Cours: Administration Réseau

Chapitre 2: Notions d’administration réseau

Enseignante: Nouho Judith

PhD Student
2016-2017

1
Definition

Administration: C’est l’ensemble des moyens mis en œuvre pour

garantir l’efficacité du système et sa disponibilité, pour assurer la
surveillance des coûts et la planification des évolutions.

2
Généralités
• L’ISO, en partenariat avec l’UIT-T, ne spécifie aucun système
d’administration de réseau, mais simplement un cadre architectural :
OSI Management Framework (ISO 10040).

• Cette administration s’appuie sur trois modèles :

• Un modèle organisationnel
• Un modèle informationnel
• Un modèle fonctionnel

3
Modèle organisationnel
• Ce modèle fournit les moyens de transfert des informations de
gestions entre les objets administrés.

• Il définit également un dialogue (le CMIP : Common Management

Information Protocol ISO 9596), lequel utilise les primitives suivantes :
• Get, cet élément de service est utilisé par le gérant pour lire la valeur d’un
attribut
• Set fixe la valeur d’un attribut
• Event permet à un agent de signaler un événement
• Create génère un nouvel objet
• Delete permet à l’agent de supprimer un objet

4
Modèle informationnel
• Ce standard décrit une méthode de définition des données
d’administration.

• L’ensemble des éléments gérés est orienté objet et constitue une MIB
(Management Information Base : ISO 10165) qui contient toute les
informations administratives sur ces objets :
• Ponts
• Routeurs
• Cartes
• ....

5
Modèle Fonctionnel
• Ce modèle définit des domaines fonctionnels d’administration et
leurs relations. 

• On retrouve 5 domaines, 5 SMFA (Spécific Management Function

Area) :
• Gestion des fautes (Fault Management)
• Gestion de la configuration (Configuration Management)
• Gestion des performances (Performance Management)
• Gestion de la sécurité (Security Management)
• Gestion de la comptabilité (Accounting Management)

6
Fault Management : Gestion des fautes
• Optimisation des ressources et des moyens.

• Diagnostic rapide de toute défaillance (externe, coupure d’un lien

public, ou interne, panne d’un routeur).

• On retrouve aussi :
• Surveillance et traitement des alarmes
• Localisation et diagnostic des incidents
• Mémorisation des anomalies (journalisation)
• Définition des opérations curatives

7
Configuration Management : Gestion de la
configuration et des noms
Principaux rôles :
- inventaire des ressources
- initialisation des équipements
- gestions des noms et des adresses
- mise à jour des paramètres des ressources

Procédures :
- collecter les informations
- contrôler l’état du système
- sauvegarder l’historique (“log”)
- présenter l’état du système
8
Performance Management : Gestion des
performances
• Mettre en œuvre des moyens permettant d’évaluer le comportement des objets
gérés.

• Déterminer si la QoS est rendue aux utilisateurs.

• On retrouve aussi :
• La collecte d’information (audit)
• Mesure de trafic
• Temps de réponse
• Taux d’erreurs
• Le stockage (archivage)
• L’interprétation des mesures (calcul de charge)

9
Security Management : Gestion de la sécurité
• Regroupe tous les domaines de la sécurité afin d’assurer l’intégrité des
informations traitées et des objets administrés :
• Contrôle d’accès au réseau
• Confidentialité des données
• Intégrité des données
• Authentification
• Non désaveu

• Enregistrement de l’activité des utilisateurs :

- les évènements significatifs, les actions interdites ou sensibles

• Filtrage (“firewall”)
- trie des flux de données circulant entre deux parties du réseau (inter/intranet)

10
Accounting Management : Gestion de la
comptabilité

• Cette fonction permet essentiellement d’imputer les coûts du réseau

à ses utilisateurs selon l’usage réel des moyens (comptabilité
analytique).

• On retrouve :
• Définition des centres de coût
• Mesure des dépenses (structure) et répartition
• Mesure des consommations par service
• Imputation des coûts

11
Rôle d’un administrateur réseau
• La mission de l’administrateur réseau peut être divisée en quatre tâches biens
distinctes :
• La conception du réseau
• la configuration du réseau
• la résolution des problèmes de fonctionnement (Troubleshooting)
• la sécurité.

• Si la première tâche nécessite des connaissances détaillées des scripts

d’installation et de configuration, la résolution des disfonctionnements du réseau
est confrontée à des situations imprévues.

• La sécurité du réseau est a mi-chemin entre les deux premières tâches, la sécurité
d’un site se prévoit lors de l’installation des différents systèmes sur le réseau et se
poursuit par une surveillance et une information régulières des utilisateurs.

12
Plan d’ensemble
• Elaborer d'emblée un plan d'ENSEMBLE
• Recenser les besoins des futurs utilisateurs
• Inventorier les ressources existantes
• Ne pas dimensionner trop juste...

• Le réseau: élément fédérateur de partage des ressources

• éviter l'hétérogénéité des équipements

13
Topologie et architecture
• Un ou plusieurs sites géographiques
• Dispersion < 500 m
=> Réseau Fédérateur ou en Etoile

• Dispersion > 500 m

=> chaque site est vu comme un site isolé
=> choix de l'interconnexion des sites

14
Topologie et architecture
• Un ou plusieurs bâtiments

• Un ou plusieurs étages
=> Prévoir des équipements de concentration des postes de
travail par bâtiments, par étages...
– Hubs, Sous-répartiteurs
=> Prévoir des équipements d'interconnexion des groupes de
travail entre bâtiments, entre étages...
– ponts, commutateurs , routeurs
15
Conception efficace et armoires de câblage
sécurisées
• L’administration efficace d’un réseau commence par une conception
efficace.

• Cette approche implique les étapes suivantes :

• Sécuriser les armoires de câblage et contrôler les accès. Une armoire non verrouillée
est une source de problèmes.

• Documenter le réseau physique, en incluant les équipements et le câblage.

• Vous devez connaître les équipements connectés aux différents ports de chaque
commutateur et routeur et être capable d’identifier les câbles connectés à ces équipements.

