Professional Documents
Culture Documents
Auteur(s) : Dominique SERET Droits de proprit intellectuelle : UFR Mathmatiques et Informatique Paris 5 Dernire modification : 09/10/2005 Pr-requis : notion de bases en architecture et systme d'exploitation Description du module - Volume horaire : 30 heures - Objectif gnral : comprendre rapidement l'environnement rseau de l'entreprise - Objectifs d'apprentissage savoir identifier les natures et modes de transmissions savoir situer les diffrents quipements de l'architecture d'un rseau savoir reconnatre les protocoles de communication utiliss et les services rendus comprendre les services rseau implments et les utiliser comprendre les lments de configuration d'un rseau apprhender la scurit dans les environnements rseaux - Rsum : ce cours prsente de manire trs progressive les lments de rseau et leurs architectures. Il dcrit les principes de base et s'attache prsenter les solutions les plus frquentes d'Ethernet Internet. - Mots cls : protocoles, TCP/IP, applications, Ethernet, interconnexion.
Sommaire
Rseaux et Protocoles (partie 2).................................................................................................. 1 Sommaire..................................................................................................................................... 2 Rseaux locaux d'entreprise et interconnexion............................................................................ 4 Les architectures de rseaux locaux.........................................................................................4 Description des rseaux de premire gnration......................................................................9 Couche Liaison de donnes................................................................................................... 13 Interconnexion....................................................................................................................... 14 Interconnexion de rseaux locaux .........................................................................................15 Lvolution des rseaux locaux............................................................................................. 17 Synthse................................................................................................................................. 18 Exercices................................................................................................................................ 18 Quelques corrigs...................................................................................................................20 Introduction Internet................................................................................................................21 Historique...............................................................................................................................21 Objectifs et hypothses de bases dInternet........................................................................... 21 Architecture en couches......................................................................................................... 23 Adresse IP.............................................................................................................................. 23 Protocole IP............................................................................................................................24 Protocoles de transport...........................................................................................................24 Applications........................................................................................................................... 24 Prsentation du web............................................................................................................... 26 Standardisation.......................................................................................................................26 Synthse................................................................................................................................. 27 Le protocole IP...........................................................................................................................28 Les classes dadresse IP......................................................................................................... 28 Notion de sous-rseaux et de masque.................................................................................... 29 Association des adresses Internet et des adresses physiques ................................................ 30 Adresses IP prives et mcanisme NAT................................................................................ 31 Format du datagramme IP......................................................................................................32 Protocole ICMP..................................................................................................................... 33 Evolution dInternet : le protocole IPv6................................................................................ 34 Synthse................................................................................................................................. 35 Exercices................................................................................................................................ 35 Quelques corrigs...................................................................................................................37 Le routage.................................................................................................................................. 41 RIP......................................................................................................................................... 41 OSPF......................................................................................................................................41 Protocoles TCP et UDP............................................................................................................. 42 Le protocole TCP...................................................................................................................42 Le protocole UDP.................................................................................................................. 43 Synthse................................................................................................................................. 43 Exercices................................................................................................................................ 43 Quelques corrigs...................................................................................................................43 Rseau dentreprise - Intranet et Extranet..................................................................................44 Architecture Client / Serveur................................................................................................. 44 Les serveurs DNS.................................................................................................................. 44 Gestion de la scurit............................................................................................................. 45 Rseaux privs virtuels.......................................................................................................... 51
Ladoption dune architecture en couches permet de disposer dune mme couche LLC quelle que soit la technique de partage du support utilise. La normalisation ne concerne pas les couches au-dessus de LLC ; il est possible dimplanter directement des protocoles applicatifs ou des protocoles dinterconnexion de rseaux . La couche physique est quelquefois dcoupe en une couche PMI, Physical Media Independent sublayer, qui assure le codage en ligne indpendamment du type de support de transmission utilis, et une couche PMD, Physical Media Dependent sub-layer, qui assure lmission physique du signal.
Rseau Liaison de donnes Phy sique non spcif i LLC (Logical Link Control )
MAC (Medium Access Control) PMI (Phy sical Independent sublay er) PMD (Phy sical Medium Dependent sublay er)
Modle OSI
Normalisation
Les travaux de normalisation ne concernent que les deux premires couches. Ils sont mens par le comit 802 de lIEEE (Institute for Electricity and Electronics Engineers. Le comit 802 de cette socit savante s'est occup de normalisation des rseaux locaux. Il est essentiellement constitu de constructeurs amricains), repris par lISO sous le numro 8802 : la norme 802.1 dfinit le contexte gnral des rseaux locaux informatiques, la norme 802.2 dfinit la couche liaison de donnes, les normes 802.3, 802.4, 802.5 et 802.6, dfinissent diffrents protocoles daccs au support, pour les diffrents types de supports physiques, la paire symtrique, le cble coaxial ou la fibre optique, qui sont considrs comme fiables et offrant un dbit de transmission important, la norme 802.11 dfinit un protocole daccs pour les rseaux locaux sans fils (WLAN, Wireless LAN).
802.1 Contexte Gnral 802.2 Liaison 802.3 CSMA /CD Bus 802.4 Jeton Bus 802.5 Jeton Anneau 802.6 MAN Double Bus 802.11 WLAN Radio LLC
MAC
Phy sique
Adressage
Pour diffrencier les stations relies sur un mme rseau local, il est ncessaire de les reprer par une adresse. Celle-ci est gre au niveau MAC et possde un format dfini par lIEEE sur 16 bits ou sur 48 bits. Ce dernier format permet un adressage universel des quipements : il correspond un numro de srie avec un champ donnant le constructeur qui est attribu par lIEEE, et le numro de la carte librement choisi par le constructeur. De cette faon, toute carte rseau dun ordinateur possde une adresse unique dans le monde. Le format universel sur 48 bits est le plus utilis. Il est possible de dfinir des adresses de groupe qui englobent plusieurs utilisateurs. Lorsque tous les bits sont positionns 1 (sur 16 bits ou sur 48 bits), il sagit dune adresse de diffusion correspondant lensemble des stations dun rseau local.
Adresse univ erselle sur 48 bits I/G 1 bit U/L=0 1 bit adresse constructeur 22 bits adresse carte 24 bits
Adresse administre localement et code sur 48 bits I/G 1 bit U/L=1 1 bit 46 bits
Le bit I/G=0 pour une adresse individuelle, I/G=1 pour une adresse de groupe.
Topologie
La topologie dun rseau dcrit la faon dont ses stations sont relies. On distingue trois types de topologie : en bus, en anneau, en toile. Dans la topologie en bus, tous les lments sont relis un support physique commun. Une structure en arbre sans racine est utilise. Les topologies en bus sont conues de faon ce quil ny ait quun seul chemin entre deux lments du rseau. Il ny a pas de boucles. Le support est de type bidirectionnel, il permet lmission dinformations sur le bus vers les stations amont et aval . La topologie en bus permet de faire des communications de point point et se prte naturellement la diffusion.
Topologie en bus
Dans la topologie en anneau, le support relie toutes les stations deux deux, de faon former un anneau. Le support est utilis de faon unidirectionnelle et linformation circule dans un seul sens. Toute station, hormis celle qui gnre la trame, rmet le signal reu provoquant la diffusion de la trame dans lanneau. On parle quelquefois de topologie active ou danneau actif pour souligner le fait que la diffusion est prise en charge par chaque station au contraire du bus qui est intrinsquement diffusif. Le problme de cette topologie est son manque de fiabilit en cas de rupture du support. Cest pour cette raison que lon double parfois le support. Les deux anneaux peuvent transmettre dans le mme sens ou en sens inverse. La seconde solution est prfrable car elle permet de reconfigurer le rseau en cas de rupture des deux anneaux.
Topologie en anneau
Dans la topologie en toile qui est aussi la topologie des centraux multiservices, tous les lments du rseau sont relis un nud central. Cette topologie prsente galement des fragilits : en cas de panne du nud central, le rseau est inutilisable. Le point de concentration central peut aussi constituer un goulet dtranglement sil est mal dimensionn et entraner la dgradation des performances du rseau.
Topologie en toile
Politique de cblage
Le support physique des rseaux locaux informatiques reprsente le systme nerveux de linstallation. La mise en place du cblage constitue un service de base, au mme titre que linfrastructure lectrique des btiments. Cest pourquoi il est ncessaire de disposer dun systme de cblage universel, adapt la diversit des quipements et permettant la mise en uvre de toutes les architectures de rseaux. Il existe deux possibilits de cblage. Le post-cblage consiste installer linfrastructure de communication au fur et mesure des besoins, dans des btiments gnralement non prvus pour cela. Laccroissement du parc des stations informatiques connectes aux rseaux locaux et les restructurations-dmnagements donnent lieu des modifications de cblage continuelles et coteuses. Le prcblage conu ds la construction, consiste poser un rseau de conducteurs en grande quantit, offrant une grande souplesse darrangement. Le prcblage est videmment moins coteux mais il nest ralisable que dans de nouveaux locaux. Le prcblage deviendra probablement systmatique et apportera une prsence de cbles tous les tages, mme si lon ne connat pas laffectation des btiments. Lorganisation du cblage repose sur lexistence de locaux de sous-rpartition dans les tages ou les couloirs, et une distribution semblable depuis les sous-rpartiteurs jusquaux postes de travail des diffrents bureaux. Les sous-rpartiteurs sont relis par des cbles de plus forte capacit un rpartiteur central avec un cblage en toile, qui est compatible avec une organisation du rseau en bus ou en anneau. Une gestion technique du systme de cblage est prvue par certains constructeurs. Les principaux supports de transmission des rseaux locaux sont, comme nous lavons vu au chapitre II, des cbles, constitus de paires symtriques, de cbles coaxiaux ou de fibres optiques. La paire torsade est le support le plus couramment employ. Ses avantages sont le faible cot et la facilit dinstallation ; ses inconvnients sont la mauvaise immunit aux bruits. Les paires torsades permettent des dbits de lordre du Mgabit par seconde, certains constructeurs proposent 10 voire 100 Mbit/s, mais sur de courtes distances. Certains constructeurs proposent des paires torsades blindes (Shielded Twisted Pair) plus rsistantes aux interfrences mais plus coteuses. Le cble coaxial, largement utilis, prsente des caractristiques trs intressantes, mais un cot plus lev que la paire torsade. Deux types de transmission sont possibles : la transmission numrique en bande de base et la transmission analogique par talement de bande avec laquelle plusieurs communications simultanes utilisent chacune une porteuse particulire. Les avantages du cble coaxial sont des performances suprieures la paire torsade et une meilleure immunit aux bruits ; son inconvnient, une installation moins souple. La fibre optique est de plus en plus utilise malgr un cot plus lev. Les avantages en sont une totale immunit aux bruits, un trs faible poids, un encombrement minimal et une trs large bande passante ; les inconvnients, le cot et la complexit de connectique.
oui
porteuse ? non essai := essai + 1 dbut d'mission collision ? non suite et f in d'mission
calculer dlai (f onction nb essais) + attendre continuer l'mission (dure minimale) puis stopper essais oui 16 ? non
oui
f in : mission russie
f in : echec
transfert du jeton. Chaque station doit donc tre en mesure de grer la rception et le passage du jeton, en respectant le dlai maximum dfini par la mthode. Les stations doivent galement prendre en compte linsertion dune nouvelle station. Enfin, elles doivent ragir laltration voire la perte du jeton en mettant en uvre un mcanisme de rgnration du jeton.
trame mettre
non
mission de la trame
oui
Station
Rsistance terminale
Rpteur
DA- Adresse Destination (48 bits) SA- Adresse Source (48 bits) Protocole ou longueur (16 bits) Donnes (de 46 1500 octets) et bourrage ventuel FCS- Bloc de contrle derreur (32 bits)
La taille de la trame (moins les 8 octets de prambule) doit tre comprise entre 64 et 1518 octets, ce qui laisse de 46 1500 octets "utiles". Un contenu plus court que 46 octets est complt par des caractres de remplissage. Dans la norme, le champ protocole tait suppos indiquer la longueur effective du contenu de la trame. Dans la pratique, le contenu de la trame (IP, ARP, etc) dcrit implicitement la longueur et le champ est utilis pour dnoter le protocole utilis. Le champ "protocole" peut prendre les valeurs suivantes (en hexadcimal) : 0800 protocole IP 0806 protocole ARP 0835 protocole RARP
10
10 Base 2 est un coaxial fin de 180 mtres maximum par segment, gnralement jaune, permettant un dbit en bande de base de 10 Mbit/s, utilis dans Cheapernet.
Cblage en bus
La grande faiblesse dun cblage en bus est sa sensibilit aux incidents : si le bus est coup, on se retrouve en prsence de deux bus ayant chacun une extrmit sans rpteur. La dsadaptation dimpdance provoque un auto-brouillage d aux phnomnes dcho. On a massivement recours au cblage en toile : toutes les stations sont branches sur un concentrateur ou hub, qui retransmet sur lensemble des ports tout signal reu sur un port quelconque. La topologie logique reste donc celle dun bus et le fonctionnement de laccs par CSMA/CD est inchang. Les cblages dans ce cas sont les suivants : 10 Base T (T pour Twisted pair) est une paire en bande de base de 100 m par segment, 10 Mbit/s, 10 Base F (T pour Fiber) est une fibre optique de 2,5 km, en bande de base 10 Mbit/s, 10 Broad 36 est un cble de tldistribution de 3,6 km, avec talement de bande, 10 Mbit/s par canal (impdance 75). Le cblage en toile a t initialement introduit par ATT dans le produit Starlan sous la rfrence 1 Base 5. Il est constitu de paires symtriques tlphoniques de 2 km, permet un dbit de 1 Mbit/s et 5 concentrateurs. Le principal intrt est son trs faible cot.
concentrateur
paires torsades
11
12
la demande de jeton de plus haute priorit exprime par une des stations du rseau. Elle peut ensuite mettre une autre trame ou transmettre un jeton libre son successeur. Il est ncessaire que la station reoive le dbut de sa trame avant de pouvoir mettre un jeton libre. Afin dviter toute utilisation abusive du support, chaque station arme un temporisateur au dbut la phase dmission et doit obligatoirement passer le jeton lorsque celui-ci arrive chance. On peut affecter diffrentes priorits aux stations. Celle qui a une trame en attente de priorit infrieure celle du jeton ne peut capturer le jeton. Elle doit attendre un passage du jeton avec un priorit infrieure ou gale celle de sa trame. Le fonctionnement dun anneau jeton est assez compliqu quand on considre les cas dincidents et de mise en service : linitialisation, il faut crer un jeton ; la mise hors service dune station qui possde le jeton provoque la disparition de celui-ci. Une station appele moniteur, lue par ses paires, surveille la prsence des stations, rgnre le jeton en cas de perte, dtecte les messages ayant fait plus dun tour, assure la synchronisation bit, etc. Le moniteur fournit une mthode de correction de la contenance de lanneau, qui permet lanneau initial, quelle que soit sa taille, de contenir le jeton. Toutes les stations peuvent jouer le rle de moniteur, pour suppler le moniteur actif en cas de panne.
concentrateurs
La station E, hors-service, est mise en by-pass par le concentrateur 1. Le concentrateur 2 dtecte la rupture du cble avec C et reboucle lentre-sortie correspondante.
