Techniques de Rseaux Informatiques (TRI)

Elabor par : A. EL GHATTAS

Janvier 2010








WWW.TRI.0FEES.NET
2







1J=GZT1GJ

==C=zn e t pour russir lexamen vient pour aider les stagiaires de la
filire Techniques de Rseaux Informatiques (TRI), deuxime anne, se prparer pour lexamen
de fin de formation thorique. Vous trouverez des exercices, des tudes de cas,avec corrigs,
vous trouvez aussi les noncs des examens de fin de formation des dernires annes.
A. EL GHATTAS
Errachidia, le 12 Avril 2009





























3
=z==CJ


Le calcul de la moyenne gnrale est comme suit :
Moyenne gnrale de fin de formation : (moyenne de passage + moyenne des modules2
+ moyenne de la thorie2 + moyenne de la pratique3 + moyenne de la
communication)/9
Avec : moyenne de la communication = (arabe + franais + anglais)/3
Exemple : un stagiaire ayant obtenu les notes suivantes :
Moyenne de passage : 09/20
Moyenne des modules : 12/20
Moyenne de la thorie : 08/20
Moyenne de la pratique : 11/20
Arabe : 13/20
Franais : 10/20
Anglais : 07/20
A pour moyenne gnrale : 10.22/20 admis
On rappelle aussi que :
Les stagiaires ayant obtenu aux examens de fin de formation, une moyenne gnrale
suprieure ou gale 09/20 et infrieure 10/20 seront soumis aux dlibrations du CGCP
en vue de dcider:
- soit de les autoriser redoubler;
- soit de les exclure.
Le droit au redoublement n'est accord qu'une seule fois durant le cycle de formation.
Tout stagiaire ayant obtenu une moyenne infrieure 09/20 aux examens de fin de
formation est automatiquement exclu.

4
=GTTz1=C

Exonet 1 : URL, Web, FTP, messagerie lectronique.
Corrig :
Exonet 2 : Web, FTP, courrier lectronique
Corrig :
Exonet 3 : Linux, FTP, intranet...
Corrig :
Exonet 4 : messagerie lectronique, trame Ethernet
Corrig :
Exonet 5 : sous rseaux, proxy
Corrig :
Exonet 6: ISA Server (firewall, VPN,)..
Corrig :
Exonet 7 : firewall, virus, chiffrement.
Corrig :
Exonet 8 : VLAN, routage, firewall, proxy.
Corrig :
Exonet 9 : configuration dun routeur, ACL
Corrig :
Exonet 10 : routage, NAT/PAT, Proxy...
Corrig :
Exonet 11 : routage et adressage.
Corrig :
Exonet 12 : adressage de sur-rseau, routage..
Corrig :
Exonet 13 : DNS et la dlgation de zone...
Corrig :
Exonet 14 : sous adressage, DHCP.
Corrig :
Exonet 15 : adressage, routage, DNS..
Corrig :
Exonet 16 : adressage, routage, firewall..
Corrig :
Exonet 17 : adressage, DHCP, scurit
Corrig :
Exonet 18 : routage, firewall, ARP..
Corrig :
Exonet 19 : adressage, DHCP, HTTP..
Corrig :
Exonet 20 : routage, DHCP.
Corrig :
Exonet 21 : VLAN, DHCP, filtrage.
Corrig :
Exonet 22 : routage, DNS, proxy, chiffrement
Corrig :
Exonet 23 : VLAN, DNS, filtrage
Corrig :
6
9
11
13
15
18
20
24
25
26
27
28
29
33
35
41
43
49
51
53
55
59
61
62
63
69
72
74
78
82
84
87
89
92
95
100
103
106
108
116
119
124
126
132
136
142
5
Exonet 24 : routage, scurit
Corrig :
Exonet 25 : commutation, scurit...
Corrig :
Exonet 26 : commutation, routage, filtrage..
Corrig :
Exonet 27 : VPN, table de routage, VLAN, Wi-Fi
Corrig :
Exonet 28 : DHCP, DNS, VLAN....
Corrig :
145
150
153
159
162
170
173
178
182
189




































6
CDGJC J

Pour se prparer pour les examens de fin de formation, vous sollicitez laide de votre formateur
pour vous donner les sujets et corrigs des preuves d'examen de la filire TRI des annes
prcdentes.
Il vous fournit pour cela un point de dpart, ladresse dun site Internet dont il apprcie
rgulirement la pertinence, le site : http://www.tri-errachidia.org.ma
Navigation dans le site
Sur votre poste de travail connect Internet, vous utilisez votre navigateur et saisissez ladresse
fournie.
1. Analysez la structure de ladresse fournie : http://www.tri-errachidia.org.ma.
2. Expliquez les oprations qui se sont droules entre le moment o vous avez saisi votre
adresse et celui o elle sest affiche comme prsent ci-dessus.
Quel est le protocole qui a alors t mis en jeu, entre quelles machines sest il entremis et
quelle en est la finalit ?
7
Recherche dun examen
Dans lcran prcdent, vous choisissez dans le menu le lien Tlchargement FTP ce qui vous
conduit lcran :
Vous choisissez examens
et vous voyez le dossier
examen de fin de formation
dans lequel vous trouvez les
diffrents documents qui vous
intressent.
3. Quelles diffrences constatez-vous ici dans la mise en uvre des protocoles HTTP et FTP ?
4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org.ma/ qui apparat dans la
barre dadresse de votre navigateur.
5. Votre navigateur prend-il en charge aussi bien le protocole HTTP que le protocole FTP ?
6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ? Comment
sont-elles structures ?
8
Recherche complmentaire
Le document que vous avez tlcharg rpond partiellement vos besoins, il vous manque les
corrigs de quelques examens. Vous pensez que ces informations ne sont peut-tre fournies que sur
demande express.
Dans le bas de la page Tlchargement FTP , vous avez repr une information qui peut vous
tre utile :
Vous cliquez sur le lien webmaster@tri-errachidia.org.ma .
Ce clic ouvre votre gestionnaire de courrier, dans lequel vous saisissez votre demande avant de
lenvoyer :
7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma
8. Pourquoi votre gestionnaire de courrier a-t-il t automatiquement ouvert ?
9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
10. De quels outils logiciels disposerez-vous pour prendre connaissance de la rponse et quels
sont les protocoles utiliss pour la relve du courrier ?
9
.... .... .... .... .... . .... . .... . .... .
Question 1. Analysez la structure de ladresse rticulaire (URL) fournie : http://www.tri-
errachidia.org.ma .
Comme son nom lindique, une URL (Uniform Resource Locator) permet didentifier une ressource
dans lespace Internet ; une ressource est une page fournie par un serveur un client selon un
certain protocole ; chez le client la page codifie laide du langage HTML est affiche aprs avoir
t interprte par son explorateur.
Le client, cest la machine de lutilisateur disposant de lexplorateur Internet Explorer dans notre
exemple.
http : nom du protocole utilis pour le dialogue entre le serveur et le client.
www : nom du serveur fournissant les ressources. Ce nom est choisi arbitrairement par son
administrateur ; traditionnellement, cest www mais ce nest pas une obligation. Ce
nest pas un nom de machine physique, mais celui dun service Web implment
dans une machine.
tri-errachidia.org.ma : nom du domaine (ma) dans lequel se trouve un sous-domaine (org) , rserv
pour quelques organisations, qui contient le sous sous domaine (tri-errachidia).
Les caractres : ou / sont des sparateurs.
Question 2. Expliquez les oprations qui se sont droules entre le moment o vous avez
saisi votre adresse rticulaire et celui o elle sest affiche comme prsent ci-dessus.
Quel est le protocole qui a alors t mis en jeu, entre quelles machines sest il entremis et
quelle en est la finalit ?
Entre la saisie de ladresse www.tri-errachidia.org.ma et lobtention de la page affiche avec
une adresse complte dans la barre dadresse, on peut constater que notre client a russi obtenir
la rponse deux questions :
- o se trouve la machine que je dsire joindre ?
- quel est le protocole de communication quelle utilise ?
1. O est la machine www.tri-errachidia.org.ma ? : un serveur DNS (Domain Name Server) dont
ladresse IP est connue de mon poste de travail me fournit la rponse sous la forme de son
adresse IP.
2. Quel est le protocole de communication quelle utilise ? : une requte envoye par mon poste
client destination de la machine dont on connat maintenant ladresse IP reoit une rponse de
la part de ce serveur qui inclut le protocole quil utilise (HTTP). La demande de la page
daccueil du serveur selon ce protocole permet alors laffichage observ.
10
Question 3. Quelles diffrences constatez vous ici dans la mise en uvre des protocoles
HTTP et FTP ?
Pages affiches selon le protocole HTTP :
- affichage sous forme de texte riche ;
- contenu vari : essentiellement du texte mais aussi des objets divers (images, animations) ;
- prsence de liens hypertextes (navigation entre les pages).
Pages affiches selon le protocole FTP :
- affichage sous la forme dun explorateur ;
- accs une arborescence de dossiers.
Question 4. Analysez la structure de ladresse ftp://ftp.tri-errachidia.org.ma/ qui
apparat dans la barre dadresse de votre navigateur.
ftp : le nom du protocole utilis ici ;
ftp.tri-errachidia.org.ma :le serveur nomm ftp dans le sous domaine tri-errachidia du sous domaine
org du domaine ma
On visualise les diffrents dossiers prsents sur ce serveur.
Question 5. Votre navigateur prend il en charge aussi bien le protocole HTTP que le
protocole FTP ?
On constate que le navigateur utilis ici, mais ce sera aussi le cas pour dautres navigateurs,
dialogue avec un serveur aussi bien selon le protocole HTTP que FTP.
Ce protocole est impos par le serveur. Le client doit donc pouvoir sy adapter.
Question 6. Quelles sont les informations qui apparaissent lorsquon visite un site FTP ?
Comment sont elles structures ?
Le navigateur prsente une arborescence de dossiers.
Question 7. Analysez la structure de ladresse webmaster@tri-errachidia.org.ma
webmaster :nom dune bote aux lettres lectronique.
tri-errachidia.org.ma :dans le sous domaine tri-errachidia du sous domaine org du domaine ma.
@ : sparateur.
Question 8. Pourquoi votre gestionnaire de courrier a t il t automatiquement ouvert ?
Parce que sur votre poste il existe une association prinstalle entre le protocole denvoi de courrier
(SMTP) et lapplication que vous utilisez par dfaut pour expdier votre courrier.
Question 9. Quel est le protocole mis en uvre lorsque vous expdiez ce courrier ?
Cest le protocole SMTP (Simple Mail Transfer Protocol).
Question 10. De quels outils logiciels disposerez vous pour prendre connaissance de la
rponse et quels seront les protocoles utiliss pour la relve du courrier ?
On peut prendre connaissance de la rponse directement sur le serveur en utilisant son navigateur ;
c'est le cas de la consultation par exemple des botes Gmail, HotMail. L'utilisateur envoie des
requtes au serveur de courrier et en reoit les rponses sous protocole HTTP (prsentation des
donnes). Le traitement du courrier sur le serveur est alors ralis par le protocole IMAP (Internet
Message Access Protocol) : consultation du courrier, suppression...
On peut galement utiliser un logiciel de gestion de courrier (on parle de client de messagerie ),
par exemple Microsoft Outlook (Express), Qualcomm Eudora qui va transfrer le message sur la
machine du client ; dans ce cas, ce logiciel recourt au protocole POP3 (Post Office Protocol version
3) ou IMAP.
11
CDGJC J =
Dans le cadre du dveloppement de Internet et Intranet, lentreprise REZOnet a install un serveur
Linux et la connect au niveau du commutateur des ses serveurs centraux. Pour raliser l'accs vers
le monde extrieur, un accs RNIS a t retenu. Ce serveur Internet aura pour rle de:
- grer le courrier lectronique du REZOnet
- diffuser les informations du site Web local
- filtrer les donnes
1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm
- Donner la dfinition et le rle d'une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles
3. Par quel moyen fait-on la correspondance entre ladresse IP dun serveur et son nom sur
Internet ?
4. Donner la dfinition et le rle de SMTP
5. Donner la dfinition et le rle de POP
6. Donner la syntaxe gnrale d'une adresse e-mail
7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP
Tout personnel autoris pourra se connecter au serveur Linux depuis son domicile soit pour
consulter des donnes spcifiques, soit pour naviguer sur le Web.
8. Citer 4 possibilits d'accs un fournisseur d'accs Internet.
Il vous faut configurer un poste sous Windows 98 afin de permettre une connexion au fournisseur
daccs Internet.
9. Complter l'annexe 2 (Point d'accs: 05 35 57 57 57, Serveur DNS: 212.217.0.1, Adresse IP
obtenue par mon fournisseur, Domaine: rezonet.ma, Hte : localhost, Nom utilisateur de
connexion : admin@rezonet.ma, mot de passe : a5b6cde_rezo).
10. Pour un accs par RTC, donner le type de protocole utilis.
12
Annexe 1
-----------------------------------------------------------------------------------------------------------------
Annexe 2
13
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Donner la dfinition et le rle de WWW, HTML et HTTP ?
Le World Wide Web (WWW ou Web ou W3) est une banque dinformations (textuelles, images,
sonores vido) bas sur un systme de noeuds et de liens quon nomme hypertexte.
Hyper Text Markup Language (HTML) : Langage utilis dans le WWW pour crire des documents
hypertextes.
HyperText Transfer Protocol (HTTP). Protocole de transfert de fichiers et documents HTML sur
Internet.
Question 2. On vous donne l'URL suivant: http://www.microsoft.com/products/pc.htm
- Donner la dfinition et le rle d'une URL
- Dcomposer cette URL en diffrentes parties en donnant le rle de chacune d'entre elles
Une URL (Uniform Resource Locator) donne lemplacement dun fichier sur le Web.
http : Protocole
www.microsoft.com : emplacement rseau / domaines
products : chemin / rpertoire
pc.html : nom du fichier
Question 3. Par quel moyen fait on la correspondance entre ladresse IP dun serveur et son
nom sur Internet ?
Serveur DNS
Question 4. Donner la dfinition et le rle de SMTP
Le courrier lectronique sur TCP/IP et sur Internet utilise le protocole SMTP (Simple Mail Transfer
Protocol).
Question 5. Donner la dfinition et le rle de POP
Le protocole POP (Post Office Protocole) permet daller chercher son courrier personnel sur le
serveur responsable de le recevoir.
Question 6. Donner la syntaxe gnrale d'une adresse e-mail
Une adresse de courrier lectronique est form de trois parties : le nom de lutilisateur, le caractre
@ et le nom du domaine.
Question 7. Complter (Annexe 1) l'interaction entre un client et un serveur SMTP et POP
Question 8. Citer 4 possibilits d'accs un fournisseur d'accs Internet.
Les diffrents modes de connexion disponibles pour accder un fournisseur daccs sont :
RTC
Numris
LADSL
Le cble
Le satellite
14
Question 9. Complter l'annexe 2 (Point d'accs :05 35 57 57 57, Serveur DNS :212.217.0.1,
Adresse IP obtenue par mon fournisseur, Domaine :rezonet.ma, Hte :localhost, Nom
utilisateur de connexion admin@rezonet.ma, mot de passe : a5b6cde_rezo).
Question 10. Pour un accs par RTC, donner le type de protocole utilis.
PPP (Point to Point Protocol). Protocole permettant la connexion entre ordinateurs et routeurs par
lignes synchrones et asynchrones. Successeur du SLIP,il possde une correction derreur et des
possibilits daffectation dadresse en rseau.
15
CDGJC J =

