19 Corrigé du DS du 19 janvier 2005
La durée de ce contrôle est de deux heures, tous les documents sont
autorisés (y compris ordinateurs).
Le barème probable est 10 points par exercice.
Vous pourrez trouver la correction de ce devoir sur l'Intranet de
Polytech'Lille à l'endroit habituel
19.1 Architecture réseau
Une association caritative possède 3 locaux mis à disposition par divers
organismes. Ces locaux sont proches mais dispersés sur deux bâtiments
comme montré sur le schéma ci-dessous :
Les équipements réseaux disponibles sont :
-
Deux stations d'accès laser (comprenant l'interface laser et un
port Ethernet 100 Mb/s connectique RJ45, chaque station se comporte comme un
commutateur entre ses deux ports). Ces stations sont utilisées pour relier
les deux batiments au dessus de l'espace publique (voir les fléches évidées
sur le schéma).
- Deux stations d'accès WiFi avec antennes directionnelles d'extérieur
(chaque station se comporte comme un commutateur entre son port WiFi et son
port Ethernet 100Mb/s connectique RJ45). Ces stations sont utilisées pour relier
les deux batiments au dessus de l'espace publique (voir les paraboles stylisées
sur le schéma).
- Deux stations d'accès WiFi avec antennes omni-directionnelles (chaque
station se comporte comme un commutateur entre son port WiFi et son port
Ethernet 100Mb/s connectique RJ45).
- Quatre commutateurs de 12 ports 10/100 Mb/s à connectique RJ45.
- Deux modems/routeurs ADSL.
La répartition des utilisateurs dans les différents locaux est la suivante :
-
Dans le local 1 on trouve 7 machines pour les utilisateurs du groupe A
de l'association et une machine pour les utilisateurs du groupe B de l'association.
- Dans le local 2 on trouve 7 machines pour les utilisateurs du groupe A
de l'association et 2 machines pour les utilisateurs du groupe B de l'association.
- Dans le local 3 on trouve 13 machines pour le cyber-café (une part du
financement de l'association en dépend), 4 machines pour les utilisateurs du
groupe A de l'association et 1 machine pour les utilisateurs du groupe B de
l'association.
Le contexte étant décrit, répondez aux questions suivantes :
-
L'association souhaite que les différentes catégories d'utilisateurs
se trouvent dans des réseaux locaux différents (et bien sur que deux machines
dans la même catégorie puissent communiquer entre elles). Vu le matériel
disponible est-il possible de réaliser cela avec des commutateurs de base ?
De quel dispositif doivent disposer les commutateurs fournis pour permettre
la séparation des réseaux locaux ?
Il n'est pas possible de constituer trois réseaux locaux matériellement
distincts. En effet il faudrait déjà 4 commutateurs pour le local 3
(2 pour le cyber-café, 1 pour les 4 machines du groupe A et 1 pour la
machine du groupe B). Il faut
utiliser des réseaux virtuels et donc que les commutateurs disposent
du dispositif connu sous le nom de VLAN.
- Répartissez les commutateurs dans les différents locaux, indiquez
une distribution possible des machines sur les ports de ces commutateurs et
enfin comment ces ports sont configurés.
Une solution possible est de mettre deux commutateurs dans le local 3 et
un dans chaque local 1 et 2. La distribution des machines peut se faire
comme indiqué sur le schéma ci-dessous.
Les machines du cyber-café se retrouvent (par exemple) dans le VLAN 2,
les machines du groupe A sont dans le VLAN 3 et celles du groupe B dans
le VLAN 4. Il faut simplement configurer les ports des commutateurs
connectés aux machines du cyber-café dans le VLAN 2, ceux connectés
aux machines du groupe A dans le VLAN 3 et ceux connectés aux
machines du groupe B dans le VLAN 4.
- Il faut maintenant définir les connexions inter-commutateurs. Commencez
par les connexions entre les commutateurs d'un même local puis passez aux
connexions entre commutateurs de locaux différents (ne traitez pas le cas de
la connexion entre le local 1 et le local 3 dans un premier temps). Vous devez
précisez la nature de la connexion et la configuration des ports participant à
la connexion.
Les deux commutateurs du local 3 sont connectés directement par un câble
en paires torsadées. Comme le commutateur Comm3 ne dessert que des
machines du cyber-café, le mieux est de configurer les deux ports de
l'interconnexion dans le VLAN 2. Le commutateur Comm1 et Comm2
sont connectés par la liaison cuivre passée entre les deux locaux. Ici
la connexion doit transporter les VLANs 3 et 4, il faut donc que les deux
ports de l'interconnexion soient configurés en mode "Trunk".