Cblage physique
Le dbit rel dun anneau de 4 Mbit/s est trs lgrement infrieur 4 Mbit/s. Il rsiste bien la charge et le dbit utile ne seffondre jamais comme cest possible avec 802.3. De plus, comme il est possible de borner le dlai daccs au mdium, il permet denvisager des dialogues entre machines sur lesquelles tournent des applications temps rel. Cependant la couche MAC est plus complique que pour 802.3 et faible charge le dlai daccs est non nul puisquil faut attendre le jeton avant dmettre (alors que laccs est immdiat en CSMA/CD sur un bus libre).
13
Logical Link Control, qui est bas sur les formats du protocole normalis HDLC. Trois types de LLC ont t dfinis : LLC1 est sans connexion et fournit un service de type datagramme sans aucun contrle, en point point, en multipoint ou en diffusion ; LLC2 assure un service avec connexion entre deux points daccs et possde les fonctionnalits compltes dune procdure telle que LAP-B, qui assure contrle de flux et contrle derreur ; LLC3, adapt au monde des rseaux industriels, rend un service sans connexion, mais avec acquittement. Il a lavantage de LLC1 pour la rapidit avec la garantie du bon acheminement grce lacquittement. LLC1 est le protocole le plus courant. LLC1 possde trois trames diffrentes : UI (Unnumbered Information), trame dinformation non numrote, correspondant la notion de datagramme ; XID (eXchange IDentifier), trame de contrle pour changer des identifications ; TEST.
ADDRESS DSAP 8 bits ADDRESS SSAP 8 bits CONTROL 8 bits INFORMATION
Interconnexion
Physiquement, deux rseaux ne peuvent tre relis que par lintermdiaire dune machine connecte chacun deux et qui sait acheminer des paquets dun rseau lautre. De telles machines sont appeles passerelles.
Rseau A
Rseau B
La passerelle doit accepter, sur le rseau A, les paquets destins aux machines du rseau B et transmettre les paquets correspondants. De faon analogue, elle doit accepter, sur le rseau B, les paquets destins aux machines du rseau A et transmettre les paquets correspondants.
Rseau A
Rseau B
Rseau C
14
dinformation gre par une passerelle devient alors proportionnelle au nombre de rseaux de linterconnexion et non au nombre de machines. Lutilisateur voit une interconnexion comme un rseau virtuel unique auquel les machines sont connectes. Les passerelles, pour acheminer des paquets entre des paires quelconques de rseaux peuvent tre obliges de leur faire traverser plusieurs rseaux intermdiaires. Les rseaux de linterconnexion doivent accepter que des donnes extrieures les traversent. Les utilisateurs ordinaires ignorent lexistence du trafic supplmentaire achemin par leur rseau local.
Rseau phy sique
(1)
(2)
Passerelle
Machines
Une interconnexion de rseaux vue par lutilisateur (1) : chaque machine semble tre raccorde un seul et immense rseau : le rseau virtuel unique. La structure relle (2) : des rseaux physiques interconnects par des passerelles
Rseaux interconnects
couches suprieures
couches suprieures
passe relle
15
couche MAC. Deux demi-ponts peuvent tre relis par une liaison grande distance. Les ponts ont progressivement volu vers des quipements plus sophistiqus, appels parfois ponts filtrants, ou brouter pour bridge-router en anglais, qui effectuent un filtrage des donnes et possdent des fonctions de scurit et de contrle du trafic particulires. Les ponts filtrants permettent, par exemple, de dtecter les chemins redondants entre deux rseaux locaux grce un change dinformations de gestion interne. Les ponts sont transparents aux protocoles des couches suprieures. Les ponts permettent galement de segmenter un rseau local en deux sous-rseaux pour amliorer les performances. Dans un rseau Ethernet par exemple qui approche de la saturation, on peut chercher les couples de machines qui ont un gros trafic entre elles et les isoler de chaque ct du pont. Le pont travaille alors par apprentissage : progressivement, il apprend situer les stations sur chacun des sous rseaux (au fur et mesure de leur activit). Ds quune trame se prsente sur le pont et quelle est destine au sous-rseau do elle vient, le pont la filtre : le deuxime sous-rseau ne la reoit pas.
A A B B C C D D E E F F
Les deux machines A et B changent normement de donnes entre elles ; D, C, E et F ont un traf ic quelconque rparti sur toutes les machines.
B pont
Les deux machines A et B changent normement de donnes entre elles ; leur traf ic ne pertube plus les autres machines grce au pont.
miniordinateur
dpartement C
16
devenir accessible tous de mme que les accs des rseaux externes (on met par exemple un routeur IP connect lInternet).
17
adresses associes. Lidentification du VLAN utilis est contenue dans un champ supplmentaire de la trame mise par la station.
Synthse
Dans le domaine des communications locales un btiment, un site, un campus (domaine priv), les solutions de communications sont nombreuses : rseau local informatique ou PABX. Lutilisation dun support unique partag entre plusieurs utilisateurs dans un rseau local ncessite la mise en uvre de protocoles spcifiques (accs alatoire avec dtection de porteuse ou mcanisme de jeton) ; par ailleurs, ces rseaux permettent la diffusion dinformation et doivent tre relis au monde extrieur par des passerelles (relais, ponts, routeurs, selon le niveau de linterconnexion).
Exercices
Exercice 1
Pourquoi la trame IEEE 802.3 (Ethernet) ne contient-elle pas de fanion de fin comme une trame type HDLC ? Pourquoi la trame IEEE 802.5 (Token Ring) ne contient-elle pas un long prambule comme la trame IEEE 802.3 ?
Exercice 2
Soit un rseau Ethernet en bus de 8 stations. La distance moyenne entre stations est de 15 mtres. La vitesse de propagation est de 250 m/s. Quelle est la dure de la priode de vulnrabilit ? Lors de la reprise de la surveillance du jeton par un nouveau moniteur, celui-ci met une trame AMP. La premire station situe en aval du moniteur rcupre cette trame et met la place une trame SMP qui sera traite par toutes les stations, afin que le moniteur puisse connatre la station qui le prcde sur l'anneau. Cette mthode permet-elle de dtecter la dfaillance d'une station intermdiaire ? Sinon, comment peut-on diagnostiquer la dfaillance d'une telle station ?
Exercice 3
Que se passe-t-il dans un rseau local en bus s'il n'y a pas de bouchon terminateur ?
18
Exercice 4
Dans un rseau local dont le dbit binaire est de 5 Mbit/s, les signaux se propagent la vitesse de 250 m/s. Un bit transmis est quivalent quelle longueur de cble ? Ceci a-t-il une influence sur le choix de la longueur des messages ?
Exercice 5
Une entreprise dispose dun rseau Ethernet. Un nouvel employ dans lentreprise est dot dun ordinateur ayant une carte Ethernet dadresse universelle 3E 98 4A 51 49 76 (en hexadcimal). A quel niveau cette adresse est-elle gre ? Est-il ncessaire de vrifier quaucun autre ordinateur ne dispose de la mme adresse dans le rseau local ?
Exercice 6
Dterminer le dbit utile maximal sur un rseau Ethernet. On rappelle que le dbit nominal est de 10 Mbit/s et que les trames contiennent un prambule de 8 octets, deux champs dadresse de 6 octets chacun, un champ longueur de 2 octets, des donnes dont la longueur est obligatoirement comprise entre 46 et 1500 octets et un bloc de contrle derreur de 4 octets. Par ailleurs, un intervalle de silence entre trames est obligatoire : sa dure est de 9,6 ms. Que pensez-vous du rsultat obtenu ? Pourquoi ne peut-on pas latteindre ? Quel est le degr du polynme gnrateur utilis pour le contrle derreur ?
Exercice 7
Soit un anneau jeton constitu de 4 stations A, B, C et D. A un instant donn, A met une trame MAC avec la priorit 3. C veut mettre une trame avec la priorit 4 et D veut mettre avec la priorit 5. Sachant que chaque station s'occupe de retirer de l'anneau la trame qu'elle a mise et qu'elle doit remplacer celleci par une trame comportant un jeton libre, indiquez comment vont oprer les stations pour rpondre aux besoins du trafic (la fin de l'opration demande correspond la circulation d'une trame avec un jeton libre la priorit initialement utilise par A).
Exercice 8
Un rseau local en bus de type 802.3 a un dbit de 10 Mbit/s et mesure 800 mtres. La vitesse de propagation des signaux est de 200 m/s. Les trames MAC contiennent 256 bits en tout et l'intervalle de temps qui suit immdiatement une transmission de donnes est rserv l'mission de l'accus de rception de 32 bits. a) Quel est le nombre de bits en transit sur le bus un instant dtermin ? b) Quel est le dbit efficace du rseau, en supposant qu'il y a 48 bits de service (champs MAC et LLC) dans chaque trame ?
Exercice 9
Un rseau local en anneau comprend 10 stations uniformment rparties. La vitesse de propagation des signaux est de 200 m/s. Les trames MAC ont une longueur totale de 256 bits. Calculez le nombre de bits en transit sur l'anneau pour les configurations suivantes : a) Pour une longueur de 10 km et un dbit binaire de 5 Mbit/s ? b) Pour une longueur de 1 km et un dbit binaire de 500 Mbit/s ? c) Comparez les deux anneaux du point de vue du nombre de trames en transit et du dbit utile, si la station mettrice attend le retour de sa propre trame pour rinjecter le jeton sur l'anneau.
Exercice 10
Quels sont les objets compars en haut des deux colonnes ? Justifiez votre rponse. ? ? Elments de comparaison Simplicit dinstallation et de Oui Non configuration Filtrage Sur les adresses physiques Sur les adresses IP
19
Trafic de service Protocoles traits Filtrage du trafic de diffusion Gestion de la scurit du rseau
Non sauf Spanning Tree Important Routing Information Algorithm Protocol Indpendant des protocoles Une version de logiciel par protocole trait Non Oui Non Oui
Quelques corrigs
Exercice 1
La trame Ethernet 802.3 ne contient pas de fanion de fin car elle est suivie dun signal obligatoire (intervalle inter-trames) et que sa longueur est code dans le champ longueur. [Dans le cas o le champ longueur est remplac par un champ type , il faut extraire la longueur du contenu lui-mme]. Dans Ethernet nimporte quelle station peut un moment donn prtendre prendre la parole. Pour une station qui reoit, lmetteur est inconnu et se situe une distance quelconque, il est variable dune transmission la suivante : il est ncessaire de se re-synchroniser sur chaque rception de trame. Dans Token Ring, une station reoit toujours de la part de son prdcesseur sur lanneau (point point), la synchronisation est beaucoup plus simple acqurir.
Exercice 3
Aucune transmission nest possible. Le bouchon a un rle lectrique, il doit avoir une impdance bien adapte de telle sorte que les signaux ne soient pas rflchis en arrivant aux extrmits du cble. La rflexion est source de bruit et perturbe toutes les transmissions.
Exercice 4
Si le dbit est de 5 Mbit/s, un bit occupe 1/5.106 = 0,2 s soit avec la vitesse de propagation de 250 m/s, une longueur quivalente 50 m de cble. Dans un rseau local dont la longueur est en gnral infrieure au kilomtre, cela suppose qu'il y a, un instant donn, 1000/50 = 20 bits. Cette longueur est donc trs petite : le message est la fois en cours de transmission et en cours de rception, il est inutile de prvoir des protocoles complexes avec anticipation.
Exercice 5
Ladresse MAC est ladresse physique de la carte Ethernet. Cest le numro de srie de cette carte, il est dfini par le constructeur de la carte. [Les constructeurs ont des prfixes uniques au monde (3 octets) et numrotent ensuite leurs cartes sur les 3 octets suivants : deux cartes ne peuvent jamais avoir le mme numro de srie.] Il est donc inutile de vrifier quaucun autre ordinateur ne possde la mme adresse (MAC) dans le rseau local.
Exercice 6
Le dbit utile maximal est obtenu de manire thorique si une station unique met en permanence (en respectant lespace inter-trames) des trames de longueur maximale. On obtient alors Longueur totale quivalente dune trame en octets = 8 (prambule) + 6 (adresse dest) +6 (adresse met) +2 (lg ou type) + 1500 (contenu utile) + 4 (BCE) + 12 (inter-trames) = 1528 octets Dbit utile = 10 * (1500 / 1528) = 9,82 Mbit/s Soit un rendement de 98,2%. Ceci est bien videmment un calcul thorique : il est impossible dattendre un tel rendement dans la pratique, ds lors quil y a plusieurs stations qui tentent dmettre. Il y aura des silences et des collisions lesquelles entraneront dventuels silences et/ou collisions supplmentaires. En pratique, on considre quun rendement de 50 60 % est une valeur limite. Si le trafic devait tre plus important, les performances seffondrent. De lintrt des commutateurs dans les rseaux locaux.
