19   Corrigé du DS du 19 janvier 2005

19.1   Architecture réseau

• Deux stations d'accès laser (comprenant l'interface laser et un port Ethernet 100 Mb/s connectique RJ45, chaque station se comporte comme un commutateur entre ses deux ports). Ces stations sont utilisées pour relier les deux batiments au dessus de l'espace publique (voir les fléches évidées sur le schéma).
• Deux stations d'accès WiFi avec antennes directionnelles d'extérieur (chaque station se comporte comme un commutateur entre son port WiFi et son port Ethernet 100Mb/s connectique RJ45). Ces stations sont utilisées pour relier les deux batiments au dessus de l'espace publique (voir les paraboles stylisées sur le schéma).
• Deux stations d'accès WiFi avec antennes omni-directionnelles (chaque station se comporte comme un commutateur entre son port WiFi et son port Ethernet 100Mb/s connectique RJ45).
• Quatre commutateurs de 12 ports 10/100 Mb/s à connectique RJ45.
• Deux modems/routeurs ADSL.

• Dans le local 1 on trouve 7 machines pour les utilisateurs du groupe A de l'association et une machine pour les utilisateurs du groupe B de l'association.
• Dans le local 2 on trouve 7 machines pour les utilisateurs du groupe A de l'association et 2 machines pour les utilisateurs du groupe B de l'association.
• Dans le local 3 on trouve 13 machines pour le cyber-café (une part du financement de l'association en dépend), 4 machines pour les utilisateurs du groupe A de l'association et 1 machine pour les utilisateurs du groupe B de l'association.

1. L'association souhaite que les différentes catégories d'utilisateurs se trouvent dans des réseaux locaux différents (et bien sur que deux machines dans la même catégorie puissent communiquer entre elles). Vu le matériel disponible est-il possible de réaliser cela avec des commutateurs de base ? De quel dispositif doivent disposer les commutateurs fournis pour permettre la séparation des réseaux locaux ?

   Il n'est pas possible de constituer trois réseaux locaux matériellement distincts. En effet il faudrait déjà 4 commutateurs pour le local 3 (2 pour le cyber-café, 1 pour les 4 machines du groupe A et 1 pour la machine du groupe B). Il faut utiliser des réseaux virtuels et donc que les commutateurs disposent du dispositif connu sous le nom de VLAN.

2. Répartissez les commutateurs dans les différents locaux, indiquez une distribution possible des machines sur les ports de ces commutateurs et enfin comment ces ports sont configurés.

   Une solution possible est de mettre deux commutateurs dans le local 3 et un dans chaque local 1 et 2. La distribution des machines peut se faire comme indiqué sur le schéma ci-dessous.

   

   Les machines du cyber-café se retrouvent (par exemple) dans le VLAN 2, les machines du groupe A sont dans le VLAN 3 et celles du groupe B dans le VLAN 4. Il faut simplement configurer les ports des commutateurs connectés aux machines du cyber-café dans le VLAN 2, ceux connectés aux machines du groupe A dans le VLAN 3 et ceux connectés aux machines du groupe B dans le VLAN 4.

3. Il faut maintenant définir les connexions inter-commutateurs. Commencez par les connexions entre les commutateurs d'un même local puis passez aux connexions entre commutateurs de locaux différents (ne traitez pas le cas de la connexion entre le local 1 et le local 3 dans un premier temps). Vous devez précisez la nature de la connexion et la configuration des ports participant à la connexion.

   Les deux commutateurs du local 3 sont connectés directement par un câble en paires torsadées. Comme le commutateur Comm3 ne dessert que des machines du cyber-café, le mieux est de configurer les deux ports de l'interconnexion dans le VLAN 2. Le commutateur Comm1 et Comm2 sont connectés par la liaison cuivre passée entre les deux locaux. Ici la connexion doit transporter les VLANs 3 et 4, il faut donc que les deux ports de l'interconnexion soient configurés en mode "Trunk".

4. Traitez le cas de la connexion entre les locaux 1 et 3. Proposez une solution sans redondance dans le réseau et une solution avec redondance. Précisez quel niveau de robustesse apporte cette redondance et présentez les avantages des deux solutions.