La socit REZOnet possde un serveur Linux possdant un serveur ftp, qui est install dans toutes
les distributions, ainsi quun client ftp en ligne de commande.
Partie I :
1. Quelle est la signification du sigle ftp ?
2. Quelle est lutilit de ce service rseau ?
Le serveur ftp est dclar dans le fichier /etc/inetd.conf mais pas toujours activ.
3. Quelle modification faut-il raliser dans le fichier inetd.conf se trouvant en annexe pour
activer le serveur ftp ?
Les fichiers de configuration :
/etc/ftpaccess : ce fichier dfinit la plupart des contrles d'accs pour votre serveur ftp. Vous pouvez
crer des groupes logiques pour contrler l'accs depuis d'autres sites, limiter le nombre de
connexions simultanes.
/etc/ftphosts : ce fichier est utilis pour autoriser ou non l'accs du serveur un certain nombre de
machines
/etc/ftpusers : ce fichier contient la liste des utilisateurs qui ne peuvent accder votre machine via
ftp.
4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login utiliser?
Pourquoi ?
5. Quel fichier est modifier pour autoriser root se connecter ? Quelle est la modification
raliser dans le fichier ?
Les fichiers .rpm sous Linux sont des fichiers binaires qui permettent dinstaller des programmes.
6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour rapatrier le
fichier netscape-communicator-4.7.i386.rpm depuis un serveur sur une station linux?
7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le nom DNS
est ftp.microsoft.com avec un navigateur web ?
Partie II :
La direction de REZOnet pense mettre en place un serveur sur la toile (Web) permettant, dans un
premier temps, la mise en ligne d'un systme d'information interne (intranet) puis, dans un
deuxime temps, de l'ouvrir la clientle via l'internet (extranet).
8. Expliquer ce quest un intranet.
9. Citer les spcificits du dveloppement dun intranet par rapport d'autres types
d'architectures client-serveur.
10. Citer les problmes que peut poser l'accs de la clientle via l'internet. Proposer des
solutions pour les viter.
16
Annexe 1
Extrait du fichier /etc/inetd.conf
# inetd.conf This file describes the services that will be available
# through the INETD TCP/IP super server
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
# These are standard services.
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# Shell, login, exec, comsat and talk are BSD protocols.
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
talk dgram udp wait root /usr/sbin/tcpd in.talkd
ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
# End of inetd.conf
linuxconf stream tcp wait root /bin/linuxconf linuxconf --http
Extrait du fichier /etc/ftpusers
bin, daemon, adm, lp, sync, root, shutdown, halt, mail, news, ucp, operator, games, nobody
Extrait du fichier /etc/ftpacces
class all real,guest,anonymous *
email root@localhost
loginfails 5
readme README* login
readme README* cwd=*
message /welcome.msg login
message .message cwd=*
compress yes guest,real,anonymous
tar yes guest,real,anonymous
log transfers guest,real,anonymous inbound,outbound
shutdown /etc/shutmsg
passwd-check rfc822 warn
guestgroup profs Damotte
chmod yes guest,real,anonymous
delete yes guest,real,anonymous
overwrite yes guest,real,anonymous
17
Annexe 2
Les principales commandes ftp
help : Affiche l'ensemble des commandes supportes par le serveur FTP
status : Permet de connatre certains paramtres de la machine cliente
binary : Cette commande vous fait basculer du mode ASCII (envoi de documents textes) au mode
binary (envoi de fichiers en mode binaire, c'est--dire pour les fichiers non texte, commandes
images ou des programmes)
ascii : Bascule du mode binary au mode ascii. Ce mode est le mode par dfaut
type : Permet d'afficher le mode courant de transfert (binary ou ascii)
user : Vous permet de rouvrir une session sur le site FTP en cours avec un nom d'utilisateur
diffrent. Un nouveau mot de passe vous sera alors demand
ls : Permet de lister les fichiers prsents dans le rpertoire courant. La commande "ls -l" donne des
informations supplmentaires sur les fichiers
pwd : Affiche le nom complet du rpertoire courant
Cd : Cette commande signifie change directory, elle permet de changer le rpertoire courant. La
commande "cd .." permet d'accder au rpertoire de niveau suprieur
mkdir : La commande mkdir (sous UNIX, ou md sous systme Microsoft) permet de crer un
rpertoire dans le rpertoire courant. L'utilisation de cette commande est rserve aux utilisateurs
ayant un accs le permettant
rmdir : La commande rmdir (sous UNIX, ou rd sous systme Microsoft) permet de supprimer un
rpertoire dans le rpertoire courant. L'utilisation de cette commande est rserve : aux utilisateurs
ayant un accs le permettant
get : Cette commande permet de rcuprer un fichier prsent sur le serveur Si la commande est
suivie d'un nom de fichier, le fichier distant est transfr sur la machine locale dans le rpertoire
local en cours
Si la commande est suivie de deux noms de fichiers, le fichier distant (le premier nom) est transfr
sur la machine locale : dans le rpertoire local en cours, avec le nom de fichier prcis (le deuxime
nom)
Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemets
put : Cette commande permet d'envoyer un fichier local sur le serveur Si la commande est suivie
d'un nom de fichier, le fichier local est transfr sur le serveur dans le rpertoire distant en cours
Si la commande est suivie de deux noms de fichiers, le fichier local (le premier nom) est transfr
sur le serveur dans le rpertoire distant en cours, avec le nom de fichier prcis (le deuxime nom)
Si jamais le nom de fichier contient des espaces, il faut veiller le saisir entre guillemets
open : Ferme la session en cours et ouvre une nouvelle session sur un autre serveur FTP
close : Ferme la session en cours, en laissant le logiciel FTP client actif
bye ou quit : Dconnecte le logiciel client du serveur FTP et le met en tat inactif
18
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Quelle est la signification du sigle ftp ?
File Transfert Protocol
Question 2. Quelle est lutilit de ce service rseau ?
Transfert de fichiers client serveur entre systmes dexploitation diffrents.
Question 3. Quelle modification faut-il raliser dans le fichier inetd.conf se trouvant en
annexe pour activer le serveur ftp ?
Supprimer le symbole # devant la ligne ftp ..
Question 4. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login
utiliser? Pourquoi ?
anonymous (fichier /etc/access)
Question 5. Vous ntes pas dclar sur le serveur (fichiers en annexes), quel nom de login
utiliser? Pourquoi ?
Modifier le fichier /etc/ftpusers en supprimant le nom root
Question 6. Donner dans lordre la syntaxe des diffrentes commandes utiliser pour
rapatrier le fichier netscapecommunicator4.7.i386.rpm depuis un serveur sur une station
linux?
ftp nom serveur
nom de login et mot de passe
binary
get nom_de_fichier.rpm
quit
Question 7. Donner la syntaxe de lURL ncessaire pour se connecter au serveur ftp dont le
nom DNS est ftp.microsoft.com avec un navigateur web ?
ftp://ftp.microsot.com
Question 8. Expliquer ce quest un intranet.
Intranet : utilisation des standards de lInternet (HTML, http, SMTP, ) pour dvelopper
des applications internes lentreprise, que le rseau soit local ou tendu.
Question 9. Citer les spcificits du dveloppement dun intranet par rapport d'autres types
d'architectures client-serveur.
Les spcifits du dveloppement dun intranet sont :
- davantage de middleware standard, accs universel, pas de dploiement spcifique sur
chaque type de plate-forme
- lapplication est dveloppe sur le serveur, une mise jour de lapplication est immdiate
pour tous les clients quelle que soit leur plate-forme
19
Question 10. Citer les problmes que peut poser l'accs de la clientle via l'internet. Proposer
des solutions pour les viter.
Le problme majeure concerne la scurit du rseau local vis--vis des accs externes : risque de
visibilit de resources sensibles, risque de prise de contrle distance et dactions malveillantes.
Les solutions possibles :
- utilisation dadresses non routables sur le rseau local.
- mise en place dun firewall destin filtrer les paquets entrants sur des critres prdfinis
(adresses accessibles, types de services autoriss,etc.).
- authentification des utilisateurs distants par un compte anonyme dont les droits et permissions
sont trs limits.
- Contrle par mot de passe dans lapplication en prvoyant un code daccs sur le bon de
rception
20
CDGJC J =

1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ?
2. Dans la messagerie lectronique, on utilise des adresses du type r.errachidi@menara.ma.
Que reprsente la deuxime partie de cette adresse ?
Un analyseur de protocole situ dans "le rseau S" a permis de faire un relev entre une station A
du rseau de "T" et un serveur de lentreprise REZOnet situ dans le "rseau S" au cours dun
change initi par lutilisateur.
Voici une des trames ETHERNET II rcupres :
A laide des annexes 1, 2 et 3 :
3.1. Prciser les valeurs des adresses MAC source et destinataire.
3.2. Faire un schma reprsentant la station A et le serveur en indiquant les sockets utiliss
par le client et le serveur.
Remarque : un socket est la combinaison de trois lments : ladresse IP de la machine, le protocole
au niveau transport et le numro du port.
3.3. Indiquer la signification des numros de port source et destination.
3.4. Quelles sont les principales caractristiques du protocole de niveau TRANSPORT utiliss
?
4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
21
Annexe 1
Assignation de certains ports associs aux processus serveurs
en fonction des protocoles de transport TCP et UDP.
22
Annexe 2
Les champs spcifiques d'un paquet IP sont:
- version est cod sur 4 bits. Actuellement ce champ a une valeur gale 4 (IPv4).
- longueur de l'en-tte ou IHL (Internet Header Length) sur 4 bits spcifie le nombre de mots de 32
bits qui composent l'en-tte. Si le champ option est vide, l'IHL vaut 5.
- type de service ou ToS (Type of Service) est cod sur 8 bits. Spcifie la passerelle intermdiaire
le type d'acheminement attendu.
- identification cod sur 16 bits permet de scuriser le rassemblage des paquets aprs
fragmentation.
- drapeau cod sur 3 bits a le 1er bit toujours nul, le 2me bit 0 indique que le paquet peut tre
fragment et 1 s'il ne peut pas l'tre, le 3me bit 0 indique s'il s'agit du dernier fragment et 1
que d'autres fragments suivent.
- place du fragment cod sur 13 bits indique la position du 1er octet dans le datagramme total non
fragment. Il s'agit d'un nombre multiple de 8 octets.
- dure de vie dtermine en seconde, la dure de vie d'un datagramme. Cette valeur est
dcrmente toutes les secondes ou chaque passage travers une passerelle.
- protocole cod sur 8 bits indique le protocole de la couche suprieure (liste donne par le rfc
1700, ex: "1"=ICMP, "2"=IGMP, "6"=TCP, "17"=UDP).
- checksum est la somme de contrle portant sur l'en-tte.
- adresses de la source et de la destination sont codes sur 32 bits.
- option est de longueur variable et peut tre nul.
23
Annexe 3
Port source et Port destination : Ils identifient les programmes dapplication.
N de squence : Il indique le n du 1er octet transmis dans le segment.
Acquittement : indique le n du prochain octet attendu par l'metteur de ce message
Lg entte : sur 4 bits, elle indique la taille en mots de 32 bits de l'entte
Drapeaux : bit URG : Validation de la valeur du champ "pointeur message urgent"
bit ACK : la valeur du champ "acquittement" peut tre prise en compte
bit PSH : le donnes doivent tre immdiatement transmises la couche suprieure
bit RST : fermeture de la connexion cause d'une erreur irrcuprable
bit SYN : ouverture de la connexion
bit FIN : fin de connexion (plus de data mettre)
Fentre : Nombre d'octets que le rcepteur peut accepter sans ACR.
Pointeur de message urgent : Si le drapeau URG est positionn, les donnes passent avant le flot
de donnes normales. Ce champ indique alors la position de loctet de la fin des donnes urgentes.
Le champ option peut-tre utilis si deux machines doivent se mettre daccord sur une taille
maximale de segment appel MSS (Maximum Segment Size).
24
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Citer 3 protocoles permettant denvoyer des e-mails et/ou den recevoir ?
SMTP, POP2, POP3 et IMAP.
Question 2. Dans la messagerie lectronique, on utilise des adresses du type
r.errachidi@menara.ma.
Que reprsente la deuxime partie de cette adresse ?
La deuxime partie de r.errachidi@menara.ma reprsente le nom du domaine o se trouve le
serveur de messagerie c--d le nom du bureau de poste contenant la bote aux lettres r.errachidi.
Question 3.1. Prciser les valeurs des adresses MAC source et destinataire.
Lquipement source correspond ladresse MAC 00:0d:29:d4:69:7f
Lquipement cible qui correspond ladresse MAC 00:04:75:ce:24:cf
Question 3.2. Faire un schma reprsentant la station A et le serveur en indiquant les
sockets utiliss par le client et le serveur.
Question 3.3. Indiquer la signification des numros de port source et destination.
Le port source 3432 indique le port dmission (client dynamique) ouvert par la station
Le port Destination 143 indique que le port de rception correspond au service de messagerie
IMAP.
Question 3.4. Quelles sont les principales caractristiques du protocole de niveau
TRANSPORT utiliss ?
Les qualits du protocole TCP:
- Fiabilit : retransmission des trames non acquittes
- Gestion des flux: ngociation de la taille de la fentre de transmission.
- Offre une transmission en mode connect.
- Remise en ordre des segments reus.
Question 4. Conclusion : Quel est lobjectif de la demande initie par lutilisateur ?
Lobjectif est de rcuprer le courrier prsent sur le serveur de messagerie.
25
CDGJC J =

Un tablissement scolaire utilise un serveur mandataire (Proxy) dans le DNS, pour contrler les
accs Internet.
Ce Proxy permet entre autre d'autoriser ou pas l'accs Internet en fonction de l'adresse IP du
rseau auquel appartient la machine.
L'administrateur du rseau a organis son plan d'adressage en fonction des salles.
Chaque salle dispose dune plage d'adresses spcifique qui va permettre au niveau du Proxy
d'interdire ou d'autoriser l'accs Internet tous les postes de la salle.
L'annexe 1 donne le plan d'adressage utilis.
L'annexe 2 donne les rgles d'accs Internet pour la journe du 15 Octobre 2008.
1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.
2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les postes sont
tous configurs avec le mme masque et la mme adresse rseau.
3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208.
4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202.
5. Expliquer les autres fonctions d'un Proxy.
Annexes
Annexe 1 : Plan d'adressage
Adresse IP du rseau de l'tablissement :
10.100.40.0
Masque du rseau :
255.255.255.0
Plage d'adresses par salle :
Salle 201 : 10.100.40.1 10.100.40.15
Salle 202 : 10.100.40.17 10.100.40.31
Salle 203 : 10.100.40.33 10.100.40.62
Salle 204 : 10.100.40.65 10.100.40.70
Salle 205 : 10.100.40.96 10.100.126
Salle 206 : 10.100.40.129 10.100.40.142
Salle 207 : 10.100.40.145 10.100.40.158
Salle 208 : 10.100.40.161 10.100.40.174
Salle 209 : 10.100.40.177 10.100.40.190
Salle 210 : 10.100.40.73 10.100.40.78
Annexe 2 : Rgles du 15 octobre 2008
Accs autoris tous sauf aux rseaux ci-dessous :
10.100.40.32 masque 255.255.255.224
10.100.40.128 masque 255.255.255.192
26
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Dterminer quelles sont les salles qui nont pas accs Internet le 15 Octobre.
Le masque 255.255.255.224 dtermine une plage de 32 adresses (256 - 224 ou 2
5
). L'adresse de
rseau 10.100.40.32 donne la premire adresse de la plage. Donc la premire rgle interdit l'accs
la salle 203.
Le masque 255.255.255.192 dtermine une plage de 64 adresses (256 - 192 ou 2
6
). L'adresse de
rseau 10.100.40.128 donne la premire adresse de la plage
La deuxime rgle interdit donc l'accs aux salles 206, 207, 208, 209. On aurait d'ailleurs pu utiliser
le masque 255.255.255.128 qui aurait donn le mme rsultat.
Question 2. Expliquer pourquoi le Proxy peut appliquer des masques diffrents alors que les
postes sont tous configurs avec le mme masque et la mme adresse rseau.
La configuration des postes na pas dimportance ce niveau. Le Proxy reoit un paquet en
provenance d'un poste, il rcupre dans l'entte IP l'adresse source du paquet et lui applique le
masque de chaque rgle en comparant le rsultat obtenu l'adresse rseau de la rgle. En cas
d'galit le paquet est rejet. Il ne faut pas oublier que le masque de sous rseau n'est pas dans
l'entte IP.
L'administrateur rseau a bien sur choisi un plan d'adressage qui lui permettait en fonction du
nombre de postes par salle d'appliquer ce type de restriction.
Question 3. Donner la ou les rgles appliquer pour interdire l'accs la salle 204 et 208.
Les plages d'adresses des salles 204 et 208 ne sont pas contigus, il faut donc une rgle pour chaque
salle. La salle 204 dispose des adresses 10.100.40.65 70, et la premire adresse ne pas interdire
correspond la premire adresse de la salle 210. Il faut donc bloquer au plus 8 adresses (de 64
72), soit un masque de 255.255.255.248 (256-8) pour une premire adresse de 10.100.40.64
Pour la salle 208, la plage interdire est de 16 adresses (entre 10.100.40.160 et 175), pour un
masque de 255.255.255.240 (256-16) et une adresse de 10.100.40.160
Il faut donc appliquer les rgles suivantes :
10.100.40.64 masque 255.255.255.248
10.100.40.160 masque 255.255.255.240
Question 4. Donner la rgle appliquer pour interdire l'accs la salle 201 et 202.
En appliquant les principes prcdents, on dtermine la rgle suivante :
Interdire l'accs au rseau
10.100.40.0 masque 255.255.255.224
Question 5. Expliquer les autres fonctions d'un Proxy.
Un Proxy est utilis galement pour mettre en cache les pages Web consultes.
Un Proxy a aussi une fonction de translation d'adresses. C'est l'adresse gnre par le Proxy qui part
sur Internet (selon la configuration bien sr) et non l'adresse des postes qui font appel lui. On parle
alors de rseau priv et de rseau public et du protocole NAT (Network Address Translator).
Un Proxy peut filtrer les sites Web consults en utilisant pour cela un fichier des sites interdits. Il
peut aussi interdire certains protocoles (FTP par exemple) ou le tlchargement de certains fichiers
en fonction de leur extension (MP3 par exemple). Il joue alors le rle de pare-feu.
Enfin un Proxy peut disposer d'un Anti-virus gnral qui s'applique tous les fichiers en
provenance de l'Internet avant de les introduire dans le rseau local.
27
CDGJC J Z

