire (2 en tout), quels hubs remplaceriez vous (pourquoi) ou où
les insèreriez vous ?
Dans la configuration 1 : on placerait évidement ce nouveau switch à la
place de l'autre hub du haut.
Dans la configuration 2 : la configuration n'étant pas valide il est
difficile de dire ou on mettrait le switch, cela dépend de la solution
choisie. Si on choisit de se rapprocher de la configuration 4 ou 1 il
faut positionner le switch comme dans la configuration 1 ou 4.
Dans la configuration 3 : idem que dans la configuration 1.
Dans la configuration 4 : on placerait évidement ce nouveau switch à la
place de l'autre hub du haut.
Dans la configuration 5 : ici la position du switch au centre est idéal,
un second switch n'est pas indispensable mais si on en ajoute un, il vaut
mieux choisir de remplacer un hub connecté aux machines qu'un connecté à
un cable coaxial. Il aura plus d'effet.
Round Trip Delay
Rappel
Pour gérer les détections de collision on limite la taille du réseau en
fonction du temps de retournement (Round Trip Delay) de la trame minimum
et du débit. C'est à dire en fonction du temps que les stations mettent à
émettre 512 bits et du temps que met un bit pour faire l'aller retour
entre les deux points les plus éloignés du réseau : il faut pour détecter
une collision qu'avant que la station ait fini d'émettre ses 512 bits le
signal du premier bit soit arrivé au bout et que si une station du bout a
émis un bit à ce moment, il ait eu le temps de revenir. Donc, en résumé,
il faut que le temps d'émission de 512 bits soit supérieur au temps d'un
aller-retour du signal sur le réseau (Round Trip Delay).
Sachant que la vitesse de propagation du signal est de l'ordre 2*10^7 m/s
sur de la paire torsadée et de 2*10^8 m/s sur de la fibre optique,
déterminez le diamètre maximum des réseaux suivants :
10baseT, 100baseTx, 1000baseCX, 10baseF, 100baseFX, 1000baseSX.
Le diamètre d'un réseau correspond à la distance maximale entre 2 points
du réseaux. La distance maximale dépend du temps d'écoute. Ce dernier est
de 512 bit time, c'est à dire du temps que la machine mettra pour émettre
512 bits.
512 bits time à 10 Mbps = 512 * 10 ^-7 secondes
512 bits time à 100 Mbps = 512 * 10 ^-8 secondes
512 bits time à 1 Gbps = 512 * 10 ^-9 secondes
Le temps de propagation du signal dépend du support physique :
Sur du gros coaxial, 6 * 10^7 m/s.
Sur de la paire torsadée ou coaxial fin, 2 * 10^7 m/s.
Sur de la fibre optique, 2 * 10^8 m/s.
Pour du 10 base T, pendant les 512 bit time le signal parcourt donc : 512
* 10 -7 * 2 * 10^7 = environ 1000m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 500m.
Pour du 10 base F, pendant les 512 bit time le signal parcourt donc : 512
* 10 -7 * 2 * 10^8 = environ 10000m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 5000m.
Pour du 100 base TX, pendant les 512 bit time le signal parcourt donc :
512 * 10 -8 * 2 * 10^7 = environ 100m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 50m.
Pour du 100 base FX, pendant les 512 bit time le signal parcourt donc :
512 * 10 -8 * 2 * 10^8 = environ 1000m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 500m.
Pour du 1000 base CX, pendant les 512 bit time le signal parcourt donc :
512 * 10 -9 * 2 * 10^7 = environ 10m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 5m.
Pour du 1000 base SX, pendant les 512 bit time le signal parcourt donc :
512 * 10 -9 * 2 * 10^8 = environ 100m. Cette distance doit être l'aller
retour maximum, le diamètre est donc de 50m.
Comme le montre cette exemple la fibre optique est donc surtout utilisée
pour allonger les distances, le 100baseFX et le 100baseTX ont le même
débit (100 Mbps) mais ont des diamètres différents.
Rappel détection des collisions (hub et switch)
La limitation du diamètre vis à vis du Round Trip Delay est due au simple
fait que lorsqu'on émet une trame sur un réseau Ethernet, cette trame est
diffusée sur l'ensemble du réseau et qu'une collision peut se produire à
n'importe quel moment. Lorsque l'on utilise un switch, cette limitation
s'arrêtera au switch. En effet même si un switch fonctionne en mode
répéteur par défaut, il sera toujours capable de gérer (et devra le
faire) une collision qui se produit après lui. Un switch ayant relayé une
trame devient " responsable " de cette trame. Un switch classique
fonctionne en Store and Forward , i.e. qu'il récupère complètement la
trame avant de la renvoyer, ceci prend du temps. Pour gagner ce temps
certains switchs peuvent fonctionner en mode Cut Trough, la trame est
alors renvoyée dès que l'on a décodé l'adresse destinataire. Ce mode
permet effectivement une interconnection plus rapide mais possède au
moins un inconvénient majeur : on ne pourra plus interconnecter 2
segments de débits différents.