• Définir et appliquer des stratégies de déplacement, d’ajout, et de changement de

matériel, dans lesquelles les modifications du réseau doivent être consignées et
planifiées par avance chaque fois que cela est possible.
• Des cartes physiques et des inventaires devraient toujours refléter les changements.

16
Identification des ports jugés "critiques"
• Un port commuté critique est un port dont le fonctionnement est vital pour
l’exploitation du réseau.

• Par exemples, les connexions de ports suivantes sont d’une importance capitale :
• ports de serveur de fichiers et d’applications ;
• ports de routeur ;
• ports de tronçon ;
• ports de ligne vitale (pour ces employés dont les ports ne devraient jamais tomber en
panne).

• Une fois les ports critiques identifiés, ils doivent être documentés, marqués
physiquement, et maintenus par l’intermédiaire d’une stratégie administrant les
déplacements, les ajouts, et les changements.
17
Configuration du réseau
• Avant d’entreprendre la configuration d’une machine on doit avoir certaines
informations. Au minimum chaque machine doit avoir une adresse IP unique ainsi qu’un
nom.

• default gateway address : si le système communique avec des machines qui ne sont pas sur le
réseau local, une adresse de passerelle par défaut est nécessaire.

• routing protocol : chaque machine doit connaitre le protocole de routage utilisé sur le réseau.

• name server address : pour convertir les noms de machines en adresse IP, chaque machine doit
connaître les adresses des serveurs DNS.

• domain name : une machine utilisant le service DNS doit connaître correctement son nom de
domaine.

• subnet mask : pour que la communication soit propre, chaque machine d’un réseau doit utiliser le
même masque de sous-réseau.

• broadcast address : pour éviter les problèmes de diffusion, les adresses de diffusion de chaque
machine sur un réseau doivent être identiques. 18
Obtention d’une adresse
• Chaque interface doit avoir une adresse IP unique sur un réseau
TCP/IP.

• Si la machine est sur un réseau connecté à Internet, son adresse doit être
unique (sur tout le réseau Internet).

• Pour un réseau non connecté, cette adresse doit être unique à l’échelle du
réseau local.
• A cause de cela les administrateurs de réseaux non connectés à Internet choisissent
souvent des adresses sans consulter le NIC ( Network Information Center).

19
Gestionnaires des adresses IP
• Attribution par des organismes spéciaux :
– IANA (www.iana.org et www.icann.org) centralise les affectations
– RIPE (www.ripe.net) s’occupe des adresses européennes
– AfriNIC (www.afrinic.net) s’occupe des adresses africaines
– APNIC (www.apnic.net) s’occupe des adresses asiatiques et
pacifiques
– ARIN (www.arin.net) s’occupe des adresses de l’Amérique du nord
– LACNIC (lacnic.net/en/index.html) s’occupe des adresses de
l’Amérique latine et des Caraïbes

20
Obtention d’un nom de domaine
• Un nom de domaine est obtenu comme pour l’adresse IP après avoir
fait une demande auprès du NIC.

• Quand on demande un nom de domaine Internet, on devrait aussi

demander un domaine in-addr.arpa.
• C’est ce qu’on appelle le domaine renversé.
• Ce domaine convertit les adresses IP en nom.
• C’est le processus normal de conversion à l’envers !
• Supposons que votre réseau est 128.66. Son nom de domaine renversé est 66.128.in-
addr.arpa.

21
Choix d’un nom de machine
• Une fois le nom de domaine obtenu, l’administrateur est libre de choisir le nom
de la machine à l’intérieur de ce domaine.
• Il faut s’assurer que le nom de la machine est unique a travers le domaine ou sous-domaine,
de la même manière que l’adresse IP est unique a travers le réseau ou sous-réseau.

• Le choix d’un nom de machine peut s’avérer délicat. Voici quelques suggestions
pour choisir :
• utiliser des noms courts, facile à épeler et à mémoriser.
• utiliser des noms de thème, de personnages connus...
• éviter d’utiliser des noms personnels, de projets ou venant du jargon technique.

22
Planning du routage
• Si des machines d’un réseau communiquent avec des machines d’un autre
réseau, on a besoin de passerelles entre ces réseaux. Une route à travers
des passerelles doit alors être définie.
• Il y a deux manières de le réaliser :
• table de routage statique : elle sont construites par l’administrateur système. Leurs
mises à jour sont faites manuellement.
• Elles sont utilisées quand le nombre de passerelles est limité.

• table de routage dynamique : elles sont construites par les protocoles de routage.
Les protocoles échangent des informations qu’ils utilisent pour la mise à jour des
tables.
• Elles sont utilisées quand il y a beaucoup de passerelles sur le réseau ou quand on peut
atteindre la même destination en empruntant plusieurs chemins.

23
Planning du routage
• L’administrateur réseau décide du type de routage utilisé ainsi que du
choix de la passerelle par défaut de chaque machine.

• Les protocoles de routages EGP et BGP demandent que les passerelles

aient un «autonomous système number».
• Si votre réseau est connecté à un autre réseau qui utilise EGP ou BGP, il faut
alors faire la demande de ces numéros auprès du NIC.

24
Définition d’un masque de sous-réseau
• Les raisons pour lesquelles on divise un réseau en sous-réseau sont d’ordre
topologique ou d’ordre organisationnel.

• Les raisons d’ordre topologiques sont :

• limitation en distance : un réseau local sur Ethernet épais est limité en distance à un tronçon
de 500m. On peut relier les câbles grâce à des routeurs IP pour augmenter la distance. A
chaque câble est associe un sous-réseau.

• connexions de réseaux de supports différents : cela consiste par exemple, à relier de

l’Ethernet avec du Token Ring en utilisant un routeur IP. On définir alors deux sous-réseaux.

• filtrage du trafic : les trames ne sortent du sous-réseau local que si elles sont destinées à un
autre sous-réseau. Ce dernier n’est donc pas encombré par des trames qui ne lui sont pas
destinées. Ce filtrage est réalisé dans les passerelles entre sous-réseaux.