Le serveur ISA (Internet Security and Acceleration Server 2000) remplit les fonctions de firewall
(pare-feu) et de serveur proxy.
Configuration des interfaces du serveur ISA :
Lors de la configuration du serveur ISA, les rgles de scurit suivantes ont t mises en oeuvre
pour l'accs au serveur de messagerie :
1. Indiquez ce qu'est le protocole HTTPS et prcisez son utilit (donnez un exemple
d'utilisation).
2. Indiquez ce qu'est un "Client VPN". Vous donnerez la signification de l'abrviation VPN.
Les rgles de scurit sont traites de manire squentielle (ordre croissant). Pour chaque trame
reue, le firewall parcourt la liste des rgles jusqu' ce qu'il trouve une rgle qui s'applique. L'ordre
dans lequel sont spcifies les rgles est trs important.
3. Expliquez l'action de la rgle N1 sur les trames en provenance du rseau 192.168.10.0
4. Expliquez l'action de la rgle N3, Prcisez la fonction du protocole DNS et donnez la
signification de l'abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?
6. Les rgles de scurit mises en oeuvre permettent-elles aux utilisateurs d'accder au serveur
de messagerie ? Pourquoi ?
Quelle rgle faut-il ajouter, et quelle place, pour permettre tous les utilisateurs internes et
externes daccder la messagerie ?
28
.... .... . : .... .... . : .... .... . : .... .... . :
Question1. Indiquez ce qu'est le protocole HTTPS et prcisez son utilit (donnez un exemple
d'utilisation).
Hyper Text Transfer Protocol Scuris, accs scuris Internet : paiement en ligne, consultation
de compte bancaire
Question2. Indiquez ce qu'est un "Client VPN". Vous donnerez la signification de
l'abrviation VPN.
Client distant qui se connecte au rseau via une liaison scurise VPN (Virtual Private Network ou
rseau priv virtuel) en utilisant Internet comme support.
Question3. Expliquez l'action de la rgle N1 sur les trames en provenance du rseau
192.168.10.0
La rgle N1 autorise (Allow) le passage des messages FTP, HTTP et HTTPS de l'interface
interne (rseau 192.168.10.0) et des clients VPN vers l'interface externe (accs Internet) et vers la
DMZ (accs au serveur de messagerie) pour tous les utilisateurs (All Users).
Question4. Expliquez l'action de la rgle N3, Prcisez la fonction du protocole DNS et
donnez la signification de l'abrviation DNS.
Quel est le serveur qui remplit la fonction de serveur DNS ?
La rgle N3 autorise (Allow) le passage des messages DNS de l'interface interne (rseau
192.168.10.0) et des clients VPN vers la DMZ (accs au serveur de messagerie) pour tous les
utilisateurs (All Users).
DNS : Domain Name System (ou Service), indispensable pour accder Internet car il effectue la
liaison entre un nom de machine et son adresse IP. Le serveur de messagerie fait galement office
de serveur DNS.
Question5. La rgle N4 est indispensable au bon fonctionnement du firewall, pourquoi ?
Pour une scurit maximum il faut interdire tout ce qui n'a pas t autoris dans les rgles
prcdentes, c'est le rle de la rgle N4 qui interdit (Deny) tous les protocoles en provenance de
tous les rseaux et vers tous les rseaux pour tout le monde.
Question6. Les rgles de scurit mises en oeuvre permettent elles aux utilisateurs d'accder
au serveur de messagerie ? Pourquoi ?
Quelle rgle faut il ajouter, et quelle place, pour permettre tous les utilisateurs internes et
externes daccder la messagerie ?
Non, car les protocoles de messagerie (SMTP et POP) ne sont pas autoriss.
Il faut donc ajouter une rgle autorisant les protocoles SMTP et POP entre tous les rseaux et
la DMZ pour tous le monde et la placer avant la rgle N4 :
* All Networks peut tre remplac par External + Internal
29
CDGJC J

Lentreprise CENTAURE, dirige par M.ARABI, emploie 27 salaris. Elle est constitue de deux
services indpendants : le service multimdia assure linstallation et le dveloppement des solutions
clientes couvrant la fois les aspects rseau et multimdia ; le service administratif, quant lui,
assure la gestion interne de lentreprise.
Le schma du rseau de la socit est dcrit en annexe 1.
Les postes du service multimdia sont amens faire beaucoup daccs Internet trs
consommateurs en bande passante.
Pour amliorer les temps de rponse, la socit a mis en service un serveur proxy.
1. Expliquer dans quelles conditions d'usage ce type de serveur rpond lobjectif vis.
La socit, soucieuse damliorer sa notorit, dcide de mettre en ligne un serveur HTTP et FTP
accessible au public. Ce serveur, install dans les locaux de CENTAURE, sera plac dans une zone
dmilitarise (DMZ) comme lindique lannexe 1.
Lquipement pare-feu (firewall) contrle les accs qui arrivent sur ses diffrentes interfaces. Il est
programm de telle faon que seul le trafic rseau respectant les rgles indiques dans lannexe 2
est accept. Ces rgles peuvent faire rfrence des adresses IP dordinateurs, des adresses de
rseau et des protocoles rseau.
Un serveur mandataire (proxy) est galement install entre le routeur R1 et le pare-feu : il est le
point de passage obligatoire de tous les accs du rseau local vers lInternet.
2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la scurit
du rseau local.
Un anti-virus a rvl la prsence dun programme cheval de Troie sur le serveur situ dans la
DMZ. L'tude rvle que le "troyen" n'a pas t plac par les protocoles HTTP ou FTP.
3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa prsence.
3.b. Donner deux exemples de faille intrinsque relative au protocole FTP.
3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre l'installation de
ce programme.
3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles en
remplacement de la rgle concerne.
Ce cheval de Troie est destin perturber le fonctionnement du rseau local, en sexcutant
automatiquement priodiquement.
4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont susceptibles
dtre atteints par le cheval de Troie .
Ladministrateur rseau du service Multimdia prend en charge ladministration du serveur HTTP
et FTP (192.168.10.10). Il doit donc avoir la possibilit de lancer une commande TELNET vers ce
serveur, depuis sa machine dont ladresse IP est 192.168.1.75.
Le serveur PROXY a t paramtr afin de pouvoir traiter le protocole TELNET.
5. a. Citer les interfaces du pare-feu concernes par une commande TELNET.
5. b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi de
cette commande, en donnant leur numro dordre.
30
Pour permettre une tolrance aux pannes le serveur 1 comporte un dispositif matriel permettant de
mettre en uvre un systme RAID (redundant arrays of inexpensive disk) au niveau 1.
6. Expliquer ce qu'est un tel systme.
Les utilisateurs du service Multimdia se plaignent de recevoir de nombreux pourriels (spams).
7. a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour
lentreprise.
7. b. Proposer une solution qui permet de se protger contre les spams.
CENATURE envisage largir ses activits pour cela elle sous-traite une partie de son activit en
confiant des entreprises extrieures linstallation des rseaux chez les clients.
La mise en uvre dune nouvelle application est envisage pour permettre aux sous-traitants de
consulter leur planning et denregistrer leurs indisponibilits. Cette application sera hberge sur le
serveur web.
Le souci de l'entreprise est dassurer la scurit des changes avec les sous-traitants et notamment la
confidentialit et l'authentification. Le dispositif conseill CENATURE base sa scurit sur une
mthode de chiffrement asymtrique des informations changes. Monsieur ARABI souhaite en
matriser le principe.
8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de cette
mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et rcepteur
du message) pour assurer confidentialit et authentification dans lchange.
La mise en uvre des techniques de chiffrement implique souvent un tiers de confiance, prestataire
de service.
9. Expliquer comment ce tiers de confiance intervient dans la procdure d'change
d'informations.
31
Annexe 1 : schma du rseau de la socit CENTAURE
32
Annexe 2 : Rgles daccs programmes sur le pare-feu
Interface 192.168.3.254
Ordre Source Destination Service Accs
1 Any 192.168.2.10 HTTP Accept
2 Any 192.168.2.10 FTP Accept
3 Any 192.168.2.10 DNS Accept
4 Any 192.168.2.10 SMTP Accept
5 Any 192.168.2.10 POP3 Accept
6 Any 192.168.10.10 Any Accept
7 Any Any Any Refus
Interface 192.168.2.254
Ordre Source Destination Service Accs
1 192.168.2.10 Any Any Accept
2 Any Any Any Refus
Interface 192.168.10.254
Ordre Source Destination Service Accs
1 192.168.10.10 Any HTTP Accept
2 192.168.10.10 Any FTP Accept
3 Any 192.168.1.128 Any Refus
4 Any 192.168.1.64 Any Refus
5 Any Any Any Refus
Remarques :
Any : quelle que soit la valeur.
Une rgle traduit un droit ou un refus daccs ; les rgles sont values dans lordre.
Si une action est applique, on ne passe pas la rgle suivante.
Par exemple, la rgle 1 de linterface 192.168.10.254 indique que tout paquet entrant sur cette
interface, provenant de 192.168.10.10, destin nimporte quelle machine du rseau et encapsulant
une requte du protocole HTTP, sera accept.
33
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Expliquer dans quelles conditions d'usage ce type de serveur rpond lobjectif
recherch.
Le serveur Proxy est ici utilis pour mettre en cache les pages accdes sur Internet. Les temps
de rponse seront amliors si les personnes du service multimdia consultent souvent les mmes
sites. Si chacun deux consulte des sites diffrents et jamais les mmes, la fonction cache du
serveur Proxy namliorera pas les temps de rponse.
Question 2. Expliquer en quoi la mise en uvre dune zone dmilitarise permet damliorer la
scurit du rseau local.
Lorsquune entreprise dsire rendre lun de ses serveurs accessible depuis Internet, le risque est
grand douvrir une brche de scurit vers lensemble du rseau local.
Une zone dmilitarise permet de ne rendre accessible de lextrieur quune partie des serveurs
en isolant totalement le reste du rseau. Gnralement, on trouve sur les DMZ les serveurs Web,
voire les serveurs de messagerie et les serveurs DNS.
Question 3.a. Expliquer ce quest cheval de Troie et comment les antivirus dtectent sa
prsence.
Question 3.b. Donner un exemple de faille intrinsque relative au protocole FTP.
Question 3.c. En analysant les rgles de lannexe 2, indiquer quelle rgle a pu permettre
l'installation de ce programme.
Question 3.d. Proposer, pour rduire les risques lis ce type de problme, une ou plusieurs rgles
en remplacement de la rgle concerne.
a. Un cheval de Troie est un programme cach dans un autre qui excute des commandes
sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut.
Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour les dtecter. Il s'agit
de la mthode de recherche de signature (scanning), la plus ancienne mthode utilise par les
antivirus. Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les fichiers ont t
modifis.
b. Le premier dfaut du protocole FTP est de ne pas encrypter les mots de passe lors de leur
transit sur le rseau. Le deuxime dfaut est Le serveur FTP anonyme qui pose de plus gros
problmes
c. Il sagit de la rgle 6 de linterface 192.168.3.254. Elle permet depuis Internet darriver sur le
serveur Web en utilisant des services quelconques (Telnet)
d. Il faut limiter aux seuls protocoles web (HTTP et FTP) laccs au serveur 192.168.10.10, en
rajoutant deux rgles aprs avoir supprim la rgle 6.
Cependant laccs FTP ne prserve pas de linstallation dun programme et de son activation si
le serveur web nest pas correctement configur.
Question 4. En analysant les rgles de lannexe 2, indiquer si les postes du rseau local sont
susceptibles dtre atteints par le cheval de Troie .
Les rgles 3 et 4 sur linterface 192.168.10.254 empchent laccs au rseau local, sauf si le
cheval de Troie utilise des services bass sur HTTP ou FTP.
34
Question 5.a. Citer les interfaces du pare-feu concernes par une commande TELNET.
Question 5.b. Pour chacune de ces interfaces, rdiger les rgles ncessaires pour permettre lemploi
de cette commande, en donnant leur numro dordre.
a.. Les interfaces concernes sont 192.168.2.254 et 192.168.10.254
b. La ligne numro 1 de linterface 192.168.2.254 autorise le passage vers le serveur internet.
Il faut autoriser le retour sur linterface 192.168.10.254 avec la rgle suivante :
Source 192.168.10.10 Destination : 192.168.2.10 Service : Telnet Accs : Accept
qui doit tre intercale avant la ligne 3.
Question 6. Expliquer le systme RAID1
Il existe plusieurs niveaux de systmes RAID. Ils utilisent plusieurs disques durs pour garantir la
scurit des donnes ou augmenter les performances d'entres-sorties du systme de stockage.
Dans un systme RAID 1, pour garantir l'intgrit des donnes, le contrleur de disques effectue
les mmes oprations sur les deux disques. La panne de l'un des disques n'entrane donc aucune
perte de donnes. Coteux en termes despace disque (50 % du volume ddi la scurit), un
systme Raid 1 n'amliore pas les taux de transfert.
Question 7.a. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour
lentreprise.
Question 7.b. Proposer une solution qui permet de se protger contre les spams.
7.a. Pourriel (spam) : dsigne les communications lectroniques massives, notamment de
courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes.
Les pourriels polluent les boites aux lettres des usagers des messageries et ncessitent de leur
part un temps de traitement parfois non ngligeable (tri, suppression). Par ailleurs ils sont
parfois porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire lefficacit des
systmes (destruction de donnes, ralentissement des systmes).
7.b. Pour se protger contre les spams on pourra par exemple installer un filtre anti spams au
niveau du serveur de messagerie.
Question 8. Expliquer, ventuellement laide dun schma, le mode de fonctionnement de
cette mthode en prcisant le type de cl utilis par chacun des intervenants (metteur et
rcepteur du message) pour assurer confidentialit et authentification dans lchange.
Question 9. Expliquer comment ce tiers de confiance intervient dans la procdure d'change
d'informations.
Le tiers de confiance, ou autorit de certification et denregistrement, a pour rle la dlivrance dun
certificat permettant dassocier une cl publique une entit. Ce tiers assure la validit du lien et
garantit lauthentification du dtenteur. Le certificat dlivr possde une date de validit lui
confrant ainsi une dure de vie.
Message en
clair
Message en
clair avec auteur
authentifi
Message
chiffr et
sign
(authentifi)
Message
chiffr et
sign
Rseau
Cl PUBLIQUE de B pour
chiffrer et cl PRIVEE de
A pour signer
Cl PRIVEE de B pour
dchiffrer le message et cl
PUBLIQUE de A pour
afficher le certificat donc
lidentit de A
A
metteur
B
rcepteur
35
CDGJC J C

Le rseau de luniversit UNIV est organis comme suit :
Lorganisation logique sarticule sur 5 VLAN rpartis de la faon suivante :
Le schma ci-dessous indique quels numros de port physiques du backbone sont connects :
Le Netasq F500 est dsign par le constructeur comme un firewall. En fait, cette machine est
configure de faon intgrer les fonctions suivantes : firewall, routeur et serveur DHCP
La communication directe entre les diffrents rseaux de UNIV nest possible qu travers le
Netasq. Ce dernier assure le routage InterVlan(s) . Sur son lien physique avec lOptiSwitch, il
possde donc une adresse IP par VLAN ; ses adresses IP sont indiques par la tableau ci-dessous :
Le serveur proxy (rseau Serveurs ) assure uniquement les accs Web et FTP des stations de
UNIV, sauf pour toutes les stations du rseau PC Profs pour lesquelles le Netasq ralise alors
une translation dadresse IP. Les accs autres que Web et FTP se font sans passer par le proxy.
Le firewall bridge assure le filtrage du trafic entre le rseau externe, la DMZ et le rseau local
UNIV.
Toutes les requtes provenant du rseau externe sont diriges vers les services de la DMZ.
Seul le routeur Netasq et le serveur proxy peuvent faire des requtes vers lextrieur.
Dans le VLAN 4, la premire adresse du rseau IP (soit 192.168.8.1/24) est attribue un poste de
supervision. Ce poste permet dassurer la tlmaintenance sur tous les postes et serveurs du site
UNIV.
Les informations utiles concernant ladressage IP du rseau de UNIV se trouvent sur le schma
donn en Annexe 1.
36
1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on opt pour cette
solution ?
2. Le routeur Netasq F500 assure un routage InterVlan(s) . De ce fait, sur son lien avec
lOptiSwitch, il possde une adresse IP par VLAN.
Sur le document rponse 1, complter la table de routage du routeur.
3. Les rseaux existants permettent dadresser chacun 254 machines. Le nombre dtudiants
augmentant, une extension des possibilits dadressage est envisage pour le rseau PC-tudiants.
3.1. Donner le masque de sous-rseau qui permettrait de multiplier au moins par deux le
nombre de machines (sans changer les adresses existantes et en se limitant un maximum de
1500 machines adressables). Justifier votre rponse.
3.2. Donner, dans ce cas, ladresse de diffusion.
3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table de routage
du routeur Netasq F500.
4. Les configurations IP des stations du VLAN 3 sont attribues dynamiquement par le Netasq
F500. Sachant que les 10 premires et 10 dernires adresses de la plage totale sont rserves
dautres usages, complter le tableau du document rponse 1 en indiquant les paramtres de
configuration DHCP, les valeurs correspondantes et en prcisant leur caractre optionnel.
5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du serveur proxy.
Complter la table de routage de ce serveur sur le document rponse 1.
Le firewall Netasq F500 en plus de la translation dadresses IP a pour tche de filtrer le trafic
entrant et sortant en fonction du cahier des charges donn ci-dessous.
Ce cahier des charges du firewall Netasq est constitu des rgles suivantes :
Contraintes : les accs Web et FTP :
Tous les accs directes Web et FTP vers Internet sont interdits sauf :
i. requtes et rponses pour les adresses IP du rseau PC Profs ;
ii. requtes et rponses pour la station du Supervision ;
iii. les rponses du proxy (port : 1080) sont autorises vers le LAN.
Contraintes : les accs DNS :
Seules la rsolution DNS destination du serveur DNS externe situ dans la DMZ est autorise.
6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles de filtrage
correspondantes en compltant le tableau du document rponse 2.
NB. -Tenir compte de la priorit : une rgle nonce est toujours prioritaire vis--vis de celles qui la
suivent.
-Un accs un service induit un change dans les deux sens (requte, rponse). Il est donc
ncessaire den tenir compte dans les rgles de filtrage.
7. Admettant que le firewall bridge laisse passer les requtes provenant de lInternet, est-il
ncessaire de prvoir des rgles qui protgent le LAN des ces accs ? Justifier votre rponse.
37
Annexe 1
38
Annexe 2
39
Document rponse 1
40
Document rponse 2