Calcul de distance maximum
La configuration suivante n'est pas valide. Expliquez pourquoi. Rendez la
valide.
Le premier "bug" de cette configuration est que le serveur se trouve
relié à 15 m en 1000baseCX à un Switch alors que nous avons dit
précédemment qu'en 1000baseCX le diamètre du réseau ne peut excéder 5 m !
Il faut donc le rapprocher du switch.
Il restera encore un problème, visiblement l'architecte réseau qui a
proposé cette configuration n'a pas dû obtenir de DUT Informatique.
Effectivement si il avait suivi les cours de l'IUT, il saurait qu'il
existe une distance maximum entre 2 répéteurs et que celle ci est de 100m
pour un 10baseT. La liaison entre le switch et le Hub fait 125m, il faut
donc soit ajouter un petit répéteur au milieu de ce câble soit rapprocher
le hub d'une trentaine de m et allonger les liaisons des stations
d'autant. Ainsi aucune liaison ne dépassera la limite entre 2 répéteurs.
Par rapport au diamètre à gauche du switch il doit être de 500m maximum
ce qui sera respecté sans problème et en bas du switch de 50m maximum ce
qui sera aussi respecté. Il n'y aura donc plus de problème.
Nous allons essayer de construire un réseau, puis de le fiabiliser.
Une société possède 3 bâtiments :
Un bâtiment administratif qui contient un serveur de fichier qui stocke
les fichiers de tous les utilisateurs de l'entreprise, un serveur Web qui
offre un Intranet visible partout dans l'entreprise, un contrôleur de
domaine permettant l'authentification de chaque utilisateur de
l'entreprise. Dans ce bâtiment se trouve aussi une trentaine de PCs ainsi
que 2 imprimantes réseau. Ce bâtiment n'a pas d'étage. Il fait 30 m sur
50 m.
Un bâtiment bureautique qui compte 60 PCs de bureautique répartis sur 2
étages. Ce bâtiment est un carré de 40 m de côté.
Un bâtiment d'exploitation qui compte une centaine de PCs répartis en 2
groupes à peu près égaux. Chacun de ces groupes (en plus des 3 serveurs
de base) utilise un serveur dédié à ce groupe présent dans ce bâtiment
(donc 2 serveurs). Les 100 PCs sont répartis indépendamment du groupe
auquel ils appartiennent dans un hangar de 120m sur 50m.
Ces trois bâtiments forment un triangle, il y a 40 m entre le bâtiment
d'administration et celui de bureautique, 125 m entre le bâtiment
d'administration et celui d'exploitation et enfin 110m entre celui
d'exploitation et celui de bureautique.
Les PCs fonctionnent en 100 Mbps, pour éviter des ralentissements on
souhaiterait que les serveurs soient raccordés en 1 Gbps.
1) Pour chaque bâtiment, choisissez les Hubs et Switch nécessaires et
dites quel type de câble vous utiliseriez. N'utilisez des switchs que si
cela vous semble utile, de même pour la fibre optique.
2) Choisissez un chemin de raccordement entre les bâtiments et le type de
câblage pour le raccordement.
3) Indiquez toutes les limitations en distance ou en débit pour chaque
partie de votre réseau, n'oubliez pas de tenir compte du Round Trip Delay
mais aussi du nombre de répéteurs et de la distance maximale avant
atténuation du signal. Précisez donc ( par exemple) dans ce bâtiment il y
aura 10 PCs à moins de X m du switch plus un Hub et 20 PCs à moins de Y m
de ce Hub.
Batiment Administratif
On aurait pu tout relier au hub, le switch ici n'a pas vraiment une
grande utilité mais il faudra bien raccorder ce bâtiment ( et notamment
les serveurs et les imprimantes) avec les autres bâtiments. A ce moment
le switch sera bien utile. On pourrait aussi bien sur raccorder tout le
monde sur le switch mais il semble plus rentable d'avoir un hub 32 ports
et un switch 8 ports qu'un switch de plus de 40 ports.
En utilisant un câblage classique paire torsadée UTP 5.5e , la distance
limite entre 2 répéteurs à 100 Mbps sera de 100m (non gênant dans ce
bâtiment) et le diamètre maximum sera de 50 m. Ce qui signifie qu'il
faudra positionner le switch et le hub tels que la distance du switch au
hub + la distance du poste le plus éloigné du hub ne soit pas supérieure
à 50m. Pour cela il serait intéressant que le local technique ne soit pas
dans un angle du bâtiment mais plutôt vers le centre. Il est intéressant
de remarquer qu'il n'y a aucun intérêt à éloigner le hub du switch, le
résultat sera le même. Un dernier point, si on veut connecter les
serveurs avec du Gbps, il faudra un switch en conséquence et bien sur que
les serveurs soient à moins de 5 m du switch (ou utiliser des jarretières
optiques).
