Rseaux informatiques

Architectureet interconnexion Internet

Laurent Haugeard <laurent@cri74.org>

Copyright CRI74 GNU Free Documentation License

Lesproblmatiquesdurseau
Infrastructure passive: cblage, locaux techniques Infrastructure active: quipements (switchs, routeurs, ...) paramtrage du rseau: plan d'adressage IP Administration: caractristiques des quipements Disponibilit: lectricit, redondance des liens et/ou des quipements Scurit du systme d'information Connexion avec l'Internet Interconnexion de rseaux distants: Virtual Private Network

Copyright CRI74 GNU Free Documentation License

Lerseaulocal: Ethernet(1)
La technologie pour le transport dans le primtre du rseau local:

Ethernet

Copyright CRI74 GNU Free Documentation License

Lerseaulocal: Ethernet(2)
Equipe en standard les ordinateurs avec une interface Ethernet 100 Mbps voire 1 Gbps. Technologie de transport pour l'ensemble de la gamme des quipements rseaux: du switch de bureau l'quipement de coeur de rseau. Ethernet fonctionne sur une grande varit de supports physiques:

Sur cable rseau cuivre Sur fibre optique Sur ondes hertziennes (WIFI, ...) Sur paire tlphonique cuivre

Copyright CRI74 GNU Free Documentation License

Fibreoptique(1)
Support le plus performant (Fibre monomode) :

Interfaces optiques 10 Gbps sur 40 Km disponibles.

Insensible aux perturbations lectromagntiques (adapt aux liens en extrieur) Adapt aux grandes distances: jusqu' 100 Km. Coteux

Copyright CRI74 GNU Free Documentation License

Fibreoptique(2)
Deux catgories de fibres optiques:

Multimode

Interface Fast Ethernet (100 baseFX): 100 Mbps sur 2 Km Interface 1000 base SX: 1 Gbps sur 550 m Interface 1000 base LX: 1 Gbps sur 550 m

Monomode

Interface 1000 base LX: 1 Gbps sur 2 Km (IEEE 802.3z) Interface 1000 base LX/LH: 1 Gbps sur 10 Km Interface 1000 base ZX: 1000 Gbps sur 100 Km

Deux formats d'interfaces Gbps

Le moins rcent: GBIC Le plus rcent: SFP

6

Copyright CRI74 GNU Free Documentation License

Cblecuivrerseau
Cbles souvent nomms RJ45 . RJ45 est le nom de la connectique. 10/100/1000 bits/seconde sur 100 mtres La norme du moment : Catgorie 6 (Cat6). Supporte le Gbps. La norme prcdente : Catgorie 5 (Cat5). Supporte le Gbps dans sa version la plus rcente (Cat5e) Qui peut le plus, peut le moins: utilis aussi pour le rseau tlphonique local. Le cblage est dit: banalis.

Copyright CRI74 GNU Free Documentation License

Unexempled'infrastructurephysique

Lerseaulocal:

Copyright CRI74 GNU Free Documentation License

Lesautressupportsphysiques: Lesansfil(1)
Normes WI-FI: 11 Mbps (IEEE 802.11b), 54 Mbps (IEEE 802.11g, compatible 802.11b) Pas de cbles donc pratique Adapt la mobilit Quand on n'a pas la choix:

pas de cblage possible solution moindre cot: par exemple une liaison point point entre btiments

Copyright CRI74 GNU Free Documentation License

Lesautressupportsphysiques: Lesansfil(2)
Ne remplace pas un rseau cbl

Etude de couverture Raccordement des points de connexion relier sur le rseau filaire Soumis aux perturbations extrieures Faible matrise du rseau: performance fonction du nombre de connects.

