INTRODUCTION AUX RÉSEAUX IP - NOTIONS AVANCÉES



Table des matières

1. Le lien physique
2. Le lien logique
3. Couches "réseau" et "transport"
4. Les services de coeur de réseau




1. Le lien physique


Les données informatiques se présentent sous forme d'un flux d'informations binaire ou bits, de nature électrique, optique, etc...





La communication de  ces données entre un émetteur et un récepteur; nécessite en premier lieu la présence d'un lien ou vecteur physique.
 communication de bits

  Le lien physique est la condition minimum de fonctionnement d'une connexion réseau; dans le cadre d'un dépannage, c'est à lui qu'on doit s'intéresser en premier.

 

1. Le lien physique  Technologies
 

les baies de brassage, les prises murales et les cordons de brassages


SRV - ELEC - A - 16
                                             nom du local                    lettre     n°
                                             et de la baie                panneau   prise		 dénomination des prises murales

La baie de brassage

baie
  Au panneau de brassage aboutissent toutes les liaisons venant des différentes salles.

l


 Chacune de ces liaisons doit être connectée à un port d'un commutateur (switch); la prise correspondante dans la salle informatique est alors dite "activée"

l
Jarretière optique  

Elle comporte deux fibres (émission + réception). Les connecteurs
peuvent être de type SC, ST ou LC (vérifier avant d'acheter !)

Cordon de brassage
Les câbles sont dit de catégorie 5e ou 6; ils sont constitués de 4 paires de fils de cuivre torsadés (angl : Twisted Pairs)
Attention : il existe 2 recettes de câblages : droit et croisé; seule le 1er est utilisable
f Connections fibre optique


f

les jarretières permettent de relier les prises du tiroir optique au ports du commutateur optique
SRV - ELEC - A - 16
                nom de la baie            lettre       n°
                                               panneau   prise		 Prise murale



Les commutateurs administrables

d
Les commutateurs administrables sont habituellement situés dans les baies de brassage principale et secondaires

On les appelle parfois "Switchs manageable" de niveau 2, 3 ou 4.

Si aucune adresse IP n'est configurée, on accède à ces machines par une liaison RS232 et le logiciel "minicom", sinon via une interface TCP/IP d'administration Web, telnet, SSH ou grâce au protocole SNMP.

Notez que ces switchs sont dotées d'un bouton "Power" et d'un bouton "Reset". Il est possible de les utiliser pour relancer les switchs en cas de besoin. Le fonctionnement normal n'est n'atteint qu'au bout du temps nécessaire à l'algorithme "Spaning-tree" pour "apprendre" le réseau.
f











3COM SUPERSTACK 4900
avec différentes version et options		 f
3COM SUPERSTACK 4900
A droite : différentes version du  3COM SUPERSTACK 4400=> f


Exercice 1 : Consulte la documentation technique du commutateur Cisco Catalyst 2960; s'agit-il d'un commutateur de niveau 2, 3 ou 4 ?

Exercice 2 : Sur la documentation technique du commutateur Cisco Catalyst 2960, identifie la prise RS232; combien de broche comporte-t-elle ? quel est son format ?

Exercice 2 : Sur la documentation technique du commutateur 3COM Superstack 4400, identifie la prise RS232; combien de broche comporte-t-elle ?  quel est son format ?

Exercice 3 : Relève le n° de la prise murale à laquelle ton poste informatique est relié; déduis-en le nom de la baie de brassage,  la référence du panneau de brassage et de la prise où elle aboutit. Déplace-toi à cette baie de brassage, et repère le point d'arrivée de cette ligne; A quel commutateur cette prise est-elle reliée ? quelle en est la marque et le modèle ? Relève l'adresse MAC et l'adresse IP de ce commutateur, ainsi que le n° de port auquel ton poste informatique est relié.



1. Le lien physique  Segmentation du réseau en VLAN

Pour des raisons de sécurité et/ou de performance, il est judicieux de segmenter les réseaux Ethernet.

On utilise alors une technique appelée : VLAN, Virtual Local Area NetWork.

