Академический Документы
Профессиональный Документы
Культура Документы
WWW.TRI.0FEES.NET
2
1J=GZT1GJ
==C=zn e t pour russir lexamen vient pour aider les stagiaires de la
filire Techniques de Rseaux Informatiques (TRI), deuxime anne, se prparer
pour lexamen
de fin de formation thorique. Vous trouverez des exercices, des tudes d
e cas,avec corrigs,
vous trouvez aussi les noncs des examens de fin de formation des dernires annes.
A. EL GHATTAS
Errachidia, le 12 Avril 2009
3
=z==CJ
35
41
43
49
51
53
55
59
61
62
63
69
72
74
78
82
84
87
89
92
95
100
103
106
108
116
119
124
126
132
136
142
5
Exonet 24 : routage, scurit
Corrig :
Exonet 25 : commutation, scurit...
Corrig :
Exonet 26 : commutation, routage, filtrage..
Corrig :
Exonet 27 : VPN, table de routage, VLAN, Wi-Fi
Corrig :
Exonet 28 : DHCP, DNS, VLAN....
Corrig :
145
150
153
159
162
170
173
178
182
189
6
CDGJC J
u domaine ma.
@ : sparateur.
Question 8. Pourquoi votre gestionnaire de courrier a t il t automatiquement ouver
t ?
Parce que sur votre poste il existe une association prinstalle entre le protocole
denvoi de courrier
(SMTP) et lapplication que vous utilisez par dfaut pour expdier votre courrier.
Question 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
Cest le protocole SMTP (Simple Mail Transfer Protocol).
Question 10. De quels outils logiciels disposerez vous pour prendre co
nnaissance de la
rponse et quels seront les protocoles utiliss pour la relve du courrier ?
On peut prendre connaissance de la rponse directement sur le serveur en utilisant
son navigateur ;
c est le cas de la consultation par exemple des botes Gmail, HotMail.
L utilisateur envoie des
requtes au serveur de courrier et en reoit les rponses sous protocole H
TTP (prsentation des
donnes). Le traitement du courrier sur le serveur est alors ralis par le protoco
le IMAP (Internet
Message Access Protocol) : consultation du courrier, suppression...
On peut galement utiliser un logiciel de gestion de courrier (on parle de client
de messagerie ),
par exemple Microsoft Outlook (Express), Qualcomm Eudora qui va transfre
r le message sur la
machine du client ; dans ce cas, ce logiciel recourt au protocole POP3 (Post Off
ice Protocol version
3) ou IMAP.
11
CDGJC J =
Dans le cadre du dveloppement de Internet et Intranet, lentreprise REZOnet a insta
ll un serveur
Linux et la connect au niveau du commutateur des ses serveurs centraux. Pour ralise
r l accs vers
le monde extrieur, un accs RNIS a t retenu. Ce serveur Internet aura pour rle de:
- grer le courrier lectronique du REZOnet
- diffuser les informations du site Web local
- filtrer les donnes
1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
2. On vous donne l URL suivant: http://www.microsoft.com/products/pc.htm
- Donner la dfinition et le rle d une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d entre el
les
3. Par quel moyen fait-on la correspondance entre ladresse IP dun serve
ur et son nom sur
Internet ?
4. Donner la dfinition et le rle de SMTP
5. Donner la dfinition et le rle de POP
6. Donner la syntaxe gnrale d une adresse e-mail
7. Complter (Annexe 1) l interaction entre un client et un serveur SMTP et POP
Tout personnel autoris pourra se connecter au serveur Linux depuis son
domicile soit pour
consulter des donnes spcifiques, soit pour naviguer sur le Web.
8. Citer 4 possibilits d accs un fournisseur d accs Internet.
Il vous faut configurer un poste sous Windows 98 afin de permettre une connexi
on au fournisseur
daccs Internet.
9. Complter l annexe 2 (Point d accs: 05 35 57 57 57, Serveur DNS: 212.217.0.1, Ad
resse IP
obtenue par mon fournisseur, Domaine: rezonet.ma, Hte : localhost, Nom
utilisateur de
connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo).
10. Pour un accs par RTC, donner le type de protocole utilis.
12
Annexe 1
---------------------------------------------------------------------------------------------------------------Annexe 2
13
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
Le World Wide Web (WWW ou Web ou W3) est une banque dinformations (textuelles, im
ages,
sonores vido) bas sur un systme de noeuds et de liens quon nomme hypertexte.
Hyper Text Markup Language (HTML) : Langage utilis dans le WWW pour crire des docu
ments
hypertextes.
HyperText Transfer Protocol (HTTP). Protocole de transfert de fichiers
et documents HTML sur
Internet.
Question 2. On vous donne l URL suivant: http://www.microsoft.com/products/pc.ht
m
- Donner la dfinition et le rle d une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d entre el
les
Une URL (Uniform Resource Locator) donne lemplacement dun fichier sur le Web.
http : Protocole
www.microsoft.com : emplacement rseau / domaines
products : chemin / rpertoire
pc.html : nom du fichier
Question 3. Par quel moyen fait on la correspondance entre ladresse IP dun serveur
et son
nom sur Internet ?
Serveur DNS
Question 4. Donner la dfinition et le rle de SMTP
Le courrier lectronique sur TCP/IP et sur Internet utilise le protocole SMTP (Sim
ple Mail Transfer
Protocol).
Question 5. Donner la dfinition et le rle de POP
Le protocole POP (Post Office Protocole) permet daller chercher son cou
rrier personnel sur le
serveur responsable de le recevoir.
Question 6. Donner la syntaxe gnrale d une adresse e-mail
Une adresse de courrier lectronique est form de trois parties : le nom de lutilisat
eur, le caractre
@ et le nom du domaine.
Question 7. Complter (Annexe 1) l interaction entre un client et un serveur SMTP
et POP
Question 8. Citer 4 possibilits d accs un fournisseur d accs Internet.
Les diffrents modes de connexion disponibles pour accder un fournisseur daccs sont :
RTC
Numris
LADSL
Le cble
Le satellite
14
Question 9. Complter l annexe 2 (Point d accs :05 35 57 57 57, Serveur DNS :212.21
7.0.1,
Adresse IP obtenue par mon fournisseur, Domaine :rezonet.ma, Hte :localh
ost, Nom
utilisateur de connexion admin@rezonet.ma, mot de passe : a5b6cde_rezo).
Question 10. Pour un accs par RTC, donner le type de protocole utilis.
PPP (Point to Point Protocol). Protocole permettant la connexion entre
ordinateurs et routeurs par
lignes synchrones et asynchrones. Successeur du SLIP,il possde une corre
ction derreur et des
possibilits daffectation dadresse en rseau.
15
CDGJC J =
La socit REZOnet possde un serveur Linux possdant un serveur ftp, qui est install dan
s toutes
les distributions, ainsi quun client ftp en ligne de commande.
Partie I :
1. Quelle est la signification du sigle ftp ?
2. Quelle est lutilit de ce service rseau ?
Le serveur ftp est dclar dans le fichier /etc/inetd.conf mais pas toujours activ.
3. Quelle modification faut-il raliser dans le fichier inetd.conf se tr
ouvant en annexe pour
activer le serveur ftp ?
Les fichiers de configuration :
/etc/ftpaccess : ce fichier dfinit la plupart des contrles d accs pour votre serveu
r ftp. Vous pouvez
crer des groupes logiques pour contrler l accs depuis d autres sites, lim
iter le nombre de
connexions simultanes.
/etc/ftphosts : ce fichier est utilis pour autoriser ou non l accs du serveur un c
ertain nombre de
machines
/etc/ftpusers : ce fichier contient la liste des utilisateurs qui ne peuvent accd
er votre machine via
ftp.
4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom d
e login utiliser?
Pourquoi ?
5. Quel fichier est modifier pour autoriser root se connecter ? Quelle est la mo
dification
raliser dans le fichier ?
Les fichiers .rpm sous Linux sont des fichiers binaires qui permettent dinstaller
des programmes.
6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour
rapatrier le
fichier netscape-communicator-4.7.i386.rpm depuis un serveur sur une station lin
ux?
7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le no
m DNS
est ftp.microsoft.com avec un navigateur web ?
Partie II :
La direction de REZOnet pense mettre en place un serveur sur la toil
e (Web) permettant, dans un
premier temps, la mise en ligne d un systme d information interne (intr
anet) puis, dans un
deuxime temps, de l ouvrir la clientle via l internet (extranet).
8. Expliquer ce quest un intranet.
9. Citer les spcificits du dveloppement dun intranet par rapport d autres
types
d architectures client-serveur.
10. Citer les problmes que peut poser l accs de la clientle via l inter
net. Proposer des
iser pour
rapatrier le fichier netscapecommunicator4.7.i386.rpm depuis un serveur sur u
ne station
linux?
ftp nom serveur
nom de login et mot de passe
binary
get nom_de_fichier.rpm
quit
Question 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp d
ont le
nom DNS est ftp.microsoft.com avec un navigateur web ?
ftp://ftp.microsot.com
Question 8. Expliquer ce quest un intranet.
Intranet : utilisation des standards de lInternet (HTML, http, SMTP, ) pour dvelopp
er
des applications internes lentreprise, que le rseau soit local ou tendu.
Question 9. Citer les spcificits du dveloppement dun intranet par rapport d autres t
ypes
d architectures client-serveur.
Les spcifits du dveloppement dun intranet sont :
- davantage de middleware standard, accs universel, pas de dploiement spcifique sur
chaque type de plate-forme
- lapplication est dveloppe sur le serveur, une mise jour de lapplication est immdiat
e
pour tous les clients quelle que soit leur plate-forme
19
Question 10. Citer les problmes que peut poser l accs de la clientle via l internet
. Proposer
des solutions pour les viter.
Le problme majeure concerne la scurit du rseau local vis--vis des accs ext
ernes : risque de
visibilit de resources sensibles, risque de prise de contrle distance et dactions m
alveillantes.
Les solutions possibles :
- utilisation dadresses non routables sur le rseau local.
- mise en place dun firewall destin filtrer les paquets entrants sur d
es critres prdfinis
(adresses accessibles, types de services autoriss,etc.).
- authentification des utilisateurs distants par un compte anonyme dont
les droits et permissions
sont trs limits.
- Contrle par mot de passe dans lapplication en prvoyant un code daccs su
r le bon de
rception
20
CDGJC J =
1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ?
2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@me
nara.ma.
Que reprsente la deuxime partie de cette adresse ?
Un analyseur de protocole situ dans "le rseau S" a permis de faire un relev entre u
ne station A
du rseau de "T" et un serveur de lentreprise REZOnet situ dans le "rsea
u S" au cours dun
change initi par lutilisateur.
Voici une des trames ETHERNET II rcupres :
A laide des annexes 1, 2 et 3 :
vant le flot
de donnes normales. Ce champ indique alors la position de loctet de la fin des don
nes urgentes.
Le champ option peut-tre utilis si deux machines doivent se mettre dacco
rd sur une taille
maximale de segment appel MSS (Maximum Segment Size).
24
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir
?
SMTP, POP2, POP3 et IMAP.
Question 2. Dans la messagerie lectronique, on utilise des adresses du
type
r.errachidi@menara.ma.
Que reprsente la deuxime partie de cette adresse ?
La deuxime partie de r.errachidi@menara.ma reprsente le nom du domaine o
se trouve le
serveur de messagerie c--d le nom du bureau de poste contenant la bote aux lettres
r.errachidi.
Question 3.1. Prciser les valeurs des adresses MAC source et destinataire.
Lquipement source correspond ladresse MAC 00:0d:29:d4:69:7f
Lquipement cible qui correspond ladresse MAC 00:04:75:ce:24:cf
Question 3.2. Faire un schma reprsentant la station A et le serveur en
indiquant les
sockets utiliss par le client et le serveur.
Question 3.3. Indiquer la signification des numros de port source et destination.
Le port source 3432 indique le port dmission (client dynamique) ouvert par la stat
ion
Le port Destination 143 indique que le port de rception correspond au
service de messagerie
IMAP.
Question 3.4. Quelles sont les principales caractristiques du protocole
de niveau
TRANSPORT utiliss ?
Les qualits du protocole TCP:
- Fiabilit : retransmission des trames non acquittes
- Gestion des flux: ngociation de la taille de la fentre de transmission.
- Offre une transmission en mode connect.
- Remise en ordre des segments reus.
Question 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
Lobjectif est de rcuprer le courrier prsent sur le serveur de messagerie.
25
CDGJC J =
Un tablissement scolaire utilise un serveur mandataire (Proxy) dans le
DNS, pour contrler les
accs Internet.
Ce Proxy permet entre autre d autoriser ou pas l accs Internet en fon
ction de l adresse IP du
rseau auquel appartient la machine.
L administrateur du rseau a organis son plan d adressage en fonction des salles.
Chaque salle dispose dune plage d adresses spcifique qui va permettre au
niveau du Proxy
d interdire ou d autoriser l accs Internet tous les postes de la salle.
L annexe 1 donne le plan d adressage utilis.
L annexe 2 donne les rgles d accs Internet pour la journe du 15 Octobre 2008.
1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.
2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les
postes sont
tous configurs avec le mme masque et la mme adresse rseau.
3. Donner la ou les rgles appliquer pour interdire l accs la salle 204 et 208.
4. Donner la rgle appliquer pour interdire l accs la salle 201 et 202.
5. Expliquer les autres fonctions d un Proxy.
Annexes
Annexe 1 : Plan d adressage
Adresse IP du rseau de l tablissement :
10.100.40.0
Masque du rseau :
255.255.255.0
Plage d adresses par salle :
Salle 201 : 10.100.40.1 10.100.40.15
Salle 202 : 10.100.40.17 10.100.40.31
Salle 203 : 10.100.40.33 10.100.40.62
Salle 204 : 10.100.40.65 10.100.40.70
Salle 205 : 10.100.40.96 10.100.126
Salle 206 : 10.100.40.129 10.100.40.142
Salle 207 : 10.100.40.145 10.100.40.158
Salle 208 : 10.100.40.161 10.100.40.174
Salle 209 : 10.100.40.177 10.100.40.190
Salle 210 : 10.100.40.73 10.100.40.78
Annexe 2 : Rgles du 15 octobre 2008
Accs autoris tous sauf aux rseaux ci-dessous :
10.100.40.32 masque 255.255.255.224
10.100.40.128 masque 255.255.255.192
26
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octo
bre.
Le masque 255.255.255.224 dtermine une plage de 32 adresses (256 - 224
ou 2
5
). L adresse de
rseau 10.100.40.32 donne la premire adresse de la plage. Donc la premire rgle interd
it l accs
la salle 203.
Le masque 255.255.255.192 dtermine une plage de 64 adresses (256 - 192
ou 2
6
). L adresse de
rseau 10.100.40.128 donne la premire adresse de la plage
La deuxime rgle interdit donc l accs aux salles 206, 207, 208, 209. On aurait d ail
leurs pu utiliser
le masque 255.255.255.128 qui aurait donn le mme rsultat.
Question 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alor
s que les
postes sont tous configurs avec le mme masque et la mme adresse rseau.
La configuration des postes na pas dimportance ce niveau. Le Proxy reoi
t un paquet en
provenance d un poste, il rcupre dans l entte IP l adresse source du paq
uet et lui applique le
masque de chaque rgle en comparant le rsultat obtenu l adresse rseau de
la rgle. En cas
d galit le paquet est rejet. Il ne faut pas oublier que le masque de
sous rseau n est pas dans
l entte IP.
L administrateur rseau a bien sur choisi un plan d adressage qui lui p
ermettait en fonction du
nombre de postes par salle d appliquer ce type de restriction.
Question 3. Donner la ou les rgles appliquer pour interdire l accs la salle 204 et
208.
Les plages d adresses des salles 204 et 208 ne sont pas contigus, il faut donc un
e rgle pour chaque
salle. La salle 204 dispose des adresses 10.100.40.65 70, et la premire adresse n
e pas interdire
correspond la premire adresse de la salle 210. Il faut donc bloquer
au plus 8 adresses (de 64
72), soit un masque de 255.255.255.248 (256-8) pour une premire adresse de 10.100
.40.64
Pour la salle 208, la plage interdire est de 16 adresses (entre 10.
100.40.160 et 175), pour un
masque de 255.255.255.240 (256-16) et une adresse de 10.100.40.160
Il faut donc appliquer les rgles suivantes :
10.100.40.64 masque 255.255.255.248
10.100.40.160 masque 255.255.255.240
Question 4. Donner la rgle appliquer pour interdire l accs la salle 201 et 202.
En appliquant les principes prcdents, on dtermine la rgle suivante :
Interdire l accs au rseau
10.100.40.0 masque 255.255.255.224
Question 5. Expliquer les autres fonctions d un Proxy.
Un Proxy est utilis galement pour mettre en cache les pages Web consultes.
Un Proxy a aussi une fonction de translation d adresses. C est l adresse gnre par l
e Proxy qui part
sur Internet (selon la configuration bien sr) et non l adresse des postes qui fon
t appel lui. On parle
alors de rseau priv et de rseau public et du protocole NAT (Network Address Transla
tor).
Un Proxy peut filtrer les sites Web consults en utilisant pour cela u
n fichier des sites interdits. Il
peut aussi interdire certains protocoles (FTP par exemple) ou le tlchargement de c
ertains fichiers
en fonction de leur extension (MP3 par exemple). Il joue alors le rle de pare-feu
.
Enfin un Proxy peut disposer d un Anti-virus gnral qui s applique tous
les fichiers en
provenance de l Internet avant de les introduire dans le rseau local.
27
CDGJC J Z
Le serveur ISA (Internet Security and Acceleration Server 2000) remplit
les fonctions de firewall
(pare-feu) et de serveur proxy.
Configuration des interfaces du serveur ISA :
Lors de la configuration du serveur ISA, les rgles de scurit suivantes
ont t mises en oeuvre
pour l accs au serveur de messagerie :
1. Indiquez ce qu est le protocole HTTPS et prcisez son utilit (donnez
un exemple
d utilisation).
2. Indiquez ce qu est un "Client VPN". Vous donnerez la signification de l abrvia
tion VPN.
Les rgles de scurit sont traites de manire squentielle (ordre croissant). P
our chaque trame
reue, le firewall parcourt la liste des rgles jusqu ce qu il trouve une rgle qui s
applique. L ordre
dans lequel sont spcifies les rgles est trs important.
3. Expliquez l action de la rgle N1 sur les trames en provenance du rseau 192.168.1
0.0
4. Expliquez l action de la rgle N3, Prcisez la fonction du protocole D
NS et donnez la
signification de l abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?
6. Les rgles de scurit mises en oeuvre permettent-elles aux utilisateurs d accder au
serveur
de messagerie ? Pourquoi ?
Quelle rgle faut-il ajouter, et quelle place, pour permettre tous les utilisateur
s internes et
externes daccder la messagerie ?
28
.... .... . : .... .... . : .... .... . : .... .... . :
Question1. Indiquez ce qu est le protocole HTTPS et prcisez son utilit (donnez un
exemple
d utilisation).
Hyper Text Transfer Protocol Scuris, accs scuris Internet : paiement en li
gne, consultation
de compte bancaire
Question2. Indiquez ce qu est un "Client VPN". Vous donnerez la signif
ication de
l abrviation VPN.
Client distant qui se connecte au rseau via une liaison scurise VPN (Virtual Privat
e Network ou
rseau priv virtuel) en utilisant Internet comme support.
Question3. Expliquez l action de la rgle N1 sur les trames en provenanc
e du rseau
192.168.10.0
La rgle N1 autorise (Allow) le passage des messages FTP, HTTP et HTTPS
de l interface
interne (rseau 192.168.10.0) et des clients VPN vers l interface externe (accs Int
ernet) et vers la
DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users).
Question4. Expliquez l action de la rgle N3, Prcisez la fonction du prot
ocole DNS et
donnez la signification de l abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
La rgle N3 autorise (Allow) le passage des messages DNS de l interface
interne (rseau
192.168.10.0) et des clients VPN vers la DMZ (accs au serveur de mess
agerie) pour tous les
utilisateurs (All Users).
DNS : Domain Name System (ou Service), indispensable pour accder Internet car i
l effectue la
liaison entre un nom de machine et son adresse IP. Le serveur de messagerie fait
galement office
de serveur DNS.
Question5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquo
i ?
Pour une scurit maximum il faut interdire tout ce qui n a pas t autoris
dans les rgles
prcdentes, c est le rle de la rgle N4 qui interdit (Deny) tous les protocoles en prov
enance de
tous les rseaux et vers tous les rseaux pour tout le monde.
Question6. Les rgles de scurit mises en oeuvre permettent elles aux utilisateurs d
accder
au serveur de messagerie ? Pourquoi ?
Quelle rgle faut il ajouter, et quelle place, pour permettre tous les utilisateur
s internes et
externes daccder la messagerie ?
Non, car les protocoles de messagerie (SMTP et POP) ne sont pas autoriss.
Il faut donc ajouter une rgle autorisant les protocoles SMTP et POP entre tous le
s rseaux et
la DMZ pour tous le monde et la placer avant la rgle N4 :
* All Networks peut tre remplac par External + Internal
29
CDGJC J
Seules la rsolution DNS destination du serveur DNS externe situ dans la DMZ est au
torise.
6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles
de filtrage
correspondantes en compltant le tableau du document rponse 2.
NB. -Tenir compte de la priorit : une rgle nonce est toujours prioritaire vis--vis de
celles qui la
suivent.
-Un accs un service induit un change dans les deux sens (requte, rponse
). Il est donc
ncessaire den tenir compte dans les rgles de filtrage.
7. Admettant que le firewall bridge laisse passer les requtes provenant
de lInternet, est-il
ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rpons
e.
37
Annexe 1
38
Annexe 2
39
Document rponse 1
40
Document rponse 2
41
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on op
t pour
cette solution ?
Les VLAN sont grs comme des sous-rseaux afin de permettre le routage entre eux.
Question 2. Le routeur Netasq F500 assure un routage InterVlan(s) . De
ce fait, sur son
lien avec lOptiSwitch, il possde une adresse IP par VLAN.
Sur le document rponse 1, complter la table de routage du routeur.
Les rseaux existants permettent dadresser chacun 254 machines. Le nombre
dtudiants
augmentant, une extension des possibilits dadressage est envisage pour le
rseau PC
tudiants.
Question 3.1. Donner le masque de sous-rseau qui permettrait de multipl
ier au moins par
deux le nombre de machines (sans changer les adresses existantes et e
n se limitant un
maximum de 1500 machines adressables). Justifier votre rponse.
Question 3.2. Donner, dans ce cas, ladresse de diffusion.
Question 3.3. Indiquer sur le document rponse 1 quelle serait la modification dan
s la table
43
CDGJC J =
Le rseau de lentreprise REZOnet est compos de diffrents sites rpartis sur
toute la rgion
dErrachidia. Le routeur qui nous intresse (R-fw-dmz) se situe sur le site Errachid
ia centre et joue
le rle de passerelle filtrante vers Internet pour tous les sites en utilisant la
translation d adresses et
les listes d accs (access-list).
