VLAN, NAT et Routage : VLAN - Pierre Raineropierre- des reseaux/01 - VLAN, NAT... · VLAN, NAT et Routage…

Download VLAN, NAT et Routage : VLAN - Pierre Raineropierre- des reseaux/01 - VLAN, NAT... · VLAN, NAT et Routage…

Post on 08-Sep-2018

213 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

<ul><li><p>Architecture des rseaux: </p><p>VLAN, NAT et Routage : VLAN : </p><p> Rappel : Un VLAN (Virtual Local Area Network) est un ensemble dunits regroupes quel que </p><p>soit lemplacement de leur segment physique. Un VLAN permet : - Plus de souplesse pour l'administration et les modifications du rseau car toute </p><p>l'architecture peut tre modifie par simple paramtrage des commutateurs </p><p>- Un gain en scurit car les informations sont encapsules dans un niveau supplmentaire et ventuellement analyses </p><p>- Une rduction de la diffusion du trafic sur le rseau Un VLAN peut tre statique (les ports du commutateur sont affects aux diffrents VLAN) </p><p>ou dynamique (les ports des commutateurs peuvent automatiquement dterminer leur </p><p>VLAN dappartenance). Un VLAN dynamique est bas sur filtrage par rapport aux adresses </p><p>MAC et IP, cette mthode demande moins dadministration mais plus de paramtrage. </p><p> Type de VLAN : Niveau 1 : Cblage physique sur les ports. Les ports sont associs un VLAN </p><p>Niveau 2 : Table de correspondances. Les adresses MAC sont associs un VLAN. </p><p>Les machines des RH sont sur le VLAN 110 </p><p>Les machines R&amp;D sur le VLAN 210 </p><p> Ce qui transite sur le VLAN 110 nest pas visible du 210 et vice versa </p><p> On ne peut plus atteindre les machines dans un autre VLAN. </p><p> Imaginons dsormais quon souhaite ajouter un autre btiment dans lentreprise : RH et R&amp;D doivent </p><p>tre toujours spars : </p><p>Solution 1 : </p><p>Connection des </p><p>switchs avec un lien </p><p>en mode Trunk </p><p>(protocole 802.1Q) </p><p> Optimal </p><p>Solution 2 : Connection des deux </p><p>switches via deux </p><p>segments appartenant </p><p> chacun des VLAN. </p></li><li><p> Mode Trunk (ou Inter Switch Link) Fonctionne comme un pont transparent, il permet de dfinir des groupes de machines </p><p>formant des LAN arbitraires, changeables par logiciel au gr de la configuration (VLAN). </p><p>Plusieurs switches peuvent supporter un mme ensemble de VLAN, on parle de domaine </p><p>de commutation. Ils sont alors relis entre eux par un Inter Switch Link, aussi appel Trunk </p><p>(Tronon), qui supporte sans les mlanger les trafics des diffrents VLANs </p><p> Le switch doit donc tre configur en Spanning Tree pour viter les boucles. </p><p>Explications, sans le mode Spanning Tree (protocole rseau de niveau 2) lorsque des </p><p>machines essayent de communiquer ensemble elle envoi des requtes ARP broadcast, </p><p>cependant cela peut gnrer une Broadcast Storm (tempte de broadcast) avec des requtes </p><p>qui tournent indfiniment et peuvent bloquer le rseau. </p><p> Spanning Tree Protocol : 1. Voil un rseau avec deux switchs, au cas </p><p>o le premier tomberait en panne par </p><p>exemple : </p><p>2. La station A doit communiquer la station B sans connaitre son adressage MAC, il y a </p><p>donc une requte ARP Broadcast : Le switch du haut reoit la trame sur son port, extrait ladresse MAC de destination (FFFF.FFFF.FFFF) et la duplique sur tous ses ports car cest une adresse </p><p>de broadcast. La trame sort donc du switch du haut et se dirige vers le switch du bas. </p><p> De mme pour le switch du bas; il reoit la trame sur son port, extrait ladresse MAC de destination </p><p>(FFFF.FFFF.FFFF) et la duplique sur tous ses ports car cest une adresse de broadcast. La trame sort </p><p>donc du switch du bas et se dirige vers le switch du haut </p><p> Et ces trames tournent sans arrt entre les 2 switchs, il sagit dune Broadcast Storm. </p><p>3. Mise en place du protocole Spanning Tree : </p><p>NAT (Network Address Translation) : Introduction : Le