25
Définition d’un masque de sous-réseau
• Les raisons d’ordre organisationel sont :
• simplification de l’administration du réseau : on délègue le travail
d’administration au niveau de chaque sous-réseau.

• isolation du trafic : pour des problèmes de sécurité, un département peut

souhaiter que ses trames ne circulent pas sur tout le réseau. La subdivision du
réseau en sous-réseaux apporte un début de solution.

26
Spécification de l’adresse de diffusion
• C’est une adresse ou tous les bits de la partie adresse de la machine
sont mis à 1.
• L’adresse de diffusion sur le réseau 192.33.174.0 est par exemple
192.33.174.255.

• L’adresse de diffusion est mise en place en utilisant la commande

ifconfig.

27
Feuilles de planning
• Apres avoir regroupé les différentes informations nécessaires au réseau,
l’administrateur réseau distribue à chaque administrateur système de
chaque machine les informations dont il dispose.

• L’administrateur système des terminaux X connectés au routeur cisco1021

recevra par exemple la feuille suivante pour chaque terminal :
• Hostname : txsun01
• IP adress : 192.33.174.70
• Subnet mask : FF.FF.FF.E0
• Default gateway : 192.33.174.65 (cisco1021)
• Broadcast address : 192.33.174.95
• Domain Name : imag.fr
• Primary Name Server : 192.33.74.34
• Secondary Name Server : 0.0.0.0
• Routing Protocol : RIPv1

28
Configuration de l’interface
• Une des forces du protocole TCP/IP est d’être indépendant du support
physique.
• Cet avantage augmente en fait la charge de travail de l’administrateur car il
doit alors indiquer au protocole TCP/IP quelles interfaces il doit utiliser et
pour chaque interface, il doit donner ses caractéristiques.

• Contrairement aux adresses Ethernet qui sont implémentées en hard,

l’administrateur système attribue à chaque interface réseau une
adresse IP, un masque de sous réseau et une adresse de diffusion.

29
La commande ifconfig
• Cette commande permet d’installer ou de vérifier les attributs associés à chaque
interface.

• L’exemple suivant est celui de la configuration de l’interface S0/0/0 de cisco1021

et de sa vérification ensuite :
• % ifconfig S0/0/0 192.33.174.34 netmask 255.255.255.0 broadcast 192.33.174.63
• % ifconfig S0/0/0
S0/0/0: flags=63<UP,BROADCAST,NOTRAILERS,RUNNING> inet 192.33.174.34 netmask 255.255.255.0
broadcast 192.33.174.63
• où :
• S0/0/0 est le nom de l’interface d’upac1021 que l’on configure.
• 192.33.174.34 est l’adresse IP de cette interface.
• 255.255.255.0 est le masque de sous réseau.
• 192.33.174.63 est l’adresse de diffusion, i.e tous les bits de la partie adresse de la machine
sont à 1.

30
La commande ifconfig
• L’administrateur réseau fournit les valeurs des adresses, du masque de
sous-réseau et l’adresse de diffusion.
• Ces valeurs sont directement tirées de la feuille de planning. Par contre, le nom
de l’interface, qui est le premier argument de chaque ligne de commande
ifconfig, est tiré de la documentation système.

• Il existe une commande, netstat, dont une des fonctions est d’indiquer
quelles sont les interfaces disponibles sur le système.
• La commande netstat -ain fournit en sortie les champs suivant pour chaque
interface :
• Name : Nom de l’interface. * indique que l’interface n’est pas disponible, i.e que
l’interface n’est pas «UP».
• Mtu : Maximum Transmission Unit montre la plus grande longueur de trame transmise par
l’interface sans qu’il y ait de fragmentation.

31
La commande ifconfig
• La commande ifconfig est normallement exécutée au moment du
boot par un fichier de startup.
• Sur les systèmes BSD UNIX, les commandes ifconfig sont normalement
placées dans les fichiers /etc/rc.boot et /etc/rc.local. Le script de /etc/rc.boot
est exécuté à la procédure de startup alors que le rc.local est exécuté à la fin.

• Autres fonctions de ifconfig :

• activer et desactiver l’interface :
• up active l’interface et down la désactive. Pour reconfigurer une interface, il faut d’abord
la désactiver.
• Par exemple, pour changer l’adresse IP de S0/0/0 :
• % ifconfig S0/0/0 down
• % ifconfig S0/0/0 192.33.174.50 up

32
Configuration du routage
• Internet repose sur le principe du routage. Sans le routage, le trafic
serait limité à un seul câble physique.
• Le routage permet à votre machine d’atteindre une autre machine qui n’est
pas sur le même réseau local que le votre.
• La communication peut très bien traverser une succession de réseaux
intermédiaires afin de s’établir entre les deux machines.
• En tant qu’administrateur réseau, on doit s’assurer que le routage du
système est bien configuré.

33
Les différentes configurations de routage
• Les trois configurations de routage les plus courantes sont :
• Routage minimal : s’applique aux réseaux complètement isolés des autres réseaux.
• Une table de routage minimale est construite par ifconfig une fois l’interface réseau configurée. Si votre
réseau n’a pas d’accès à d’autres réseaux TCP/IP et si vous n’utilisez pas de sous-réseaux, il se peut que
ce soit la seule table utilisée.

• Routage statique : un réseau avec un nombre limité de passerelles peut se configurer avec
un routage statique.
• Une table de routage statique est construite manuellement par l’administrateur système qui utilise la
commande route. Ces tables sont à utiliser seulement quand les routes ne sont pas modifiées, vu
qu’elles ne s’auto-adaptent pas aux changements de réseaux. Quand une machine éloignée ne peut être
atteinte qu’avec une seule route, le routage statique est la meilleure solution.

• Routage dynamique : un réseau ou une même destination peut être atteinte par plusieurs
routes devrait utiliser le routage dynamique.
• Une table de routage est construite à partir des informations échangées par les protocoles de routage.
Ces protocoles de routage ont pour but de mettre à jour les tables de routage et de choisir quelle est la
meilleure route vers une destination.Les routes sont construites à coup d’ifconfig, dans un script écrit par
l’administrateur ou,dynamiquement par les protocoles de routage.

