1 / 108

SERVICES TCP (2/2)

SERVICES TCP (2/2). Protocoles ARP / RARP. Protocole ARP. Address Resolution Protocol - RFC 826 Permet de résoudre l'adresse physique d'une machine à partir de son adresse logique (IP) Principe de fonctionnement : A souhaite dialoguer avec B via un réseau (Ethernet par exemple)

kirk-underwood
Télécharger la présentation

SERVICES TCP (2/2)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SERVICES TCP (2/2)

  2. Protocoles ARP / RARP

  3. Protocole ARP • Address Resolution Protocol - RFC 826 • Permet de résoudre l'adresse physique d'une machine à partir de son adresse logique (IP) • Principe de fonctionnement : • A souhaite dialoguer avec B via un réseau (Ethernet par exemple) • A ne connaît pas l'adresse Ethernet de B, mais son adresse IP • A envoie une requête ARP en diffusion sur le réseau • B transmet son adresse Ethernet dans une réponse ARP • A conserve cette adresse en mémoire dans une table ARP(prévoir un temporisateur de validité des données pour s'assurer de l'existence des stations)

  4. Protocole ARP • Address Resolution Protocol - RFC 826 • Evite d'avoir une base de données (couple d'adresses) centrale • Les requêtes ARP restent locales (non transmises par les routeurs) • ARP est un protocole de résolution d'adresse ouvert ;il n'est pas restreint à la résolution des adresses Ethernet et IP • Le datagramme ARP est transporté avec un champ type Ethernet 0806

  5. 132.156.1.1 132.156.1.10 B 132.156.1.0 A Réponse ARP 132.156.1.2 C Requêtes ARP Protocole ARP • Dialogue de A vers B : • A émet une requête ARP • IP(A)=132.156.1.1 • IP(B)=132.156.1.10 • Eth(A)=080026234567 • Eth(B)=??? • B renvoie une réponse ARP

  6. 132.156.1.1 132.156.1.10 Réponse ARP A B C Requêtes ARP 132.156.1.0 Réponse ARPdu routeur Récupération de la requêteRéponse avec adresse physique du routeur RouteurProxy ARP 132.156.2.0 132.156.2.1 Protocole ARP • Dialogue de A vers C : • A émet une requête ARP • routeur (ayant proxy ARP) renvoie une réponse ARPLe proxy-ARP (RFC 1027) …

  7. Description 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1 2 3 4 5 6 7 Ethernet (10 Mb/s) Exp. Ethernet (3 Mb/s) Amateur Radio X25 Pronet Chaos IEEE 802 Arcnet Champ type couche Physique (ex : 0001 pour Ethernet) Champ type de Protocole (ex : 0800 pour IP) Longueur adresse Physique (6) Longueur adresse Protocole (4) N° Description Code de l'opération ARP Requête ARP Réponse à réquête ARP Requête ARP Réponse à requête RARP Adresse source physique (48 bits) 0001 0002 0003 0004 Adresse source protocole IP (32 bits) Adresse destination physique (48 bits) Protocole ARP • Format paquet ARP Adresse destination protocole (32 bits)

  8. Protocole ARP Exemple de table ARP de routeur Protocole Adresse Adresse physique Interface IP IP IP IP IP IP IP IP 131.122.1.2 131.122.1.3 132.122.1.1 132.123.1.2 132.123.1.3 28.2.10.10 28.2.10.11 28.2.10.11 02608C2EC381 08002007F0FA 02608C2ECC38 550020003C5E 10004566FA12 02608C2EC380 02608CFAFE12 55002000E4E5 Eth0 Eth0 Eth1 TR0 TR0 Eth2 Eth2 Eth2

  9. Cas du Proxy ARP:fonction intégrée de base à un routeur

  10. DHCP

  11. S S C B A D C B A D Service ARPA : DHCP (RFC 2131) sans DHCP 132.156.1.100 132.156.1.4 • Dynamic Host Configuration Protocol • Avantages : • permet de s'affranchir de l'attribution statique des adresses IP • augmente la sécurité • Architecture client/serveur : • serveur DHCP (attribue les adresses IP) • clients DHCP (sans adresse IP fixe) 132.156.1.0 132.156.1.3 132.156.1.2 132.156.1.1 avec DHCP pool d'ad. IP132.156.1.1132.156.1.2132.156.1.3. . . 132.156.1.100 0.0.0.0 132.156.1.0 0.0.0.0 0.0.0.0 0.0.0.0

  12. Le protocole BOOTP permet aux clients sans disque de démarrer et de configurer automatiquement TCP/IP. Le protocole DHCP (Dynamic Host Configuration Protocol) constitue une extension de BOOTP. Il centralise et gère l’attribution des informations de configuration TCP/IP en affectant automatiquement des adresses IP à des ordinateurs configurés pour utiliser DHCP. • Un serveur DHCP donne les informations suivantes à son client : • Une @ IP • Un masque de sous-réseau • Une adresse de passerelle par défaut, une adresse DNS et une adresse WINS.