- Traitez le cas de la connexion entre les locaux 1 et 3. Proposez une
solution sans redondance dans le réseau et une solution avec redondance.
Précisez quel niveau de robustesse apporte cette redondance et présentez
les avantages des deux solutions.
Une solution d'interconnexion entre le local 1 et le local 3 consiste à dédier
le lien laser au VLAN 3 (machines du groupe A) et le lien WiFi au VLAN 4
(machines du groupe B). Il faut donc configurer les ports connectés aux
équipements laser dans le VLAN 3 et le ports connectés aux équipements
WiFi dans le VLAN 4. Pour une solution avec redondance les quatre ports
doivent être configurés en mode "Trunk" et donc laisser passer à la
fois les paquets des VLANs 3 et 4. Du coup on fabrique une boucle entre
les commutateurs Comm1 et Comm4. L'algorithme du spanning
tree va désactiver un port de la liaison la plus lente et le réactiver
en cas de dysfonctionnement de la liaison la plus rapide. La solution
sans redondance permet une utilisation optimisée des liens laser et
WiFi (équilibrage de charge entre les deux liens), la solution avec
redondance est moins performante mais assure que les VLAN 3 et 4 fonctionnent
tant qu'au moins un lien (laser ou WiFi) est actif.
- Connectez les deux stations WiFi restantes. A quelle utilisation ces
stations sont-elles destinées ? Gardant en mémoire le fait que les groupes
A et B doivent rester dans des réseaux locaux distincts, donnez la configuration
des ports sur lesquels les stations sont connectées et le contrôle d'accès devant
être mis en place. Qu'est-ce qui, dans la disposition des locaux, rend possible
le mode opératoire que vous proposez ? Quelle précaution élémentaire faut-il
prendre dans la configuration des stations d'accès Wifi ?
Ces stations sont destinées pour offrir une connectivité à des machines
nomades comme des PC portables. Pour ne pas mélanger des machines des
utilisateurs du groupe A avec celles d'utilisateurs du groupe B on peut
procéder en connectant une station d'accès WiFi sur un port configuré
dans le VLAN 3 et une autre sur un port configuré dans le VLAN 4. Ensuite
on configure une clef d'accès pour la station sur le VLAN 3 et on ne la
donne qu'aux utilisateurs du groupe A et on configure une clef d'accès sur
la station du VLAN 4 qu'on ne donne qu'au groupe B. Cela ne fonctionne que
grâce à la proximité des locaux 1 et 2 qui fait que les deux stations sont
utilisables à partir de ces deux locaux. Il faut bien sur configurer les
stations pour utiliser des canaux hertziens suffisamment éloignés en terme
de fréquences.
- Passons aux accès Internet : connectez les modems/routeurs ADSL et
définissez les réseaux IP de l'association (les machines du groupe B ne
sont pas sensées être connectées à Internet). Sachant que les abonnements ADSL
sont des abonnements grand-public de base, quels types de classes IP serait-il
judicieux d'utiliser ? Donnez la table de routage d'une des machines du
cyber-café.
Il est probable que seules deux adresses IP soient disponibles (une par abonnement
ADSL). Il n'y a donc pas assez d'adresses IP publiques pour toutes les machines
de l'association, il est donc judicieux de choisir des classes d'adresses privées.
On peut par exemple associer le réseau IP 192.168.2.0/24 au VLAN 2 (cyber-café),
connecter le modem/routeur du local 3 sur le commutateur Comm4 sur un port
configuré dans le VLAN 2 et lui donner l'adresse IP 192.168.2.1 dans ce réseau
IP. On peut aussi associer le réseau 192.168.3.0/24 au VLAN 3 (groupe A),
connecter le modem/routeur du local 2 sur le commutateur Comm2 sur un port
configuré dans le VLAN 3 et lui donner l'adresse IP 192.168.3.1. Enfin
associons le réseau 192.168.4.0/24 au VLAN 4. Dans cette configuration le
groupe B ne peut pas avoir accès à Internet; les modems/routeurs ADSL n'étant
généralement pas capable de gérer des liaisons 802.1q et de multiples réseaux
locaux. Il est à noter que dans le cas du réseau non redondant, il n'est pas
possible d'utiliser le modem/routeur du local 2 pour le cyber-café car le VLAN 2
n'est alors pas propagé dans le local 2. Voici la table de routage d'une
machine 192.168.2.100 du cyber-café :
Réseau |
Masque |
Routeur |
192.168.2.0 |
255.255.255.0 |
192.168.2.100 |
0.0.0.0 |
0.0.0.0 |
192.168.2.1 |
- L'association veut mettre en place un serveur pour remplir le rôle de
serveur Web et serveur d'applications Intranet. Ce serveur doit être accessible
de toutes les machines de l'association et avoir un accès à l'Internet. Dans quel
local peut-il être installé ? Comment configurer le port auquel cette machine
est reliée ? Donnez les deux tables de routage possibles pour ce serveur.