Avantages :

- Sécurité : les départements sensibles sont isolés du reste de l'entreprise, les données sont protégées.
- Performance : les trames de diffusion (anglais : broadcast), quand elles deviennent trop nombreuses, risquent de saturer le réseau (comme la "pub" dans les boites au lettres...); un vlan constitue un "domaine de diffusion", ce qui signifie les trames de diffusion y sont cantonnées, ce qui limite leur portée et donc le trafic généré.
- Performance : l'appartenance d'une trame à un VLAN permet de lui appliquer une priorisation plus ou moins importante, qui permet d'améliorer la qualité de service (téléphonie, visioconférence,...)

Critère de segmentation :

  • Segmentation par port : chaque port du switch est affecté à un vlan


La pratique veut que chaque VLAN soit associé à un (sous-) réseau IP distinct, ce qui facilite le routage entre VLAN (voir chapitre 3.)


La "segmentation par port" intervient au niveau 1 du modèle OSI : couche physique

Rappel : notion de réseau et sous-réseau IP

On peut segmenter un réseau IP en plusieurs sous-réseaux en donnant à chacun d'eux une adresse de réseau différente; car seules deux machines sur le même réseau peuvent communiquer.



On rappelle que l'adresse réseau est déterminée par le masque de réseau :

Adresse de la machine : 192.168. 7.1                       10 .0 .0 .1 : Adresse de la machine

masque de réseau :        255.255.255.0 (ET logique) 255.255.255.0 : masque de réseau

Adresse de réseau :       192.168. 7.0                       10 .0 .0 .0 : Adresse de réseau



Cette méthode de segmentation est-elle fiable et sûre ? Non, car il est facile de changer l'adresse IP ou le masque de réseau d'un poste pour se connecter à une machine de l'autre groupe; de plus cela n'empêche pas les trames de broadcast de polluer les deux parties du réseau


Exemple : le réseau est segmenté en trois vlans


Chaque VLAN fonctionne comme un réseau local (LAN) indépendant.

L'attribution d'adresse réseau différente à chaque vlan n'est pas strictement obligatoire : on est au niveau 1 : "couche physique", le segmentation en vlan ne tient donc aucun compte des adresses IP (couche 3 : réseau).

Dans ce schéma, aucune commu-nication n'est possible entre des périphériques appartenant à des vlans différents.

Certains ports devront pouvoir com- muniquer avec tous les  vlans, ex :  un port qui le relie le commutateur à un autre commutateur. Dans ce cas on utilise un port "tagué", qui peut appartenir à plusieurs ou à tous les vlans.

 reseau-3-vlan.png
Chaque port est affecté à un vlan; notez deux ports tagués qui peuvent être affectés à plusieurs vlans simultanément (en orange).
Note : les ports tagués* travaillent au niveau 2 : couche liaison du modèle OSI		 switch_port-vlan.png

* les ports tagués sont abordés au chapitre 2.


Exercice 1 : A partir de la documentation technique du réseau, identifie les différents vlans configurés avec leur n° associé, ainsi que leur finalité.

1. Le lien physique  Le Point d'Accès WIFI (anglais : AP, Access Point)


 
Le point d'accès WIFI intervient au niveau 1 : couche physique et au niveau 2 : couche liaison

Ces paramètres concernent la couche physique :

- le débit max. théorique est de 54Mbits/s sur le protocole 802.11g et 150Mbits/s sur le protocole 802.11n
- le débit réel est environ la moitié de ces valeurs et dépend a) de la distance, b) du nombre de clients connectés
- le choix du canal : 1, 6 ou 11 en 802.11g; il permet de faire "cohabiter" plusieurs points d'accès peu distants
- le SSID, permet au point d'accès de s'annoncer avec une dénomination propre.
- l'authentification du client sur le  point d'accès: WEP , WPA

Remarque importante 1 : dès que la trame a quitté le point d'accès pour entrer dans le réseau Ethernet, les paramètres ci-dessus ne jouent plus aucun rôle dans sa transmission.

