La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DHCP En matière d'administration réseau, TCP/IP pose principalement deux problèmes à un administrateur réseau : La gestion des adresses IP C'est un travail.

Présentations similaires


Présentation au sujet: "DHCP En matière d'administration réseau, TCP/IP pose principalement deux problèmes à un administrateur réseau : La gestion des adresses IP C'est un travail."— Transcription de la présentation:

1 DHCP En matière d'administration réseau, TCP/IP pose principalement deux problèmes à un administrateur réseau : La gestion des adresses IP C'est un travail laborieux : l'administrateur doit tenir à jour une liste des ordinateurs avec leur adresse IP pour éviter d'attribuer deux fois la même adresse IP Les paramètres IP, tels que masque de sous-réseau, adresses IP du gateway et des éventuels serveurs WINS ou DNS. Imaginez que vous changiez le serveur WINS d'un réseau de 200 machines : vous (ou probalement pas vous si vous avez de l'argent) devrez passer sur les 200 machines pour modifier ce paramètre : travail laborieux ! Il y a heureusement un remède à ces tracasseries : DHCP : Dynamic Host Configuration Protocol

2 DHCP DHCP (Dynamic Host Configuration Protocol) DHCP est un service tournant sur un serveur qui attribue "à la volée" une adresse IP à des ordinateurs qui le lui demandent, et "passe" en même temps les paramètres IP comme le masque de sous-réseau et les adresses IP du gateway ou des éventuels serveurs DNS ou WINS. Au niveau des clients, il suffit de configurer une seule fois "attribution d'une adresse IP par un serveur DHCP" pour ne plus jamais avoir à s'occuper ultérieurement de questions IP. En cas de modification d'un paramètre sur le serveur DHCP (par exemple, modification de l'adresse IP du gateway), la modification sera effective sur tous les postes du réseau à leur prochain reboot (ou regénération DHCP).

3 DHCP Le fonctionnement général de DHCP Le fonctionnement de DHCP, dans les grandes lignes, est le suivant : le client (qui n'a pas d'adresse IP !) émet une requête DHCP (diffusion sur le réseau) un (ou plusieurs) serveur DHCP qui entend la requête répond en offrant une adresse IP disponible le client sélectionne une adresse IP qui lui convient et en demande l'utilisation au serveur DHCP concerné le serveur DHCP accuse réception et accorde l'adresse IP pour une durée déterminée (bail) le client utilise l'adresse IP accordée Si on reboote la machine cliente, cette dernière tentera généralement d'obtenir l'adresse IP qu'elle possédait préalablement. Elle en profite pour mettre à jour les paramètres IP (masque de sous- réseau, IP du gateway, DNS, WINS). A chaque reboot, le bail est réinitialisé

4 DHCP DHCP dans les détails Demande initiale du client : "DHCP Discover" Le client envoie sur le réseau un datagramme UDP de diffusion. Rappelons que le client n'a pas encore d'adresse IP (on dit que son adresse IP est ) IP du client : Adresse physique Ethernet : 00 CC (par exemple) Datagramme UDP envoyé : IP: (diffusé) Adresse physique Ethernet : FF FF FF FF FF FF (diffusé) Au datagramme UDP, le client rajoute un ID de transaction, par exemple Offre des serveurs DHCP : "DHCP Offer" Les serveurs DHCP renvoient un datagramme UDP à une adresse IP qui est toujours une diffusion puisqu'ils ne connaissent pas l'emplacement du client; par contre, le datagramme est cette fois spécifiquement dirigé vers l'adresse physique de la carte du client.

5 DHCP Datagramme UDP envoyé : IP: (diffusé) Adresse physique Ethernet : 00 CC (dirigé) Dans le datagramme, en plus de l'ID de transaction précédent, les serveurs DHCP proposent une adresse IP et une durée de bail. Choix d'une offre par le client : "DHCP Request" Le client choisit une adresse IP qui lui plaît et renvoie un datagramme UDP diffusé (que tous les serveurs DHCP vont donc recevoir) qui accepte l'offre voulue et rejette les offres non retenues. Datagramme UDP envoyé : IP: (diffusé) Adresse physique Ethernet : FF FF FF FF FF FF (diffusé) Rajout d'un nouvel ID de transaction, par exemple Confirmation de l'offre par le serveur DHCP concerné : "DHCPACK" Le serveur DHCP concerné accepte l'offre et transmet les autres paramètres IP (masque de sous- réseau, gateway, serveurs DNS et WINS) Datagramme UDP envoyé : IP: (diffusé) Adresse physique Ethernet : 00 CC (dirigé) ID transaction : Tant que le client ne reçoit pas de DHCPACK, il réemet la DHCP Request toutes les 2 minutes jusqu'à 87.5% de la durée du bail. Sans réponse alors, il repart à l'étape du DHCP Discover.

