Fonctionnement du protocole DHCP

grubbsvroomSoftware and s/w Development

Jul 2, 2012 (4 years and 9 months ago)

274 views

ProtocoleDHCP(S4/C7)
LeprotocoleDHCP(DynamicHostConfigurationProtocol)
LeserviceDHCPpermet`aunhˆoted’obtenirautomatiquementuneadresseIP
lorsqu’ilseconnecteaur´eseau.
LeserveurDHCPchoisituneadressedansuneplaged’adresses(pool)etla
prˆete`al’hˆotequienafaitlademande.
Danslesfaits,unserviceDHCPpeutfournirprincipalement
•uneadresseIP
•unmasquedesous–r´eseau
•l’adresseIPdelapasserellepard´efaut
•l’adresseIPduserveurDNS
•...
Surunr´eseauayantbeaucoupdestations,l’utilisationd’unserveurDHCPpeut
s’av´ererplusefficacequel’utilisationd’adressesfixes.
LeprotcoleDHCPpeutpr´esenterunrisquedanslas´ecurit´ed’unr´eseau.
G´en´eralement,surunmˆemer´eseau,onutilisel’adressagedynamiqueet
l’adressagestatique.
L’adressagedynamiqueestutilis´epourlesp´eriph´eriquesutilisateursfinaux.
L’adressagestatiqueestutilis´epourlesp´eriph´eriquesr´eseauxtelsque
•passerelles(routeurs)
•commutateurs
•serveurs
•imprimantes
•...
1
FonctionnementduprotocoleDHCP
Lorsqu’unp´eriph´eriqueseconnecteaur´eseauetqu’ilestconfigur´eenmode
automatique,ildiffuseunpaquetDHCPDISCOVERpouridentifierun
serveurDHCPdisponible.
UnserveurDHCPr´epondavecunpaquetDHCPOFFERdanslequelsetrouve
uneoffredebaildonnantlesindications:
•adresseIPprˆet´ee
•serveurDNS
•passerellepard´efaut
•dur´eedebail
LeclientrenvoieunpaquetDHCPREQUESTpouraccepterl’offreduserveur.
Sil’offreestencorevalable,leserveurrenvoieunDHCPACKetdanslecas
contraireDHCPNAK.
2
Configurationd’unserveurDHCP
UnrouteurciscopeutagircommeunserveurDHCP.Ilattribueetg`ereles
adressesIPenfonctionduoudespoolsd’adressessp´ecif´esparl’administrateur.
Pard´efaut,leserviceDHCPestactiv´esurlerouteur.Pourd´esactiverleservice:
noservicedhcp.
Etape1:ond´efinit,enmodedeconfigurationglobale,lesadressesNE
devantPASˆetreallou´ees:interfacedurouteur,adresseIPduswitch,serveurs,
imprimantesdur´eseau.
R1(config)#ipdhcpexcluded-addressadresse
basse{adresse
haute}
Etape2:oncr´eelepoolDHCP.
R1(config)#ipdhcppoolnom
pool
Etape3:onconfigurelepoolDHCP.
Lepoold’adresses:
R1(dhcp-config)#networknumero
reseaumasque
Lapasserellepard´efaut:
R1(dhcp-config)#default-routeradresse
LeserveurDNS:
R1(dhcp-config)#dns-serveradresse
Lenomdedomaine:
R1(dhcp-config)#domain-namedomaine
Lebail:R1(dhcp-config)#leasedur´ee
Sin´ecessaire,lesservicesWINS:
R1(dhcp-config)#netbios-node-typeh-node
R1(dhcp-config)#netbios-name-serveradresse
3
V´erificationduserviceDHCP
Pourv´erifierlefocntionnementduserveurDHCP,onutiliselacommande
suivante:
R1#showipdhcpbinding
PourafficherlenombredemessagesDHCPenvoy´esetre¸cusparlerouteur:
R1#showipdhcpstatistics
Configurationd’unclientDHCP
G´en´eralement,lesrouteursutilis´es`alamaisonacqui`erentautomatiquementune
adresseIPaupr`esd’unFAI.
Dansdespetitsbureauxoudesbureaux`adomicile,lesrouteurspeuventˆetre
configur´esdynamiquementparleFAI.Danscecasonconfigureuneinterface
Ethernetaveclacommandeipaddressdhcp.
Pourrenouvelerl’adresseIPdynamiqued’unPC,onutiliselacommande
iponfig/releasequilib`erel’adresseetl’adressedevientalors:0.0.0.0.
Onutilisealorslacommandeiponfig/renewquiprovoqueladiffusiond’un
messageDHCPDISCOVER.