  13. Fonctionnement • Un serveur DHCP configure son client grâce à un processus en quatre phases : • Demande de bail (DHCPDISCOVER).En effet, le poste client va demander une adresse IP au()x serveur(s) en utilisant 0.0.0.0 comme adresse source et 255.255.255.255 comme adresse de destination. • Proposition de bail (DHCPOFFER). Le serveur DHCP va envoyer une proposition au client (@ IP, durée de bail, @ matérielle du client, masque et @ IP du serveur DHCP). • Sélection de bail (DHCPREQUEST). Le client va accepter la première proposition qu’il a reçu en informant les autres serveurs DHCP de sa sélection.

  14. Accusé de réception du bail IP (DHCPACK). Le serveur DHCP va envoyer au client un accusé de réception validant le bail. Il se peut que le serveur DHCP renvoie le message DHCPNACK pour confirmer la non conclusion du bail. • Une adresse IP proposé par un serveur DHCP a une durée de vie limitée appelé bail. Lorsque le client aura atteint 50% de sa durée, il envoiera un DHCPREQUEST à son serveur DHCP afin de le renouveler.

  15. Lorsqu’on rallume l’ordinateur, celui-ci a gardé, dans son registre, son @ IP. Il envoie un message au serveur DHCP demandant s’il peut réutiliser cette @. • Si un réseau d’entreprise est en formé de sous-réseaux, il faut que les routeurs agissent en tant qu’agents de relais DHCP. • Si les routeurs ne sont pas des agents de relais, alors il faut un serveur DHCP sur chaque sous-réseau.

  16. Installation • Un service DHCP s’installe sur un serveur Windows ou UNIX Il a besoin d’une @ IP statique, d’un masque de sous-réseau, et d’une étendue DHCP. • Attention, certains serveurs sensibles ont besoin d’une @ IP statique tel que le PDC. • Commandes (sur MS Windows) • IPCONFIG /ALL permet d’obtenir la configuration IP du système d’exploitation de l’ordinateur et de la carte réseau. • IPCONFIG /RELEASE permet la libération d’un bail. • IPCONFIG /RENEW permet la mise à jour d’un bail….

  17. Configuration sur un routeur Cisco • ip dhcp excluded-address 172.16.1.100 172.16.1.103 • ip dhcp pool 0 network 172.16.0.0 /16 • domain-name cisco.com • dns-server 172.16.1.102 172.16.2.102 • netbios-name-server 172.16.1.103 172.16.2.103 • netbios-node-type h-node • default-router 172.16.1.100 • lease 30 (en JJ :HH :MM ou infinite, default = 1 jour)

  18. Service ARPA : DHCP • le format du paquet DHCP est similaire à celui de BootP • Options DHCP • 2 Offre DHCP • 3 Demande DHCP • 4 Décline DHCP • 5 Ack DHCP • 6 Nack DHCP • 7 Résilier DHCP Code (53) longueur Type (1-7)

  19. Inconvénients: Disponibilité des serveurs DHCP Sécurité (wifi, serveur non officiel)

  20. Les requêtes DHCP étant envoyées en broadcast (à tout le monde) sur le réseau, il est possible pour une personne mal intentionnée d’utiliser son propre serveur DHCP afin de diffuser des configurations malicieuses. En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses

  21. Réseau avec DHCP Snooping Le principe de fonctionnement du DHCP Snooping est simple. Etant donné que les requêtes DHCP Offer et DHCP ACK peuvent provenir uniquement des serveurs DHCP, il suffit donc de déterminer sur les commutateurs (switchs) les ports autorisés à diffuser ces requêtes. De cette manière, seuls les ports configurés comme étant des ports de confiance (trusted port), pourrons renvoyer aux postes clients des configurations réseaux.