6 DHCP DHCP est-il routable ? Comme DHCP est basé sur de la diffusion, et que cette dernière n'est pas relayée par des routeurs TCP/IP, le serveur DHCP doit être sur le même segment Ethernet que les clients pour que le système fonctionne. Si le réseau est composé de routeurs, le problème peut être résolu avec des routeurs utilisant le protocole "BootP distant" qui sont alors capables de relayer des diffusions DHCP. Dans l'exemple illustré ci-dessus, le routeur avec BootP distant relaie les requêtes DHCP du client avec la particularité de rajouter à la requête le netID (ici ) du client. De cette façon, les serveurs DHCP du réseau ne répondront à la requête que s'ils sont capables de fournir une adresse IP dans cette étendue.

7 DHCP Mettre en place un serveur DHCP Pour quoi faire : Un serveur DHCP délivre automatiquement des adresses IP à vos stations qui se connectent. Il faut seulement indiquer la plage d'adresses que l'on s'autorise à distribuer. Ainsi si votre serveur a pour adresse , vous indiquez à votre serveur DHCP de délivrer des adresses dans la plage à , ce qui vous permet de connecter 235 stations. Il est conseillé de garder une plage d'adresses, ici de à , pour des machines qui ont besoin d'avoir une adresse fixe. Certaines machines peuvent avoir besoin d'un adressage fixe (Si cette machine est un serveur Web par ex.). Votre serveur DHCP doit être en marche tout le temps. En effet si la station qui se connecte ne trouve pas le serveur vous aurez alors un message d'erreur. Faites aussi attention à ne pas mettre en place plusieurs serveurs DHCP (par exemple un pour l'administratif et un pour le pédagogique) car alors le premier serveur qui répond sera le bon. Les solutions : Tous les serveurs disponibles sur le marché disposent d'un serveur DHCP en standard, il vous faut donc simplement l'installer. Il va de soi que vous avez alors le protocole TCP/IP d'installé. Celui ci pouvant cohabiter avec les autres protocoles.

8 Les proxys Introduction A l'époque héroïque du web, les réseaux locaux n'étaient pas reliés à Internet, ils n'utilisaient pas le protocole TCP/IP, et les navigateurs étaient des logiciels fort rudimentaires. On conçoit que le CERN (le Centre Européen de Recherche Nucléaire, à l'origine du web) ait éprouvé le besoin de créer (en 1994) un serveur destiné à relayer vers Internet les requêtes des navigateurs. Ce dispositif fut baptisé "proxy server", ce qui peut se traduire en français par "serveur mandataire" -- mais c'est le terme "serveur proxy" qui s'est imposé dans notre langue. Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place. Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au proxy, qui va à son tour la transmettre à l'application cliente.

9 Les proxys Aujourd'hui, les réseaux locaux sont de plus en plus souvent reliés à Internet via une passerelle ou un routeur, et ils utilisent de plus en plus fréquemment le protocole TCP/IP ; le rôle initial de relais joué par le serveur proxy est devenu obsolète. Pour continuer à vendre des serveurs proxy, les éditeurs de logiciel les ont dotés de nouvelles fonctions que nous allons examiner. On notera que l'on peut concevoir un serveur proxy pour chacun des services utilisant le réseau Internet (web, ftp, telnet, news...), mais qu'en pratique on rencontre surtout des serveurs proxy multiservices.

10 Les proxys Qu'est ce qu'un proxy-cache web? Un serveur de proximité : Un proxy-cache web s'intercale entre des clients web et des serveurs d'informations utilisant divers protocoles Un vaste espace disque : physiquement c'est un vaste espace disque qui sert à stocker les pages à stocker les pages web consultées par les utilisateurs. Lorsqu'un client émet une requête sur une page, celle ci est acheminée par le proxy après consultation préalable de son disque local pour savoir si le document est disponible à son niveau. Dans le cas contraire, la requête est transmise au serveur Web, qui retourne les informations au proxy, ce dernier transmet les informations à l'initiateur de la requête après avoir effectué une copie locale des informations sur son disque.

