Module 3 : Planification du routage et de la commutation ... · en cours, de marques, de droits d’auteur ou d’autres droits de propriØtØ intellectuelle et industrielle ... Module

Table des matières

Vue d'ensemble 1

Leçon : Sélection de périphériques intermédiaires 2

Leçon : Planification d'une stratégie de connectivité Internet 20

Leçon : Planification du routage des communications 35

Leçon : Résolution des problèmes liés au routage TCP/IP 52

Atelier A : Planification du routage et résolution des problèmes 61

Module 3 : Planification du routage et de la commutation et résolution des problèmes

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Module 3 : Planification du routage et de la commutation et résolution des problèmes iii

Notes du formateur Dans ce module, les stagiaires vont acquérir les connaissances nécessaires pour planifier le routage ainsi que la commutation et résoudre les problèmes s'y rapportant dans l'infrastructure réseau Microsoft® Windows Server� 2003.

À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :

! créer un plan de routage et de commutation sécurisé ; ! identifier les outils de résolution des problèmes liés à TCP/IP

(Transmission Control Protocol/Internet Protocol) ; ! résoudre les problèmes liés au routage TCP/IP.

Pour animer ce module, vous devez disposer des éléments suivants :

! Fichier Microsoft® PowerPoint® 2189a_03.ppt ! Fichiers multimédias :

• Rôle du routage dans l'infrastructure réseau

• Stratégies de connectivité réseau à Internet

• Sélection d'une solution pare-feu de base/NAT ou ISA Server

• Filtrage par un routeur de protocoles

Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la visionneuse PowerPoint ou une version antérieure de PowerPoint, il est possible que certains éléments des diapositives ne s'affichent pas correctement.

Pour préparer ce module, vous devez effectuer les tâches suivantes :

! lire tous les supports de cours de ce module ; ! effectuer l'ensemble des applications pratiques et l'atelier ; ! vous exercer à effectuer toutes les pages des procédures ; ! visualiser les présentations multimédias ; ! passer en revue les cours et modules de connaissances préalables.

Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module.

Présentation : 150 minutes Atelier : 30 minutes

Matériel requis

Important

Préparation

iv Module 3 : Planification du routage et de la commutation et résolution des problèmes

Pages de procédures, instructions, applications pratiques et ateliers

Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier.

Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon.

Les pages d'instructions vous fournissent les principaux points de décision relatifs au sujet. Utilisez ces instructions pour renforcer le contenu et les objectifs de la leçon.

Expliquez qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon.

À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module.

À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : À partir de Utilisateurs et ordinateurs Active Directory®, double-cliquez sur le n�ud de domaine).

Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module.

Leçon : Sélection de périphériques intermédiaires Avant de commencer cette leçon, déterminez si les stagiaires tireraient profit d'une révision sur le routage. Dans ce cas, reportez-vous aux informations de révision de l'annexe B.

Pendant l'animation de cette section, vous devez :

! définir chaque type de périphérique ; ! fournir des exemples réels indiquant à quel moment chaque périphérique

serait utilisé.

Expliquez que cette présentation multimédia fournit une vue d'ensemble visuelle et élaborée de la planification d'une solution TCP/IP.

Pages de procédures

Pages d'instructions

Applications pratiques

Ateliers

Types de périphériques

Présentation multimédia : Rôle du routage dans l'infrastructure réseau

Module 3 : Planification du routage et de la commutation et résolution des problèmes v

Mettez l'accent sur les différences existant au niveau des modes d'utilisation des routeurs dans les environnements LAN (réseau local) et WAN (réseau étendu).


! définir un domaine de collision ; ! définir un domaine de diffusion ; ! expliquer les différences existant entre les domaines de collision

et de diffusion ; ! indiquer pourquoi il est bénéfique de créer des domaines de collision

et de diffusion.


! définir les fonctions des commutateurs de couches 2 et 3 ; ! expliquer les avantages d'un commutateur de couche 2 ; ! expliquer les avantages d'un commutateur de couche 3.


! définir ce qu'est un réseau local virtuel (VLAN, Virtual Local Area Network) ;

! expliquer les avantages d'un réseau local virtuel ; ! indiquer les options d'appartenance à un réseau local virtuel ; ! expliquer la façon dont un réseau local virtuel peut être implémenté dans

l'environnement de travail du stagiaire.


! utiliser la diapositive de déploiement pour définir la transmission en duplex intégral ;

! comparer la transmission en duplex intégral à la transmission en semi-duplex ;

! présenter des situations où les stagiaires implémenteraient la transmission en duplex intégral dans leur environnement de travail.

Leçon : Planification d'une stratégie de connectivité Internet Pendant l'animation de cette section, vous devez :

! définir les différentes conditions requises pour une solution de connectivité Internet ;

! mettre l'accent sur les points de décision que les stagiaires devront comprendre pour définir une solution de connectivité Internet.


! souligner que le protocole de traduction d'adresses réseau (NAT, Network Address Translation) est une solution appropriée lorsque tous les utilisateurs disposent du même accès à la connectivité, le réseau privé n'est pas routé et un adressage privé est requis ;

Cas d'emploi du routage

Types de domaines réseau

Description des fonctions des commutateurs

Réseaux locaux virtuels

Transmission en duplex intégral dans les environnements commutés

Configuration requise pour une solution de connectivité Internet

Protocole NAT en tant que solution pour la connectivité Internet

vi Module 3 : Planification du routage et de la commutation et résolution des problèmes

! décrire les fonctions fournies par le protocole NAT et souligner le fait que cette solution s'adresse aux petites entreprises et qu'elle ne doit pas être utilisée si Microsoft ISA (Internet Security and Acceleration) Server est une solution appropriée ;

! indiquer les informations requises pour les adresses publiques et privées, ainsi que les interfaces auxquelles elles peuvent être attribuées ;

! expliquer les types de connexions permanentes et non permanentes. Insister sur le fait que toutes les requêtes Internet doivent être transmises via l'interface interne NAT ;

! insister sur le fait que les options automatiques d'attribution d'adresses IP (Internet Protocol) et de résolution de noms éliminent le besoin de serveurs supplémentaires conçus pour Windows Server 2003. Souligner le fait que les stagiaires doivent s'assurer qu'aucun serveur DHCP (Dynamic Host Configuration Protocol) ne fournit une configuration IP.


! expliquer qu'ISA Server n'est pas inclus dans Windows Server 2003, mais qu'il peut fonctionner sur un ordinateur exécutant Microsoft Windows Server 2003 ;

! insister sur le fait que les spécifications de conception d'une solution ISA incluent les spécifications de sécurité, la configuration réseau, le nombre de ressources exposées à Internet et le nombre d'emplacements ;

! insister sur le fait qu'ISA Server fonctionne dans les environnements routés ou non routés, fournit des restrictions au niveau d'Internet sur une base d'utilisateur individuel et restreint l'accès aux réseaux privés sur une base de ressource individuelle ;

! souligner le fait qu'ISA Server s'intègre avec d'autres services réseau pour tirer parti de leurs fonctions ;

! expliquer que l'on obtient les adresses publiques requises auprès d'un fournisseur de services Internet ou d'un registre Internet, et que ces adresses sont ensuite affectées aux interfaces et périphériques appropriés ;

! décrire la façon de déterminer l'interface appropriée et de sélectionner la connexion adaptée ;

! expliquer que les plages d'adresses du réseau privé sont spécifiées et que le logiciel approprié est sélectionné afin de relier les ordinateurs de ce réseau au serveur ISA.

Leçon : Planification du routage des communications Les pages d'instructions vous fournissent les principaux points de décision de la section. Utilisez-les pour renforcer le contenu et les objectifs de la leçon.

ISA en tant que solution pour la connectivité Internet

Instructions de planification de la connectivité du routeur

Module 3 : Planification du routage et de la commutation et résolution des problèmes vii

Leçon : Résolution des problèmes liés au routage TCP/IP Durée approximative de cette application pratique : 10 minutes

Avant de commencer l'application pratique, indiquez aux stagiaires qu'ils peuvent se reporter au contenu traité dans la leçon. Demandez-leur de lire le scénario et d'effectuer les tâches pratiques.

Après que tous les stagiaires ont terminé l'application pratique, demandez-leur de discuter des résultats obtenus.

Atelier A : Planification du routage et résolution des problèmes Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier.

Rappelez aux stagiaires qu'ils peuvent revenir aux pages d'instructions et de contenu du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire.

Informations de personnalisation Cette section identifie les caractéristiques des ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires pendant les ateliers. Ces informations visent à vous aider à répliquer ou personnaliser le cours Microsoft Official Curriculum (MOC).

L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section « Informations de personnalisation » située à la fin du Guide de configuration automatisée de la classe du cours 2189, Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003.

Mise en place de l'atelier Aucune configuration de mise en place de l'atelier n'affecte la réplication ou la personnalisation.

Résultats de l'atelier Aucun changement de configuration des ordinateurs des stagiaires n'affecte la réplication ou la personnalisation.

Application pratique : Résolution des problèmes liés au routage TCP/IP

Important

Module 3 : Planification du routage et de la commutation et résolution des problèmes 1

Vue d'ensemble

*********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Ce module présente la planification de la stratégie de routage d'une entreprise. En utilisant le document de conception du réseau fourni, vous allez planifier la configuration du routeur de façon à ce qu'il puisse prendre en charge cette conception. Vous allez également déterminer l'emplacement du routeur de manière à améliorer les communications. De plus, ce module fournit des informations sur la résolution des problèmes liés au routage TCP/IP (Transmission Control Protocol/Internet Protocol).

À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :

! créer un plan de routage et de commutation sécurisé ; ! identifier les outils de résolution des problèmes liés au routage TCP/IP ; ! résoudre les problèmes liés au routage TCP/IP.

Introduction

Objectifs

2 Module 3 : Planification du routage et de la commutation et résolution des problèmes

Leçon : Sélection de périphériques intermédiaires


Cette leçon présente les informations de base relatives aux commutateurs et aux routeurs. Elle traite également des critères à prendre en compte pour sélectionner un périphérique donné en fonction de la situation.

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

! comprendre le mode de fonctionnement du routage dans un environnement d'entreprise ;

! comprendre l'impact des commutateurs sur les domaines de collision et de diffusion ;

! déterminer le moment d'utilisation des routeurs et des commutateurs ; ! identifier les critères de sélection des commutateurs ; ! sélectionner le périphérique intermédiaire approprié à implémenter dans

la stratégie de routage.

Introduction

Objectifs de la leçon


Types de périphériques


Il est possible que votre entreprise utilise plusieurs périphériques intermédiaires dans le cadre de sa solution réseau. Les plus courants sont les concentrateurs, les routeurs et les commutateurs. Une fois que vous aurez compris les différences existant entre ces périphériques, vous serez à même de déterminer quel type de périphérique utiliser dans votre réseau.

Un concentrateur (ou répéteur) opère au niveau de la couche 1 de l'OSI (Open Systems Interconnection). Un concentrateur peut permettre d'accroître la taille d'un réseau en reliant plusieurs segments dans un segment de plus grande taille. Étant donné qu'un concentrateur fonctionne au niveau physique (couche 1), il ne traite pas les données ; il se contente de recevoir le signal entrant et de le reconditionner afin de le retransmettre sur tous les ports. Le concentrateur est invisible sur tous les n�uds d'un réseau local répété.

Un routeur est un périphérique intermédiaire présent sur un réseau qui accélère la remise de messages. Il fonctionne au niveau de la couche 3 de l'OSI et donc au niveau des paquets plutôt qu'au niveau des trames. Un logiciel de couche 3, comme IP ou IPX (Internetwork Packet Exchange), génère le paquet. Les routeurs déterminent à quel endroit envoyer les paquets en fonction de l'adressage spécifié dans le paquet (et non dans la trame).