Batiment Bureautique
Un seul hub 64 ports est suffisant. En utilisant un câblage classique
paire torsadée UTP 5.5e , le diamètre maximum sera toujours de 50 m. Ce
qui signifie qu'il faudra positionner le hub tel que la distance du poste
le plus éloigné du hub ne soit pas supérieur à 25m. Pour cela il serait
intéressant que le local technique ne soit pas dans un angle du bâtiment
mais plutôt vers le centre.
Batiment d'Exploitation
Ce bâtiment est plus grand que les autres, il nécessite obligatoirement
un switch à cause au moins du round trip delay à 100 mbps. Ici il ne
faudra pas qu'un poste se situe à plus de 50 m du switch. Si on doit
absolument ajouter de la longueur, sans ajouter de switch, on peut
simplement relier les hubs au switch avec de la fibre optique. Dans la
configuration du schéma on utilise le fait d'être obligé d'utiliser un
switch pour séparer les deux groupes afin qu'ils soient le plus
indépendant possibles. Toutes les machines d'un même groupe, dans une
même partie du hangar seront reliées sur le même hub mais 2 postes, même
côte à côte seront sur 2 hub différents si ils ne font pas partie du même
groupe. Cette configuration aura pour effet que les discussions des
postes du groupe 1 avec leur serveur n'auront jamais d'effet sur les
discussions des postes du groupe 2 avec leur serveur.
Liaison des 3 batiments
Pour relier ces 3 bâtiments il suffit en premier lieu de relier le switch
du hangar avec celui du bâtiment administratif avec obligatoirement de la
fibre optique (à cause de la distance). Puis d'ajouter un switch dans le
bâtiment de bureautique, en effet si on reliait directement le hub avec
le switch du bâtiment administratif, il y aurait au moins 40 m du switch
au hub, ce qui condamnerait les postes de bâtiment à être à moins de 10 m
du hub (relativement gênant !). On ajoute donc un switch, connecté d'un
coté au hub et de l'autre au switch du bâtiment administratif. La liaison
pourrait ici être en paire torsadé mais pour une liaison extérieur il
serait peut être préférable d'utiliser de la fibre optique.
Si vous avez tenu compte de toutes les limitations, le schéma obtenu doit
correspondre à une architecture physique possible, nous reviendrons plus
tard sur la fiabilisation de ce réseau.
Fiabilisation
Spanning Tree
Utilité
L'algorithme du Spanning Tree (802.1d) permet entre autre de placer des
Switchs dit de backup qui ne serviront qu'en cas de panne du réseau. Cet
algorithme va donc permettre de mettre en place des chemins secondaires
pour que le réseau ne s'arrête pas complètement en cas de panne d'une
seule partie.
Explication de l'algorithme
Soit un réseau raccordé par 5 switchs comme ci dessus. Cette
configuration est valide mais sensible aux pannes d'un câble ou d'un
switch.
Si on raccorde les 5 switchs de cette manière il existera des chemins
secondaires mais des cycles de diffusion vont apparaître et perturber le
fonctionnement du réseau :
Le but du 802.1d est de déterminer un arbre de recouvrement sans Cycle.
Chaque switch a un identificateur unique Id éventuellement paramétrable
par l'administrateur.
Chaque switch au démarrage émet une trame BPDU avec son Id, si il reçoit
une BPDU avec un Id inférieur au sien, il s'arrête d'émettre ses BPDU
mais diffuse la BPDU reçue. Ce mécanisme permet d'élire un Switch Racine
qui sera la racine de l'arbre de recouvrement. Dans le paramétrage ci
dessus l'administrateur, en choisissant les Id, précise qu'il souhaite
que le switch 2 soit racine, si il ne fonctionne pas alors que ce soit le
switch 5 et sinon peu importe.
En fonctionnement normal on aura donc le switch 2 comme switch racine de
l'arbre de recouvrement.
Dans les BPDU, en plus de l'Id il y a inscrit un coût. Ce coût est soit
simplement le nombre de switchs traversés, soit 1000 divisé par le débit
de la ligne empruntée, soit un coût paramétré par port du switch.
Prenons ici le cas du coût en fonction du débit de la ligne. Le switch 5
recevra des BPDU en provenance du switch racine de trois manières
différentes :
1) directement avec un coût de 100
2) par le switch 3 avec un coût de 10 + 10
3) par le switch 1 et 4 avec un coût de 10 + 100 + 10
Il choisira donc que le chemin le plus court vers le switch racine sera
par le switch 3, il fermera ses 2 autres ports (vers le switch 2 et 4) et
les considèrera comme des ports de backup (en cas d'égalité de coût).
C'est à dire qu'il continuera à écouter sur ces ports mais n'enverra rien
dans cette direction.
Chaque switch fera la même chose, ce qui nous donnera l'arbre de
recouvrement suivant :
Le switch racine continuera à envoyer ses BPDU régulièrement, au bout
d'un certain temps si un switch ne reçoit plus les BPDU du switch racine
(ou si il reçoit d'autres BPDU) il se remettra à émettre ses propres BPDU
et débloquera ses ports de backup. Un nouvel arbre de recouvrement sera
calculé.