20
Introduction Internet
Internet est un rseau international constitu de linterconnexion de multiples rseaux permettant la mise en relation de plusieurs centaines de millions dordinateurs. Initialement destin la recherche, il sest considrablement dvelopp. Conu aux Etats-Unis, il repose sur des solutions pragmatiques : service rseau sans connexion non fiable (principe du datagramme) et fiabilisation du dialogue par les extrmits. Une application conviviale permettant la consultation distance de pages dinformations contenant du texte, des images et du son a t dveloppe sur Internet. Il sagit du WWW pour World Wide Web couramment appel Web. La grande force du Web est de permettre partir dune page de consulter dautres pages stockes sur des ordinateurs ventuellement trs loigns. La convivialit et lesthtique soigne du Web ont contribu sa popularit et par l mme la diffusion dInternet dans le grand public.
Historique
En 1969, fut cr aux tats-Unis le rseau Arpanet sous limpulsion du DARPA (Defense Advanced Research Projects Agency). Ce rseau avait un double objectif : permettre aux universits, aux militaires et certains centres de recherche dchanger des informations et dexprimenter les techniques de commutation par paquets. Il permettait notamment dtudier comment des communications pouvaient tre maintenues en cas dattaque nuclaire. Largement subventionns, le rseau et la recherche sur les protocoles se sont considrablement dvelopps. Devant le dploiement parallle dautres rseaux et des rseaux locaux dentreprise, il apparut intressant de pouvoir les relier entre eux, indpendamment de leurs technologies respectives pour offrir un service de rseau global. Deux protocoles furent alors dvelopps et prirent leur forme dfinitive dans les annes 77-79 : TCP, Transport Control Protocol, et IP, Internet Protocol . Ces protocoles furent implants sur le rseau Arpanet qui devint la base du rseau Internet au dbut des annes 80. La DARPA spara dArpanet le rseau militaire qui prit le nom de Milnet. Pour favoriser ladoption des nouveaux protocoles, la DARPA cra une socit charge de les dvelopper et subventionna luniversit de Berkeley pour quelle les intgre son systme dexploitation Unix, lui-mme distribu bas prix aux universits. TCP, IP et lensemble des protocoles et applications dvelopps autour deux touchrent ainsi rapidement 90% des universits amricaines, ce qui cra un effet dentranement sur lensemble de la communaut scientifique. Cet ensemble de protocoles est souvent baptis architecture TCP/IP ou modle TCP/IP.
21
architecture de protocoles en couches permet une indpendance vis--vis des technologies des rseaux quInternet utilise. Internet s'est dvelopp comme un rseau coopratif. Si une socit est relie Internet par deux liaisons diffrentes grce des routeurs, elle accepte quune partie du trafic Internet transite par son propre rseau et ses routeurs. Internet s'est dvelopp de faon trs rapide et non contrle.
Architecture matrielle
Internet est un rseau international ralisant linterconnexion de multiples rseaux. Certains de ces rseaux sont des rseaux locaux, dautres des rseaux fdrateurs (appels aussi pines dorsales ou backbone dautres encore de simples liaisons spcialises. En connectant un rseau local Internet, une entreprise y connecte de facto lensemble des ordinateurs du rseau pourvu quils soient munis des logiciels adquats. On conoit donc que la croissance du nombre dordinateurs connects Internet soit trs forte. Les rseaux fdrateurs sont dploys sur de grandes distances pour permettre les communications au sein dun pays. Aux tats-Unis, la NSF, National Science Foundation, a install le rseau NSFNET compos de 13 nuds de commutation relis par des liaisons 45 Mbit/s. En France, le rseau RENATER (REseau NAtional pour la Technologie, lEnseignement et la Recherche) peut tre utilis comme rseau fdrateur. Les diffrents rseaux sont connects entre eux par des routeurs.
v ers Europe
Diffrents acteurs
Initialement dvelopp par des centres de recherches, Internet se dveloppe maintenant sous l'impulsion d'oprateurs privs. Les oprateurs dploient des rseaux dorsaux mondiaux constitus de routeurs IP interconnects par des liaisons numriques. Ces liaisons ne sont pas ncessairement installes par l'oprateur Internet mais peuvent tre loues des oprateurs de tlcommunications. Les rseaux des diffrents oprateurs sont relis entre eux en de multiples points. Afin de minimiser les changes de trafic, les oprateurs signent entre eux des accords de peering qui consiste ne laisser passer travers les rseaux que le trafic propre chacun d'eux de la faon la plus efficace. Considrons deux rseaux, A et B, proches l'un de l'autre et relis entre eux. Plutt que de laisser le trafic chang entre A et B passer par de multiples routeurs et des rseaux tiers, A et B installent un routeur appel routeur crois : tous les datagrammes IP mis par A et destins B sont routs vers le rseau B et rciproquement. Si A et B sont deux oprateurs Internet franais, cela permet d'viter par exemple que les datagrammes mis par une machine IP franaise de A destination de B ne transitent par les EtatsUnis. La qualit de service du rseau s'en trouve amliore. Les grandes entreprises sont gnralement relies directement au rseau Internet. Par exemple, un routeur IP situ dans l'entreprise sur son rsau local est reli un routeur IP d'un oprateur Internet gnralement par une liaison spcialise permanente numrique. Suivant la quantit dinformation couler, le dbit de cette liaison peut tre plus ou moins lev. Le cot de location d'une telle liaison est prohibitif pour les particuliers ou les petites entreprises. Ils se connectent gnralement Internet par lintermdiaire du rseau tlphonique. Un certain nombre dorganismes, appels fournisseurs d'accs Internet ou IAP (Internet Access Provider), disposent
22
dordinateurs relis dune part Internet et dautre part au rseau tlphonique grce des modems ou une liaison ADSL. Il suffit de disposer dun micro-ordinateur, dun modem et de souscrire un abonnement auprs de ces prestataires pour avoir un accs Internet. Notons que le fournisseur d'accs peut tre un cblo-oprateur (ou un partenaire d'un cblo-oprateur) ; il utilise alors le rseau cbl de distribution de tlvision pour la transmission entre ses routeurs et l'quipement du particulier. Lorsque le fournisseur d'accs proposent ses abonns des services additionnels comme par exemple un annuaire, le dveloppement de pages Web, on parle de fournisseur de services Internet ou ISP (Internet Service Provider). Un oprateur Internet peut, bien videmment, tre aussi IAP et ISP.
Architecture en couches
Larchitecture globale dInternet comporte quatre couches. Celle-ci est diffrente de la normalisation mais se base sur la mme philosophie globale : dcoupage en diffrents niveaux de dtail, chacun assurant un service spcifique indpendamment des autres, principe dencapsulation. Le niveau le plus haut comprend les applications. Il correspond globalement lensemble des couches hautes du modle OSI. Le niveau le plus bas comprend les oprations effectuer pour sadapter aux rseaux physiques utiliss. Il correspond donc aux protocoles des couches basses : 1 et 2 pour un rseau local ou une liaison spcialise, 1, 2 et 3 pour un rseau grande distance. Lensemble des oprations effectues par les rseaux traverss nest pas pris en compte dans le modle. Le protocole IP a pour rle principal le routage ou lacheminement des donnes travers linterconnexion. TCP et UDP sont des protocoles de transport, ils se situent au niveau intermdiaire entre IP et les applications. Ils ont pour objectif doffrir aux applications la qualit de service dont elles ont besoin.
Application Application Prsentation Session Transport Transport non f iable (TCP) f iable (UDP) Interconnexion (IP) Interf ace av ec le rseau Rseau Rseau phy sique Architecture TCP/IP Liaison de donnes Phy sique Modle OSI 3 2 1 Transport 7 6 5 4
Adresse IP
Chaque quipement sur le rseau est repr par une adresse, appele adresse IP, code sur 32 bits avec deux champs principaux prcisant une identit de rseau et une identit de machine. Plusieurs classes dadresses sont dfinies suivant la longueur des champs didentit. Un rseau comportant beaucoup de machines dispose dune adresse avec un court champ didentit de rseau mais un long champ didentit de machines. En revanche, dans un petit rseau local, lidentit de machine sera code sur peu dlments binaires. La classe dadresse et lidentifiant de rseau sont attribus par lI.C.A.N.N., qui gre le plan dadressage Internet et garantit lunicit des identifiants de rseau au niveau international. Lidentifiant de machine dans le rseau est dtermin de faon autonome par ladministrateur responsable de ce rseau. Lidentit de machine dans le rseau est dtermine de faon autonome par ladministrateur du rseau. Cette sparation en deux identits permet de rduire la taille des tables de routage car un datagramme est dabord aiguill vers le rseau destinataire, puis vers lordinateur concern. Il est possible de diffuser des messages au sein dun rseau en positionnant 1 les bits du champ de numro de machine. De plus, un format spcifique permet de dfinir des adresses de diffusion de groupe (multicast).
23
Protocole IP
Le protocole IP assure un service non fiable sans connexion de remise des donnes. Il comprend la dfinition du plan dadressage, la structure des informations transfres (le datagramme IP) et les rgles de routage. Lenvoi de messages derreur est prvu en cas de destruction de datagrammes, de problmes dacheminement ou de remise. Les datagrammes sont constitus dun en-tte et dun champ de donnes ; ils sont indpendants les uns des autres et sont achemins travers lInternet, en fonction des adresses IP publiques (origine et destination) que contient len-tte. Les diffrents routeurs assurent le choix dun chemin travers les rseaux ; ils fragmentent, si ncessaire, les datagrammes lorsquun rseau travers naccepte que des messages de plus petite taille. Une fois le datagramme morcel, les fragments sont achemins comme autant de datagrammes indpendants jusqu leur destination finale o ils doivent tre rassembls. Lentte de ces diffrents fragments contient alors les indications ncessaires pour reconstituer le datagramme initial. Pour trouver un chemin jusquau destinataire, les routeurs schangent, dans des messages spciaux, des informations de routage concernant ltat des diffrents rseaux. Ces informations sont vhicules par IP dans le champ de donnes dun datagramme. Elles sont rgulirement mises jour dans les tables de routage et indiquent, pour chaque identifiant de rseau, si les machines situes dans le rseau sont accessibles directement ou non. Le routage est direct si les machines appartiennent au mme rseau, sinon il est indirect. Lorsque le routage est indirect, le routeur metteur envoie le datagramme au routeur le plus proche ; la coopration des deux routeurs permet de bien acheminer le datagramme. Des protocoles comme GGP (Gateway to Gateway Protocol), EGP (Exterior Gateway Protocol), RIP (Routing Information Protocol), OSPF (Open Shortest Path Protocol) sont utiliss entre les diffrents types de routeurs pour changer et effectuer la mise jour des informations de routage.
Protocoles de transport
Les protocoles de transport TCP et UDP sont implants exclusivement dans les ordinateurs connects (ils ne sont pas installs dans les quipements intermdiaires des rseaux). Ils contrlent lacheminement des donnes de bout en bout, cest--dire depuis la station dorigine jusqu la station de destination. Ils offrent galement leurs services de nombreuses applications. Pour distinguer ces dernires, les protocoles de transport utilisent la notion de port et de socket. Toute machine est identifie par son adresse IP et chaque application est reconnue par un numro de port unique. Le numro de port est un identifiant attribu par le systme dexploitation de la machine au moment du lancement de lapplication. Le couple adresse IP, numro de port sur la machine considre sappelle le socket. La communication entre deux applications excutes sur des machines distantes est identifie de manire unique par les deux sockets adresse IP source, numro de port source, adresse IP destination, numro de port destination . Les applications les plus courantes utilisent un numro de port connu de toutes les machines. Par exemple, un serveur web utilise le port 80, un serveur FTP (File Transfer Protocol) les ports 21 et 22. Le protocole TCP fonctionne en mode connect ; il est utilis pour les changes de donnes qui ncessitent une grande fiabilit. Pour les autres changes, le protocole UDP, fonctionnant sans connexion, suffit. UDP assure un change de donnes entre les processus communicants, sans contrle supplmentaire par rapport IP ; il ne fait que grer localement les sockets. Le protocole TCP offre de nombreux services supplmentaires : il dtecte les datagrammes dupliqus et les dtruit ; il rcupre les datagrammes perdus et les remet dans lordre dmission, grce aux acquittements fournis par le rcepteur. TCP possde en outre des fonctions de contrle de flux pour rguler lchange des donnes entre les ordinateurs qui dialoguent. Les dlais dattente dacquittement de bout en bout sont calculs de manire dynamique, en fonction des statistiques de charge du rseau acquises par les machines. Par ailleurs, TCP gre un flot de donnes urgentes, non soumis au contrle de flux.