Les routeurs servaient à l'origine à relier des réseaux sur des distances importantes, c'est-à-dire sur des réseaux étendus (WAN, Wide Area Network). Le trafic WAN peut souvent voyager sur plusieurs itinéraires, et les routeurs choisissent le plus rapide ou le moins onéreux.

Les routeurs servent également à connecter des réseaux locaux dissemblables, comme un réseau local Ethernet sur une dorsale principale FDDI (Fibre Distributed Data Interface). Vous pouvez utiliser des routeurs à hautes performances pour relier au sein d'une organisation des réseaux locaux homogènes, tels des réseaux locaux Ethernet de petite taille.

Introduction

Définition d'un concentrateur

Définition d'un routeur


Un commutateur examine l'adresse de destination et source d'une trame entrante et transfère cette dernière sur le port approprié en fonction de l'adresse de destination. Un commutateur opère au niveau de la couche 2 de l'OSI.

Vous pouvez considérer un commutateur comme un pont amélioré reliant plusieurs ports. Les commutateurs disposent de plusieurs chemins de données parallèles. Ils utilisent des connexions temporaires ou virtuelles pour connecter les ports source et de destination pendant le transfert de la trame. Une fois la trame arrivée à destination, la connexion virtuelle s'arrête. Les commutateurs sont rapides et peu onéreux, et ils sont généralement utilisés pour segmenter un réseau local en de nombreux segments de plus petite taille, ce qui permet d'accroître la vitesse d'un réseau existant.

Un commutateur de couche 3 correspond essentiellement à un commutateur de couche 2 amélioré qui peut effectuer à la fois une commutation de couche 2 et un routage de couche 3 au niveau du matériel. Un commutateur de couche 3 est principalement un routeur IP matériel à fonction limitée bénéficiant de fonctionnalités de connexion par pont.

La commutation de couche 3 est un terme marketing employé par les fabricants pour décrire la fonctionnalité de routage de leurs commutateurs.

Définition d'un commutateur


Présentation multimédia : Rôle du routage dans l'infrastructure réseau


Pour visualiser la présentation Rôle du routage dans l'infrastructure réseau, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimédia, puis sur son titre.

Cette présentation a pour objectif d'expliquer le rôle du routage dans une infrastructure réseau.

Vous apprendrez à :

! décrire comment le routage s'adapte à l'infrastructure réseau ; ! expliquer la différence entre un routage local et à distance ; ! décrire le rôle du service Routage et accès distant dans l'infrastructure

réseau.

Durant cette présentation, réfléchissez aux questions suivantes :

! Quel est le rôle du routage dans l'infrastructure réseau ? ! Que se passe-t-il lorsque l'adresse IP de l'hôte auquel le client essaie

de se connecter ne se trouve pas sur le sous-réseau local ? ! Quelle est la fonction des tables de routage ? ! Comment configurer un serveur exécutant le service Routage et accès

distant ?

Emplacement du fichier

Objectif

Objectifs d'apprentissage

Questions clés




Les routeurs opèrent au niveau de la couche 3. Par conséquent, ils ne transfèrent pas automatiquement les diffusions (ou trafic de multidiffusion). L'utilisation de routeurs pour connecter des réseaux locaux similaires sur de courtes distances est de ce fait devenue courante pour diviser le domaine de diffusion d'une organisation. Vous pouvez également utiliser les routeurs pour aider à maintenir la sécurité.

Le routage est pratiquement toujours utilisé au niveau IP. Pour les nouvelles installations réseau, le meilleur conseil à donner consiste à planifier en prenant le routage en compte, même si vous ne l'utilisez pas au départ. Une planification avancée est requise pour concevoir un schéma d'adresses fonctionnel. Vous devez prévoir la capacité à positionner les routeurs dans des emplacements stratégiques, même si ces derniers utilisent au départ des ponts ou des concentrateurs. Si vous créez votre plan de routage en tenant compte de la croissance future, vous pourrez par la suite facilement ajouter des routeurs.

Si vous travaillez avec un réseau existant, la nécessité de cette stratégie de planification devient évidente. Savoir à quel endroit un routeur doit être placé puis réaliser qu'il vous faut modifier une centaine d'adresses avant de pouvoir l'ajouter peut s'avérer très frustrant. Si vous rencontrez des problèmes de performances réseau, vous devez évaluer si l'utilisation d'un routeur peut permettre d'y remédier. Dans certains cas, vous découvrirez peut-être qu'un routeur n'est pas la meilleure solution.

Vous pouvez utiliser les routeurs pour isoler les réseaux les uns des autres et pour fournir une base à l'implémentation sécurisée d'un réseau. Pris isolément, les routeurs ne sécuriseront toutefois pas votre réseau vis-à-vis d'attaques provenant d'utilisateurs malveillants. Un plan de sécurité réseau approprié peut inclure des filtres de routeur, des pare-feu, des logiciels de détection des intrusions et des mécanismes de conception de réseaux, par exemple une conception en double pare-feu.

Introduction



Traditionnellement, les routeurs étaient positionnés sur la périphérie des réseaux et servaient à connecter des réseaux locaux dissemblables sur de longues distances. Le positionnement de routeurs supplémentaires au centre des réseaux pour créer des réseaux connectés de plus petite taille avec plusieurs domaines de diffusion s'est cependant généralisé.

L'utilisation d'un routeur est préférable à celle d'un commutateur pour les tâches suivantes :

! connexion du réseau d'une filiale à celui de l'entreprise ; ! segmentation d'un réseau de grande taille en sections plus petites afin

d'améliorer les performances ; ! connexion d'un réseau de grande taille à un réseau étendu.

Vous devez positionner des routeurs dans le réseau local afin que :

! le trafic réseau soit isolé des segments réseau source, de destination et intermédiaires ;

! des sous-réseaux filtrés soient créés dans le réseau privé, protégeant ainsi les données confidentielles ;

! des paquets réseau puissent être échangés entre des segments réseau dissemblables, par exemple, entre un segment réseau Ethernet et un segment réseau à mode de transfert asynchrone (ATM, Asynchronous Transfer Mode).

Vous devez positionner des routeurs à la périphérie du réseau WAN afin que :

! les emplacements distants au sein d'une organisation puissent échanger des paquets réseau en utilisant un réseau public ;

! le réseau privé soit isolé du réseau public afin de protéger les données confidentielles ;

! les paquets réseau puissent être échangés entre des segments réseau privés et publics, par exemple, entre un segment réseau privé Ethernet et un segment réseau public RNIS (Réseau numérique à intégration de services).

Utilisation traditionnelle des routeurs

Utilisation du réseau local par les routeurs

Utilisation du réseau WAN par les routeurs


Types de domaines réseau


Avant de sélectionner un périphérique intermédiaire, vous devez comprendre les différents domaines et la façon dont un commutateur peut vous aider à développer l'efficacité de votre réseau. Comprendre en quoi un domaine de collision et un domaine de diffusion diffèrent influencera votre décision quant à l'emplacement d'un commutateur ou d'un routeur. Les commutateurs opèrent au niveau de la couche 2 du modèle OSI et formeront une frontière pour vos domaines de collision. Certains opèrent également au niveau de la couche 3 ; ils formeront une frontière pour vos domaines de diffusion.

Dans un environnement partagé, les n�uds peuvent entrer en conflit les uns avec les autres en cas de transmissions simultanées. Si une collision survient, tous les n�uds du segment la détectent, d'où le terme « domaine de collision ». Tous les n�uds d'un segment réseau partagé ou répété se situent dans le même domaine de collision. Cependant, les collisions ne traversent pas les ponts ou les commutateurs ; un commutateur constitue donc la périphérie ou la frontière d'un domaine de collision.

L'introduction d'un commutateur dans l'environnement vous permet de réduire le nombre de n�uds se disputant les médias réseau en créant des domaines de collision séparés et distincts.

La zone d'un réseau pouvant être atteinte par une trame de diffusion s'appelle un « domaine de diffusion ». Les ponts et les commutateurs, qui opèrent au niveau de la couche 2, ne sont pas visibles par les trames de diffusion et transfèrent automatiquement tout le trafic de diffusion reçu. Un commutateur ne forme donc pas la frontière ou la périphérie d'un domaine de diffusion. Pour former une frontière, un périphérique de couche 3 tel qu'un routeur ou un commutateur de couche 3, est nécessaire.

Cet isolement du trafic de diffusion peut permettre de fournir plus de bande passante pour le trafic de monodiffusion sur les différents segments du réseau.

Introduction

Domaine de collision

Domaine de diffusion


Description des fonctions des commutateurs


Pour déterminer si un commutateur de couche 3 est approprié pour la configuration de votre entreprise, vous devez en comprendre les fonctions et les avantages au niveau de votre infrastructure réseau.

Les commutateurs de couche 3 disposent des fonctions importantes suivantes :

! le routage est effectué au niveau du matériel (puces de circuits intégrés ASIC) et permet des performances très rapides (proches de la vitesse du câble) avec une latence minimale (moins de 10 microsecondes pour 100 Mbits) ;

! un prix considérablement plus faible par port que pour des routeurs de performances similaires ;

! une implémentation très simple, principalement centrée sur le routage IP ou IPX basé sur le réseau local.

Les commutateurs de couche 3 actuels servent principalement à interconnecter des réseaux locaux virtuels (VLAN) ou à subdiviser des réseaux locaux plus importants en domaines de diffusion de plus petite taille. Ces commutateurs remplacent les routeurs de réseaux locaux onéreux sur la dorsale principale de l'entreprise.

Introduction

Fonctions des commutateurs de couche 3


Le tableau ci-dessous décrit les avantages spécifiques applicables à la plupart des réseaux.

Problème Avantage Routage plus rapide Des améliorations majeures en matière de performances

résultent de l'utilisation de la commutation de couche 3.

Protocoles « bavards » Lorsqu'un réseau existant dispose de ces types de protocoles, les réseaux locaux virtuels et la commutation de couche 3 pour IPX et AppleTalk deviennent nécessaires au moment de la mise à niveau vers des liaisons réseau plus rapides du type Ethernet Gigabit.

Erreurs des périphériques réseau

Les réseaux locaux virtuels protègent les parties principales du réseau de ce type de problème. Ils doivent être connectés par des routeurs ou des commutateurs de couche 3. Les problèmes réseau courants, comme les cartes d'interface réseau dépassant le temps de transmission, représentent une perturbation importante qui peut avoir un impact conséquent à la fois sur les performances réseau et sur le temps humain nécessaire en matière de gestion et de résolution des problèmes.

Tempêtes de diffusion L'utilisation de la commutation de couche 3, à partir des commutateurs de périphérie vers le centre du réseau, pour créer une dorsale principale protégée des tempêtes de diffusion vous permet de positionner tous les serveurs de fichiers centraux, le stockage en réseau NAS (Network-Attached Storage) et les serveurs d'impression dans des réseaux locaux virtuels séparés.

Sécurité

La commutation et le filtrage de couche 3 et de couche 4 à la vitesse du câble fournit une sécurité accrue et accélérée pour les sous-réseaux et les réseaux locaux virtuels, ce qui permet d'autoriser ou de refuser l'accès à Internet ou aux intranets à la vitesse du câble.

Allocation de bande passante

La bande passante du réseau peut être allouée à plusieurs services en attribuant à chacun d'eux un réseau local virtuel distinct et en contrôlant le nombre ainsi que la vitesse des ports commutés et des liaisons montantes qui desservent chaque réseau local virtuel. La commutation de couche 3 est nécessaire pour relier les réseaux locaux virtuels.