34
La table de routage minimale
• Une fois la configuration de l’interface réalisée, la commande netstat -nr permet de connaître la table de
routage construite par ifconfig. Imaginons upac1021 sur un réseau local coupé du monde.

% netstat -nr
Routing tables
Destination Gateway Flags Refcnt Use Interface
127.0.0.1 127.0.0.1 UH 5 2017 lo0
192.33.174.64 192.33.174.65 U 52 1273321 ne0
192.33.174.32 192.33.174.34 U 133 887308 le0

La signification des Flags est la suivante :

• U indique l’état de la route ( U si up)
• G indique si la route se dirige vers une passerelle ( G si gateway). Dans le cas d’une table de routage
minimale, le flag G n’apparait pas car toutes les routes sont directes à travers les interfaces locales, sans
utiliser de passerelles extérieures.
• H indique que la route se dirige vers une machine (H si host). L’adresse destination est une adresse de
machine et non pas une adresse de réseau. L’adresse de loopback est 127.0.0.0. L’adresse destination
(127.0.0.1) est l’adresse de la machine locale. Cette route particulière se retrouve dans chaque table de
routage
35
Commande Ping
• Pour vérifier la table de routage d’ensisun et ainsi le bon fonctionnement du routage, on
peut faire un ping
• ping utilise le protocole ICMP pour forcer la machine destinatrice à renvoyer un écho
vers la machine locale. Si les paquets circulent entre les deux machines, cela veut dire
que le routage est bon.

• Si on fait un ping sur une machine qui n’est pas sur le réseau local, les résultats sont
différents.

% ping 26.40.0.17
sendto: Network is unreachable

• Ici, le message «sendto: Network is unreachable» montre que ensisun avec sa table de routage
minimale ne sait pas envoyer des données au réseau ou se trouve la machine 26.40.0.17. Ce test
montre que la table de routage crée par ifconfig permet seulement la communication sur des
machines sur le réseau local.

36
Construction d’une table de routage statique
• Comme nous l’avons vu, la table de routage minimale ne marche qu’avec les machines
directement connectées sur le réseau local. Grâce à la commande route, on rajoute des
routes à travers des passerelles externes jusqu’à des machines distantes.

% route -n add 152.77.0.0 192.33.174.62 1

• Le premier argument après route est soit add pour rajouter, soit del pour effacer une route.
• L’argument suivant 152.77.0.0 est l’adresse destination qui est l’adresse atteinte par cette route. Si
le mot-clé default est utilisé, route crée une route par défaut. La route par défaut est utilisée
quand il n’y a pas de routes spécifiques à une destination donnée.
• L’argument suivant est l’adresse de la passerelle. Cette adresse doit être celle d’une passerelle
directement connectée au réseau.
• Le dernier argument est la mesure de routage ( routing metric). Route utilise cette mesure pour
décider s’il s’agit d’une route à travers une interface locale ou bien à travers une passerelle
externe.
• Si cette mesure vaut 0, la route est supposée passer par une interface locale et le flag G n’est pas mis en place.
Si c’est supérieur à 0, le flag G est mis en place car la route est supposée passer par une passerelle externe.

37
Exemple Table de routage statique
% netstat -nr
Routing tables
Destination Gateway Flags Refcnt Use Interface
127.0.0.1 127.0.0.1 UH 5 2017 lo0
192.33.174.160 192.33.174.33 UG 0 0 le0
192.33.174.128 192.33.174.33 UG 21 13874 le0
129.88.0.0 192.33.174.62 UG 17 438296 le0
default 192.33.174.62 UG 0 161657 le0
192.33.174.96 192.33.174.35 UG 4 3509 le0

38
Les différents protocoles de routage

• Tous les protocoles de routage assurent les mêmes fonctions de base

: ils déterminent la meilleure route pour chaque destination et
échangent les informations de routages entre les différents systèmes
du réseau.

• Par contre, leur manière de procéder est différente.

39
Protocole de routage intérieur
• Un protocole intérieur est utilisé sur un réseau indépendant. Ces réseaux
indépendants sont aussi appelés système autonome en terminologie TCP/IP.
• Au sein d’un système autonome,l’information de routage est échangée en
utilisant un protocole intérieur.

• Routing Information Protocole (RIP) est le plus utilisé des protocoles intérieurs car il est
inclus dans UNIX. RIP sélectionne la route dont la longueur est la plus faible comme étant la
meilleure route.
• La longueur d’une route pour RIP est le nombre de passerelles que les données doivent franchir pour
atteindre leur destination. RIP suppose que la meilleure route est celle qui utilise le moins de passerelles.
• La plus grande longueur pour RIP est de 15. Au dessus de 15, RIP suppose que la destination n’est pas joignable.
• En supposant que la meilleure route est la plus courte, RIP ne prend donc pas en compte les problèmes de
congestion. Inclus dans UNIX, RIP tourne grâce au routing daemon, routed. Le routing daemon construit les
tables de routages avec les informations de mise à jour RIP.
• Les systèmes configurés pour traiter RIP échangent périodiquement ou sur demande ces informations de mise à
jour.

40
Protocole de routage extérieur
• Les protocoles de routage extérieur sont utilisés pour échanger des informations entre
système autonomes.
• Les informations de routage qui passent entre des systèmes autonomes sont appelées
reachability information. Ces informations indiquent quels réseaux peuvent être atteints
à travers un système autonome spécifique.

• Exterior Gateway Protocol (EGP) est le plus utilisé des protocoles extérieurs. Une passerelle qui
utilise EGP annonce qu’elle peut atteindre les réseaux qui font partie de son système autonome.
• Contrairement aux protocoles intérieurs, EGP n’essaie pas de choisir la meilleure route. EGP met à jour les
informations de distance mais n’évalue pas ces informations.
• Ces informations de distance ne sont pas directement comparables parce que chaque système autonome
utilise des critères différents pour évaluer ces valeurs.