RelaisDHCP
G´en´eralement,dansunr´eseaud’entreprise,lesclientsDHCPnesetrouventpas
surlemˆemer´eseauqueleserveurDHCP.Or,leclientvadiffuserunmessage
DHCPDISCOVERetlerouteur(passerelle)pard´efautnelaissepaspasserles
diffusions.
Ilfautdoncconfigurerlapasserelledurouteurcommeunagentderelais
DHCPaveclacommandesuivante:
R1(config)#interfacepasserelle
R1(config-if)#iphelper-addressad
ip
serveur
DHCP
4
FonctionNAT
LafonctionNAT(NetworkAddressTranslation)traduitlesadressesnonrouta-
bles(surInternet),priv´eesetinternesenadressesroutablespubliques.NAT
ajouteaussiunniveaudeconfidentialit´eetdes´ecurit´ecarilempˆechelesr´eseaux
externesdevoirlesadressesIPinternes.
Cettetraductionesteffectu´eeparunrouteurdepasserellefronti`ere;cela
signifiequ’ilfaitlelienentreler´eseaud’entrepriseetleWAN.
LafonctionNATd´efinittroistypesd’adresses:
•localeinterne
•globaleinterne
•globaleexterne
Adresselocaleinterne:ils’agitsouventd’uneadressepriv´ee.
Adresseglobaleinterne:adressepubliqueattribu´ee`al’hˆoteinternelorsque
cedernierquittelerouteurNAT.
Adresseglobaleexterne:adresseIPattribu´ee`aunhˆotesurInternet.
Mappagestatiqueetmappagedynamique
IlexistedeuxtypesdetraductionNAT:statiqueetdynamique.
LeNATstatiqueutiliseunmappagebiunivoqueentrelesadresseslocaleset
globales.
LeNATdynamiqueutiliseunpoold’adressespubliquesetlesattribueselonla
m´ethodedupremierarriv´e,premierservi.
Lorsqu’unhˆoteayantuneadresseIPpriv´eedemandeunacc`es`aInternet,la
fonctionNATdynamiquechoisitdanslepooluneadresseIPquin’estpasencore
utilis´eeparunautrehˆote.
LesNATstatiqueetdynamiquen´ecessitentsuffisammentd’adressespubliques
disponiblespoursatisfairesimultan´ementtousleshˆotesdur´eseaupriv´equi
souhaitentacc´eder`aInternet.
LasurchageNATouPATmappeplusieursadressesIPpriv´ees`auneseule
ou`aquelquesadressesIPpubliques.Eneffet,plusieursadressespeuventˆetre
mapp´ees`auneseuleadressecarchaqueadressepriv´eeestsuivieparunnum´ero
deport.
5
ConfigurationduNATstatique
Cetteconfigurations’effectueentrois´etapes:
Etape1:On´etablitunecorrespondanceentreuneadresselocaleinterneet
uneadresseglobaleinterne:
R1(config)#ipnatinsidesourcestatic192.168.10.254209.165.200.225
Etape2:Onidentifiel’adresselocaleinternecommel’interfaceNATinside:
R1(config)#interfaceS0/0/0
R1(config-if)#ipnatinside
Etape3:Onidentifiel’adresseglobaleinternecommel’interfaceNAToutside:
R1(config)#interfaceS0/1/0
R1(config-if)#ipnatoutside
6
ConfigurationduNATdynamique
Cetteconfigurations’effectueselonles´etapessuivantes:
Etape1:Ond´efinitunpoold’adressesIPpubliques:
R1(config)#ipnatPOOL1209.165.200.226209.165.200.240netmask
255.255.255.224
Etape2:Ond´efinitlesadressesayantlesdroitsd’ˆetremapp´ees:
R1(config)#access-list1permit192.168.0.00.0.255.255
Etape3:OnrelielepoolNAT`al’ACL:
R1(config)#ipnatinsidesourcelist1poolPOOL1
Etape4:Onidentifiel’adresselocaleinternecommel’interfaceNATinside:
R1(config)#interfaceS0/0/0
R1(config-if)#ipnatinside
Etape5:Onidentifiel’adresseglobaleinternecommel’interfaceNAToutside:
R1(config)#interfaceS0/1/0
R1(config-if)#ipnatoutside
7
ConfigurationdelasurchageNAT
Cetteconfigurations’effectueselonles´etapessuivantes:
Etape1:Ond´efinitlesadressesayantlesdroitsd’ˆetremapp´ees:
R1(config)#access-list1permit192.168.0.00.0.0.255
Etape2:Onidentifiel’interfaceallantˆetresurcharg´ee:
R1(config)#ipnatinsidesourcelist1interfaceserial0/1/0overload
Etape3:Onidentifiel’adresselocaleinternecommel’interfaceNATinside:
R1(config)#interfaceS0/0/0
R1(config-if)#ipnatinside
Etape4:Onidentifiel’adresseglobaleinternecommel’interfaceNAToutside:
R1(config)#interfaceS0/1/0
R1(config-if)#ipnatoutside
8
V´erificationetd´epannagedesconfigurationsNAT
LacommandeshowipnattranslationsaffichelestraductionsNAT.