Calcul de l'arbre de recouvrement
1) Dessinez l'arbre de recouvrement de ce réseau.
2) Si le câble en gras entre le switch Id 1 et Id 2 tombe en panne, que
se passe-t-il ? dessinez le nouvel arbre de recouvrement.
3) Si le switch Id 1 tombe en panne que se passe-t-il ? dessinez le
nouvel arbre de recouvrement.
1) Voici l'arbre de recouvrement :
2) La coupure d'un cable provoquerait le recalcul de l'arbre de
recouvrement (absence de BPDU régulière), voici un arbre possible :
et un autre :
3) La perte du switch provoquerait cet arbre :
Rappel RSTP
Le protocole 802.1w ou Rapid Spanning Tree Protocol fonctionne de la même
manière que le 802.1d mais le complète par un protocole Hello qui permet
une détection des pannes et une reconfiguration plus rapide.
Adapter Fault Tolerance
But
Le but de l'AFT est que le réseau continue de fonctionner malgré la panne
d'un câble. Le principe de la fiabilisation appliqué est que si un câble
tombe en panne, seule la machine qui est raccordée par ce câble doit
avoir un soucis réseau. Ce qui signifie que si un câble entre 2 switchs
tombe en panne le réseau ne doit pas s'arrêter !
Exercice
Dans la configuration précédente où vous aviez conçu l'architecture d'un
réseau avec 3 bâtiments, mettez en place un niveau AFT. Pour cela pensez
que l'on peut soit doubler les câbles (RSTP fonctionne aussi sur 2 câbles
reliant 2 switchs) soit avoir des chemins de secours.
Il faut pour ca (comme dit dans l'énoncé) soit doubler les cables qui
relient les switchs entre eux, soit relier le batiment d'exploitation au
batiment de bureautique. Seulement ce n'est pas suffisant, ici cela
mettrait en place un niveau AFT pour les liaisons extérieures mais que se
passe-t-il si un cable qui relie un hub à un switch tombe en panne ?
c'est toute une partie du réseau qui tombe en panne ... Dans
l'architecture actuelle il n'y a aucune solution, les hubs n'étant pas
capables de faire du spanning tree, on ne peut pas faire de boucles avec
eux. Pour véritablement mettre en place une architecture AFT, il faut en
premier lieu n'avoir ici que des switchs :
Dans le batiment administratif on peut donc remplacer le hub par un
switch puis doubler les cables entre les deux swtichs.
Dans le batimentent bureautique, il suffit de remplacer le hub et le
petit switch par un seul "gros" switch.
Dans le batiment d'exploitation je propose plutot que de doubler les
cables de relier les switchs remplacant les hubs entre eux :
Switch Fault Tolerance
But
Le but du SFT est que le réseau continue de fonctionner malgré la panne
d'un switch. Le principe de la fiabilisation appliqué est que si un
switch tombe en panne, seules les machines qui sont raccordées
directement à ce switch doivent avoir un soucis réseau. Pour cela on
n'utilise rien d'autre que RSTP, en poussant le raisonnement jusqu'au
bout, on obtient non seulement des chemins secondaires mais aussi des
switchs secondaires.
Exercice
Dans la configuration précédente où vous avez fiabilisé l'architecture
d'un réseau avec 3 bâtiments, mettez en place un niveau SFT. Faites
attentions aux switchs des serveurs !
Pour cette configuration on peut aller très loin et tout mettre en
double, voilà une proposition qui semble raisonnable tout en ayant un
niveau fiabilité assez important :
le niveau AFT décrit précédement correspond à ce schéma (les cables
doublés ne sont pas inscrit sur ce schéma)
Afin d'assurer l'accès au serveur ceux ci doivent être connectés à 2
switchs différents. Etant donné que l'on ne vas pas connecter une
imprimante à deux switchs on choisira plutot de connecter une imprimante
par switch.
Pour le batiment de bureautique le risque est que tout repose sur un seul
switch, on peut proposer une solution en utilisant 2 switchs, ainsi si
l'un des deux tombe en panne, seule la moitié des postes n'accédera plus
au réseau.
Pour le batiment d'exploitation, l'avantage de la connection que l'on a
prévu est que l'on peut très simplement rendre transparente la panne du
switch central en connectant un des switchs (ou plus) périphériques à un
autre batiment.
On peut toujours améliorer une architecture mais ici, la perte d'un
switch n'entraine un problème que pour les postes directement relié à ce
switch. Ce qui est déjà raisonnable.
Adaptative Load Balancing
But
Le but de la répartition des charges est d'augmenter les performances
tout en améliorant la fiabilité en utilisant tous les câblages
disponibles. Ceci fonctionne à l'aide du protocole 802.3ad.
Exercice
Dans la configuration précédente où vous avez fiabilisé l'architecture
d'un réseau avec 3 bâtiments, où serait il intéressant d'utiliser 802.3ad
?