Remarque importante 2 : une connexion réussie au point d'accès WIFI, ne signifie pas que l'on connecté au réseau au sens où on l'entend généralement !! c'est l'équivalent d'un câble branché sur une prise RJ45; c'est une condition nécessaire, mais pas suffisante. Pour une connexion fonctionnelle au réseau, il faut en plus que le réseau accepte de nous attribuer une adresse IP, que le pare-feu nous autorise l'accès, ...

Remarque 3 : souvenez-vous que la connexion au point d'accès WIFI se fait au niveau 1 : liaison physique; ceci signifie que ni les adresses MAC, ni les adresses IP, ni les ports TCP/UDP n'interviennent à ce stade.

Authentification Radius (AAA)

c'est la seule technique d'authentification reconnue par la norme wifi; elle permet d'autoriser l'accès au réseau non plus avec une clé unique comme le wpa (qui reste difficilement secrète si on doit la confier à plusieurs utilisateurs...), mais en attestant de l'identité de l'utilisateur qui cherche à se connecter;

Le serveur Radius s'appuie donc sur un annuaire d'utilisateur, qui peut être un LDAP et être distant (F.A.I., D.S.I...)

L'utilisateur fournit au point d'accès WIFI (A.P.) un nom d'utilisateur et un mot de passe
L'A.P. soumet ces informations au serveur Radius
Le serveur renvoie un "access-accept" ou un "access-reject"

Attention : Radius est un petit "fouineur"... c'est normal, il est à l'origine destiné à facturer l'accès internet des utilisateurs : il mémorise donc le détails de vos connexions.
 

Exercice 1 : Installe le logiciel "Wifi Analyser" (ou équivalent) sur ton smartphone Android; Relève le niveau du signal Wifi le plus fort (en dBm); converti cette valeur de dBm en Watt.

Exercice 2 : Quelle est la puissance PIRE maximum autorisée en France pour un P.A. Wifi ?

Exercice 3 : Question de réflexion : quelle est la caractéristique à vérifier sur un point d'accès Wifi pour obtenir la portée d'émission maximum ?

donnees techniques 802.11

formules wifi



2. Le lien logique

Rappel : La caractéristique principale du "niveau 2 : liaison", c'est qu'il introduit l'utilisation des adresses MAC
2. Le lien logique Le Point d'Accès WIFI (anglais : AP, Access Point)


Le point d'accès WIFI intervient au niveau 2 : couche liaison

Ces paramètres concernent la couche liaison :

- le filtrage par adresse MAC : permet d'autoriser/refuser la connexion d'un périphérique en fonction de ce paramètre

Remarque importante 1 : le point d'accès se comporte comme un pont; cela implique que l'adresse MAC du périphérique connecté apparaît toujours comme l'adresse MAC source des trames quand elle arrivent sur le réseau Ethernet; à contrario, un routeur substituerait à l'adresse MAC source de la trame avec sa propre adresse MAC



2. Le lien logique  Fonctionnement du commutateur Ethernet

Le commutateur travaille au "niveau 2 : liaison" du modèle OSI, car il lit et exploite les adresses MAC destinataire et source des trames entrantes.


Le commutateur se comporte comme un pont; cela implique que l'adresse MAC du périphérique émetteur apparaît toujours comme l'adresse MAC source des trames quand elle re-sortent du commutateur;

Une table d'adresses MAC contient des correspondances "port <=> adresse MAC du périphérique connecté"

Le commutateur contient 2 tables d'adresses MAC; chaque port est géré soit par l'une, soit par l'autre.

- dans la première les correspondances sont apprises et mise à jour dynamiquement
- dans la seconde les correspondances sont statiques; elles sont fixées par le technicien ou apprise automatiquement

Ce sont ces tables de correspondance qui permettent d'"aiguiller" les trames vers le bon destinataire.

Dans la table dynamique les enregistrements sont mis à jour dès qu'un poste est (dé-)branché; il est donc possible de brancher n'importe quel périphérique sur ce port.

Dans la table statique, les enregistrements sont non-modifiables; un port est donc irrémédiablement lié à une adresse MAC, donc à un périphérique.