Principaux avantages de la commutation de couche 3


Réseaux locaux virtuels


Les réseaux locaux virtuels représentent une solution alternative aux routeurs pour la gestion des domaines de diffusion. Ces réseaux permettent en effet aux commutateurs de contenir également du trafic de diffusion. Lorsque vous implémentez des commutateurs et des réseaux locaux virtuels, chaque segment réseau peut ne contenir qu'un seul utilisateur, tandis que les domaines de diffusion peuvent être de taille plus importante. De plus, lorsqu'ils sont correctement implémentés, les réseaux locaux virtuels peuvent suivre les mouvements des stations de travail sans qu'aucune reconfiguration manuelle des adresses IP ne soit nécessaire.

Un réseau local virtuel (VLAN, Virtual Local Area Network) correspond à un réseau local que le domaine de diffusion crée de façon artificielle via la configuration du commutateur. Il n'est pas nécessaire que les membres du réseau local soient physiquement connectés au même commutateur ou situés dans la même zone physique. Les n�uds configurés dans le même réseau local virtuel fonctionnent comme s'ils étaient connectés au même commutateur physique, même si ce n'est pas le cas.

Voici les principaux avantages des réseaux locaux virtuels :

! Du fait de l'isolement des diffusions, ils fournissent plus de bande passante. ! Ils suppriment les limitations physiques des réseaux.

Même si les ressources et les stations de travail se trouvent dans des bâtiments différents, elles peuvent faire partie du même réseau local virtuel.

! Ils peuvent remplacer les routeurs de segmentation. Les réseaux locaux virtuels peuvent avoir la même fonction que les routeurs de segmentation (imbrication de diffusion) tout en étant moins onéreux et plus faciles à configurer.

Introduction

Définition d'un réseau local virtuel

Avantages des réseaux locaux virtuels


! Ils fournissent une imbrication de multidiffusion, augmentant ainsi la bande passante disponible.

! Ils sont plus faciles à administrer qu'un réseau local physique. Les réseaux locaux virtuels peuvent être facilement modifiés en fonction de l'évolution des besoins et de la situation.

! Ils facilitent le partage des ressources sur plusieurs réseaux locaux virtuels. Le serveur ou la station de travail peut être membre de plusieurs réseaux locaux virtuels, ce qui permet de réduire le besoin de router le trafic et fournit une flexibilité et un accès accrus aux ressources au moment et à l'endroit où on en a besoin.

! Ils fournissent des performances à la demande. Si vous devez isoler un serveur ou une station de travail en raison de problèmes de performances, vous pouvez facilement le déplacer vers son propre réseau local virtuel.

! Ils fournissent des améliorations en matière de sécurité. Si les diffusions représentent un risque de sécurité, vous pouvez les isoler du reste du réseau.

L'appartenance à un réseau local virtuel permet d'identifier les clients qui font partie de ce réseau. De nombreuses options d'appartenance sont disponibles au moment de la création d'un réseau local virtuel. Elles montrent à quel point les réseaux locaux virtuels sont plus souples que les commutateurs traditionnels.

Le tableau suivant décrit chacune des options d'appartenance à un réseau local virtuel.

Option d'appartenance Description Exemple Basé sur un port Chaque port d'un

commutateur est affecté à un réseau local virtuel.

Le port 2 est affecté au réseau local virtuel du service ingénierie.

Basé sur Macintosh L'appartenance est définie par le Macintosh source ou de destination.

Les adresses 00-a9-d4-12-4e-c2 et 02-d9-22-f2-44-b2 sont affectées au réseau local virtuel du service commercial.

Couche 3/protocole Les réseaux locaux virtuels sont basés sur le type de protocole de couche 3 (IP, NetBIOS).

Les paquets IP sont affectés au réseau local virtuel Microsoft®

Windows et les paquets IPX au réseau local virtuel Novell.

Options d'appartenance à un réseau local virtuel


(suite) Option d'appartenance Description Exemple Couche 3/sous-réseau IP Les réseaux locaux virtuels

sont basés sur des adresses de couche 3.

Les n�uds de sous-réseau IP ayant comme caractéristiques adresse 198.168.0.0 masque 255.255.255.0 sont affectés au SOUS-RÉSEAU VLAN 0 et les n�uds ayant comme caractéristiques adresse 198.168.1.0 masque 255.255.255.0 sont affectés au SOUS-RÉSEAU VLAN 1.

Basé sur la multidiffusion IP

Les réseaux locaux virtuels sont basés sur l'adresse IP de multidiffusion.

L'adresse IP de multidiffusion X et le masque sont associés à VLAN MCAST X.

Combinaison Les réseaux locaux virtuels sont basés sur n'importe quelle combinaison des options d'appartenance répertoriées.

Le port 10 est ajouté au réseau local virtuel du service commercial, qui était uniquement un réseau local virtuel basé sur le MAC.


Transmission en duplex intégral dans les environnements commutés


L'utilisation de commutateurs dans votre réseau vous permet d'utiliser une technologie de pointe pour améliorer de façon conséquente le débit de votre réseau tout en préservant la compatibilité ascendante.

La transmission en duplex intégral est une méthode de transmission qui double véritablement la bande passante d'un lien entre une carte réseau et un commutateur. Parce que ce type de transmission désactive le mécanisme de détection des collisions, la carte et le commutateur peuvent transmettre et recevoir simultanément à la vitesse optimale du câble sur chacun des chemins de transmission et de réception. La transmission en duplex intégral n'est opérationnelle qu'en cas de connexion directe avec le commutateur.

Un segment en duplex intégral peut utiliser le même câble UTP (Unshielded Twisted Pair) de catégorie 5 que celui utilisé par Ethernet 10BaseT et Fast Ethernet.

Sur un réseau local utilisant une technologie bénéficiant de la transmission en duplex intégral, une station de travail peut envoyer des données sur la ligne au moment où une autre en reçoit. Ce type de transmission implique nécessairement une ligne bidirectionnelle (qui peut déplacer des données dans les deux sens).

Introduction

Définition du duplex intégral

Exemple d'une transmission en duplex intégral


Dans un environnement commuté, vous n'avez plus à vous inquiéter de l'accès simultané de plus de deux n�uds au média réseau. La transmission en duplex intégral fait évoluer la connexion commutée en utilisant différentes paires de câbles dans le câble CAT-5 pour envoyer et recevoir de façon simultanée, doublant véritablement ainsi le débit Ethernet théorique.

Les collisions sont totalement éliminées, ce qui rend le réseau CSMA/CD (Carrier Sense Multiple Access with Collision Detection, réseau à accès multiple par détection de porteuse et détection de collision) obsolète. Vous conservez cependant une compatibilité ascendante totale avec le format de trame Ethernet et augmentez le débit du réseau en utilisant une technologie de commutation de pointe : les connexions en duplex intégral, dédiées et commutées.

Même si un commutateur est utilisé, seul un périphérique peut être connecté à un port commuté fonctionnant en mode duplex intégral (encore connu sous le nom de « microsegmentation »). Si vous connectez un concentrateur partagé au port d'un commutateur, ce port ne pourra pas fonctionner en mode duplex intégral.

Intérêt de l'utilisation de la transmission en duplex intégral dans un environnement commuté

Considérations relatives à l'implémentation de la transmission en duplex intégral


Instructions pour la sélection d'un périphérique intermédiaire approprié


Il est recommandé de prendre plusieurs facteurs en considération lors de la sélection d'un périphérique intermédiaire. Une fois que vous aurez étudié les exigences de votre entreprise, vous serez à même de sélectionner le périphérique qui répond le mieux à vos besoins et à vos contraintes.

Le coût est un facteur important dans une décision relative à un réseau. Après avoir identifié vos paramètres de coût, vous devez les intégrer à votre processus de sélection. Par exemple, vous n'intégreriez pas un routeur principal onéreux dans un réseau local simplement pour segmenter un réseau alors qu'un commutateur de couche 3 peut accomplir la même fonction à un moindre coût.

L'implémentation peut être un facteur important parce qu'elle se trouve en corrélation directe avec le temps nécessaire à l'installation et à la maintenance d'un périphérique. Vous devez prendre en compte non seulement la facilité d'implémentation, mais également la facilité de gestion. De nombreux commutateurs sont très faciles à implémenter et leur gestion ne nécessite pas une formation très poussée.

Vous devez également prendre en compte l'interface qui gère le périphérique. Avant de prendre une décision s'y rapportant, vous devez déterminer les fonctions dont vous disposez pour administrer le périphérique et résoudre les problèmes s'y rapportant. Vous devez également déterminer si ce périphérique dispose d'une interface d'administration Web et de fonctions SNMP (Simple Network Management Protocol).

Il est possible que plusieurs protocoles nécessitant des capacités de routage s'exécutent sur le réseau de votre entreprise. Vous devez déterminer les protocoles que le périphérique intermédiaire doit prendre en charge. Étant donné que certains commutateurs routent uniquement le protocole TCP/IP, il est important de définir si le périphérique peut router tous les protocoles utilisés par votre entreprise.

Introduction

Coût

Facilité d'implémentation

Complexité de l'administration et de la résolution des problèmes

Prise en charge des protocoles


La prise en charge de la couche 1 est importante si votre réseau compte plusieurs types de réseaux différents. De nombreux commutateurs ne prennent en charge que le câblage à paires torsadées. Si vous avez besoin d'une prise en charge de couche 1 supplémentaire, vous devez déterminer si votre réseau comporte des types de réseaux autres que la paire torsadée et si le périphérique prend en charge les types de réseaux requis.

Si le débit est un facteur crucial pour votre infrastructure réseau, vous devez vous assurer que le périphérique que vous sélectionnez répond à la configuration requise en matière de débit de réseau. Il est utile de savoir que les commutateurs de couche 3 peuvent router pratiquement à la vitesse du câble.

Dans ce contexte, la fonctionnalité se rapporte à la capacité d'améliorer par la suite le périphérique. Vous devez déterminer s'il s'agit d'une condition requise pour le périphérique que vous sélectionnez. L'un des aspects de la fonctionnalité à prendre en compte dans le choix d'un périphérique intermédiaire est de savoir si un commutateur de couche 2 peut être mis à niveau pour effectuer une commutation de couche 3.

Les fonctions de programmation d'un périphérique intermédiaire peuvent souvent vous faire économiser du temps. Vous pouvez par exemple programmer certains périphériques pour faciliter et accélérer les fonctions administratives. Vous devez toutefois être conscient du fait que le coût supplémentaire d'un tel périphérique pourrait l'emporter sur ses avantages.

Prise en charge de la couche 1

Débit

Fonctionnalité

Programmabilité


Application pratique : Sélection de périphériques intermédiaires


Dans cette application pratique, vous allez apprendre à effectuer les tâches suivantes :

! sélectionner un périphérique intermédiaire approprié ; ! identifier les fonctions requises du périphérique intermédiaire.

Vous êtes ingénieur système chez Contoso, Ltd. On vous a demandé d'aider à planifier une mise à niveau de l'infrastructure réseau du service financier. Le service ne se trouve actuellement pas dans un environnement commuté, mais utilise un routeur traditionnel et des concentrateurs de 10 Mbits. Le réseau de ce service utilise plusieurs protocoles, notamment TCP/IP, IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) et AppleTalk. Deux segments d'anneaux à jeton (« token ring ») et trois segments Ethernet subsistent encore sur le réseau.

Objectif :

Scénario


1. Quelles modifications apporteriez-vous à l'environnement actuel pour le transformer en un réseau commuté ? Voyez si vous pouvez supprimer les protocoles IPX/SPX et AppleTalk et les remplacer par un protocole TCP/IP. Supprimez les réseaux Token Ring et remplacez-les par Fast Ethernet. Intégrez un commutateur de service de couche 3 et connectez les différents groupes au commutateur du service via des commutateurs. ____________________________________________________________

____________________________________________________________

2. Dans l'environnement existant, le routeur sert à segmenter le réseau en plusieurs domaines de diffusion. Dans le nouveau réseau commuté, qu'utiliseriez-vous pour créer différents domaines de diffusion ? Des réseaux locaux virtuels pourraient être créés et l'appartenance pourrait être basée sur diverses options telles que le sous-réseau, MAC, le port ou toute combinaison de ces options. ____________________________________________________________

____________________________________________________________

Application pratique


Leçon : Planification d'une stratégie de connectivité Internet


Cette leçon aborde la configuration nécessaire ainsi que des solutions possibles pour la connectivité Internet.