• Border Gateway Protocole (BGP) commence à remplacer EGP. Comme EGP, BGP échangent des
informations entre systèmes autonomes mais BGP peut fournir plus d’informations pour chaque
route et peut utiliser ces informations pour sélectionner la meilleure route.

41
Choix d’un protocole de routage
• Bien qu’il y ait beaucoup de protocoles existant, en choisir un est
relativement facile.
• Pour des réseaux locaux, RIP est le plus courant. OSPF n’est pas encore
largement disponible et Hello n’a jamais été largement utilisé.

• Pour un protocole extérieur, on a rarement le choix du protocole.

Deux systèmes autonomes qui échangent des informations doivent
utiliser le même protocole.
• Si l’autre système autonome fonctionne déjà, il faut alors utiliser le même
protocole. Ce choix est souvent EGP même si BGP se diffuse de plus en plus.

42
La translation d’adresse (NAT)
• Le routeur de sortie va modifier l’entête IP de tout paquet provenant
d’une machine interne en remplaçant l’adresse source IP privée par
une adresse publique
• Vue de l’extérieur, le routeur se fait passer pour la machine source

• Deux types de NAT : statique et dynamique

• Statique la correspondance @ Privée / @ publique est fixe
• Dynamique : elle peut changer dans le temps

43
NAT STATIQUE: principe
• Une adresse publique associée à chaque adresse privée

• Plage d’adresse publique 195.0.0.248/29

Exemple d’associations Nat:
- 10.0.0.1 195.0.0.249
- 10.0.0.2 195.0.0.250

44
NAT dynamique ou IP masquerading :
principe
• Permet d’attribuer dynamiquement lors des connexions des adresses
IP publiques aux adresses privées

• L’adresse source des paquets devient l’adresse externe du routeur

• Problème : comment le routeur se rappelle-t-il des correspondances?

45
L’association connexion/@privée
• Se fait au moment du premier paquet qui sort en se rappelant le
numéro de port source

• Problème : si plusieurs connexions avec même port source en

même temps ?

• Attribution d’un port source virtuel unique à chaque connexion

46
Nat Dynamique
• Une seule adresse publique suffit pour un nombre quelconque de
machines dans l’Intranet

• On ne peut pas initier une connexion depuis l’extérieur

• Comment avoir un serveur WEB par exemple dans l’Intranet ?

47
Le port forwarding
• Utiliser dans la NAT dynamique pour rendre une machine accessible depuis
l’extérieur
• On mets en dur dans la table NAT du routeur
- port fixe: port privée/ adresse privée

- Par exemple 21: 21/10.0.0.1 (port d’un serveur FTP)

- Les paquets arrivant de l’extérieur vers (195.0.0.254, 21) seront redirigés
vers (10.0.0.1, 21)

- Problème si deux serveurs FTP sur 2 machines différentes ?

• Le “port mapping” consiste à changer de port sur la machine interne

• Par exemple : 80: 8080/10.0.0.1
• Un serveur http est lancé sur 10.0.0.1 sur le port 8080

48
 Exemple de table de port forwarding

@IP externe Port externe @IP interne Port interne

195.0.0.254 21 10.0.0.1 21

49
 Exercice
Vous venez d'être embauché en tant qu'administrateur systèmes et réseaux dans l'entreprise 4GI .
L'ancien administrateur a dû partir précipitamment et vous a laissé un projet à réaliser.

La société possède sur son réseau privé 10.0.0.0/23 quelques serveurs :

5 serveurs SSH (port TCP 22) (10.0.1.1, 10.0.1.2, 10.0.1.3, 10.0.1.4, 10.0.1.5) ;
4 serveurs web (port TCP 80) (10.0.1.6, 10.0.1.7, 10.0.1.8, 10.0.1.9) ;
et 2 serveurs DNS (port UDP 53) (10.0.1.10, 10.0.1.11).

De plus, il y a environ 250 salariés dans l'entreprise qui ont leurs adresses de 10.0.0.1 à 10.0.0.254.
L'ancien administrateur a acheté une plage d'adresses sur Internet qui est la suivante:
194.34.56.0/29

On vous demande d'écrire la table de port forwarding du routeur qui fera la liaison entre le réseau privé
et Internet. Sachant que ce routeur pourra donc avoir toutes les adresses du réseau public sur son
interface réseau externe.

50
Table de port forwarding

@IP externe 194.34.56.1 Port externe TCP 22 (SSH) @IP interne 10.0.1.1 Port interne TCP 22

@IP externe 194.34.56.1 Port externe TCP 80 (web) @IP interne 10.0.1.6 Port interne TCP 80

@IP externe 194.34.56.1 Port externe UDP 53 (DNS) @IP interne 10.0.1.10 Port interne UDP 53

@IP externe 194.34.56.2 Port externe TCP 22 (SSH) @IP interne 10.0.1.2 Port interne TCP 22

@IP externe 194.34.56.2 Port externe TCP 80 (web) @IP interne 10.0.1.7 Port interne TCP 80

@IP externe 194.34.56.2 Port externe UDP 53 (DNS) @IP interne 10.0.1.11 Port interne UDP 53

@IP externe 194.34.56.3 Port externe TCP 22 (SSH) @IP interne 10.0.1.3 Port interne TCP 22

@IP externe 194.34.56.3 Port externe TCP 80 (web) @IP interne 10.0.1.8 Port interne TCP 80

@IP externe 194.34.56.4 Port externe TCP 22 (SSH) @IP interne 10.0.1.4 Port interne TCP 22

@IP externe 194.34.56.4 Port externe TCP 80 (web) @IP interne 10.0.1.9 Port interne TCP 80

@IP externe 194.34.56.5 Port externe TCP 22 (SSH) @IP interne 10.0.1.5 Port interne TCP 22

51
Configuration des applications
• DNS

• SMTP/POP

• DHCP

• FTP / TFTP

• NFS : Network File System

• TELNET/SSH

• Voix sur Ip
52
Troubleshooting et sécurité
• Cette partie présente les méthodes et les outils disponibles pour la
résolution des problèmes du réseau.