41
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Il apparat que les VLAN sont grs comme des rseaux IP. Pourquoi a-t-on opt pour
cette solution ?
Les VLAN sont grs comme des sous-rseaux afin de permettre le routage entre eux.
Question 2. Le routeur Netasq F500 assure un routage InterVlan(s) . De ce fait, sur son
lien avec lOptiSwitch, il possde une adresse IP par VLAN.
Sur le document rponse 1, complter la table de routage du routeur.
Les rseaux existants permettent dadresser chacun 254 machines. Le nombre dtudiants
augmentant, une extension des possibilits dadressage est envisage pour le rseau PC
tudiants.
Question 3.1. Donner le masque de sous-rseau qui permettrait de multiplier au moins par
deux le nombre de machines (sans changer les adresses existantes et en se limitant un
maximum de 1500 machines adressables). Justifier votre rponse.
Question 3.2. Donner, dans ce cas, ladresse de diffusion.
Question 3.3. Indiquer sur le document rponse 1 quelle serait la modification dans la table
de routage du routeur Netasq F500.
3.1. La solution qui permettra de doubler les possibilits dadressage du sous rseau
PC-Etudiants consiste diminuer dune unit le nombre de bits du masque.
Il passera donc /23 soit 255.255.254.0
Diminuer de 2 bits provoquerait un chevauchement avec le rseau 192.168.4.0 ; diminuer de 3bits
dpasserait la limite du nombre de machines impos.
3.2. Dans ce cas, ladresse de broadcast est 192.168.7.255
3.3.
Question 4. Les configurations IP des stations du VLAN 3 sont attribues dynamiquement
par le Netasq F500. Sachant que les 10 premires et 10 dernires adresses de la plage totale
sont rserves dautres usages, complter le tableau du document rponse 1 en indiquant les
paramtres de configuration DHCP, les valeurs correspondantes et en prcisant leur caractre
optionnel.
42
Question 5. Tous les accs Web et FTP des machines de UNIV se font par lintermdiaire du
serveur proxy. Complter la table de routage de ce serveur sur le document rponse 1.
Question 6. En vous basant sur ces contraintes et sur le document annexe 2, crire les rgles
de filtrage correspondantes en compltant le tableau du document rponse 2.
Question 7. Admettant que le firewall bridge laisse passer les requtes provenant de
lInternet, est il ncessaire de prvoir des rgles qui protgent le LAN des ces accs ?
Justifier votre rponse.
Non, il nest pas ncessaire de crer une rgle pour bloquer les accs externes, ceux-ci seront
inoprants du fait de la translation dadresse et de port (PAT) utilis sur le Netasq.






43
CDGJC J =

Le rseau de lentreprise REZOnet est compos de diffrents sites rpartis sur toute la rgion
dErrachidia. Le routeur qui nous intresse (R-fw-dmz) se situe sur le site Errachidia centre et joue
le rle de passerelle filtrante vers Internet pour tous les sites en utilisant la translation d'adresses et
les listes d'accs (access-list).
Zoom sur le routeur et ses interfaces :
Lintitul du routeur R-fw-dmz fait penser Firewall et DMZ.
1.1. Expliquer le rle d'un firewall.
1.2. Expliquer ce qu'est une DMZ.
1.3. Citer 2 protocoles routables et 2 protocoles de routage.
1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le routeur R-fw-
dmz.
2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui concerne une partie
de la configuration du routeur R-fw-dmz .
2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer les plages d'adresses des
rseaux concerns.
2.3. Pourquoi toutes les access-lists prsentes dans la configuration du routeur se terminent
par "permit ip any any" ?
2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut-il ajouter la configuration du
routeur dans l'access-list "dmz_in".
44
Document rponse 1
45
Annexe 1
Les routeurs sont des quipements de niveau 3 (rseau) et sont chargs de l'acheminement des
datagrammes IP entre les rseaux.
En terme de scurit, ils sont chargs plus prcisment :
de la recherche de chemins de secours
du filtrage des broadcasts
du filtrage des datagrammes IP (ACL)
du contrle des correspondances entre ports et adresses IP, et entre adresses MAC et adresses IP.
(contrle d'usurpation)
Les ACL (Access Control Lists)
Les ACL sont des filtres appliqus chaque datagramme IP transitant travers le routeur et qui ont
pour paramtres :
l'adresse IP de la source
l'adresse IP de la destination
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet
Pour un datagramme donn, l'ACL prend deux valeurs :
deny : le paquet est rejet.
permit : le paquet peut transiter par le routeur.
Syntaxe
Les routeurs Cisco acceptent deux types d'ACL :
l'access-list simple :
access-list access-list-number {deny|permit} protocole ip-source source-masque
l'access-list tendue (extended) :
access-list access-list-number {deny|permit} protocole ip-source source-masque ip destination
destination-masque port-destination
46
Activation de l'access-list
On associe chaque interface du routeur une ACL.
Une ACL de type in, associe une interface, contrle le trafic qui entre dans le routeur par cette
interface
Une ACL de type out associe une interface contrle le trafic qui quitte le routeur par cette
interface.
Attention :
- les ACL ne s'appliquent qu'au trafic en transit et pas au trafic gnr par le routeur lui-mme. Par
exemple, le trafic rsultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL.
- Implicitement la rgle : deny ip any any est toujours applique la fin de l'access-list, il n'est
donc pas ncessaire de rajouter cette commande pour bloquer le reste du trafic.
47
L'activation d'une access-list sur une interface se fait par la commande :
ip access-group access-list-number {in|out}
Recommandations pour la configuration des routeurs :
Access-list contre le spoofing
L'access-list suivante interdit l'accs au rseau pour tous les datagrammes en provenance de
l'extrieur, dont :
l'adresse source est locale (127.0.0.0, 0.0.0.0)
l'adresse source est prive (10.0.0.0, 172.16.0.0 et 192.168.0.0) (RFC 1918),
l'adresse source est une adresse multicast (224.0.0.0) ou broadcast (255.255.255.255)
l'adresse source est sur le rseau interne
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
interdire paquet ip de rseau 127.0.0.0 vers tout(toute station)
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.0.255.255 any
access-list 100 deny ip 224.0.0.0 31.255.255.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 permit ip any any
Cette access-list doit tre applique sur toutes les interfaces externes :
ip access-group 100 in
Adresse IP et masque gnrique
Les ACL dfinissent des familles d'adresses IP l'aide d'une adresse IP et d'un masque gnrique.
Pour vrifier si une adresse IP appartient une famille :
prendre l'adresse IP
appliquer le masque gnrique, c'est--dire mettre 0 dans l'adresse IP tous les bits qui sont 1
dans le masque classique.
comparer le rsultat obtenu l'adresse gnrique de la famille.
Exemples d'adresses gnriques et de masques :
192.9.200.0 0.0.0.255 Toutes les adresses IP du rseau 192.9.200.0
192.9.200.1 0.0.0.0 L'adresse IP 192.9.200.1
0.0.0.0 255.255.255.255 Toute adresse IP.
192.9.200.0 0.0.0.63 Toutes les adresses IP comprises entre 192.9.200.0 et 192.9.200.63
147.210.0.254 0.0.255.0 Toutes les adresses IP de la forme 147.210.x.254
48
Annexe 2
Assignation de certains ports associs aux processus serveurs en fonction des protocoles de
transport TCP et UDP.






49
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1.1 Expliquer le rle d'un firewall.
FW : Un pare-feu (appel aussi coupe-feu ou firewall en anglais), est un systme permettant de
protger un ordinateur des intrusions provenant d'un rseau (ex: Internet). Le pare-feu est en ralit
un systme permettant de filtrer les paquets de donnes changs avec le rseau.
Question 1.2. Expliquer ce qu'est une DMZ.
DMZ : Une zone dmilitarise dit DMZ est un segment de rseau sur lequel des ressources internes
sont accessibles par des clients externes.
Question 1.3. Citer 2 protocoles routables et 2 protocoles de routage.
Protocoles routables : IP, IPX
Protocoles de routage : RIP, BGP, OSPF
Question 1.4. Hormis celles filtres, citer 2 types de trames qui ne sont pas routes par le
routeur R-fw-dmz.
Les trames et les datagrammes IP que le routeur ne laisse pas passer sont :
- les trames de diffusion
- les datagrammes dont ladresse de destination est inconnue.
- les datagrammes dont le TTL est 1.
Question 2.1. En vous aidant des annexes 1 et 2 complter le document rponse 1 qui
concerne une partie de la configuration du routeur R-fw-dmz.
50
Question 2.2. Pour les rgles des lignes 4 et 6 du document rponse 1 calculer les plages
d'adresses des rseaux concerns.
Ligne 4: la plage d'adresses concerne est 10.0.0.0 10.255.255.255 car le masque classique est
255.255.255.0 (masque gnrique: 0.255.255.255).
Ligne 6: la plage d'adresses concerne est 195.52.208.0 195.52.215.255 car le masque classique
est 255.255.248.0 (masque gnrique: 0.0.7.255).
Question 2.3. Pourquoi toutes les access-lists prsentes dans la configuration du routeur se
terminent par "permit ip any any" ?
Par dfaut, tout le trafic est bloqu donc si on veut au contraire autoriser tout ce qui n'a pas t
interdit , il faut mettre la ligne suivante la fin de l'acces-list : " permit ip any any"
Question 2.4. Si lon souhaite interdire le service TFTP, quelle ligne faut il ajouter la
configuration du routeur dans l'access-list "dmz_in".
deny udp any any eq 69
51
CDGJC J G

Lentreprise REZOnet externalisait ses serveurs HTTP, NNTP et SMTP pour lInternet et
lextranet. Elle a dcid daccueillir dans une zone dmilitarise ces serveurs. Ceci la conduit
revoir son architecture rseau et sa politique de scurit.
Aprs avoir dcid dans un premier temps de crer une DMZ avec une adresse publique,
l'administrateur dcide d'utiliser aujourd'hui une adresse prive pour renforcer la scurit.
Le routeur daccs distant (R1) est un routeur filtrant, il permet dinterdire certains flux et en
autoriser d'autres. Ce routeur prend aussi en charge la traduction d'adresses (NAT/PAT).
Les clients du rseau local ont un accs Internet.
Lannexe 1 la structure schmatique du nouveau rseau de lentreprise.
Lannexe 2, des exemples de rgles NAT/PAT appliques par le routeur R1.
Lannexe 3 des exemples de rgles de redirection appliques par le routeur R1.
1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ?
2. Expliquer le rle des rgles de l'annexe 3.
3. Le routage porte-t-il sur les adresses substitues ou sur les adresses relles ?
4. Pourquoi n'utilise-t-on pas le port standard 80 pour rediriger vers le serveur http
partenaire de nom prive.rezonet.ma ?
5. Comment les clients http des partenaires doivent-ils adresser leur requte pour accder au
serveur http partenaire prive.rezonet.ma?
L'administrateur dcide d'appliquer une politique de scurit plus restrictive. Il veut empcher tout
trafic entre l'Internet et l'Intranet. Pour cela il va mettre en place un Proxy HTTP sur un serveur
d'adresse 192.168.100.4 dans la DMZ qui coutera sur le port 8080. Tous les utilisateurs devront
passer par ce Proxy.
6. Comment fonctionne un Proxy-HTTP et quel est son intrt ?
7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy-HTTP de
faon transparente.
8. Rdiger le(s) rgle(s) permettant cette solution.
52
Annexe 1 : Structure schmatique du rseau
Annexe 2 : exemples de rgles NAT/PAT
Le type NP (NAT/PAT) s'applique en sortie de l'interface et substitue ladresse IP source et le port
source privs par une adresse IP publique et un port public. Cette rgle gnre une entre dans une
table interne du routeur qui permettra de grer la substitution inverse.
N Interface Type protocole
Adresse
publique
port
public adresse prive
port
priv
1 213.152.47.9 NP TCP 213.152.47.9 * 192.168.50.0/24 *
2 213.152.47.9 NP TCP 213.152.47.9 * 192.168.100.0/24 *
Annexe 3 : exemples de rgles de redirection
Le Type R (Redirection) s'applique en entre de l'interface et substitue l'adresse IP destination et le
port de destination publics par une adresse IP prive et un port priv. Cette rgle gnre une
entre dans une table interne du routeur qui permettra de grer la substitution inverse.
N Interface
Type protocole Adresse
publique
port
public
adresse prive port priv
3 213.152.47.9 R TCP 213.152.47.9 80 192.168.100.2 80
4 213.152.47.9 R TCP 213.152.47.9 4500 192.168.100.3 80
53
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Pourquoi le routeur R1 masque-t-il les adresses du rseau 192.168.50.0/24 ?
les adresses de classe C 192.168.x.x sont des adresses prives qui ne peuvent tre routes sur
Internet, il faut donc les substituer par une adresse publique (ici l'adresse publique du routeur).
Question 2. Expliquer le rle des rgles de l'annexe 3.
Les rgles de l'annexe 3 redirigent vers les serveurs http de la DMZ les paquets dont l'entte TCP
comporte les ports de destination prciss. L'adresse IP de destination qui est l'adresse publique du
routeur sera substitue par l'adresse prive prcise. Le port de destination sera lui aussi substitu si
cela est ncessaire. Ces substitutions sont faites avant d'entrer dans le processus de routage et de
filtrage.
Question 3. Le routage porte t-il sur les adresses substitues ou sur les adresses relles ?
Le processus de routage utilise l'adresse de destination d'un paquet pour prendre sa dcision de
routage. Cette dcision ne peut tre prise sur les adresses substitues car celles-ci ne correspondent
pas aux adresses relles du rseau local. Les rgles suivantes sont donc appliques :
On substitue en entre de l'interface les adresses et les ports de destination par les adresses et les
ports privs. Cette substitution se fait avant le processus de routage et de filtrage qui va donc porter
sur les adresses relles.
On substitue en sortie de l'interface les adresses et les ports sources par les adresses et les ports
publics. Cette substitution se fait aprs le processus de routage et de filtrage qui a donc port sur les
adresses relles.
Question 4. Pourquoi n'utilise t-on pas le port standard 80 pour rediriger vers le serveur http
partenaire de nom prive.rezonet.ma ?
Il faut diffrencier les ports des serveurs. En effet une requte DNS sur public.sagi.fr ou
prive.rezonet.ma renvoie l'adresse IP publique du routeur. On ne peut donc pas avoir deux fois le
mme port associ la mme adresse IP publique, car il est impossible de rediriger correctement la
requte vers le serveur correspondant. On laisse ici les donnes publiques sur le port 80 (port
standard du protocole http ) mais on change le port http des donnes partenaires.
Question 5. Comment les clients http des partenaires doivent ils adresser leur requte pour
accder au serveur http partenaire prive.rezonet.ma?
Les clients des partenaires doivent connatre ces numros de port (il faut saisir le numro de port
dans l'URL.) ex: HTTP://prive.rezonet.ma:4500
Question 6. Comment fonctionne un Proxy HTTP et quel est son intrt ?
Le terme franais pour dsigner un Proxy est mandataire, c'est--dire celui qui on confie un
travail. Les proxys sont des relais. Ils jouent le rle de serveur pour le client, et de client pour le
serveur. Ils peuvent analyser les donnes dans le contexte de l'application et appliquer des filtres
(sites interdits blacklist , audit, etc.). Dans une configuration minimum un proxy http mettra en
cache les pages HTML visites optimisant ainsi leur utilisation. Un proxy peut permettre d'viter
les connexions directes depuis un rseau interne vers Internet. Sans routeur, il permet le partage de
laccs Internet avec une interface publique.
54
Question 7. Proposer une solution pour permettre aux postes de l'Intranet d'utiliser le Proxy
HTTP de faon transparente.
Deux solutions sont possibles :
Configurer tous les navigateurs Internet pour paramtrer le Proxy. Cette solution n'est pas
transparente et peut tre contourne par les postes.
Rediriger en entre de l'interface 192.168.50.1 tout paquet avec l'adresse du port destination 80
vers le Proxy 192.168.100.4. C'est la technique dite du "Proxy transparent". Il faut bien sr que le
Proxy le permette c'est le cas de la plupart des Proxy du march.
Question 8. Rdiger le(s) rgle(s) permettant cette solution.
numro Interface Type protocole Adresse
publique
port
public
adresse prive Port
priv
5 192.168.50.1 R TCP * 80 192.168.100.4 8080
Ici les requtes http partir du rseau local sont rediriges vers le proxy situ dans la DMZ.
Le Proxy agira ensuite en tant que client Internet il utilisera donc un port client suprieur 1024
pour ses changes. Il n'y aura donc pas de confusion avec les changes des serveurs de la DMZ.
Pour plus de scurit il faudrait supprimer la rgle 1 du NAT/PAT qui masque les adresses des
postes du rseau local et leur permet l'accs Internet.
55
CDGJC J