La plupart des entreprises nécessitent une solution de connexion Internet très sécurisée. Pour y parvenir, elles implémentent des serveurs proxy, des pare-feu et/ou la traduction d'adresses réseau (NAT, Network Address Translation). Les serveurs proxy, les pare-feu et NAT sont des périphériques qui fonctionnent entre le client et le serveur. En ce sens, il s'agit également de périphériques intermédiaires. Les serveurs proxy, les pare-feu et NAT n'effectuent toutefois pas davantage de traitement des paquets que les routeurs et commutateurs traditionnels et ils ont principalement été développés à des fins de sécurité.


! déterminer la technologie et le service appropriés pour les besoins de votre entreprise ;

! planifier l'implémentation de NAT ; ! planifier l'implémentation de Microsoft ISA (Internet Security and

Acceleration) Server.

Introduction



Présentation multimédia : Stratégies de connectivité réseau à Internet


Pour visualiser la présentation multimédia Stratégies de connectivité réseau à Internet, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation.

Cette présentation a pour objectif d'étudier certaines recommandations possibles en matière de connexion d'un réseau d'entreprise à Internet.

Vous allez apprendre à :

! expliquer le mode d'activation d'une connexion à Internet à partir de votre réseau d'entreprise ;

! expliquer la fonctionnalité de NAT, du partage de connexion Internet (ICS, Internet Connection Sharing) et des serveurs ISA ;

! identifier certaines recommandations pour la planification d'une connexion réseau sécurisée à Internet.


! Comment les routeurs sont-ils positionnés dans votre conception de réseau ? ! Devez-vous enregistrer vos adresses IP privées ? ! Comment allez-vous positionner les pare-feu ? ! Quelles sont les spécifications de sécurité de votre organisation ?


Objectif


Questions clés


Configuration requise pour une solution de connectivité Internet


Avant de choisir la solution à implémenter dans votre entreprise, vous devez déterminer la configuration qui répondra aux besoins de l'entreprise. Cette configuration s'applique principalement à une solution d'entreprise sécurisée.

Le terme « tolérant aux pannes » est généralement utilisé pour décrire une technologie qui offre un niveau supérieur de résilience et de récupération instantanée. Cela s'obtient en utilisant une redondance matérielle en complément de logiciels spécialisés.

L'évolutivité est le concept de création d'une infrastructure réseau capable de s'adapter à la croissance sans que des révisions drastiques ne soient nécessaires au niveau de la configuration actuelle.

En fonction de ces deux définitions, une solution évolutive et tolérante aux pannes correspond à un système qui :

! s'adapte au nombre de personnes qui utiliseront immédiatement le système ; ! s'adapte au nombre de personnes qui pourraient l'utiliser dans 1, 5 ou

10 ans ; ! ne tombe pas en panne en cas de défaillance de l'un de ses composants ; ! permet une récupération de plusieurs échecs.

Les groupes de serveurs et l'équilibrage de la charge sont deux moyens permettant de fournir une tolérance des pannes.

Introduction

Configuration requise en matière d'évolutivité et de tolérance de pannes

Remarque


Le filtrage vous permet de contrôler le flux des données. Vous devez déterminer le type de filtrage nécessaire pour assurer une meilleure sécurité réseau. Il existe plusieurs types de filtrage à prendre en considération :

! Filtrage des paquets Lorsque ce type de filtrage est activé, tous les paquets de la surface externe sont ignorés à l'exception de ceux que vous autorisez de façon explicite. Le filtrage des paquets peut être statique ou dynamique. Lorsqu'il est dynamique, les ports ne s'ouvrent que lorsque cela s'avère nécessaire pour les communications et se ferment à la fin de la communication.

! Filtrage au niveau du circuit Le filtrage de niveau circuit active la prise en charge de pratiquement toutes les applications Internet standard et personnalisées conçues pour être utilisées avec le système d'exploitation Windows. Cela s'effectue en utilisant des sessions d'inspection plutôt que des connexions ou des paquets.

! Filtrage au niveau de l'application Ce type de filtrage permet d'effectuer le traitement en fonction des applications, y compris l'inspection, le filtrage ou le blocage, la redirection ou même la modification des données alors qu'elles traversent le pare-feu.

! Filtrage des protocoles Ce type de filtrage empêche le transfert du trafic des protocoles spécifiés en dehors des ports commutés.

Il est possible que la sécurité de votre entreprise requière un contrôle avancé des accès. Vous pouvez contrôler l'accès utilisateur en fonction du nom d'utilisateur, du groupe, de l'adresse IP, de la destination, du programme ou du type de contenu.

Vous devrez vous demander si votre solution prend en charge l'authentification renforcée de l'utilisateur. La solution doit pouvoir effectuer les tâches suivantes :

! authentifier les utilisateurs avant qu'il n'emploient les ressources ; ! prendre en charge les méthodes d'authentification ; ! configurer différentes méthodes d'authentification pour les requêtes

entrantes et sortantes.

Vous devez déterminer la quantité relative de bande passante à allouer aux différents types de trafics réseau. Pour cela, définissez des priorités dans les règles de bande passante qui déterminent la connexion prioritaire.

Comme mesure de sécurité supplémentaire, vous devez avoir la possibilité de configurer des règles qui déterminent les jours et les heures auxquels l'accès est autorisé.

Configuration requise pour le filtrage

Configuration requise pour l'accès utilisateur

Configuration requise pour l'authentification

Configuration requise pour le contrôle de la bande passante

Configuration requise pour le calendrier d'accès


Un point important à prendre en considération pour toute solution est sa capacité à fournir des outils et une fonctionnalité de personnalisation. Ceci s'obtient généralement par l'utilisation d'un kit de développement (SDK, Software Development Kit) disponible pour les développements en interne. Vous devez également déterminer si la solution fournit une large gamme de solutions d'extension de tierce partie et une option d'administration extensible. Vous pouvez prendre en considération certaines des fonctions d'extensibilité suivantes :

! Analyse antivirus ! Outils de gestion ! Filtrage du contenu ! Blocage de site ! Surveillance en temps réel ! Création de rapports

La solution que vous sélectionnez doit permettre à tous vos protocoles et applications requis de se connecter et être personnalisable.

Configuration requise pour l'extensibilité et la souplesse

Configuration requise pour la connectivité des applications


NAT en tant que solution pour la connectivité Internet


Lorsque vous déterminez une solution appropriée pour la connectivité Internet, vous devez prendre en compte à la fois la taille du réseau privé et les spécifications de sécurité de l'organisation. Cette leçon présente NAT en tant que solution pour la connectivité Internet. Pour obtenir une solution efficace en matière de connectivité Internet, vous devez comprendre de quelle façon les fonctions de NAT prennent en charge les spécifications de connectivité de l'organisation.

NAT est l'un des protocoles pris en charge par le service Routage et accès distant de Windows Server� 2003. Si vous utilisez NAT, vous devez par conséquent inclure ce service dans votre solution.

Les fonctions de NAT vous fournissent une solution simple pour la connectivité Internet. Ses principales fonctions sont :

! Traduction d'adresses réseau La fonction de traduction d'adresses réseau de NAT sécurise le réseau privé en masquant les adresses de ce réseau de façon à ce qu'elles ne soient pas visibles par les utilisateurs basés sur Internet. La traduction d'adresses réseau permet à une ou plusieurs adresses publiques d'être traduites dans le schéma d'adresses IP privées au sein du réseau privé. La traduction d'adresses réseau est inhérente à NAT et nécessite l'utilisation de l'adressage privé.

! IP automatique Les fonctions d'IP automatique de la fonction NAT d'attribution d'adresses fournissent la configuration IP aux ordinateurs clients du réseau privé. Ceci élimine la nécessité de disposer d'un serveur DHCP (Dynamic Host Configuration Protocol) séparé. Vous pouvez utiliser l'attribution d'adresses IP pour configurer n'importe quel client compatible DHCP.

Introduction

Fonctions de NAT


! Résolution de noms La fonction de résolution de noms de NAT utilise des serveurs proxy DNS (Domain Name System) pour transférer les demandes de résolution de noms. Le serveur NAT envoie les requêtes des clients au service de serveur DNS approprié.

NAT est une solution appropriée en matière de connectivité Internet lorsque :

! les spécifications pour l'accès Internet et l'accès au réseau privé ne nécessitent pas de restrictions en fonction de chaque utilisateur ;

! le réseau privé se compose d'un certain nombre d'utilisateurs dans un environnement non routé ;

! l'organisation nécessite un adressage privé pour les ordinateurs du réseau privé.

NAT est-il une solution appropriée pour vous ?


ISA en tant que solution pour la connectivité Internet


Si votre entreprise requiert un niveau de sécurité et de fonctionnalité supplémentaire, vous pouvez opter pour un serveur proxy. Un serveur proxy peut améliorer les performances en fournissant les données fréquemment demandées, comme une page Web très visitée. Il peut également filtrer et ignorer les requêtes que le propriétaire ne considère pas comme appropriées, comme les requêtes pour un accès non autorisé aux fichiers propriétaires.

ISA Server est un serveur proxy. Il s'agit d'un pare-feu d'entreprise extensible et d'un serveur de cache qui s'intègre avec les systèmes d'exploitation Windows� 2000 et Windows Server 2003 pour la sécurité basée sur les stratégies ainsi que pour l'accélération et l'administration de l'interconnexion de réseaux.

ISA Server fournit deux modes bien intégrés : un pare-feu à plusieurs couches et un serveur de cache Web à hautes performances. Les outils de gestion avancés simplifient la définition de la stratégie, le routage du trafic, la publication sur serveur et l'analyse. Qu'il soit déployé en tant que pare-feu et serveurs de cache séparés ou en mode intégré, ISA Server peut être utilisé pour améliorer la sécurité du réseau, appliquer une stratégie cohérente d'utilisation d'Internet, accélérer l'accès à Internet et optimiser la productivité des employés dans les organisations de toutes tailles.

Introduction

Définition de ISA Server


ISA Server fournit les fonctions suivantes :

! Connectivité Internet sécurisée ISA Server protège les réseaux des accès non autorisés, inspecte le trafic et alerte les administrateurs réseau en cas d'attaque. Il fournit aux organisations un moyen rapide et exhaustif de contrôler l'accès et de surveiller l'utilisation, permettant ainsi aux administrateurs réseau de répondre aux besoins de l'organisation ainsi que de ses clients. ISA Server propose un pare-feu d'entreprise multicouche extensible disposant des fonctions de sécurité suivantes :

• Filtrage du trafic au niveau des paquets, circuits et applications

• Inspection avec état

• Large prise en charge d'applications

• Mise en réseau privé virtuel intégré

• Détection intégrée des intrusions

• Filtres d'applications intelligents

• Transparence pour tous les clients

• Authentification avancée

• Publication sur serveur sécurisée ! Accès rapide à Internet

Le cache Web d'ISA Server peut maximiser les performances ainsi que les ressources de la bande passante du réseau en stockant et servant le contenu Web mis en cache au niveau local.

! Gestion unifiée En associant le pare-feu d'entreprise et les fonctions de cache Web à hautes performances, ISA Server fournit une infrastructure de gestion commune qui réduit la complexité et les coûts du réseau.

! Plate-forme extensible et ouverte ISA Server est conçu pour être extrêmement extensible et inclut un kit de développement logiciel exhaustif pour le développement en interne, un large choix de solutions d'extension tierces et une option d'administration extensible.