Applications
Dans larchitecture TCP/IP, un grand nombre dapplications simples ont t initialement dveloppes sous le systme dexploitation Unix. Elles permettaient de grer des ressources distantes (imprimantes, disques durs etc.), comme si elles taient situes dans la machine de lutilisateur. De nos jours, tous les systmes dordinateurs font de mme. Lapplication la plus populaire est le web. Son fonctionnement
24
sera trait plus loin. Quelle que soit l'application utilise, la netiquette dfinit un ensemble de rgles de bonne conduite des utilisateurs du rseau Internet. Dans toutes les applications, les machines sont connues le plus souvent par leur nom symbolique, qui se rfre lorganisation que lon cherche contacter. La connaissance du nom symbolique est suffisante pour permettre la communication avec la machine souhaite. Le nom symbolique dsigne une machine sous la forme dune chane de caractres alphanumriques, dont la structure hirarchise reflte lespace dadressage. Celui-ci est divis en domaines, eux-mmes subdiviss en sous-domaines, selon une structure arborescente dans laquelle le nom le plus droite dsigne le domaine le plus vaste. Par exemple, le nom symbolique www.linux.org signifie que la machine atteindre est un serveur web qui se trouve dans le sous-domaine linux du domaine org, lequel regroupe des organisations non commerciales. Pour assurer la correspondance entre le nom symbolique et ladresse IP de la machine, on fait appel un ou plusieurs serveurs de noms (les DNS, Domain Name Servers) qui font office dannuaires. Utilis dabord dans les entreprises, puis chez les particuliers, la messagerie lectronique (encore appele e-mail -pour electronic mail-, mail, courriel,) joue un rle essentiel dans les demandes de raccordement Internet. Cest une application qui fonctionne en mode non connect : le courrier est dpos et stock dans une bote aux lettres que le destinataire viendra consulter loisir depuis nimporte quelle machine. Ce service est fourni par SMTP (Simple Mail Transfer Protocol) et utilise les services de TCP. Un message lectronique possde un en-tte -contenant ladresse dun ou plusieurs destinataires, des destinataires de copies et un sujet de message- et un corps de message. Il est possible dannexer des documents (les documents attachs), transmis au destinataire en mme temps que le message, mais en dehors du corps de celui-ci. Une messagerie instantane (chat) permet des individus connects au rseau de discuter directement par des changes de textes trs courts, crits dans un jargon base dabrviations et de symboles graphiques. Les news sont des forums de discussion ayant une dure de vie dtermine, portant sur des sujets prcis. Chaque utilisateur sinscrit aux forums qui lintressent pour participer aux discussions. Les questions poses sont places dans une bote aux lettres consultable par tous les participants et chacun peut y rpondre. Un forum constitue souvent une mine dinformations pratiques et pertinentes. Les questions les plus frquemment poses sont regroupes sous la rubrique F.A.Q. (Frequently Asked Questions, ou foire aux questions). Elles sont associes leurs rponses pour que lon puisse retrouver rapidement les informations cherches. Dans certains forums, un modrateur valide les informations avant de les publier. Le transfert de fichiers est assur trs souvent par FTP et utilise les services de TCP. Lutilisateur est alors un client sadressant un serveur de fichiers. Des milliers de serveurs sont connects sur Internet et proposent toutes sortes de logiciels au public ; les logiciels prix modiques sont appels des shareware, les logiciels gratuits sont des freeware. FTP ncessite une connexion avec identification et authentification de lutilisateur par login et mot de passe. Un compte personnel sur un serveur permet dy dposer des fichiers (des pages web, par exemple). En pratique, tous les serveurs offrent un accs dit anonyme. Dans ce cas, le login de lutilisateur est anonymous. La netiquette recommande que lon mette son adresse lectronique comme mot de passe. Les fichiers tlchargs depuis un serveur sont trs souvent compresss, pour limiter lespace de stockage ncessaire sur le serveur et les temps de transfert vers lutilisateur. Ce dernier doit donc disposer des utilitaires adapts pour effectuer la dcompression des fichiers imports sur sa machine. Parmi les services de connexion distance, Telnet permet tout ordinateur de se comporter, sur nimporte quel ordinateur du rseau dot de cette application, comme une simple unit clavier-cran. Lutilisateur se connecte alors par TCP. Telnet est un protocole gnral qui dfinit un terminal virtuel, indpendant du type de machine et de son systme dexploitation. Actuellement SSH (Secure SHell), une version scurise de cette application, lui est souvent prfre car elle vrifie lidentit des correspondants et crypte les donnes transmises sur le rseau. Les logiciels d'changes Peer-to-Peer (ou P2P), populariss durant les annes 1990, proposent une alternative au modle client/serveur. Les donnes changes sont rparties dans les machines de tous les participants. Chacun peut tlcharger des fichiers partir de n'importe quelle machine connecte au rseau et proposer ses propres fichiers aux autres. Ce mode de communication est l'un des modes de diffusion les plus rapides : il peut ainsi propager les nouveaux virus un trs grand nombre de machines
25
en un trs court laps de temps ! Les changes de ce type sont associs dans lesprit du public au piratage de logiciels, de fichiers musicaux ou de films.
Prsentation du web
Le web sappuie sur un langage de description, le html (HyperText Markup Language), qui permet dafficher sur lcran de lutilisateur des documents mis en forme partir de commandes simples. Html utilise la notion dhypertexte, cest--dire que les documents sont parcourus dans lordre choisi par lutilisateur laide de sa souris. Dans un hypertexte, chaque document appel page web ou encore page html est un fichier repr par son URL (Uniform Resource Locator), un lien spcifique improprement dnomm adresse http (HyperText Transfer Protocol). lintrieur dun document, des objets particuliers contiennent des liens vers dautres documents que lutilisateur peut activer comme il le souhaite. Le clic sur un lien provoque le chargement du document associ dans la machine de lutilisateur. Les liens sont affichs de faon spciale : par exemple, si lobjet est un texte, les mots sont souvent souligns et de couleur bleue. Aux abords de la zone o se situe le lien, lutilisateur constate un changement de forme du curseur de sa souris, attirant ainsi son attention. Considrons lURL http://www.linux.org/news/2005/index.htm qui reprsente le lien vers un fichier de la machine linux vue plus haut. http dsigne le nom du protocole de transfert des donnes ; www.linux.org est le nom symbolique de la machine contacte, news est un rpertoire de ce site, 2005 un sous-rpertoire du rpertoire news. Enfin, index.htm est le nom du fichier crit en langage html. Autrement dit, le fichier recherch est situ dans le sous-rpertoire 2005 du rpertoire news de la machine www.linux.org. Une URL peut contenir des informations complmentaires comme des mots de passe ou des numros de port, lorsque les serveurs utilisent des techniques didentification des clients ou des numros de ports particuliers. Les pages web contiennent aussi bien du texte que des images, des sons ou des fichiers vido ; le web est donc un outil multimdia. Un lien peut pointer vers des pages stockes sur dautres ordinateurs. Le passage dune page stocke sur un ordinateur aux tats-Unis une autre situe en Australie peut se faire rapidement. Lutilisateur surfe sur le rseau et voyage virtuellement travers le monde. Les logiciels daccs au web, baptiss navigateurs (Netscape, Internet Explorer, Mozilla,), intgrent aujourdhui dautres applications comme la messagerie lectronique ou le transfert de fichiers. Un serveur web (on parle galement de site web) est une machine capable denvoyer simultanment plusieurs pages html aux utilisateurs connects. Certaines pages web sont cres spcialement en rponse la requte dun utilisateur (ou d'un client) ; elles possdent alors une forme et un contenu variables, adapts ses besoins. Le serveur filtre les utilisateurs qui se connectent et conserve une trace de toutes les connexions. Les cookies sont des informations engendres par le serveur ds quun client visite le site. Ils sont stocks sur les machines des utilisateurs, leur insu, et sont exploits par le serveur lors des connexions suivantes des clients. Certains sites marchands vont jusqu conserver un profil de chaque client en reprant ses habitudes de navigation et dachats. Les moteurs de recherches (Google, Yahoo!, Voila, AltaVista,) sont des serveurs spcialiss dans la recherche dinformations partir de mots-cls. Des banques de donnes textuelles sont alimentes en permanence par des programmes automatiques dindexation qui regroupent par thmes les informations recueillies. Un blogue (en anglais blog, contraction de weblog), est un site web personnel, volutif et non conformiste, prsentant des rflexions de toutes sortes, gnralement sous forme de courts messages. Le blogue est mis jour par son auteur, qui tient compte des commentaires de ses lecteurs. la diffrence dun blogue, qui exprime la pense d'un individu, le wiki est un site web collaboratif matrialisant les ides d'un groupe qui partage une philosophie ou des intrts communs.
Standardisation
LInternet doit aussi son succs aux organisations ractives qui pilotent le dveloppement, lvolution du rseau, en dfinissent les axes de dveloppement et ragissent rapidement aux problmes : LInternet Society, cre en 1992, a pour but de dvelopper lusage de lInternet dans le monde. Elle ne traite pas des aspects techniques, mais organise des sminaires pour favoriser lchange dexprience.
26
LIAB (Internet Activities Board ) est constitu dun petit groupe dexperts qui conseille techniquement lInternet Society et qui a rflchi sur les volutions long terme de lInternet. LIESG (Internet Enginiering Steering Group) pilote le dveloppement des standards de lInternet. Il gre les travaux effectus par lIETF (Internet Engeniering Task Force : Force de Travail pour lIngnierie de lInternet) qui publie des documents appeles RFC (Request For Comments) dfinissant les protocoles employs dans lInternet. Une grande partie des informations relatives Internet se trouve dans ces RFC, lesquels sont des textes plutt informels et peu structurs, retraant les diffrents dbats qui ont permis daboutir tel ou tel choix ou telle ou telle dfinition. Plus de 2000 documents sont aujourdhui rpertoris et certains en rendent dautres obsoltes. LIAB publie donc rgulirement la liste des RFC jour : liste officielle des protocoles standardiss par lIAB. Les protocoles standardiss par lIAB ont un tat qui volue au cours du temps et dfinit leurs niveaux dagrment : exprimental, proposition de standard, projet de standard, et enfin standard. RFC 768 RFC 791 RFC 792 RFC 793 RFC 821 RFC 854 RFC 959 RFC 1034/35 UDP IP ICMP TCP SMTP TELNE FTP DNS T RFC 783 RFC 1058 TFTP RIP RFC 1171 PPP
Synthse
Grce Internet, le modle darchitecture TCP/IP, conu selon les mmes principes que lOSI, sest rpandu et a t adopt dans la plupart des rseaux dentreprise. Ce modle permet une interconnexion de rseaux htrognes avec un service minimal : le service de remise non fiable de datagramme en mode sans connexion. Ce service est apport par le protocole IP implant sur tous les quipements terminaux et dans tous les routeurs de linterconnexion. TCP est un protocole de transport utilis pour fiabiliser les changes chaque fois que cela est ncessaire. De nombreuses applications ont t dveloppes au dessus de TCP et IP. Parmi elles, le courrier lectronique et le Web ont provoqu une croissance explosive du nombre de connexions et du trafic sur le rseau Internet.
27
Le protocole IP
Le protocole IP (Internet Protocol) assure un service de remise non fiable sans connexion. Il comprend la dfinition du plan dadressage, de la structure de lunit de donnes transfre appel datagramme IP et des rgles de routage. Enfin, il inclut un protocole ICMP de gnration de messages derreur en cas de destruction de datagrammes ou de problmes dacheminement ou de remise.
0 Classe A
16
24 ID. MACHINE
31
0 ID. RSEAU
Classe B Classe C
1 0 1 1 0
Classe D Classe E
1 1 1 0 1 1 1 1 0 ID = identit
28
0 Cette machine 0 0 0 0 Toutes les machines de ce rseau 1 1 1 1 Une machine sur 0 0 0 0 ce rseau toutes les machines du rseau distant Test en boucle f erm 0 0 0
31 0 0 0
1 1 1 ID. MACHINE
1 1 1 1
1 1 1
Squence quelconque
Adresses IP particulires
Pnurie dadresses
Le formidable succs dInternet a men lpuisement des adresses de classes A et B et lexplosion des tables de routage des routeurs situs dans les rseaux de transit. Si beaucoup d'organisations possdent plus de 254 ordinateurs, peu en possdent quelques milliers (or une adresse de classe B permet didentifier jusqu 65 534 machines). cause de la pnurie dadresses, il est devenu impossible dattribuer chaque rseau de plus de 254 machines une adresse de classe B. Dsormais lICANN attribue plusieurs adresses de classe C contigus, pour ajuster le nombre dadresses IP alloues aux besoins du rseau connecter. Si l'allocation de plusieurs adresses de classe C freine la consommation de l'espace d'adressage disponible, elle augmente dautant la taille des tables de routage. La mise jour rgulire des tables de routage devient une tche irralisable quand celles-ci contiennent des milliers dentres mmorisant les routes vers des milliers de rseaux diffrents. Il faut donc procder une allocation intelligente des adresses, afin de les grouper par blocs de numros, par continents, par rgions Cela aboutit la notion d'agrgation de routes. Les autorits continentales dlguent une partie de leurs plages d'adresses des autorits de niveau infrieur. Par exemple, l'association RIPE (Rseaux IP europens) confie une partie de son espace d'adressage des autorits nationales (l'INRIA -Institut national pour la recherche en informatique et en automatique- pour la France). Si le plan de rpartition des adresses est bien respect, tous les rseaux grs par RIPE sont reprsents par une seule entre dans les tables des autres continents. Dautres solutions sont utilises pour conomiser les adresses IP : lutilisation dadresses prives et la distribution dynamique des adresses.
soit en binaire 11111111 11111111 11111111 11100000 Dans loctet rserv au champ identificateur de machine, il y a donc trois bits utiliss pour identifier des sous-rseaux interconnects par des routeurs. Sur le sous-rseau 1, ladresse du sous-rseau est 193.27.45.32, ladresse 193.27.45.33 peut tre celle du routeur, ct sous-rseau 1; ladresse 193.27.45.63 est ladresse de diffusion dans le sous-rseau, il reste donc 29 adresses disponibles sur les 32 possibles pour les stations du sousrseau 1. De la mme faon dans le sous-rseau 2, ladresse de sous-rseau est 193.27.45.64, ladresse 193.27.45.65 est celle du routeur B, ct sous-rseau 2; ladresse 193.27.45.95 est ladresse de diffusion dans le sous-rseau, il reste de mme 29 adresses disponibles sur les 32 possibles pour les stations du sous-rseau 2.
Bilan : sans notion de sous-rseau, on peut mettre 254 stations sur un rseau de classe C, avec 6 sousrseaux physiques comme dans cet exemple, on ne peut en mettre que 174, mais on dispose dune identification plus fine et dune possibilit de diffusion limite chaque sous-rseau. Ladministrateur local choisit le nombre de bits consacrer lidentifiant de sous-rseau grce au masque de sous-rseau. Celui-ci, galement cod sur 32 bits, dfinit le dcoupage de lidentifiant machine en deux champs (sous-rseau et machine). Dans un rseau subdivis, chaque machine connat son adresse IP et le masque, ce qui lui permet de savoir dans quel sous-rseau elle se trouve. Il suffit de faire laddition entre ladresse IP de la machine et le masque : 193.27.45.33 = 11000001 00011011 00101101 00100001 255.255.255.224 = 11111111 11111111 11111111 1110000 addition (ou exclusif) 11000001 00011011 00101101 00100001 11111111 11111111 11111111 11100000 11000001 00011011 00101101 00100000 rsultat = 193.27.45.32 ladresse du sous-rseau auquel appartient la machine 193.27.45.33
Adresses physiques
les adresses Ethernet s'crivent sur 6 octets (48 bits) en notation hxadcimale, souvent crits spars par le caractre ':' (sous Linux) et '-' sous Windows : les 3 premiers octets correspondent un code constructeur (3Com, Sun, ...) ; les 3 derniers octets sont attribus par le constructeur.