Remarque : c'est pourquoi il n'est pas possible de connecter un point d'accès WIFI ou un autre commutateur en cascade sur un port géré dans la table d'adresse MAC statique !! (cf "remarque importante 1 du précédent paragraphe)

Remarque 2 : on utilise rarement la table d'adresse MAC statique car elle est très contraignante - on ne l'utilise que dans le cas où la sécurité doit être d'un très haut niveau.


2. Le lien logique  Segmentation du réseau en VLAN

Ports tagués

Dans le cas où on crée des vlans par port, on va se retrouver dans la situation où certains périphériques et/ou ports devront appartenir à plusieurs, voire à tous les vlans. Par exemple un routeur ADSL, un photocopieur ...

Notamment, quand le commutateur est relié à un autre commutateur, les ports utilisés pour cette connexion doivent être capable de communiquer avec tous les vlans; sans quoi cet autre commutateur serait cantonné dans un vlan particulier !

Un port tagué est un port qui peut appartenir plusieurs vlans simultanément. Mais cela a une conséquence : il ne peut plus utiliser des trames Ethernet classiques, mais un format de trame légèrement différent !!

Cette nouvelle trame "taguée" comporte un champ supplémentaire contenant le n° du vlan d'où provient la trame.

On ne peut donc connecter à ce port que des périphériques qui supportent les trames taguées !!

Dans l'interface de configuration du commutateur, on reconnaît les port tagués par la dénomination "tagged", tandis que les autres sont "untagged"


Vlans dynamiques

Nous avons considéré un premier critère de segmentation sur la couche physique : le "vlan par port"; à partir niveau 2 : liaison, il est possible de créer ce qu'on appelle des vlans dynamiques;

Critère de segmentation dynamique :

  • Segmentation par adresse MAC : chaque adresse MAC est affectée à un vlan. Cela suppose de relever les adresses MAC des périphériques concernés = compliqué.

Les trames sont affectés de façon dynamique à un VLAN en fonction de l'adresse MAC de l'expéditeur (source)

La "segmentation par adresse MAC" intervient au niveau 2 du modèle OSI : couche liaison




2. Le lien logique  L'algorithme Spanning-Tree


Cette fonctionnalité apparaît dans les commutateur de moyen et haut de gamme; elle permet de détecter et de désactiver les boucles dans le réseau Ethernet. Elle permet d'utiliser ces liens en redondance pour créer des chemins de secours en cas de défaillance du lien principal.

Comme sur le réseau IP, où ils sont la base du concept de "Web", les liens redondant peuvent être utile dans un réseau local - mais ils doivent intervenir uniquement en lien de sauvegarde.

Dans le réseau Ethernet, les liens redondant actifs simultanément peuvent avoir un effet dévastateur ; notez sur la droite un schéma illustrant un "broadcast storm" (document goffinet.org)

Symptôme d'une boucle de réseau : vos commutateurs clignotent comme des "sapins de Noël", d'une façon très caractéristique.

Dans des cas plus rare, certaines trames unicast pourrait poser aussi problème.

 brodcast-storm.png

On peut à la fois désirer avoir des liens de secours sur le réseau (par ex. en backbone) et vouloir se préminir contre des boucles crées par accident.

Le spanning-tree est une réponse efficace à cet objectif.

Par exemple, une cascade en paire torsadée peut être mise en secours d'un câblage vertical en fibre optique.

Notez que sur les commutateurs Cisco (et sans doute d'autre!), le spanning-tree se règle port par port. Quand, pour un raison ou une autre (architectures incompatibles, ...), il vaut mieux que 2 parties du réseau "s'ignorent" mutuellement, il est conseillé de désactiver le spanning-tree sur les ports qui relient ces deux réseaux.

Remarque importante : pour désactiver une boucle, le commutateur va automatiquement désactiver le port correspondant au lien redondant !! il est normal que le port soit à l'état "shutdown".






3. Couches Réseau et Transport



3. Réseaux et Transport
  Routage, NAT, Proxy, Pare-feu

Le routage est effectué par un routeur; celui-ci peut avoir des formes très différentes; en fin de compte un routeur est un ordinateur qu'on a doté de plusieurs interfaces réseaux, Ethernet, ADSL, ATM, Serial, etc..