Pour plus d'informations sur les avantages d'ISA Server, consultez le site http://www.microsoft.com/france/isaserver/FP/FP1.asp

Fonctions d'ISA Server

Remarque


Lors de la planification d'une solution de connectivité Internet basée sur ISA Server, vous devez déterminer les éléments suivants :

! Taille du réseau Il est important d'avoir une idée précise de la taille de votre réseau ou de l'utilisation prévue pour les serveurs de publication, afin que vous puissiez déterminer le nombre d'ordinateurs ISA Server à déployer.

! Tolérance des pannes Vous devez déterminer le nombre approprié d'ordinateurs ISA Server. Pour cela, gardez à l'esprit les considérations relatives à la sécurité, les fonctions attendues des ordinateurs ISA Server et la façon dont les clients y accéderont.

! Mode ISA Server Vous devez déterminer le mode ISA Server que vous installerez pour chacun des groupes : pare-feu, cache ou intégré.

! Besoins des utilisateurs Vous devez déterminer les applications et services dont vos utilisateurs ont besoin. Ceci vous aide à déterminer, le cas échéant, le type de logiciel client à installer sur les ordinateurs clients.

! Spécifications de connectivité Internet Vous devez déterminer comment vous allez connecter physiquement votre réseau interne à Internet.

Lorsque vous utilisez ISA Server, vos décisions en matière de planification pour une solution de connectivité Internet doivent se fonder sur vos spécifications de sécurité, la configuration de votre réseau, le nombre de ressources exposées à Internet et le nombre d'emplacements distribués géographiquement relatifs à l'organisation.

Pour plus d'informations sur la planification de l'utilisation d'ISA Server, consultez le site: http://www.microsoft.com/france/isaserver/decouvrez/default.asp

ISA Server est une solution appropriée pour la connectivité Internet dans les cas suivants :

! l'accès à Internet et au réseau privé est restreint sur une base de ressource ou d'utilisateur individuel ;

! un certain nombre de ressources réseau privées doivent être partagées avec des utilisateurs basés sur Internet ;

! le réseau privé englobe plusieurs emplacements géographiques.

Instructions de planification d'ISA Server

Remarque

ISA Server est-il une solution appropriée pour vous ?


Présentation multimédia : Sélection d'une solution pare-feu de base/NAT ou ISA Server


Pour visualiser la présentation Sélection d'une solution pare-feu de base/NAT ou ISA Server, ouvrez la page Web du CD-ROM du stagiaire, puis cliquez sur Multimédia et sur le titre de la présentation.

Cette présentation a pour objectif d'expliquer comment faire un choix entre une solution de pare-feu de base/NAT et une solution ISA Server.

Vous allez apprendre à :

! identifier à quel moment utiliser une solution de pare-feu de base/NAT ; ! identifier à quel moment utiliser une solution ISA Server ; ! identifier les critères de sélection de la solution de pare-feu la plus

appropriée ; ! appliquer la solution de pare-feu appropriée à votre organisation.


! Votre planification s'applique-t-elle à un ou à plusieurs sous-réseaux ? ! Quelles sont les spécifications de sécurité de votre réseau ? ! L'équilibrage de la charge du réseau et les groupes de serveurs entrent-ils en

ligne de compte dans votre conception ? ! Votre réseau privé est-il routé ? ! Votre organisation nécessite-t-elle la mise en cache du contenu HTTP

(Hypertext Transfer Protocol) et FTP (File Transfer Protocol) sortant des serveurs publiés ?


Objectif


Questions clés


Instructions pour la planification d'une stratégie de connectivité Internet


La planification d'une stratégie de connectivité Internet est un prolongement du choix des périphériques intermédiaires. Vous devez déterminer quelle est pour votre entreprise la meilleure méthode de connexion à Internet en suivant les instructions détaillées dans cette section.

Vous devez tout d'abord identifier le niveau de complexité de votre entreprise. Si vous disposez d'un environnement de petite taille constitué d'un simple réseau à un seul segment, le service NAT du service Routage et accès distant peut répondre à la configuration minimale requise du réseau. Si vous disposez d'un réseau complexe avec des spécifications elles-mêmes complexes, envisagez un produit (comme ISA Server) qui dispose de fonctions permettant de répondre à cette configuration.

La connectivité Internet et la sécurité sont étroitement liées. L'identification de vos spécifications de sécurité vous aide à déterminer la meilleure solution. Le service NAT, dans ISA Server et dans le service Routage et accès distant, traite des problèmes de sécurité. ISA Server offre cependant des fonctions de filtrage, d'authentification et de contrôle de l'accès bien plus avancées.

Introduction

Définir la structure actuelle du réseau

Définir les spécifications de sécurité


L'identification des spécifications de connexion aux ressources externes vous aide également à déterminer la meilleure solution pour votre entreprise. Réfléchissez par exemple aux points suivants:

! ce qui sera connecté ; ! le moment auquel les connexions seront autorisées ; ! la bande passante qui sera allouée à l'application.

Vous devez également identifier les spécifications relatives à la connexion aux ressources internes. Si vous déterminez que les spécifications dépassent la capacité d'un ou de deux serveurs, le service NAT du service Routage et accès distant n'est alors pas une solution acceptable.

Après avoir identifié les spécifications de votre entreprise, vous pouvez associer tous ces facteurs et les comparer aux fonctions proposées par les diverses solutions. Cependant, n'oubliez pas que des spécifications complexes requièrent des solutions sophistiquées.

Identifier les spécifications de connectivité

Sélectionner la solution appropriée


Application pratique : Planification d'une stratégie de connectivité Internet


Dans cette application pratique, vous allez apprendre à planifier une stratégie de connectivité Internet.

Avant de lire le scénario et d'effectuer l'application pratique, passez en revue la présentation multimédia Stratégies de connectivité réseau à Internet de ce module.

Vous êtes ingénieur système à Contoso, Ltd. On vous a demandé d'aider à planifier la stratégie de connectivité Internet d'une nouvelle filiale située à Cardiff, au Pays de Galles.

Les 50 chercheurs de Cardiff effectueront des activités de recherche environnementale et doivent se connecter à Internet pour communiquer avec des universités et des organismes de recherche de premier plan, ainsi que pour communiquer avec le réseau de l'entreprise, situé à Londres.

Une connexion de 768 kilobits par seconde (Kbits) sera installée et utilisée pour la connexion à Internet. Les chercheurs ont quelques doutes quant à la connexion de leurs serveurs à un réseau qui dispose également de la connectivité Internet et souhaitent être rassurés quant au fait que tous les plans prendront en compte la sécurité des documents de recherche de valeur stockés sur leurs serveurs de fichiers.

La filiale de Cardiff créera également cinq postes de stagiaires pour les étudiants de l'université voisine. Cinq étudiants seront à tout moment en stage de trois mois dans le bureau. Ils devront avoir accès à un nombre limité d'emplacements Internet en fonction de leurs tâches de recherche et de leur appartenance au groupe. Il est possible que ces stagiaires aient également à accéder de façon simultanée à Internet.

Introduction

Scénario


1. Quelle serait votre stratégie préférée pour connecter la filiale de Cardiff à Internet ? L'utilisation d'un serveur ISA. ____________________________________________________________

____________________________________________________________

2. Quelles sont vos raisons pour choisir cette stratégie particulière ? Le serveur ISA peut fournir la sécurité que requièrent les chercheurs et il peut être configuré en fonction de chaque utilisateur ou groupe afin de limiter les emplacements auxquels les étudiants pourront se connecter et les protocoles utilisés pour la connexion. Ceci est impossible avec RRAS NAT, ICS ou simplement avec un routeur. ____________________________________________________________

____________________________________________________________



Leçon : Planification du routage des communications


Dans cette leçon, vous allez apprendre à planifier le routage des communications pour une conception d'entreprise donnée. Vous apprendrez à sélectionner la méthode de connexion, à déterminer les protocoles de routage et à identifier le protocole de connexion à utiliser.


! déterminer les options de connectivité à utiliser ; ! déterminer les protocoles de routage et/ou les itinéraires statiques à utiliser ; ! déterminer les options de sécurité à implémenter.

Introduction



Sélection de la méthode de connexion appropriée


La première étape dans la planification du routage des communications consiste à identifier le mode de transfert des données par les routeurs. Pour ce faire, les quatre moyens les plus courants sont les lignes allouées, le tunneling, la connexion permanente à la demande et les connexions sur demande. Chaque méthode de communication répond à une configuration réseau spécifique. Vous devez évaluer votre configuration réseau et déterminer ensuite la méthode qui répondra le mieux à vos besoins.

Une ligne allouée est une connexion ouverte en permanence qui est disponible moyennant le paiement d'un forfait annuel. Ce type de connexion est généralement employé lorsque l'utilisation du réseau d'une entreprise est intensive. Une ligne allouée permet une solution de connectivité bien plus rentable que les types de connexion plus traditionnels (comme RNIS ou les modems d'accès à distance). Parce que les lignes allouées sont des connexions point à point dédiées, leur utilisation peut s'avérer plus sûre que l'envoi de données dans un réseau maillé point à multipoint.

Le tunneling correspond à la transmission de données du réseau privé interne sur un réseau public. Cela s'effectue de telle façon que le routage du réseau public n'a pas conscience du fait que la transmission fait partie d'un réseau privé.

Le tunneling s'effectue généralement en encapsulant les données du réseau privé et les informations de protocole dans les unités de transmission du réseau public. Ces informations encapsulées s'affichent sous la forme de données dans le réseau public. Toutefois, dans le cadre de l'utilisation d'un réseau public pour l'envoi de données privées, vous pouvez crypter ces dernières afin qu'elles ne puissent pas facilement être lues par des utilisateurs non autorisés.

Introduction

Lignes allouées

Tunneling


Similaires aux lignes allouées, les connexions à la demande sont des connexions point à point, avec toutefois une différence : elles ne sont pas dédiées. Les connexions à la demande doivent toujours être composées pour établir la connexion, mais leur nature point à point les rend moins vulnérables à la surveillance du trafic de paquets.

Les connexions à la demande peuvent être :

! sur demande ou permanentes ; ! initiées de façon bidirectionnelle ou unidirectionnelle.

La décision d'utiliser l'un ou l'autre des types de connexions a un impact sur la configuration de l'interface de connexion à la demande.

Les connexions sur demande sont utilisées lorsque le coût d'utilisation de la liaison de communications est sensible au temps.

Le comportement de déconnexion inactive peut être configuré à la fois sur le routeur appelant et sur le routeur récepteur. Les appels téléphoniques analogiques longue distance sont facturés à la minute. Avec les connexions sur demande, la connexion est établie lorsque le trafic est transféré et arrêtée après un temps d'inactivité configuré.

Les connexions permanente à la demande utilisent une technologie WAN de numérotation lorsque le coût de la liaison est fixe et que la connexion peut être active 24 heures sur 24.

Le comportement de connexion permanente doit être configuré à la fois sur le routeur appelant et sur le routeur récepteur. Voici quelques exemples de connexions permanente à la demande :

! appels locaux qui utilisent des lignes téléphoniques analogiques ; ! lignes analogiques allouées ; ! RNIS forfaitaire.

Si une connexion permanente est perdue, le routeur appelant essaie immédiatement de rétablir la connexion.

Avec les connexions initiées de façon unidirectionnelle, un routeur correspond toujours au routeur récepteur et l'autre au routeur appelant. Le routeur récepteur accepte la connexion et le routeur appelant l'initie. Les connexions initiées de façon unidirectionnelle conviennent bien à une topologie « spoke-and-hub » sur demande où le routeur de la filiale est le seul routeur qui initie la connexion.

Les connexions initiées de façon unidirectionnelle requièrent les conditions suivantes :

! Le routeur récepteur est configuré comme un routeur LAN et WAN. ! Un compte d'utilisateur est ajouté pour les informations d'authentification

du routeur appelant, auquel le routeur récepteur accède et qu'il valide.