30
Ainsi, une adresse Ethernet est suppose tre unique. Sous Unix, la commande ifconfig rvle l'adresse Ethernet associe une carte : Sous Linux /sbin/ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:90:27:6A:58:74 inet addr:192.168.1.3 Bcast:192.168.1.255 Mask:255.255.255.0 Sous Windows ipconfig /all Description . . . . . . . . : Adresse physique. . . . . . : 52-54-05-FD-DE-E5 Signalons enfin que FF:FF:FF:FF:FF:FF correspond l'adresse de diffusion (broadcast) qui permet d'envoyer un message toutes les machines, et que 00:00:00:00:00:00 est rserve.
Le protocole ARP
Le protocole ARP (Address Resolution Protocol RFC 826) fournit une correspondance dynamique entre adresses physiques et adresses logiques (adresses respectivement de niveau 2 et 3) : l'metteur connat l'adresse logique du destinataire et cherche obtenir son adresse physique. La requte/rponse ARP contient : l'adresse physique de l'metteur. Dans le cas d'une rponse ARP, ce champ rvle l'adresse recherche. l'adresse logique de l'metteur (l'adresse IP de l'metteur). l'adresse physique du rcepteur. Dans le cas d'une requte ARP, ce champ est vide. l'adresse logique du rcepteur (l'adresse IP du rcepteu)r. Le message ARP est transport dans une trame Ethernet. Lors d'une demande ARP, l'adresse de destination est l'adresse de diffusion FF:FF:FF:FF:FF:FF de sorte que tout le rseau local reoit la demande. En revanche, seul l'quipement possdant l'adresse IP prcise dans la requte rpond en fournissant son adresse physique. Un mcanisme de cache permet de conserver les informations ainsi acquises : chaque systme dispose d'une table qui sauvegarde les correspondances (adresse MAC, adresse IP). Ainsi, une requte ARP est mise uniquement si le destinataire n'est pas prsent dans la table. La commande arp -a affiche le contenu de la table, aussi bien sous Windows que sous Unix :
sous Linux arp -a poste1(192.168.1.2) at 02:54:05:F4:DE:E5 [ether] on eth0 poste2(192.168.1.1) at 02:54:05:F4:62:30 [ether] on eth0
classe A
Information 10.x.y.z, o 0 <= x <= 255 0 <= y <= 255 et 0 <= z <= 255
31
B C
172.x.y.z, o 16 <= x <= 31 0 <= y <= 255 et 0 <= z <= 255 192.168.x.y, o 0 <= x <= 255 et 0 <= y <= 255
Le NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. Le NAT statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne Le NAT dynamique partage une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP Les avantages des adresses IP prives sont donc la garantie dune scurit accrue et la rsolution du manque dadresses IP. Les inconvnients sont le travail supplmentaire lors de la configuration du rseau et la renumrotation envisager lors de la fusion dentreprises qui utiliseraient les mmes adresses IP prives. Pour assurer la distribution dynamique des adresses, le protocole DHCP (Dynamic Host Configuration Protocol) fournit automatiquement un ordinateur qui vient dtre install dans le rseau de lentreprise ses paramtres de configuration rseau (adresse IP et masque de sous-rseau). Cette technique simplifie la tche de ladministrateur dun grand rseau, en vitant par exemple les doublons dadresses. Un autre avantage de cette solution est que lentreprise dispose dune plage dadresses IP utilisables sur le rseau plus faible que son parc de machines. Les adresses IP utilisables sont alors temporairement affectes aux seules machines connectes Internet.
Format du datagramme IP
Le format dun datagramme IP comprend un en-tte et des donnes. Len-tte contient principalement les adresses IP de la source et du destinataire, et un champ identifiant la nature des donnes transportes.
32
donnes
IHL, Intenet Header Length indique la longueur de len-tte en mots de 32 bits. La longueur totale est la longueur du datagramme en octets, en-tte compris. Lidentification est un numro permettant didentifier de manire unique les fragments dun mme datagramme. DF, Dont Fragment, interdit la fragmentation du datagramme (toute machine doit accepter les fragments de 476 octets ou moins). MF, More Fragments, est mis 1 pour tous les fragments dun mme datagramme initial sauf pour le dernier fragment. Le numro de fragment permet de reconstituer, dans lordre, le datagramme initial partir de lensemble des fragments. TTL, Time To Live, indique le nombre de secondes qui restent vivre au datagramme. Ce champ est modifi par les routeurs IP au cours de la traverse du rseau par le datagramme. Le champ protocole indique le protocole de la couche suprieur (UDP, TCP,). La redondance de contrle permet de dtecter les erreurs ventuels sur len-tte.
Protocole ICMP
Internet est un rseau dcentralis. Il ny a pas de superviseur global du rseau. Chaque routeur fonctionne de manire autonome. Des anomalies, dues des pannes dquipement ou une surcharge temporaire, peuvent intervenir. Afin de ragir correctement ces dfaillances, le protocole de diagnostic ICMP, Internet Control Message Protocol, a t dvelopp. Chaque quipement surveille son environnement et change des messages de contrle lorsque cest ncessaire. Ces messages sont transports par IP dans la partie donnes des datagrammes. Pour contrler le trafic dans le rseau, un champ, dans len-tte du datagramme, indique, en secondes, la dure maximale de transit dans linterconnexion. Chaque routeur qui traite le datagramme dcrmente sa
33
dure de vie. Le datagramme est dtruit lorsque sa dure de vie vaut zro, on envoie alors un message derreur lmetteur du datagramme. Ce message derreur est un exemple typique du protocole ICMP.
34
Synthse Exercices
Exercice 1
Ladresse de ma machine est 193.48.200.49. Puis-je en dduire si le rseau est de classe A, B ou C ?
Exercice 2
Considrons deux machines, 1 et 2, relies un mme rseau local. Chaque machine a une adresse IP, respectivement IP1 et IP2, et une adresse MAC, respectivement PH1 et PH2. Comment la machine 1 dsirant envoyer un datagramme vers la machine 2 dont elle ne connat que l'adresse IP2, peut-elle mettre en correspondance l'adresse IP2 avec l'adresse physique PH2 ? Et si la machine 2 est sur un autre rseau local distance, comment le datagramme est-il transmis dans le rseau local de la machine 1 : quelles adresses porte la trame qui le transporte, do viennent-elles ?
Exercice 3
Soit une entreprise disposant dun rseau Ethernet reli Internet. Lentreprise dispose dune adresse IP de classe B, dune identit rseau gale 29 C2 (crite en hexadcimal). Sur le rseau il y a dj deux cents ordinateurs dont ladresse IP a t choisie dans lordre croissant en commenant par 1. Vous branchez un nouvel ordinateur disposant dune carte Ethernet dadresse universelle 3E 98 4A 51 49 76. Proposer une adresse IP pour lordinateur et lcrire sous forme dcimale hirarchique. Lordinateur est dplac vers un autre rseau Ethernet de la mme entreprise, ce rseau tant galement branch sur Internet. Est-il ncessaire de changer ladresse de la carte Ethernet ? Est-il ncessaire de changer ladresse IP de lordinateur ?
Exercice 4
Etablir un tableau comparatif entre les quipements d'interconnexion (rpteur, pont et routeur) en abordant les aspects suivants : niveau d'interconnexion, filtrage d'adresses, filtrage des collisions, filtrage du trafic de diffusion, gnration de trafic de gestion, dpendance vis--vis des protocoles de communication, volutivit, performances, impact sur la scurit du rseau, reconfiguration, cot, temps de traitement interne, simplicit d'installation et de maintenance...
Exercice 5
Deux entreprises A et B sont quipes l'une d'un rseau local de type Ethernet, l'autre d'un rseau local de type Token Ring. a) Proposer des solutions d'interconnexion pour que chaque station de l'entreprise A puisse dialoguer avec toutes les stations de l'entreprise B. b) A quoi pourraient tre dus le goulet d'tranglement et la dgradation ventuelle des dbits utiles au niveau de chaque station du rseau A ?
Exercice 6
Un site local est compos de deux sous-rseaux physiques, relis par l'intermdiaire d'une mme passerelle au reste du monde. Ce site possde une adresse IP de classe B. Proposez un mode d'adressage des diffrentes stations sur le site pour que la passerelle n'ait pas diffuser systmatiquement tous les messages reus du reste du monde sur chacun des deux sous-rseaux.
Exercice 7
Un datagramme IP peut tre segment en plusieurs fragments. a) De quelles informations dispose-t-on pour savoir qu'un datagramme contient un fragment ? b) Comment reconstitue-t-on un datagramme l'arrive ?
35
c) Une passerelle peut-elle confondre deux fragments qui ont les mmes lments suivants : source, destination et numro de fragment ?
Exercice 8
Deux socits S1 et S2 situes 100 km lune de lautre fusionnent et dsirent mettre en commun leurs moyens informatiques. La socit S1 possde un rseau Ethernet E1 et les transferts de donnes utilisent TCP/IP, avec une adresse IP de classe C. La socit S2 possde un rseau: Ethernet E2 sous TCP/IP, avec une adresse IP de classe B. Que faut-il faire pour que tous les utilisateurs de E1 puissent accder aux machines du rseau de E2 et vice-versa ? Quelle est la structure de lquipement dinterconnexion pour passer de E1 E2 ? Quels sont les problmes potentiels dus linterconnexion ?
Exercice 9
Dans un rseau local Ethernet 100 Mbit/s, on dispose de 50 machines dutilisateurs rparties en 5 groupes de 10 et de serveurs : un serveur spcifique dans chaque groupe et 2 serveurs communs lensemble des utilisateurs. Dans chacun des 5 groupes, les machines des utilisateurs sont relies un concentrateur 12 ports. Lentreprise possde ladresse IP 193.22.172.0, peut-on rpartir les adresses en faisant apparatre les 5 groupes ? Si oui, comment ? Proposez un plan dadressage.
Exercice 10
Vous avez lanc une commande traceroute (tracert sous Windows). Cette commande permet de connatre le chemin suivi par un datagramme entre votre machine et une machine destination quelconque. Vous avez obtenu le rsultat suivant : 1 193.51.91.1 1ms 1ms 1ms 2 2.0.0.1 23ms 23ms 23ms 3 11.6.1.1 105ms 35ms 35ms 4 11.6.13.1 37ms 35ms 34ms 5 189.52.80.1 37ms 60ms 36ms 6 193.48.58.41 51ms 39ms 46ms 7 193.48.53.49 39ms 47ms 44ms 8 193.220.180.9 44ms * * 9 195.48.58.43 48ms 38ms 44ms 10 195.48.58.50 145ms 170ms 64ms 11 194.206.207.18 61ms 146ms 44ms 12 194.207.206.5 166ms 261ms 189ms Pourquoi le dlai est-il (infrieur ) 1 milliseconde pour la premire ligne ? Que peuvent signifier les toiles ? Comment expliquez-vous que pour la mme destination les dlais varient ? Combien de rseaux diffrents ont t traverss ? Peut-on connatre les protocoles utiliss ?
Exercice 11
A et B sont deux utilisateurs de la mme entreprise. Lutilisateur A a pour adresse 143.27.100.101 et lit sur sa machine : masque de sous-rseau 255.255.192.0 et adresse passerelle 143.27.105.1. 1) Quelle est ladresse du sous-rseau auquel appartient A ? Quelle est ladresse de diffusion sur ce sousrseau ? 2) Lutilisateur B a pour adresse 143.27.172.101 et lit sur sa machine : masque de sous-rseau 255.255.192.0. B est-il sur le mme rseau que A ? Peut-il utiliser la mme adresse de passerelle que A ? Sil ne connat pas ladresse utiliser, que doit-il faire ?
Exercice 12
Soit un routeur dentreprise qui relie 4 sous-rseaux R1, R2, R3 et R4 et offre laccs lInternet. Lentreprise a un adresse IP de classe C, didentit rseau gale 195.52.100. Dans le sous-rseau R1, il y a 15 postes de travail, dans R2 20 postes , R3 25 postes, R4 30 postes.
36
Peut-on imaginer un plan dadressage avec quatre sous-rseaux distincts ? Quel sera alors le masque de sous-rseau ?
Exercice 13
1/ Quelles sont les proprits indispensables des adresses dans un rseau de communication ? 2/ Quel est l'avantage de la sparation de l'adressage en 2 parties dans l'adressage Internet ?
3/ Pourquoi l'adresse IP ne peut pas tre affecte un priphrique rseau par son fabricant ?
Exercice 14
complter le tableau adresse IP masque de sous-rseaux classe Adresse du rseau auquel appartient la machine Adresse de diffusion dans le rseau adresse du sous-rseau auquel appartient la machine dont l'adresse est donne sur la premire ligne adresse de diffusion dans le sous-rseau 124.23.12.71 255.0.0.0 124.12.23.71 255.255.255.0 194.12.23.71 255.255.255.240
Exercice 15
Dcoder le datagramme IPv4 suivant (hexadcimal) et en extraire toutes les informations possibles. 45 00 00 50 20 61 00 00 80 01 C5 64 C7 F5 B4 0A C7 F5 B4 09 08 00 00 1C 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38
Exercice 16
Dcoder la trame Ethernet suivante (hexadcimal) et en extraire toutes les informations possibles. AA AA AA AA AA AA AA AB 08 00 02 4B 01 C3 08 00 02 4B 02 D6 08 00 45 00 00 50 20 61 00 00 80 01 C5 64 C7 F5 B4 0A C7 F5 B4 09 08 00 00 1C 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38 5F A6 8C 04
Quelques corrigs
Exercice 3
L'adresse Ethernet est gre dans la sous-couche MAC. Il n'est pas ncessaire de vrifier l'unicit de l'adresse. Celle-ci est garantie par le constructeur. Au niveau international, chaque constructeur a son prfixe et numrote ensuite chacune de ses cartes dans l'absolu. L'adresse IP est de classe B donc commence par 10. L'identit rseau s'crit sur 14 bits : 29C2 (hexadcimal) = 10 1001 1100 0010. Donc la partie rseau vaut 1010 1001 1100 0010 soit en dcimal 169.194. L'identit de la machine peut tre (par exemple) choisie gale 201 (dcimal). L'adresse IP est donc 169.194.0.201.