Le load Balancing serait interessant ici entre les serveurs et les
switchs ainsi qu'entre les batiments. Ces passages obligatoires étant des
goulots d'étranglement il est interessant de pouvoir augmenter le débit à
chaque fois qu'on ajoute un cable de "backup". Puisqu'on a tiré 2 ou 4
lignes entre 2 batiments pour assurer la fiabilité, il serait dommage de
ne pas pouvoir les rentabiliser en transmettant sur ces lignes 200 ou 400
Mbps (voir plus) au lieu de simplement 100 Mbps.
WiFi
Portée
Un réseau avec un PA et un réseau Ad Hoc
Exercices
Sur le réseau de gauche un PA diffuse un ESSID toutes les 0.1s dans la
zone grisée. Sur le réseau de droite, il n'y a pas de PA mais les
portables sont configurés en ad hoc. En nommant les portables de gauche à
droite A,B et C, précisez qui peut discuter avec qui.
Sur le réseau de gauche tous les portables étant à portée du PA, ils
accèdent tous au réseau désigné par le ESSID diffusé. Chaque portable
accède à la parole par CSMA/CA et n'emmettra donc une trame que lorsque
le PA lui enverra un CTS (à la suite du RTS).
Sur le réseau de droite chaque portable pourra être à la fois client et
PA. A et B étant dans la même zone de couverture pourront discuter entre
eux, B et C de même mais, par contre A et C ne se "voyant" pas (et la
station B ne jouant pas le rôle de relais) ne pourront pas échanger de
données !
Dans le réseau ad hoc (sans ajouter de routeur) nous voudrions partager
une connexion Internet. Est ce possible ? comment faire ?
Si on installe la connexion Internet sur le poste B, ce dernier aura donc
accès à Internet. Ensuite il suffira de mettre en place un Proxy HTTP sur
ce poste, le proxy étant visible par A et C, ces 2 machines pourront
accéder à internet via le poste B.
Seulement, on est malheureusement sur un site où il n'y a ni de xDSL, ni
de BLR, ni de câble. Donnez une solution selon les besoins en termes de
débits :
1) 30 kbps (up et down)
2) 128 kbps (up et down)
3) 512 kpbs (up et down)
4) 2048 kpbs (up et down garanties)
1) Plusieurs solutions sont possibles, la solution qui semble la plus
adaptée est certainement une liaison RTC classique avec un modem 56k V92
mais rien n'empêche d'utiliser une liaison RNIS (avec numeris de FT par
exemple) ou même une connexion à un opérateur mobile à l'aide d'un modem
GPRS même si la première solution sera sans aucun doute la moins
couteuse.
2) La connexion GPRS et RTC ne sont pas vraiment utilisable dans ce cas,
il semble donc que la meilleure solution soit de s'orienter vers une
liaison RNIS.
3) Il est toujours possible d'obtenir un tel débit avec une aggrégation
de liaisons RNIS mais on peut commencer à envisager la mise en place
d'une liaison spécialisée (câble direct vers l'opérateur). Au niveau du
coût, la liaison RNIS restera moins couteuse à l'abonnement mais il faut
se connecter (numéroter) à chaque besoin (comme avec le RTC) d'accès à
Internet, cette solution sera intéressante pour mettre en place une
liaison à Internet non continue mais si il s'agit de rester connecté
24h/24h, il sera envisageable alors d'aller vers une LS.
4) la seule solution pour assurer un tel débit dans ces conditions et
surtout de le garantir est bien sur la LS.
Si on veut pouvoir télécharger l'équivalent de 2 CDs (700 Mo chacun)
chaque matin en environ 1h qui contiennent la mise à jour de la base sur
laquelle on travaille. Quelles liaisons doit on envisager (en termes de
débit)? Sachant qu'en plus, plusieurs sites doivent télécharger ce même
cd tous les matins à la même heure quelle technologie choisiriez vous ?
On doit donc télécharger 1400 Mo soit 11744051200 bits en 1h
(3600secondes). Il faut donc une liaison en download de 3263 kbps. Dans
la mesure où il s'agit d'une connexion ponctuelle (1h par jour) et que
les mêmes données sont à télécharger sur différents sites la liaison à
utiliser (sans hésitation possible) est une liaison satellite.
Firewall
Soit le réseau suivant :
Remarque:
le serveur de mail permet d'envoyer (SMTP) mais aussi de stocker (POP)
les mails des utilisateurs de ce réseau,
le serveur web pour Internet contient une description de la société
(disponible à tout le monde),
le serveur web pour l'extranet contient des informations sur les stocks
disponibles pour les 3 filiales dont l'adresse IP publique du routeur de
chacune de ces filiales est 82.134.56.12, 187.54.54.13 et 154.32.76.231
(disponible en interne mais aussi pour les 3 filiales).
le serveur web pour l'intranet contient des informations sur la
réservation des différentes salles de formation du batiment (disponible
uniquement en interne).
le serveur de fichier contient les données des utilisateurs.