Lacommandeshowipnatstatisticsaffichelesinformationssurlenombre
totaldetraductionsactives,lesparam`etresdeconfigurationNAT,lenombre
d’adressesdanslepooletlenombred’adressesattribu´ees.
Pard´efaut,lesentr´eesdetraductionsontd´esactiv´eesauboutde24heures.
Ilestpossibledemodifierlescompteursaveclacommande
ipnattranslationtimeout
Lacommandeclearipnattranslation*effacetouteslesentr´eesdetraduction
dynamiqued’adressesdelatabledetraductionNAT.
9
b
10
PourquoiutiliserIPv6
L’espaced’adressageIPv4offreunpeuplusde4milliardsd’adresses.Seules3.7
milliardspeuventˆetreutilis´eescarlesautressontr´eserv´eespourlamultidiffu-
sion,lestestsetautresusagessp´ecifiques.
OnestimequelesadressesIPv4seront´epuis´eesd’iciquelquesann´ees.
Lepoold’adressesIPv4diminuepourlesraisonssuivantes:
•croissancedelapopulation
•utilisateursmobiles
•transport
•´electroniquegrandpublic
AdressageIPv6
UneadresseIPv6estunevaleurbinairelonguede128bits,affich´eesousforme
de32chiffreshexad´ecimaux.Ceschiffressontregroup´espar4,chaquegroupe
´etants´epar´edesautresgroupesparlesigne:
Exemple:2031:0000:130F:0000:0000:09C0:876A:130B
Certainesadressespeuventˆetreraccourciesenrespectantlesr`eglessuivantes:
•dansunchamplesz´erosdetˆetesontfacultatifs:
Exemple:2031:0:130F:0:0:9C0:876A:130B
•deuxchampssuccessifsdez´erospeuventˆetrerepr´esent´esparlesigne::.
Cetteabr´eviationnepeutˆetreutilis´eequ’uneseulefoisdansl’adresse.
Exemple:2031:0:130F::9C0:876A:130B
•uneadresseind´etermin´ees’´ecrit::
Quelquesexemples:
0:0:0:0:0:0:0:1devient::1
0:0:0:0:0:0:0:0devient::
FF01:0000:0000:0000:0000:0000:0000:1devient
FF01:0:0:0:0:0:0:1devientFF01::1
11
Typesd’adressesIPv6
Ondistinguelestypesd’adressesuivants:
•monodiffusionglobale
•r´eserv´ees
•priv´ees
•bouclage
•ind´etermin´ee
Uneadressedemonodiffusionglobaleestconstitu´eeg´en´eralementd’unpr´efixe
deroutageglobalde48bitsetunIDdesous–r´eseaude16bits.
Cedernierpermet`auneorganisationdecr´eersessous-r´eseaux.
Actuellementlesadressesdemonodiffusionglobaleattribu´eesparl’IANAutilise
laplaged’adressescommen¸cantpar2000::/3.
L’IANAallouel’espaced’adressageIPv6danslesplages2001::/16aux
organismesd’enregistrementInternetlocaux:ARIN,RIPE,APNC,LACNIC
etAfriNIC.
Uneadresser´eserv´eeestutilis´eeparl’IETFpourdiversusages.
Uneadressepriv´een’estjamaisachemin´eeendehorsdur´eseaudel’entreprise.
EllecommenceparFE,suivid’unchiffrehexad´ecimalcomprisentre8etF.
Lesadressespriv´eessontdivis´eesendeuxtypes:
•locales-sites
•monodiffusiondeliaisonlocale
L’´etenduedesadresseslocales-sitescorrespond`al’ensembled’unsiteoud’une
organisation.EllescommencentparFEC,FED,FEEouFEF.
Lesadressesdemonodiffusiondeliaisonlocale:ellesserapportent`aune
liaisonphysiqueparticuli`ered’unr´eseaulocal.EllescommencentparFE8,
FE9,FEAouFEB.
Uneadressedebouclagea´et´epr´evue`adesfinsdetest.L’adresseest:::1.
L’adresse::estutilis´eelorsqu’unhˆoteneconnaitpassapropreadresse.
12
Strat´egiesdetransitionIPv6
Ilexistediff´erentestechniquespoureffectuerunetransitionentreIPv4etIPv6.