37
Par dfinition de l'adresse Ethernet : la carte a conserv son adresse. Il faut, par contre, lui donner une nouvelle adresse IP avec la nouvelle identit rseau et une nouvelle identit de machine dans ce rseau.
Exercice 6
Adresse de classe B : x .y.0.0 avec x compris entre 128 et 191. En absence dhypothse prcise sur le nombre de machines dans chacun des rseaux, on considrera quil suffit de crer deux sous-rseaux (ce qui ncessite 4 bits si lon veut viter le sous-rseau plein 0 et le sous-rseau plein 1 ) donc un masque 255.255.192.0. Dans les adresses IP des stations, les 16 premiers bits reprsentent le rseau (x.y), les deux bits suivants le sous-rseau (01 et 10) et les 14 bits restant la machine elle-mme. Sous-rseau 01 a pour adresse de sous-rseau x.y.64.0 ; les adresses des machines vont de x.y.64.1 x.y.127.254 ; ladresse de diffusion dans ce sous-rseau est x.y.127.255. Tout message parvenant la passerelle avec une adresse IP dans lintervalle ci-dessus est diffus exclusivement dans ce sous-rseau. Sous-rseau 10 a pour adresse de sous-rseau x.y.128.0 ; les adresses des machines vont de x.y.128.1 x.y.191.254; ladresse de diffusion dans ce sous-rseau est x.y.191.255. . Tout message parvenant la passerelle avec une adresse IP dans lintervalle ci-dessus est diffus exclusivement dans ce sous-rseau.
Exercice 7
Un datagramme IP peut tre dcoup en plusieurs fragments. a) le bit M (More fragments) est 1 dans tous les fragments sauf le dernier et le champ deplacement offset nest pas nul sauf dans le premier fragment. Un datagramme non fragment a un bit M 0 ET un champ deplacement offset 0. b) tous les fragments portent le mme identificateur (celui du datagramme initial), on utilise alors le champ deplacement offset pour reconstituer le datagramme. Le bit M 0 indique la fin. c) Un routeur peut-il confondre deux fragments qui ont les mmes lments suivants : source, destination et place de fragment ? non le champ identificateur du datagamme est forcment diffrent !
Exercice 13
1/ unicit, homognit 2/ Le fait de sparer l'adresse en deux parties permet de rduire la taille mmoire des passerelles car elles ne conservent que l'adresse des (sous)rseaux (et celle des stations des (sous)rseaux directement rattaches). En effet, la sparation entre l'adresse du (sous)rseau et celle de la station attache ce (sous)rseau permet un routage effectif dans les routeurs uniquement d'aprs l'adresse du (sous)rseau. L'adresse complte n'est utilise qu'une fois le paquet arriv au routeur auquel est connect le (sous) rseau destinataire. Il est facile d'envoyer un paquet sur toutes les stations d'un (sous)rseau. Il suffit d'utiliser une adresse de station particulire qui signifie que le paquet doit tre diffus sur tout le (sous)rseau. On peut garder par exemple l'adresse de station avec tous les bits 1 pour envoyer un paquet toutes les stations d'un (sous) rseau. Enfin, cela permet une dcentralisation de la gestion des host id . 3/ L'adresse IP ne doit pas tre seulement unique mais elle doit aussi reflter la structure de l'interconnexion. Elle est constitue par une partie rseau qui dpend donc du rseau auquel est connect la station. Toutes les machines connectes au rseau physique ont le mme prfixe rseau.
Exercice 14
adresse IP masque de sous-rseaux classe Adresse du rseau auquel appartient la machine 124.23.12.71 255.0.0.0 A 124.0.0.0 124.12.23.71 255.255.255.0 A 124.0.0.0 194.12.23.71 255.255.255.240 C 194.12.23.0
38
Adresse de diffusion dans le rseau adresse du sous-rseau auquel appartient la machine dont l'adresse est donne sur la premire ligne adresse de diffusion dans le sous-rseau
Exercice 15
45 4 = protocole IP version 4; 5 = longueur de lentte du datagramme = 5 * 4 octets = 20 octets = longueur par dfaut dun entte sans options 00 Type Of Service = 0 = pas de service particulier; en fait avec Ipv4 il ny a pas de service particulier, ce champ est donc toujours nul !! 00 50 longueur totale = 0*4096 + 0*256 + 5*16 + 0*1 = 80 octets donc la longueur du contenu est de 80-20 = 60 octets 20 61 identificateur du datagramme (ne sera utile que plus tard, au cas o il serait fragment) 00 00 drapeaux et dplacement tout zero = datagramme non fragment 80 dure de vie = 80 = 8*16 +0*1 = 128 routeurs que le datagramme pourrait encore traverser 01 protocole transport dans le datagramme : 1 = code du protocole ICMP C5 64 Bloc de contrle derreur de lentte C7 F5 B4 0A adresse IP metteur = 199.245.180.10 C7 F5 B4 09 adresse IP destinataire =199.245.180.9 Les deux machines sont dans le mme rseau de classe C, le rseau 199.245.180.0 -------fin de lentte IP--------------------pour dcoder le contenu il faut connatre le format dun message ICMP 08 type : 8 00 code : 0 lensemble type = 0 et code = 0 signifie demande dcho (couramment appele ping) 00 1C bloc de contrle derreur sur lentte du message ICMP -----fin de lentte ICMP-------------contenu quelconque destin tre renvoy par le destinataire sil rpond cette demande dcho. 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38 longueur du contenu ICMP = 56 octets ------fin du contenu ICMP-------- fin du contenu IP------Conclusion : le datagramme est au format IPv4. Il a t mis par la machine dadresse IP 199.245.180.10 vers la machine dadresse IP 199.245.180.9. Ces deux machines sont dans le mme rseau de classe C, le rseau 199.245.180.0. La datagramme possde une longueur totale de 60 octets, il transporte une requte ICMP de demande decho et dont la longueur du contenu est de 56 octets:Lmetteur envoie un ping au rcepteur pour connatre son tat.
Exercice 16
---------------------------- dbut dune trame Ethernet --------------------------------------------------AA AA AA AA AA AA AA AB -> Synchronisation 08 00 02 4B 01 C3 -> @mac destinataire (constructeur = 080020) 08 00 02 4B 02 D6 -> @mac metteur (mme constructeur) 08 00 -> Type (ici IP). Si < 1500 c'est une longueur [ici 08 00 = 2048, cette valeur ne peut donc pas tre la longueur des donnes de la trame] ---------------------------- 46 <= contenu (ici datagramme IP)<= 1500 -------------------------------le contenu de cette trame est le ping de lexercice prcdent
39
-------------------------------------fin du contenu------------------------------------------------------5F A6 8C 04 bloc de contrle derreur Ethernet Conclusion. Cette trame Ethernet a t capture dans le rseau de classe C 199.245.180.0. Deux machines sont concernes par cet change : la machine X dadresse MAC 08 00 02 4B 02 D6 et dadresse IP 199.245.180.10 a envoy une requte dcho (ping) la machine Y dadresse MAC 08 00 02 4B 01 C3 et dadresse IP 199.245.180.9, situe sur le mme rseau local. Les cartes Ethernet sont du mme constructeur. Les protocoles utiliss sont IP et ICMP.
40
Le routage
Le but dun protocole de routage est trs simple : fournir linformation ncessaire pour effectuer un routage, cest--dire la dtermination dun chemin travers le rseau entre une machine mettrice et une machines rceptrices, toutes deux identifies par leur adresse. Les protocoles de routages tablissent des rgles dchange des messages d'tat entre routeurs pour mettre jours leurs tables selon des critres de cot comme, par exemple, la distance, l'tat de la liaison, le dbit, et ainsi amliorer l'efficacit du routage. Le rseau Internet est organis comme une collection de systmes autonomes, chacun dentre eux tant en gnral administr par une seule entit. Un systme autonome, ou SA , est constitu d'un ensemble de rseaux interconnects partageant la mme stratgie de routage , plus prcisment tous routeurs internes ce systme obissent un mme protocole de routage , rgi par une autorit administrative (un dpartement responsable spcifique comme un fournisseur d'accs ou toute autre organisation). Le protocole de routage utilis lintrieur dun systme autonome est rfrenc en tant que protocole interne des passerelles, ou IGP. Un protocole spar, appel EGP (protocole externe des passerelles, est utilis pour transfrer des informations de routage entre les diffrents systmes autonomes.
RIP
RIP (Routing Information Protocol) a t conu pour fonctionner en tant quIGP dans des systmes autonomes de taille modre. RIP utilise un algorithme dune classe connue sous le nom dalgorithmes vecteurs de distance, il recherche le plus court chemin au sens dun critre de cot o seul le nombre de routeurs traverss intervient, un cot unitaire tant associ la traverse de chaque rseau. Le protocole est limit aux rseaux dont le plus long chemin (le diamtre du rseau) implique 15 routeurs maximum. Il est mal adapt au traitement de boucles dans les chemins et utilise des mtriques fixes pour comparer les routes alternatives. Cela nest pas toujours appropri pour les situations o les routes doivent tre choisies en fonction de paramtres temps rel comme un dlai, une fiabilit ou une charge mesurs.
OSPF
Bas sur un algorithme conu par le chercheur en informatique nerlandais Dijkstra , lalgorithme SPF (Shortest Path First) calcule le plus court chemin vers toutes les destinations de la zone ou du SA en partant du routeur o seffectue le calcul ( partir de sa base de donnes topologiques) au sens dun critre de cot o entrent de multiples paramtres. Ce calcul est effectu de manire indpendante par tous les routeurs OSPF internes au SA. Cest par lintermdiaire de cet algorithme que seffectue la mise jour de la table de routage : ayant trouv les plus courts chemins dun point un autre, en terme de cot, le routeur est apte connatre le prochain routeur qui il doit transmettre le message, pour que ce dernier arrive de manire optimum son destinataire (ce routeur tant videment un routeur adjacent au routeur qui effectue sur le calcul et se trouvant sur ce chemin). Chaque mise jour de la base de donnes entrane la mise jour de la table de routage. Cest ici quintervient la communication mme entre les routeurs , communication rgie par le protocole OSPF. Elle dfinit des rgles et des formats de messages que doivent respecte les routeurs OSPF internes un systme autonome. OSPF a la particularit de sappuyer directement sur IP et non sur UDP comme le protocole RIP. On distingue 5 types de messages : Hello , Description de base de donnes , Requte dtat de liaison , Mise jour dtat de liaison , Acquittement dtat de liaison . qui permettent aux diffrents routeurs de sechanger des informations sur ltat des liaisons et dterminer ainsi une fonction de cot plus raliste que dans RIP.
41
Le protocole TCP
0 1 2 3 4 5 6 7 8 9 10 11 12 Port Source 13 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Port destination Numro d'ordre Numro d'accus de rception Fentre Pointeur d'urgence Remplissage Donnes 14 15
Long entte
rserv
Signification des diffrents champs: Port Source (16 bits): port relatif l'application en cours sur la machine source Port Destination (16 bits): port relatif l'application en cours sur la machine de destination Numro d'ordre (16 bits): lorsque le drapeau SYN est 0, le numro d'ordre est celui du premier octet du segment en cours Lorsque SYN est 1, le numro de squence est le numro de squence initial utilis pour synchroniser les numros de squence (ISN) Numro d'accus de rception (32 bits): numro dordre du dernier octet reu par le rcepteur Longueur en-tte (4 bits): il permet de reprer le dbut des donnes dans le segment. Ce dcalage est essentiel car le champ d'options est de taille variable Rserv (6 bits): Champ inutilis actuellement mais prvu pour l'avenir Drapeaux (flags) (6x1 bit) URG: si ce drapeau est 1 le paquet doit tre trait de faon urgente ACK: si ce drapeau est 1 le paquet est un accus de rception PSH (PUSH): si ce drapeau est 1, le paquet fonctionne suivant la mthode PUSH RST: si ce drapeau est 1, la connexion est rinitialise SYN: si ce drapeau est 1, les numros d'ordre sont synchroniss (ouverture de connexion) FIN: si ce drapeau est 1 la connexion s'interrompt Fentre (16 bits): champ permettant de connatre le nombre d'octets que le rcepteur souhaite recevoir sans accus de rception Somme de contrle (Checksum): la somme de contrle est ralise en faisant la somme des champs de donnes et de l'en-tte, afin de pouvoir vrifier l'intgrit Pointeur d'urgence (16 bits): indique le numro d'ordre partir duquel l'information devient urgente Options (Taille variable): options diverses
42
Remplissage: On remplit l'espace restant aprs les options avec des zros pour avoir une longueur multiple de 32 bits
Le protocole UDP
L'en-tte du paquet UDP est trs simple:
Port Source (16 bits) Longueur (16 bits) Port Destination (16 bits) Somme de contrle (16 bits) Donnes (longueur variable)
Port Source: il s'agit du numro de port correspondant l'application mettrice du paquet. Ce champ reprsente une adresse de rponse pour le destinataire. Port Destination: ce champ contient le port correspondant l'application de la machine mettrice laquelle on s'adresse Longueur: ce champ prcise la longueur totale du paquet, en-tte comprise, exprime en octets Somme de contrle: il s'agit d'une somme ralise de telle faon pouvoir contrler l'intgrit de lentte du paquet
Synthse Exercices
Exercice 1
Sachant quun segment TCP contient 20 octets den-tte et quil est transport dans un datagramme IP qui contient lui aussi 20 octets den-tte, dterminez le dbit utile maximum dune application utilisant TCP/IP sur Ethernet.