Tous les commutateurs sont saturés sauf le commutateur Comm4. Le serveur
ne peut donc être installé que dans le local 3. Ce serveur doit avoir accès à
tous les VLANs donc le port de commutateur sur lequel il est connecté doit être
en mode "Trunk". Le serveur peut sortir sur Internet par une liaison ADSL ou
l'autre d'où les deux tables de routage :
Réseau |
Masque |
Routeur |
192.168.2.0 |
255.255.255.0 |
192.168.2.2 |
192.168.3.0 |
255.255.255.0 |
192.168.3.2 |
192.168.4.0 |
255.255.255.0 |
192.168.4.2 |
0.0.0.0 |
0.0.0.0 |
192.168.2.1 |
Réseau |
Masque |
Routeur |
192.168.2.0 |
255.255.255.0 |
192.168.2.2 |
192.168.3.0 |
255.255.255.0 |
192.168.3.2 |
192.168.4.0 |
255.255.255.0 |
192.168.4.2 |
0.0.0.0 |
0.0.0.0 |
192.168.3.1 |
- Quelle configuration faut-il effectuer sur quel routeur ADSL pour que le
serveur puisse opérer en tant que serveur Web vis à vis de l'Internet ?
Le serveur web ne dispose pas d'adresse IP routée (seulement d'une adresse
IP non routée dans chaque VLAN : 192.168.2.2, 192.168.3.2 et
192.168.4.2 dans notre exemple). Pour que le serveur puisse être
accessible d'Internet, il faut que le modem/routeur qu'il utilise comme
passerelle par défaut redirige les accès sur son port TCP 80 (on parle
ici du port du modem/routeur) vers le le port TCP 80 du serveur web.
19.2 Analyse de paquet
Les paquets suivants ont été récupérés sur le réseau de Polytech'Lille par
la commande ether :
00 10 b5 02 a9 05 00 0b db 5c 98 2c 08 00 45 10
00 28 97 d8 00 00 2e 06 2f 48 c0 5e 49 23 ac 1a
10 04 c7 bb 00 15 0a 91 eb 79 a0 2d e8 8c 50 10
43 d7 5f c7 00 00 00 00 00 00 00 00
00 0b db 5c 98 2c 00 10 b5 02 a9 05 08 00 45 10
00 c1 98 6b 40 00 40 06 dc 1b ac 1a 10 04 c0 5e
49 23 00 15 c7 bb a0 2d e7 f2 0a 91 eb 79 50 19
16 d0 41 ed 00 00 32 32 31 2d 54 6f 74 61 6c 20
74 72 61 66 66 69 63 20 66 6f 72 20 74 68 69 73
20 73 65 73 73 69 6f 6e 20 77 61 73 20 31 31 38
31 30 20 62 79 74 65 73 20 69 6e 20 31 20 74 72
61 6e 73 66 65 72 73 2e 0d 0a 32 32 31 2d 54 68
61 6e 6b 20 79 6f 75 20 66 6f 72 20 75 73 69 6e
67 20 74 68 65 20 46 54 50 20 73 65 72 76 69 63
65 20 6f 6e 20 77 65 70 70 65 73 2e 73 74 75 64
73 65 72 76 2e 64 65 75 6c 65 2e 6e 65 74 2e 0d
0a 32 32 31 20 47 6f 6f 64 62 79 65 2e 0d 0a
Aucune indication n'est donnée sur l'ordre de capture de ces paquets.
Veuillez répondre aux quelques questions ci-dessous :
-
Quels protocoles sont utilisés dans le premier paquet donné dans
l'énoncé (donnez tous les protocoles de la couche liaison à la couche
application) ? Même question pour le second paquet donné dans l'énoncé.
Justifiez votre réponse.
Il s'agit, dans les deux cas, de paquets Ethernet (niveau liaison) encapsulant
des paquets IP (couche réseau), eux-mêmes encapsulant des paquets TCP
(couche transport), encapsulant enfin des paquets FTP (couche application).