Une interface de connexion à la demande est configurée sur le routeur récepteur avec le même nom que le compte d'utilisateur utilisé par le routeur appelant. Parce que cette interface n'est pas utilisée pour appeler, elle n'est pas configurée avec le numéro de téléphone du routeur appelant ou avec les informations d'identification valides de l'utilisateur.

Routage à la demande

Connexions sur demande

Connexions permanente à la demande

Initiées de façon unidirectionnelle


Avec les connexions initiées de façon bidirectionnelle, l'un ou l'autre des routeurs peut être le routeur récepteur ou le routeur appelant, en fonction de celui qui initie la connexion. Les deux routeurs doivent être configurés pour initier et accepter une connexion à la demande. Vous pouvez utiliser les connexions initiées de façon bidirectionnelle lorsque le trafic en provenance d'un des routeurs peut créer la connexion à la demande.

Les connexions à la demande initiées de façon bidirectionnelle requièrent les conditions suivantes :

! Les deux routeurs sont configurés en tant que routeurs LAN et WAN. ! Des comptes d'utilisateurs sont ajoutés aux deux routeurs, afin que

le routeur récepteur puisse accéder aux informations d'authentification du routeur appelant et les valider.

! Les interfaces de numérotation à la demande portant le même nom que le compte d'utilisateur utilisé par le routeur appelant sont entièrement configurées sur les deux routeurs, y compris le numéro de téléphone du routeur récepteur et les informations d'identification du compte d'utilisateur permettant d'authentifier le routeur appelant.

Initiées de façon bidirectionnelle


Sélection d'un protocole de routage


Pour que le routeur puisse transférer des paquets sur des réseaux auxquels il n'est pas directement connecté, vous devez créer des entrées de table de routage pour ces réseaux. Dans un petit réseau, vous pouvez ajouter manuellement ces entrées en configurant des itinéraires statiques dans la table de routage de votre routeur. Vous pouvez inclure dans la conception des routeurs RIP (Routing Information Protocol) pour IP, afin que ceux-ci puissent automatiquement mettre à jour les informations de la table de routage.

Les tables de routage statiques sont créées et mises à jour manuellement. Si un itinéraire change, l'administrateur réseau doit mettre manuellement à jour les tables de routage. Les itinéraires statiques peuvent être adaptés aux réseaux d'interconnexion de petite taille. Cependant, en raison de leur administration manuelle, ils ne sont pas très évolutifs.

Vous pouvez normalement utiliser des itinéraires statiques si votre environnement répond à l'une des conditions suivantes :

! Petit nombre d'itinéraires Si votre environnement est relativement simple, un protocole de routage n'est peut-être pas utile.

! Environnement statique Si votre environnement réseau ne fait pas l'objet de nombreuses modifications et que vous ne disposez pas de plusieurs voies d'accès redondantes, vous aurez peut-être besoin d'un protocole de routage.

! Un besoin de limiter l'utilisation de la bande passante Les protocoles de routage nécessitent davantage de bande passante ; par conséquent, si la bande passante est un motif de préoccupation, vous pourriez prendre en considération les itinéraires statiques.

Introduction

Itinéraires statiques

Intérêt du choix des itinéraires statiques


RIP est conçu pour l'échange d'informations de routage au sein d'un réseau d'interconnexion de petite ou de moyenne taille. Un routeur RIP gère une table de routage et envoie de façon périodique des annonces afin d'informer les autres routeurs RIP du réseau des réseaux qu'ils peuvent et ne peuvent plus atteindre. La version 1 de RIP utilise les paquets de diffusion IP pour ses annonces, alors que la version 2 utilise les paquets de multidiffusion. Le service Routage et accès distant prend en charge RIP versions 1 et 2.

Par rapport aux autres protocoles, RIP est simple à configurer et à déployer. Cependant, alors que la taille des réseaux augmente, les annonces périodiques générées par chaque routeur RIP provoquent un trafic excessif sur le réseau. RIP est généralement utilisé dans les réseaux comportant au maximum 50 routeurs.

Vous devez inclure RIP dans votre plan de routage pour les raisons suivantes :

! pour mettre automatiquement à jour les informations des tables de routage ; ! si la mise à jour manuelle des tables de routage prend beaucoup trop

de temps ; ! en cas de modifications constantes apportées aux informations des tables

de routage ; ! si les routeurs existants utilisent RIP ; ! si la conception inclut une interface de connexion à la demande afin que

vous puissiez utiliser RIP pour créer des entrées d'itinéraires autostatiques ; ! si le nombre maximal de routeurs qu'un paquet IP doit traverser est inférieur

à 14.

OSPF (Open Shortest Path First) est un protocole d'état des liens basé sur l'algorithme SPF (Shortest Path First) qui traite le chemin le plus court entre un n�ud source et les autres n�uds du réseau.

Vous pouvez inclure le protocole de routage OSPF dans un plan réseau afin que les routeurs puissent automatiquement mettre à jour leurs informations de routage pour les paquets monodiffusion.

À la différence des routeurs RIP pour IP, les routeurs OSPF gèrent une carte du réseau dans la base de données des états des liens. Les mises à jour apportées au réseau sont reflétées dans cette base de données et synchronisées entre les routeurs. Les routeurs OSPF gèrent à la fois une base de données des états des liens et une table de routage.

Vous devez inclure OSPF dans le plan de routage de votre entreprise si :

! les informations de routage changent constamment ; ! les routeurs existants utilisent OSPF ; ! la conception inclut des chemins redondants entre deux sous-réseaux ; ! le nombre de sous-réseaux de la conception est supérieur à 50.

RIP pour IP

Intérêt du choix de RIP

OSPF

Intérêt du choix de OSPF


Utilisation de filtres de paquets IP


Le filtrage des paquets est une mesure de sécurité que vous implémentez au niveau de la couche réseau. Un routeur IP peut fournir la possibilité d'autoriser ou d'interdire le transfert de types spécifiques de trafic IP. Grâce aux filtres de paquets IP, vous pouvez intercepter et autoriser ou bloquer les paquets destinés à des ordinateurs spécifiques du réseau de votre entreprise. Vous configurez les filtres d'entrée et de sortie sur une interface.

Le filtrage des paquets IP vous fournit un moyen de définir précisément le trafic IP qui est autorisé à traverser le routeur. Ce filtrage devient important lorsque vous connectez des intranets d'entreprise aux réseaux publics (Internet, par exemple). Vous pouvez configurer deux types de filtres de paquets IP statiques :

! Filtres d'autorisation Les filtres d'autorisation sont des filtres d'exception, ce qui signifie que tous les types de paquets sont bloqués à l'exception de ceux que vous autorisez. Si aucun filtre de paquets n'est activé pour un port spécifique, le service ne peut pas écouter sur ce port sauf si vous l'ouvrez de façon dynamique.

! Filtres de blocage Les filtres de blocage ferment les ports spécifiés. Vous pouvez créer et configurer les filtres de blocage pour définir de façon plus détaillée le trafic autorisé via le serveur ISA.

Les filtres d'entrée filtrent le trafic d'entrée de l'interface. Les filtres de sortie filtrent le trafic de sortie d'une interface. Les filtres d'entrée et de sortie sont configurés sur une base d'exception. Vous pouvez configurer l'action de filtrage de façon à recevoir ou, au contraire, à rejeter tout le trafic à l'exception de celui qui est spécifié.

Lorsque plusieurs filtres sont configurés, les filtres séparés appliqués au paquet d'entrée sont comparés à l'aide de l'opérateur logique OU. Si le paquet correspond au moins à l'un des filtres configurés, il est reçu ou rejeté en fonction du paramètre d'action de filtrage.

Introduction

Filtres de paquets IP

Filtres d'entrée et de sortie


Supposons que l'interface A dispose d'un filtre d'entrée configuré pour bloquer le trafic ICMP (Internet Control Message Protocol) entrant. Les paquets ICMP sont ignorés au niveau du routeur. Lorsque l'utilisateur 1 essaie de communiquer avec l'utilisateur 2 à l'aide d'autres protocoles, ces paquets sont transférés sans être modifiés. En bloquant le trafic ICMP avec un filtre d'entrée, un administrateur réseau peut empêcher les utilisateurs de provoquer le passage d'un trafic inutile à travers le routeur.

Lorsque l'utilisateur 1 essaie de se servir du protocole SNMP pour administrer l'ordinateur de l'utilisateur 3, la tentative échoue, car le routeur dispose sur l'interface B d'un filtre de sortie configuré pour transmettre tous les protocoles à l'exception de SNMP.

Vous pouvez également configurer un filtre de sortie afin d'empêcher la pénétration du trafic SNMP sur certains réseaux. Par exemple, si une organisation dispose d'ordinateurs dans un emplacement non sécurisé tel qu'un réseau de laboratoires, un administrateur peut configurer un filtre de routage afin qu'il empêche l'entrée du trafic SNMP sur ce réseau. Le blocage du trafic SNMP empêche les utilisateurs de ce réseau d'effectuer des fonctions d'administration sur les ordinateurs connectés aux autres parties du réseau.

Vous pouvez configurer les filtres d'entrée et de sortie sur les champs de clé des en-têtes IP, TCP, UDP (User Datagram Protocol) et ICMP de chaque interface. La configuration d'un filtre implique le choix d'une interface, la spécification d'un filtre d'entrée ou de sortie et la spécification d'une action de filtrage.

Pour configurer le filtrage des paquets IP dans le service Routage et accès distant, vous créez des filtres pour autoriser ou interdire certains types de trafic sur une interface de routage. Un filtre IP déclenche une décision relative à l'action à entreprendre au niveau du paquet, en fonction d'une correspondance avec la source, la destination et le type du trafic IP.

Les filtres sont configurés sur une base d'exception. Vous pouvez configurer l'action de filtrage de façon à recevoir ou, au contraire, à rejeter tout le trafic à l'exception de celui qui est spécifié. Vous pouvez sélectionner une action de filtrage après avoir défini au minimum un filtre.

Les options de configuration de filtres sont les suivantes :

! Recevoir tous les paquets à l'exception de ceux que vous spécifiez comme devant être bloqués, ce qui permet de protéger un réseau contre des menaces spécifiques. Utilisez ce paramètre lorsque vous n'avez pas besoin d'un niveau élevé de sécurité.

! Rejeter tous les paquets à l'exception de ceux répondant aux critères spécifiés. Utilisez ce paramètre lorsque vous avez besoin d'un niveau élevé de sécurité.

Pour des exemples de scénarios de filtrage courants, consultez le site ( en anglais) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windows2000serv/reskit/intnetwk/part1/intch03.asp

Exemple de filtrage d'entrée

Exemple de filtrage de sortie

Configuration des filtres

Spécification d'une action de filtrage

Remarque


Lorsque l'entreprise doit évoluer, vous devez passer en revue tous les filtres pour vous assurer qu'ils sont toujours appropriés. Les considérations suivantes en matière d'administration vous aident à déterminer si le filtrage de paquets est utile dans votre environnement :

! Vous devez vous assurer que le filtrage est modifié en fonction de l'installation et de l'utilisation de nouvelles applications sur le réseau.

! Vous devez passer en revue les types de paquets qui sont autorisés. Vous constaterez sans doute que certains paquets sont autorisés alors qu'ils ne devraient pas l'être ; vous devez donc passer régulièrement en revue les paquets que vous avez filtrés.

Considérations relatives à l'administration


Présentation multimédia : Filtrage par un routeur de protocoles


Pour visionner l'animation Filtrage par un routeur de protocoles, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation.

Cette présentation a pour objectif de montrer comment configurer un routeur afin qu'il filtre des protocoles spécifiques.