Le routeur est l'interface entre le réseau (local) et le reste du monde - c'est donc l'endroit idéal pour surveiller, filtrer et optimiser les communications !

C'est pourquoi le routeur remplit souvent aussi les fonctions de
- Pare-feu
- Proxy filtrant
- Proxy cache
- Proxy mandataire (NAT)

Le pare-feu

Il exécute des règles prédéfinies par le technicien/l'administrateur
Il autorise/interdit les communications en fonction de critères comme les adresse IP source/destination; les ports TCP/UDP source/destinataire (type de service)

Nombre de pare-feu d'entreprise ou d?établissement scolaires interdisent TOUT sauf : les ports TCP 80, 443, 110, 25, UDP : 53

Le Proxy mandataire (NAT)

Quand les ordinateurs du réseau utilisent des adresses IP privées; ils ne peuvent pas se connecter directement à internet; le routeur fait alors office de mandataire grâce à la technique du NAT (NetWork Address Translation); il substitue à l'adresse IP source de la requête sa propre adresse IP (publique)

Le Proxy cache

Quand plusieurs utilisateurs vont chercher la même informations sur internet, cela crée du traffic redondant, inutile; le proxy cache garde en mémoire les pages déjà consultés sur internet; de cette façon, si cette page est à nouveau requise, il n'ira pas la chercher sur internet, mais dans sa mémoire. Cela améliore considérablement les rapidité de l'accès aux pages Web.

Proxy filtrant

Il filtre (interdit) la consultation de certaines pages Web ; les critères de filtrage sont :
- liste noire (adresses IP des sites Web interdits)
- liste blanche (adresses IP des sites autorisés)
- mot-clés dans l'url
- mot-clés dans la page Web

Remarque : la loi interdit en principe le filtrage (censure) d'internet* ; dans le cadre de la protection des mineurs toutefois, une circulaire du Ministère de l?Éducation Nationale préconise le filtrage des sites à caractère pornographique, racistes ou antisémites.

* sauf les sites pédopornographique ou faisant l'apologie du terrorisme, sur décision de justice.

Proxy filtrant

Ce n'est pas à proprement parler une fonctionnalité du proxy, mais une règle de pare-feu qui redirige (interception) les requêtes WEB vers le proxy au lieu de les acheminer vers internet; Il est alors impossible d'aller sur le WEB,  sans passer par le proxy


Conclusion : vous constatez que c'est surtout le pare-feu qui bride les fonctionnalités réseaux


Exercice 1 : analyse la documentation technique du réseau, et déduis-en l'adresse IP et le n° de port TCP du proxy.

Exercice 2 : Essaie de te connecter à un site pornographique; quel message le proxy filtrant t'a-t-il envoyé en réponse ?

Exercice 3 : Effectue des recherches pour trouver le nom du logiciel proxy filtrant du réseau; d'où viennent les listes des sites interdits (blacklist) ?

Exercice 4 : Quelles méthodes un utilisateur du réseau pourrait-il utiliser pour contourner ce blocage ?
3. Réseaux et Transport  Segmentation du réseau en VLAN dynamique

Critère de segmentation dynamique :

  • Segmentation par adresse IP : chaque adresse MAC est affectée à un vlan. Cela suppose de relever les adresses MAC des périphériques concernés.

Les trames sont affectés de façon dynamique à un VLAN en fonction de l'adresse IP de l'expéditeur (source)

La "segmentation par adresse IP" intervient au niveau 3 du modèle OSI : couche réseau

Exemple : le serveur DHCP attribue des adresses dans un réseau IP dédié aux postes connecté via le point d'accès WIFI. Au niveau du commutateur on configure la plage d'adresse constituant ce réseau comme appartenant au VLAN "WIFI"

Critère de segmentation dynamique :

  • Segmentation par port TCP : chaque port TCP (c'est-à-dire un type de service) est affectée à un vlan.