Zoom sur le routeur et ses interfaces :
Lintitul du routeur R-fw-dmz fait penser Firewall et DMZ.
1.1. Expliquer le rle d un firewall.
1.2. Expliquer ce qu est une DMZ.
1.3. Citer 2 protocoles routables et 2 protocoles de routage.
1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le
routeur R-fwdmz.
2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne
une partie
de la configuration du routeur R-fw-dmz .
2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer
les plages d adresses des
rseaux concerns.
2.3. Pourquoi toutes les access-lists prsentes dans la configuration du
routeur se terminent
par "permit ip any any" ?
2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut-il ajouter la c
onfiguration du
routeur dans l access-list "dmz_in".
44
Document rponse 1
45
Annexe 1
Les routeurs sont des quipements de niveau 3 (rseau) et sont chargs de
l acheminement des
datagrammes IP entre les rseaux.
En terme de scurit, ils sont chargs plus prcisment :
de la recherche de chemins de secours
du filtrage des broadcasts
du filtrage des datagrammes IP (ACL)
du contrle des correspondances entre ports et adresses IP, et entre adresses MAC
et adresses IP.
(contrle d usurpation)
Les ACL (Access Control Lists)
Les ACL sont des filtres appliqus chaque datagramme IP transitant travers le rout
eur et qui ont
pour paramtres :
l adresse IP de la source
l adresse IP de la destination
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet
Pour un datagramme donn, l ACL prend deux valeurs :
deny : le paquet est rejet.
permit : le paquet peut transiter par le routeur.
Syntaxe
Les routeurs Cisco acceptent deux types d ACL :
l access-list simple :
access-list access-list-number {deny|permit} protocole ip-source source-masque
l access-list tendue (extended) :
access-list access-list-number {deny|permit} protocole ip-source source-masque i
p destination
destination-masque port-destination
46
Activation de l access-list
On associe chaque interface du routeur une ACL.
Une ACL de type in, associe une interface, contrle le trafic qui entre dans le rou
teur par cette
interface
Une ACL de type out associe une interface contrle le trafic qui quitt
e le routeur par cette
interface.
Attention :
- les ACL ne s appliquent qu au trafic en transit et pas au trafic gnr par le route
ur lui-mme. Par
exemple, le trafic rsultant d une connexion telnet vers le routeur n est pas soum
is aux ACL.
- Implicitement la rgle : deny ip any any est toujours applique la f
in de l access-list, il n est
donc pas ncessaire de rajouter cette commande pour bloquer le reste du trafic.
47
L activation d une access-list sur une interface se fait par la commande :
ip access-group access-list-number {in|out}
Recommandations pour la configuration des routeurs :
Access-list contre le spoofing
L access-list suivante interdit l accs au rseau pour tous les datagrammes
en provenance de
l extrieur, dont :
l adresse source est locale (127.0.0.0, 0.0.0.0)
l adresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0) (RFC 1918),
l adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255
.255)
l adresse source est sur le rseau interne
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
interdire paquet ip de rseau 127.0.0.0 vers tout(toute station)
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.0.255.255 any
access-list 100 deny ip 224.0.0.0 31.255.255.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 permit ip any any
Cette access-list doit tre applique sur toutes les interfaces externes :
ip access-group 100 in
Adresse IP et masque gnrique
Les ACL dfinissent des familles d adresses IP l aide d une adresse IP et d un mas
que gnrique.
Pour vrifier si une adresse IP appartient une famille :
prendre l adresse IP
appliquer le masque gnrique, c est--dire mettre 0 dans l adresse IP tou
s les bits qui sont 1
dans le masque classique.
comparer le rsultat obtenu l adresse gnrique de la famille.
Exemples d adresses gnriques et de masques :
192.9.200.0 0.0.0.255 Toutes les adresses IP du rseau 192.9.200.0
192.9.200.1 0.0.0.0 L adresse IP 192.9.200.1
0.0.0.0 255.255.255.255 Toute adresse IP.
192.9.200.0 0.0.0.63 Toutes les adresses IP comprises entre 192.9.200.0 et 192.
9.200.63
147.210.0.254 0.0.255.0 Toutes les adresses IP de la forme 147.210.x.254
48
Annexe 2
Assignation de certains ports associs aux processus serveurs en fonction
des protocoles de
transport TCP et UDP.
49
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1.1 Expliquer le rle d un firewall.
FW : Un pare-feu (appel aussi coupe-feu ou firewall en anglais), est
un systme permettant de
protger un ordinateur des intrusions provenant d un rseau (ex: Internet). Le parefeu est en ralit
Question 7. Proposer une solution pour permettre aux postes de l Intranet d util
iser le Proxy
HTTP de faon transparente.
Deux solutions sont possibles :
Configurer tous les navigateurs Internet pour paramtrer le Proxy. Cette
solution n est pas
transparente et peut tre contourne par les postes.
Rediriger en entre de l interface 192.168.50.1 tout paquet avec l adress
e du port destination 80
vers le Proxy 192.168.100.4. C est la technique dite du "Proxy transparent". Il
faut bien sr que le
Proxy le permette c est le cas de la plupart des Proxy du march.
Question 8. Rdiger le(s) rgle(s) permettant cette solution.
numro Interface Type protocole Adresse
publique
port
public
adresse prive Port
priv
5 192.168.50.1 R TCP * 80 192.168.100.4 8080
Ici les requtes http
partir du rseau local sont rediriges vers le pr
oxy situ dans la DMZ.
Le Proxy agira ensuite en tant que client Internet il utilisera donc
un port client suprieur 1024
pour ses changes. Il n y aura donc pas de confusion avec les changes des serveurs
de la DMZ.
Pour plus de scurit il faudrait supprimer la rgle 1 du NAT/PAT qui mas
que les adresses des
postes du rseau local et leur permet l accs Internet.
55
CDGJC J
La filiale d une socit est relie son sige par l intermdiaire de deux connexions dista
ntes : une
liaison spcialise et une liaison de secours RNIS. Chaque liaison est gre par un rout
eur diffrent:
un routeur principal et un routeur de secours.
La disponibilit de la connexion est une ncessit pour la filiale. Vous tes charg d tudi
er la mise
en uvre d une solution qui permettrait de tolrer la panne du routeur principal.
Pour cela vous allez tout d abord tudier ce qu un administrateur devrait faire ma
nuellement en cas
de panne du routeur principal pour utiliser le routeur de secours.
Puis vous allez tudier la mise en uvre de deux protocoles permettant dassurer dynam
iquement la
tolrance de panne.
L annexe 1 vous donne un schma non exhaustif du rseau.
L annexe 2 vous donne l tat initial de la configuration des diffrents lments actifs
du rseau avant
la simulation de la panne.
L annexe 3 prsente sommairement les protocoles utiliss.
Lannexe 4 prsente le cache ARP du poste 192.168.200.20 aprs la mise en
place de HSRP et
lexcution dune commande ping.
Lannexe 5 prsente lannonce de route faite par le routeur principal au r
outeur du sige aprs la
mise en place du protocole de routage RIP.
Vous testez le fonctionnement du routeur principal en excutant la commande suivan
te partir du
poste 192.168.200.20 : ping 192.168.10.1
192. 168.200.254/24
PC PC PC
P C
1 92. 168.200.20
Commutate ur
Commutateur
Ser veur de fic hiers
192. 168.10.2/24
Se rveur de fi chi ers
192.168.10. 1/ 24
200.100. 10. 253/30
200.100. 20. 253/30
200. 100.20.254/ 30 200. 100.10.254/30
192.168.10.254/ 24
57
Annexe 2 : la configuration des diffrents lments actifs du rseau avant la
simulation de la panne.
Table de routage du routeur sige
Rseau Masque Passerelle Interface
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254
192.168.200.0 255.255.255.0 200.100.10.253 200.100.10.254
Table de routage du routeur principal
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.253 192.168.200.253
200.100.10.252 255.255.255.252 200.100.10.253 200.100.10.253
192.168.10.0 255.255.255.0 200.100.10.254 200.100.10.253
Le routeur Principal est actif
Table de routage du routeur de secours
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254
200.100.20.252 255.255.255.252 200.100.20.253 200.100.20.253
192.168.10.0 255.255.255.0 200.100.20.254 200.100.20.253
Le routeur de secours est inactif
Table de routage du poste 192.168.200.20
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.20 192.168.200.20
0.0.0.0 0.0.0.0 192.168.200.253 192.168.200.20
Adresse MAC du routeur principal : 0D 0A C1 10 5B 2D
Adresse MAC du routeur de secours : 0D 0A C1 00 24 11
Cache ARP du poste 192.168.200.20
Adresse MAC Adresse IP Type
0D 0A C1 10 5B 2D 192.168.200.254 dynamique
58
Annexe 3 : Prsentation des protocoles utiliss.
HSRP (Host Stanby Router Protocol)
HSRP est dcrit dans la RFC 2281. Ce document est class pour information ce qui veu
t dire qu il
n est pas un standard Internet. C est un protocole propritaire CISCO. I
l offre un mcanisme de
tolrance aux pannes de la passerelle par dfaut aux diffrentes machines d
u rseau incapables de
dcouvrir dynamiquement les routeurs qui leur sont affects (attention on ne fait pa
s rfrence ici
DHCP qui ne permet pas cela mais plutt des mthodes dynamiques comme IRDP ICMP Rout
er
Discovery Protocol).
HSRP permet deux routeurs de partager une adresse IP virtuelle et une adresse MA
C virtuelle. Le
routeur actif rpond aux requtes ARP destines l adresse commune comme s i
l s agissait de la
sienne puis prend en charge les trames adresses l adresse MAC commune.
Un change de
message ralis en multicast permet aux routeurs de dterminer le routeur actif puis
de vrifier la
prsence de l autre routeur. Lorsque le routeur actif est dfaillant, le deuxime rout
eur ne reoit plus
de message multicast de sa part, il devient alors actif et rpond aux requtes adres
ses aux adresses
communes (IP et MAC).
D autres protocoles sont bien sr utilisables comme par exemple VRRP (Vi
rtual Redundancy
Router Protocol).
RIP V2 (Routing Information Protocol). La version 2 transmet les masques de sous
-rseau.
Un protocole de routage permet de mettre jour dynamiquement les tables de routag
e des routeurs.
Les routeurs s envoient des messages contenant les rseaux qu ils peuvent atteindr
e soit directement
soit indirectement.
Pour atteindre un rseau, un routeur utilisant un protocole vecteur de distance ch
oisira toujours la
route la plus courte.
La route la plus courte est celle qui traverse le moins de routeur.
Pour valuer cette distance le routeur associe chaque rseau une mtrique
sous la forme d un
entier. La valeur 1 correspond une remise directe. Une valeur suprieur
e 1 correspond une
remise indirecte.
Un routeur utilisant le protocole de routage RIP diffuse toutes les 30s la liste
des rseaux qu il peut
atteindre avec leur mtrique. Pour RIP la valeur 16 associe une mtrique invalide la
route.
D autres protocoles vecteur de distance sont bien sr utilisables par e
xemple IGRP (Internet
Gateway Router Protocol) ou bien EIGRP (Extended Internet Gateway Router Protoco
l) de CISCO
protocle Hybride entre les protocoles vecteur de distance et ceux tats de lien.
Annexe 4
Cache ARP du poste 192.168.200.20 aprs la mise en place de ARP et la
commande ping
192.168.10.1
Adresse MAC Adresse IP Type
00-00-0c-07-ac-02 192.168.200.1 dynamique
Annexe 5
Annonce transmise par le routeur principal au routeur du sige
Rseau Masque Mtrique
192.168.200.0 255.255.255.0 1
59
.... .... . .... .... . .... .... . .... .... .
Question 1. Quel sera le rsultat de la commande ping 192.168.10.1 excu
te sur le poste
192.168.200.20 ?
Le rsultat sera "dlai d attente dpass". Le paquet ICMP echo est parti mais le p
aquet ICMP
reply nest pas revenu dans le temps imparti.
Question 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pou
r utiliser
le routeur de secours ?
62
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui son
t accessibles via le
routeur SUPERNET
La deuxime ligne de la table de routage du routeur SUPERNET fait rfrenc
e un masque
255.255.224.0. Cela signifie que dans le troisime octet, les trois premiers bits
sont 1.
Toutes les adresses disposant donc des mmes 19 premiers bits (8 + 8
+ 3) seront routes. Il faut
donc rechercher parmi lensemble des sous-rseaux contenus dans la table d
e routage de
PRIVANET les adresses de rseau qui correspondent cette proprit.
Pour rpondre il faut convertir ces adresses rseaux en binaire :
200.100.18.0 11001000.11000100.00010010.00000000
200.100.31.0 11001000.11000100.00011111.00000000
200.100.32.0 11001000.11000100.00100000.00000000
200.100.33 0 11001000.11000100.00100001.00000000
200.100.34 0 11001000.11000100.00100010.00000000
200.100.48 0 11001000.11000100.00110000.00000000
200.100.49 0 11001000.11000100.00110001.00000000
200.100.50.0 11001000.11000100.00110010.00000000
200.100.66.0 11001000.11000100.01000010.00000000
200.100.98.0 11001000.11000100.01100010.00000000
Les rseaux 200.100.32.0, 200.100.33.0; 200.100.34.0; 200.100.48.0; 200.100.
49.0; 200.100.50.0
sont ainsi accessibles. Car si on applique un masque qui restreint l
identifiant du rseau ces 19
bits, avec une seule ligne dans la table de routage on route vers l ensemble de
ces rseaux. Ce qui
implique bien un autre routeur (ici PRIVANET) qui distribue les paquet
s vers les bons sousrseaux.
Crer des sur-rseaux (l inverse des sous-rseaux) permet donc de limiter le
nombre de lignes sur
une table de routage, pour les routeurs "gnraux" d une entreprise.
Question 2. Indiquer quelles sont les lignes rajouter dans la table
de routage du routeur
SUPERNET pour router vers les rseaux non accessibles.
Ligne rajouter pour router vers 200.100.66.0 et 200.100.98.0
200.100.64.0 255.255.192.0 10.0.0.1 10.0.0.2
Il suffit en effet que les deux premiers bits du troisime octet soient gaux 01 (0x
2
7
+ 1x2
6
= 64),
et que le masque dispose dun troisime octet commenant par 11 (1x2
7
+ 1x2
6
= 192).
Ligne rajouter pour router vers 200.100.18.0 et 200.100.31.0
Il faut que les trois premiers bits du troisime octet soient gaux 000 (0x2
7
+ 0x2
6
+ 0x2
5
= 0), donc
que le masque dispose dun troisime octet commenant par 111 (1x2
7
+ 1x2
6
+ 1x2
5
=224).
200.100.0.0 255.255.224.0 10.0.0.1 10.0.0.2
Il est aussi possible de restreindre la plage dadresses routes en tablant sur les
quatre premiers bits
identiques (0001), ce qui donnerait ladresse 200.100.16.0 et le masque /20 .
Question 3. Indiquer sil est possible, avec une seule ligne dans la t
able de routage du
routeur SUPERNET de router vers tous les rseaux.
On considre que toutes les adresses ont le troisime octet qui commence
par 0 (adresse
200.100.0.0) ce qui donne un masque dans lequel le troisime octet commence par 1
(soit 128)
200.100.0.0 255.255.128.0 10.0.0.1 10.0.0.2
On pourrait aussi tendre la plage dadresses routes en considrant que seul
s les deux
premiers
octets sont identiques, ce qui donnerait une adresse identique, mais le masque /
16 .
63
CDGJC J =
La configuration propose ne reprsente pas, loin s en faut, une configura
tion idale. Son tude a
simplement pour objectif de balayer diffrentes fonctionnalits d un DNS. L annexe
1 vous permet
de vous familiariser avec le vocabulaire et les concepts employs. Lannex
e 2 fournit le plan
dadressage du rseau gberger.fr.
1. Complter l annexe 3 afin de positionner chaque machine rfrence dans so
n domaine
(associe son adresse IP) partir de lanalyse du fichier de configuratio
n des zones
gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour c
haque zone la
liste des serveurs DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
2. Rpondre aux questions suivantes, en les justifiant :
2.1 Sur quelle machine est stock le fichier de configuration de la zone tsig.gber
ger.fr ?
2.2 Quelle est la dure de validit de ses donnes en cache (exprime en jours) ?
2.3 Quelle est l adresse et le nom du serveur secondaire de la zone tscg.gberger
.fr ?
2.4 Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zon
e qui a t le plus
souvent modifie ?
2.5 arle.tsig.gberger.fr est-elle une zone indpendante ?
2.6 Que faut-il faire pour que la rsolution de nom pour la machine srv.gberger.fr
, d adresse
10.0.2.1 soit possible ?
3. En utilisant la mme reprsentation que pour les fichiers de configura
tion fournis en annexe 4,
lorsque cela est ncessaire, rpondre aux questions suivantes :
3.1 Quel est le contenu du fichier de description
de zone associ au
serveur
dns2.tsig.gberger.fr ?
3.2 Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberg
er.fr, de
nom dns2 et d adresse 10.0.2.13 ?
3.3 Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
64
Annexe 1
Rappels de quelques dfinitions
Le rle d un serveur de noms de domaines est avant tout de permettre de "rsoudre un
nom", c est-dire d associer une adresse IP un nom d hte.
L espace des noms de domaines est dcoup en zones. Ces dcoupes peuvent tr
e ralises entre
deux nuds adjacents quelconques. Chaque groupe de nuds interconnects devient ainsi
une zone
indpendante.
Du fait de la structure d arbre (dans lequel chaque branche correspond un domain
e), chaque zone
contient un nud "de plus haut niveau" qui est plus proche de la racine que tous l
es autres nuds de
cette zone. Le nom de ce nud est utilis pour identifier la zone elle-mme.
Chaque zone est gre par une organisation, qui peut modifier ses donnes
de faon unilatrale,
crer des nouveaux sous-arbres l intrieur de la zone, supprimer des nuds
existants, ou encore
dlguer la gestion de sous-zones d autres organisations plus locales.
Une zone contient donc un ensemble d htes (noeuds). Les donnes dcrivant une zone se
divisent
en quatre parties majeures :
Les donnes sur lesquelles le serveur fait autorit (pour tous les nuds dans la zone)
.
Des donnes dfinissant le nud de plus haut niveau de la zone (qui fait partie des do
nnes
sur lesquelles le serveur fait autorit).
Des donnes dcrivant les sous-zones dlgues, c est--dire, les points de coupure dans le
parties infrieures de la zone.
Les donnes permettant l accs aux serveurs de noms traitant les sous-zone
s dlgues
(appeles souvent "glue data").
Toutes ces donnes sont exprimes dans un fichier sur le serveur primaire
de la zone, sous forme
d enregistrements de ressources (en anglais Ressource Record : RR.)
Les principaux types d enregistrements sont reprs par un code. On rencontre le plu
s souvent :
SOA (Start Of Authority) : identifie le dbut d une "sphre d autorit" (description
d une zone)
A
(Address)
: dcrit une adresse d hte
NS
(Name Server) : dfinit un serveur de noms faisant autorit sur la zone
Un serveur primaire d une zone dispose du fichier de configuration de cette zone
. Il fait rfrence
sur cette zone.
Un serveur secondaire travaille sur une copie locale du fichier de co
nfiguration d un serveur
primaire, serveur qu il contacte rgulirement pour mettre jour les donnes
qu il possde sur la
zone.
Chaque serveur dispose galement d un cache qui contient d autres rfrences
(sur lesquelles il ne
;serveur
; secondaire (en secondes)
86400) ; dure de validit en cache par dfaut des enregistrements de zones (en second
es)
; avec deux serveurs de noms dans cette zone
NS dns.tsig.gberger.fr.
NS dns2.gberger.fr.
; et dlgation de la zone tsig.gberger.fr avec trois serveurs de noms
tsig.gberger.fr. IN NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr
NS dns2.gberger.fr.
; et dlgation de la zone tscg.gberger.fr avec deux serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
68
; dclaration des adresses faisant autorit
localhost.gberger.fr.
IN A 127.0.0.1
dns2.gberger.fr.
IN A 10.0.2.9
proxy.gberger.fr.
IN A 10.0.2.2
routeur.gberger.fr
IN A 10.0.2.200
routeur.gberger.fr
IN A 10.0.1.200
; fin de la zone dautorit
; glue data
dns.tsig.gberger.fr.
IN A 10.0.1.8
dns.arle.tsig.gberger.fr
IN A 10.0.1.4
dns.tscg.gberger.fr
IN A 10.0.2.12
dns2.tsig.gberger.fr
IN A 10.0.1.9
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN
SOA
dns.arle.tsig.gberger.fr.
admig.gber
ger.fr. (19 18000 3600 72000
86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
NS dns2.gberger.fr.
localhost.tsig.gberger.fr.
IN A 127.0.0.1
dns.arle.tsig.gberger.fr.
IN A 10.0.1.4
dns2.tsig.gberger.fr.
IN A 10.0.1.9
srv.arle.tsig.gberger.fr.
IN A 10.0.1.2
srv.da.tsig.gberger.fr. IN A 10.0.1.3
Contenu du fichier de configuration de la zone tscg.gberger.fr
tscg.gberger.fr. IN
SOA
dns.tscg.gberger.fr.
admcg.gberger.fr
. (13 54000 3600 108000
86400)
NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
localhost.tscg.gberger.fr.
IN A 127.0.0.1
dns.tscg.gberger.fr.
IN A 10.0.2.12
dns2.gberger.fr.
IN A 10.0.2.9
srv.tscg.gberger.fr.
IN A 10.0.2.11
69
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Complter l annexe 3 afin de positionner chaque machine rfrence dans son
domaine
(associe son adresse IP) partir de lanalyse du fichier de configuration des zones
gberger.fr,
tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone l
a liste des serveurs
DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
les htes du rseau gberger.fr qui ne sont pas encore rfrencs sont :
de proposer
un plan dtaill pour automatiser l attribution des configurations TCP/IP aux htes en
respectant le
cahier des charges rdig par l administrateur du rseau.
Cahier des charges
A. Donnes
Ladresse du rseau est 193.250.17.0.
L entreprise est structure en trois dpartements : Administratif, Commercial et Pro
duction.
Ces trois dpartements comportent respectivement 24, 16 et 18 htes ayant
le rle de postes de
travail.
B. Contraintes
1. Chaque dpartement doit tre plac dans un sous-rseau IP distinct. On carte les rseaux
ayant
une adresse "tout zro" ou "tout un"
2. Les htes doivent pouvoir obtenir automatiquement leur configuration IP
en en faisant la
demande auprs d un serveur DHCP.
3. Plusieurs serveurs offriront le service DHCP sur le rseau, l indisponibilit de
l un d entre eux ne
doit pas totalement interrompre l attribution des configurations TCP/IP aux htes
qui en font la
demande. On retient comme hypothse que la panne d un seul serveur DHCP sera assu
me. Si
un sous-rseau est priv de son serveur DHCP suite une panne, 25% de s
es htes doivent
pouvoir obtenir une adresse IP valide auprs du serveur DHCP d un autre sous-rseau.