Exercice 2
Quel intrt y a-t-il pour un protocole (comme TCP) ne possder quun seul format den-tte ?
Exercice 3
Exploitez la trame Ethernet ci-dessous et donnez toutes les informations que vous pouvez en extraire. Les diffrentes couches de protocoles seront explicitement indiques. AA AA AA AA AA AA AA AB 00 A0 00 00 8D 20 00 40 95 AA A4 3D 08 00 45 00 00 48 2F B1 00 00 40 11 C6 F7 84 E3 3D 17 84 E3 3D 1F 06 58 00 A1 00 34 39 4F 30 82 00 28 02 01 00 04 06 70 75 62 6C 69 63 A0 1B 02 01 01 02 01 00 02 01 00 30 10 30 82 00 0C 06 08 2B 06 01 02 01 01 05 00 05 00 15 A7 5C 89
Exercice 4
La fragmentation et le rassemblage tant pris en charge par IP, pourquoi TCP se proccupe-t-il de lordre darrive des datagrammes ?
Exercice 5
Comment sont traits les en-ttes des datagrammes dans les deux cas suivants : a) L'metteur et le rcepteur sont connects au mme rseau de type TCP/IP. b) L'metteur et le rcepteur sont connects deux rseaux TCP/IP, qui sont interconnects grce un routeur IP.
Quelques corrigs
43
44
Ce systme consiste une hirarchie de noms permettant de garantir l'unicit d'un nom dans une structure arborescente. On appelle nom de domaine, le nom deux composantes, dont la premire est un nom correspondant au nom de l'organisation ou de l'entreprise, le second la classification de domaine (.fr, . com, ...). Chaque machine d'un domaine est appele hte. Le nom d'hte qui lui est attribu doit tre unique dans le domaine considr (le serveur web d'un domaine porte gnalement le nom www). L'ensemble constitu du nom d'hte, d'un point, puis du nom de domaine est appel adresse FQDN (Fully Qualified Domain). Cette adresse permet de reprer de faon unique une machine. Ainsi www.commentcamarche.net reprsente une adresse FQDN. Des machines appeles serveurs de nom de domaine permettent d'tablir la correspondance entre le nom de domaine et l'adresse IP sur les machines d'un rseau. Chaque domaine possde ainsi un serveur de noms de domaines, reli un serveur de nom de domaine de plus haut niveau. Ainsi, le systme de nom est une architecture distribue, c'est--dire qu'il n'existe pas d'organisme ayant charge l'ensemble des noms de domaines. Le systme de noms de domaine est transparent pour l'utilisateur, mais chaque ordinateur doit tre configur avec l'adresse d'une machine capable de transformer n'importe quel nom en une adresse IP. Cette machine est appele Domain Name Server. (Dans le cas d'une connexion un fournisseur d'accs Internet, celui-ci va automatiquement jouer le rle de DNS et fournir une adresse utailisable pour ce service) L'adresse IP d'un second Domain Name Server (secondary Domain Name Server) peut galement tre introduite: il peut relayer le premier en cas de panne. La classification du domaine correspond gnralement a une rpartition gographique. Toutefois, il existe des noms, crs pour les Etats-Unis la base, permettant de classifier le domaine selon le secteur d'activit, par exemple: .com correspond aux entreprises vocation commerciales (devenu international maintenant, .com ne correspond pas forcment des entrprises commerciales...) .edu correspond aux organismes ducatifs .gov correspond aux organismes gouvernementaux .mil correspond aux organismes militaires .net correspond aux organismes ayant trait aux rseaux .org correspond aux entreprises but non lucratif La communication avec les protocoles TCP/IP requiert chaque instant l'adresse IP du destinataire. Les aplications d'une machine hte contactent donc le client DNS install sur la machine et lui font la requte de correspondance voulue. Le client DNS transfre la requte au serveur DNS (port 53) dont l'adresse IP est donne par la configuration de la machine. Les serveurs DNS constituent un ensembnle coopratif qui permet d'obtenir la rponse la requte en question, le client DNS rcupre (et enregistre) cette rponse et la fournit l'application qui peut alors communiquer. Quelques microsecondes ont t ncessaires, sans que l'utilisateur final ne s'aperoive de rien !
Gestion de la scurit
Risques et menaces sont deux concepts fondamentaux pour la comprhension des techniques utilises dans le domaine de la scurit. Le risque est une fonction de paramtres que l'on peut matriser, les principaux sont la vulnrabilit et la sensibilit. La menace est lie des actions et oprations manant de tiers, elle est indpendante de la protection dont on peut se doter. La vulnrabilit dsigne le degr d'exposition des dangers. Un point de vulnrabilit d'un rseau est le point le plus facile pour l'approcher. Un lement de ce rseau peut tre trs vulnrable tout en prsentant un niveau de sensibilit trs faible: le poste de travail de l'administrateur du rseau, par exemple, dans la mesure o celui-ci peut se connecter au systme d'administration en tout point du rseau. La sensibilit dsigne le caractre stratgique, au sens valeur, d'un composant du rseau. Celui-ci peut tre trs sensible, vu son caractre stratgique mais quasi-invulnrable, grce toutes les mesures de protection qui ont t prises pour le prmunir contre les risques potentiels. Exemples : le cble constituant le mdia d'un rseau local lorsqu'il passe dans des espaces de service protgs, l'armoire de sauvegarde des logiciels de tous les commutateurs du rseau, ... On peut classer les risques en deux catgories : les risques structurels lis l'organisation et la dmarche d'une entreprise, les risques accidentels indpendants de l'entreprise. Enfin, selon leur niveau de sensibilit et de vulnrabilit, on distingue souvent quatre niveaux de risques.
45
Les risques acceptables n'induisent aucune consquence grave pour les entits utilisatrices du rseau. Ils sont facilement rattrappables : pannes lectriques de quelques minutes, perte d'une liaison, ... Les risques courants sont ceux qui ne portent pas un prjudice grave au rseau. Ils se traduisent, par exemple, par une congestion d'une partie du rseau. La mauvaise configuration d'un quipement peut causer la rptition des messages mis, un oprateur peut dtruire involontairement un fichier de configuration, ... Les risques majeurs sont lis des facteurs rares, mais pouvant causer des prjudices de nature causer des dgats importants, mais toujours rattrappables. Un incendie a ravag le centre de calcul d'une entreprise. La consquence se traduit par le remplacement de l'ensemble du matriel, mais, heureusement, tous les logiciels et les donnes sont sauvegards et archivs dans un local anti-feu. Les risques inacceptables sont, en gnral, fatals pour l'entreprise, ils peuvent entraner son dpot de bilan. Exemple : la destruction du centre de calcul et de l'ensemble des sauvegardes des programmes et donnes. Les menaces passives consistent essentiellement copier ou couter l'information sur le rseau, elles nuisent la confidentialit des donnes. Dans ce cas, l'information n'est pas altre par celui qui en prlve une copie, d'o des difficults pour dtecter ce type de malveillance. Elles ne modifient pas l'tat du rseau. La mthode de prlvement varie suivant le type de rseau. Sur les rseaux cabls, on peut imaginer un branchement en parallle grce des appareils de type analyseurs de protocole ou une induction (rayonnement lectromagntique). Sur les faisceaux hertziens, des antennes captent les lobes secondaires des faisceaux ; dans les transmissions par satellites, des antennes avec sytmes de poursuite existent, Les menaces actives nuisent l'intgrit des donnes. Elles se traduisent par diffrents types d'attaques. On distingue le brouillage, le dguisement (modification des donnes ou de l'identit), l'interposition (dguisement en mission ou en rception). Les niveaux de piratage sont trs variables, puisque la gamme des pirates s'tend de l'amateur sans connaissances particulires du rseau qu'il pntre ou tente d'infiltrer au professionnel, souvent membre de l'entreprise, et au courant des procdures cls du rseau. Les mcanismes de scurit doivent donc prendre en considration aussi bien le sondage alatoire que pratique l'amateur la recherche d'un mot de passe, que la lecture, aux consquences dsastreuses, du catalogue central des mots de passe, des codes de connexion ou des fichiers. Les menaces actives sont de nature modifier l'tat du rseau. Les menaces dues aux accidents (26%) sont le fait d'incendies, d'inondations, de pannes d'quipements ou du rseau, de catastrophes naturelles, ... Les menaces dues aux erreurs (17%) sont lies l'utilisation et l'exploitation, la conception et la ralisation, le dfaut de qualit, ... Les menaces dues la malveillance (57% dont 80% sont d'origine interne) concernent les actes tels que le vol des quipements, les copies illicites de logiciels et de documents techniques, le sabotage matriel et l'attaque logique (virus, modification, ), les intrusions et l'coute, les actes de vengeance...
Services de scurit
L'ISO a dfini plusieurs services de scurit. Ceux-ci sont assurs par diffrents types de mcanismes et diffrent par leur sophistication, leurs cots, les efforts ncessaires pour leur implantation, leur maintenance et leurs besoins en ressources humaines.
Authentification
Ce service permet d'authentifier les partenaires qui communiquent, au moyen d'un protocole donn, indpendamment de l'mission d'un message. L'authentification a pour but de garantir l'identit des correspondants. On distingue : l'authentification de l'entit homologue qui assure que l'entit rceptrice qui est connecte est bien celle souhaite. Son action peut intervenir l'tablissement de la communication et pendant le transfert des donnes. Son objectif principal est donc la lutte contre le dguisement. l'authentification de l'origine qui assure que l'entit mettrice est bien celle prtendue. Le service est inoprant contre la duplication d'entit. Comme le prddent, il s'agit d'authentification simple l'authentification mutuelle qui assure que les deux entits mettrice et rceptrice se contrlent l'une l'autre. Le service d'authentification est inutilisable dans le cas d'un rseau fonctionnant en mode "sans connexion".
46
Contrle d'accs
Ce service empche l'utilisation non autorise de ressources accessibles par le rseau. Par "utilisation", on entend les modes lecture, criture, cration ou suppression. Les ressources sont les systmes d'exploitation, les fichiers, les bases de donnes, les applications, Ce service utilise le service d'authentification vu ci-dessus afin de s'assurer de l'identit des correspondants transporte dans les messages d'initialisation des dialogues.
Non-rpudiation
La non-rpudiation de l'origine fournit au rcepteur une preuve empchant l'metteur de contester l'envoi ou le contenu d'un message effectivement reu. La non-rpudiation de la remise fournit l'metteur une preuve empchant le rcepteur de contester la rception ou le contenu d'un message effectivement mis.
Chiffrement
Le chiffrement transforme tout ou partie d'un texte dit clair en cryptogramme, message chiffr ou protg. Si une ligne utilise des dispositifs de chiffrement, les donnes sont transmises sous une forme "brouille", de manire qu'elles ne puissent tre comprises par un tiers. message message cryptogramme Destinataire Bote de Bote de chiffrement dchiffrement Le mcanisme de chiffrement met un message X sous une forme secrte au moyen d'une cl K. L'metteur dispose d'une fonction algorithmique E, qui X et K associe E(K,X). Le rcepteur reoit E (K,X) (message chiffr mis) et le dchiffre au moyen de sa cl K' avec sa fonction D, qui E(K,X) et K' associe X. On a alors : D(K', E (K,X)) = X Les fonctions E et D peuvent tre secrtes ou publiques. Il en est de mme pour les cls K et K'. L'existence d'un dchiffrement tient la dfinition de l'algorithme donnant E et D, et de la mthode produisant et rpartissant les cls K et K'. Emetteur
47
Le mcanisme de chiffrement existe typiquement deux niveaux : voie par voie ou de bout-en-bout. L'ensemble repose, dans tous les cas, sur un algorithme donn, un couple de cls associes et un mcanisme de distribution des cls. Le chiffrement voie par voie est le rsultat de la mise en place de botes noires sur les lignes, qui laissent les donnes en clair au niveau des htes et des nuds du rseau. Le message est chiffr/dchiffr indpendamment chaque changement de ligne. Le chiffrement de voie appartient la couche Liaison de Donnes. L'intrusion sur une ligne si on connat sa cl n'aboutit pas l'accs des autres lignes qui sont susceptibles de possder des cls diffrentes. De plus, un texte complet, en-ttes et informations d'acheminement, peut tre chiffr sur la ligne. Enfin, cette solution libre le logiciel des tches de chiffrement puisque ce dernier est ralis par une bote de chiffrement place du ct numrique du modem aux deux extrmits de la ligne. Dans ce cas, le service est fourni par l'infrastructure du rseau utilis. Le chiffrement de bout-en-bout laisse en clair les informations de routage. Seules les donnes constituant l'information transmise sont chiffres. Dans un rseau multi-nuds, le message traverse plusieurs nuds et garde le mme chiffrement depuis son metteur jusqu' son destinataire final. Le chiffrement de bouten-bout appartient logiquement la couche Prsentation. Les donnes restent brouilles dans les nuds. La distribution des cls est plus aise dans un systme de bout-en-bout.
Contrle d'accs
Ce mcanisme utilise l'identit authentifie des entits ou des informations fiables pour dterminer leurs droits d'accs au rseau ou aux ressources sur le rseau. De plus, il est susceptible d'enregistrer sous forme de trace d'audit et de rpertorier les tentatives d'accs non autorises. Les informations utilises sont : les listes de droits d'accs, maintenues par des centres, les mots de passe, les jetons de droits d'accs, les diffrents certificats, les libells de sensibilit des donnes. Le mcanisme de contrle d'accs peut avoir lieu aux deux extrmits de la communication (quipement d'accs et ressource du rseau).
change d'authentification
Lorsque les entits homologues et les moyens de communication sont srs, l'identification des entits homologues peut se faire par des mots de passe. Par mots de passe, on entend aussi bien les vritables mots de passe que l'utilisateur physique donne pour accder un systme, que les codes de connexion qu'un terminal utilise. Un mot de passe est souvent compos de deux parties : le mot de passe proprement dit, plus un identificateur d'utilisateur qui permet le contrle du mot de passe. L'identificateur n'est pas appropri pour la scurit car il est habituellement de notorit publique, tel le numro d'identification de l'employ, et ne peut tre chang facilement du fait que beaucoup d'informations s'y rattachent.