Les trames sont affectés de façon dynamique à un VLAN en fonction du port TCP (type de service) destinataire

La "segmentation par port TCP" intervient au niveau 4 du modèle OSI : couche transport

Exemple : les paquets dont le port destinataire est un port réservé à la téléphonie ou à la visioconférence sont affecté à un vlan "Téléphonie"




3. Réseaux et Transport  Routage des VLAN


Dans le chapitre précédent, nous avons constaté que les VLAN sont des zones étanches et que toute communication entre périphériques appartenant à des VLANS différents est impossible; dans un cas pratique, si un VLAN possède un serveur, il est probable qu'on voudra en rendre certains services accessibles aux périphériques appartenant aux autres VLANS

Les port tagués dont nous avons parlé au chapitre précédent sont une première solution.

Si on a choisi un (sous-)réseau IP distinct pour chaque vlan, un routeur avec une "patte" dans chaque vlan constitue la seconde solution; elle a l'avantage de pouvoir filtrer finement ce qu'on laisse passer grâce aux fonctions de filtrage (pare-feu ou ACL) dont est généralement doté le routeur.

Rappel : le routeur bloque les trames de broadcast.

Certains commutateurs dit de "niveau 3" sont capable de faire du routage, et gèrent les ACLs qui permettent de filtrer les communications; ils offrent donc toutes les fonctionnalités requises en un seul appareil : commutation, segmentation en vlan, routage entre vlans, filtrage des trames/paquets.

ACL : Access Control List

Certains commutateurs moyen ou haut-de-gamme permettent de créer des "Access Control List", c'est-à-dire des règles qui autorisent une certaine perméabilité entre vlans : en fonction des l'adresse MAC ou IP de l'expéditeur et/ou du destinataire, par exemple.

Il est donc tout à fait possible de faire communiquer les vlans, tout en conservant les avantages apportés par la segmentation



4. Services de coeur de réseau

La dernière couche du modèle OSI simplifié ou "modèle DOD" est la couche application;

Elle s'appuie sur les 4 couches vues précédemment :

couche 1 : physique
couche 2 : liaison de données
couche 3 : réseau
couche 4 : transport
couche 5 : application

Parmi les applications, certaines ne s'adressent directement aux utilisateurs (ex : service Web, mail, ...); d'autres sont des services transparents pour l'utilisateur, plus techniques, chargés de faciliter le fonctionnement du réseau,

Exercice : en considérant le modèle en couche OSI, réfléchit à la situation de maintenance suivante : un utilisateur signale que son logiciel, qui utilise une connexion réseau, ne fonctionne plus; quelles vérifications doit-tu alors faire, et dans quel ordre ?
4. Services de coeur de réseau
  DHCP - "Dynamic Host configuration Protocol"

Le service DHCP, Dynamic Host configuration Protocol, permet la configuration automatique des paramètres IP des périphériques réseau.

Le serveur DHCP attribue au périphérique une adresse IP choisie  dans la plage d'adresse réservée au VLAN où il est connecté.

Le serveur DHCP "isc-dhcp" présent sur les serveurs Linux configure les paramètres suivant pour chaque périphérique :

- adresse IP
- masque de réseau
- passerelle par défaut
- adresse du serveur DNS
- adresse du serveur WINS (option; utile pour les domaines Microsoft)
- nom de la machine (option)
- nom du domaine (option)

Note 1 : dans un vlan, il ne peut exister qu'un seul serveur DHCP, concurence interdite !!
Note 2 : Attention aux petits routeurs, points d'accès wifi, .. bon marché, qui ont souvent un serveur DCHP intégré actif par défaut !!
Note 3 : le fait qu'un périphérique aie recu une adresse IP via le DHCP suffit à démontrer que la connexion du périphérique au réseau est correcte de la couche 1 à la couche 5 du modèle OSI; le contraire n'apporte que peu d'information... sinon le fait qu'il y a un problème...

Réservation d'adresse IP

On souhaitera parfois qu'un périphérique se voit toujours attribuer la même adresse IP (par exemple une imprimante); cela est possible avec la réservation d'adresse; il suffit d'indiquer dans la configuration du serveur DHCP l'adresse IP désirée et l'adresse MAC de la machine concernée.