4. La configuration des serveurs DHCP doit permettre l ajout de nouveaux htes dan
s chaque sousrseau.
5. Certains htes ayant un rle de serveur doivent se voir attribuer des
adresses IP toujours
identiques. Les serveurs DHCP se voient attribuer ladresse IP de numro le plus hau
t utilisable
dans chaque sous-rseau. Les serveurs et routeurs devront disposer dadress
es situes dans la
partie haute de la plage d adresses du sous-rseau. Les postes de trava
il se voient attribuer des
adresses situes dans la partie basse de la plage d adresses du sous-rseau
Liste des htes auxquels une adresse fixe doit tre attribue
Hte Adresse MAC de l hte
Sous-rseau Administratif
Serveur DNS 00-32-DE-5A-78-9C
Passerelle par dfaut 1F-7A-90-02-F0-F0
Sous-rseau Commercial
Passerelle par dfaut 2B-14-62-91-C9-B1
Routeur 82-00-06-01-9B-7A
Sous-rseau Production
Passerelle par dfaut 1C-96-AA-F4-C2-91
6. Trois htes du dpartement administratif ne sont pas clients DHCP.
7. Certains htes du domaine Production utiliss sur les chanes de montage ne sont pa
s grs par
le service informatique. Une plage d adresses leur a t rserve, elle recou
vre les adresses
193.250.17.110 193.250.17.117.
73
1. Proposer un masque de sous-rseau pour le rseau de l entreprise.
2. Calculer le nombre total d htes que peut contenir chaque sous-rseau.
IP Fixes attribuer
Nom Valeur
Adresses exclues Rservations tendue de secours du sousrseau
IP : ___________________
Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut
Adresse fin
Masque
Dure du bail
Options DHCP
Nom Valeur
74
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Proposer un masque de sous-rseau pour le rseau de l entreprise.
193.250.17.0 est une adresse de classe C, le dernier octet doit servi
r coder les numros de sousrseau et les numros d htes dans chaque sous-rseau.
Pour coder trois numros de sous-rseaux, sachant que les configurations "
tout zro" et
"tout
un" sont rserves, il est ncessaire d utiliser 3 bits, d o le masque de sous-rseau (11
10 0000)
2
soit
(224)
10
.
Finalement le masque de sous-rseau complet est : 255.255.255.224.
Question 2. Calculer le nombre total d htes que peut contenir chaque sous rseau.
Il reste 5 bits dans le dernier octet pour coder les numros d htes, soit 2
5
= 32 possibilits
auxquelles il faut retirer le numro de sous-rseau ("tout zro" ) et l adresse de dif
fusion dans le
sous-rseau ("tout un"), soit finalement 30 htes par sous-rseau.
Question 3. Affecter un numro de sous rseau chaque dpartement. Dfinir le
s plages
d adresses utilisables dans chaque sous rseau.
Le dpartement Production dispose dj d un numro de rseau puisque nous connaissons cert
aines
adresses statiques dans ce sous-rseau :
Prenons l adresse 193.250.17.110. Le dernier octet est 110 = (0110 1110)
2
, donc le numro de sousrseau est (011)
2
sur 3 bits, d o l adresse de sous-rseau 193.250.17.96 pour le dpartement
Production.
Pour les dpartements Administratif et Commercial nous affectons respectivement le
s numros de
sous-rseau (001)
2
et (010)
2
. Rcapitulons :
Dpartement Numro
binaire du
sous-rseau
Adresse IP
du sous-rseau
Adresses utilisables
de
(dernier octet)
Administratif (001)
2
193.250.17.32 33 62
Commercial (010)
2
193.250.17.64 65 94
Production (011)
2
193.250.17.96 97 126
Question 4. Tracer un schma du rseau de l entreprise en faisant apparatr
e les htes du
rseau et leur adresse IP.
Lnonc stipulait : dutiliser ladresse la plus haute pour le serveur DHCP, les adresses
en dessous
pour les htes particuliers (serveurs, routeurs) avec souvent une rservati
on dadresse et enfin les
adresses les plus basses pour les postes de travail.
75
Question 5. Dfinir comment sera assure l attribution des configurations I
P suite une
panne sur un des serveurs DHCP. Argumenter notamment sur la dure des
baux. Noter les
ventuelles contradictions vis vis du cahier des charges.
En cas de panne d un serveur DHCP, les htes doivent pouvoir solliciter
une configuration auprs
d un autre serveur DHCP situ sur un autre sous-rseau, les requtes en diffusion envo
yes par ces
htes doivent pouvoir passer les routeurs. Aussi, les routeurs R1 et R2
doivent tre capables de
router les datagrammes DHCP (BOOTP) ou un agent de relais DHCP doit
s excuter sur chaque
sous-rseau.
Chaque serveur DHCP se voit attribu une deuxime tendue d adresse dans un
autre sous-rseau
dont il assure en quelque sorte le remplacement en cas de dfaillance. Ces tendues
"de scurit" ne
doivent pas entrer en conflit (comporter des adresses identiques) avec
les plages d adresses du
serveur DHCP "titulaire" dans son sous-rseau car un risque d attribution
d une adresse en double
existerait.
Voici une proposition d attribution de ces tendues de scurit :
Le serveur DHCP du
dpartement
Assure une
redondance pour
le dpartement
Nombre d adresses
(25% des htes
dynamiques)
De
(dernier octet)
Administratif Commercial 4 De 81 84
Commercial Production 4 De 118 121
Production Administratif 5 De 57 59 (*)
(*) seules trois adresses sont encore disponibles dans le sous-rseau Administrati
f, la rgle des 25%
ne peut tre respecte.
Dans une telle configuration (nombre d adresses trs limit) la dure des baux sera pl
utt longue de
faon limiter le nombre d htes susceptibles de demander une nouvelle con
figuration
un
moment donn. La dure peut tre fixe 24 heures de faon laisser le temps
de remettre en
service le serveur DHCP. l inverse la dure de bail des tendues de secours sera pl
utt brve de
faon minimiser le recours aux serveurs de secours.
Question 6. Dfinir la configuration des serveurs DHCP pour chaque sous
rseau : tendue, dure du bail, options DHCP (passerelle par dfaut, adresse
de serveur
DNS), adresses exclure, rservations prvoir. (voir annexe)
CONFIGURATION DHCP DU DEPARTEMENT Administratif
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.32 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.33 193.250.17.54 0032de5a789c 193.250.17.60
Adresse fin 193.250.17.61 193.250.17.56
3 htes
statiques
1f7a9002f0f0 193.250.17.61
Masque 255.255.255.224 193.250.17.57
Dure du bail 1 jour 193.250.17.59
tendue de
secours
Options DHCP
Nom Valeur
Serveur DNS 193.250.17.60
Passerelle 193.250.17.61
IP Fixes
Serveur DHCP 193.250.17.62
Htes statiques 193.250.17.54
56
tendue de secours du sous-rseau Adresses exclues Rservations
76
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.81
Adresse fin 193.250.17.84
Masque 255.255.255.224
Dure du bail 30 mn
Options DHCP
Nom Valeur
Passerelle 193.250.17.125
Le tableau ci-dessus stipule des plages dadresses dexlusion. Cette foncti
onnalit nexiste pas sur tous les
systmes et dans ce cas il serait ncessaire de faire plusieurs plages dadresses pou
r un mme sous-rseau.
Ainsi sous linux on aurait lquivalent des exclusions de windows sous la forme :
subnet 193.250.17.32 netmask 255.255.255. 224 {
range 193.250.17.33 192.168.0.53;
range 193.250.17.60 192.168.0.61; }
Dans la ralit ladministrateur sarrangerait pour que sa planification noblige pas de t
elles complications,
il dfinirait une plage qui ds le dpart nintgrerait pas les adresses des htes statiques
CONFIGURATION DHCP DU DEPARTEMENT Commercial
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.65 193.250.17.81 2b146291c9b1 193.250.17.93
Adresse fin 193.250.17.93 193.250.17.84
tendue de
secours
820006019b7a 193.250.17.92
Masque 255.255.255.224
Dure du bail 1 jour
Options DHCP
Nom Valeur
Passerelle 193.250.17.93
IP Fixes
Serveur DHCP 193.250.17.94
Adresses exclues Rservations tendue de secours du sous-rseau
IP : 193.250.17.96 Plage De
A
Commentaire Adresse MAC Adresse IP
la semaine dernire et qui est connect au rseau de faon intermittente. Il a not les me
ssages qui
sont apparus lors de ses deux dernires tentatives de connexion :
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse
matrielle
00 :13 :B8 :3C :F7 :B2
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse
matrielle
00 :13 :B8 :3C :F4 :D5
Son adresse IP fixe est 195.10.228.116/25 (soit un masque de 255.255.255.128).
Votre responsable vous demande de rsoudre ce problme, en vous appuyant sur les ann
exes 1 et 2.
1. Expliquer la cause du dysfonctionnement.
2. Proposer une solution pour liminer ce dysfonctionnement.
En utilisant les annexes 1 et 2 vous tes charg(e) danalyser le plan dadressage de la
socit.
3. Vrifier que le plan dadressage permet de prendre en charge le nombr
e dinterfaces
ncessaire pour chaque site.
Vous tes galement charg(e) de tester la configuration actuelle des routeu
rs R1, R2 et R3. Le
routeur R4 a dj t configur et test.
Deux commandes ont t lances avec succs :
Commande 1 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.135
Commande 2 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.164
Une commande na pas abouti :
Commande 3 : partir du poste dadresse 195.10.228.135 : ping 195.10.228.164
4. Lister les quipements traverss lors de lexcution de la commande 3, ai
nsi que les lignes
des tables de routage utilises et expliquer la raison de lchec de cette commande.
5. Proposer la correction apporter pour que la commande 3 fonctionne correctemen
t.
6. Donner le contenu de la table de routage de R4.
Le service informatique a conu une architecture DNS pour lentreprise, le
principe de cette
architecture est fourni en annexe 3.
7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit tr
e dfini
le nom dhte www.marseille.lapointe.fr
8. Donner les paramtres de la configuration DNS des postes de travail
du site dAix qui
permettent daccder lensemble des serveurs de lentreprise en utilisant leur nom.
9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone lapointe.f
r
79
Annexe 1 : Architecture du rseau de LaPointe SA
R1, R2, R3 et R4 sont des routeurs qui relient les sites. SWn ident
ifie les commutateurs (switch)
installs dans les locaux de sous-rpartition de chaque tage du site de M
arseille, et dans le local
technique (il ny a pas plus de quinze mtres entre les locaux les plus loigns).
Il sagit de commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacemen
t accueillant
actuellement un adaptateur (transceiver) optionnel 10BASE 5, et qui dis
posent par ailleurs dun
emplacement libre permettant dinstaller au choix un adaptateur 1000BASE-SX, 1000B
ASE-LX ou
1000BASE-T.
R1
SLP-PRINC
SLP-AUX
SW1
SW2
SW3
SW4
PC PC PC PC PC PC PC PC PC
Internet
R2 R3 R4
PC PC PC PC PC PC PC PC PC
Workgroup Switch Workgroup Switch Workgroup Swi tch
SLP-SP SLP-AP SLP-AR
Agence de
Salon de Provence
28 interfaces
Agence
d Aix en Provence
16 interfaces
Agence d Arles
22 interfaces
RDC ETAGE 1
ETAGE 2 Local Technique
Sige 122 interfaces
195.10.228.226 195.10.228.230 195.10.228.234
195.10.228.193 195.10.228.161 195.10.228.129
195.10.228.1
195.10.228.225
195.10.228.229
195.10.228.233
12 interfaces
(dont 20 rserves pour la connexion des
portables des chefs de chantier)
60 htes 30 htes 30 htes 2 htes
Site de Marseille
80
Annexe 2 : Extraits du plan dadressage
Site ou liaison Adresse rseau Masque de sous-rseau
Marseille 195.10.228.0 255.255.255.128
Salon 195.10.228.128 255.255.255.224
Aix 195.10.228.160 255.255.255.224
Arles 195.10.228.192 255.255.255.224
R1-R2 195.10.228.224 255.255.255.252
R1-R3 195.10.228.228 255.255.255.252
R1-R4 195.10.228.232 255.255.255.252
Le sous-rseau de Marseille dispose de postes en adressage fixe, mais aussi de pos
tes en adressage
dynamique (les portables des chefs de chantier qui rapatrient les donne
s enregistres dans la
journe leur retour des visites de chantier).
Le serveur DHCP de Marseille gre la plage dadresse suivante :
Plage dadresses disponibles : 195.10.228.106 195.10.228.125
Exemples de configuration des postes dans chaque site
Site Adresse dun poste Masque Routeur par dfaut
Marseille 195.10.228.4 255.255.255.128 195.10.228.1
Salon 195.10.228.135 255.255.255.224 195.10.228.129
Aix 195.10.228.167 255.255.255.224 195.10.228.161
Arles 195.10.228.201 255.255.255.224 195.10.228.193
Table de routage pour R1
Rseau Masque Routeur Interface
195.10.228.0 255.255.255.128 195.10.228.1 195.10.228.1
195.10.228.128 255.255.255.224 195.10.228.226 195.10.228.225
le nombre
dinterfaces ncessaire pour chaque site
Les masques de sous-rseau sont utiliss ici pour rpartir les plages dadres
ses en fonction des
besoins de chaque site :
Pour le site de Marseille on a besoin de 122 adresses (123 avec le
routeur). Le dernier octet
commenant par un 1 ( 255.255.255.128), on dispose donc de 126 adresses dhtes.
Pour le site de Salon on a besoin de 28 adresses. Le dernier octet
commenant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dAix on a besoin de 12 adresses. Le dernier octet comme
nant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dArles on a besoin de 22 adresses. Le dernier octet com
menant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Question 4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi
que
les lignes des tables de routage utilises et expliquer la raison de lchec de cette
commande.
La russite des deux premires commandes permet de constater que les liai
sons entre les sites de
Marseille, Salon et Aix fonctionnent correctement.
Liste des quipements traverss et lignes des tables de routage utilises :
Aller : Switch Salon, R2 (ligne 3), R1 (ligne 3), R3 (ligne 1), Switch Aix
Retour : Switch Aix, R3 (ligne 3)
Explication de la raison de lchec de la commande :
Pour la rponse, le poste dadresse 195.10.228.164 envoie la rponse la commande ping
vers
le routeur R3.
Dans le routeur R3, la troisime ligne entrane lenvoi de cette rponse sur
linterface
195.10.228.230 vers le routeur dadresse 195.10.228.233, vers le sous-rseau 195.10.
228.192
Ladresse de ce routeur nest pas accessible directement partir de cette interface.
83
Question 5. Proposer la correction apporter pour que la commande 3 f
onctionne
correctement
Il faut modifier la troisime ligne de la table de routage de R3
Table de routage pour R3
Rseau Masque Routeur Interface
195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161
195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230
195.10.228.128 255.255.255.224 195.10.228.229 195.10.228.230
195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
Question 6. Donner le contenu de la table de routage de R4
Rseau Masque Routeur Interface
195.10.228.192 255.255.255.224 195.10.228.193 195.10.228.193
195.10.228.0 255.255.255.128 195.10.228.233 195.10.228.234
195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.234
195.10.228.160 255.255.255.224 195.10.228.233 195.10.228.234
Question 7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur leq
uel doit
tre dfini le nom dhte www.marseille.lapointe.fr.
Le domaine concern est marseille.lapointe.fr, qui appartient la zone la
pointe.fr. Un nom dhte
est enregistr sur le serveur DNS primaire de la zone laquelle il appartient (cett
ne dmilitarise et
Rseau local protg .
Ces deux zones ne peuvent pas bnficier du mme niveau de scurit. En effet
, la partie zone
dmilitarise doit tre accessible d Internet pour permettre la connexion des
clients au serveur
Web, la rception des requtes de rsolution de noms par le serveur DNS, la rception d
u courrier
par le serveur POP. Par contre aucun utilisateur extrieur ne doit pouvoir accder a
u rseau local.
88
Question 6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
a. Rgle N 1 : elle autorise les connexions des clients internet (IP sou
rce non spcifie) au site
Web (serveur 179.169.10.106) par le protocole http (port 80)
b. Rgle N4 : elle autorise lentre des rponses aux requtes DNS (port source 53) destin
tion
du serveur DNS (serveur 179.169.10.107) venant de nimporte quel serveur internet
(IP source
non spcifie).
Question 7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en
spcifiant sa
position dans la table.
La rgle suivante doit tre ajoute dans la table avant la rgle n 7 :
ligne insrer :
Interface Sens IP
source
Port
source
IP
destination
Port
destination
Action
179.169.10.98 Entre 195.65.21.4 tous 179.10.169.106 22 Autorise
89
CDGJC J
Lentreprise DUGALDE dite des ouvrages spcialiss dartisanat et dart.
Ouverte au march mondial depuis 1998, elle assure la traduction et limp
ression douvrages en
langues trangres : un service TRADUCTION a dailleurs t constitu cet effet.
Devant grer notamment les droits dauteur et de reproduction dimages pour
des uvres et des
auteurs originaires des cinq continents, elle a d se doter dun service JURIDIQUE c
onsquent.
Aujourdhui, 500 personnes sont salaries de lentreprise qui sest implante dans les deu
x premiers
tages dun grand btiment.
Lentreprise est maintenant largement informatise, mais le fonctionnement du rseau e
t sa scurit
doivent tre amliors et la gestion de la qualit des projets doit dsormais tre prise en
compte.
Le responsable informatique dcide de vous en confier ltude.
Au 1er tage se trouvent les services DITION, JURIDIQUE et TRADUCTION, au 2me tage le
service ADMINISTRATIF et le service INFORMATIQUE. Le rseau informatique de lentre
prise
est dcrit en annexe 1.
1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentr
eprise
DUGALDE. Justifier la rponse.
1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le pl
us
grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet t
age. Justifier la
rponse.
1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine da
dresse
172.16.132.2. Justifier la rponse.
Chaque tage dispose dun ou de plusieurs serveurs DHCP. Le serveur nomm EDITI peut a
ttribuer
des adresses IP aux postes du 1er tage. Les serveurs ADMINI et INFORI attribuen
t, quant eux,
des adresses IP respectivement aux postes des deux sous-rseaux 4 et 5.
2. Expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Des utilisateurs du sous-rseau 1 se plaignent parfois quils narrivent pas se connec
ter au rseau,
un message leur signalant quune adresse IP existe dj sur le rseau. Un c
ontrle a t ralis
permettant dcarter les routeurs comme cause possible.
3. Donner une cause possible du problme rencontr par ces utilisateurs.
4. Proposer les paramtres de configuration du serveur DHCP EDITI afin
dassurer le bon
fonctionnement de lensemble des postes du 1er tage.
Lentreprise situe au 3me tage dmnage et la socit DUGALDE profite de locc
pour y
dplacer certains postes de travail du service DITION qui manque actuelle
ment cruellement de
place.
5. Proposer une solution matrielle permettant dassurer linterconnexion avec un dbit
de 1
Gbit/s entre les postes du service DITION dplacs au 3me tage et les post
es du service
DITION rests au 1er tage.
On prendra soin de ne modifier en aucun cas la configuration logicielle des mach
ines.
90
On dcide dimplanter galement au 3me tage un nouveau service qui aura pour adresse de
sousrseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
6. Donner les lignes de la table de routage du routeur AGR2 qui per
mettront aux postes du
sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise.
Seules les
lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau
de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Tous les services de lentreprise doivent accder lInternet, mais les droits daccs aux
diffrents
services (web, courrier, etc.) ne sont pas les mmes. Pour rsoudre le p
roblme et aprs avoir
effectu une tude de march, ladministrateur sest dot dun pare-feu (firewall)
disposant
galement dune fonction de translation dadresses.
7. Expliquer en quoi la translation dadresses est intressante pour la scurit de lentr
eprise.
1
er
tage
172.16.128.1
172.16.160.1
2
me
tage
Service TRADUCTION
Sous-rseau 3
192.168.3.0
50 postes
clients DHCP de EDITI
Service EDITION
Sous-rseau 1
192.168.1.0
200 postes
Service JURIDIQUE
Sous-rseau 2
192.168.2.0
50 postes
clients DHCP de EDITI
EDITI
192.168.1.100
serveur DHCP
192.168.1.1 192.168.2.1
192.168.3.2
192.168.2.2
1
er
tage
Routeur R1
Routeur Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0
20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
Routeur R1
Routeur Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0
20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
ADMINI
172.16.128.100
Serveur DHCP
Routeur R2
Routeur Agent Relais DHCP
AGR1
172.16.128.3
192.168.1.3
92
... ... ... .... .... . , . .... . , . .... . , . .... . ,
Question 1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage
de lentreprise
DUGALDE. Justifier la rponse.
Question 1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prv
oir le
plus grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
Question 1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage
. Justifier la
rponse.
Question 1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la
machine dadresse
172.16.132.2. Justifier la rponse.
1.a. 1
er
octet = 172 , compris entre 128 et 191 correspond la classe B
Autre solution : en binaire 172 = 1011 1110
( 10xx xxxx : classe B )
L adresse du rseau de l entreprise DUGALDE est 172.16.0.0
1.b. Le masque de rseau par dfaut de la classe B est 255.255.0.0
Pour adresser des sous-rseaux, on dispose des 2 octets de poids faible.
Pour pouvoir disposer dun rseau en x.y.160.0, il faut utiliser 3 bits sur les 2 oc
tets de poids faible
(160 base 10 = 1010 0000 base2). Les autres bits pourront tre utiliss pour ladressa
ge des nuds.
On a donc : 1111 1111. 1111 1111. 1110 0000 . 0000 0000, soit 255.255.224.0
1.c. 3 bits sont utiliss dans la partie hte pour adresser les sous-rseaux.
2
3
2 = 6. On peut adresser 6 sous-rseaux
1.d. Les 2 octets de poids faible ont pour valeur 132.2 , soit en binaire 1000
0100 . 0000 0010. Les
3 premiers bits concernant le rseau (1000 0000 base 2 = 128), la machine d adress
e 172.16.132.2
appartient au sous-rseau d adresse 172.16.128.0
Question 2. expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Les agents relais DHCP AGR1 et AGR2 sont situs entre un sous-rseau qui dispose dun
serveur
DHCP et des sous-rseaux ne disposant pas de serveur DHCP ; les postes
des sous-rseaux 2 et 3
doivent obtenir une adresse du serveur EDITI situ sur un autre sous-rseau ; l agen
t relais va servir
de passerelle avec le sous-rseau 1 ; il a dans sa configuration l adresse IP du s
erveur DHCP EDITI
et redirigera ainsi les requtes de demandes d adresse IP provenant des postes app
se infrieure 25 m)
laide dun brin supportant le 1 Gbit/s (catgorie 5
e
, 5+, 6 ou 7, voire fibre optique obligatoire
pour des distances suprieures 25 m). On ne va pas, bien entendu, tirer autant de
brins quon
dplace de stations et il faut donc prvoir en plus, ltage, un quipement
dinterconnexion des
postes (en principe commutateur plutt que concentrateur afin de limiter les colli
sions) qui sera reli
lquipement actuel dinterconnexion. (on ignore son type, son dbit actuel e
t donc sil faut le
changer). On ne demande pas changer les cartes rseau.