Les paquets IP sont identifiés dans Ethernet par le code 0x800, les
paquets TCP sont identifiés dans l'entête IP par le code de protocole 0x06
et enfin le protocole FTP se repère grâce au code 0x15 (21 en décimal)
du port TCP du serveur.
- Donnez les adresses (de tout type) des machines participant aux
échanges liés aux paquets ci-dessus. Les machines impliquées dans les
échanges sont-elles dans le même réseau local ? Justifiez vos dires.
En utilisant ces informations dites à quelles machines appartiennent
les adresses (de tout type) que vous avez listé.
Dans le premier paquet on trouve les adresses Ethernet 00:0b:db:5c:98:2c (source)
et 00:10:b5:02:a9:05 (destination) et les adresses IP 192.94.73.35 (source) et
172.26.16.4 (destination). Dans le second paquet on retrouve les mêmes adresses
mais inversées en terme de destination et de source.
Les adresses IP ne peuvent pas se trouver dans un même réseau IP
(même de classe A), il est donc fort probable que les machines
les possédant ne se trouvent pas dans un même réseau local (mais
pas certain). Ce fait est corroboré par le TTL du premier paquet
qui est de 0x2e. Il ne s'agit pas d'une valeur habituelle
d'initialisation d'un TTL, ce paquet a donc franchi un ou plusieurs
routeur pour arriver à la machine sonde. Il faut aussi remarquer
que le TTL du second paquet est à 0x40 ce qui correspond à
la valeur classique d'initialisation du TTL pour un système Linux.
Cela nous apprend que la sonde se trouve sur le réseau local de
l'émetteur de ce paquet soit la machine d'adresse IP 172.26.16.4.
Vu que le port TCP source de ce paquet est 21, il est facile de
conclure que 172.26.16.4 et 00:10:b5:02:a9:05 sont les
adresses du serveur FTP, que 192.94.73.35 est l'adresse IP
du client FTP et que 00:0b:db:5c:98:2c est l'adresse Ethernet
de la passerelle utilisée par le serveur FTP pour sortir de son
réseau local. Elémentaire, cher Watson ...
- Donnez la relation entre les deux paquets. Dites quel est l'ordre
entre les deux paquets (lequel a été envoyé en premier ?), prouvez vos
affirmations.
Les deux paquets sont des échanges entre les deux machines 192.94.73.35
(machine A) et 172.26.16.4 (machine B). Un paquet va de la machine A vers
la machine B et l'autre dans l'autre sens. On remarque que l'accusé de
réception du premier paquet est 0xa02de88c soit le numéro de
séquence du second paquet 0xa02de7f2 plus la taille des données TCP
0x99 (c'est à dire la taille du paquet IP complet 0xc1 moins
0x14 octets d'entêtes
IP et moins 0x14 octets d'entêtes TCP) plus un. Le premier paquet
dans l'énoncé est donc le paquet de réponse au second paquet de l'énoncé
(il porte l'accusé de réception du second paquet).
- Au niveau transport, dites quelle est la particularité des paquets
donnés dans l'énoncé (à quelle étape de la connexion correspondent-ils ?).
Connaissant cette particularité pouvez-vous intuiter le contenu du message
ASCII du plus gros paquet ?
On note dans le second paquet de l'énoncé que le drapeau TCP est 0x19,
donc les bits Accusé, Pousser et Fin sont positionnés. Le bit Accusé indique
seulement que ce paquet porte l'accusé de réception d'un précédent paquet,
le bit Pousser que les données TCP du paquet ne doivent pas être tamponnées
et surtout le bit Fin indique que le serveur termine la connexion dans
le sens serveur vers client. Il s'agit donc de la fin d'une connexion TCP.
On peut intuiter que dans les données TCP de ce paquet se trouve le message
d'adieu du serveur FTP.
- Après ces deux paquets, le serveur peut-il continuer à envoyer des
paquets au client ? Si oui a-t-il un intérêt à le faire ? Après ces deux paquets,
le client peut-il continuer à envoyer des paquets au serveur ? Si oui a-t-il un
intérêt à le faire ?
Après ces paquets la connexion du serveur vers le client est close par contre
le client FTP peut toujours envoyer des données vers le serveur FTP. Cela dit
il s'agit de la connexion FTP véhiculant les commandes et l'intérêt d'envoyer des
commandes (comme CWD, LIST, RETR, ...) sans avoir le code
de retour n'est pas évident ...
- D'après vous quels paquets vont suivre les deux paquets donnés dans
cet exercice ?
Le paquet suivant va être le paquet de terminaison de la connexion TCP du client
vers le serveur et le dernier paquet le paquet d'accusé de réception du précédent
paquet.