   Une solution d'interconnexion entre le local 1 et le local 3 consiste à dédier le lien laser au VLAN 3 (machines du groupe A) et le lien WiFi au VLAN 4 (machines du groupe B). Il faut donc configurer les ports connectés aux équipements laser dans le VLAN 3 et le ports connectés aux équipements WiFi dans le VLAN 4. Pour une solution avec redondance les quatre ports doivent être configurés en mode "Trunk" et donc laisser passer à la fois les paquets des VLANs 3 et 4. Du coup on fabrique une boucle entre les commutateurs Comm1 et Comm4. L'algorithme du spanning tree va désactiver un port de la liaison la plus lente et le réactiver en cas de dysfonctionnement de la liaison la plus rapide. La solution sans redondance permet une utilisation optimisée des liens laser et WiFi (équilibrage de charge entre les deux liens), la solution avec redondance est moins performante mais assure que les VLAN 3 et 4 fonctionnent tant qu'au moins un lien (laser ou WiFi) est actif.

5. Connectez les deux stations WiFi restantes. A quelle utilisation ces stations sont-elles destinées ? Gardant en mémoire le fait que les groupes A et B doivent rester dans des réseaux locaux distincts, donnez la configuration des ports sur lesquels les stations sont connectées et le contrôle d'accès devant être mis en place. Qu'est-ce qui, dans la disposition des locaux, rend possible le mode opératoire que vous proposez ? Quelle précaution élémentaire faut-il prendre dans la configuration des stations d'accès Wifi ?

   Ces stations sont destinées pour offrir une connectivité à des machines nomades comme des PC portables. Pour ne pas mélanger des machines des utilisateurs du groupe A avec celles d'utilisateurs du groupe B on peut procéder en connectant une station d'accès WiFi sur un port configuré dans le VLAN 3 et une autre sur un port configuré dans le VLAN 4. Ensuite on configure une clef d'accès pour la station sur le VLAN 3 et on ne la donne qu'aux utilisateurs du groupe A et on configure une clef d'accès sur la station du VLAN 4 qu'on ne donne qu'au groupe B. Cela ne fonctionne que grâce à la proximité des locaux 1 et 2 qui fait que les deux stations sont utilisables à partir de ces deux locaux. Il faut bien sur configurer les stations pour utiliser des canaux hertziens suffisamment éloignés en terme de fréquences.

6. Passons aux accès Internet : connectez les modems/routeurs ADSL et définissez les réseaux IP de l'association (les machines du groupe B ne sont pas sensées être connectées à Internet). Sachant que les abonnements ADSL sont des abonnements grand-public de base, quels types de classes IP serait-il judicieux d'utiliser ? Donnez la table de routage d'une des machines du cyber-café.

   Il est probable que seules deux adresses IP soient disponibles (une par abonnement ADSL). Il n'y a donc pas assez d'adresses IP publiques pour toutes les machines de l'association, il est donc judicieux de choisir des classes d'adresses privées. On peut par exemple associer le réseau IP 192.168.2.0/24 au VLAN 2 (cyber-café), connecter le modem/routeur du local 3 sur le commutateur Comm4 sur un port configuré dans le VLAN 2 et lui donner l'adresse IP 192.168.2.1 dans ce réseau IP. On peut aussi associer le réseau 192.168.3.0/24 au VLAN 3 (groupe A), connecter le modem/routeur du local 2 sur le commutateur Comm2 sur un port configuré dans le VLAN 3 et lui donner l'adresse IP 192.168.3.1. Enfin associons le réseau 192.168.4.0/24 au VLAN 4. Dans cette configuration le groupe B ne peut pas avoir accès à Internet; les modems/routeurs ADSL n'étant généralement pas capable de gérer des liaisons 802.1q et de multiples réseaux locaux. Il est à noter que dans le cas du réseau non redondant, il n'est pas possible d'utiliser le modem/routeur du local 2 pour le cyber-café car le VLAN 2 n'est alors pas propagé dans le local 2. Voici la table de routage d'une machine 192.168.2.100 du cyber-café :

   Réseau	Masque	Routeur
   192.168.2.0	255.255.255.0	192.168.2.100
   0.0.0.0	0.0.0.0	192.168.2.1

7. L'association veut mettre en place un serveur pour remplir le rôle de serveur Web et serveur d'applications Intranet. Ce serveur doit être accessible de toutes les machines de l'association et avoir un accès à l'Internet. Dans quel local peut-il être installé ? Comment configurer le port auquel cette machine est reliée ? Donnez les deux tables de routage possibles pour ce serveur.