On dcide dimplanter galement au 3
me
tage un nouveau service qui aura pour adresse de sousrseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
94
Question 6. Donner les lignes de la table de routage du routeur AGR2
qui permettront aux
postes du sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de le
ntreprise.
Seules les lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau
de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Rseau Masque Passerelle Interface
.. ..
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.2
192.168.2.0 255.255.255.0 192.168.2.2 192.168.2.2
192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.2
192.168.4.0 255.255.255.0 192.168.4.2 192.168.4.2
172.16.128.0 255.255.224.0 192.168.2.1 192.168.2.2
172.16.160.0 255.255.224.0 192.168.2.1 192.168.2.2
Question 7. Expliquer en quoi la translation dadresses est intressante p
our la scurit de
lentreprise.
On prendra soin de dcrire le processus mis en uvre.
La translation dadresses (NAT Network Address Translation, PAT Port Address Trans
lation, )
permet de masquer au monde extrieur les adresses IP rellement utilises dans lentrepr
ise, rendant
ainsi plus difficiles les tentatives dintrusion.
Quand un poste du rseau local met une demande de service vers linternet, le disposi
tif (pare-feu,
routeur NAT, serveur mandataire ou proxy, ) disposant dune fonction de translation
dadresses,
remplace l adresse IP du poste metteur du paquet par sa propre adresse avant lenvo
i sur linternet.
Il remplace de mme le port de l application cliente par une valeur particulire, en
gnral situe au
del de 61 000. Ces informations, adresse IP du poste metteur, port dorigine de lappl
ication
cliente et port attribu, sont enregistres dans une table. Lorsque la rponse du serv
ice invoqu
arrive sur le pare-feu, ce dernier vrifie dans la table qu il possde bien l entre c
orrespondante, par
rapport au port attribu, puis il rcrit dans les paquets ladresse IP du poste metteur
et port initial
la disposition de ses
membres. Il souhaite s attacher les services du cabinet de gomtres Gom &
Trie, situ 25 km
afin de renseigner le SIG partir de relevs effectus sur le terrain.
Pour chaque parcelle de bois appartenant un membre du GIE, le cabine
t de gomtres devra
numriser le plan cadastral correspondant, effectuer un relev sur le terr
ain par systme GPS
(Global Positioning System), caractriser le boisement et alimenter le SIG.
La liaison entre le site du GIE et le site de Gom & Trie sera ralise par une liaiso
n loue Transfix.
Afin d tablir le besoin en bande passante, les techniciens du GIE cons
ultent les statistiques
d utilisation des liaisons avec ses membres. Il en ressort que :
Les applications de gestion bases sur le protocole HTTP reprsentent 75 % des flux.
Elles
ncessitent un dbit de 10 Kbit/s par poste utilisateur pour garantir une
qualit de service
suffisante.
Le reste des flux est constitu par les autres services (DNS, FTP...) de l intrane
t.
1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que
devra
supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Toutes les machines du rseau du GIE sont configures pour utiliser le routeur rtr
-ext comme
passerelle par dfaut. Ce routeur dispose d une table de routage, dont voici un ex
trait :
Rseau Masque Passerelle Interface
192.168.11.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.12.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.13.0 255.255.255.0 172.16.0.254 172.16.0.253
2. Proposer la ligne ajouter dans la table de routage du routeur rt
r-ext pour que les
machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
96
3. Proposer la ligne qui permettrait, en remplaant toutes les lignes p
rcdentes, dadresser
tous les rseaux possibles des membres du GIE.
Un des gomtres semble rencontrer quelques dysfonctionnements partir de l
a machine
192.168.62.11 alors que tout fonctionne normalement sur les autres machines. Il
peut accder
tous les services Internet, mais n arrive pas accder aux applications
situes sur la machine
172.16.0.10 de nom srv10.silvia.fr.
Afin de dterminer la cause du dysfonctionnement entre ces deux nuds, vous souhaite
z, partir du
poste 192.168.62.11, utiliser la commande ping pour vrifier le fonctionn
ement des lments
suivants :
pile de protocoles TCP/IP sur lui-mme,
couche Physique et Liaison de donnes sur le rseau de la socit Gom & Trie,
couche Rseau entre le rseau de la socit Gom & Trie et celui du GIE,
rsolution de nom en utilisant le protocole DNS.
4. Pour chacune des vrifications souhaites, indiquer la commande ping e
xcuter.
Justifier la rponse pour chacune des quatre commandes employes.
Vous demandez au gomtre de taper la commande ping 172.16.0.10 sur la m
achine qui ne
fonctionne pas. La consultation du cache arp de cette machine donne le rsultat su
ivant :
Adresse internet Adresse physique Type
192.168.62.253 00:D0:59:86:3B:68 dynamique
Vous demandez ensuite au gomtre de taper la commande ping 172.16.0.10 , depuis une
autre
machine dadresse 192.168.62.12. Aprs quoi, la consultation du cache arp de cette a
utre machine
donne le rsultat suivant :
Adresse internet Adresse physique Type
192.168.62.254 00:D0:59:82:2B:86 dynamique
5. Expliquer le rle du protocole arp.
6. Expliquer le problme que lanalyse des caches arp rvle pour la machine 192.168.62.
11.
Les fonctions de filtrage du routeur rtr-ext sont dj actives sur les interfaces 193
.252.19.3 et
195.115.90.15. Les tableaux ci-dessous donnent un extrait des tables de
filtrage correspondant
chacune de ces interfaces :
Table de filtrage de l interface 193.252.19.3 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 Toutes Tous 195.115.90.1/32 25 TCP Accepter
2 Toutes Tous 195.115.90.1/32 110 Tous Accepter
3 Toutes Tous 195.115.90.1/32 53 Tous Accepter
4 Toutes Tous 195.115.90.2/32 80 TCP Accepter
6 Toutes Tous 195.115.90.0/28 22 Tous Accepter
7 195.115.90.0/28 Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
97
Table de filtrage de l interface 195.115.90.15 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
Dfaut Toutes Tous Toutes Tous Tous Accepter
L algorithme utilis par le service de filtrage est quivalent ceci :
1. Tant qu il y a un paquet traiter
o En suivant l ordre des rgles de 1 n, rechercher la premire rgle applicable.
Adresse IP Source
Adresse IP Destination
Options IP ventuelles Bourrage
Donnes (de 2 65 517o)
des flux. Ces applications ncessitent un dbit de 10 Kbit/s par poste utilisateur .
Il faut donc : 10 Kbit/s * 12 postes soit 120 Kbit/s pour les applications de ge
stion. Ces applications
de gestion reprsentent 75 % des flux . Il faut donc rajouter les 25 % utiliss par le
s autres flux
(DNS, FTP) soit 40 Kbit/s (120/75*25), pour obtenir le dbit total ncessaire.
Le dbit total ncessaire est donc de 120+40 Kbit/s soit 160 Kbit/s.
Question 2. Proposer la ligne ajouter dans la table de routage du routeur r tr ext pour
que les machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
Aidons nous du schma de lAnnexe 1 et plaons nous mentalement sur le routeur r tr -e
xt dont
il convient de complter la table. La question indique que le rseau atteindre est c
elui de socit
Gom & Trie puissent atteindre le rseau de la socit Gom & Tri soit 192.168.62.0
comme lindique clairement le schma. Le masque de rseau est not, dans cette mme annexe
, /24
ce qui correspond la notation CIDR (Classless InterDomain Routing) dun masque de
24 bits 1
soit, en notation traditionnelle : 255.255.255.0. Depuis le routeur r tr -ext, t
ous les paquets destins
au rseau Gom & Trie doivent donc tre expdis au routeur r tr -gie (dont le travail se
a de les
rediriger son tour vers le rseau de la socit) et dont ladresse de linterface dentre
172.16.0.254. Pour cela, les paquets doivent sortir de notre routeur r tr -ext p
ar linterface de sortie
172.16.0.253. Bien entendu le concentrateur na rien voir avec un problme de routag
e
puisquil est cens travailler au niveau 2 du modle OSI et non pas au niveau 3 comme
le routeur.
La ligne rajouter dans la table de routage est donc en dfinitive :
Rseau
atteindre
Masque de ce rseau On doit sadresser On sort du routeur
par
Rseau Masque Passerelle Interface
192.168.62.0 255.255.255.0 172.16.0.254 172.16.0.253
Question 3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcde
ntes,
dadresser tous les rseaux possibles des membres du GIE
A lobservation de la table de routage (complte en principe par la ligne
issue de la rponse la
question prcdente) on constate que tous les rseaux appartiennent la mme
plage dadresses
destination
Por t
destination
Pr otocole
tr anspor t
Action
1 172.16.0.10/32 Tous 195.115.90.1/32 53 Tous Accepter
2 195.115.90.1/32 53 172.16.0.10/32 Tous Tous Accepter
3 172.16.0.10/32 Tous 195.115.90.0/28 22 Tous Refuser
4 172.16.0.0/24 Tous 195.115.90.0/28 22 Tous Accepter
5 195.115.90.0/28 22 172.16.0.0/24 Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Question 9. Indiquer l adresse MAC (adresse physique ou Ethernet) de l
a machine
destinataire de la trame capture.
00 : d0 : 59 : 82 : 2b : 86
Question 10. Donner en dcimal l adresse IP du destinataire du datagramme qui a t ca
ptur
172.16.0.10
Question 11. Dcrire, ventuellement l aide d un schma, le dialogue qui stablit entre u
n
client HTTP (navigateur Internet), un serveur HTTP et un serveur de b
ases de donnes
lorsque le client soumet un formulaire au serveur HTTP et que celui-c
i doit retourner des
informations contenues dans la base de donnes.
1. Le client envoie la requte.
2. Les requtes des clients arrivent sur le port HTTP (80 en gnral).
3. Le serveur HTTP transmet les valeurs (noms de champs + valeurs) u
n script par une
mthode get ou post.
4. Le serveur excute un script (requte SQL encapsule) et via un middleware la requt
e SQL
est transmise au SGBD.
5. Le SGBD excute la requte et renvoie le rsultat au serveur http.
6. Le serveur http met en forme le rsultat (HTML dynamique) et retourne au client
(navigateur)
ce rsultat (page HTML).
103
CDGJC J =
Le Domaine VISTE est un domaine qui possde vingt hectares dorange, il produit envi
ron 50 000
litres de jus dorange par an.
VISTE dispose dj dun rseau informatique, reliant les bureaux, le dpt (ou
sont stocks les
bouteilles de jus dorange) et la cave, et dun serveur HTTP en intranet.
VISTE est une petite entreprise ambitieuse qui cherche se faire connat
re en participant aux
diffrents salons.
Rcemment le propritaire du domaine a lou un stand dans un salon qui va se drouler Me
kns.
Durant le salon, les commerciaux prsents auront besoin dobtenir en temps rel ltat des
stocks et
de se connecter sur le rseau du domaine. Il faut en effet offrir la possibilit aux
visiteurs du salon
de commander des jus dorange prsents ou non sur le stand et disponibles en stock au
domaine.
Dans le cadre de sa participation aux diffrents salons, le propritaire du Domaine
VISTE souhaite
mettre en place un accs sa base de donnes de gestion de stocks afin
de faciliter la prise de
commandes des produits non disponibles en quantit suffisante ou non prsents au salo
n.
Pour cela, il a contact une socit de services qui, aprs tude, lui propose dabord de mo
difier le
rseau existant afin den amliorer la scurit. La proposition de modification
est jointe en
annexe 2.
Le propritaire vous demande de valider les choix techniques et technolo
giques proposs par la
socit de services.
1. Indiquer la classe, ladr esse r seau et le nombr e dhtes que peut ac
cueillir chacun des
sous-r seaux r epr sents dans le nouveau plan dadr essage. Vous justifier ez vos r po
nses.
Le schma propos par la socit de service indique la prsence dun serveur DHCP et dun age
t
relais DHCP, dans la cave et dans le dpt.
2. Indiquer en quoi une telle configur ation est utile.
Pour assurer le bon fonctionnement de lentreprise, il vous faut ensuite prvoir les
tables de routage
des routeurs afin que Tous les htes du rseau puissent communiquer entre eux et ave
c lextrieur.
3. tablir la table de r outage du r outeur Gnr al afin dassur er le b
on fonctionnement du
r seau.
Pour maintenir la scurit interne de lentreprise VISTE, la socit de service
propose de ne pas
mettre les serveurs HTTP et Mail sur le rseau interne. Sur le routeur Gnral, les rgl
es suivantes
ont t crites
Rgles NAT (Network Address Translation) PAT (Port Address Translation) a
ppliques sur
linter face 172.16.0.129
IP Port IP Port
172.16.0.66 2020
192.168.0.5 5600
104
Rgles de filtr age appliques sur linter face 172.16.0.129
N r gle Inter face IP Sour ce Por t Sour ce IP
Destination
Por t
Destination
Action
1 172.16.0.129 * * * * Refus
Les rgles de filtrage sappliquent dans lordre de leur numro.
Pr incipes dassociation des r gles de filtr age et de NAT-PAT sur une inter face.
Inter face
Sortie
Filtre NAT-PAT Entre
Sur un paquet en sor tie dune interface, on applique dabord les rgles d
e filtrage puis les
rgles NAT-PAT.
Sur un paquet en entr e dune interface, on applique dabord les rgles NAT-PAT puis le
s
rgles de filtrage.
Le serveur HTTP utilise le por t 1060 pour communiquer et le serveur de bases de
donnes le por t
2020.
4. Donner les adr esses IP et les por ts sour ce et destination dun paquet envoy
par le ser veur
HTTP au ser veur de bases de donnes. Vous justifier ez votr e r ponse.
5. Rdiger la (ou les) r gle(s) dfinie(s) sur linter face 172.16.0.129, q
ui per met(tent) au
ser veur HTTP de communiquer avec le ser veur de bases de donnes. Vous pr ciser
ez lor dr e
de cette (ces) r gle(s) par r appor t la r gle actuelle.
Lorsque les commerciaux du domaine VISTE participent un salon, ils do
ivent quiper le stand
afin de pouvoir consulter le stock disponible. Pour assurer cette fonc
tion, le domaine a fait
lacquisition de trois ordinateurs portables.
Ce matriel utilise les structures fournies par le salon pour accder au
serveur HTTP du domaine.
Cette connexion scurise permet dinterroger, au travers dune interface au format HTML
, la base
de donnes de gestion des stocks.
La solution technique propose par la socit de services a t mise en place
. Lors dun premier
salon, les commerciaux ont d installer leurs portables en paramtrant leur navigate
ur avec ladresse
IP du routeur Internet, adresse fournie par le fournisseur daccs Interne
t (FAI) et releve par la
socit de service. De plus, alors quen interne ils utilisent lURL http://catalogue.vi
ste.fr , ils ont
d employer ladresse IP fournie par le FAI comme adresse dans leur navigateur.
6. Expliquer pour quoi les commer ciaux ont d saisir ladr esse IP four
nie par le FAI et non
pas ladr esse IP du ser veur HTTP.
7. Expliquer pour quoi ils ont d saisir cette adr esse IP au lieu du
ne adr esse URL,
contr air ement ce quils font en inter ne.
Quelques semaines plus tard, lors dun autre salon, les commerciaux ont cherch en v
ain utiliser
cette mme adresse IP mais elle ne fonctionnait plus ! Aprs contact durge
nce avec la socit de
services, ils ont d employer une autre adresse IP.
8. Pr oposer une solution per mettant aux commer ciaux daccder au site
web dune manir e
conventionnelle (saisie soit de ladr esse URL du site web, soit dune adresse IP st
able).
105
Annexe 1 : schma du r seau apr s modification
106
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Indiquer la classe, ladresse rseau et le nombre dhtes que pe
ut accueillir
chacun des sous-rseaux reprsents dans le nouveau plan dadressage. Vous justifierez
vos
rponses.
Rseau 1 : 192.168.0.0/29 (locaux techniques, DMZ)
192 en binaire 1100 0000 => dbut par 110 => Classe C
Adresse rseau : 192.168.0.0
Nombre dhtes : masque sur 29 bits => reste 3 bits pour les htes. On dispose donc de
2
3
soit 8 adresses, on enlve [000] et [111] il reste donc 6 htes possibles (2
3
- 2).
Rseau 2, 3, 4 : 172.16.0.0/24, 172.16.1.0/24 (dpt), 172.16.2.0/24 (Cave),
172 en binaire 1010 1100 => dbut par 10 => Classe B
Adresse rseau : 172.16.0.0, 172.16.1.0, 172.16.2.0
Nombre dhtes : masque sur 24 bits => reste 8 bits pour les htes. On dispose donc de
2
8
soit 256 adresses, on enlve [0000 0000] (adresse de rseau ) et [1111
1111]
(adresse de broadcast) il reste donc 254 htes possibles (2
8
- 2).
Question 2. Indiquer en quoi une telle configuration est utile.
En cas de dfaillance du serveur DHCP, le relais DHCP est prsent ici, pour assurer
la continuit
de service . Dans ce cas, il faut prvoir sur les diffrents serveurs DHCP des tendues
de secours
pour les sous-rseaux pour lesquels on veut assurer la tolrance de panne.
Question 3. tablir la table de routage du routeur Gnral afin dassurer le
bon
fonctionnement du rseau.
A partir des documents fournis, on constate que les routeurs de la c
ave et du chai ne connaissent
quune route par dfaut sur le routeur gnral. Par consquent il convient de
passer par ce routeur
pour atteindre les rseaux du dpt et de la cave.
La table de routage du r outeur Gnr al sera donc de la forme suivante :
Destination rseau
Masque rseau
Adr. passerelle
interface Mtrique
0.0.0.0
0.0.0.0
192.168.0.1
192.168.0.5
1
172.16.0.0
255.255.255.0
172.16.0.129
172.16.0.129
1
172.16.1.0
255.255.255.0
172.16.0.131
172.16.0.129
1
172.16.2.0
255.255.255.0
172.16.0.130
172.16.0.129
1
192.168.0.0 255.255.255.248
192.168.0.5
192.168.0.5
1
Question 4. Donner les adresses IP et les ports source et destination dun paquet
envoy par
le serveur HTTP au serveur de bases de donnes. Vous justifierez votre rponse.
Le paquet est envoy du serveur HTTP (192.168.0.2) sur le port 1060 comme lindique
le texte, et
destination du serveur de bases de donnes (172.16.0.66) pour le port 2020. Mais l
e paquet est pris
en charge par le routeur NAT qui va assurer la translation de certai
nes valeurs. En effet ladresse
172.16.0.66 et le port 2020 vont tre convertis en ladresse 192.168.0.5 et le port
5600. Les valeurs
dfinitives seront donc :
Adresse IP source :
192.168.0.2
Port source :
1060
Adresse IP Destination : 192.168.0.5
Port Destination :
560
107
Question 5. Rdiger la (ou les) rgle(s) dfinie(s) sur linterface 172.16.0.1
29, qui
permet(tent) au serveur HTTP de communiquer avec le serveur de bases
de donnes. Vous
prciserez lordre de cette (ces) rgle(s) par rapport la rgle actuelle.
Il est ncessaire dautoriser le dialogue dans les deux sens (serveur HTTP vers Serv
eur de bases de
donnes et inversement). Dautre part on na pas se proccuper du NAT puisq
ue les rgles de
filtrage sappliquent AVANT ce NAT en sortie et aprs le NAT en entre.
N r gle Inter face IP Sour ce Por t
Sour ce
IP
Destination
Por t
Destination
Action
1 172.16.0.129 192.168.0.2 1060 172.16.0.66 2020 Accept
2 172.16.0.129 172.16.0.66 2020 192.168.0.2 1060 Accept
3 172.16.0.129 * * * * Refus
Ces nouvelles rgles seront places AVANT la ligne actuellement prsente dans la table
de filtrage
(dans un ordre qui importe peu) car la dernire ligne a pour objet de bloquer TOUT
E transmission
quels que soient les IP et ports de lmetteur et de la destination.
Question 6. Expliquer pourquoi les commerciaux ont d saisir ladresse IP
fournie par le
FAI et non pas ladresse IP du serveur HTTP.
Il nest pas possible de saisir ladresse IP du serveur HTTP car il sagi
t dune adresse de classe
pr ive (192.x.y.z) et qui ne sera donc pas route sur lInternet. En consquence les ac
cs ne peuvent
se faire que sur ladresse IP fournie par le FAI, gnralement obtenue partir dun serve
ur DHCP et
renouvele rgulirement.
En effet, lors du premier salon on a saisi ladresse IP du moment, telle que le se
rveur DHCP du FAI
lavait affecte au client. Mais lors du deuxime salon cette adresse avait chang (bail
expir) et
on ne pouvait plus rutiliser la mme.
Question 7. Expliquer pourquoi ils ont d saisir cette adresse IP au lieu dune adre
sse URL,
contrairement ce quils font en interne.
En interne, les clients font appel au serveur DNS 172.16.0.65 pour rsoudre le nom
catalog.viste.fr
en ladresse IP du serveur web. Comme ce serveur DNS est situ der r ir e
deux routeurs NAT et
que de plus il est en adressage pr iv, il sera inaccessible de lextrieur.
Question 8. Proposer une solution permettant aux commerciaux daccder au site web du
ne
manire conventionnelle (saisie soit de ladresse URL du site web, soit du
ne adresse IP
stable).
Le domaine VISTE devra faire lacquisition dune adresse IP fixe et dun nom de domain
e.
108
CDGJC J =G
La SOVAMI est une socit installe en France et spcialise dans la collecte,
le traitement et la
valorisation de dchets d quipements lectriques et lectroniques (DEEE).
La socit possde son sige historique Lyon. Il regroupe, outre les service
s administratifs et de
direction, une unit de recherche et dveloppement.
Une autre usine de traitement se situe Fos. D autres sites dits de
prvalorisation existent
Toulouse, Tarbes et Bordeaux et un nouveau site doit ouvrir Bussy en rgion parisi
enne ; ces sites
servent de lieu de collecte et de premire valorisation..
Le cur du systme d information de la SOVAMI est Lyon. Les autres site
s accdent au site de
Lyon pour l essentiel de leurs traitements.
Le rseau local du site de Lyon est vous est prsent en annexe 1.