Exercice 1 : Recherche dans l'interface d'administration de ton réseau la page qui permet de consulter a) les baux en cours b) les réservations d'adresse

Exercice 2 : Relève, dans l'interface d'administration de ton réseau,  les informations suivantes, concernant ton poste informatique : date d'expiration du bail dhcp, adresse ip attribuée, adresse MAC.

Exercice 3 : depuis l'interface d'administration de ton réseau, crée une réservation d'adresse IP pour ton poste informatique.

4. Services de coeur de réseau
  DNS - "Domain Name Service"

Le DNS est simplement un service de confort pour l'utilisateur; il permet de désigner les périphériques réseaux (ordinateurs, serveurs, ..) par un nom composé de lettres, de chiffres et de certains caractères spéciaux, appelé "nom DNS".

Par exemple, la commande "nslookup www.google.fr" donne le résultat suivant :

L'adresse de serveur DNS utilisée par cette machine est : 127.0.0.1

Ce serveur a répondu que le nom DNS "www.google.fr" désigne le serveur dont l'adresse IP est 173.194.66.94
nslookup.png

La réponse est "non-authoritative", c'est normal, seuls les serveurs "racines", situés aux États-Unis (pour des raisons historiques),  font autorité.

Quels logiciels utilisent la résolution DNS ?

- les navigateurs Web, bien évidemment
- les clients de mail
- la commande ping
- plus généralement tout logiciel interagissant avec des services Web

Les serveurs DNS sur Internet ne connaissent bien évidemment pas les noms des ordinateurs de ton réseau local; c'est pourquoi tu as besoin d'un serveur DNS local sur ton réseau.

Note 1 : de plus en plus souvent les routeurs ont une fonction DNS intégrée.
Note 2 : le serveur DHCP est capable de renseigner automatiquement le serveur DNS sur la correspondance "nom" <=> "@IP" des machines auxquelles il a fourni un adresse IP; il y a donc très peu de travail à faire par l'administrateur pour avoir un DNS local renseigné; on appelle cela un DNS dynamique.
Note 3 : Dans le cas où la navigation Web se fait à travers un proxy, c'est ce dernier qui effectue les requêtes DNS pour cette application, non le poste client.
4. Services de coeur de réseau
  WINS - "Windows Internet Name Service"

Le service WINS effectue la traduction des noms de machines Netbios en adresse IP.

Les systèmes Microsoft utilisent historiquement un système de nommage concurrent du nommage DNS (qui entre temps est devenu un standard reconnu). le service WINS fait pour les noms Netbios ce que le service DNS fait pour les noms DNS

Il encore utile de nos jours dans les réseaux locaux, entre autre pour permettre aux clients d'une domaine Microsoft de trouver le serveur de domaine (PDC); par exemple au moment où l'on "rentre" une machine dans le domaine.

Exercice : sur un ordinateur utilisant Windows, les tables Netbios contiennent les informations récoltés par le protocole WINS. Affiche les tables Netbios de ton poste informatique en utilisant les commandes suivantes : nbtstat -A 192.168.231.254, nbtstat -n, nbtstat -r. Effectue les recherches nécessaires pour interpréter les résulats de ces commandes.


4. Services de coeur de réseau
  LDAP - "Lightweight Directory Access Protocol"

Le LDAP est un service d'annuaire, c'est-à-dire une liste d'utilisateur du réseau, avec pour chacun de ces éléments : une  liste d'attributs; par exemple le nom, le prénom, l'adresse, le n° de téléphone, le mot de passe, etc..

Le rôle d'un annuaire est de rendre possible l'authentification; c'est-à-dire qu'il permet d'identifier de manière fiable l'utilisateur qui se connecte et ainsi de personnaliser sa connexion au système.

Du fait de la nature arborescente et hiérarchique de LDAP, il est possible d'avoir des réplications totales ou partielle de ces données sur plusieurs serveurs, par exemple quand l'entreprise est constituée de plusieurs sites distants géographiquement.