Pas du tout scuris

Copyright CRI74 GNU Free Documentation License

10

Lesautressupportsphysiques: solutionsalternatives
Rutiliser le cblage tlphonique d'origine d'un btiment: xDSL, LRE Se servir du rseau lectrique: Courant porteur en ligne (CPL)

Copyright CRI74 GNU Free Documentation License

11

Lerseaulocal: Disponibilit
Electricit:

Double alimentation sur des disjoncteurs distincts Onduleurs

Locaux techniques adapts Redondance des liens et des quipements

Copyright CRI74 GNU Free Documentation License

12

Lerseaulocal: Choixdelatopologie(1)
Topologie en toile autour d'un local serveur

Copyright CRI74 GNU Free Documentation License

13

Lerseaulocal: Choixdelatopologie(2)
Autre possibilit:

Copyright CRI74 GNU Free Documentation License

14

Lerseaulocal: Redondance(1)
Equipement Ethernet capable de grer les liens redondants

Spanning Tree (STP) : technologie standard, temps de raction ~ 30s Autres technologies avec temps de raction ~1s

Cas avec une topologie en toile:

Copyright CRI74 GNU Free Documentation License

15

Lerseaulocal: Redondance(2)
Autre cas: topologie en boucle

Copyright CRI74 GNU Free Documentation License

16

Lerseaulocal: Paramtragedurseau(1)
Utiliser le protocole d'internet: IP Les paramtres IP:

Adresse IP: Numro unique associ la machine. Par exemple 10.30.1.20, Masque: Permet de savoir s'il faut utiliser le routeur pour atteindre la destination. Par exemple 255.255.255.0 Adresse du routeur: Par exemple 10.30.1.1 Un ou plusieurs DNS (Domain Name Server): Par exemple 195.202.0.2.

Mthode:

Manuellement Automatiquement (par DHCP depuis serveur ou routeur)

Copyright CRI74 GNU Free Documentation License

17

Lerseaulocal: Paramtragedurseau(2)
Adresse IP publique: unique sur Internet, fournie par le FAI Adresse IP prive:

Valable dans le primtre du rseau local Utiliser des adresses dans les espaces suivants:

192.168.x.y 10.x.y.z 172.x.y.z (16< x <31)

Copyright CRI74 GNU Free Documentation License

18

Lerseaulocal: ArchitectureEthernet/IP
Un seul rseau Ethernet plat:

Simplicit: un seul rseau IP Mauvaise matrise du fonctionnement Pas scuris

Dcoupage en plusieurs sous rseaux Ethernet:

Beaucoup moins simple: sous rseaux IP => ncessitent installation de routeur Bonne matrise du fonctionnement Possibilit de scuriser: filtrage IP

Copyright CRI74 GNU Free Documentation License

19

ArchitectureIP:exemple

Copyright CRI74 GNU Free Documentation License

20

ArchitectureIP: Contraintes
Paramtrage IP moins simple Nombre d'interfaces sur le routeur Une interface physique = Un rseau IP

Pas de problme si le plan d'adressage IP correspond la localisation des quipements (switchs). Devient problmatique si le plan d'adressage IP suit une autre logique. Par exemple: correspondance entre le rseau IP et la fonction de l'utilisateur

Copyright CRI74 GNU Free Documentation License

21

ArchitectureIP:LesVLANs (1)
Plus de relation entre l'architecture physique et l'architecture logique (IP) VLAN (Virtual LAN)

LAN (Local Area Network): rseau local Ethernet. Virtual: dcoupage d'un rseau Ethernet physique en plusieurs rseaux Ethernet par configuration des switchs.

Copyright CRI74 GNU Free Documentation License

22

ArchitectureIP:LesVLANs(2)

Copyright CRI74 GNU Free Documentation License

23

ArchitectureIP:LesVLANs(3)
Les quipements:

Switchs

Manageable. Support de la norme IEEE 802.1q

Routeur

Routeur avec interface 802.1q (Machine constructeur) PC Linux avec carte rseau ethernet 802.1q. Commutateur niveau 3:

Switch dot des fonctions de routage. Performances volues (routage IP la vitesse de la commutation ethernet). Pas d'impact du filtrage IP sur les performances.

Copyright CRI74 GNU Free Documentation License

24

Lerseaulocal: Administrationdesquipements
Interface d'administration

Web CLI (Common Line Interface) : acces en terminal distant (telnet,ssh). Mthode prfrable.