Au sige de Lyon, on souhaite quiper une salle de runion pour des visit
eurs extrieurs quips
dordinateurs portables. Cette salle disposera de prises rseau, dune imprimante en
rseau et dun
point daccs sans fil. Lensemble sera reli un commutateur capable de grer des rseaux l
caux
virtuels (VLAN). Pour des raisons de scurit, on veut pouvoir isoler momentanment le
rseau de
la salle de runion du rseau du sige tout en autorisant des communications entre les
quipements
prsents dans cette salle. Une prsentation de la notion de VLAN est fournie en anne
xe 2.
1. Indiquer quel niveau de VLAN per mettr a de pr endr e en char ge lisolement t
empor air e du
r seau de la salle de r union du sige. Justifier la r ponse.
En utilisant les annexes 1, 3 et 4, vous tes charg(e) danalyser le plan dadressage d
e la socit.
2. Indiquer le nombr e d adr esses IP encor e disponibles dans le r s
eau IP de la zone " DMZ"
du r seau. Justifier le r sultat.
L organisation du rseau interconnectant le sige de Lyon aux diffrents sit
es de la SOVAMI est
conue de telle sorte que chaque poste de n importe quel site puisse se connecter
au sige mais NE
PUISSE PAS avoir accs aux autres sites.
Afin de vrifier que cette organisation est bien en place, vous effectu
ez la premire srie de tests
suivante :
a) depuis une machine de Fos vers Bussy :
ping 10.192.1.254
vous obtenez le message " Impossible de joindr e lhte de destination .
b) depuis le serveur de fichiers de Lyon 10.0.1.1 vers Fos :
ping 10.128.1.254
vous obtenez le message " Rponse de 10.128.1.254 : octets=32 temps<10 ms ..." .
c) depuis une machine utilisateur de Lyon vers Fos :
ping 10.128.1.254
vous obtenez le message " Impossible de joindr e l hte de destination" .
d) depuis une machine de Bordeaux vers Tarbes :
ping 10.130.1.254
vous obtenez le message " Rponse de 10.130.1.254 : octets=32 temps<10 ms ..." .
3. Justifier les messages obtenus en r ponse chaque commande ping en analysant l
es tables
de r outage de l annexe 4.
4. Pr oposer une solution pour empcher les machines de Bor deaux de
communiquer avec
celles de Tar bes.
109
Au fur et mesure de l accroissement du nombre de sites connects, les
tables de routage des
201.10.1.8/2
9
Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Table de cor r espondance entr e les pr otocoles dapplication et les por ts TCP o
u UDP
Pr otocole/ap
plication
Por t utilis
SMTP 25
HTTP 80
HTTPS 443
DNS 53
Telnet 23
SSH 22
POP3 110
IMAP 143
L algorithme utilis par le service de filtrage fonctionne selon
le principe suivant :
Pour chaque paquet traiter :
En suivant l ordre des rgles de 1 n, rechercher la
premire rgle applicable,
Si une des rgles est applicable, alors appliquer l action
au paquet et arrter le parcours de la table,
Si aucune rgle nest applicable, appliquer la rgle par dfaut.
9. Expliquer la r gle de filtr age n 4 et pour quoi le numr o de por
t de destination est
supr ieur 1024.
110
Un utilisateur itinrant, qui consulte souvent ses messages lectroniques d
epuis l extrieur via des
connexions RTC, par exemple l htel ou chez lui, se plaint qu il ne peut pas rapat
rier ses messages
l aide de son logiciel client de messagerie habituel. Il accde ses messages uniq
uement via son
logiciel navigateur en mode webmail , ceci au dtriment du temps de connexion.
10. Expliquer la r aison de l impossibilit de l utilisation du logici
el client de messager ie et
pr oposer une solution ce pr oblme en inter venant sur les r gles de filtr age.
111
Annexe 1 : Ar chitectur e du r seau local de la SOVAMI - site de Lyon
112
Annexe 2 : Pr sentation des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes
faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est
affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
donc chaque port du commutateur se voit affect dynamiquement un VLAN
en fonction de
ladresse MAC mettrice contenue dans une trame en entre sur ce port.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte
un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affect dynami
quement
un VLAN en fonction de ladresse IP contenue dans le paquet transport d
ans la trame en
entre.
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur
pouvant grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocol
e 802.1q ; ils
changent ces trames via des ports dinterconnexion.
On considre quun port de commutateur ne sera associ qu un seul VLAN ( le
ception des
ports dinterconnexion).
113
Annexe 3 : Ar chitectur e du r seau de la SOVAMI
114
Annexe 4 : Extr ait du plan dadr essage et des tables de r outage
Site ou liaison Adr esse r seau Masque de sous-r seau
Lyon 10.0.0.0 255.255.0.0
Fos 10.128.0.0 255.255.0.0
Bussy 10.192.0.0 255.255.0.0
Toulouse 10.129.0.0 255.255.0.0
Tarbes 10.130.0.0 255.255.0.0
Bordeaux 10.131.0.0 255.255.0.0
RLY1-RBU1 10.1.1.0 255.255.255.0
RLY2-RFO1 10.1.3.0 255.255.255.0
RFO1-RTO1 10.1.4.0 255.255.255.0
RTO1-RTA1 10.1.5.0 255.255.255.0
RTO1-RBO1 10.1.6.0 255.255.255.0
Configur ation des postes de tr avail dans chaque site
Site
Exemple dadr esse
dun poste
Masque Routeur par dfaut
Lyon - postes de
travail
10.0.2.1 255.255.0.0 Pas de passerelle par
dfaut
Lyon - serveurs 10.0.1.1 255.255.0.0 10.0.1.253
Fos 10.128.1.1 255.255.0.0 10.128.1.254
Bussy 10.192.1.1 255.255.0.0 10.192.1.254
Toulouse 10.129.1.1 255.255.0.0 10.129.1.254
Tarbes 10.130.1.1 255.255.0.0 10.130.1.254
Bordeaux 10.131.1.1 255.255.0.0 10.131.1.254
Table de r outage pour RLY2
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0
10.0.1.253
10.1.3.0 255.255.255.0
10.1.3.254
10.128.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.129.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.130.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.131.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.192.0.0 255.255.0.0 10.0.1.254 10.0.1.253
Table de r outage pour RFO1
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.3.254 10.1.3.253
10.1.3.0 255.255.255.0
10.1.3.253
10.1.4.0 255.255.255.0
10.1.4.254
10.128.0.0 255.255.0.0
10.128.1.254
192.168.2.254 00-0b-cd-02-02-54
195.26.36.2 00-0b-cd-00-36-02
200.12.200.12 00-06-1b-02-00-12
Annexe 3 : Pr incipe de fonctionnement des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes
faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est
affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
diffusion
ARP parvient au routeur 192.168.1.254 qui fait partie du mme VLAN que le poste de
l administrateur
Question 2. Dire quel sera le contenu du cache ARP du poste de ladministrateur lis
sue de ces
trois commandes. Utiliser lannexe 2 pour rpondre cette question.
On trouvera dans le cache ARP les associations suivantes :
00-02-3f-23-9c-02
192.168.1.2
00-02-3f-01-02-54
192.168.1.254 // correspondant au ping 195.26.36.2 qu
i provoque le
renvoi de ladresse MAC du routeur
00-02-3f-3a-80-05
192.168.1.5 // cette association ne doit pas se tro
uver dans le cache
ARP
Question 3. Expliquer la cause de cet chec et proposer un nouveau masque.
Le masque ne permet pas de grer les 84 adresses que prtend offrir la
plage dadressage (6 bits
dans la partie host 64 2 = 62 adresses hosts). Il faut changer le
masque. Les deux masques
permettant de grer au moins 84 adresses sont 255.255.255.0 et 255.255.255.128. Co
mme le routeur
a pour adresse 192.168.1.254, et que ladresse du rseau est 192.168.1.0
seul le masque
255.255.255.0 est acceptable.
Question 4. Dfinir les paramtres DHCP permettant aux stations de se connecter Inte
rnet et de
rsoudre les noms d hte internet.
Il faut renvoyer l adresse 192.168.1.254 pour le routeur et 200.12.200.12 comme
adresse de serveur
DNS.
Question 5. Expliquer la cause de cet chec et proposer une solution.
La plage dadresses disponibles pour DHCP propose 84 adresses ; 74 postes de trava
il utilisent en
permanence une adresse dynamique. La premire semaine, 5 commerciaux pour
ront donc se
connecter au rseau du sige sans soucis, la deuxime semaine trois autres.
En revanche, la
troisime semaine, seuls 2 des 6 commerciaux russiront se connecter. En effet, comm
e le bail est
de trente jours, les adresses n ont pas t libres.
Il faut diminuer la dure du bail pour que les adresses soient libres (
attention car le
renouvellement se fait avant l expiration).
125
Question 6. Justifier la ncessit du service NAT.
Pour assurer la scurit de son rseau, loprateur lui a conseill dopter pour des adresses
de rseau
priv. Ces adresses ne sont pas routables sur Internet. Il faut donc substituer, d
ans tous les paquets
IP, ces adresses par des adresses routables. C est ce que fait le service NAT su
r le routeur. Ce
service prend une adresse IP dans une plage d adresses sur son rseau (195.26.36.0
), ces adresses
sont obligatoirement des adresses publiques.
Question 7.a. Dire en quoi les rgles 1 et 2 expriment un fonctionneme
nt diffrent en termes de
scurit et prciser quelle est la plus sre.
Question 7.b. Dire en quoi les rgles 3 et 4 expriment un fonctionneme
nt diffrent en termes de
lextension du
groupe devrait augmenter considrablement les cots de location des liaisons.
La solution envisage prvoit lexploitation du rseau public Internet avec un
e mise en uvre de
Rseaux Privs Virtuels (RPV, ou Virtual Private Network, ou VPN).
Dans un premier temps, une solution RPV va tre teste entre les divisions France e
t Belgique qui
disposent de routeurs implmentant les fonctions de RPV.
15. Dcr ir e les diffr entes gar anties quoffr ent les mcanismes de signatur e et de
chiffr ement.
16. Indiquer les cls ncessair es dans chacune des divisions en pr cisant leur r le
.
129
Annexe 1 : ar chitectur e du r seau du gr oupe POLYMOUSSE
Routeur
Routeur R.Allemagne
Routeur R.Belgique
WAN Belgique
Routeur R1
Routeur R10 Routeur R11 Routeur R12
Division ALLEMAGNE 10.30.0.0 /16
Division ESPAGNE 10.20.0.0 /16
Division BELGIQUE 10.10.0.0 /16
Succursale S2
Succursale S3 Succursale S4
Succursale S1
Rseau
10.10.17.0/24
Rseau
10.10.20.0/24
Rseau
10.10.18.0/24
Classe d adresse 10.0.0.0 pour le groupe Polymousse
Rseau 10.10.32.0 /20
195.0.0.1
195.0.0.13
195.0.0.12
195.0.0.11 10.10.32.254
10.10.32.253
Rseau WAN Europe
Le rseau du groupe forme une structure arborescente dans
laquelle chaque division est connecte au site central par un
routeur division ddi.
Au sein de chaque division les succursales sont connectes
un site central qui est lui mme une succursale.
Division FRANCE
10.1.0.0 /16
Sige
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tudes
Service Ventes
Service Comptabilit
Rseau10.1.0.0/16
Routeur R.Espagne
Internet
Compose de 8
succursales
Compose de 11
succursales
10.10.32.252
concentrateur
concentrateur
10.1.0.254
Extrait de la table de routage du routeur R. Belgique
ligne Adresse rseau Passerelle Interface
1
10.10.16.0/20 10.10.32.253 10.10.32.254
2 10.10.32.0/20 10.10.32.254 10.10.32.254
n dfaut 10.10.32.252 10.10.32.254
130
Annexe 2 : or ganisation DNS du gr oupe
Liste des ser veur s DNS :
Annexe 3 : pr sentation des r seaux locaux vir tuels
Les rseaux locaux virtuels (VLAN) permettent de crer
ffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et
ffuse
que sur les ports du commutateur associs ce Vlan. Il existe
er des ports
un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du
affect un VLAN,
donc chaque carte rseau est affecte un VLAN en fonction de
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC
des domaines de di
cette trame ne peut tre di
diffrentes faons dassoci
commutateur est
son port de connexion.
est affecte un VLAN,
fr be
de es
Dlgation
Domaine polynet
131
Annexe 4 : ar chitectur e du r seau pour laccs lInter net
Internet
Routeur R.Central
Modem
d accs internet
Routeur Filtrant RF
10.1.0.253
postes clients
S0
Serveur mandataire
HTTP
10.1.0.100
Serveurs Privs
Administrateur
10.1.0.50
132
.... .... . .. .... .... . .. .... .... . .. .... .... . ..
Question 1. Expliquer quelle classe correspond ladresse 10.0.0.0 et don
ner le masque de sousrseau par dfaut correspondant cette classe.
- Ladresse 10.0.0.0 est comprise entre 1.0.0.0 et 127.0.0.0, elle correspond donc
une classe A.
- Le masque de sous-rseau associ une classe A est 255.0.0.0.
Question 2. Calculer le nombre maximum de divisions que le plan dadressage permet
de dfinir.
- Le plan dadressage prvoit 16 bits pour le masque de sous rseau des divisions, soi
t 8 bits (16
8) pour la partie sous rseau. Ce qui permet dadresser 256 (2
8
) sous-rseaux.
Question 3. Donner le masque de sous rseau qui permet dadresser les 11
sous rseaux des
succursales de la division Espagne.
- Pour adresser un minimum de 11 sous-rseaux, il faut au minimum prlev
er 4 bits sur la partie
hte. On dispose alors de 16 (2
4
) sous-rseaux.
- Pour les divisions, le masque est dj sur 16 bits, pour les succursa
les de lEspagne, le masque
, le domaine de collision
comprend lensemble des segments connects par des concentrateurs ou rpteurs.
Il y a 3 (ou 4) domaines de collision et 1 domaine de diffusion, le segment ent
re le routeur et le
commutateur peut-tre considr comme un domaine de collision.
- Soit le schma suivant.
Division FRANCE
Succursale Centrale
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tude
Service Vente
Service Comptabilit
Domaine de diffusion
Domaine de collision
Question 10. Expliquer sil est possible disoler les flux des services e
n conservant les
concentrateurs existants.
Pour isoler les trois services, il est donc ncessaire de crer trois VLAN.
Tous les postes dun service doivent appartenir au mme VLAN pour communiquer ensemb
le. Ces
postent sont relis par des concentrateurs connects sur un port du commutateur. Ce
s ports doivent
donc tre affects un VLAN.
Il est donc possible de conserver les concentrateurs existants. La sol
ution est de configurer des
VLAN de niveau 1 sur le commutateur existant en affectant le numro de Vlan du se
rvice au port
connect au concentrateur du service. Mais le fait de conserver les concentrateurs
impose que tous
les postes appartiennent au mme VLAN.
134
Remar que : le port connect vers le routeur Central peut tre affect au
mme VLAN que celui
correspondant au service comportant les serveurs accessibles depuis les autres D
ivisions.
Les VLAN de niveau 2 : ncessitent dans cette configuration de saisir toutes les a
dresses MAC des
postes pour les affecter un VLAN, mais dans cette configuration (avec
concentrateur), cest
inutile. Un port appartient un seul Vlan (non 802.1q), donc toutes l
es adresses appartiennent au
VLAN correspondant au port connect au concentrateur.
Les VLAN de niveau 3 : laffectation des vlan dpend de ladresse Ip dun rseau. Mme remar
que
que pour le niveau 2 avec les concentrateurs.
La question demande de ne pas prendre en compte les problmes lis ladressage Ip. En
effet, si la
communication inter-VLAN est autorise, il faut passer par la mise en place dun rou
teur (avec une
interface sur chaque VLAN) et donc des adresses rseaux diffrentes pour chaque VLAN
.
Question 11. Comparer la nature des actions de filtrage que peuvent raliser le ro
uteur filtrant RF
dune part et le serveur mandataire dautre part, en prenant appui sur le modle OSI.
Le routeur filtrant agit aux niveaux 3 et 4 du modle OSI. Les filtre
s sont bass sur lanalyse des
m SRV-FIC.
L application sera accessible sur SRV-FIC au moyen de lURL suivante :
http://intr a-mar che.cg96.fr
Elle prparera ensuite SRV-IM, installera les outils et les applicatifs,
rinstallera le contenu de la
base de donnes, puis testera la nouvelle configuration. Les deux machin
es, SRV-FIC et SRV-IM
devront donc fonctionner simultanment sur le rseau. Lorsque les tests se
ront concluants, elle
lancera le basculement sans que cela modifie l URL en mettant jour le fichier de
la zone cg96.fr .
6. Dir e quelle modification doit tr e effectue sur le fichier de zon
e cg96.fr du ser veur
Richelieu pour fair e le basculement.
Mme Simonet dcide d installer un serveur DNS secondaire (Milady) pour le domaine
cg96.fr .
7. Dir e quel intr t pr sente la mise en place dun ser veur DNS secondair e (esclav
e).
A lissue des tests, le serveur secondaire est oprationnel pour la rsolut
ion de noms sur la zone
cg96.fr . Les postes de travail de la cit administrative sont configurs pour utili
ser le serveur DNS
Milady en premier et le serveur DNS Richelieu en deuxime. Aprs linstalla
tion dun nouveau
serveur applicatif (g-equip), Mme Simonet ajoute manuellement un enregis
trement Adresse (ou
Hte) dans le fichier de zone cg96.fr du serveur matre (Richelieu), mai
s oublie d incrmenter le
numro de version.
Pour tester le nouvel hte, elle lance partir d un poste de travail d
e la cit administrative la
commande suivante : ping g-equip.cg96.fr
8. Donner et justifier la r ponse cette commande en vous appuyant sur les fic
hier s de zone
de l annexe 3.
138
Le pare-feu externe est paramtr pour filtrer les flux en provenance d Internet :
Extrait de la table de filtrage du pare-feu externe cot Internet
Remarques : les rgles sont appliques dans l ordre. "> 1024" signifie tous les port
s suprieurs
1024. Une toile (*) signifie "tout". "SO" signifie sans objet, c est dire que le
paramtre n a pas
d intrt dans ce cas. L tat TCP tabli correspond une connexion TCP en cours.
Le serveur DNS Athos ayant t victime d attaques sur le port SSH, Mme Simonet a tro
is objectifs :
viter momentanment toute connexion SSH ;
continuer autoriser l accs au DNS, au relais de messagerie et au serveur WWW de l
a DMZ ;
continuer permettre la navigation sur Internet des postes du rseau interne.
Pour cela elle envisage la solution suivante :
Supprimer les rgles 9, 10, 11, 12, 13 et 14, puis n autoriser dans u
n premier temps en entre du
pare-feu externe ( partir d Internet) que les requtes TCP tablies (c est
dire postrieures une
requte de connexion TCP pralable). Pour cela elle modifie la table de filtrage ain
si :
Extrait de la nouvelle table de filtrage du pare-feu externe cot Internet :
9. Dir e si cette table de filtr age r pond aux tr ois objectifs. Just
ifier la r ponse pour chaque
objectif.
Non satisfaite par cette solution, Mme Simonet revient la table de filtrage init
iale.
10. Pr oposer une deuxime solution r espectant les tr ois objectifs. Justifier
la r ponse.
La politique de scurit interne implique l utilisation d un serveur mandataire (pro
xy) pour accder
Internet. Les postes de travail de la cit administrative auront comme
passerelle par dfaut le
routeur R-CA8 d adresse 172.16.4.2. La solution de paramtrer les navigateurs sur
les postes n a pas
t retenue car elle n offre pas une garantie suffisante. Mme Simonet a
paramtr PROXY1 en
proxy transparent. Un proxy transparent est un proxy dont l existence
n est pas connue par les
navigateurs.
PROXY1 coute les requtes HTTP sur le port 8080, les navigateurs envoient leurs req
utes sur le
port 80.
11. Dir e quel mcanisme doit mettr e en oeuvr e l administr atr ice pour que le
s r equtes HTTP
des postes de tr avail soient envoyes PROXY1.
139
Annexe 1 : schma simplifi du r seau
140
Annexe 2 : Adr esses des ser veur s DNS des r seaux sans fil et tables de
Routage
Rseau VLAN1 (lus)
Ser veur DNS inter ne : 172.16.4.10
Rseau VLAN2 (Visiteur s)
Ser veur DNS du four nisseur daccs Inter net : 201.110.47.38
Table de r outage du r outeur R-SC1
Table de r outage du r outeur R-CA8
141
Annexe 3 : Fichier s de zones DNS des ser veur s Richelieu et Milady
Serveur Richelieu : extrait du contenu du fichier de configuration de la zone cg
96.fr (toutes les
portions de texte prcdes par un point virgule (;) sont des commentaires).
; dfinition de la zone cg96.fr
; le serveur d autorit est richelieu.cg96.fr (serveur primaire)
; il est administr par une personne qu on peut joindre l adresse simonet@cg96.fr
; le serveur esclave est milady.cg96.fr (serveur secondaire)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (
136 ; numro de version : permet aux serveurs secondaires de savoir s ils d
oivent mettre
; jour leur base, une incrmentation de ce numro provoque un transfert
de zone entre
; primaire et secondaire(s)
36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes)
3600 ; dlai avant une autre tentative de mise jour par un serveur secondai
re (en secondes)
360000 ; dure au-del de laquelle les donnes de zones seront marques comme obs
oltes par
; un serveur secondaire (en secondes)
86400); dure de validit en cache par dfaut des enregistrements de zones (en
secondes)
; avec deux serveurs de noms dans cette zone
NS richelieu.cg96.fr.
NS milady.cg96.fr.
; dclaration des adresses faisant autorit (extrait)
richelieu.cg96.fr. IN A 172.16.4.10 ; dclaration des diffrents nom d hte
milady.cg96.fr.
IN A 172.16.12.10
srv-im.cg96.fr.
IN A 172.16.4.100
srv-fic.cg96.fr.
IN A 172.16.4.50
g-equip.cg96.fr. IN A 172.16.4.97 ; ligne rajoute dans la nouvelle version
r-sc1.cg96.fr.
IN A 192.168.8.2
r-ca8.cg96.fr.
IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr. ; declaration d un alias
; fin de la zone dautorit
Serveur Milady : extrait du contenu du fichier de configuration de la zone cg96.
fr du serveur
Milady (les commentaires ont t effacs)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (136 36000 3
600 360000 86400)
NS richelieu.cg96.fr.
NS milady.cg96.fr.
richelieu.cg96.fr.
IN A 172.16.4.10
milady.cg96.fr
IN A 172.16.12.10
srv-im.cg96.fr.
IN A 172.16.4.100
srv-fic.cg96.fr.
IN A 172.16.4.50
r-sc1.cg96.fr
IN A 192.168.8.2
r-ca8.cg96.fr
IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr.
142
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Dire pourquoi les portables des visiteurs qui se connecten
t sur le second SSID
obtiendront obligatoirement une adresse IP donne par le serveur DHCP 192.168.1.33
et non par le
serveur DHCP 172.16.108.2. Justifier la rponse en vous appuyant sur le
protocole DHCP et les
VLAN.