La filiale d'une socit est relie son sige par l'intermdiaire de deux connexions distantes : une
liaison spcialise et une liaison de secours RNIS. Chaque liaison est gre par un routeur diffrent:
un routeur principal et un routeur de secours.
La disponibilit de la connexion est une ncessit pour la filiale. Vous tes charg d'tudier la mise
en uvre d'une solution qui permettrait de tolrer la panne du routeur principal.
Pour cela vous allez tout d'abord tudier ce qu'un administrateur devrait faire manuellement en cas
de panne du routeur principal pour utiliser le routeur de secours.
Puis vous allez tudier la mise en uvre de deux protocoles permettant dassurer dynamiquement la
tolrance de panne.
L'annexe 1 vous donne un schma non exhaustif du rseau.
L'annexe 2 vous donne l'tat initial de la configuration des diffrents lments actifs du rseau avant
la simulation de la panne.
L'annexe 3 prsente sommairement les protocoles utiliss.
Lannexe 4 prsente le cache ARP du poste 192.168.200.20 aprs la mise en place de HSRP et
lexcution dune commande ping.
Lannexe 5 prsente lannonce de route faite par le routeur principal au routeur du sige aprs la
mise en place du protocole de routage RIP.
Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du
poste 192.168.200.20 : ping 192.168.10.1
Tout se droule normalement.
Vous simulez une panne sur le routeur principal puis vous activez le routeur de secours sans
modifier les configurations dcrites dans l'annexe 2.
1. Quel sera le rsultat de la commande ping 192.168.10.1 excute sur le poste
192.168.200.20 ?
2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser le routeur de
secours ?
3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le rsultat de la
commande prcdente, pourquoi ? Proposez une solution.
Vous mettez en place le protocole HSRP entre le routeur principal et le routeur de secours sur les
interfaces 192.168.200.253 et 192.168.200.254.
Vous affectez aux deux routeurs l'adresse IP virtuelle suivante : 192.168.200.1 et l'adresse MAC
virtuelle suivante 00-00-0c-07-ac-02.
Toutes les tables de routage restent dans ltat prsent par lannexe 2.
Vous testez le fonctionnement du routeur principal en excutant la commande suivante partir du
poste 192.168.200.20 : ping 192.168.10.1
Tout se droule normalement.
Vous simulez de nouveau une panne sur le routeur principal.
4. Quelle doit tre l'adresse du routeur par dfaut utilise par le poste 192.168.200.20 pour
tolrer une panne du routeur principal ?
5. Doit-on vider le cache ARP du poste 192.168.200.20 avant d'excuter de nouveau la
commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache ARP.
6. Quel sera le rsultat de la commande ping 192.168.10.1 ?
7. Pourquoi ne met-on pas en uvre HSRP entre les interfaces 200.100.10.253 et
200.100.20.253 ?
56
Pour automatiser la mise jour des tables de routage notamment pour le routeur du sige, vous
installez un protocole de routage vecteur de distance sur les diffrents routeurs.
Dans un premier temps le routeur principal est actif et transmet des annonces de route au routeur du
sige alors que le routeur de secours inactiv par HSRP ne transmet rien.
Lannexe 5 montre lannonce transmise.
Vous simulez une panne sur le routeur principal. Le routeur du sige cesse de recevoir des annonces
de la part du routeur principal mais en reoit de la part du routeur de secours qui a t activ par
HSRP.
8. Sur quelles interfaces doit-on activer le protocole de routage ?
9. Rajouter une colonne mtrique aux tables de routage des routeurs.
10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ?
11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception de l'annonce
?
Annexe 1 : Schma non exhaustif du rseau
Routeur Sige
Routeur P ri ncipal
192. 168.200. 253/24
Routeur de se cours
192. 168.200.254/24
PC PC PC
P C
1 92. 168.200.20
Commutate ur
Commutateur
Ser veur de fic hiers
192. 168.10.2/24
Se rveur de fi chi ers
192.168.10. 1/ 24
200.100. 10. 253/30
200.100. 20. 253/30
200. 100.20.254/ 30 200. 100.10.254/30
192.168.10.254/ 24
57
Annexe 2 : la configuration des diffrents lments actifs du rseau avant la
simulation de la panne.
Table de routage du routeur sige
Rseau Masque Passerelle Interface
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254
192.168.200.0 255.255.255.0 200.100.10.253 200.100.10.254
Table de routage du routeur principal
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.253 192.168.200.253
200.100.10.252 255.255.255.252 200.100.10.253 200.100.10.253
192.168.10.0 255.255.255.0 200.100.10.254 200.100.10.253
Le routeur Principal est actif
Table de routage du routeur de secours
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254
200.100.20.252 255.255.255.252 200.100.20.253 200.100.20.253
192.168.10.0 255.255.255.0 200.100.20.254 200.100.20.253
Le routeur de secours est inactif
Table de routage du poste 192.168.200.20
Rseau Masque Passerelle Interface
192.168.200.0 255.255.255.0 192.168.200.20 192.168.200.20
0.0.0.0 0.0.0.0 192.168.200.253 192.168.200.20
Adresse MAC du routeur principal : 0D 0A C1 10 5B 2D
Adresse MAC du routeur de secours : 0D 0A C1 00 24 11
Cache ARP du poste 192.168.200.20
Adresse MAC Adresse IP Type
0D 0A C1 10 5B 2D 192.168.200.254 dynamique
58
Annexe 3 : Prsentation des protocoles utiliss.
HSRP (Host Stanby Router Protocol)
HSRP est dcrit dans la RFC 2281. Ce document est class pour information ce qui veut dire qu'il
n'est pas un standard Internet. C'est un protocole propritaire CISCO. Il offre un mcanisme de
tolrance aux pannes de la passerelle par dfaut aux diffrentes machines du rseau incapables de
dcouvrir dynamiquement les routeurs qui leur sont affects (attention on ne fait pas rfrence ici
DHCP qui ne permet pas cela mais plutt des mthodes dynamiques comme IRDP ICMP Router
Discovery Protocol).
HSRP permet deux routeurs de partager une adresse IP virtuelle et une adresse MAC virtuelle. Le
routeur actif rpond aux requtes ARP destines l'adresse commune comme s'il s'agissait de la
sienne puis prend en charge les trames adresses l'adresse MAC commune. Un change de
message ralis en multicast permet aux routeurs de dterminer le routeur actif puis de vrifier la
prsence de l'autre routeur. Lorsque le routeur actif est dfaillant, le deuxime routeur ne reoit plus
de message multicast de sa part, il devient alors actif et rpond aux requtes adresses aux adresses
communes (IP et MAC).
D'autres protocoles sont bien sr utilisables comme par exemple VRRP (Virtual Redundancy
Router Protocol).
RIP V2 (Routing Information Protocol). La version 2 transmet les masques de sous-rseau.
Un protocole de routage permet de mettre jour dynamiquement les tables de routage des routeurs.
Les routeurs s'envoient des messages contenant les rseaux qu'ils peuvent atteindre soit directement
soit indirectement.
Pour atteindre un rseau, un routeur utilisant un protocole vecteur de distance choisira toujours la
route la plus courte.
La route la plus courte est celle qui traverse le moins de routeur.
Pour valuer cette distance le routeur associe chaque rseau une mtrique sous la forme d'un
entier. La valeur 1 correspond une remise directe. Une valeur suprieure 1 correspond une
remise indirecte.
Un routeur utilisant le protocole de routage RIP diffuse toutes les 30s la liste des rseaux qu'il peut
atteindre avec leur mtrique. Pour RIP la valeur 16 associe une mtrique invalide la route.
D'autres protocoles vecteur de distance sont bien sr utilisables par exemple IGRP (Internet
Gateway Router Protocol) ou bien EIGRP (Extended Internet Gateway Router Protocol) de CISCO
protocle Hybride entre les protocoles vecteur de distance et ceux tats de lien.
Annexe 4
Cache ARP du poste 192.168.200.20 aprs la mise en place de ARP et la commande ping
192.168.10.1
Adresse MAC Adresse IP Type
00-00-0c-07-ac-02 192.168.200.1 dynamique
Annexe 5
Annonce transmise par le routeur principal au routeur du sige
Rseau Masque Mtrique
192.168.200.0 255.255.255.0 1
59
.... .... . .... .... . .... .... . .... .... .
Question 1. Quel sera le rsultat de la commande ping 192.168.10.1 excute sur le poste
192.168.200.20 ?
Le rsultat sera "dlai d'attente dpass". Le paquet ICMP echo est parti mais le paquet ICMP
reply nest pas revenu dans le temps imparti.
Question 2. Quelle doit tre la nouvelle configuration du poste 192.168.200.20 pour utiliser
le routeur de secours ?
Il faut modifier la passerelle par dfaut pour affecter l'adresse IP du routeur de secours
192.168.200.254
Question 3. La modification apporte sur le poste 192.168.200.20 ne modifie pas le rsultat
de la commande prcdente, pourquoi ? Proposez une solution.
Le problme se situe sur la table de routage du routeur du sige sur la route de retour . En effet le
paquet part du poste vers la nouvelle passerelle par dfaut 192.168.200.254 qui transmet au routeur
du sige. Celui-ci transmet au poste 192.168.10.1 qui rpond via le routeur du sige. Mais ce
dernier continue orienter vers le routeur principal qui est inactif. Il faut donc remplacer la
ligne obsolte par la ligne suivante :
192.168.200.0 255.255.255.0 200.100.20.253 200.100.20.254
Question 4. Quelle doit tre l'adresse du routeur par dfaut utilise par le poste
192.168.200.20 pour tolrer une panne du routeur principal ?
L'adresse du routeur par dfaut doit tre l'adresse virtuelle IP 192.168.200.1
Question 5. Doit on vider le cache ARP du poste 192.168.200.20 avant d'excuter de
nouveau la commande ping 192.168.10.1 Lannexe 4 prsente le contenu actuel du cache
ARP.
Ce n'est pas ncessaire de vider le cache ARP car les deux routeurs utilisent la mme adresse MAC
virtuelle donc mme si le poste ne refait pas de requte ARP pour rsoudre l'adresse 192.168.200.1
le routeur de secours traitera bien les trames avec pour adresse MAC destinataire 00-00-0c-07-ac-02
Question 6. Quel sera le rsultat de la commande ping 192.168.10.1 ?
Le rsultat de la commande sera "dlai d'attente dpasse" car la table de routage du routeur du
sige n'a pas t mise jour
Question 7. Pourquoi ne met on pas en uvre HSRP entre les interfaces 200.100.10.253 et
200.100.20.253 ?
On ne peut mettre en uvre HSRP que sur une mme liaison rseau or ces deux interfaces ne sont
pas sur une mme liaison
Question 8. Sur quelles interfaces doit on activer le protocole de routage ?
Le protocole de routage doit tre activ sur les interfaces : 200.100.10.254 200.100.20.254
200.100.10.253 200.100.20.253
60
Question 9. Rajouter une colonne mtrique aux tables de routage des routeurs.
Table de routage du routeur sige
Rseau Masque Passerelle Interface Mtrique
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254 1
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254 1
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254 1
192.168.200.0 255.255.255.0 200.100.10.253 200.100.10.254 2
Table de routage du routeur principal
Rseau Masque Passerelle Interface Mtrique
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254 1
200.100.10.252 255.255.255.252 200.100.10.253 200.100.10.253 1
192.168.10.0 255.255.255.0 200.100.10.254 200.100.10.253 2
Table de routage du routeur de secours
Rseau Masque Passerelle Interface Mtrique
192.168.200.0 255.255.255.0 192.168.200.254 192.168.200.254 1
200.100.20.252 255.255.255.252 200.100.20.253 200.100.20.253 1
192.168.10.0 255.255.255.0 200.100.20.254 200.100.20.253 2
Question 10. Que contient l'annonce envoye par le routeur de secours au routeur du sige ?
Le routeur de secours envoie le mme message quenvoyait le routeur principal :
192.168.200.0 255.255.255.0 1
Question 11. Quelle est la nouvelle table de routage sur le routeur du sige aprs rception
de l'annonce ?
Le routeur du sige invalide la route qui passait par le routeur principal car il ne reoit plus
dannonce sur cette interface et la remplace par la route propose par le routeur de secours.
Rseau Masque Passerelle Interface Mtrique
192.168.10.0 255.255.255.0 192.168.10.254 192.168.10.254 1
200.100.10.252 255.255.255.252 200.100.10.254 200.100.10.254 1
200.100.20.252 255.255.255.252 200.100.20.254 200.100.20.254 1
192.168.200.0 255.255.255.0 200.100.20.253 200.100.20.254 2

61
CDGJC J =

Une entreprise dispose de plusieurs routeurs dans son rseau. Un premier routeur (appel
SUPERNET) constitue le point d'entre sur le rseau local, de tous les rseaux partenaires (filiales
et clients). Il est interconnect un deuxime routeur (nomm PRIVANET) qui route vers les
diffrents sous-rseaux internes de l'entreprise, en transmettant ventuellement les paquets
d'autres routeurs.
L'annexe 1 prsente la table de routage de SUPERNET.
L'annexe 2 prsente la table de routage de PRIVANET.
1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui sont accessibles via le routeur
SUPERNET
2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur SUPERNET
pour router vers les rseaux non accessibles.
3. Indiquer sil est possible, avec une seule ligne dans la table de routage du routeur
SUPERNET de router vers tous les rseaux.
Annexe 1 : Table de routage du routeur SUPERNET
Destination Masque Passerelle Interface
0.0.0.0 0.0.0.0 184.10.20.254 184.10.20.200
200.100.32.0 255.255.224.0 10.0.0.1 10.0.0.2
Annexe 2 : Table de routage du routeur PRIVANET
Destination Masque Passerelle Interface
0.0.0.0 0.0.0.0 10.0.0.2 10.0.0.1
200.100.18.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.31.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.32.0 255.255.255.0 200.100.32.254 200.100.32.254
200.100.33.0 255.255.255.0 200.100.33.254 200.100.33.254
200.100.34.0 255.255.255.0 200.100.34.254 200.100.34.254
200.100.48.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.49.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.50.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.66.0 255.255.255.0 200.100.33.250 200.100.33.254
200.100.98.0 255.255.255.0 200.100.33.250 200.100.33.254
62
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Indiquer, parmi les sous-rseaux de lentreprise, ceux qui sont accessibles via le
routeur SUPERNET
La deuxime ligne de la table de routage du routeur SUPERNET fait rfrence un masque
255.255.224.0. Cela signifie que dans le troisime octet, les trois premiers bits sont 1.
Toutes les adresses disposant donc des mmes 19 premiers bits (8 + 8 + 3) seront routes. Il faut
donc rechercher parmi lensemble des sous-rseaux contenus dans la table de routage de
PRIVANET les adresses de rseau qui correspondent cette proprit.
Pour rpondre il faut convertir ces adresses rseaux en binaire :
200.100.18.0 11001000.11000100.00010010.00000000
200.100.31.0 11001000.11000100.00011111.00000000
200.100.32.0 11001000.11000100.00100000.00000000
200.100.33 0 11001000.11000100.00100001.00000000
200.100.34 0 11001000.11000100.00100010.00000000
200.100.48 0 11001000.11000100.00110000.00000000
200.100.49 0 11001000.11000100.00110001.00000000
200.100.50.0 11001000.11000100.00110010.00000000
200.100.66.0 11001000.11000100.01000010.00000000
200.100.98.0 11001000.11000100.01100010.00000000
Les rseaux 200.100.32.0, 200.100.33.0; 200.100.34.0; 200.100.48.0; 200.100.49.0; 200.100.50.0
sont ainsi accessibles. Car si on applique un masque qui restreint l'identifiant du rseau ces 19
bits, avec une seule ligne dans la table de routage on route vers l'ensemble de ces rseaux. Ce qui
implique bien un autre routeur (ici PRIVANET) qui distribue les paquets vers les bons sous-
rseaux.
Crer des sur-rseaux (l'inverse des sous-rseaux) permet donc de limiter le nombre de lignes sur
une table de routage, pour les routeurs "gnraux" d'une entreprise.
Question 2. Indiquer quelles sont les lignes rajouter dans la table de routage du routeur
SUPERNET pour router vers les rseaux non accessibles.
Ligne rajouter pour router vers 200.100.66.0 et 200.100.98.0
200.100.64.0 255.255.192.0 10.0.0.1 10.0.0.2
Il suffit en effet que les deux premiers bits du troisime octet soient gaux 01 (0x2
7
+ 1x2
6
= 64),
et que le masque dispose dun troisime octet commenant par 11 (1x2
7
+ 1x2
6
= 192).
Ligne rajouter pour router vers 200.100.18.0 et 200.100.31.0
Il faut que les trois premiers bits du troisime octet soient gaux 000 (0x2
7
+ 0x2
6
+ 0x2
5
= 0), donc
que le masque dispose dun troisime octet commenant par 111 (1x2
7
+ 1x2
6
+ 1x2
5
=224).
200.100.0.0 255.255.224.0 10.0.0.1 10.0.0.2
Il est aussi possible de restreindre la plage dadresses routes en tablant sur les quatre premiers bits
identiques (0001), ce qui donnerait ladresse 200.100.16.0 et le masque /20 .
Question 3. Indiquer sil est possible, avec une seule ligne dans la table de routage du
routeur SUPERNET de router vers tous les rseaux.
On considre que toutes les adresses ont le troisime octet qui commence par 0 (adresse
200.100.0.0) ce qui donne un masque dans lequel le troisime octet commence par 1 (soit 128)
200.100.0.0 255.255.128.0 10.0.0.1 10.0.0.2
On pourrait aussi tendre la plage dadresses routes en considrant que seuls les deux premiers
octets sont identiques, ce qui donnerait une adresse identique, mais le masque /16 .