Exemple : le rectorat de l'académie situé à Orléans (45) possède un annuaire LDAP, dit "annuaire fédérateur" qui comporte tous les utilisateurs de réseau des lycées de l'académie; chaque lycée possède un serveur qui comporte un réplication partielle (locale) de cette annuaire; la partie répliquée contenant, bien évidemment, les élèves et professeurs du lycée en question.

la nature arborescente et hiérarchique de LDAP permet d'autre part de constituer des communautés, ou groupes d'utilisateurs, auxquels il sera plus aisé d'appliquer des droits qu'à des utilisateurs uniques.

Remarque : LDAP est utilisable sous Windows (avec le système d'authentification NTML) et sous Unix/MacOS (avec le système d'authentification PAM); et il aussi compatible avec la plupart des services; de ce fait il permet de réaliser des systèmes informatiques dits "Single-Sign-On" (SSO), c'est-à-dire qu'on a besoin de s’authentifier une seule fois pour accéder à tous les services

Exercice 1 : Relève, dans l'interface d'administration de ton réseau, le nom de quelques groupes d'utilisateurs LDAP

Exercice 2 : depuis l'interface d'administration de ton réseau, crée un nouvel utilisateur du réseau
4. Services de coeur de réseau
  AD - "Active Directory"

Active Directory est un système d'authentification de Microsoft.

AD utilise et constitue un annuaire LDAP; il permet d'identifier les utilisateurs qui se connectent sur les ordinateurs équipé de Windows Professionnel (7, 8 ou 10).

Cette authentification permet ensuite d'appliquer des règles personnalisés à l?utilisateur (droits) et de mette à sa disposition des ressources personnalisée (ex : dossier personnel).

AD directory est un ensemble de service : authentification (LDAP/NTLM), partage de fichiers (SMB/CIFS), DHCP, DNS.

L'ensemble des ordinateurs (clients) servis par un serveur AD est appelé domaine Microsoft.

"Mettre un ordinateur (client) dans le domaine" signifie configurer cet ordinateur pour qu'il utilise le service AD, fourni par le serveur AD local.

Il est à noter qu'il convient de s’acquitter auprès de Microsoft du prix d'une licence quand on rajoute un ordinateur dans le domaine.

Il existe une version Linux pour AD : Samba.

NTLM est le protocole d'échange de "mot de passe" dans le domaine Microsoft; c'est le protocole qui sera ciblé par un pirate informatique dans un réseau local (c'est-à-dire pour "récupérer" le mot de passe administrateur)

Exercice 1 : Installe une machine virtuelle avec le système d'exploitation Windows 7 Professionnel. Puis renseigne-toi auprès du formateur des paramètres du domaine Microsoft de la salle de formation (nom de domaine, compte administrateur) ; enfin, intègre la machine  Windows 7 Pro dans le domaine Microsoft de la salle de formation.

Exercice 2 : Installe une machine virtuelle avec le système d'exploitation Windows 7 Professionnel. Puis intègre-la  dans le domaine Microsoft de la salle de formation en utilisant l'outil d'administration OPSI
 
4. Services de coeur de réseau
  CIFS / SMB - "Server Message Block"

Le service SMB (aussi appelé CIFS) fournit un partage de fichier; c'est-à-dire qu'il rend disponible sur le réseau local les fichiers existants sur un média physique (disque dur, etc...)

Dans un réseau Microsoft de type workgroup, il permet de partager des fichiers d'un ordinateur à un autre;  dans un réseau Microsoft de type domaine, il permet de fournir à l'utilisateur un dossier personnel (en réalité hébergé sur le(s) disque(s) dur du serveur), et des dossier communs à des groupes d'utilisateurs.

Ce protocole utilise le port 445; il doit être cantonné au réseau local.

Exercice 1 : connecte-toi sur un ordinateur du domaine sous différentes identités (par exemple : un professeur, un élève, un administrateur) et relève la liste des partages de fichier auxquels tu as accès dans chacun des cas.

Exercice 2 : relève maintenant la liste des outils de travail collaboratifs disponibles pour chaque catégorie d'utilisateur.