11 Les proxys Fonctionnement d'un proxy-cache web? Substitution d'adresses : Lors d'une requête d'un client, le proxy substitue dans les paquets l'adresse IP de la machine cliente par sa propre adresse IP. Cette traduction d'adresse se fait par un protocole nommé NAT (Network Address Translator). Gestion de la retransmission des documents : Le cache web doit avoir une politique de gestion des documents stockés dans son espace disque. Les paramètres suivant régissent les retransmissions de documents: durée de vie du document dans le cache, durée de non utilisation... –Un document peut avoir une entête précisant qu'elle ne peut pas être stockée dans un cache. –Les documents requérant une authentification ou les documents sécurisés ne sont pas stockés dans les caches.

12 Les proxys Avantages d'un proxy-cache web? Amélioration de la vitesse de transfert *: Si le fichier demandé se trouve dans le cache du proxy utilisé, celui-ci le transmet automatiquement. * Cependant des effets de ralentissements peuvent apparaître suite à une connexion lente entre l'ordinateur client et le proxy. Economie de bande passante : -La mise en place d'un cache permet d'économiser largement de la bande passante, par exemple on le vérifie quand des milliers d'utilisateurs font une requête sur une même page. Au lieu d'aller chercher la même page mille fois, on ne la rapatrie qu'une seule fois. Renforcement de la sécurité : -Vu qu' un proxy-cache web substitue l'adresse IP du client par sa propore adresse IP, les attaques sur les machines locales deviennent limitées car ces dernières ne sont pas visibles de l'extérieur.

13 Les proxys De manière générale un serveur proxy peut offrir les cinq fonctions suivantes : la fonction de cache (en anglais : caching). Le serveur proxy conserve en mémoire toutes les pages web demandées par les clients qu'il dessert ; la fonction d'enregistrement (en anglais : tracking ou logging). Le serveur proxy garde une trace détaillée de toutes les information qui le traversent ; la fonction de filtre (en anglais : filtering). On peut configurer un serveur proxy de telle sorte qu'il examine l'information qui le traverse, et qu'il refuse de délivrer les fichiers contenant une chaîne de caractères donnée. On peut également lui demander de gérer les droits de chaque client en ce qui concerne Internet ; la fonction d'anonymiseur (en anglais : anonymizing). On peut faire en sorte que les requêtes relayées par un serveur proxy ne contiennent pas l'adresse du navigateur client, de manière à protéger l'anonymat de l'internaute sur le web ; la fonction de sécurité. Le serveur proxy peut constituer une barrière entre Internet et le réseau local de l'entreprise ; enfin un proxy peut éventuellement remplacer un routeur à translation d'adresse (NAT).

14 Les proxys Le rôle de cache du serveur proxy En jargon informatique, une mémoire cache sert à conserver localement des informations qui ont une certaine probabilité de servir à nouveau à court terme. Ainsi, on trouve une mémoire cache dans les micro-processeurs, dans les contrôleurs de disque dur, dans les navigateurs, dans les serveurs web, etc... Un serveur proxy stocke provisoirement les pages web que les utilisateurs vont chercher sur Internet. Si un internaute requiert une information qui se trouve déjà dans le cache, il sera servi plus rapidement. Dans le cas contraire, il sera servi un peu plus lentement, car la traversée du serveur proxy représente une étape supplémentaire dans le transport de l'information. Le rôle de cache du serveur proxy pose en fait un double problème : –l'internaute est-il, en moyenne, servi plus lentement ou plus rapidement grâce au cache ? –l'information qui a séjourné dans le cache est-elle toujours valide ?

15 Les proxys Le cache accélère-t-il les consultations ? La probabilité pour que deux internautes, dont les besoins en information sont indépendants, demandent la même page, vaut moins de Si le proxy dessert cent utilisateurs, et si chacun d'eux télécharge 10 pages web, il existe moins d'une chance sur un million pour que le proxy joue son rôle de cache, et ce pour une seule page. Si les décideurs qui signent les bons de commande connaissaient mieux Internet et le calcul des probabilités, on ne vendrait pas beaucoup de serveurs proxy pour leur rôle de cache ! Le calcul précédent suppose que toutes les pages du web ont la même probabilité d'être consultées, et que tous les internautes ont des besoins distincts en information, ce qui est loin d'être le cas. Pour donner une chance au serveur proxy de servir à quelque chose, il faut se placer dans le cas favorable ou l'une au moins des conditions suivantes est remplie : –le proxy dessert un grand nombre d'utilisateurs ; –ces utilisateurs ont des besoins en information fortement corrélés ; –les pages web qu'ils requièrent présentent un fort taux de consultation.