63
CDGJC J =

La configuration propose ne reprsente pas, loin s'en faut, une configuration idale. Son tude a
simplement pour objectif de balayer diffrentes fonctionnalits d'un DNS. L'annexe 1 vous permet
de vous familiariser avec le vocabulaire et les concepts employs. Lannexe 2 fournit le plan
dadressage du rseau gberger.fr.
1. Complter l'annexe 3 afin de positionner chaque machine rfrence dans son domaine
(associe son adresse IP) partir de lanalyse du fichier de configuration des zones
gberger.fr, tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone la
liste des serveurs DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
2. Rpondre aux questions suivantes, en les justifiant :
2.1 Sur quelle machine est stock le fichier de configuration de la zone tsig.gberger.fr ?
2.2 Quelle est la dure de validit de ses donnes en cache (exprime en jours) ?
2.3 Quelle est l'adresse et le nom du serveur secondaire de la zone tscg.gberger.fr ?
2.4 Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zone qui a t le plus
souvent modifie ?
2.5 arle.tsig.gberger.fr est-elle une zone indpendante ?
2.6 Que faut-il faire pour que la rsolution de nom pour la machine srv.gberger.fr, d'adresse
10.0.2.1 soit possible ?
3. En utilisant la mme reprsentation que pour les fichiers de configuration fournis en annexe 4,
lorsque cela est ncessaire, rpondre aux questions suivantes :
3.1 Quel est le contenu du fichier de description de zone associ au serveur
dns2.tsig.gberger.fr ?
3.2 Comment faire pour dclarer un nouveau serveur de noms pour la zone tscg.gberger.fr, de
nom dns2 et d'adresse 10.0.2.13 ?
3.3 Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
64
Annexe 1
Rappels de quelques dfinitions
Le rle d'un serveur de noms de domaines est avant tout de permettre de "rsoudre un nom", c'est--
dire d'associer une adresse IP un nom d'hte.
L'espace des noms de domaines est dcoup en zones. Ces dcoupes peuvent tre ralises entre
deux nuds adjacents quelconques. Chaque groupe de nuds interconnects devient ainsi une zone
indpendante.
Du fait de la structure d'arbre (dans lequel chaque branche correspond un domaine), chaque zone
contient un nud "de plus haut niveau" qui est plus proche de la racine que tous les autres nuds de
cette zone. Le nom de ce nud est utilis pour identifier la zone elle-mme.
Chaque zone est gre par une organisation, qui peut modifier ses donnes de faon unilatrale,
crer des nouveaux sous-arbres l'intrieur de la zone, supprimer des nuds existants, ou encore
dlguer la gestion de sous-zones d'autres organisations plus locales.
Une zone contient donc un ensemble d'htes (noeuds). Les donnes dcrivant une zone se divisent
en quatre parties majeures :
Les donnes sur lesquelles le serveur fait autorit (pour tous les nuds dans la zone).
Des donnes dfinissant le nud de plus haut niveau de la zone (qui fait partie des donnes
sur lesquelles le serveur fait autorit).
Des donnes dcrivant les sous-zones dlgues, c'est--dire, les points de coupure dans les
parties infrieures de la zone.
Les donnes permettant l'accs aux serveurs de noms traitant les sous-zones dlgues
(appeles souvent "glue data").
Toutes ces donnes sont exprimes dans un fichier sur le serveur primaire de la zone, sous forme
d'enregistrements de ressources (en anglais Ressource Record : RR.)
Les principaux types d'enregistrements sont reprs par un code. On rencontre le plus souvent :
SOA (Start Of Authority) : identifie le dbut d'une "sphre d'autorit" (description d'une zone)
A (Address) : dcrit une adresse d'hte
NS (Name Server) : dfinit un serveur de noms faisant autorit sur la zone
Un serveur primaire d'une zone dispose du fichier de configuration de cette zone. Il fait rfrence
sur cette zone.
Un serveur secondaire travaille sur une copie locale du fichier de configuration d'un serveur
primaire, serveur qu'il contacte rgulirement pour mettre jour les donnes qu'il possde sur la
zone.
Chaque serveur dispose galement d'un cache qui contient d'autres rfrences (sur lesquelles il ne
fait pas autorit) obtenues au cours des diffrentes oprations de rsolutions de noms. Pour
simplifier, on considrera que sa structure correspond un ensemble de RR de type A.
Un serveur de cache ne travaille quavec un cache local qui contient les rsultats des prcdentes
rsolutions de noms. Cela vite une mise jour priodique partir du serveur primaire (moins de
trafic rseau), mais peut entraner beaucoup de trafic sur le rseau, notamment au dpart, lorsque le
cache est vide, et des erreurs, lorsque la dure de validit des informations est trop longue.
65
Annexe 2
Plan d'adressage du rseau gberger.fr
Remarque : Seules les machines ncessaires cet exercice sont visualises sur ce document
Le serveur proxy fait office de passerelle vers le Fournisseur d'Accs Internet qui a fourni deux
adresses de DNS : 118.39.5.53 et 118.39.17.26.
Les htes du rseau 10.0.2.0/24 ont pour passerelle par dfaut 10.0.2.200.
Les htes du rseau 10.0.1.0/24 ont pour passerelle par dfaut 10.0.1.200.
66
Annexe 3
Arbre de la zone gberger.fr
gberger
fr
tsig
tscg
arle da
.
67
Annexe 4
Description de la zone gberger.fr
Configuration des postes
Chaque poste du rseau 10.0.1.0/24 dispose de la liste des serveurs DNS par dfaut :
10.0.1.8
10.0.2.9
Chaque poste du rseau 10.0.2.0/24 dispose de la liste des serveurs DNS par dfaut :
10.0.2.9
10.0.1.8
Contenu du fichier de configuration de la zone gberger.fr
; dfinition de la zone gberger.fr
; le serveur d'autorit est dns.tsig.gberger.fr (serveur primaire)
; il est administr par une personne qu'on peut joindre l'adresse admgb@gberger.fr
gberger.fr. IN SOA dns.tsig.gberger.fr. admgb.gberger.fr. (
3 ; numro de version : permet aux serveurs secondaires de savoir s'ils doivent mettre
jour leur
; base
36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes)
3600 ; dlai avant une autre tentative de mise jour par un serveur secondaire (en
secondes)
360000 ; dure au-del de laquelle les donnes de zones seront marques comme
obsoltes par un
;serveur
; secondaire (en secondes)
86400) ; dure de validit en cache par dfaut des enregistrements de zones (en secondes)
; avec deux serveurs de noms dans cette zone
NS dns.tsig.gberger.fr.
NS dns2.gberger.fr.
; et dlgation de la zone tsig.gberger.fr avec trois serveurs de noms
tsig.gberger.fr. IN NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr
NS dns2.gberger.fr.
; et dlgation de la zone tscg.gberger.fr avec deux serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
68
; dclaration des adresses faisant autorit
localhost.gberger.fr. IN A 127.0.0.1
dns2.gberger.fr. IN A 10.0.2.9
proxy.gberger.fr. IN A 10.0.2.2
routeur.gberger.fr IN A 10.0.2.200
routeur.gberger.fr IN A 10.0.1.200
; fin de la zone dautorit
; glue data
dns.tsig.gberger.fr. IN A 10.0.1.8
dns.arle.tsig.gberger.fr IN A 10.0.1.4
dns.tscg.gberger.fr IN A 10.0.2.12
dns2.tsig.gberger.fr IN A 10.0.1.9
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admig.gberger.fr. (19 18000 3600 72000
86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
NS dns2.gberger.fr.
localhost.tsig.gberger.fr. IN A 127.0.0.1
dns.arle.tsig.gberger.fr. IN A 10.0.1.4
dns2.tsig.gberger.fr. IN A 10.0.1.9
srv.arle.tsig.gberger.fr. IN A 10.0.1.2
srv.da.tsig.gberger.fr. IN A 10.0.1.3
Contenu du fichier de configuration de la zone tscg.gberger.fr
tscg.gberger.fr. IN SOA dns.tscg.gberger.fr. admcg.gberger.fr. (13 54000 3600 108000
86400)
NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
localhost.tscg.gberger.fr. IN A 127.0.0.1
dns.tscg.gberger.fr. IN A 10.0.2.12
dns2.gberger.fr. IN A 10.0.2.9
srv.tscg.gberger.fr. IN A 10.0.2.11
69
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Complter l'annexe 3 afin de positionner chaque machine rfrence dans son domaine
(associe son adresse IP) partir de lanalyse du fichier de configuration des zones gberger.fr,
tsig.gberger.fr et tscg.gberger.fr (annexe 4). Faire apparatre pour chaque zone la liste des serveurs
DNS.
Indiquer les htes du rseau gberger.fr qui ne sont pas encore rfrencs.
les htes du rseau gberger.fr qui ne sont pas encore rfrencs sont :
srv.gberger.fr (adresse 10.0.2.1)
dns2.tscg.gberger.fr (adresse 10.0.2.13)
Question 2.1. Sur quelle machine est stock le fichier de configuration de la zone
tsig.gberger.fr ?
Sur dns.arle.tsig.gberger.fr (ligne SOA dans le fichier de configuration)
Question 2.2. Quelle est la dure de validit de ses donnes en cache (exprime en jours) ?
86400 secondes, soit une journe (ligne SOA)
70
Question 2.3.Quelle est l'adresse et le nom du serveur secondaire de la zone tscg.gberger.fr ?
10.0.2.9, dns2.gberger.fr (deuxime ligne NS du fichier de configuration de tscg.gberger.fr : la
premire ligne correspond au serveur primaire (apparaissant dans la ligne SOA de la zone
tscg.gberger.fr )
Question 2.4. Parmi ces deux zones (tsig.gberger.fr et tscg.gberger.fr), quelle est la zone qui
a t le plus souvent modifie ?
C'est la zone tsig.gberger.fr qui en est la 19
me
version (ligne SOA)
Question 2.5. arle.tsig.gberger.fr est elle une zone indpendante ?
non, car il n'y a pas de dlgation de zone prvue , ni dans gberger.fr, ni dans tsig.gberger.fr
Question 2.6. Que faut il faire pour que la rsolution de nom pour la machine srv.gberger.fr,
d'adresse 10.0.2.1 soit possible ?
Il faut ajouter une ligne de type A dans le fichier de configuration de gberger.fr :
srv.gberger.fr. IN A 10.0.2.1
Question 3.1. Quel est le contenu du fichier de description de zone associ au serveur
dns2.tsig.gberger.fr ?
Il contient la description de la zone tsig.gberger.fr pour lequel il est serveur secondaire.
Question 3.2. Comment faire pour dclarer un nouveau serveur de noms pour la zone
tscg.gberger.fr, de nom dns2 et d'adresse 10.0.2.13 ?
Il faut ajouter une ligne NS dans le fichier de configuration de la zone gberger.fr (dans la partie
correspondant la dlgation de cette zone : le nom de la zone peut tre omis s'il est ajout la
suite des deux lignes NS actuelles
tscg.gberger.fr. IN NS dns2.tscg.gberger.fr.
et une ligne A dans la zone des "glue data"
dns2.tscg.gberger.fr. IN A 10.0.2.13
ce qui donne le rsultat suivant :
; et dlgation de la zone tscg.gberger.fr avec trois serveurs de noms
tscg.gberger.fr. IN NS dns.tscg.gberger.fr.
NS dns2.gberger.fr.
NS dns2.tscg.gberger.fr.
; dclaration des adresses sur lesquelles les serveurs font autorit
localhost.gberger.fr. IN A 127.0.0.1
dns.tsig.gberger.fr. IN A 10.0.1.8
dns2.gberger.fr. IN A 10.0.2.9
proxy.gberger.fr. IN A 10.0.2.2
routeur.gberger.fr. IN A 10.0.2.200
routeur.gberger.fr. IN A 10.0.1.200
; fin de la zone dautorit
; glue data
dns.arle.tsig.gberger.fr. IN A 10.0.1.4
dns.tscg.gberger.fr. IN A 10.0.2.12
dns2.tsig.gberger.fr. IN A 10.0.1.9
dns2.tscg.gberger.fr. IN A 10.0.2.13
71
Question 3.3. Comment faire pour que arle.tsig.gberger.fr devienne une zone indpendante ?
Il faut crer une dlgation de zone dans le fichier de configuration de tsig.gberger.fr, en dclarant
au moins un serveur primaire et un serveur secondaire (pour amliorer la scurit - tolrance aux
pannes et les performances rpartition des charges -) :
; dlgation de la zone arle.tsig.gberger.fr
arle.tsig.gberger.fr NS dns.arle.tsig.gberger.fr
NS dns2.tsig.gberger.fr
La ligne SOA permettra de dterminer le serveur primaire.
Les adresses tant dj disponibles dans la zone autorise, il n'est pas ncessaire d'ajouter de lignes
d'adresse. Il faut enlever la ligne correspondant au serveur srv.arle.tsig.gberger.fr.
Contenu du fichier de configuration de la zone tsig.gberger.fr
tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admig.gberger.fr. (19 18000 3600 72000
86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
NS dns2.gberger.fr.
; dlgation de la zone arle.tsig.gberger.fr avec deux serveurs
arle.tsig.gberger.fr. NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
localhost.tsig.gberger.fr. IN A 127.0.0.1
dns2.tsig.gberger.fr. IN A 10.0.1.9 ; adresse deuxime
serveur
srv.da.tsig.gberger.fr. IN A 10.0.1.3
srv.arle.tsig.gberger.fr. IN A 10.0.1.2 ; ligne
supprimer
; "glue data
dns.arle.tsig.gberger.fr. IN A 10.0.1.4 ; adresse premier
serveur
Il faut ensuite crer le nouveau fichier de configuration qui sera implant sur le serveur primaire de
la zone (dns.arle.tsig.gberger.fr)
Contenu du fichier de configuration de la zone arle.tsig.gberger.fr
arle.tsig.gberger.fr. IN SOA dns.arle.tsig.gberger.fr. admarle.gberger.fr. (1 18000 3600
72000 86400)
NS dns.arle.tsig.gberger.fr.
NS dns2.tsig.gberger.fr.
localhost.arle.tsig.gberger.fr. IN A 127.0.0.1
dns.arle.tsig.gberger.fr. IN A 10.0.1.4
dns2.tsig.gberger.fr. IN A 10.0.1.9
srv.arle.tsig.gberger.fr. IN A 10.0.1.2
72
CDGJC J =

Une entreprise dispose d'un rseau Ethernet supportant le protocole TCP/IP et regroupant
actuellement 66 htes (stations, serveurs, routeurs, passerelles,). Vous tes charg(e) de proposer
un plan dtaill pour automatiser l'attribution des configurations TCP/IP aux htes en respectant le
cahier des charges rdig par l'administrateur du rseau.
Cahier des charges
A. Donnes
Ladresse du rseau est 193.250.17.0.
L'entreprise est structure en trois dpartements : Administratif, Commercial et Production.
Ces trois dpartements comportent respectivement 24, 16 et 18 htes ayant le rle de postes de
travail.
B. Contraintes
1. Chaque dpartement doit tre plac dans un sous-rseau IP distinct. On carte les rseaux ayant
une adresse "tout zro" ou "tout un"
2. Les htes doivent pouvoir obtenir automatiquement leur configuration IP en en faisant la
demande auprs d'un serveur DHCP.
3. Plusieurs serveurs offriront le service DHCP sur le rseau, l'indisponibilit de l'un d'entre eux ne
doit pas totalement interrompre l'attribution des configurations TCP/IP aux htes qui en font la
demande. On retient comme hypothse que la panne d'un seul serveur DHCP sera assume. Si
un sous-rseau est priv de son serveur DHCP suite une panne, 25% de ses htes doivent
pouvoir obtenir une adresse IP valide auprs du serveur DHCP d'un autre sous-rseau.
4. La configuration des serveurs DHCP doit permettre l'ajout de nouveaux htes dans chaque sous-
rseau.
5. Certains htes ayant un rle de serveur doivent se voir attribuer des adresses IP toujours
identiques. Les serveurs DHCP se voient attribuer ladresse IP de numro le plus haut utilisable
dans chaque sous-rseau. Les serveurs et routeurs devront disposer dadresses situes dans la
partie haute de la plage d'adresses du sous-rseau. Les postes de travail se voient attribuer des
adresses situes dans la partie basse de la plage d'adresses du sous-rseau
Liste des htes auxquels une adresse fixe doit tre attribue
Hte Adresse MAC de l'hte
Sous-rseau Administratif
Serveur DNS 00-32-DE-5A-78-9C
Passerelle par dfaut 1F-7A-90-02-F0-F0
Sous-rseau Commercial
Passerelle par dfaut 2B-14-62-91-C9-B1
Routeur 82-00-06-01-9B-7A
Sous-rseau Production
Passerelle par dfaut 1C-96-AA-F4-C2-91
6. Trois htes du dpartement administratif ne sont pas clients DHCP.
7. Certains htes du domaine Production utiliss sur les chanes de montage ne sont pas grs par
le service informatique. Une plage d'adresses leur a t rserve, elle recouvre les adresses
193.250.17.110 193.250.17.117.
73
1. Proposer un masque de sous-rseau pour le rseau de l'entreprise.
2. Calculer le nombre total d'htes que peut contenir chaque sous-rseau.
3. Affecter un numro de sous-rseau chaque dpartement. Dfinir les plages d'adresses
utilisables dans chaque sous-rseau.
4. Tracer un schma du rseau de l'entreprise en faisant apparatre les htes du rseau et leur
adresse IP.
5. Dfinir comment sera assure l'attribution des configurations IP suite une panne sur un
des serveurs DHCP. Argumenter notamment sur la dure des baux. Noter les ventuelles
contradictions vis vis du cahier des charges.
6. Dfinir la configuration des serveurs DHCP pour chaque sous-rseau : tendue, dure du
bail, options DHCP (passerelle par dfaut, adresse de serveur DNS), adresses exclure,
rservations prvoir. (voir annexe)
Annexe : Fiche de CONFIGURATION DHCP
CONFIGURATION DHCP DU DEPARTEMENT ______________________
Adresses exclues Rservations tendue du sous-rseau
IP : _________________ Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut
Adresse fin
Masque
Dure du bail
Options DHCP
Nom Valeur