•doublepile
•transmissiontunnel
•NAT-PT(NAT-ProtocolTranslation)
Ladoublepile:lesrouteurssontconfigur´espourprendreenchargesimul-
tan´ementlesprotocolesIPv4etIPv6,avecunepr´ef´erencepourcedernier.
Latransmissiontunnelconsiste`aencapsulerunpaquetIPv6dansunautre
protocole,telqueIPv4.Cettem´ethodepermetdeconnecterdesˆılotsIPv6.
Cettem´ethoden´ecessitedesrouteurs`adoublepile.
LeNAT-PT(d`eslaversionios12.3(2)T)estunNATentreIPv6etIPv4.Cette
traductionpermetauxhˆotesquiutilisentdiff´rentesversionsduprotocoleIPde
communiquerdirectement.
Lam´ethodedeladoublepileestlam´ethodelapluscourammentutilis´ee.
Configurationdeladoublepile
ChaquenoeuddisposededeuxpilesdeprotocolesavecuneconfigurationIPv4
etIPv6surlamˆemeinterfaceousurplusieursinterfaces.
Unnoeud`adoublepilechoisitlapile`autiliserenfonctiondel’adressede
destinationdupaquet.Ilprivil´egieIPv6lorsquecelui-ciestdisponible.
Laversiond’IOS12.2(2)Tetlesversionsult´erieuressontcompatiblesavecIPv6.
IlfautactiverleprotocoleIPv6surlerouteur,puisconfigurerlesinterfacesavec
IPv4et/ouIPv6.
ConfigurationdesadressesIPv6
Ilfauttoutd’abordactiverIPv6surlerouteur:
R1(config)#ipv6unicast-routing
Ilestpossibledesp´ecifierl’adresseIPv6danssonint´egralit´e:
R1(config-if)#ipv6addressadresse-IPv6/longueur-prefixe
Oualorsdecalculerl’identificateurhˆote`apartirdel’identificateurEUI-64de
l’interface:
R1(config-if)#ipv6addressadresse-IPv6/64eui-64
13
ConfigurationdeRIPngavecIPv6
UnefoisleprotocoleIPv6activ´eglobalementetlesinterfacesconfigur´eesavec
desadressesIPv6,onactiveleprotocoleRIPng:
R1(config)#ipv6routerripnom
Onidentifiealorslesinterfacesdurouteurdevantex´ecuterRIPngavecla
commande:
R1(config-if)#ipv6routerripnomenable
14
LeVPNGRE
GRE(Genericroutingencapsulation)estunprotocoledetunnelingpermettant
decr´eeruneliaisonvirtuellepoint`apointentredeuxrouteursdistants.
GREpeutencapsulerdiversprotocolesdecouche3`al’int´erieurd’untunnel
IP.Unprotocolederoutagepeutˆetreutilis´e`atraversletunnel,permettant
un´echangedynamiqued’informationsderoutagedansler´eseauvirtuelainsicr´e´e.
LestunnelsGREsontstateless:chaqueextr´emit´edutunnelneconservepas
d’informationssurl’´etatdel’extr´emit´edistante.
GREn’inclutpard´efautaucunm´ecanismedes´ecurit´epourprot´egerlesdonn´ees
transitantparletunnel.
Configurationd’untunnelsite`asiteGRE
Laconfigurations’effectueen5´etapes:
Etape1:
Oncr´e´euneinterfacedetunnelaveclacommandeinterfacetunnel0.
Etape2:
OnassigneuneadresseIPautunnel.
Etape3:
Onidentifiel’interfacesourcedutunnelaveclacommandetunnelsource.
Etape4:
Onidentifiel’interfacedestinationdutunnelaveclacommandetunneldesti-
nation.
Etape5:
Onindiqueleprotocolequiseraencapsul´eparleprotocoleGREavecla
commandetunnelmodegre.
15
Lesfirewalls
Unfirewallestunlogicielet/ouunmat´erieldontlebutestdefairerespecter
lapolitiquedes´ecurit´ed’unr´eseauend´efinissantlescommunicationspermises
ouinterdites.
Lespointscommuns`atouslesfirewallssont:
•r´esistanceauxattaques
•toutletrafficpasse`atravers
•applicationlapolitiquedes´ecurit´e
Ondistinguedeuxtypesprincipauxdefirewall:
•stateless
•stateful
Unfirewallstateless(sans´etat)inspectechaquepaquetind´ependammentdes
autresetlecompareunelisteder`eglespr´econfigur´ees(ACLs).
Unfirewallstateful(`a´etat)v´erifielaconformit´edespaquets`auneconnexion
encours.End’autrestermes,ils’assurequechaquepaquetd’uneconnexionest
bienlasuitedupr´ec´edentpaquetetuner´eponse`aunpaquetdansl’autresens.
16