Sachant que le fournisseur d'accès Internet nous fournit une adresse IP
publique (82.87.192.10/24) avec un DNS primaire (82.87.192.201), un DNS
secondaire (82.87.193.201) et un routeur par défault (82.87.192.254),
donnez un plan d'adressage de ce réseau (donnez une adresse IP à tout ce
qui peut en avoir une) et donnez si il y a lieu le paramétrage du NAT
intégré au routeur.
Une solution possible :
réseau des serveurs 192.168.1.0/24 avec comme adresse 192.168.1.1 à
192.168.1.5 pour les serveurs et 192.168.1.254 pour le routeur.
réseau des postes de travail 192.168.2.0/24 avec comme adresse
192.168.2.1 à 192.168.2.5 pour les postes et 192.168.2.254 pour le
routeur.
le routeur a une troisième adresse IP côté FAI, 82.87.192.10.
le NAT doit bien sur fonctionner en dynamique pour permettre à tous
d'accéder à Internet mais il doit aussi fonctionner en statique pour
permettre l'accès au serveur pour l'Internet et celui pour l'extranet. La
configuration statique pourrait être :
port TCP 80 => adresse IP du serveur pour l'Internet sur le port 80.
port TCP 8000 => adresse IP du serveur pour l'extranet sur le port 80.
Supposons maintenant qu'il y ait un firewall intégré dans chaque switch
et routeur de notre réseau. On peut décrire la configuration d'un
matériel de la manière suivante :
Configuration du firewall du routeur
Branchement 1
En entrée
Tout interdire sauf
Adresse ip source
port souce
adresse ip destination
port destination
87.65.45.154
TCP-*
192.123.23.154
TCP-80 à 82
En sortie
Tout autorisé sauf
Adresse ip source
port souce
adresse ip destination
port destination
192.168.1.1 à 192.168.1.3
TCP-*
*
*
*
*
*
21
Branchement 2
...
cet exemple n'est que montré le principe de description des filtres. Pour
chaque prise on décrit le filtre entrant et sortant, en précisant si on
interdit tout sauf, ou si on autorise tout sauf. Ensuite on décrit sur
une ou plusieurs lignes les filtres en précisant les adresses IP (ou
plage d'adresse) source filtrées, les ports (ou plage de port) sources
filtrés et les adresses destinations ainsi que les ports destinations.
une étoile signifie simplement "tous". Par exemple la dernière ligne du
branchement 2 précise que (sachant que tout est autorisé) aucune machine,
quelque soit le port source autorisé, ne peut se connecter au port 21 de
n'importe quel serveur !
En utilisant un tableau dans ce genre pour les 3 matériels du réseau ci
précédement cité, indiquez les filtres à mettre en place pour :
interdire aux postes de travail de communiquer entre eux (évite la
propagation des virus).
interdire l'accès aux postes de travail depuis l'extérieur.
n'autoriser aux postes de travail que l'accès au Web, à FTP et SSH.
interdire l'accès aux différents serveurs depuis l'exterieur (sauf au
serveur web, au serveur de mail qui doit être joignable des serveurs
smtp, à l'extranet qui ne doit être joignable que depuis les filiales).
interdire l'accès à l'extérieur (sauf au web) depuis chaque serveur, seul
le serveur de mail peut accèder à un serveur SMTP.
Configuration du firewall du routeur
Branchement 1
En entrée
Tout interdire sauf
Adresse ip source
port souce
adresse ip destination
port destination
*
TCP-*
192.168.1.1
TCP-25
*
TCP-*
192.168.1.3
TCP-80
82.134.56.12
TCP-*
192.168.1.4
TCP-80
187.54.54.13
TCP-*
192.168.1.4
TCP-80
154.32.76.231
TCP-*
192.168.1.4
TCP-80
En sortie
Tout interdire sauf
Adresse ip source
port souce
adresse ip destination
port destination
192.168.2.1 à 192.168.2.5
TCP-*
*
TCP-21 à 22
*
TCP-*
*
TCP-80
192.168.1.1
TCP-*
*
TCP-25
Branchement 3
En entrée
Tout interdire sauf
Adresse ip source
port souce
adresse ip destination
port destination
192.168.2.1 à 192.168.2.5
*
192.168.1.2 à 192.168.1.5
TCP-80
192.168.2.1 à 192.168.2.5
*
192.168.1.1
TCP-25
192.168.2.1 à 192.168.2.5
*
192.168.1.1
TCP-110
192.168.2.1 à 192.168.2.5
*
0.0.0.0 à 192.168.0.255
*
192.168.2.1 à 192.168.2.5
*
192.168.3.0 à 255.255.255.255
*
En sortie
Tout autorisé
Branchement 3
Tout autorisé
Configuration du firewall du switch
des postes de travail
Pour tout les branchements
En sortie
Tout autorisé sauf
Adresse ip source
port souce
adresse ip destination
port destination
192.168.2.1 à 192.168.2.5
TCP-*
192.168.2.1 à 192.168.2.5
TCP-*
tout le reste est autorisé !