Surveillance par SNMP : Courbes trafic (MRTG, Cricket) Scurit de l'quipement: filtrage des adresses IP autorises acceder A prendre en compte dans le choix de l'quipement:

Fonctionnalits disponibles Facilit de manipulation, comportement

25

Copyright CRI74 GNU Free Documentation License

ConnexionInternet: Technologiesd'accsdistants(1)
Connexion via le rseau tlphonique commut:

Facturation au temps : RTC (modem 56Kbps), RNIS (64 Kbps) Ligne permanente loue : LS (trs cher)

Connexion xDSL

Principe technique: raccorder la paire cuivre de l'abonn sur un rseau informatique Critre: niveau d'ligibilit

Le rpartiteur tlphonique dot tre quip (DSLAM, Fibre Optique sur le rseau de l'oprateur) Distance de l'abonn au rpartiteur, qualit des cbles telecom

Copyright CRI74 GNU Free Documentation License

26

ConnexionInternet: Technologiesd'accsdistants(2)
Architecture xDSL

Copyright CRI74 GNU Free Documentation License

27

ConnexionInternet:Scurit(1)
Connexion ADSL monoposte

la connexion est permanente: attention la scurit

Prfrez une adresse IP non statique dans la mesure du possible (SCAN) Pour masquer le PC utilisez le modem/routeur en tant que routeur. L'adresse IP publique est sur le routeur qui fait de la translation d'adresse.

Copyright CRI74 GNU Free Documentation License

28

ConnexionInternet:Scurit(2)
Connexion en rseau

la connexion est permanente : attention la scurit

Machines clientes :

Mcanisme de translation d'adresse. Proxy. Zone dmilitarise (DMZ) : segment isol pour filtrer au mieux les accs. Peut servir de rebond : pas d'accs comme client.

Machines Serveurs visibles en permanence sur Internet :

Copyright CRI74 GNU Free Documentation License

29

ConnexionInternet:lesoffres
Offre standard : Sans garantie de service
offre classique de connexion Internet par ADSL.

Bande passante non garantie sur le rseau le l'oprateur Engagement sur la disponibilit de l'acces Internet ?

Offre professionnelle : Avec garantie de service

beaucoup plus cher

Bande passante garantie (dbit minimum avec dpassement autoris si ressources disponibles). Catalogue plus diversifi (SDSL, Ethernet) Engagement sur la disponibilit de l'accs Internet.
30

Copyright CRI74 GNU Free Documentation License

Interconnexiondesites: solutionoprateur(1)
Liaison point point loue l'oprateur

Inabordable (1000 euros/mois et bien au del) Eventuellement sur la boucle locale (si rseau Mtropolitain).

Liaison via le rseau de l'oprateur

Raccordement xDSL ou liaison loue vers le point de prsence le plus proche VPN (Virtual Private Network) autour d'un site central: Technique qui consiste crer virtuellement un lien entre plusieurs quipements raccords sur un rseau non privatif (Internet, rseau IP d'un oprateur, ...)
31

Copyright CRI74 GNU Free Documentation License

Interconnexiondesites: solutionoprateur(2)
Un exemple de solution

Copyright CRI74 GNU Free Documentation License

32

Interconnexiondesites: solutionInternet(1)
Crer des VPNs entre des sites connects sur internet (chez le mme oprateur). Avantage:

Peu coteux

Aucune matrise du mdia rseau transport.

Les performances sont celles d'Internet Comportement de l'oprateur ?

Copyright CRI74 GNU Free Documentation License

33

Interconnexiondesites: solutionInternet(2)
Les outils :

Tunnel Ipsec :

Technologie standard (multi constructeur, inclu dans le noyau linux 2.6 et support sur le 2.4). Pas simple mettre en oeuvre. Adapt aux rseaux (mcanisme au niveau du protocol IP). Passe mal les firewall, ne supporte pas le NAT.

Autre : spcifique

Vtun:

Se sert du protocol PPP, spcifique linux, adapt aux monopostes, fonctionne au niveau applicatif (passe les firewall) ...
34

Copyright CRI74 GNU Free Documentation License

Interconnexiondesites: solutionInternet(3)
Une solution mise en oeuvre au CRI74 avec PingOO

Copyright CRI74 GNU Free Documentation License

35