Vous allez apprendre à effectuer les tâches suivantes :

! utiliser le service Routage et accès distant pour ajouter un routeur à la console ;

! configurer le routeur pour qu'il traite les paquets ICMP ; ! utiliser la commande ping pour identifier les filtres sortants bloqués.


! Pourquoi le serveur doit-il être ajouté à la console MMC (Microsoft Management Console) Routage et accès distant lors de la configuration de vos filtres à distance ?

! Comment les filtres sont-ils définis séparément pour le trafic d'entrée et de sortie d'une interface ?

! Pourquoi devez-vous définir le type et le code lorsque vous ajoutez un filtre ICMP ?


Objectif


Questions clés


Conditions d'utilisation des tunnels VPN


Les connexions VPN (Virtual Private Network) permettent aux organisations de disposer de connexions routées avec des bureaux géographiquement séparés ou avec d'autres organisations sur un réseau d'interconnexion public, comme Internet, tout en préservant des communications sécurisées. Une connexion VPN routée sur Internet fonctionne de façon logique comme une liaison réseau étendu dédiée.

Avec les deux types de connexions routées, les connexions VPN permettent aux organisations de remplacer les lignes commutées ou allouées longue distance avec des lignes locales chez un fournisseur de services Internet.

Microsoft utilise le terme VPN pour se référer à la sécurité fournie sur une infrastructure réseau public ou non approuvé, y compris :

! un accès distant sécurisé du client vers la passerelle, via des connexions Internet ou au sein de réseaux privés ou externalisés ;

! des connexions passerelles à passerelles à travers Internet ou à travers des réseaux privés ou externalisés. Les tunnels VPN servent à crypter les données et à empêcher l'affichage non autorisé de données confidentielles transmises à travers des réseaux publics. Vous pouvez spécifier le niveau de cryptage en utilisant la liste des algorithmes de cryptage pris en charge par les tunnels VPN. VPN prend en charge les protocoles PPTP (Point- to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) pour la sécurisation du trafic.

Vous pouvez utiliser les tunnels VPN si :

! tous les routeurs à sécuriser prennent en charge les tunnels VPN ; ! l'authentification des routeurs s'effectue avec les comptes d'utilisateurs, les

certificats basés sur l'ordinateur ou avec ces deux éléments.

Introduction

Sécurité VPN

Conditions d'utilisation des tunnels VPN


Le tableau suivant décrit à quel moment choisir chacun des protocoles de tunnels pris en charge par VPN dans votre plan.

Protocole pris en charge par VPN

Description

Spécifiez la méthode de cryptage des données VPN si

Tunnels PPTP utilisant MPPE (Microsoft Point-to-Point Encryption)

Les tunnels PPTP utilisent MPPE pour crypter les données. La famille de produits Windows Server 2003 prend en charge le cryptage 40, 56 ou 128 bits.

Vous utilisez les protocoles d'authentification MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), MS-CHAP version 2 ou EAP-TLS (Extensible Authentication Protocol-Transport Level Security).

L'authentification basée sur l'utilisateur est suffisante et la sécurité ajoutée par l'authentification basée sur l'ordinateur n'est pas requise.

Il n'existe aucune infrastructure de certificats basée sur l'ordinateur, de type Kerberos V5 ou infrastructure des clés publiques (PKI).

Tunnels L2TP utilisant IPSec (Internet Protocol Security) pour le cryptage

Les tunnels L2TP utilisent IPSec pour crypter les données dans une connexion. IPSec utilise pour l'authentification des certificats basés sur l'ordinateur, réduisant ainsi la possibilité qu'un routeur non autorisé emprunte l'identité d'un routeur autorisé.

La sécurité supplémentaire que fournit l'authentification basée sur l'ordinateur est souhaitée et l'authentification basée sur l'utilisateur est insuffisante.

Il existe une infrastructure de certificats basée sur l'ordinateur, de type Kerberos V5.


Utilisation de IPSec en mode de tunnel


Vous pouvez empêcher l'affichage non autorisé de données confidentielles transmises à travers des réseaux publics en cryptant ces données avec des tunnels IPSec. IPSec propose plusieurs algorithmes d'authentification et de cryptage des données. La méthode choisie pour l'authentification et le cryptage des paquets varie en fonction à la fois de la confidentialité des informations et des limitations imposées par les normes gouvernementales.

IPSec prend en charge le mode de tunnel et le mode de transport pour la sécurisation des données. Le mode de transport ne spécifie pas de points d'arrivée parce qu'il communique avec plusieurs ordinateurs à la fois. Le mode de tunnel spécifie les points d'arrivée du tunnel. Vous spécifiez les points d'arrivée du tunnel à l'aide des adresses IP des routeurs. IPSec en mode de tunnel est spécifié pour l'authentification et le cryptage de routeur à routeur.

Lorsque vous utilisez le mode de tunnel IPSec, IPSec crypte à la fois l'en-tête et la charge utile IP, alors que le mode de transport ne crypte que la charge utile IP. Le mode de tunnel fournit la protection de tout un paquet IP en le traitant comme une charge utile AH (Authentication Header) ou ESP (Encapsulating Security Payload). Grâce au mode de tunnel, tout un paquet IP est encapsulé avec un en-tête AH ou ESP et un en-tête IP supplémentaire. Les adresses IP de l'en-tête IP externe correspondent aux points d'arrivée du tunnel et les adresses IP de l'en-tête IP encapsulé représentent les dernières adresses source et de destination.

Introduction

Modes IPSec

Sécurité du mode de tunnel IPSec


Vous pouvez sélectionner IPSec en mode de tunnel si :

! tous les routeurs à sécuriser prennent IPSec en charge ; ! les certificats basés sur l'ordinateur effectuent l'authentification des

routeurs ; ! il existe un service d'annuaire Microsoft Active Directory® ou une

infrastructure de clés publiques qui permet d'émettre les certificats basés sur l'ordinateur ;

! votre conception n'inclut que les routeurs basés sur le service Routage et accès distant ; vous pouvez dans ce cas sélectionner IPSec pour authentifier les routeurs et crypter les transmissions de données.

Le mode de tunnel IPSec requiert la prise en charge du matériel. Si vous choisissez d'implémenter le mode de tunnel IPSec, vous devez vérifier auprès du fabricant que le matériel est bien pris en charge.

Conditions d'utilisation des tunnels IPSec

Remarque


Instructions de planification de la connectivité du routeur


Les instructions de planification de la connectivité routeur à routeur consistent en une liste de décisions que vous devez prendre lorsque vous planifiez la stratégie de connectivité routeur à routeur de votre entreprise.

Vous devez tout d'abord déterminer si vous allez utiliser des lignes allouées, le tunneling, le routage à la demande ou une connexion sur demande. Pour prendre cette décision, vous devez tenir compte de votre configuration réseau, du matériel et de la sécurité de connexion souhaitée.

Une fois que vous avez identifié la méthode de connexion que vous utiliserez, vous devez choisir une option de connexion sécurisée. Les options sécurisées sont le mode de tunnel VPN et IPSec. Les protocoles PPTP et L2TP sont plus largement pris en charge que le mode de tunnel IPSec. Par conséquent, vous devriez probablement choisir ces options si vous sélectionnez l'option de tunneling.

Vous devez déterminer le protocole que les routeurs utiliseront pour transférer les paquets. Les options de base sont statique, RIP et OSPF. Vous devez vous assurer que le protocole que vous sélectionnez répond aux besoins actuels et qu'il anticipe les besoins futurs.

L'une des mesures de sécurité que vous pouvez prendre consiste à identifier les paquets autorisés à traverser le routeur. Vous devez déterminer le type de paramètres de filtrage que vous utiliserez. Les choix possibles sont d'entrée, de sortie ou les deux associés. Vous devez également déterminer si les filtres autorisent ou bloquent les paquets.

Introduction

Identifier la méthode de connexion du routeur

Déterminer les options de connectivité à utiliser

Déterminer le protocole de routage à utiliser

Identifier les paramètres de filtrage


Application pratique : Planification du routage des communications


Dans cette application pratique, vous allez planifier les communications du routeur en fonction du scénario fourni.

Vous êtes ingénieur système à Contoso, Ltd. On vous a demandé de planifier pour une filiale un nouveau réseau comportant six stations de travail et un serveur. Le bureau se reconnectera au bureau principal de l'entreprise via un circuit commuté bidirectionnel. Les utilisateurs de la filiale utiliseront la connexion à distance pour accéder à leurs serveurs de messagerie et à un serveur de bases de données Microsoft SQL Server�.

Introduction

Scénario


1. Devez-vous créer un compte sur le serveur de la filiale ? Oui. Vous devez créer un compte d'appels rentrants pour le routeur du siège de l'entreprise. ____________________________________________________________

____________________________________________________________

2. Devez-vous installer un protocole de routage dans la filiale ? Non, le réseau de la filiale, ne comportant qu'un seul réseau, est très simple. Une entrée de passerelle par défaut pourrait, au niveau du routeur de la filiale, gérer l'ensemble du trafic destiné à l'extérieur. ____________________________________________________________

____________________________________________________________

3. Le volume de trafic réseau a augmenté de façon très importante et empêche les employés de faire leur travail. Après avoir contrôlé le serveur, vous constatez que cela provient du fait qu'ils surfent sur Internet. Que pouvez-vous faire pour éliminer ce trafic ? Configurer un filtre d'entrée sur l'interface de numérotation à la demande du port 80. Ceci empêchera l'initialisation de connexions via le trafic HTTP. ____________________________________________________________

____________________________________________________________


Leçon : Résolution des problèmes liés au routage TCP/IP


Cette leçon utilise les procédures normalisées de résolution de problèmes préalablement présentées dans ce cours, ainsi que des étapes personnalisées pour la résolution des problèmes liés au routage TCP/IP. Elle présente également les outils nécessaires pour la résolution de ce type de problèmes.

À la fin de cette leçon, vous serez à même de vérifier les points suivants :

! le service Routage et accès distant est en cours d'exécution ; ! le routage est activé ; ! le routeur reçoit des itinéraires en provenance des protocoles de routage ; ! les itinéraires statiques sont correctement configurés ; ! les protocoles de routage adéquats sont activés sur les interfaces

appropriées ; ! la configuration TCP/IP est correcte ; ! la configuration d'itinéraire par défaut est appropriée pour le client.

Introduction



Procédure d'isolement d'un problème de routage


Les trois méthodes de base permettant d'isoler des problèmes réseau sont extérieur-intérieur, intérieur-extérieur et moitié-moitié. Elles sont toutes trois efficaces car systématiques. Suivre une procédure systématique vous permet de mieux gérer une situation donnée. L'utilisation d'une approche systématique présente un autre avantage : elle vous fournit un enregistrement de toutes vos tentatives de résolution du problème.

Un dépannage effectué à partir de l'approche extérieur-intérieur commence au niveau du système distant pour revenir vers l'hôte local, un saut à la fois.

Introduction

Extérieur-intérieur


Avec la méthode intérieur-extérieur de résolution des problèmes de connectivité réseau, vous commencez au niveau de l'hôte local et vous vous éloignez ensuite vers l'hôte distant, un saut à la fois.

La méthode moitié-moitié de résolution des problèmes de connectivité réseau est une variante des approches extérieur-intérieur et intérieur-extérieur. Si vous faites appel à cette méthode, vous commencez le dépannage en partant du centre du problème de connectivité. Vous divisez ensuite la zone isolée en deux parties et continuez le dépannage jusqu'à ce que le problème soit isolé.

Intérieur-extérieur

Moitié-moitié


Conditions d'utilisation des outils de résolution de problèmes


En raison de l'utilisation importante de la suite de protocoles TCP/IP, de nombreuses cibles de dépannage peuvent être identifiées et analysées. Chacune de ces cibles nécessite un ensemble d'outils de diagnostic différent pour identifier et isoler efficacement les échecs. Il existe plusieurs outils qui peuvent vous aider à détecter et à isoler les problèmes liés à la suite TCP/IP. Certains de ces outils ont été mentionnés dans des modules précédents et d'autres sont nouveaux car ils s'appliquent à la suite TCP/IP.