Chiffrement
Comprendre le hachage
une fonction de hachage permet de donner un code sur une longueur le plus
souvent fixe représentatif d'un texte. L'exemple ci dessous n'est pas une
réelle fonction de hachage connue mais fonctionne sur le même principe :
soit le message suivant : "1001101101001011110101010110110101010".
sur ce message nous voudrions avoir un code représentatif sur 5 bits,
pour cela nous allons décomposer le message en morceau de 5 bits et nous
allons donner une valeur à chaqeu morceau en considérant le bit de poids
faible à gauche (ce qui n'est pas habituel) :
10011=1+0+0+8+16=25
01101 =2+4+16=22
00101 =20
11101 =23
01010 =10
11011 =27
01010 =10
10=1
puis on va faire la somme de ces nombres : 25+22+20+23+10+27+10+1=138 et
noter le résultat (modulo 32) sur 5 bits : 138 modulo 32 = 10. Le
résultat de notre fonction de hachage sur le texte sera donc 01010. Bien
sûr si il y aura plusieurs textes ayant le même résultat mais si on
change des bits dans le texte, le résultats n'a qu'une chance sur 32
d'être identique. Une bonne fonction de hachage permet de garantir que
peu de textes auront le même code et que ceux qui auront le même code
seront de préférence radicalement différents.
En utilisant le même principe que ci dessus, donner un code hachage sur
10 bits du texte suivant :
1001101101001011110101010110110101010100100100100101111011010100101010101
1000011011010101010101110101010101010101010011001010101010101010101010101
111101010
1001101101=729
0010111101=756
0101011011=874
0101010100=170
1001001001=585
0111101101=734
0100101010=338
1011000011=781
0110101010=342
1010111010=373
1010101010=341
1010100110=405
0101010101=682
0101010101=682
0101011111=1002
01010=10
TOTAL : 8804 modulo 1024 = 612 (0010011001)
vous pouvez essayer de changer quelques bits du message, le code de
hachage sera différent.
Essayez de décrire quels sont les autres messages ayant le même code de
hachage.
Il suffit d'obtenir un resultat équivalent modulo 1024, donc par exemple
sur les 2 premiers paquets on peut faire cette transformation :
1001101101=729 => 0001101101=728
0010111101=756 => 1010111101=757
le total ne sera pas changé, le code de hachage sera donc le même.
soit on fait cettre transformation :
1001101101=729 => 0001101100=217
0010111101=756 => 1010111100=244
le total aura changé mais fera simplement 1024 de moins donc le code de
hachage sera identique !
C'est une mauvaise fonction de hachage mais elle permet de comprendre le
principe.
Signer un message avec un secret partagé
un exemple de cryptage avec un secret partagé est d'utiliser le ou
exclusif, par exemple si le message est 1001101010 et le secret partagé
est 0101011011, un ou exclusif entre les 2 donne :
1100110001. Ce message n'a rien à voir avec le message d'origine mais si
on refait un ou exclusif avec le secret partagé on obtient : 1001101010
qui est exactement le message d'origine. C'est un moyen simple de crypter
les données.
A l'aide du secret partagé ci dessus et de la fonction de hachage
précédente décrire le message envoyé sur le réseau pour transmettre le
message : (message de l'exercice précédent)
1001101101001011110101010110110101010100100100100101111011010100101010101
1000011011010101010101110101010101010101010011001010101010101010101010101
111101010
en garantissant l'intégrité du contenu et l'authentification de
l'emetteur. Expliquer en quoi on est sûr de l'auteur du message et quel
est l'inconvénient de cette méthode.
Message d'origine :
1001101101001011110101010110110101010100100100100101111011010100101010101
1000011011010101010101110101010101010101010011001010101010101010101010101
111101010
Code de hachage :
0010011001
Secret partagé :
0101011011
Code de hachage crypté :
0111000010
Message envoyé = message d'origine+code de hachage crypté.
Le code de hachage étant crypté, il est difficile de modifier le contenu
et de modifier le code code hachage pour qu'il tombe juste, l'intégrité
est donc garantie.
Si l'auteur du message ne connait pas le secret partagé, il ne pourra
crypté correctement le code de hachage, si on peut décrypté le code de
hachage correctement, c'est que l'auteur connaissait le secret donc on
peut dire que l'auteur est authentifié.
L'inconvénient: il faut s'échanger le secret et en plus il faut connaitre
un secret par correspondant.
Dans notre exemple, la fonction de hachage étant simple et non
paramétrée, si on connait la fonction on peut déduire du message le code
de hachage. Essayez de faire un ou exclusif entre le code de hachage et
le code de hachage crypté vous obtiendrez le secret partagé. En résumé
les méthodes décrites ici ne sont pas de "bonnes" méthodes, elles
permettent juste de comprendre le mécanisme. Une remarque est que les
clés de cryptage du WiFi sont des clés qui fonctionnent par ou exclusifs
(pas directement, la clé permet en fait d'obtenir pour chaque message une
clé de la longueur du message), il y a 2 manières de les casser :
1) si on connait le message d'origine, en observant le message crypté on
peut en déduire la clé.