   Tous les commutateurs sont saturés sauf le commutateur Comm4. Le serveur ne peut donc être installé que dans le local 3. Ce serveur doit avoir accès à tous les VLANs donc le port de commutateur sur lequel il est connecté doit être en mode "Trunk". Le serveur peut sortir sur Internet par une liaison ADSL ou l'autre d'où les deux tables de routage :

   Réseau	Masque	Routeur
   192.168.2.0	255.255.255.0	192.168.2.2
   192.168.3.0	255.255.255.0	192.168.3.2
   192.168.4.0	255.255.255.0	192.168.4.2
   0.0.0.0	0.0.0.0	192.168.2.1

   Réseau	Masque	Routeur
   192.168.2.0	255.255.255.0	192.168.2.2
   192.168.3.0	255.255.255.0	192.168.3.2
   192.168.4.0	255.255.255.0	192.168.4.2
   0.0.0.0	0.0.0.0	192.168.3.1

8. Quelle configuration faut-il effectuer sur quel routeur ADSL pour que le serveur puisse opérer en tant que serveur Web vis à vis de l'Internet ?

   Le serveur web ne dispose pas d'adresse IP routée (seulement d'une adresse IP non routée dans chaque VLAN : 192.168.2.2, 192.168.3.2 et 192.168.4.2 dans notre exemple). Pour que le serveur puisse être accessible d'Internet, il faut que le modem/routeur qu'il utilise comme passerelle par défaut redirige les accès sur son port TCP 80 (on parle ici du port du modem/routeur) vers le le port TCP 80 du serveur web.

19.2   Analyse de paquet

00 10 b5 02 a9 05 00 0b db 5c 98 2c 08 00 45 10
00 28 97 d8 00 00 2e 06 2f 48 c0 5e 49 23 ac 1a
10 04 c7 bb 00 15 0a 91 eb 79 a0 2d e8 8c 50 10
43 d7 5f c7 00 00 00 00 00 00 00 00 

00 0b db 5c 98 2c 00 10 b5 02 a9 05 08 00 45 10
00 c1 98 6b 40 00 40 06 dc 1b ac 1a 10 04 c0 5e
49 23 00 15 c7 bb a0 2d e7 f2 0a 91 eb 79 50 19
16 d0 41 ed 00 00 32 32 31 2d 54 6f 74 61 6c 20
74 72 61 66 66 69 63 20 66 6f 72 20 74 68 69 73
20 73 65 73 73 69 6f 6e 20 77 61 73 20 31 31 38
31 30 20 62 79 74 65 73 20 69 6e 20 31 20 74 72
61 6e 73 66 65 72 73 2e 0d 0a 32 32 31 2d 54 68
61 6e 6b 20 79 6f 75 20 66 6f 72 20 75 73 69 6e
67 20 74 68 65 20 46 54 50 20 73 65 72 76 69 63
65 20 6f 6e 20 77 65 70 70 65 73 2e 73 74 75 64
73 65 72 76 2e 64 65 75 6c 65 2e 6e 65 74 2e 0d
0a 32 32 31 20 47 6f 6f 64 62 79 65 2e 0d 0a 

1. Quels protocoles sont utilisés dans le premier paquet donné dans l'énoncé (donnez tous les protocoles de la couche liaison à la couche application) ? Même question pour le second paquet donné dans l'énoncé. Justifiez votre réponse.

   Il s'agit, dans les deux cas, de paquets Ethernet (niveau liaison) encapsulant des paquets IP (couche réseau), eux-mêmes encapsulant des paquets TCP (couche transport), encapsulant enfin des paquets FTP (couche application). Les paquets IP sont identifiés dans Ethernet par le code 0x800, les paquets TCP sont identifiés dans l'entête IP par le code de protocole 0x06 et enfin le protocole FTP se repère grâce au code 0x15 (21 en décimal) du port TCP du serveur.