• Toutefois ceci nécessite d’avoir une vision claire du fonctionnement

du réseau

53
Mise en place du suivi d’erreurs
• L’objectif principal de la gestion des erreurs est de détecter les
problèmes et d’en informer les utilisateurs le plus tôt possible pour
que des mesures soient adoptées avant que les performances ne se
dégradent.

• Principales fonctions :
• surveillance de l’état du réseau ;
• détection et notification des problèmes ;
• Analyse des problèmes et rétablissement des services.

54
Surveillance de l’état du réseau
• La capacité de détecter rapidement les problèmes survenant sur le réseau est
primordial.
• Le personnel d’exploitation du réseau peut s’appuyer sur une carte graphique du réseau
pour afficher les états opérationnels des éléments vitaux tels que les routeurs et les
commutateurs.
• La plupart des logiciels commerciaux de gestion de réseau peuvent assurer la
découverte des différents équipements.
• Chacun d’eux est représenté par un élément graphique sur la console d’administration
de la plateforme.
• Différentes couleurs sur les éléments graphiques représentent l’état opérationnel actuel
des équipements. Ces produits peuvent aussi recevoir et afficher des événements
générés à partir des équipements de réseau.

• Les équipements de réseau peuvent être configurés pour envoyer des

notifications aux plates-formes d’administration du réseau.
• A réception des notifications, les éléments graphiques figurant les équipements
changent de couleur selon le niveau de gravité de la notification reçue.
55
Détection et notification des problèmes
• Il existe des méthodes permettant de détecter les erreurs survenant
sur un réseau composé de routeurs et de commutateurs Cisco.
• Les plus courantes font usage des messages Syslog, des interceptions SNMP,
et de RMON
• Les équipements Cisco sont capables d’envoyer des messages Syslog à un
serveur Syslog.
• Il s’agit de messages système émanant de routeurs/commutateurs et décrivant
différentes conditions de l’équipement.
• Les interceptions SNMP transmises par les équipements sont utiles pour
signaler les conditions d’erreurs.

56
Gestion des performances
• Les tâches impliquées dans cette gestion sont les suivantes :
1. Définition des valeurs de référence pour les performances du réseau.
2. Définition d’un accord de niveau de service et de métriques.
3. Suivi et mesure des performances.
4. Définition du reporting des seuils et des exceptions.
5. Analyse et mise au point.

57
 Analyse du problème
• Les tests doivent permettre de savoir :
• si le problème est localisé à un utilisateur, une machine, une application
• si il concerne un groupe d’utilisateurs, plusieurs machines ou plusieurs applications
• si il concerne une ou plusieurs machines distantes

• Toutefois la qualité de l’analyse dépend fortement de l’expérience de

l’administrateur. Voici quelques éléments qui peuvent vous éclairer dans votre
démarche:
• un test doit être poursuivit tant que vous estimez qu’il peut vous apporter de nouvelles
informations même si elles ne vous semblent pas directement liées au problème.
• établir un compte rendu de vos tests avec les conclusions obtenues au terme de chacun.
• ne vous concentrez pas sur des hypothèses trop hâtives, les messages d’erreurs contiennent
beaucoup de détails utiles.
• dupliquez le problème sur d’autres machines.
• n’oubliez pas d’informer les utilisateurs et les autres administrateurs.
• vérifiez les connexions.

58
Surveillance de la disponibilité
• La méthode la plus simple pour contrôler la disponibilité des équipements
est de vérifier les réponses renvoyées après une requête ping (ICMP) ou get
de SNMP.

• Bien qu’une réponse ping ne garantit pas qu’un commutateur fonctionne

correctement, l’absence d’une telle réponse révèle manifestement un
problème.

• L’utilisation d’un dispositif NMS avec contrôle de disponibilité lié à la

couleur d’équipement sur une carte topologique est l’exemple le plus
courant d’un système de contrôle d’erreurs.

59
Tester la présence sur le réseau
• Ping est la commande qui permet de vérifier que la machine est accessible à partir de votre
machine. Ceci permet de déterminer si on doit orienter la recherche vers le réseau lui-même ou
bien vers les couches supérieures.

• Si ping renvoie une réponse positive, les paquets peuvent traverser le réseau dans les deux sens
et le problème doit se situer dans les couches supérieures. Si, par contre les paquets n’atteignent
pas la machine distante, les couches basses du protocole de communication peuvent être en
cause.

• La commande Ping peut être exécutée à partir d’autres comptes ou d’autres machines. Si Ping
échoue uniquement à partir de l’utilisateur en question, vous pouvez orienter votre analyse sur la
configuration du système utilisateur. Si Ping ne fonctionne à partir d’aucun sites, alors les
messages d’erreur peuvent vous aider:
• Unknown host : la convertion des noms en adresses ne fonctionne pas correctement. Essayez alors
d’effectuer la commande ping avec l’adresse IP de la machine distante concernée, si Ping l’atteint de cette
manière c’est que le «name service» sur votre machine ou sur l’autre est défectueux, poursuivez avec
"Nslookup" ou "Dig" pour tester les serveur de noms local et distant.
• Network unreachable : ceci signifie que le protocol n’a pas de route établie pour atteindre la machine
désignée, vérifiez la table de routage et réinstallée la. Si la route statique par défaut a été utilisée alors
réinstallez la. Si tout semble correcte alors vérifiez les tables de routage du «gateway» par défaut spécifié sur
votre machine.
60
Tester la présence sur le réseau
• No answer : la route pour atteindre le système distant existe mais la machine ne répond pas. Les raisons
peuvent être multiples à cela. La machine distante est peut être mal configurée ou des «gateways» entre les
deux machines n’ont pas des tables de routage correctes ou encore il y a un problème de connexion. Cette
situation vous impose de contacter l’administrateur du réseau où est connectée la machine distante.

• Quelques détails à propos de Ping

Ping host[packetsize][count]

• host : est le nom de la machine distante.