NAT est n de la difficult obtenir suffisamment dadresse IP pour un rseau local. </p><p>Lobjectif est de faire correspondre une seule adresse externe publique visible sur Internet </p><p> toutes les adresses d'un rseau priv (non uniques et non routables) </p><p>Avantages : - Un rseau local est vu de lextrieur uniquement par son adresse publique </p><p>- Inutiles pour le firewall de filtrer des plages dadresses </p><p>- On peut modifier le plan dadressage rseau sans modifier les routeurs externes </p><p>- Les machines du rseau ne sont pas directement visibles de lextrieur. </p><p>Cest un plus pour la scurit. </p><p> Sans NAT : 1000adresses IPv4 uniques Avec NAT : Adresses prives non retrouvables sur Internet </p><p>(Sources supplmentaires : http://reussirsonccna.fr/) </p><p>(Sources supplmentaires : https://fr.wikipedia.org/) </p></li><li><p>Fonctionnement : </p><p>- Pour faire correspondre les adresses prives avec un groupe d'adresses publiques, on se sert d'une table. </p><p>- La table du NAT contient des paires (adresse prive, adresse externe publique (traduite)). </p><p>- Quand l'adresse prive met une trame qui traverse le routeur qui NAT, cette adresse est remplace dans l'entte du paquet TCP/IP par son adresse IP publique. </p><p>Exemple : Une trame partant de 10.0.0.1 aura comme IP 138.76.29.7 hors du NAT </p><p>- Le remplacement inverse sera fait quand une trame vers cette adresse externe doit tre traduite en IP prive. </p><p>- L'association entre une adresse prive et sa contrepartie publique externe est cre dynamiquement au moment de l'initiation de la connexion. </p><p>- Ce sont les numros de ports qui vont permettre d'identifier la traduction en place : le numro du port source (celui de la machine prive) va tre modifi par le routeur. </p><p>- La notion de port logiciel permet, sur un ordinateur donn, de distinguer diffrents interlocuteurs qui sont des programmes informatiques, selon les cas, coutent ou </p><p>mettent des informations sur ces ports. </p><p>- Le numro de port va servir pour identifier la machine prive. </p><p>Problme : </p><p> Si un client par exemple veut se connecter un serveur qui a une adresse prive 10.0.0.1, il </p><p>lui est impossible dutiliser cette adresse comme destination. Seule ladresse NAT 138.76.29.7 </p><p>est visible. </p><p> Il alors possible de configurer un NAT statique qui redirige les connexions entrantes avec un numro de port particulier sur un port particulier du serveur. </p><p>(123.76.29.7, port 2500) always forwarded to 10.0.0.1 port 25000 </p><p>Tous les paquets sortant du rseau </p><p>local ont le mme IP (138.76.29.7) </p><p>Paquets ayant comme adresse source ou destination </p><p>une adresse prive dans le rseau 10.0.0/24 </p></li><li><p>Routage : Lorsquun routeur reoit un datagramme IP : </p><p>1. Vrifie le checksum. Si faux, destruction du datagramme. 2. Dcrmente le TTL (dure de vie). 3. Dcide du routage en regardant la table de routage. 4. Fragmente le datagramme si ncessaire. 5. Reconstruit lentte IP avec les champs mis jour. 6. Retransmet les datagrammes au protocole daccs de linterface rseau de sortie avec </p><p>ladresse de sous-rseau correspondante </p><p>Examen de la table de routage : </p><p>1. Si la destination est sur le mme rseau physique : routage direct Ladresse physique suivante est celle de la destination, le paquet est transmis directement. </p><p>2. Sinon, si la destination correspond celui d'un rseau accessible via un routeur on rcupre l'adresse physique de ce routeur et on lui transmet le paquet : routage indirect. </p><p>L'adresse IP de l'metteur reste inchange. </p><p>3. Si le prfixe n'a pas de correspondance dans la table mais il existe un routeur par dfaut (gateway) dans la table ; on transmet au routeur par dfaut. </p><p>4. Si aucun des trois cas prcdents n'est rempli, on dclare une erreur de routage. </p><p>Rappel dune table de routage : </p><p>Passerelle </p></li></ul>

Recommended

View more >