IP Fixes attribuer
Nom Valeur


Adresses exclues Rservations tendue de secours du sous-
rseau
IP : ___________________
Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut
Adresse fin
Masque
Dure du bail
Options DHCP
Nom Valeur


74
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Proposer un masque de sous-rseau pour le rseau de l'entreprise.
193.250.17.0 est une adresse de classe C, le dernier octet doit servir coder les numros de sous-
rseau et les numros d'htes dans chaque sous-rseau.
Pour coder trois numros de sous-rseaux, sachant que les configurations "tout zro" et "tout
un" sont rserves, il est ncessaire d'utiliser 3 bits, d'o le masque de sous-rseau (1110 0000)
2
soit
(224)
10
.
Finalement le masque de sous-rseau complet est : 255.255.255.224.
Question 2. Calculer le nombre total d'htes que peut contenir chaque sous rseau.
Il reste 5 bits dans le dernier octet pour coder les numros d'htes, soit 2
5
= 32 possibilits
auxquelles il faut retirer le numro de sous-rseau ("tout zro" ) et l'adresse de diffusion dans le
sous-rseau ("tout un"), soit finalement 30 htes par sous-rseau.
Question 3. Affecter un numro de sous rseau chaque dpartement. Dfinir les plages
d'adresses utilisables dans chaque sous rseau.
Le dpartement Production dispose dj d'un numro de rseau puisque nous connaissons certaines
adresses statiques dans ce sous-rseau :
Prenons l'adresse 193.250.17.110. Le dernier octet est 110 = (0110 1110)
2
, donc le numro de sous-
rseau est (011)
2
sur 3 bits, d'o l'adresse de sous-rseau 193.250.17.96 pour le dpartement
Production.
Pour les dpartements Administratif et Commercial nous affectons respectivement les numros de
sous-rseau (001)
2
et (010)
2
. Rcapitulons :
Dpartement Numro
binaire du
sous-rseau
Adresse IP
du sous-rseau
Adresses utilisables
de
(dernier octet)
Administratif (001)
2
193.250.17.32 33 62
Commercial (010)
2
193.250.17.64 65 94
Production (011)
2
193.250.17.96 97 126
Question 4. Tracer un schma du rseau de l'entreprise en faisant apparatre les htes du
rseau et leur adresse IP.
Lnonc stipulait : dutiliser ladresse la plus haute pour le serveur DHCP, les adresses en dessous
pour les htes particuliers (serveurs, routeurs) avec souvent une rservation dadresse et enfin les
adresses les plus basses pour les postes de travail.
75
Question 5. Dfinir comment sera assure l'attribution des configurations IP suite une
panne sur un des serveurs DHCP. Argumenter notamment sur la dure des baux. Noter les
ventuelles contradictions vis vis du cahier des charges.
En cas de panne d'un serveur DHCP, les htes doivent pouvoir solliciter une configuration auprs
d'un autre serveur DHCP situ sur un autre sous-rseau, les requtes en diffusion envoyes par ces
htes doivent pouvoir passer les routeurs. Aussi, les routeurs R1 et R2 doivent tre capables de
router les datagrammes DHCP (BOOTP) ou un agent de relais DHCP doit s'excuter sur chaque
sous-rseau.
Chaque serveur DHCP se voit attribu une deuxime tendue d'adresse dans un autre sous-rseau
dont il assure en quelque sorte le remplacement en cas de dfaillance. Ces tendues "de scurit" ne
doivent pas entrer en conflit (comporter des adresses identiques) avec les plages d'adresses du
serveur DHCP "titulaire" dans son sous-rseau car un risque d'attribution d'une adresse en double
existerait.
Voici une proposition d'attribution de ces tendues de scurit :
Le serveur DHCP du
dpartement
Assure une
redondance pour
le dpartement
Nombre d'adresses
(25% des htes
dynamiques)
De
(dernier octet)
Administratif Commercial 4 De 81 84
Commercial Production 4 De 118 121
Production Administratif 5 De 57 59 (*)
(*) seules trois adresses sont encore disponibles dans le sous-rseau Administratif, la rgle des 25%
ne peut tre respecte.
Dans une telle configuration (nombre d'adresses trs limit) la dure des baux sera plutt longue de
faon limiter le nombre d'htes susceptibles de demander une nouvelle configuration un
moment donn. La dure peut tre fixe 24 heures de faon laisser le temps de remettre en
service le serveur DHCP. l'inverse la dure de bail des tendues de secours sera plutt brve de
faon minimiser le recours aux serveurs de secours.
Question 6. Dfinir la configuration des serveurs DHCP pour chaque sous
rseau : tendue, dure du bail, options DHCP (passerelle par dfaut, adresse de serveur
DNS), adresses exclure, rservations prvoir. (voir annexe)
CONFIGURATION DHCP DU DEPARTEMENT Administratif
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.32 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.33 193.250.17.54 0032de5a789c 193.250.17.60
Adresse fin 193.250.17.61 193.250.17.56
3 htes
statiques
1f7a9002f0f0 193.250.17.61
Masque 255.255.255.224 193.250.17.57
Dure du bail 1 jour 193.250.17.59
tendue de
secours

Options DHCP
Nom Valeur
Serveur DNS 193.250.17.60
Passerelle 193.250.17.61
IP Fixes
Serveur DHCP 193.250.17.62
Htes statiques 193.250.17.54
56

tendue de secours du sous-rseau Adresses exclues Rservations
76
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.81
Adresse fin 193.250.17.84
Masque 255.255.255.224
Dure du bail 30 mn
Options DHCP
Nom Valeur
Passerelle 193.250.17.125
Le tableau ci-dessus stipule des plages dadresses dexlusion. Cette fonctionnalit nexiste pas sur tous les
systmes et dans ce cas il serait ncessaire de faire plusieurs plages dadresses pour un mme sous-rseau.
Ainsi sous linux on aurait lquivalent des exclusions de windows sous la forme :
subnet 193.250.17.32 netmask 255.255.255. 224 {
range 193.250.17.33 192.168.0.53;
range 193.250.17.60 192.168.0.61; }
Dans la ralit ladministrateur sarrangerait pour que sa planification noblige pas de telles complications,
il dfinirait une plage qui ds le dpart nintgrerait pas les adresses des htes statiques
CONFIGURATION DHCP DU DEPARTEMENT Commercial
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.64 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.65 193.250.17.81 2b146291c9b1 193.250.17.93
Adresse fin 193.250.17.93 193.250.17.84
tendue de
secours
820006019b7a 193.250.17.92
Masque 255.255.255.224
Dure du bail 1 jour
Options DHCP
Nom Valeur
Passerelle 193.250.17.93
IP Fixes
Serveur DHCP 193.250.17.94
Adresses exclues Rservations tendue de secours du sous-rseau
IP : 193.250.17.96 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.118
Adresse fin 193.250.17.121
Masque 255.255.255.224
Dure du bail 30 min
Options DHCP
Nom Valeur
Passerelle 193.250.17.125

77
CONFIGURATION DHCP DU DEPARTEMENT Production
Adresses exclues Rservations tendue du sous-rseau
IP : 193.250.17.96 Plage De A Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.97 193.250.17.110 1c96aaf4c291 193.250.17.125
Adresse fin 193.250.17.125 193.250.17.117
8 htes
statiques

Masque 255.255.255.224 193.250.17.118
Dure du bail 1 jour 193.250.17.121
tendue de
secours

Options DHCP
Nom Valeur
Passerelle 193.250.17.125

IP Fixes
Serveur DHCP 193.250.17.126

Adresses exclues Rservations tendue de secours du sous-rseau
IP : 193.250.17.32 Plage De
A
Commentaire Adresse MAC Adresse IP
Adresse dbut 193.250.17.57
Adresse fin 193.250.17.59
Masque 255.255.255.224
Dure du bail 30 min
Options DHCP
Nom Valeur
Serveur DNS 193.250.17.60
Passerelle 193.250.17.61
78
CDGJC J =

LaPointe SA est une entreprise de grande taille intervenant dans le secteur du Btiment et des
Travaux Publics (BTP). Son sige social est localis Marseille.
Rcemment elle a fusionn avec EuroBTP, une des premires entreprises europennes dans ce
secteur dactivit. Pour tre en conformit avec les mthodes dEuroBTP, LaPointe SA est amene
restructurer son rseau informatique et modifier certaines pratiques de gestion.
Ainsi, tous les postes de travail et les serveurs de LaPointe SA doivent tre raccords directement
Internet. La socit a obtenu la plage dadresses IP 195.10.228.0/24 pour lensemble des machines
du sige et des agences de LaPointe SA.
Vous tes charg(e) de participer la refonte du rseau.
Le Directeur Financier rencontre un problme avec le nouvel ordinateur que vous lui avez install
la semaine dernire et qui est connect au rseau de faon intermittente. Il a not les messages qui
sont apparus lors de ses deux dernires tentatives de connexion :
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse matrielle
00 :13 :B8 :3C :F7 :B2
Le systme a dtect un conflit entre ladresse IP 195.10.228.116 et ladresse matrielle
00 :13 :B8 :3C :F4 :D5
Son adresse IP fixe est 195.10.228.116/25 (soit un masque de 255.255.255.128).
Votre responsable vous demande de rsoudre ce problme, en vous appuyant sur les annexes 1 et 2.
1. Expliquer la cause du dysfonctionnement.
2. Proposer une solution pour liminer ce dysfonctionnement.
En utilisant les annexes 1 et 2 vous tes charg(e) danalyser le plan dadressage de la socit.
3. Vrifier que le plan dadressage permet de prendre en charge le nombre dinterfaces
ncessaire pour chaque site.
Vous tes galement charg(e) de tester la configuration actuelle des routeurs R1, R2 et R3. Le
routeur R4 a dj t configur et test.
Deux commandes ont t lances avec succs :
Commande 1 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.135
Commande 2 : partir du poste dadresse 195.10.228.15 : ping 195.10.228.164
Une commande na pas abouti :
Commande 3 : partir du poste dadresse 195.10.228.135 : ping 195.10.228.164
4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi que les lignes
des tables de routage utilises et expliquer la raison de lchec de cette commande.
5. Proposer la correction apporter pour que la commande 3 fonctionne correctement.
6. Donner le contenu de la table de routage de R4.
Le service informatique a conu une architecture DNS pour lentreprise, le principe de cette
architecture est fourni en annexe 3.
7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit tre dfini
le nom dhte www.marseille.lapointe.fr
8. Donner les paramtres de la configuration DNS des postes de travail du site dAix qui
permettent daccder lensemble des serveurs de lentreprise en utilisant leur nom.
9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone lapointe.fr
79
Annexe 1 : Architecture du rseau de LaPointe SA
R1, R2, R3 et R4 sont des routeurs qui relient les sites. SWn identifie les commutateurs (switch)
installs dans les locaux de sous-rpartition de chaque tage du site de Marseille, et dans le local
technique (il ny a pas plus de quinze mtres entre les locaux les plus loigns).
Il sagit de commutateurs 12 ou 24 ports 10/100 Mbps empilables avec un emplacement accueillant
actuellement un adaptateur (transceiver) optionnel 10BASE 5, et qui disposent par ailleurs dun
emplacement libre permettant dinstaller au choix un adaptateur 1000BASE-SX, 1000BASE-LX ou
1000BASE-T.
R1
SLP-PRINC
SLP-AUX
SW1
SW2
SW3
SW4
PC PC PC PC PC PC PC PC PC
Internet
R2 R3 R4
PC PC PC PC PC PC PC PC PC
Workgroup Switch Workgroup Switch Workgroup Swi tch
SLP-SP SLP-AP SLP-AR
Agence de
Salon de Provence
28 interfaces
Agence
d'Aix en Provence
16 interfaces
Agence d'Arles
22 interfaces
RDC ETAGE 1
ETAGE 2 Local Technique
Sige 122 interfaces
195.10.228.226 195.10.228.230 195.10.228.234
195.10.228.193 195.10.228.161 195.10.228.129
195.10.228.1
195.10.228.225
195.10.228.229
195.10.228.233
12 interfaces
(dont 20 rserves pour la connexion des
portables des chefs de chantier)
60 htes 30 htes 30 htes 2 htes
Site de Marseille
80
Annexe 2 : Extraits du plan dadressage
Site ou liaison Adresse rseau Masque de sous-rseau
Marseille 195.10.228.0 255.255.255.128
Salon 195.10.228.128 255.255.255.224
Aix 195.10.228.160 255.255.255.224
Arles 195.10.228.192 255.255.255.224
R1-R2 195.10.228.224 255.255.255.252
R1-R3 195.10.228.228 255.255.255.252
R1-R4 195.10.228.232 255.255.255.252
Le sous-rseau de Marseille dispose de postes en adressage fixe, mais aussi de postes en adressage
dynamique (les portables des chefs de chantier qui rapatrient les donnes enregistres dans la
journe leur retour des visites de chantier).
Le serveur DHCP de Marseille gre la plage dadresse suivante :
Plage dadresses disponibles : 195.10.228.106 195.10.228.125
Exemples de configuration des postes dans chaque site
Site Adresse dun poste Masque Routeur par dfaut
Marseille 195.10.228.4 255.255.255.128 195.10.228.1
Salon 195.10.228.135 255.255.255.224 195.10.228.129
Aix 195.10.228.167 255.255.255.224 195.10.228.161
Arles 195.10.228.201 255.255.255.224 195.10.228.193
Table de routage pour R1
Rseau Masque Routeur Interface
195.10.228.0 255.255.255.128 195.10.228.1 195.10.228.1
195.10.228.128 255.255.255.224 195.10.228.226 195.10.228.225
195.10.228.160 255.255.255.224 195.10.228.230 195.10.228.229
195.10.228.192 255.255.255.224 195.10.228.234 195.10.228.233
Table de routage pour R2
Rseau Masque Routeur Interface
195.10.228.128 255.255.255.224 195.10.228.129 195.10.228.129
195.10.228.0 255.255.255.128 195.10.228.225 195.10.228.226
195.10.228.160 255.255.255.224 195.10.228.225 195.10.228.226
195.10.228.192 255.255.255.224 195.10.228.225 195.10.228.226
Table de routage pour R3
Rseau Masque Routeur Interface
195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161
195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230
195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.230
195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
81
Annexe 3 : Architecture DNS du domaine lapointe.fr
Architecture administrative
Lentreprise dispose du domaine lapointe.fr et chaque site, lexception de celui de Marseille,
gre son propre sous-domaine.
Chaque ovale correspond une zone.
Architecture dimplmentation
Chaque ligne du tableau ci-dessous reprsente un serveur DNS et indique dans quel site il est
implant, quelle est son adresse IP, pour quelle zone il est serveur DNS primaire et pour quelle(s)
zone(s) il est serveur DNS secondaire.
Site Adresse IP
du serveur DNS
Serveur primaire
de
Serveur secondaire
de
Marseille 195.10.228.2 lapointe.fr salon.lapointe.fr
aix.lapointe.fr
arles.lapointe.fr
Salon 195.10.228.130 salon.lapointe.fr lapointe.fr
Aix 195.10.228.162 aix.lapointe.fr lapointe.fr
Arles 195.10.228.194 arles.lapointe.fr lapointe.fr
82
.... .... . .... .... . .... .... . .... .... . , , , ,
Question 1. Expliquer la cause du dysfonctionnement
On est dans la situation o 2 machines utilisent la mme adresse IP dans le mme sous-rseau.
Le poste fixe dadresse 195.10.228.116 entre en conflit avec dautres machines, par exemple avec
un portable connect dans la plage dadresse 195.10.228.106 et 195.10.228.125 (deux adresses
MAC pour une seule adresse IP).
Question 2. Proposer une solution pour liminer ce dysfonctionnement
Il faut donc changer ladresse du poste pour quelle sorte de cette plage, sous rserve dadresses
disponibles (par exemple 195.10.228.126).
Il faut que ladresse IP du poste du directeur soit unique sur le rseau et nappartienne pas une
plage DHCP.
On peut conserver la plage du DHCP en indiquant simplement ladresse du poste du directeur
financier comme une adresse interdite.
Question 3. Vrifier que le plan dadressage permet de prendre en charge le nombre
dinterfaces ncessaire pour chaque site
Les masques de sous-rseau sont utiliss ici pour rpartir les plages dadresses en fonction des
besoins de chaque site :
Pour le site de Marseille on a besoin de 122 adresses (123 avec le routeur). Le dernier octet
commenant par un 1 ( 255.255.255.128), on dispose donc de 126 adresses dhtes.
Pour le site de Salon on a besoin de 28 adresses. Le dernier octet commenant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dAix on a besoin de 12 adresses. Le dernier octet commenant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Pour le site dArles on a besoin de 22 adresses. Le dernier octet commenant par un 111
(255.255.255.224), on dispose donc de 30 adresses dhtes.
Question 4. Lister les quipements traverss lors de lexcution de la commande 3, ainsi que
les lignes des tables de routage utilises et expliquer la raison de lchec de cette commande.
La russite des deux premires commandes permet de constater que les liaisons entre les sites de
Marseille, Salon et Aix fonctionnent correctement.
Liste des quipements traverss et lignes des tables de routage utilises :
Aller : Switch Salon, R2 (ligne 3), R1 (ligne 3), R3 (ligne 1), Switch Aix
Retour : Switch Aix, R3 (ligne 3)
Explication de la raison de lchec de la commande :
Pour la rponse, le poste dadresse 195.10.228.164 envoie la rponse la commande ping vers
le routeur R3.
Dans le routeur R3, la troisime ligne entrane lenvoi de cette rponse sur linterface
195.10.228.230 vers le routeur dadresse 195.10.228.233, vers le sous-rseau 195.10.228.192
Ladresse de ce routeur nest pas accessible directement partir de cette interface.
83
Question 5. Proposer la correction apporter pour que la commande 3 fonctionne
correctement
Il faut modifier la troisime ligne de la table de routage de R3
Table de routage pour R3
Rseau Masque Routeur Interface
195.10.228.160 255.255.255.224 195.10.228.161 195.10.228.161
195.10.228.0 255.255.255.128 195.10.228.229 195.10.228.230
195.10.228.128 255.255.255.224 195.10.228.229 195.10.228.230
195.10.228.192 255.255.255.224 195.10.228.229 195.10.228.230
Question 6. Donner le contenu de la table de routage de R4
Rseau Masque Routeur Interface
195.10.228.192 255.255.255.224 195.10.228.193 195.10.228.193
195.10.228.0 255.255.255.128 195.10.228.233 195.10.228.234
195.10.228.128 255.255.255.224 195.10.228.233 195.10.228.234
195.10.228.160 255.255.255.224 195.10.228.233 195.10.228.234
Question 7. En justifiant votre rponse, donner ladresse IP du serveur DNS sur lequel doit
tre dfini le nom dhte www.marseille.lapointe.fr.
Le domaine concern est marseille.lapointe.fr, qui appartient la zone lapointe.fr. Un nom dhte
est enregistr sur le serveur DNS primaire de la zone laquelle il appartient (cette zone pouvant tre
ensuite rplique sur le ou les serveurs DNS secondaires). Le serveur primaire pour la zone
lapointe.fr est situ Marseille et daprs le tableau de lannexe 3 il a pour adresse IP :
195.10.228.2.
Question 8. Donner les paramtres de la configuration DNS des postes de travail du site
dAix qui permettent daccder lensemble des serveurs de lentreprise en utilisant leur
nom.
Il faut, sur chaque poste de travail, ladresse IP du serveur DNS dAix ou dun autre serveur DNS .
Prciser les adresses IP des serveurs consulter : Aix (195.10.228.162) (serveur DNS
dAix en priorit pour prendre en charge les rsolutions de noms au plus prs ) puis
celui de Marseille (195.10.228.2), qui stocke lensemble des rfrences pour le domaine
lapointe.fr (en tant que primaire de la zone lapointe.fr, et secondaire pour les domaines
aix.lapointe.fr et salon.lapointe.fr)
Donner un nom dhte
Indiquer le nom de domaine par dfaut : aix.lapointe.fr (ou lapointe.fr)
Question 9. Indiquer quel est le rle et lintrt des serveurs secondaires de la zone
lapointe.fr
Les serveurs secondaires stockent le fichier de configuration du serveur primaire, permettant dune
part une rpartition des charges (le serveur primaire nest pas le seul sollicit), dautre part une
tolrance aux pannes (la liaison avec le site de Marseille peut tre dfaillante, sans perturber la
rsolution de noms en local, quelque soit le site considr).
84
CDGJC J Z