Les VLAN dfinissent logiquement des domaines de diffusion. Ces domaines sont hermt
iques.
Le protocole DHCP est bas sur des diffusions (broadcast). La requte DHCPDISCOVER e
nvoye
par un portable de journaliste sur le VLAN 2 ne parviendra jamais au serveur DHC
P 172.16.108.2.
Question 2. Donnez en la justifiant la valeur du masque de sous-rseau en notation
classique et en
notation CIDR.
13 adresses +1 (serveur)
Au total 14 + 2 (Adr. Diffusion + Rseau) = 16 adresses possibles
Il faut donc 4 bits pour adresser ces 16 adresses, car 24 = 16
Il reste donc 4 bits pour adresser les sous-rseaux
Ce qui donne 255.255.255.240.
Ou encore un masque 28 bits ce qui donne la notation CIDR suivante 192.168.1.32/
28
Question 3. Donnez la plage dadresses utilisables par le serveur DHCP
ainsi que les diffrents
paramtres TCP/IP ncessaires au fonctionnement des postes de travail du rs
eau VLAN2
(Visiteurs).
Plage dadresses utilisable pour les postes de travail : 192.168.1.34 192.168.1.46
Paramtres DHCP :
masque de sous-rseau : 255.255.255.240
passerelle par dfaut : 192.168.1.33
serveur DNS : 201.110.47.38
Ladresse 172.16.4.10 nest pas acceptable.
dure du bail : 4 h (dure dune session du Conseil)
2. Indiquer ladr esse de passer elle qui doit tr e dfinie sur chaque o
r dinateur des
r esponsables de secteur .
Ces modifications faites, il savre que les ordinateurs des responsables
de secteur nont toujours
pas accs au serveur de messagerie 192.168.200.130.
partir du serveur Windows NT4 dadresse 172.30.16.3, vous excutez la com
mande
ping 192.168.200.130. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1,
vous excutez la
commande ping 172.30.16.3. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1,
vous excutez la
commande ping 192.168.200.130. Cette fois la rponse est Impossible de jo
indre lhte de
destination .
3. Indiquer , en justifiant votr e r ponse, le r outeur qui est la cause du dysf
onctionnement.
Vous avez la possibilit dutiliser, pour modifier les tables de routage, la command
e route.
On considrera que la syntaxe de la commande route se limite :
route {[ADD] | [PRINT] | [DELETE] | [CHANGE] } destination MASK masque passerell
e
Exemple : route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.1
4. Pr ciser , en justifiant votr e r ponse, la commande que vous devez employer p
our mettr e
jour la table de r outage du r outeur incr imin, de faon obtenir un
e r ponse cor r ecte la
commande ping pr cdente.
Le serveur de messagerie de la mairie est dsormais accessible par les responsable
s de secteur.
On vous demande dappliquer sur le routeur R3, la commande suivante :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Une commande route print montre quune ligne supplmentaire a t cre dans la table de rou
tage
du routeur R3.
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
5. Indiquer la r aison pour laquelle on a dcid dinsr er une telle lig
ne dans la table de
r outage de R3.
146
On a mis en place sur le routeur R1 connect Internet des rgles de scurit.
Aprs tude de la documentation technique du routeur R1 et de la configu
ration existante, vous
devez mettre jour les fonctions de filtrage dfinies en Annexe 3pour autoriser aux
responsables de
secteur l accs aux serveurs web et de messagerie.
6. Indiquer , en justifiant votr e r ponse, si le ser veur web de la
DMZ est accessible par tir
dInter net.
7. Ajouter une nouvelle r gle qui autor ise les r esponsables de secte
ur accder au ser veur
web de la DMZ en passant par le r seau pr incipal de la mair ie.
Le Service des Affaires Gnrales est rparti sur les 1
er
et 2
me
tages quil partage avec dautres
services. Le Service des Administrs , quant lui, occupe lui seul la t
otalit du rez-dechausse.
Le responsable informatique souhaite isoler chacun de ces deux services
en mettant en uvre des
rseaux locaux virtuels (VLAN).
Le commutateur actuellement install dans les btiments de la mairie est
un commutateur
administrable ne grant que les VLAN de niveau 1 .
Aprs observation du schma du rseau (Annexe 1), ladministrateur saperoit que,
dans ltat
actuel de linstallation, il peut crer un VLAN de niveau 1 pour isoler
le Service des
Administrs mais quil ne peut pas en crer pour le Service des Affaires Gnrales .
8. Expliquer pour quoi il est possible de cr er un VLAN de niveau 1
pour le Ser vice des
Administr s .
9. Expliquer pour quoi il nest pas possible de cr er un VLAN de nive
au 1 pour le Ser vice
des Affair es Gnr ales .
Les responsables de secteur se plaignent de recevoir de nombreux pourriels (spam
s).
10. Dfinir la notion de pour r iel (spam) et pr ciser en quoi ils co
nstituent une gne pour
lentr epr ise.
Le responsable informatique vous demande de filtrer la rception des mes
sages, afin de bloquer
certaines sources (adresses lectroniques, noms de domaine, adresses IP).
Dans cette optique, la
mairie adhre un service de liste noire anti-pourriels (blacklist anti-spam) hberg s
ur un serveur
DNSBL (DNS BlackList).
11. Expliquer , en vous aidant ventuellement dun schma, le pr incipe de f
onctionnement de
linter r ogation par lentr epr ise dune liste de type Blacklist anti-spam lor s de
la pr ocdur e
de r ception dun message.
147
Annexe 1 : schma du r seau
148
Annexe 2: Tables de r outage
Table de r outage du r outeur R1
Adresse destinataire Masque Passerelle Interface
1 195.167.221.0 255.255.255.0 195.167.221.12 195.167.221.12
2 192.168.200.128 255.255.255.128 192.168.200.131 192.168.200.131
3 172.30.16.0 255.255.240.0 172.30.30.253 172.30.30.253
4 172.30.32.0 255.255.255.0 172.30.16.254 172.30.30.253
5 0.0.0.0 0.0.0.0 195.167.221.12 195.167.221.12
Table de r outage du r outeur R2
Adresse destinataire masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.254 172.30.128.254
2 172.30.16.0 255.255.240.0 172.30.16.254 172.30.16.254
3 172.30.32.0 255.255.255.0 172.30.128.253 172.30.128.254
3 192.168.200.128 255.255.255.128 172.30.30.253 172.30.16.254
4 195.167.221.0 255.255.255.0 172.30.30.253 172.30.16.254
5 0.0.0.0 0.0.0.0 172.30.30.253 172.30.16.254
Table de r outage du r outeur R3
Adresse
destinataire
Masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.253 172.30.128.253
2 172.30.16.0 255.255.240.0 172.30.128.254 172.30.128.253
3
4
149
Annexe 3: Politique de scur it de la mair ie
Le routeur R1 est un routeur filtrant. Il agit au niveau des couches 3 et 4 du
modle OSI et assure
des fonctions de translation dadresses et de ports (NAT/PAT). Cette tra
nslation est assure aprs
filtrage. titre dexemple, voici une des rgles NAT/PAT appliques sur linte
rface dentre
195.167.221.12 du routeur R1, ladresse IP de destination du paquet.
Avant Trans|at|on Apres Trans|at|on
Adresse Porl Adresse Porl
195.1Z.221.12 80 192.18.200.129 80
Chaque paquet arrivant sur une interface du routeur est analys et les rgles de fil
trage sont traites
squentiellement.
Rgles de filtr age pour R1
N de
Reg|e
|nterface
d arr|ve
Adresse
8ource
Port
8ource
Adresse
0est|nat|on
Port
0est|nat|on
Numro de
Protoco|e
Act|on
1 195.1Z.221.12 Ary Ary 195.1Z.221.12 80 accepl
2 1Z2.30.30.253 1Z2.30.1.0 /20 Ary 192.18.200.130 25 accepl
3 195.1Z.221.12 Ary Ary Ary 23 rejel
0laul (1) Ary Ary Ary Ary Ary Ary rejel
(1) Tout ce qui nest pas autoris est interdit.
Pr incipaux pr otocoles et por ts associs
Protoco|e Port rserv Numro de Protoco|e
FTP 21
Te|rel 23
3VTP 25
lTTP 80
NNTP 119
3NVP 11
0lCP 8
0N3 53
lCVP
1
TCP
u0P
1Z
150
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer la ligne 2 de la table de routage du routeur R3 (Annexe 2)
.
Rappelons quune ligne de la table de routage sinterprte de la manire suivante : pour
atteindre le
rseau w.x.y.z, dfini par le masque m.m.m.m, il faut transmettre les paquets ladress
e w.x.y.z et
pour cela quitter le routeur ou le poste par linterface w.x.y.z.
Pour atteindre le rseau 172.30.16.0, dfini par le masque 255.255.240.0,
il faut transmettre les
paquets ladresse 172.30.128.254 (passerelle : point dentre dans ce sens l
du routeur R2) et
pour cela quitter le routeur (R3 dans notre cas) par linterface 172.30.128.253.
Question 2. ndiquer ladresse de passerelle qui doit tre dfinie sur chaqu
e ordinateur des
responsables de secteur.
La passerelle doit avoir pour valeur le point dentre dans le routeur R
3, ct rseau des
responsables de secteur, soit ladresse 172.30.32.254.
Question 3. Indiquer, en justifiant votre rponse, le routeur qui est la cause du
dysfonctionnement.
Comme le ping passe depuis le serveur NT4 vers le serveur SMTP, on
peut en dduire que le
routeur R1 nest pas en cause. Il nous reste donc prciser qui, des routeurs R2 ou R
3, est en cause.
A lobservation des tables de routage, on constate que le routeur R3 n
e dispose daucune ligne
concernant le rseau 192.168.200.128 /25. Il ne peut donc atteindre les postes de
ce rseau. Il faut
lui rajouter cette ligne.
Question 4. Prciser, en justifiant votre rponse, la commande que vous d
evez employer pour
mettre jour la table de routage du routeur incrimin, de faon obtenir une rponse cor
recte la
commande ping prcdente.
Ladresse du rseau joindre est 192.168.200.128, ce quon dtermine en appliquant le mas
que /25
ladresse du Serveur SMTP/POP (192.168.200.130).
La commande appliquer au routeur R3 est donc :
route ADD 192.168.200.128 MASK 255.255.255.128 172.30.128.254
Question 5. Indiquer la raison pour laquelle on a dcid dinsrer une telle
ligne dans la table de
routage de R3.
Rappelons que la ligne de commande qui a t excute sur le routeur R3 est :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Ce qui a pour effet dinsrer la ligne :
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
La ligne insre indique donc au routeur R3 quil doit rediriger les flux
sortants (toutes adresses
inconnues ) vers le routeur suivant R2 (interface dentre 172.30.128.254).
Ici, cette ligne
permet aux postes des responsables de secteur daccder Internet en passant par les
routeurs R3,
R2 et R1.
151
Question 6. Indiquer, en justifiant votre rponse, si le serveur web de la DMZ est
accessible partir
dInternet.
Rappelons la rgle 1 de la table de filtrage :
N de
r gle
Inter face
dar r ive
Adr ess
e
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n
Pr otocol
e
Action
1 195.167.221.
12
Any Any 195.167.221.1
2
80 6 accept
Daprs cette rgle, tout accs (quelle que soit la source et quel que soit
le port) en provenance
dInternet (interface darrive 195.167.221.12), destination de 195.167.221.12 avec le
port 80 est
accept.
Rappelons la table de translation :
Avant Tr anslation Apr s Tr anslation
Adresse Port Adresse Port
195.167.221.12 80 192.168.200.129 80
Du fait de lapplication de la rgle de translation, ladresse de destinati
on 195.167.221.12 est
substitue en ladresse 192.168.200.129 du serveur Web de la Mairie, qui est donc bi
en accessible
depuis Internet.
Question 7. Ajouter une nouvelle rgle qui autorise les responsables de secteur ac
cder au serveur
web de la DMZ en passant par le rseau principal de la mairie.
Donc, quel que soit le port source, tout flux en provenance du rseau
des responsables de secteur
(172.30.32.0 /24) arrivant sur linterface 172.30.30.253, destination du s
erveur web
(192.168.200.129) doit tre accept.
La rgle doit tre place avant la rgle par dfaut :
N de
r gle
Inter face
dar r ive
Adr esse
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n
Pr otocol
e
Action
4 172.30.30.25
3
172.30.32.0
/24
Any 192.168.200.129 80 6 accept
Question 8. Expliquer pourquoi il est possible de crer un VLAN de niveau 1 pour l
e Service des
Administrs .
Toutes les machines du rez-de-chausse doivent tre isoles. Donc, si lon af
fecte le por t du
commutateur sur lequel est connect le concentrateur du rez-de-chausse un
VLAN (VLAN par
port ou de niveau 1), toutes les machines situes derrire le concentrateu
r vont appartenir ce
VLAN.
Question 9. Expliquer pourquoi, il nest pas possible de crer un VLAN d
e niveau 1 pour le
Service des Affaires Gnrales .
Il nest plus possible dutiliser des VLAN par port sans bloquer, dans un unique VLA
N, toutes les
machines situes derrire le concentrateur. Or certaines doivent appartenir un VLAN
et dautres
un autre. On ne peut donc pas mettre en place de VLAN de niveau 1 pour le Servi
ce des Affaires
Gnrales.
152
Question 10. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituen
t une gne pour
lentreprise.
Pourriel (spam, pollupostage) : dsigne les communications lectroniques massi
ves, notamment
de courrier lectronique, sans sollicitation des destinataires, des fins publicita
ires ou malhonntes.
Les pourriels polluent les boites aux lettres des usagers des messageries et nce
ssitent de leur part
un temps de traitement parfois non ngligeable (tri, suppression). Par ai
lleurs ils sont parfois
porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire le
fficacit des systmes
(destruction de donnes, ralentissement des systmes).
Question 11. Expliquer, en vous aidant ventuellement dun schma, le principe de fonc
tionnement
de linterrogation par lentreprise dune liste de type Blacklist anti-spam lors de la
procdure de
rception dun message.
153
CDGJC J ==
Consciente de l importance de modifier nos habitudes nutritionnelles et
de protger notre
environnement, la socit ESN a dvelopp lenseigne Espace Sant Nature qui offr
e une large
gamme de produits issus de lagriculture biologique, labelliss et contrls p
ar des organismes
agrs.
Pour accompagner le dveloppement de son enseigne Espace Sant Nature la
socit a dcid de
e fonction de
routage n est pas active.
Tableau d affectation Por ts - VLAN avec statut 802.1q des por ts
VLAN
1
VLAN
100
VLAN
200
Etiquets
802.1q (taggs)
Ports de connexion des points d accs sans fil du
btiment A
X
NON
Ports de connexion des postes fixes filaires et des
autres quipements du Btiment A
X
NON
Ports de connexion des postes fixes filaires et des
autres quipements du btiment B
X NON
Ports de connexion des serveurs et des
quipements du local technique gnral
X X OUI
Ports d interconnexion des commutateurs CA, CB
et CG
X X X OUI
Adr esse IP du sous-r seau associ chaque VLAN
VLAN 1 (par dfaut) VLAN 100 VLAN 200
Pas d adresse IP affecte 192.168.0.0/24 192.168.1.0/24
Adr essage IP des postes de tr avail : Tous les postes des btiments A
et B doivent obtenir une
adresse dynamiquement partir du serveur DHCP SRV-ESN. Ce serveur gre d
eux plages
d adresses, une pour chaque rseau IP.
Adr essage IP des ser veur s : Le protocole 802.1q est activ sur les interfaces rs
eau des serveurs.
Ces interfaces sont associes au VLAN 100 et au VLAN 200 et disposent
d une adresse IP par
VLAN. Les cartes rseaux de ces serveurs sont donc multi-adresses. Elles associen
t un VLAN la
trame reue en fonction de l tiquette contenue dans la trame et remetten
t le paquet l adresse IP
correspondante. En mission, elles tiquettent la trame en fonction du VLAN d mission
.
Tableau d affectation ser veur s / VLAN et adr essage IP des ser veur
s (avant le dplacement
dans la DMZ des ser veur s SRV-3W et SRV-MAIL)
VLAN 100 VLAN 200
SRV-ESN (serveur d authentification DHCP DNS cache) 192.168.0.1 192.168.1.1
SRV-SAGE (serveur d applications de gestion et SGBDR) 192.168.0.3 192.168.1.3
SRV-NAS (stockage des fichiers et des bases de donnes)
192.168.0.5 192.168.1.5
158
Annexe 3 : Infor mations techniques sur le ser veur NAS
Le ser veur NAS est une solution simple pour ajouter du stockage disque en rseau
. Le NAS est un
priphrique rseau de stockage (serveur de fichiers). Il se connecte sur u
n rseau Ethernet et se
comporte comme un serveur autonome de fichiers. Sa simplicit d installation et d
administration, la
redondance de ses composants en font une solution fiable et efficace
pour le stockage et la
sauvegarde des donnes sur un rseau htrogne.
Car actr istiques du ser veur NAS
Matr iel
Pentium 4 2.8GHz avec 512KB L2 cache et 2 DIMM
slots for 2GB ECC DDR 266/333 memory,
2 interfaces intgres Intel Gigabit Ethernet
8 disques SATA hot-swappable (250 GB chacun)
RAID 0, 1, 5
Gravure sur CD-R/RW et DVD+RW (Option)
Alimentation redondante et compatibilit UPS
Administr ation et Compatibilit
Microsoft Windows NT/2000/2003 support Domaine
et Active Directory
UNIX, Solaris, FreeBSD, Linux, support Network
Information Service (NIS),
MacOS 8.x, 9.x, OS X
TCP/IP, AppleTalk, IPX
HTTP, CIFS/SMB, NFS v3, NCP, FTP, AFP
BOOTP, RARP, DHCP, DNS, WINS, SMTP, SNMP,
NTP, SSL
Annexe 4 : Schma de la DMZ
Boutiques
Clients
SDSL
2 Mbps
SRV-WALL
SRV-MAIL
SRV-SAGE
SRV-ESN
SRV-NAS
CG
192.168.0.254
192.168.1.254
SRV-3W
217.167.171.134
217.167.171.129
217.167.171.130
217.167.171.133
DNS
194.20.0.50
FAI
217.167.171.126
159
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer ce qu est une tempte de diffusion .
Le commutateur segmente le domaine de collision, il laisse cependant p
asser les diffusions de
trames Ethernet (MAC FF-FF-FF-FF-FF-FF).
Larchitecture en annexe prsente une interconnexion des commutateurs en boucle.
Consquences :
de (7 X 250 =
1750) pour l utilisateur et la tolrance aux pannes est assure. La remis
e en service ncessite la
reconstruction du disque perdu partir des autres disques.
Question 8. Dire quels sont les autres lments du serveur NAS qui perme
ttent d assurer la
continuit de service et la tolrance aux pannes.
Disques durs hot-swappable (branchement chaud) en RAID 0 5
Alimentation redondante et compatibilit UPS (l arrt se fera proprement partir de l
onduleur)
Mmoire vive de type ECC (contrle derreur),
2 interfaces intgres Intel Gigabit Ethernet (tolrance de panne possible)
Question 9. Justifier le choix dune offre daccs Internet de type SDSL.
Symetric Digital Subscriber Line, liaison haut dbit symtrique en descente
et en monte. Les
besoins de lentreprise sont effectivement un haut dbit bidirectionnel puisque laccs
Internet est
offert sur le rseau local et le serveur web hberg en local est ouvert lextrieur.
Question 10. Dterminer la classe, le nombre d adresses et la plage dadr
esses IP offertes par le
FAI (fournisseur daccs internet) ESN.
217.167.171.128 : classe C publique (rseau de 192.0.0.0
10
223.255.255.0
10
soit 110
2
au 1
er
octet)
IP :
217.167.171.128
10
1000 0000
2
Masque : 255.255.255.248
10
1111 1000
2
Plage : 1000 0001
2
1000 0110
2
217.167.171.129
10
217.167.171.134
10
Nombre d adresses : il reste trois bits pour la partie poste (host-id) donc 2
3
2 = 6
Question 11. Donner la signification de la rgle n 20.
Les internautes (tout le monde) accdent aux pages web publiques (port
standard 80) du serveur
SRV-3W.
Question 12. Donner la signification de la rgle n 30, et expliquer pourquoi cette
rgle ne rpond
pas prcisment aux contraintes daccs.
Tout le monde accde aux pages web prives du serveur SRV-3W. Les intern
autes devront
nanmoins connatre le port non standard utilis (http://www.espace-sante-nature.com:8
000)
enfants.
L impression des magazines et fascicules est ralise par un imprimeur situ 160 km en
viron.
Vingt personnes de la socit A CLICK collaborent llaboration des logiciels,
dont quatre en
tltravail ( partir de leur domicile) et trois autres chez l imprimeur po
ur la mise en forme des
magazines et fascicules.
La socit A CLICK dispose dj dun rseau informatique reliant les collaborateur
s domicile
(essentiellement des dveloppeurs) et limprimeur.
Vous disposez du plan du rseau de la socit (annexe 1).
Le rseau de la socit A CLICK dessert le rez-de-chausse et le premier tage
de deux btiments
distants d une trentaine de mtres.
Les serveurs principaux sont placs au premier tage du btiment A dans un
local technique. Les
personnels sont rpartis sur les deux btiments.
Les dveloppeurs sur site travaillent essentiellement dans le btiment B.
La socit a mis en place un rseau bas sur une architecture Ethernet 100
Mbit/s commute
bidirectionnelle avec des liaisons fibres optiques entre les commutateurs ayant
un dbit de 1 Gbit/s.
Pour la configuration des commutateurs, l administrateur a choisi une solution b
ase sur des VLAN
(Virtual Local Area Network) de niveau 1 (annexe 2).
1. Pr senter les cr itr es qui plaident en faveur de lutilisation de r seaux locau
x vir tuels.
Le plan d adressage IP en fonction des rseaux locaux virtuels et la c
onfiguration actuelle des
commutateurs sont spcifis dans les annexes 3 et 4.
2. Indiquer la classe, ladr esse r seau et le masque par dfaut cor r e
spondant au plan
dadr essage spcifi lannexe 3. Justifier les r ponses.
3. Calculer le nombr e dhtes que peut accueillir chacun des r seaux vi
r tuels avec ce plan
dadr essage.
4. Donner le nombr e de domaines de diffusion (br oadcast) mis en pl
ace par la configur ation
des commutateur s C2, C3, C4 et C5.
Ladministrateur du rseau souhaite modifier la configuration des commutateurs (anne
xe 4).
Ladministrateur connecte un poste (appartenant au rseau IP 192.168.10.32/2
7 et configur sans
passerelle) sur le port libre c2e8 du commutateur C2 pour le configur
er. Il lance ensuite la
commande http://192.168.10.33 pour accder la page daccueil de loutil dadmi
nistration du
commutateur C2.
Il obtient le message " page web non disponible hor s connexion" " ter min" .