  22. Class ID DHCPBut: personnaliser les informations données par DHCP à chaque poste d’une même étendue

  23. ICMP

  24. Protocole ICMP RFC 792, 896, 1256 • Principales caractéristiques : • protocole de report d'erreurs dans l'environnement IP • fonctionne en mode non connecté • messages ICMP acheminés par IP • fait partie obligatoirement des modules logiciels IP • Quelques utilisations : • commande "ping" • commande "traceroute"

  25. Protocole ICMP : Format des paquets ICMP • TYPE : • nature du message ICMP et format du paquet • CODE : • code de l'erreur reportée • CHECKSUM : • vérification de l'intégrité du message ICMP (identique au calcul du checksum IP) • DONNEES : • dépend du type de message ICMP (généralement l'entête IP plus les premiers octets du datagramme à l'origine du message d'erreur) 0 8 15 Type Code Checksum DATA

  26. Protocole ICMP Type Code Checksum DATA Type Message ICMP • champ « type » : 0 3 4 5 8 11 12 13 14 15 16 17 18 Echo Reply Destination Unreachable --> Source Quench Redirect Echo Request Time Exceeded for a Datagram Parameter Problem Timestamp Request Timestamp Reply Information Request Information Reply Address Mask Request Address Mask Reply Code Description 012 3 4 5 Network UnreachableHost Unreachable Protocol Unreachable Port unreachable Fragm. needed and DF set Source route failed Quelques valeurs du champ codepour type = 3 (Destination Unreachable)

  27. B ICMP : Ping à travers un routeur Configuration - @ IP station - Masque associé - @ IP passerelle Table routage ICMP NET port A 1 B 2 Configuration - @ IP station - Masque associé - @ IP passerelle IP A MAC Phys Routeur 1 2 Réseau B Réseau A Table ARP Requête Echo Requête Echo @D = @ B @S = @ A @D Mac = @ FFFFF @S Mac = A @D = @ B @S = @ A @D Mac = @FFFFFF @S Mac = R Réponse Echo @ IP @ Mac routeur routeur A routeur @D = @ A @S = @ B @D Mac = @R @S Mac = B

  28. B A ICMP TTL Exceeded R1 R2 R3 Rn TTL=1 TTL=2 TTL=3 TTL=n ICMP : commande traceroute • Traceroute

  29. Traceroute est un outil logiciel (couche applicative) : • permet d'identifier les différents noeuds (routeurs) traversés par un datagramme IP destiné à une machine distante • basé sur l'utilisation des messages ICMP de type «TTL Exceeded»

  30. HSRP: hot standby redundant protocol

  31. Configuration 1er routeur Interface Ethernet0 ip address 171.16.6.5 255.255.255.0 standby 1 ip 171.16.6.100 !--- Assigns a standby group and standby IP address standby 1 priority 105 !--- Assign a priority (105 in this case) to the router interface (e0) !--- for a particular group number (1). The default is 100. Standby 1 preempt !--- Allows the router to become the active router when its priority !--- is higher than all other HSRP-configured routers in the hot standby group.

  32. !--- If you do not use the standby preempt command in the configuration !--- for a router, that router will not become the active router, even if !--- its priority is higher than all other routers. Standby 1 track Serial0 !--- Indicates that HSRP will track Serial0 interface. !--- The interface priority can also be configured which indicates the !--- amount by which the router priority is decremented when !--- the interface goes down. The default is 10. interface Serial0 ip address 171.16.2.5 255.255.255.0

  33. Configuration 2nd routeur interface Ethernet0 ip address 171.16.6.6 255.255.255.0 !--- Assigns an IP address to the interface. standby 1 ip !--- Indicates the hot standby group. Here the IP address of the virtual router !--- is not configured. See the note below. standby 1 preempt !--- Allows the router to become the active router when its priority !--- is higher than all other HSRP-configured routers in the hot standby group. !--- If you do not use the standby preempt command in the configuration !--- for a router, that router will not become the active router, even if

  34. !--- its priority is higher than all other routers. standby 1 track Serial1 !--- Indicates that HSRP will track Serial1 interface. !--- The interface priority can also be configured which indicates the !--- amount by which the router priority is decremented when !--- the interface goes down. The default is 10. !--- The priority is also not configured and hence the default !--- priority value of 100 is applied. interface Serial1 ip address 171.16.7.6 255.255.255.0

  35. Note: R2 does not have a standby IP address configured. • This is intentional in order to demonstrate that this is a valid configuration. When R1 and R2 exchange HSRP hellos, R2 learns the standby IP address from R1. • Configuring R2 with a standby IP address (same standby address configured on R1) is also a valid configuration.