• packetsize : est la taille des paquets ICMP que Ping envoie pour avoir un echo de la machine distante, par défaut, ping
envoie des paquets de 64 bytes.
• count : est le nombre de paquets envoyés par la Ping à la machine distante.
• l’option -s permet d’afficher les paquets echo retournés par la machine contactée :

• Si le pourcentage de paquets perdus est élevé et le temps de réponse est bas ou que les paquets arrivent
dans le désordre alors il pourrait y avoir un problème matériel sur le médium. Il n’y a pas d’inquiétude à
avoir car TCP/IP est conçu pour résoudre les erreurs.
• Mais si ces problèmes concernent un réseau local alors il faut faire un contrôle du médium, en effet sur un
réseau local le temps de parcours doit être presque nul et il ne devrait pas y avoir de paquets perdus.

61
Tester l’accès au réseau
• Les messages «no answer» et «cannot connect» permettent de conclure que le problème vient
des couches basses du protocol TCP/IP.

• Trois commandes UNIX permettent de tester la couche d’accès au réseau:

• Ifconfig : sans options cette commande permet de vérifier la configuration et les paramètres d’une interface
réseau d’une machine.
• Avec l’option -a, elle renvoie les configurations de toutes les interfaces d’un système.
• En spécifiant une interface on obtient deux lignes, la première contient le nom et les caractéristiques, la deuxième donne
l’adresse IP, le "subnet mask" et l’adresse de diffusion.

• Arp : cette commande est utile pour analyser les problèmes dus à la traduction des adresses IP. Trois options
sont utiles, -a donne toutes les entrées, -d efface une entrée de la table, -s ajoute une entrée dans la table.
Les deux dernières options sont réservées au root. Arp est à utiliser lorsqu’une mauvaise machine répond. Ce
genre d’anomalies sont dûes lorsque deux machines ont la même adresse IP.

• Netstat : suivant les options utilisées, netstat permet de de visualiser trois types d’informations, la première
délivre les sockets valides utilisés par les différents protocoles, la seconde est une des nombreuses structures
de données du réseau, la troisième sont des statistiques sur la transmission de paquets.

62
Tester les mises à jour
• Le démon de routage en service sur toute machine en principe est en
attente des informations de mise à jour envoyées par les autres
machines du réseau local.
• Les paquets de message de mise à jour sont des RIP. Pour consulter ces
messages, on utilise la commande "ripquery".

• Ce sont les routes qui sont valides au moment ou la commande a été

exécutée.
• Si elles diffèrent de celles contenues dans la configuration des tables de
routage.

63
Tester les routes ouvertes par une connexion
• La commande "traceroute" décrit la route empruntée par les UDP pour
aller d’une machine à une autre.
• Traceroute fonctionne en envoyant des paquets UDP avec une durée de vie
incrémentée de un a chaque fois jusqu’à ce que la machine distante soit atteinte.
• Pour chaque paquet la machine recevant le paquet dont la durée de vie est nulle
retourne le temps qu’il a mis pour l’atteindre et son adresse à la machine émettrice

• Lorsque les 30 paquets se voient retourner des astérisques c’est que les
tables de routages ne sont pas bien configurées.
• Il s’agit alors de contacter les responsables de la dernière machine qui a répondu
pour réviser la configuration de leur routeur.

64
Tester le serveur de nom
• Les commandes "nslookup" et "dig" servent à consulter l’état de la
table du serveur de nom.
• Ce dernier est en cause lorsque le message "unknown host" est retourné lors
d’une tentative de connexion.

• Cette commande est très utile lorsque l’administrateur veut vérifier

que la machine distante est bien configurée.

• Par rapport à nslookup, dig a l’avantage de pouvoir être utilisé pour

convertir les adresses IP en noms et inversement en spécifiant
l’option -x.
65
Collecte de données de référence
• Pour définir des valeurs de référence, il faut prélever de façon
continue pendant une certaine période des échantillons de
statistiques sur les performances du réseau.

• Ces informations peuvent être collectées au moyen d’une sonde autonome

reliée à un segment de LAN ou à une liaison WAN.

• Les données sont ensuite utilisées pour déterminer un modèle de

comportement du trafic qui est jugé comme normal pour le réseau.

• Les mesures qui seront prises dans le futur pourront ainsi être comparées
avec ces résultats de référence afin de pouvoir juger de la qualité des
performances.

66
Collecte de données de référence
• Déterminez en premier lieu les informations que vous souhaitez observer dans la
durée.

• Par exemple :
• L’utilisation des ressources processeurs ;
• la consommation de la mémoire ;
• l’utilisation des interfaces ;
• les taux d’erreurs, particulièrement les erreurs CRC ;
• le trafic multicast ;
• le trafic broadcast.

• Après la collecte des données, vous pouvez écrire des scripts ou acquérir des
programmes pour collationner les données et établir des rapports comparatifs
permettant d’identifier les zones de problèmes ou celles de forte activité.
67
Valeurs de seuils
• Après avoir réuni une base de valeurs de référence, vous devriez
maintenant avoir une idée de ce qui devrait être considéré comme un
"comportement normal" pour différents segments de réseau, et en
particulier pour les ports critiques.

68
Interrogation de surveillance
• L’objectif de l’interrogation de surveillance est de détecter les changements de
comportement sur le réseau et de générer immédiatement une alarme.

• Elle vise la détection d’erreurs dites "dures", tel qu’un équipement ne répondant pas ou
le changement d’état d’une interface.

• Une alarme de cette catégorie doit immédiatement être suivie d’une action appropriée.

• Si votre système fait l’objet d’un suivi permanent (24/24 heures et 7/7 jours), une alarme
d’interrogation de surveillance devrait générer un signal visible et sonore sur le système
de façon que l’opérateur puisse réagir immédiatement.

• Si le suivi n’est pas continu, il est recommandé de diriger n’importe quelle alarme
d’interrogation de surveillance vers la personne appropriée, si possible par sms ou par
email.