Pour comprendre la nature du problme, il effectue les trois tests suivants :
Test1 : Il lance la commande ping 192.168.10.33
Il obtient le message " Dlai dattente de la demande dpass" .
Test2 : Depuis le poste il branche un cble console sur le commutateur C2 et lance
une connexion
srie avec les proprits (Bits par seconde : 9600, Bits de donnes : 8, Parit : Aucun, B
its d arrt :
1, Contrle de flux : Matriel).
Il obtient le message de connexion Login : permettant daccder loutil
dadministration.
163
Test3 : Il connecte alors directement le poste (en Ethernet) sur le p
ort libre c3e8 du commutateur
C3 et lance la commande http://192.168.10.34
Il obtient la page web d accueil de loutil dadministration du commutateur C3.
5. Donner la r aison pour laquelle l administr ation du commutateur
C2 ne peut se fair e
actuellement que par le cble console. Pr oposer une solution pour r soudr e ce
pr oblme.
Suite une rorganisation des quipes de projet, il est ncessaire de dplacer le poste d
e travail dun
dveloppeur, identifi Dev5, pour l installer au rez-de-chausse du btiment B. Ce poste
est reli par
l intermdiaire d une prise murale, au port c4e7 du commutateur C4.
Aprs ce changement, l administrateur constate que le poste Dev5 ne peut plus com
muniquer avec
son serveur d applications Sappl. Il ralise diffrents tests partir de l
a prise et en conclut que ce
n est pas un problme de connexion physique.
6. Expliquer pour quoi ce dplacement a gnr ce pr oblme. Pr oposer une solution pou
r que
le poste Dev5 puisse de nouveau communiquer avec son ser veur d applications
par tir de son
nouvel emplacement.
Tous les postes du rseau peuvent communiquer entre eux grce la fonction de routage
active sur
C2 qui est un commutateur de niveau 3. Cependant, l administrateur n a
pas encore ajout dans la
table de routage de C2, la route par dfaut pour accder Internet. La syntaxe de la
commande pour
ajouter une route dans la table de routage de C2 est dcrite dans l annexe 4.
7. cr ir e l instr uction qui ajoute une r oute dans la table de r outage de C2
pour autor iser tous
les postes du r seau accder Inter net.
L tude des flux sur les rseaux montre qu aprs le redmarrage de l ensemble
des commutateurs
une multitude de trames de diffusion ARP parviennent au portable de l administra
teur.
Celui-ci entreprend des recherches sur Internet et obtient des rponses
lui expliquant un problme
de "tempte de broadcast".
8. Expliquer lexpr ession " tempte de br oadcast" et ce qui a pr ovoqu ce pr oblme
. Indiquer
quel pr otocole (ou algor ithme) l administr ateur doit activer sur
les commutateur s pour
r soudr e ce pr oblme.
Les pages des magazines sont stockes dans une base de donnes. Elles sont composes d
e textes et
d images numrises et dattributs de mise en forme. Les flux de communication avec lim
primeur
sont de simples transferts de donnes composant le magazine : texte, images et att
ributs de mise en
page.
La solution utilise actuellement pour relier lentreprise la socit A CLICK repose sur
une liaison
distance Numris 64 Kbit/s point point.
L impression quotidienne des magazines pour enfant tant en constante aug
mentation, l adaptation
de la ligne de communication reliant la socit A CLICK l imprimeur devient une prio
rit.
source
Adresse
destination
Port
destination
Protocole Action
1 Toutes Tous 66.101.21.12/32 tous GRE Accepter
2 66.101.21.12/32 1723 Toutes tous TCP (tabli) Accepter
3 Toutes Tous 66.101.21.12/32 1723 TCP Accepter
4 Toutes Tous 66.101.21.12/32 500 UDP Accepter
6 Toutes Tous 66.101.21.12/32 1701 UDP Accepter
7 Toutes Tous 66.101.21.12/32 4500 UDP Accepter
Dfaut Toutes Tous Toutes Tous Tous Bloquer
Table de filtr age de l inter face pr ive (172.16.120.253) du r outeur Rte_A c
lick
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole Action
Dfaut Toutes Tous Toutes Tous Tous Accepter
14. Expliquer les r gles de filtr age 2 et 3 appliques sur l inter face publiqu
e.
165
Lors de la mise en place du tunnel la connexion, le serveur VPN doit attribuer a
ux dveloppeurs
domicile une adresse IP, prise sur une tendue statique allant de 172.1
6.120.8 172.16.120.15.
L imprimeur, quant lui, doit toujours recevoir l adresse IP 172.16.120.100.
Les dveloppeurs domicile ont accs au serveur de base de donnes Ssgbd et au serveur
Intranet
Sweb, mais en aucun cas l imprimeur ne pourra accder au serveur Intranet Sweb.
Ni les dveloppeurs domicile, ni l imprimeur ne doivent avoir accs au rs
eau interne de la
socit.
15. Ajouter la (les) r gle(s) de filtr age mettr e en place sur l
inter face 172.16.120.253 du
r outeur Rte_A click, afin de r especter les accs pr ciss ci-dessus, sa
chant que laction de la
r gle par dfaut est Accepter .
166
Annexe 1 : Rseau Ether net de la socit A CLICK
167
Annexe 2 : Rappel sur les VLAN
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de di
ffusion, grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre dif
fuse
que sur les ports du commutateur associs ce VLAN. Une trame ou un port peuvent tre
associs
un VLAN de manire statique ou dynamique :
- Statique : chaque port du commutateur est affect un VLAN par ladministrateur, un
e trame
en entre sur ce port sera associe au VLAN du port. On parle de VLAN de niveau 1 ou
VLAN
par port.
- Dynamique : chaque port du commutateur se voit affect dynamiquement un VLAN par
tir
dune information contenue dans la trame en entre sur ce port. Cette af
fectation peut tre
dfinie en fonction de ladresse MAC mettrice, de ladresse IP mettrice, dun
protocole, etc.
contenues dans la trame. On parle de VLAN de niveau 2 (VLAN dadresse MAC) de nive
au 3
(VLAN dadresse IP) ou de niveau applicatif (VLAN bas sur les protocoles d applicat
ion).
On considre quun port de commutateur ne sera associ qu un seul VLAN lexception des po
ts
dinterconnexion 802.1q. Un port 802.1q (dit tagged port) transporte des trames tiq
uetes avec un
en-tte 802.1q qui permet d associer la trame un VLAN. Ce port est gnra
lement rserv la
communication entre commutateurs.
Une trame ne peut tre associe qu un seul VLAN. Chaque VLAN peut tre gr
ar un
commutateur ou par plusieurs et un commutateur peut grer un ou plusieurs VLAN.
Lorsqu un commutateur reoit une trame de diffusion (broadcast), il la t
ransmet dune part
l ensemble des ports sur lesquels sont relis les postes appartenant au mme VLAN qu
e lmetteur,
dautre part aux ports 802.1q affects ce VLAN.
Annexe 3 : Plan d adr essage IP en fonction des r seaux locaux vir tuels
Chaque VLAN correspond un sous-rseau IP.
VLAN 1 (VLAN par dfaut) : Pour les postes du service administratif, a
dresse rseau
192.168.10.32 masque 255.255.255.224
VLAN 2 : Pour les postes du service de comptabilit, adresse rseau 192.168.10.64 ma
sque
255.255.255.224
VLAN 3 : Pour les postes du service dveloppement et serveurs, adresse rs
eau
192.168.10.96 masque 255.255.255.224
La communication entre les VLAN est assure par la fonction de routage
active sur C2,
commutateur de niveau 3. Pour constituer la table de routage de C2,
une adresse IP est affecte
chaque VLAN sur le commutateur C2, soit :
VLAN 1 : 192.168.10.62/27 VLAN 2 : 192.168.10.94/27 VLAN 3 : 192.168.10.126/27
Chaque poste du rseau est configur avec une passerelle par dfaut qui est l adresse
IP du VLAN
correspondant, mis en place sur le commutateur C2, soit :
- Service administratif, VLAN 1 (VLAN par dfaut), passerelle par dfaut : 192.168.1
0.62
- Service de comptabilit, VLAN 2, passerelle par dfaut : 192.168.10.94
- Service de dveloppement et serveurs, VLAN 3, passerelle par dfaut : 192.168.10.1
26
168
Annexe 4 : Configur ation des commutateur s et des r seaux locaux vir tuels
Commutateur C2 :
Administrable sur le VLAN2,
192.168.10.33/27
Protocole 802.1q activ, ports : c2f1, c2f2
Routage activ
Table gre du C2
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c2e1
c2e6
c2e7
c2e8
c2e9
c2ea
c2eb
c2ec
Aimp c2e2 Rte_Int c2e3
c2e4
c2e5
Sdns
Sfic
Simp
Commutateur C3 :
Administrable sur le VLAN1, 192.168.10.34/27
Protocole 802.1q activ, ports : c3f1, c3f2
Table gre du C3
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c3e7
c3e8
c3e9
c3ea
c3eb
c3ec
c3e1
c3e2
c3e3
c3e4
c3e5
c3e6
Sappl
Dev1
Dev2
Dev3
Dev5
Dimp
Commutateur C5 :
Administrable sur le VLAN3,
192.168.10.97/27
Protocole 802.1q activ, ports : c5f1, c5f2
Table gre du C5
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c5e1
c5e9
c5ea
c5eb
c5ec
Ad6 c5e2
c5e3
c5e4
c5e5
c5e6
c5e7
Ac1
Ac2
Ac3
Ac4
Ac5
Acim
c5e8 Scomp
Commutateur C4 :
Administrable sur le VLAN1, 192.168.10.35/27
Protocole 802.1q activ, ports : c4f1, c4f2
Table gre du C4
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c4e1
c4e2
c4e3
c4e4
c4e5
c4e7
c4e8
c4e9
c4ea
c4eb
c4ec
Ad1
Ad2
Ad3
Ad4
Ad5
c4e6 Dev4
Chaque commutateur dispose dau moins une adresse IP et est administrable sur un
seul VLAN.
Seul C2 est un commutateur de niveau 3 qui possde une fonction de r
outage. Il est configur
pour assurer la communication entre les rseaux locaux virtuels.
La commande pour ajouter une r oute dans la table de r outage de C2 est la sui
vante :
Syntaxe :
ADD IP ROUTE=ipadd1 INTERFACE=vlan NEXTHOP=ipadd2 [MASK=ipadd3]
Paramtres :
ROUTE ipadd1 : dfinit l adresse IP du rseau destinataire (0.0.0.0 pour la route
par dfaut).
INTERFACE vlan : dfinit le VLAN sur lequel est associe la route ajouter (par exe
mple : INTERFACE=vlan1).
NEXTHOP ipadd2 : dfinit l adresse IP du prochain saut (routeur) pour cette rout
e.
MASK
ipadd3 : dfinit le masque associ cette route (rseau destinataire). Ce paramt
re est facultatif.
Sil n est pas dfini, c est le masque de la classe de l adresse IP du
rseau destinataire qui est utilis
(0.0.0.0 pour la route par dfaut).
169
Annexe 5 : Le r seau VPN (Vir tual Pr ivate Networ k)
Ce rseau VPN utilise soit le protocole PPTP (Point to Point Tunneling Protocol),
soit le protocole
L2TP (Layer Two Tunneling Protocol) pour tablir une connexion.
Le ser veur VPN : Le serveur VPN doit possder une adr esse IP publique fixe afin
que les clients
VPN puissent utiliser cette adresse ou un nom DNS correspondant pour t
ablir leur connexion
VPN.
me de gestion des
redondances comme STP (Spanning Tree Protocol) ou protocole 802.1d et
l activer sur tous les
commutateurs.
Question 9. Dterminer la bande passante minimum ncessaire, exprime en Kbi
t/s que doit
supporter la liaison pour ramener le temps de transfert d une page environ 10 se
condes (justifier
la rponse, prendre 1 Ko = 1 000 octets).
Bande passante dterminer :
Bande passante : Soit 15 % de donnes de gestion : 300 * 1,15 = 345
ko pour une page de
magazine.
Le temps de transfert actuel est de 43,12 secondes : [(345 * 1000 * 8) / (64 * 1
000)], soit 345 / 8.
Pour ramener 10 secondes :
10 = [(345 * 1000 * 8) / (d * 1000)]
d = (345 * 8) / 10
Il faut un dbit rel de 276 kbit/s.
Question 10. Expliquer les principales diffrences techniques qui existent entre l
ADSL et le SDSL
proposes par l administrateur.
ADSL (Asymetric DSL) est la technique utilise actuellement.
Les canaux
(la voie descendante
allant de l abonn vers le rseau et la voie montante allant du rseau ve
rs l abonn) sont
asymtriques c est--dire que leur dbit est diffrent.
SDSL (Symetric DSL ou Single line DSL) est une version monoligne de
HDSL.
Les canaux (la
voie descendante allant de l abonn vers le rseau et la voie montante allant du rsea
u vers l abonn)
sont symtriques c est--dire que leur dbit est identique.
Question 11. Expliquer la dmarche que doit suivre l administrateur du rs
eau pour obtenir une
adresse IP publique fixe.
Faire une demande dadresse IP Publique fixe auprs du fournisseur daccs Internet.
Question 12. Lister les avantages (en dehors des dbits) dune solution DSL/VPN.
Connexion permanente du fait de la liaison DSL, cot forfaitaire et indpendant de l
a distance
Scurit lie au VPN : encapsulation de la trame crypte et authentification.
172
Question 13. crire la table de routage du routeur Rte_A click, partir
des informations de
l annexe 1.
Table de r outage pour Rte_A click
Rseau Masque Routeur Interface
0.0.0.0 0.0.0.0 @IP_FAI_A Click 66.101.21.12
192.168.10.0 255.255.255.0 172.16.120.252 172.16.120.253
172.16.120.0 255.255.255.0 172.16.120.253 172.16.120.253
On acceptera en lieu et place de ladresse @IP_FAI_A Click une adresse publique co
hrente.
Question 14. Expliquer les rgles de filtrage 2 et 3 appliques sur l interface publ
ique.
Le pare-feu doit laisser entrer les flux VPN sur linterface publique.
Les rgles de filtrage 2 et 3 servent ltablissement et le maintien du tunnel VPN, l
a connexion
des clients VPN.
Question 15. Ajouter la (les) rgle(s) de filtrage mettre en place sur l interface
172.16.120.253 du
routeur Rte_A click afin de respecter les accs prciss ci-dessus, sachant que lact
ion de la rgle
par dfaut est Accepter .
Table de filtrage de l interface 172.16.120.253 du routeur Rte_A click :
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 172.16.120.100/32 Tous 172.16.120.7/32 Tous Tous Bloquer
2 172.16.120.100/32 Tous 192.168.10.0/24 Tous Tous Bloquer
3 172.16.120.8/29 Tous 192.168.10.0/24 Tous Tous Bloquer
Dfaut Toutes Tous Toutes Tous Tous Accepter
173
CDGJC J =
La socit Tholdi est implante dans plusieurs installations portuaires europe
nnes.
Elle est spcialise dans la gestion de containeurs destins au transport d
e marchandises.
Son sige social est situ en rgion parisienne et ses zones dactivits dans les ports de
:
- Le Havre (France) ;
- Marseille (France) ;
- Hambourg (Allemagne) ;
- Anvers (Belgique) ;
- Rotterdam (Pays-Bas).
Chacune des implantations comporte un systme informatique organis en rseau local. C
es rseaux
sont interconnects afin de permettre lchange dinformations en temps rel entre tous le
s sites.
Le rseau de cette entreprise est bas sur un protocole unique : TCP/IP
V4. Les rseaux locaux
utilisent une technologie Ethernet 100 Mb/s pour la connexion des pos
tes de travail et 1 Gb/s
pour tous les serveurs. Les diffrents sites sont relis au sige par des liaisons spci
alises.
Tous les utilisateurs des diffrents sites accdent aujourdhui lInternet via
le serveur proxy du
sige.
La socit THOLDI, toujours soucieuse de diminuer ses charges dexploitation, dcide de
tester une
solution RPV (Rseau Priv Virtuel) ou VPN (Virtual Private Network), pour
remplacer ses
actuelles liaisons loues reliant tous les ports au site de Paris. Le site pilote
choisi pour ce projet est
le site de Rotterdam. Vous tes charg de cette mission par ladministrateur rseau de l
a socit.
Ce dernier vous a fourni le plan de la solution mettre en place en annexe 1 et l
e plan dadressage
en annexe 2.
1. Indiquer , en obser vant le plan dadr essage, de quelle classe dadr e
sses il sagit. Expliquer
sil sagit dadr esses pr ives ou publiques. Justifier les r ponses.
VLAN. Il espre ainsi mieux grer le trafic gnr par les PDA des camionneurs. Il pense i
nstaller
deux VLAN : un VLAN Wifi pour les seuls PDA et un VLAN Lan pour le reste du site
. Le
commutateur Wi-Fi permet d associer un SSID chaque VLAN et permet de grer des V
LAN par
port.
14. Dcr ir e le pr incipe de fonctionnement dun VLAN par por t.
Avant de mettre en uvre cette solution, l administrateur souhaite tudier
ses consquences sur la
configuration actuelle du rseau du site de Rotterdam.
15. Donner le nombr e de domaines de diffusion ainsi dfini sur le site.
16. Dter miner si l administr ateur r seau peut conser ver le plan d
adr essage IP des PDA.
Justifier la r ponse.
17. Exposer une solution per mettant au PDA du VLAN Wifi de communiq
uer avec les
postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matrie
l peut tre
ajout). Pr ciser les configur ations mettr e en place sur le commutateur Wi-Fi
et sur les PDA.
L objectif attendu par l administrateur rseau est la limitation d coute passive pa
r un portable pirate
disposant dune liaison Wi-Fi et ayant cass la cl Wep.
18. Indiquer , avant la mise en uvr e des VLAN, la natur e des changes entr e les
ser veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant
dune liaison Wi-Fi.
Justifier la r ponse.
19. Indiquer , apr s la mise en uvr e des VLAN, la natur e des changes entr e les s
er veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant
dune liaison Wi-Fi.
Justifier la r ponse.
Aprs cette tude pralable l administrateur rseau dcide d abandonner la mise en place d
es VLAN
estimant que la solution n est pas techniquement et financirement adapte.
20. Pr oposer une autr e solution per mettant de r duir e les r isques
dcoute passive et ses
consquences sur les quipements actuels
176
177
Annexe 2 : Plan dadr essage r seau de la socit THOLDI
172.30.32.0/19 rseau du sige Paris
172.30.64.0/19 rseau du port du Havre
172.30.96.0/19 rseau du port de Hambourg
172.30.128.0/19 rseau du port dAnvers
172.30.160.0/19 rseau du port de Marseille
172.30.192.0/19 rseau du port de Rotterdam
Annexe 3 : Fonctionnement dun RPV (Rseau pr iv vir tuel)
Le RPV correspond une interconnexion de rseaux locaux via une techniqu
e de tunnel . On
parle de RPV lorsqu un organisme interconnecte ses sites via une infra
structure partage avec
d autres organismes. C est sur Internet et les infrastructures IP que
se sont dveloppes les
techniques de tunnel .
Le RPV utilise Internet comme support de transmission en utilisant un
protocole de
tunnelisation qui encapsule les donnes transmettre, donnes qui sont elle
s-mmes chiffres.
On parle alors de RPV pour dsigner le rseau ainsi cr, qui est dit virtuel car il rel
ie deux rseaux
physiques (rseaux locaux) par une liaison non fiable (Internet) et priv car seuls
les ordinateurs
des rseaux locaux de part et d autre du RPV peuvent accder aux donnes en clair.
Le RPV permet donc d obtenir une liaison scurise moindre cot, si ce n est la mise e
n uvre des
quipements terminaux. En contrepartie, il ne permet pas d assurer une q
ualit de service
comparable une ligne loue dans la mesure o le rseau physique est public, donc non g
aranti.
Annexe 4 : Table de r outage du ser veur RPV de Rotter dam
Destination rseau Masque rseau Adresse de
Passerelle
Adresse
Interface
0.0.0.0 0.0.0.0 172.30.192.254 172.30.192.100
10.0.0.0 255.0.0.0 10.7.124.240 10.7.124.240
172.30.32.0 255.255.224.0 10.119.255.97 10.7.124.240
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100
Annexe 5 : Captur e de paquets sur le ser veur RPV de Rotter dam
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500 Destination
port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500 Destination
port: 1500
4 Sortie 172.30.32.1 172.30.192.1 ICMP Echo (ping) reply
178
.... .... . . .... .... . . .... .... . . .... .... . ., ,, ,
Question 1. Indiquer, en observant le plan dadressage, de quelle classe
dadresses il sagit.
Expliquer sil sagit dadresses prives ou publiques. Justifier les rponses.
Il sagit de classe B car les valeurs de 128 191 pour le premier octet dfinissent l
a classe B.
Il sagit dadresses prives car de 172.16.0.0 172.31.255.255 ce sont des adresses pri
ves.
Question 2. Donner ladresse du rseau public de Rotterdam. Justifier la rponse.
Ladresse du routeur internet est 82.216.198.161/29. Avec un masque de 2
9 on utilise les cinq
premiers bits du dernier octet pour adresser les sous-rseaux et les tr
ois derniers pour adresser les
htes du sous-rseau.
Les adresses rseau des sous-rseaux varient donc de 8 en 8.
soit 0,8,16,32,40,48,56,64,72,80,88,96,104,112,120,128,136,144,152,160,168. Lad
resse du sousrseau public de Rotterdam est donc 82.216.198.160/29.
Question 3. Dterminer le nombre dhtes pouvant tre adresss sur ce sous-rseau
. Donner les
adresses utilisables pour ces htes ainsi que ladresse de diffusion. Justifier la rp
onse.
Les 3 bits restant permettent dadresser 2
3
-2 = 6 htes. Premier hte 82.216.198.161, dernier hte
82.216.198.166, adresse de diffusion 82.216.198.167.
Question 4. En utilisant le modle de tableau prsent ci-dessous, donner la rgle mettr
e en place.
Interface Type Protocole Adresse publique Port
public
Adresse prive Port
priv
82.216.198.161 DNAT UDP 82.216.198.161/29 1500 172.30.192.100/19 1500
Question 5. Indiquer, en observant la table de routage du serveur RPV de Rotterd
am, si le site de
Paris et le site de Rotterdam sont bien relis par un tunnel dadresse de rseau 10.0.
0.0/8. Justifier la
rponse.
Destination rseau Masque rseau Adr. Passerelle Adr. Interface Mtrique
0.0.0.0
0.0.0.0
172.30.192.254
172.30.192.100
20
10.0.0.0
255.0.0.0
10.7.124.240
10.7.124.240
2
0
172.30.32.0 255.255.224.0
10.119.255.97
10.7.124.240
1
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100
20
On constate bien que pour atteindre le rseau de Paris situ en adresse
172.30.32.0/19 on sort par
linterface 10.7.124.240 pour atteindre la passerelle 10.119.225.97. Cette
adresse de passerelle est
en fait ladresse virtuelle du serveur RPV de PARIS. Tous les paquets
destination de Paris
passeront donc bien par le tunnel RPV dadresse de rseau 10.0.0.0/8.