2. Donnez les adresses (de tout type) des machines participant aux échanges liés aux paquets ci-dessus. Les machines impliquées dans les échanges sont-elles dans le même réseau local ? Justifiez vos dires. En utilisant ces informations dites à quelles machines appartiennent les adresses (de tout type) que vous avez listé.

   Dans le premier paquet on trouve les adresses Ethernet 00:0b:db:5c:98:2c (source) et 00:10:b5:02:a9:05 (destination) et les adresses IP 192.94.73.35 (source) et 172.26.16.4 (destination). Dans le second paquet on retrouve les mêmes adresses mais inversées en terme de destination et de source. Les adresses IP ne peuvent pas se trouver dans un même réseau IP (même de classe A), il est donc fort probable que les machines les possédant ne se trouvent pas dans un même réseau local (mais pas certain). Ce fait est corroboré par le TTL du premier paquet qui est de 0x2e. Il ne s'agit pas d'une valeur habituelle d'initialisation d'un TTL, ce paquet a donc franchi un ou plusieurs routeur pour arriver à la machine sonde. Il faut aussi remarquer que le TTL du second paquet est à 0x40 ce qui correspond à la valeur classique d'initialisation du TTL pour un système Linux. Cela nous apprend que la sonde se trouve sur le réseau local de l'émetteur de ce paquet soit la machine d'adresse IP 172.26.16.4. Vu que le port TCP source de ce paquet est 21, il est facile de conclure que 172.26.16.4 et 00:10:b5:02:a9:05 sont les adresses du serveur FTP, que 192.94.73.35 est l'adresse IP du client FTP et que 00:0b:db:5c:98:2c est l'adresse Ethernet de la passerelle utilisée par le serveur FTP pour sortir de son réseau local. Elémentaire, cher Watson ...

3. Donnez la relation entre les deux paquets. Dites quel est l'ordre entre les deux paquets (lequel a été envoyé en premier ?), prouvez vos affirmations.

   Les deux paquets sont des échanges entre les deux machines 192.94.73.35 (machine A) et 172.26.16.4 (machine B). Un paquet va de la machine A vers la machine B et l'autre dans l'autre sens. On remarque que l'accusé de réception du premier paquet est 0xa02de88c soit le numéro de séquence du second paquet 0xa02de7f2 plus la taille des données TCP 0x99 (c'est à dire la taille du paquet IP complet 0xc1 moins 0x14 octets d'entêtes IP et moins 0x14 octets d'entêtes TCP) plus un. Le premier paquet dans l'énoncé est donc le paquet de réponse au second paquet de l'énoncé (il porte l'accusé de réception du second paquet).

4. Au niveau transport, dites quelle est la particularité des paquets donnés dans l'énoncé (à quelle étape de la connexion correspondent-ils ?). Connaissant cette particularité pouvez-vous intuiter le contenu du message ASCII du plus gros paquet ?

   On note dans le second paquet de l'énoncé que le drapeau TCP est 0x19, donc les bits Accusé, Pousser et Fin sont positionnés. Le bit Accusé indique seulement que ce paquet porte l'accusé de réception d'un précédent paquet, le bit Pousser que les données TCP du paquet ne doivent pas être tamponnées et surtout le bit Fin indique que le serveur termine la connexion dans le sens serveur vers client. Il s'agit donc de la fin d'une connexion TCP. On peut intuiter que dans les données TCP de ce paquet se trouve le message d'adieu du serveur FTP.

5. Après ces deux paquets, le serveur peut-il continuer à envoyer des paquets au client ? Si oui a-t-il un intérêt à le faire ? Après ces deux paquets, le client peut-il continuer à envoyer des paquets au serveur ? Si oui a-t-il un intérêt à le faire ?

   Après ces paquets la connexion du serveur vers le client est close par contre le client FTP peut toujours envoyer des données vers le serveur FTP. Cela dit il s'agit de la connexion FTP véhiculant les commandes et l'intérêt d'envoyer des commandes (comme CWD, LIST, RETR, ...) sans avoir le code de retour n'est pas évident ...

6. D'après vous quels paquets vont suivre les deux paquets donnés dans cet exercice ?

   Le paquet suivant va être le paquet de terminaison de la connexion TCP du client vers le serveur et le dernier paquet le paquet d'accusé de réception du précédent paquet.