2) dans notre exemple (codage sur 10 bits) il y a 1024 clé possibles, en
les essayant tous on trouve la clé qui marche, c'est un algo de force
brute. Sur un AMD Athlon 64 à 3000 Mhz il faut à peine plus d'une seconde
pour tester toutes les combinaisons possibles sur 32 bits !
Signer un message avec une paire de clés.
Le cryptage asymétrique permet de crypter avec une clé et de décrypter
avec une autre clé. Ces clés sont calculées de telle sorte qu'il soit
plus complexe de trouver une clé à partir de l'autre que d'essayer toutes
les clés.
Supposons que nous possédions 10 postes nommés de A à J, chaque poste
possède une paire de clés nommées CléPrivA et CléPubA pour le poste A,
... Chaque poste connait la CléPub des autres postes.
Nous somme aussi capable de hacher un texte avec une fonction nommée SHA.
Décrivez un échange de message et les étapes de test de l'intégrité et de
l'authentification de l'envoi d'un message du poste A vers le poste B en
utilisant les notations suivantes :
poste A
message
varA=SHA(message) : signifie on hache le message et on stocke le résultat
dans varA.
varB=CléPubC(message) : signifie on crypte le message avec la clé
publique de C et stocke le resultat dans varB.
envoi(B,message+varA+varB) : signifie on envoie à B le message suivi de
varA et de varB.
poste B
reception(message+varA+varB) : signifie on recoit message suivi de varA
suivi de varB.
message=CléPrivA(message) : signifie on decrypte avec la clé privée de A.
(l'exemple ci dessus est complètement incohérent, il permet juste de
décrire la notation)
poste A:
message
varA=SHA(message)
varB=CléPrivA(varA)
envoi(B,message+varB)
poste B:
reception(message+varB)
varA=SHA(message)
varC=CléPubA(varB)
si varA=varC OK sinon problème !!
Quel inconvénient voyez vous à cette méthode si il y a 1000 utilisateurs
?
décrire de la même manière un échange entre A et B mais avec une autorité
de certification qui est le poste C.
Il faudrait connaitre les 1000 clés publiques !
Avec les certificats il suffit de connaitre la clé de l'autorité de
certification.
A l'origine (1 seule fois)
poste C :
certifA="poste A, nom d'utilisateur, date, durée de validité, CléPubA"
certifAsignature=CléPrivC(SHA(certifA))
envoi(A,certifA+certifAsignature)
poste A:
reception(certifA+certifAsignature)
Au moment de l'échange
Poste A
message
varA=SHA(message)
varB=CléPrivA(varA)
envoi(B,message+varB+certifA+certifAsignature)
poste B:
reception(message+varB+certifA+certifAsignature)
varA=SHA(certifA)
varC=CléPubC(varB)
si varA=varC certificat accepté sinon problème !!
CléPubA=extraire clé publique (certifA)
varA=SHA(message)
varC=CléPubA(varB)
si varA=varC OK sinon problème !!
Sécurité
Même si cela fait partie d'un autre registre, la mise en place d'une
protection par mot de passe sur un site Internet peut être plus ou moins
efficace.
Essayez d'arriver au moins au niveau 12 du site
http://academy.dyndns.org/
On ne mettra pas de correction pour cette partie, elle serait domageable
pour le site lui même. Je ne dirais simplement qu'une chose, le source
d'une page dans IE est visible avec affichage/source et que tout ce qui
s'affiche dans votre navigateur a forcément été chargé sur votre PC (au
moins dans les fichiers temporaires Internet) ... une conclusion que l'on
pourrait tirée de cet exercice est qu'il est complètement incohérent de
mettre en place une contrôle de mot de passe chez le client, même si cela
impose que les clients doivent envoyer leur mot de passe sur le réseau.
Il est certainement plus difficile de capter un mot de passe sur un
réseau (même non crypté) que de forcer une porte si elle est chez nous et
que l'on a tous les outils souhaités
Documents connexes
Global Switch Politique Environnementale
Global Switch Politique Environnementale
Présentation de la solution présente initialement
Présentation de la solution présente initialement
Réception et vérification automatisées des
Réception et vérification automatisées des
Module de contrôle de ligne , détecteur de continuité type : DCL105-8
Module de contrôle de ligne , détecteur de continuité type : DCL105-8
IT SWITCH des architectures critiques de 16 à 20 A monophasés
IT SWITCH des architectures critiques de 16 à 20 A monophasés
Truckland, Renault Trucks
Truckland, Renault Trucks
I/ Qu`est ce qu`un réseau local ? A/ Définition B/ Utilité II
I/ Qu`est ce qu`un réseau local ? A/ Définition B/ Utilité II
switch made data sheets go 10
switch made data sheets go 10
La politique énergétique, l`occasion d`accentuer notre virage vers
La politique énergétique, l`occasion d`accentuer notre virage vers
Téléchargement
publicité