  36. R1#show standby • Ethernet0 - Group 1 • Local state is Active, priority 105, may preempt • Hellotime 3 sec, holdtime 10 sec • Next hello sent in 1.458 • Virtual IP address is 171.16.6.100 configured • Active router is local • Standby router is 171.16.6.6 expires in 8.428 • Virtual mac address is 0000.0c07.ac01 • 2 state changes, last state change 02:09:49 • IP redundancy name is "hsrp-Et0-1" (default) • Priority tracking 1 interface, 1 up: • Interface Decrement State • Serial0 10 Up

  37. R2#show standby • Ethernet0 - Group 1 • Local state is Standby, priority 100, may preempt • Hellotime 3 sec, holdtime 10 sec • Next hello sent in 1.814 • Virtual IP address is 171.16.6.100 • Active router is 171.16.6.5, priority 105 expires in 9.896 • Standby router is local • 3 state changes, last state change 00:10:21 • IP redundancy name is "hsrp-Et0-1" (default) • Priority tracking 1 interface, 1 up: • Interface Decrement State • Serial1 10 Up

  38. Translation d’adresse NAT • Principes d’adressage public/privé • Pénurie d’adresses officielles • Sécurité • RFC 1918 • 10.0.0.0 - 10.255.255.255 ( ? prefix) • 172.16.0.0 - 172.31.255.255 ( ? prefix) • 192.168.0.0 - 192.168.255.255 ( ? prefix) • Discard des trames par 1er routeur Internet traversé • Solution : translation d’adresses … mais : • Important : Sensibilité des applications …

  39. Network AddressTranslation Dans sa plus simple configuration, le NAT s’opère sur un routeur à 2 interfaces : une “ inside ” avec des adresses non autorisées ou non routées sur Internet qui doivent donc être translatées (converties) en adresses légales (officielles, publiques) avant de sortir vers l’extérieur (par la seconde interface : “ outside ”). NAT est défini notamment dans le RFC 1631

  40. Inside NAT addressing

  41. NAT outside addressing

  42. Inside local; Configured IP address assigned to a host on the inside network. Address may be globally unique, allocated out of the private address space defined in RFC 1918, or might be officially allocated to another organization. • Inside global; The IP address of an inside host as it appears to the outside network, "Translated IP Address." Addresses can be allocated from a globally unique address space, typically provided by the ISP (if the enterprise is connected to the global Internet). • Outside local; The IP address of an outside host as it appears to the inside network. • Outside global; The configured IP address assigned to a host in the outside network.

  43. Principales caractéristiques • Static Address Translation • Etablissement d’un mapping un-pour-un entre adresses locales and globales • Dynamic Address Translation • Etablissement d’un dynamic mapping entre adresses locales and globales • Définition d’un pool d’adresses pour l’allocation des global addresses.Intéressant lorsque le nombre d’adresses officielles est inférieur au nombre d’adresses locales (fréquent). • Match Host • Affecter la même Host portion d’une IP Address et translater seulement le Network prefix. Utile pour identifier les users.

  44. Port Address Translation (PAT) • Several internal addresses can be NATed to only one or a few external addresses by using a feature called Port Address Translation (PAT) which is also referred to as "overload," a subset of NAT functionality. • PAT uses unique source port numbers on the Inside Global IP address to distinguish between translations. Because the port number is encoded in 16 bits, the total number could theoretically be as high as 65,536 per IP address. PAT will attempt to preserve the original source port, if this source port is already allocated PAT will attempt to find the first available port number starting from the beginning of the appropriate port group 0-511, 512-1023, or 1024-65535. If there is still no port available from the appropriate group and more than one IP address is configured, PAT will move to the next IP address and try to allocate the original source port again. This continues until it runs out of available ports and IP addresses.

  45. Concepts PAT

  46. Destination Address Rotary Translation • A dynamic form of destination translation can be configured for some outside-to-inside traffic. Once a mapping is set up, a destination address matching one of those on an access list will be replaced with an address from a rotary pool. Allocation is done in a round-robin basis, performed only when a new connection is opened from the outside to the inside. All non-TCP traffic is passed untranslated (unless other translations are in effect). • This feature was designed to provide protocol translation load distribution. It is not designed to be used as a substitute technology for Cisco's LocalDirector product. Destination address rotary translation should not be used to provide Web service load balancing because it knows nothing about service availability. As a result, if a Web server were to become offline, the destination address rotary translation feature would continue to send requests to the downed server.

More Related