Le tableau suivant répertorie les utilitaires de diagnostic intégrés dans Microsoft TCP/IP. Tous ces utilitaires permettent d'identifier et de résoudre les problèmes de mise en réseau TCP/IP.

Utilitaire Sert à ARP Afficher le cache ARP (Protocole de résolution d'adresse) sur

l'interface de l'ordinateur local afin de détecter les entrées non valides.

Hostname Afficher le nom d'hôte de l'ordinateur.

Ipconfig Afficher les valeurs actuelles de la configuration réseau TCP/IP, mettre à jour ou libérer les baux attribués par DHCP et afficher, enregistrer ou effacer les noms DNS.

Nbtstat Vérifier l'état du NetBIOS en cours sur les connexions TCP/IP, mettre à jour le cache de nom NetBIOS et déterminer les noms enregistrés et l'identificateur d'étendue.

Netstat Afficher les statistiques pour les connexions TCP/IP en cours.

NetDiag Vérifier tous les aspects de la connexion réseau.

Nslookup Vérifier les enregistrements, les alias des hôtes de domaine et les informations de système d'exploitation en interrogeant les serveurs DNS d'Internet.

Introduction

Utilitaires de diagnostic TCP/IP


(suite) Utilitaire Sert à Pathping Suivre un chemin vers un système distant et envoyer des rapports sur

les pertes de paquets à chaque routeur présent sur le chemin.

Ping Envoyer des demandes d'écho IPCM pour vérifier que TCP/IP est correctement configuré et qu'un système TCP/IP distant est disponible.

Route Afficher la table de routage IP et ajouter ou supprimer des itinéraires IP.

Tracert Suivre un chemin vers un système distant.


Démonstration : Utilisation d'outils de résolution de problèmes


NetDiag est un utilitaire de diagnostic réseau de ligne de commandes qui vous aide à isoler les problèmes de mise en réseau et de connectivité en effectuant une série de tests afin de déterminer l'état ainsi que la fonctionnalité du client réseau. Ces tests, ainsi que les informations clés relatives à l'état du réseau qu'ils génèrent, vous fournissent un moyen plus direct d'identification et d'isolement des problèmes réseau.

1. À partir d'une invite de commandes, exécutez netdiag /? Ceci vous permettra de voir la liste des options disponibles et des tests qui peuvent être effectués avec cet outil.

2. Exécutez NetDiag sans paramètres ou avec l'option /l. L'option /l journalise la sortie dans netdiag.log. Vous le verrez lors de l'exécution de netdiag /?. Attendez quelques minutes pendant que NetDiag exécute les tests.

3. Une fois que NetDiag s'est arrêté, revenez au début de la sortie et examinez les résultats avec les stagiaires.

4. Notez le cas échéant les erreurs ou les avertissements et discutez des raisons possibles.

Il n'y aura probablement ni erreur, ni avertissement mais, dans le cas contraire, cela vous fournira la possibilité de discuter d'un véritable problème et de le résoudre.

Introduction

Étapes

Remarque


Résolution des problèmes liés au routage TCP/IP


Cette rubrique décrit les étapes que vous devez suivre lors de la résolution de problèmes liés au routage TCP/IP.

Pour vérifier la configuration TCP/IP, utilisez ipconfig/all et examinez les détails de chaque interface. Vous obtenez ainsi des informations sur l'adresse IP, l'adresse physique, le masque de sous-réseau, l'itinéraire par défaut, les serveurs DNS et WINS (Windows Internet Name Service), etc.

La commande route print affiche les itinéraires actifs de l'hôte. Dans la plupart des cas, ces informations sont automatiquement dérivées, mais l'ajout d'itinéraires statiques permanents pourrait parfois être motivé. Tout itinéraire entré par erreur pourrait provoquer des problèmes de routage.

Si vous rencontrez des problèmes de routage dans un environnement de liaison à la demande, vous devez tout d'abord vérifier que la liaison est bien activée comme prévu. Sur un routeur Windows Server 2003, vous pouvez utiliser l'outil de composants logiciels enfichables de gestion Routage et accès distant pour vérifier la configuration de l'interface. Vous pouvez utiliser la commande ping pour envoyer un paquet au routeur distant, ce qui devrait activer la connexion. Utilisez de nouveau la commande ping pour vérifier que le paquet est bien routé sur la liaison qui vient d'être établie.

Vous pouvez utiliser la commande ping pour voir si le routeur répond. Le cas échéant, vous devrez en rechercher la raison. Si le routeur n'est pas directement accessible, vous devrez peut-être contacter le service de support technique de votre infrastructure réseau pour évaluer le problème.

Si le routeur ne semble pas effectuer correctement le routage, il est possible qu'il ne communique pas avec les autres routeurs via un protocole de routage. Si les protocoles de routage sont utilisés sur votre réseau, vérifiez votre routeur conçu pour Windows à l'aide de l'outil de gestion Routage et accès distant pour vous assurer que les protocoles appropriés sont installés et qu'ils fonctionnent correctement. Si le routeur n'est pas sous votre contrôle, appelez le service de support technique de votre infrastructure réseau pour vous aider à évaluer le problème.

Introduction

Configuration TCP/IP

Configuration de l'itinéraire client et de l'itinéraire statique par défaut

Configuration du routage à la demande

Configuration du routeur


Application pratique : Résolution des problèmes liés au routage TCP/IP


Dans cette application pratique, vous allez résoudre un problème de routage TCP/IP dans l'entreprise Contoso, Ltd.

Vous êtes ingénieur système à Contoso, Ltd. Le campus Ouest de l'entreprise se compose de trois bâtiments. Vous recevez un appel vous indiquant que le personnel du bâtiment 1 ne peut pas accéder à sa messagerie, hébergée dans le bâtiment 2.

Vous devez identifier l'étendue du problème. S'agit-il d'un problème de messagerie ou de routage ?

1. Quelle est la première chose que vous devez faire pour déterminer s'il vous est possible de communiquer à partir du bâtiment 1 avec le serveur de messagerie du bâtiment 2 ? Essayez d'envoyer une requête ping à l'adresse IP du serveur de messagerie à partir du bâtiment 1. ____________________________________________________________

____________________________________________________________

2. Que pourriez-vous faire pour déterminer si ce problème est limité à un seul service de messagerie ? Déterminez si ce problème affecte toutes les applications et pas simplement la messagerie. Voyez s'il est possible d'accéder à un serveur Web du bâtiment 2 ou essayez de vous connecter à un partage sur un serveur de ce même bâtiment. ____________________________________________________________

____________________________________________________________

Introduction

Scénario



3. Quel outil pourriez-vous utiliser pour déterminer si des périphériques intermédiaires sont en panne entre les stations de travail du bâtiment 1 et le serveur de messagerie du bâtiment 2 ? Tracert ____________________________________________________________

____________________________________________________________

4. Quel outil pourriez-vous utiliser pour déterminer si des paquets sont rejetés par des périphériques intermédiaires entre le bâtiment 1 et le bâtiment 2 ? Pathping ____________________________________________________________

____________________________________________________________

5. Comment pourriez-vous ajuster votre stratégie de résolution de problèmes si vous découvriez que seule une partie des stations de travail du bâtiment 1 peut envoyer une requête ping au serveur de messagerie ? Plutôt que de chercher à savoir si le serveur de messagerie ou les périphériques intermédiaires fonctionnent ou pas, vous devez rechercher les différences existant entre les stations de travail qui sont opérationnelles et celles qui ne le sont pas. Se trouvent-elles sur des sous-réseaux différents ? Empruntent-elles des chemins différents vers le serveur de messagerie ? Des changements récents ont-ils été apportés aux filtres, aux itinéraires statiques ou aux protocoles de routage sur les périphériques intermédiaires ? Vous pourriez avoir à demander aux autres personnes responsables des périphériques réseau de répondre à ces questions. ____________________________________________________________

____________________________________________________________


Atelier A : Planification du routage et résolution des problèmes


À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

! planifier une stratégie de routage ; ! résoudre un problème de routage.

Vous êtes ingénieur système chez Northwind Traders. On vous a demandé de planifier un réseau pour une nouvelle filiale située à Paris où un contrat gouvernemental devra être mené à bien. La plupart des informations relatives à ce travail sont confidentielles et ne peuvent pas être communiquées aux personnes externes à la filiale, à l'exception du personnel autorisé.

Objectifs

Scénario

Durée approximative de cet atelier : 30 minutes


Exercice 1 Planification d'une stratégie de routage Dans cet exercice, vous allez planifier un réseau de filiale qui répond aux critères spécifiés dans le document de conception.

Scénario Le document de conception demande un réseau à très hautes performances disposant des caractéristiques suivantes :

! Un serveur qui nécessite un très haut débit (au moins 250 Mbits de données brutes). La fonctionnalité exacte de ce serveur est classifiée.

! Deux serveurs nécessitant un débit de données brutes d'au moins 150 Mbits. Ces serveurs hébergeront probablement des bases de données hôtes.

! Soixante-douze stations de travail de bureau qui nécessiteront un débit de données brutes d'au moins 70 Mbits.

! Le besoin de former rapidement sur le réseau des groupes de travail communs, chacun d'eux étant composé d'environ 15 stations de travail. Ces groupes de travail partageront des données entre eux et les serveurs, et seulement en de rares occasions avec les autres groupes de travail. Ils devront pouvoir être rapidement reformés en fonction de l'attribution, de la réalisation et de l'accomplissement des projets.

! La filiale sera connectée au siège social de l'entreprise sur une ligne allouée de 512 Kbits. Le seul trafic qui sera autorisé en sortie sera de forme DNS, HTTP, HTTPS et FTP. Aucune connexion ne sera autorisée dans la filiale.

Tâches Instructions spécifiques

1. Créer un diagramme de la filiale parisienne qui répond aux spécifications du document de conception.

a. Assurez-vous que votre diagramme affiche tous les périphériques intermédiaires qui serviront à connecter les serveurs aux stations de travail et à relier la filiale au siège social.

b. Assurez-vous d'inclure toutes les propriétés des connexions (débit, duplex, etc.) et les filtres qui pourraient être requis.


Exercice 2 Résolution d'un problème de routage Dans cet exercice, vous allez résoudre un problème de routage au niveau du réseau de la classe. Le formateur jouera le rôle d'un ingénieur de support réseau car vous ne disposerez pas de l'accès physique au routeur pour la résolution des problèmes.

Travaillez par groupes de deux et, pendant 15 minutes, essayez autant que possible de résoudre le problème sans disposer d'un accès physique au routeur. Vous aurez ensuite la possibilité de poser à l'ingénieur de support réseau des questions pour mieux résoudre le problème.

Scénario Une personne a exécuté un script malveillant sur le réseau de la classe et vous ne pouvez plus accéder au site Web Glasgow.


Tâches Instructions spécifiques

1. Avec un partenaire, consacrer 15 minutes à résoudre autant que possible ce problème à partir de vos ordinateurs.

2. Répertorier ensuite certaines questions que vous souhaiteriez poser à l'ingénieur de support réseau qui dispose d'un accès direct au routeur.

3. Maintenant, avec toute la classe, poser à l'ingénieur de support réseau (le formateur) des questions pour vous aider à mieux résoudre le problème, jusqu'à ce que vous l'ayez identifié et résolu.

Assurez-vous de tester et de documenter la solution proposée pour résoudre le problème.

Documents

Module 3 : Planification du routage et de la commutation ... · en cours, de marques, de droits d’auteur ou d’autres droits de propriØtØ intellectuelle et industrielle ... Module