69
Interrogation de seuils
• L’objectif de l’interrogation de seuils est de déterminer les conditions
d’erreurs qui s’aggravent afin d’entreprendre les actions qui
s’imposent avant que les performances ne soient réellement
affectées.

• Une grande variété de problèmes apparaît sous la forme de

conditions d’erreurs aggravées.
• Elles peuvent se transformer en erreurs "dures", ou se présenter par
intermittence.
• L’interrogation de seuils est un outil qui permet de détecter ces problèmes.

70
Interrogation de performances
• L’objectif de l’interrogation de performances est de collecter des données
pouvant être analysées dans le temps pour déterminer les tendances et
faciliter la planification des ressources.

• Dans le cadre de ce processus, des points de données individuels (données

brutes) sont stockés par intermittence sur la machine assurant
l’interrogation.

• Selon le mécanisme d’interrogation utilisé, les données peuvent être

conservées dans un format brut ou dans une base de données
relationnelle.

71
Sécurité
• Les réseaux sont basés sur le principe de l’autoroute, tout le monde y a accès et c’est à
chacun de se protéger.

• Pour que tout soit clair, l’administrateur doit prévoir une politique de sécurité précisant
les droits d’accès, les services réseau disponibles, les précautions à prendre, les
procédures à suivre lorsqu’une faille a été décelée dans la protection du réseau et des
méthodes de restauration de données.

• Le rôle de l’administrateur consiste aussi en la diffusion des information relatives au

réseau par les "mailing lists".
• Des informations intéressantes sont diffusées régulièrement par le CERT et la DDN. Via les mails
list "CERT advisories" et "DDN security bulletin".

• La protection des données et des applications dépend de leur niveau de confidentialité.

La protection la plus sûr est l’isolation physique du réseau.
• Toutefois les versions successives d’UNIX ont proposées des solutions aux problèmes d’accès et
aux menaces logicielles.

72
Passwords
• Les mots de passes sont à la base de la sécurité d’une machine.

• Il est donc important de se préserver contre les mauvaises âmes qui

cherchent à ouvrir les portes du système.

• Des indices importants sur les utilisateurs sont accessibles par la

commande «finger», il est donc vivement recommandé de suivre des
précautions élémentaires.

73
Passwords: Précautions élémentaires
• Tout compte doit comporter un password mis à part quelques uns qui sont alors très
restrcifs dans leur utilisation.

• Un mot de passe ne doit être en aucun cas inspiré des informations disponibles par la
commande vue précédement.

• Un mot de passe ne doit pas être tiré d’un dictionnaire surtout de la langue anglaise.

• Choisir une phrase de huit mot ou plus (Unix ne crypt que huit lettres du mot de passe
mais il est possible d’en taper plus).

• Insérer des caractères spéciaux et des majuscules.

74
Passwords
• Des outils existent comme "npasswd" ou "passwd+" qui permettent
de vérifier la validité d’un mot de passe.

• Npasswd : ce programme permet à l’utilisateur de choisir son mot de

passe mais il doit respecter certains critères testés par le programme.
• Il élimine les répétitions de caractères, les caractères impropres, les mots en
minuscules, les mots en majuscules, tous les mots se rapportant aux
informations contenues dans les fichiers lus par "finger" et les mots
appartenant à un dictionnaire.
• "Passwd+" propose un jeu de tests plus important et peut être configuré par
un langage assez complet.

75
Passwords
• Les mots de passe doivent être changés régulièrement
• Une procédure de surveillance des mots de passe est à établir.
• En voici une : copier le fichier /etc/passwd sur une bande, 30 jours plus tard, comparer le
fichier courant avec celui sauvé, avertir les utilisateurs qu’ils doivent changer leur mot de
passe dans les trente jours, vérifier 21 jours après, prévoir un deuxième avertissement,
au terme de la période des 60 jours, faire une dernière vérification et supprimer les
comptes rebelles.

• (L’ utilisateur pourra toujours retrouver son compte sur une bande de backup.) Cette
méthode élimine rapidement les comptes dormants, les plus compromettants pour la
sécurité d’une machine.

76
Les firewalls
• Face à ces nombreuses menaces, il peut sembler nécessaire d’isoler
les réseaux locaux du réseau internationnal. Une solution efficace est
la machine "firewalls".
• C’est une machine qui est placée à la place d’un routeur IP qui sépare deux
réseaux ou le réseau local de Internet.
• On distingue donc les firewalls internes et les firewalls externes.
• La machine firewall a la fonction de serveur de noms et rassemble les services
Internet (Telnet, ftp, mail,...) pour tout le réseau qu’elle protège.

• Ceci nécessite de créer des comptes dédiés à ces services, ces comptes sont
accessibles par un certain nombre de personnes du réseau.
• Dans le cas de secteur très sensibles, c’est une possibilité de trier les personnes de
confiances qui peuvent accéder à ces services qui ont tout l’intérêt d’Internet.

77
Le contrôle de routage
• Les firewalls ont l’avantage d’être très sûrs, mais le désavantage pour
des secteurs moins sensibles la question de la sécurité de limiter
considérablement l’accès au réseau Internet.

• Une solution logicielle consiste en l’utilisation d’un avantage du

protocol IP.
• Un site peut être isolé de tout le réseau en ne désignant dans sa table de
routage qu’un seul site de sortie.
• Donc aucun autre site que celui désigné ne connaîtra le réseau ainsi protégé.
• Toutefois ceci nécessite que toutes les machines du site soient configurées de
la même manière.

78
Le contrôle d’accès
• Limiter la table de routage est une solution mais elle ne convient pas
une utilisation régulière du réseau.
• C’est pourquoi le contrôle d’accès peut être une bonne alternative.

• Le contrôle d’accès consiste en un fichier qui est consulté par les

machines et les routeurs, l’accès est accordé uniquement lorsque le
mot de passe est bon.
• Le daemon TCPD permet de faire ce contrôle chaque demande d’accès un
server (ftp, rlogin, Telnet,...) Il suffit de spécifier le path de chaque daemon
comme tant celui de TCPD dans le fichier /etc/inetd.conf.

79