48
Dans certaines applications, l'utilisateur ne connat mme pas son mot de passe qui est inscrit sur une piste magntique contenant un Numro d'Identification Personnel. Dans d'autres applications, seul l'utilisateur connat son numro, et une fonction lui permet de changer son mot de passe. Le cas des guichets bancaires est particulier : le client doit introduire une carte contenant son code, plus une cl secrte, certains ordinateurs dsactivant ce code tous les mois pour forcer un changement. Lorsque les moyens de communication ne sont pas srs, les mots de passe ne suffisent plus raliser le mcanisme ; il faut alors y adjoindre des procdures de chiffrement.
Bourrage
Ce mcanisme sert simuler des communications dans le but de masquer les priodes de silence et de banaliser les priodes de communication relles. Ceci permet de ne pas attirer l'attention des pirates lors des dmarrages de transmission. Un mcanisme de bourrage de voie est obtenu en envoyant sur la ligne, entre deux missions de messages utiles, des squences de messages contenant des donnes dpourvues de sens. Le gnrateur de messages respectera la frquence des lettres et des diagrammes de l'alphabet employ.
Notarisation
Une garantie supplmentaire peut tre apporte par la notarisation : les entits font confiance un tiers qui assure l'intgrit, l'origine, la date et la destination des donnes. Le processus sous-entend que ce tiers doit acqurir les informations par des voies de communication trs protges.
49
scurit rside dans la cl (secrte) c'est--dire dans la complexit des calculs ncessaires pour analyser toutes les cls possibles, en l'absence de toute autre information. Pour augmenter la scurit d'un tel systme, on utilise frquemment plusieurs oprations en cascade (double DES voire Triple DES), ayant des cls diffrentes.
Le service Kerberos
Kerberos est un service d'authentification dvelopp au MIT pour fournir des services de scurit dans un environnement client/serveur distribu. Le principe de fonctionnement est illustr sur la figure suivante. Pour utiliser un service, un client doit tout d'abord fournir auprs du serveur d'authentification un certificat, preuve de son identit et de ses droits. Il reoit en retour des donnes ayant une dure de vie limite : un ticket et une cl. Arm de ces donnes, le client adresse alors au serveur d'autorisation un message chiffr et dat contenant une demande d'autorisation d'accs un serveur donn et reoit en retour un nouveau ticket et une nouvelle cl. Il utilisera ces dernires informations pour se connecter sur le serveur de donnes, lequel vrifiera la validit des informations fournies. L'algorithme de chiffrement utilis est le DES.
1 2 3 4 client 5 6 AS = Authentication Server (serveur d'authentification) TGS = Ticket-Granting Server (serveur d'autorisation) serveur de donnes AS
TGS Kerberos
Kerberos repose sur une station du rseau, il est responsable de la gnration de toutes les cls et gre les certificats d'identit et les tickets d'autorisation. Tous les serveurs de donnes et les applications du rseau doivent tre dclars auprs de Kerberos. Notons que celui-ci ne gre pas l'accs aux fichiers ordinaires et suppose que l'environnement est un rseau local utilisant les protocoles de la famille TCP/IP.
Les pare-feux
La connexion d'un rseau d'entreprise l'Internet est la porte ouverte toutes les intrusions. On protge alors le rseau en filtrant les accs depuis ou vers l'Internet dans un routeur appel "firewallErreur !
50
Signet non dfini." ou pare-feuErreur ! Signet non dfini. ou encore bastion. Ce filtrage doit offrir en toute tranparence aux utilisateurs du rseau d'entreprise tous les services dont ils ont besoin l'extrieur et protger els accs aux applications et aux donnes l'intrieur du rseau d'entreprise. Le filtrage peut se faire au niveau des datagrammes sur leur entte (filtrage sur les adresses ou sur le contenu (type de protocole, par exemple). Le filtrage peut aussi se faire au niveau applicatif (ftp et telnet, par exemple, sont des applications interdites), ceci suppose que le firewall connat toutes les applications Dans les deux cas, le filtrage peut tre positif ou ngatif : tout ce qui n'est pas explicitement interdit est autoris ou tout ce qui n'est pas explicitement autoris est interdit ! Il est judicieux d'interdire par dfaut tout ce qui n'est pas explicitement autoris Le pare-feu sparation de rseaux (dual homed firewall) est un routeur qui possde deux cartes rseaux, sparant physiquement le rseau d'entreprise de l'Internet : tout le trafic inter-rseau passe donc par le firewall qui peut excuter son filtrage sur chaque requte entrante ou sortante .
firewall
rseau d'entreprise
Internet
Le pare-feu peut tre une machine du rseau, distincte du routeur qui assure l'accs l'Internet. On parle alors de screened host firewall, de "pare-feu au fil de l'eau" ou encore de bastion. C'est le routeur qui agit activement en faisant transiter tout le trafic venant d'Internet vers la machine pare-feu. Il bloque tout trafic destin l'Internet qui est mis par une machine quelconque du rseau autre que le pare-feu. Les machines internes du rseau doivent donc connatre le pare-feu et lui adresser tout leur trafic effectivement destin l'Internet.
firewall routeur rseau d'entreprise Internet
51
Synthse Exercices
Exercice 1
Une entreprise possdant un sige et plusieurs filiales distance souhaite mette en place un Intranet avec un Web interne situ au sige, la messagerie lectronique, le transfert de fichier et des groupes de discussions. Le fournisseur daccs lInternet est choisi et le raccordement se fait par le rseau tlphonique commut pour les filiales et par liaison spcialise pour le sige. Proposer une architecture matrielle et logicielle pour cet Intranet. Sachant que le serveur Web transfre des pages de 20 koctets simultanment vers 25 utilisateurs situs dans les filiales et que lon souhaite que le temps de rponse (le temps de transmission et affichage dune page) soit infrieur 10 seconde, quel dbit faut-il choisir pour la ligne ?
Exercice 2
Une entreprise largement dploye sur la rgion parisienne possde environ 250 sites et 12000 postes de travail identiques auxquels il faut ajouter 250 serveurs (un par site). Les deux sites les plus loigns sont distants de 123 km. Peut-on imaginer un rseau Ethernet pour cette entreprise ? Pourquoi ? Le directeur du systme dinformation (DSI) dcide dimplanter un rseau Ethernet par site et un rseau fdrateur FDDI auquel est reli chacun des Ethernet (directement ou indirectement...). Quels matriels dinterconnexion sont ncessaires ? Combien ? Proposer une solution d'interconnexion. Ladministrateur rseau demande une adresse IP pour son entreprise ? Quelle classe lui faut-il ? Il obtient 145.87.0.0. Ceci lui convient-il ? Peut-il prvoir un plan dadressage avec autant de numros de sousrseaux quil y a de rseaux physiques existants ? Le DSI voudrait mettre en uvre un serveur Web accessible depuis lextrieur de lentreprise. Proposer une localisation possible et un modle de scurit pour ce serveur. Seuls 3% des utilisateurs sont effectivement autoriss par la direction de lentreprise sortir de lentreprise et naviguer sur lInternet (toutes applications confondues). Le plan dadressage prcdent est-il utile ? Pourquoi ? Proposer une solution.
Exercice 3
Soit deux rseaux locaux RL1 et RL2, interconnects par une passerelle. Deux stations, STA sur le rseau RL1 et STB sur le rseau RL2, communiquent grce aux protocoles TCP/IP. La taille des datagrammes IP dans le rseau RL2 est 2 fois infrieure celle des datagrammes dans le rseau RL1. a) Expliquez la procdure d'change et le squencement des oprations lors d'un transfert de fichiers entre STA et STB. b) Proposez des types de passerelle que l'on puisse utiliser dans les cas suivants: Cas 1 : les 2 rseaux sont situs sur le mme site. Cas 2 : les 2 rseaux sont utiliss par deux entits d'une mme socit, situes aux deux extrmits d'une grande ville. Cas 3 : les 2 rseaux relient 2 structures situes dans des villes diffrentes. Cas 4 : le premier rseau se trouve en France, le deuxime aux tats-Unis.
Exercice 4
Une station A souhaite accder une page Web sur une machine B. Les caractristiques de A et B sont Machine Nom logique Adresse IP A topaze.univ-paris5.fr 194.132.6.9 B dizzie.univ-tahiti.fr 192.41.8.1 Indiquer : a/ Quel est l'lment de la machine A qui fait la rsolution nom logique / adresse IP b/ Comment sait-on que le destinataire B n'est pas situ sur le mme rseau que la source ? c/ Qui est responsable de la dtermination de la route suivre ?
52
Exercice 5
On considre un rseau compos de trois ordinateurs (votre PC, un serveur DNS et un serveur Web), un routeur et deux rseaux locaux de type Ethernet comme le montre la figure.
routeur
A Votre poste client pc.soc.pays IP 25.0.1.129 DNS 25.0.1.33 Routeur 25.0.1.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:A1 X Serveur DNS ns.soc.pays IP 25.0.1.33 Routeur 25.0.1.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:A0
Serveur Web www.soc.pays IP 25.0.2.55 DNS 25.0.1.33 Routeur 25.0.2.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:7F
Donnez les diffrentes trames changes sur les deux rseaux Ethernet lorsque la machine A (pc.soc.pays) cherche tablir une session www sur le serveur W (www.soc.pays). On supposera que les trois machines et le routeur sont correctement configurs. Ils viennent d'tre installs et sont allums lorsque le client commence sa requte. On supposera galement que la machine X (ns.soc.pays) se trouvant sur le mme rseau que le client dispose de l'information permettant de rsoudre directement le nom www.soc.pays en une adresse IP. La rponse cette question se prsentera sous la forme d'un tableau donnant les trames Ethernet dans lordre chronologique. On indiquera pour chaque trame le rseau sur lequel elle a t mise (1 pour le rseau 25.0.1.0 et 2 pour le rseau 25.0.2.0), les adresses physiques de la source et de la destination de la trame, les adresses IP de la source et de la destination (si ncessaire) et un bref commentaire sur le contenu ou la fonction de cette trame ou de son contenu. La dernire trame indiquer dans la table est celle contenant l'arrive de la confirmation d'tablissement de la connexion TCP utilise entre A et W. Modle attendu pour la rponse
# 1 2 3 .. . Rsea u Ad. phy source Ad. phy dest IP source IP dest. Commentaire
Exercice 6
Pour protger des donnes confidentielles, on utilise un systme de chiffrement dit de Csar (qui consiste dcaler les lettres de lalphabet dune constante). Montrer quil est trs ais de dchiffrer le message suivant (crit en franais) : Zsgashwsfrwbhsfbsh
53
Exercice 7
Ecrire en pseudo langage les rgles de filtrage ncessaires refuser en entre dun routeur pare-feu pour le rseau 195.45.3.0 (de masque 255.255.255.0) les attaques en dni de service : inondation de requtes de connexion TCP ou de messages ICMP avec des adresses IP usurpes.
Quelques corrigs
Exercice 2
La distance entre les sites est trop importante pour faire un seul rseau ethernet. Il faut donc mettre en place autant de rseaux Ethernet que de sites donc 250 rseaux Ethernet. Il faudrait 250 routeurs, 1 pour chaque rseau, or pour une entreprise cela revient trop cher. On regroupe donc les sites par 10, et ces regroupements sont relis au FDDI par des gros routeurs, ce qui en rduit le nombre a 25 et donc ce qui rduit le cot pour l'entreprise. Il lui faut une adresse de classe B car il y a 12 000 postes, une adresse de classe C tant insuffisant pour couvrir tous les postes (254 postes seulement) 145.87.0.0 est une adresse de classe B, elle couvre 65534 postes, ce qui est largement suffisant. Plan d'adressage : de 145.87.1.0 145.87.252.0 : une adresse par site + une adresse pour le FDDI Le serveur Web serait idalement plac mi-chemin entre les deux sites les plus loigns. En effet lun ne sera pas dsavantag dans laccs aux pages Web par rapport lautre. Le modle de scurit envisager dans le cas daccs extrieur est le modle DMZ coupl un firewall. Il permet une protection du rseau interne vis--vis de lextrieur, mais permet aussi des serveurs et/ou des applications se connecter lextrieur (aprs configuration). Le plan dadressage prcdent nest plus utile. En effet une adresse de classe C compose de sousrseaux aurait t suffisante puisque le rseau ne sert quen interne. Pour le serveur Web, il faudrait le placer sur le site qui a le plus daccs externe vers Internet (le plus dutilisateurs autoriss). Un routeur et un firewall bien configurs suffisent protger le rseau interne.
Exercice 4
a /le rsolveur DNS ou client DNS b/ parce que les prfixes 194 et 192 sont diffrents ! c/ le module IP situ dans le routeur de sortie du rseau de la machine A
Exercice 6
Lesmetiersdinternet le code est le suivant : dcalage de 14 lettres clair : abcdefghijklmnopqrstuvwxyz chiffr : opqrstuvwxyzabcdefghijklmn En franais la lettre la plus frquente est le e : ici il y a 5s et 3h. Il est logique de tester y=e. Le reste vient tout seul ensuite puisque le dcalage est constant Le systme est donc trs facilement cassable ds lors que lon connat les frquences des lettres dans la langue utilise !
Exercice 7
Usurpation dadresse : des messages proviendraient de lextrieur du rseau avec une adresse dmetteur qui est une adresse interne Dfinition des paramtres : ouraddr = 195.45.3.0/24 (toutes les adresses de notre rseau) anyaddr = nimporte quelle adresse Effacer toutes les rgles en entre Refuser les messages en entre dont ladresse source est ouraddr, ladresse destination est ouraddr, le protocole est TCP et le bit SYN est mis 1 Refuser les messages en entre dont ladresse source est ouraddr, ladresse destination est ouraddr et le protocole est ICMP
54
55