16 Les proxys Le rôle d'enregistrement du serveur proxy Comme tout serveur qui se respecte, un proxy génère un fichier journal (log file). On y trouve la trace de toutes les requêtes effectuées par tous les postes clients dépendant du serveur en question. Contrairement à ce qui se passe pour les serveurs web, il n'existe pas de format normalisé pour le fichier journal des serveurs proxy. Cependant, quelle que soit sa présentation, ce fichier journal contient pratiquement toujours : –la date et l'heure ; –l'identification du client, sous une forme qui dépend de la manière dont est géré le réseau local. Il peut s'agir d'un numéro ou d'un nom de machine, d'un nom d'utilisateur, etc. Les personnes qui utilisent un ordinateur portable (lequel reçoit un numéro IP à la volée lorsqu'on le branche) peuvent être difficiles à identifier ; –l'URL de la ressource demandée ; –la taille de la ressource ; –le temps de téléchargement ; –le résultat de l'opération, etc.

17 Les proxys Le rôle d'anonymiseur Il peut être intéressant de rechercher de l'information sur le web de manière anonyme. Pour ce faire, on peut utiliser un poste client qui ne possède pas d'adresse Internet "en dur", mais qui reçoit une adresse à la volée du DHCP d'un fournisseur d'accès. Si je parcours le web via skynet par exemple, l'administrateur de serveur qui relève mon numéro IP et l'introduit dans un DNS inverse apprend que ce numéro appartient à skynet, et rien de plus (en fait, il n'a même pas besoin d'utiliser cette procédure, car le nom de skynet s'inscrit dans le fichier journal du serveur). Une autre solution consiste à utiliser un serveur proxy public dénommé "anonymizer". Un tel serveur doit remplir les trois conditions suivantes : –ne pas retransmettre l'adresse IP du client ; –supprimer tous les cookies ; –ne pas enregistrer de fichier journal, ou le détruire dans les délais légaux sans l'avoir utilisé. Les anonymiseurs ne sont pas sans défauts : –il faut reconfigurer son navigateur pour se connecter au web via un proxy public ; –le risque existe qu'un anonymiseur ne soit pas de bonne foi, et plus particulièrement lorsque le service est gratuit, la seule source de financement provenant alors de la publicité –le passage par l'anonymiseur ralentit beaucoup l'accès au web ; –les sites qui requièrent l'usage des cookies ne peuvent pas être atteints ; –les anonymiseurs gratuits n'assurent pas les liaisons sécurisées par le protocole

18 Les proxys Sécurité et fire-wall Comme nous l'avons signalé plus haut, la sécurité du réseau local constitue souvent l'argument massue de ceux qui installent un proxy dans une entreprise. Il est vrai que certains logiciels de serveur proxy incorporent des fonctions de sécurité. Mais comme dit le proverbe : "qui trop embrasse mal étreint". Pour une vraie sécurité, rien ne vaut un dispositif dédié, lequel s'appelle un coupe-feu (firewall). Le coupe-feu est un système informatique (ordinateur + logiciel), que l'on intercale entre le réseau local de l'entreprise et le réseau mondial Internet, et qui surveille les échanges d'information, dans les deux sens, entre ces deux réseaux. On peut même être plus général, et définir le firewall comme l'interface entre deux réseaux, ou entre deux parties d'un même réseau. Le pare-feu examine chaque paquet d'information qui le traverse et décide, en application des règles définies lors de sa configuration, de le laisser passer ou de le détruire. La notion de coupe-feu est apparue pour la première fois en 1987, et la première réalisation pratique date de Depuis, les problèmes de sécurité n'ont fait que croître et embellir sur Internet, si bien que le coupe-feu fait une carrière commerciale plus qu'honorable.

19 Les proxys Dans la taxonomie des firewalls, les puristes distinguent plusieurs types (de deux à quatre), suivant le niveau auquel le dispositif fonctionne dans le modèle OSI. Des querelles d'écoles ont bien sûr éclaté, pour savoir quel était le meilleur type taxonomie des firewallsmodèle OSI les firewalls commercialement disponibles fonctionnent souvent sur plusieurs niveaux à la fois. Pour simplifier, on peut distinguer deux cas extrêmes : –le pare-feu qui n'examine que l'en-tête des paquets. C'est souvent ainsi que fonctionne le pare-feu destiné à protéger un réseau local ; –le pare-feu qui n'examine que l'information utile contenue dans les paquets. C'est souvent le cas du pare-feu destiné à protéger un serveur web.


Télécharger ppt "DHCP En matière d'administration réseau, TCP/IP pose principalement deux problèmes à un administrateur réseau : La gestion des adresses IP C'est un travail."

Présentations similaires


Annonces Google