Question 6. Complter la table de routage pour que le site de Rotterdam puisse com
muniquer avec
le site du Havre via le serveur RPV de Paris.
Il faut rajouter la ligne suivante :
172.30.64.0 255.255.224.0
10.119.255.97
10.7.124.240
179
Question 7. Simplifier la table de routage obtenue en proposant une agrgation de
routes. Justifier
la rponse.
Les routes concernant le site de Paris et du Havre peuvent tre regrou
pes car elles ont une partie
commune en binaire sur le troisime octet :
32
00100000
64
01000000
172.30.0.0 255.255.128.0
10.119.255.97
10.7.124.240
Question 8. Indiquer ladresse de passerelle qui doit tre dfinie sur chaq
ue ordinateur du site de
Rotterdam.
Les communications intersites doivent passes par le RPV. Ladresse de pas
serelle des htes de
Rotterdam doit tre ladresse du serveur RPV soit 172.30.192.100. Comme le
montre la table de
routage si le rseau de destination est inconnu, le serveur RPV route le paquet ve
rs sa passerelle par
dfaut, le routeur internet. Les accs lInternet ne sont donc pas perturbs par la mise
en place de
cette passerelle par dfaut.
Question 9. Expliquer, en utilisant la capture de paquets de lannexe 5
, pourquoi les adresses IP
dorigine et de destination des paquets en entre et en sortie du serveur RPV (route
ur chiffrant) sont
diffrentes alors quil sagit pourtant du mme message (ping request lignes 1 et 2).
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500
Destination port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500
au mme VLAN. Si
plusieurs VLAN sont dfinies sur le port il faut que les trames soient tiquetes.
Question 15. Donner le nombre de domaines de diffusion ainsi dfinis sur le site.
Deux domaines de diffusion sont grs sur chaque site. Un par Vlan.
Question 16. Dterminer si l administrateur rseau peut conserver le plan d adressag
e IP des PDA.
Justifier la rponse.
Les deux VLANS sont isols. On peut conserver le mme plan dadressage IP mais dans ce
cas on
ne pourra jamais communiquer entre les deux Vlans.
En effet pour co
mmuniquer en IP entre les
deux VLANs il faut un routeur ce qui implique que les rseaux IP sur chaque Vlan s
oient diffrents.
181
Question 17. Exposer une solution qui permettrait au PDA du VLAN Wifi de commu
niquer
avec les postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel
peut
tre ajout). Prciser les configurations mettre en place sur le commutateu
r Wi-Fi et sur les
PDA.
Il faut un routeur. Ce routeur aura deux cartes rseaux (relles ou virtuelles) avec
une adresse IP sur
chacun des rseaux.
Si le routeur possde deux cartes relles, il faut associer chacune de ces cartes un
VLAN et donc
mettre jour sur le commutateur Wi-Fi les associations VLAN <-> port (une carte s
ur Wi-Fi et une
carte sur LAN).
Si le routeur ne possde quune carte relle mais deux cartes virtuelles, i
l faut sur le commutateur
Wi-Fi installer le protocole 802.1Q sur le port o est connecte cette carte relle.
Sur les PDA, il faut paramtrer ladresse IP de la carte rseau du routeur situe sur le
mme VLAN
comme passerelle.
Question 18. Indiquer, avant la mise en uvre des VLAN, la nature des
changes entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune
liaison WiFi. Justifier la rponse.
Les changes entre les serveurs sont commuts. Les changes unicast ne seront pas capt
urables car
non transmis par le point daccs par contre les changes broadcast le seront.
Question 19. Indiquer, aprs la mise en uvre des VLAN, la nature des ch
anges entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune
liaison WiFi. Justifier la rponse.
Cela ne change pas grand chose. Les changes entre les serveurs sont t
oujours commuts. Les
changes unicast ne seront pas capturables car non transmis par le poin
t daccs et isols dans un
VLAN. Par contre les changes de broadcast ne seront pas transmis par le point daccs
car le SSID
a t associ au VLAN Wifi.
Question 20. Proposer une autre solution permettant de rduire les risques dcoute pa
ssive et ses
consquences sur les quipements actuels.
Il faut passer un mode de chiffrement plus difficile craquer que le
chiffrement Wep, le
chiffrement WPA par exemple. On peut aussi envisager la mise en place dun serveur
Radius et une
authentification des PDA par certificats lectroniques.
Le choix de chiffrement WPA impose le changement des PDA.
182
CDGJC J =C
La socit FEFORT, installe en France, est spcialise dans la torrfaction et
lassemblage de
cafs.
Activit de lentreprise
FEFORT possde des units de production en Afrique, Amrique Centrale et Amrique du Sud
qui
soccupent de la collecte de la matire premire, la cerise de caf , auprs
es producteurs
locaux. Cette matire premire est ensuite lave et dpulpe sur place. Une f
is schs, les
grains verts qui rsultent de lopration prcdente traversent lAtlantique, en b
ateau, jusquau
Havre.
La socit procde en France la torrfaction des grains verts. Ceux-ci, gril
ls dans des fours,
librent alors larme attendu. Les laboratoires ralisent aussi, si ncessaire,
lassemblage des
diffrentes varits de caf, tous les consommateurs nayant pas les mmes attent
es du produit,
souvent en fonction de leurs habitudes culturelles.
Son client principal est la grande distribution sous sa propre marque
ou sous la marque du
distributeur.
Implantation gographique
Le sige de la socit est situ en rgion PACA (Provence-Alpes-Cte dAzur). Il
regroupe les
services administratifs et de direction, un service qualit, recherche et dveloppem
ent (QR&D)
intgrant un laboratoire charg de tester de nouveaux produits. Le service
qualit est charg de
veiller la qualit des processus de lentreprise, aussi bien administratifs, que de
production.
Le centre informatique principal est implant au sige de la socit. Les autres sites y
accdent pour
l essentiel de leurs traitements.
Le rseau et le parc informatique ont pris de lampleur au fil des annes
et il est ncessaire de le
rationaliser.
Jeune diplm(e), vous travaillez en tant que technicien(ne) sur le site
principal, dans lquipe
rseau et systmes, charge de larchitecture et de la scurit de celui-ci.
Le rseau principal du sige regroupe un grand nombre de stations cliente
s (environ 250) et de
serveurs. Bien que ce rseau s appuie sur une arborescence de commutateu
rs, les diffusions sont
nombreuses et pnalisent lourdement le rseau. De plus, la direction souha
ite que les changes de
donnes entre les postes dun mme service ne soient pas, pour des raisons
de confidentialit,
accessibles aux autres services. Pour scuriser et allger la charge du rseau, Mon
sieur Godard, le
directeur du service informatique envisage deux solutions :
La premire consiste crer 8 sous-rseaux (7 services plus la liaison vers
le pare-feu) en
remplaant le commutateur central (voir annexe 1) par un routeur IP 8
interfaces. Monsieur
Godard vous demande d tudier dans un premier temps la faisabilit de cette solution
.
La seconde solution fait appel aux VLAN et sera envisage dans le dossier suivant.
tude de la pr emir e solution
Chaque service correspondra un sous rseau. Monsieur Godard a choisi duti
liser un masque de
sous-rseau de 20 bits.
1. Donner l cr itur e dcimale pointe de ce masque et indiquer combien
de sous r seaux
pour r ont tr e cr s l aide de celui-ci.
2. Pr oposer une adr esse IP de r seau pour chacun des ser vices. La
proposition doit tre
compatible avec les adresses statiques existantes indiques dans l annexe 2.
183
3. Donner ladr esse de la passer elle par dfaut des postes du ser vice commer ci
al, sachant quil
sagit de ladr esse disponible la plus leve pour ce sous-r seau.
Suite cette modification, les postes des diffrents services configurs en DHCP ne r
eoivent plus
leurs paramtres IP.
4. Expliquer la r aison de ce dysfonctionnement et pr ciser les modifications a
ppor ter , dune
par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Par e-feu : Filtr age du tr afic r seau
En complment de la protection des accs lentreprise prise en charge par le fourniss
eur daccs
Internet, le DSI envisage de filtrer le trafic rseau entre le sige et les units du
groupe.
Le pare-feu du sige doit tre configur pour :
permettre tous les utilisateurs l accs la navigation web via le serveur mandatai
re (proxy)
du FAI (port 3128) ;
limiter laccs des units du groupe uniquement au service informatique ;
donner au service informatique (et donc au poste de l administrateur) accs l ens
emble des
services et sites distants.
5. En utilisant le for malisme donn en annexe 4, donner les r gles ap
plicables en entr e de
linter face concer ne per mettant de r especter les consignes donnes. Vous veiller
ez limiter le
nombre de rgles dfinir.
DHCP : Cr ation d une tendue de secour s
Chaque unit dispose de son propre serveur DHCP. L administrateur du rsea
u souhaite introduire
un dispositif de tolrance de panne s appuyant sur le serveur DHCP du sige.
En cas de dysfonctionnement dun serveur local, le serveur du sige devra
donc pouvoir fournir
leurs paramtres IP aux stations distantes qui en font la demande.
Vous avez t charg(e) de tester la solution sur le site de Villeurbanne.
Le serveur DHCP local possde la configuration suivante :
tendue
: Villeurbanne
Plage d adresses : 172.22.0.1 172.22.0.149
Masque
: 255.255.0.0
Options
Passerelle : 172.22.250.204 (adresse interne du routeur 4)
DNS
: 172.16.200.2
6. Indiquer les modifications appor ter afin de distr ibuer des adr esses val
ides aux stations de
Villeur banne, sur une tendue de mme taille.
DNS : Mise en place d une dlgation de zone
Le serveur DNS du sige prend en charge les rsolutions de noms pour l
ensemble du groupe. La
charge importante pour ce serveur et lutilisation des liaisons distantes
pnalisent les temps de
rponse. Il a donc t dcid de mettre en place des serveurs DNS locaux sur
le principe des
dlgations de zone. Chaque site grera sa propre zone dpendante de la zone principale
du groupe.
L arborescence souhaite est donne en annexe 6.
7. Appor ter les modifications ncessair es au fichier de la zone fefort.loc (an
nexe 5) et cr ir e le
fichier de la zone villeurbanne.fefort.loc.
184
Pour amliorer la tolrance aux pannes, il a t dcid que le serveur DNS du
sige serait serveur
secondaire pour chacun des domaines fils. En cas de dfaillance d un se
rveur DNS, les clients du
site pourront alors utiliser les services du serveur DNS du sige.
Une premire exprimentation de ce dispositif doit tre mise en uvre sur le site de Vil
leurbanne.
8. Expliquer les modifications appor ter au ser veur DNS du sige dune par t et
celui du site
de Villeur banne dautre par t.
Le directeur vous suggre de mettre en place une solution base sur lutilisation de rs
eaux locaux
virtuels (VLAN). Cette solution permettra de rduire le primtre des domain
es de diffusion et de
scuriser les changes entre les services. Lacquisition dun nouveau commutate
ur est ncessaire
pour remplacer le commutateur actuel, notamment pour :
Grer les VLAN et la priorit des flux ;
viter les temptes de diffusion ;
Supporter la redondance de liens avec un autre commutateur de mme type ;
Administrer distance le commutateur en mode console ainsi qu laide doutils de superv
ision
de rseau.
9. Dter miner la configur ation matr ielle et pr ciser les pr otocoles q
ue devr a suppor ter le
nouveau commutateur . Le rle des fonctions et protocoles quil prendra en
charge sera
expliqu.
En vous documentant sur les VLAN afin de monter le dossier, vous vou
s apercevez que
ltanchit quoffrent les VLAN ne permettra plus aux postes de communiquer a
ec les
serveurs du service informatique.
10. Pr oposer une solution matr ielle complmentair e pour per mettr e aux postes
de tr avail des
diffr ents ser vices daccder aux ser veur s du ser vice infor matique. Exp
liquer br ivement
comment elle doit tr e mise en uvr e.
Une fois cette solution mise en place, un problme survient. Le service
dassistance tlphonique
interne au groupe est dbord dappels : les diffrents sites ne peuvent plus
accder aux serveurs.
Relation
Client
Service
Commercial
Service
Gestion/
compta
Service Qualit,
Recherche et
Dveloppement
Liaisons SDSL jusquau
fournisseur MPLS
F.A.I . priv
Neuchtel ( Suisse)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Ethernet Commut
Lgende
R1
R2
R3
R4
R5
R6
R7
Connexion
vers le reste
du groupe
Pare-feu
172.16. 0. 0/16
172.17.0. 0/ 16
172.20. 0. 0/16
172. 21.0.0/16
172.22.0.0/ 16
172.23.0.0/16
172.24.0. 0/ 16
172.25.0. 0/ 16
Commutateur
central
Serveur
DHCP
Service informatique
Serveur
SGBD et
DHCP
Commutateurs vers
les diffrents
services
186
Annexe 1 (suite)
Les sites du groupe sont interconnects
Le rseau et son
adressage sont grs par le fournisseur.
nt observer le
fonctionnement de celui-ci, dtecter les
t demander le
redimensionnement de certaines liaisons
quil est important
dconomiser la bande passante inter-sites.
SOA
ns.fefort.loc.
Le pare-feu possde une adresse 172.16.220.1 : il est donc dans le rseau 172.16.208
.0
Pour les diffrents services, puisqu ils n ont que des adresses dynamiques fournie
s par le DHCP, on
peut choisir n importe quel autre sous-rseau non encore attribu.
sous-r seaux ser vices
172.16.0.0
172.16.16.0 Gestion/comptabilit
172.16.32.0 Commercial
172.16.48.0 Relation Client
172.16.64.0 Marketing
172.16.80.0 Direction
172.16.96.0 Q, R & D
172.16.112.0
172.16.128.0
172.16.144.0
172.16.160.0
172.16.176.0
172.16.192.0 Service informatique
172.16.208.0 Accs pare-feu (pour
information : non
exig)
172.16.224.0
172.16.240.0
La liste complte des sous rseaux possibles n est pas demande et les deux derniers rs
eaux sont
aussi utilisables.
Question 3. Donner ladr esse de la passer elle par dfaut des postes d
u ser vice commer cial,
sachant quil sagit de ladr esse disponible la plus leve pour ce sous-r seau.
172.16.47.254
Ladresse fournie doit tre cohrente avec ladresse du sous rseau retenue pour
le service
commercial (ici 172.16.32.0).
Au choix
Obligatoire
190
Question 4. Expliquer la r aison de ce dysfonctionnement et pr ciser
les modifications
appor ter , dune par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Raison
En l tat actuel des choses, le routeur ne laisse pas passer les paquets DHCP Disc
over qui sont des
paquets de diffusion gnrale (adresse 255.255.255.255). Seuls les clients
du service informatique
sont susceptibles de recevoir leurs paramtres IP.
Mise jour du r outeur
Sur le routeur, il faut :
attribuer au routeur une adresse dans chaque sous-rseau (fait la question prcdente
donc
pas exige);
activer le relais DHCP sur toutes les interfaces du routeur sauf celle du servic
e informatique;
La citation de l agent relais est exige mais pas sa prsence sur toutes les interfa
ces.
lui indiquer l adresse du serveur DHCP : 172.16.200.3.
Mise jour du ser veur
Sur le serveur DHCP, il faut :
supprimer l tendue existante (pas exige);
crer une tendue par sous-rseau utilis, donc par service
tout masque de sur-rseau cohrent (/11, /12, et avec deux lignes /14 et /15)
Une solution avec une ligne spcifique pour le poste de ladministrateur (/32).
La ligne par dfaut n est pas exige.
Question 6. Indiquer les modifications appor ter afin de distr ibuer des adr
esses valides aux
stations de Villeur banne, sur une tendue de mme taille.
Il faut crer une tendue pour Villeurbanne, par exemple :
Plage d adresses : 172.22.1.1 172.22.1.149
Masque : 255.255.0.0
Options Passerelle : 172.22.250.204 (adresse interne du routeur 4)
DNS : 172.16.200.2
La seule modification par rapport l tendue du serveur DHCP de Villeurbanne conce
rne la plage
d adresses distribues.
Bien videmment, il faudra activer le relais DHCP du routeur 4 et lui indiquer l a
dresse du serveur
DHCP du sige mais cela n est pas demand.
Question 7. Appor ter les modifications ncessair es au fichier de la zone fefo
rt.loc (annexe 5)
et cr ir e le fichier de la zone villeurbanne.fefort.loc.
Il faut ajouter le serveur DNS de Villeurbanne. Ce serveur aura par
exemple les caractristiques
suivantes :
Machine @ IP F.Q.D.N.
serveur DNS 172.22.200.2 ns.villeurbanne.fefort.loc
Exemple avec BIND :
Dans la zone fefort.loc :
il faut rajouter une ligne de dlgation de zone pour chaque unit ainsi qu une ligne
de dclaration
de l adresse du serveur. Exemple pour villeurbanne
villeurbanne.fefort.loc. IN NS ns.villeurbanne.fefort.loc.
ns.villeurbanne.fefort.loc. IN A 172.22.200.2
On nexige quune seule zone.
il faut
supprimer la dclaration des serveurs de Villeurbanne (sauf le
serveur DNS dclar cidessus bien sr)
Le fichier zone de villeurbanne.fefort.loc. ressemblera ceci :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc
.
(3; 36000; 3600; 360000; 86400)
IN
NS ns.villeurbanne.fefort.loc.
; serveurs de Villeurbanne
log-vi IN A 172.22.200.1 ; serveur d authentification
dhcp-vi IN A 172.22.200.3 ; serveur dhcp
fic-vi IN A 172.22.200.6 ; serveur de fichiers
ns IN A 172.22.200.2 ; serveur de nom
192
Exemple sur un ser veur MS-Windows :
Dans la zone fefort.loc :
Slectionner la zone fefort.loc
Crer une nouvelle dlgation
Saisir le nom de la sous-zone (ici : villeurbanne)
Ajouter le nom (ns.villeurbanne.fefort.loc) et l adresse IP (172.22.200.2
) du serveur DNS
qui a obtenu la dlgation.
Ajout de la zone de villeurbanne.fefort.loc :
2. Slectionner les zones de recherche directes
3. Ajouter une nouvelle zone principale
4. Saisir le nom de la zone (ici : villeurbanne.fefort.loc).
Question 8. Expliquer les modifications appor ter au ser veur DNS du sige dune
par t et
celui du site de Villeur banne dautr e par t.
Exemple avec BIND :
Au sige :
Sur le serveur du sige, il faut ajouter l information selon laquelle il sera serv
eur esclave pour la
zone villeurbanne.fefort.loc .
zone "villeurbanne.fefort.loc" {
type slave;
masters {
172.22.200.2;
};
};
Villeur banne :
Sur le serveur DNS de Villeurbanne, il faut ajouter une ligne NS pour le serveur
ns.fefort.loc, ce qui
nous donne :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc
.
(3; 36000; 3600; 360000; 86400)
IN
NS ns.villeurbanne.fefort.loc.
IN
NS ns.fefor t.loc
Exemple sur un ser veur MS-Windows :
Au sige :
zSlectionner Zones de recherche directes.
zDfinir une nouvelle zone secondaire
zSaisir le nom de la zone (ici : villeurbanne.fefort.loc).
zSaisir l adresse IP du serveur DNS principal (ici : 172.22.200.2)
Villeur banne :
Slectionner la zone villeurbanne.fefort.loc
Ajouter un serveur de nom
Saisir nom et adresse IP du nouveau serveur NS.
Question 9. Dter miner la configur ation matr ielle et pr ciser les pr o
tocoles que devr a
suppor ter le nouveau commutateur . Le rle des fonctions et protocoles quil prend
ra en charge
sera expliqu.
193
Exemple de rponse :
Fonctions/pr otocoles Rle, explication
Configuration matrielle : 8 ports au moins
+ ports de liaison
Connectivit
Supporter la redondance de lien en vitant
les temptes de diffusion
Protocole 802.1D, STP
Arbre de recouvrement (Spanning tree),
Tolrance de panne par agrgation de liens
Grer les VLAN
Protocole 802.1q
Marquage de trames pour identifier les VLAN
Grer la priorit de flux
Protocole 802.1p
Gestion de la priorit de trames
Protocoles SNMP, Telnet, HTTP Accs en mode administrateur
Question 10. Proposer une solution matrielle complmentaire pour permettre
aux postes de
travail des diffrents services daccder aux serveurs du service informatiqu
e. Expliquer
brivement comment elle doit-tre mise en uvre.
Pour la solution base sur un routeur, il faut soit une interface relle par VLAN sa
ns ncessit de
taguer les trames soit une interface virtuelle par VLAN dans ce dernier cas le
routeur doit taguer
les trames.
Pour la solution base sur des serveurs multidresss , il faut une interface virtue
lle par VLAN et le
serveur doit taguer les trames.
Pour la solution base sur un commutateur-routeur il y a une interface relle par VL
AN, il n est pas
ncessaire de taguer.
Il existe aussi une rponse non dtaille ici avec des VLAN asymtriques?
Rponses possibles :
Prise en charge de la fonction de routage par lajout dun routeur avec
une interface tague multi
adresse afin dinterconnecter logiquement tous les VLAN.
Une solution avec un commutateur de niveau 3 peut assurer l ensemble
de ces fonctionnalits.
Chaque port du commutateur s interconnectant un autre commutateur est associ un V
LAN et on
affecte une adresse IP. Les liaisons ne grant pas plusieurs VLAN il n est pas nces
saire de taguer.
Si les serveurs grent les VLAN (protocole 802.1Q) on peut multiadresser
les serveurs en
dfinissant une interface virtuelle par VLAN, dans ce cas la liaison en
tre les commutateurs et les
serveurs doit tre tague.
Question 11. Pr oposer une solution per mettant de gar antir la conti
nuit du ser vice daccs
aux ser veur s du sige lor s dune panne du r outeur . Expliquer les pr
incipes de
fonctionnement de votr e solution.
Exemples :
Mettre en place un routeur de secours et le protocole VRRP (Virtual Redondancy R
outer Protocol)
(HSRP pour Cisco) pour activer/dsactiver le routeur de secours.
Prvoir une redondance des routeurs avec rpartition de charges
On accepte une solution qui n assure pas la continuit de service mais la reprise
rapide de service
Par exemple :
Prvoir un routeur de secours avec une reprise dactivit base sur modificat
ion dynamique de
ladresse de passerelle sur les postes
VRRP permet deux routeurs R1 et R1 de partager une adresse IP virtuelle. De mme p
our leur
adresse MAC. Lun des routeurs est actif comme sil tait seul. Mais sil tombe en panne
lautre le
dtecte. (Arrt des changes mutuels de messages signalant leurs prsences). R1 ne reoit p
lus de
messages, il devient alors actif et rpond aux requtes adresses aux adres
ses communes (IP et
MAC).