Le rseau local de la socit Ludo utilise les protocoles TCP/IP (adresse rseau 192.168.1.0,
masque 255.255.255.0). Les adresses IP des postes de travail sont attribues dynamiquement par un
serveur DHCP. Les serveurs possdent des adresses statiques.
Pour prendre en charge les nouveaux serveurs et les routeurs, le FAI attribue la socit Ludo le
rseau 179.169.10.96 avec le masque de sous-rseau 255.255.255.240.
Ce rseau doit tre dcoup en deux sous-rseaux afin de sparer les deux segments suivants :
le lien entre le routeur daccs R1 et le routeur R2,
la partie comprenant le commutateur SW2 et les trois serveurs internet.
Pour pouvoir identifier les deux sous-rseaux, on donne la valeur 255.255.255.248 au masque de
sous-rseau.
Sur le schma du rseau (annexe 1) figurent les adresses IP des serveurs et des routeurs. Le routeur
R1 est fourni pr-configur par le fournisseur daccs.
1. Indiquer le nombre dadresses IP dhtes dont on dispose dans chaque sous-rseau avec ce
dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous-rseaux.
2. crire la table de routage du routeur R2 en indiquant les valeurs utiliser pour ladresse
rseau, le masque de sous-rseau, la passerelle et linterface.
3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer la correspondance
entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises sur internet.
4. Expliquer ce qu'il faut faire pour que la configuration TCP/IP des postes permette ceux-ci
daccder internet.
Le routeur R2 servira galement de pare-feu et permettra disoler le rseau local de la zone
contenant les trois nouveaux serveurs. Cette zone est appele zone dmilitarise .
5. Justifier le choix davoir spar le rseau en deux parties : Zone dmilitarise et
Rseau local protg .
Le routeur R2 est un routeur filtrant agissant au niveau paquet. Il filtre les paquets entrants et
sortants sur toutes ses interfaces rseau en fonction de rgles de filtrage dfinies par ladministrateur
du rseau. Un extrait de sa table de filtrage ainsi que lalgorithme quil utilise pour la prendre en
compte sont prsents en annexe 2.
6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
Le contrat de maintenance du site marchand prvoit la mise jour du site pendant deux ans. Pour
permettre au technicien de maintenance deffectuer des mises jour distance sur le serveur Web,
vous devez autoriser les connexions par le protocole SSH (Secure Shell) sur ce serveur, ceci
uniquement en provenance de lordinateur dadresse 195.65.21.4.
7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en spcifiant sa
position dans la table.
85
Annexe 1 : schma du rseau
86
Annexe 2 : Filtrage du pare-feu
Algorithme de filtrage
Pour chaque paquet qui transite en entre ou en sortie sur une interface du routeur, les rgles sont
examines dans lordre partir de la rgle n 1. La premire rgle dont les paramtres
correspondent exactement au paquet reu ou envoy est applique, aprs quoi lanalyse des rgles
sarrte. Si la fin de la table est atteinte sans quaucune rgle ne soit applicable, le paquet est refus.
Table de filtrage
N
rgle
Interface Sens IP
source
Port
source
IP
destination
Port
destination
Action
1 179. 169.10.98 Entre tous tous 179.169.10.106 80 Autorise
2 179. 169.10.98 Entre tous tous 179.169.10.106 443 Autorise
3 179. 169.10.98 Entre tous tous 179.169.10.107 53 Autorise
4 179. 169.10.98 Entre tous 53 179.169.10.107 tous Autorise
5 179. 169.10.98 Entre tous tous 179.169.10.108 25 Autorise
6 179. 169.10.98 Entre tous 25 179.169.10.108 tous Autorise
7 179. 169.10.98 Entre tous tous tous 22 Interdit
8 179. 169.10.98 Entre tous tous tous 23 Interdit
Table de correspondance entre les protocoles dapplication et les ports TCP ou UDP
protocole port utilis
SMTP 25
HTTP 80
SSL 443
DNS 53
Telnet 23
SSH 22
87
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Indiquer le nombre dadresses IP dhtes dont on dispose dans chaque sous-rseau
avec ce dcoupage. Justifier la rponse et donner ladresse IP de chacun des deux sous-rseaux.
Avec le masque 255.255.255.248 appliqu au rseau 179.169.10.96 / 255.255.255.240, on obtient 1
bit pour le sous-rseau (donc deux sous-rseaux), et 3 bits pour ladresse machine, donc 2
3
= 8,
soit 8 2 = 6 machines dans chaque sous-rseau.
(1 pt par adresse de sous-rseau) Les sous rseaux sont 179.169.10.96 et 179.169.10.104 (masque
255.255.255.248)
Question 2. crire la table de routage du routeur R2 en indiquant les valeurs utiliser pour
ladresse rseau, le masque de sous-rseau, la passerelle et linterface.
Rseau Masque Passerelle Interface
179.169.10.96 255.255.255.248 179. 169.10.98 179. 169.10.98
179.169.10.104 255.255.255.248 179. 169.10.105 179. 169.10.105
192.168.1.0 255.255.255.0 192.168.1.100 192.168.1.100
0.0.0.0 0.0.0.0 179.169.10.97 179. 169.10.98
Question 3. Expliquer le mcanisme mis en uvre sur le routeur R2 pour assurer la correspondance
entre les adresses IP utilises dans le rseau local de lentreprise et celles utilises sur internet.
Le routeur pare-feu permet la traduction des adresses IP prives du rseau local (non routables sur
Internet) en une adresse publique (ici 179.169.10.98, ladresse IP de linterface du routeur pare-feu
relie Internet).
Le mcanisme NAT (Network Address Translation) ou PAT (Port Address Translation ) qui utilise
le champ port source pour faire la correspondance entre les paquets mis et reus et leur adresse
source ou destination dans le rseau local permet la traduction dadresses de une plusieurs (une IP
publique pour plusieurs IP prives).
Question 4. Expliquer ce qu'il faut faire pour que la configuration TCP/IP des postes leur permettre
daccder internet.
On doit ajouter dans la configuration des postes ladresse de la passerelle par dfaut (par une option
DHCP ou en dur ) soit 192.168.1.100
Question 5. Justifier le choix davoir spar le rseau en deux parties : Zone dmilitarise et
Rseau local protg .
Ces deux zones ne peuvent pas bnficier du mme niveau de scurit. En effet, la partie zone
dmilitarise doit tre accessible d'Internet pour permettre la connexion des clients au serveur
Web, la rception des requtes de rsolution de noms par le serveur DNS, la rception du courrier
par le serveur POP. Par contre aucun utilisateur extrieur ne doit pouvoir accder au rseau local.
88
Question 6. Expliquer le rle des deux rgles de filtrage numro 1 et numro 4.
a. Rgle N 1 : elle autorise les connexions des clients internet (IP source non spcifie) au site
Web (serveur 179.169.10.106) par le protocole http (port 80)
b. Rgle N4 : elle autorise lentre des rponses aux requtes DNS (port source 53) destination
du serveur DNS (serveur 179.169.10.107) venant de nimporte quel serveur internet (IP source
non spcifie).
Question 7. Ajouter la rgle permettant dautoriser ces connexions de maintenance en spcifiant sa
position dans la table.
La rgle suivante doit tre ajoute dans la table avant la rgle n 7 :
ligne insrer :
Interface Sens IP
source
Port
source
IP
destination
Port
destination
Action
179.169.10.98 Entre 195.65.21.4 tous 179.10.169.106 22 Autorise
89
CDGJC J

Lentreprise DUGALDE dite des ouvrages spcialiss dartisanat et dart.
Ouverte au march mondial depuis 1998, elle assure la traduction et limpression douvrages en
langues trangres : un service TRADUCTION a dailleurs t constitu cet effet.
Devant grer notamment les droits dauteur et de reproduction dimages pour des uvres et des
auteurs originaires des cinq continents, elle a d se doter dun service JURIDIQUE consquent.
Aujourdhui, 500 personnes sont salaries de lentreprise qui sest implante dans les deux premiers
tages dun grand btiment.
Lentreprise est maintenant largement informatise, mais le fonctionnement du rseau et sa scurit
doivent tre amliors et la gestion de la qualit des projets doit dsormais tre prise en compte.
Le responsable informatique dcide de vous en confier ltude.
Au 1er tage se trouvent les services DITION, JURIDIQUE et TRADUCTION, au 2me tage le
service ADMINISTRATIF et le service INFORMATIQUE. Le rseau informatique de lentreprise
est dcrit en annexe 1.
1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentreprise
DUGALDE. Justifier la rponse.
1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le plus
grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage. Justifier la
rponse.
1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine dadresse
172.16.132.2. Justifier la rponse.
Chaque tage dispose dun ou de plusieurs serveurs DHCP. Le serveur nomm EDITI peut attribuer
des adresses IP aux postes du 1er tage. Les serveurs ADMINI et INFORI attribuent, quant eux,
des adresses IP respectivement aux postes des deux sous-rseaux 4 et 5.
2. Expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Des utilisateurs du sous-rseau 1 se plaignent parfois quils narrivent pas se connecter au rseau,
un message leur signalant quune adresse IP existe dj sur le rseau. Un contrle a t ralis
permettant dcarter les routeurs comme cause possible.
3. Donner une cause possible du problme rencontr par ces utilisateurs.
4. Proposer les paramtres de configuration du serveur DHCP EDITI afin dassurer le bon
fonctionnement de lensemble des postes du 1er tage.
Lentreprise situe au 3me tage dmnage et la socit DUGALDE profite de loccasion pour y
dplacer certains postes de travail du service DITION qui manque actuellement cruellement de
place.
5. Proposer une solution matrielle permettant dassurer linterconnexion avec un dbit de 1
Gbit/s entre les postes du service DITION dplacs au 3me tage et les postes du service
DITION rests au 1er tage.
On prendra soin de ne modifier en aucun cas la configuration logicielle des machines.
90
On dcide dimplanter galement au 3me tage un nouveau service qui aura pour adresse de sous-
rseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
6. Donner les lignes de la table de routage du routeur AGR2 qui permettront aux postes du
sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise. Seules les
lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.

Tous les services de lentreprise doivent accder lInternet, mais les droits daccs aux diffrents
services (web, courrier, etc.) ne sont pas les mmes. Pour rsoudre le problme et aprs avoir
effectu une tude de march, ladministrateur sest dot dun pare-feu (firewall) disposant
galement dune fonction de translation dadresses.
7. Expliquer en quoi la translation dadresses est intressante pour la scurit de lentreprise.
On prendra soin de dcrire le processus mis en uvre.
Le pare-feu choisi gre les autorisations daccs aux services de linternet en regroupant les postes
de travail qui ont des droits similaires. Pour crer un groupe de machines, on associe une plage
dadresses IP son nom. Le responsable informatique a ainsi choisi de crer un groupe de machines
par sous-rseau.
Voici un extrait partiel de la table actuelle des contrles daccs du pare-feu. Dans cette table, tout
ce qui nest pas explicitement autoris est interdit.
Groupe de machines Protocoles autoriss
Sous-rseau 1 DNS, HTTP,
Sous-rseau 2 DNS, HTTP,
Sous-rseau 3
Sous-rseau 4
Sous-rseau 5
On souhaite que les postes de travail :
- du sous-rseau 1 puissent accder au web et faire du transfert de fichiers,
- des sous-rseaux 2, 3 et 4 puissent accder au web et utiliser le courrier lectronique,
- du sous-rseau 5 puissent accder tous les services de linternet, y compris les forums de
discussion.
8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, pour chaque
groupe de machines, la liste des protocoles autoriss.
On envisage dautoriser les commerciaux transmettre leurs commandes distance travers
lInternet, en utilisant les portables qui leur ont t fournis, quips de cartes modem PCMCIA.
9. Indiquer comment assurer la scurit et la confidentialit de ces transactions.

91
Annexe 1 : Rseau informatique de lentreprise DUGALDE
172.16.128.1
172.16.160.1
2
me
tage
Service TRADUCTION
Sous-rseau 3
192.168.3.0
50 postes
clients DHCP de EDITI
Service EDITION
Sous-rseau 1
192.168.1.0
200 postes
Service JURIDIQUE
Sous-rseau 2
192.168.2.0
50 postes
clients DHCP de EDITI
EDITI
192.168.1.100
serveur DHCP
192.168.1.1 192.168.2.1
192.168.3.2
192.168.2.2
1
er
tage
172.16.128.1
172.16.160.1
2
me
tage
Service TRADUCTION
Sous-rseau 3
192.168.3.0
50 postes
clients DHCP de EDITI
Service EDITION
Sous-rseau 1
192.168.1.0
200 postes
Service JURIDIQUE
Sous-rseau 2
192.168.2.0
50 postes
clients DHCP de EDITI
EDITI
192.168.1.100
serveur DHCP
192.168.1.1 192.168.2.1
192.168.3.2
192.168.2.2
1
er
tage
Routeur R1
Routeur -
Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0
20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
Routeur R1
Routeur -
Agent Relais DHCP
AGR2
Service ADMINISTRATIF
Sous-rseau 4
172.16.128.0
30 postes
clients DHCP
Service INFORMATIQUE
Sous-rseau 5
172.16.160.0
20 postes
clients DHCP
INFORI
172.16.160.100
serveur DHCP
ADMINI
172.16.128.100
Serveur DHCP
Routeur R2
Routeur -
Agent Relais DHCP
AGR1
172.16.128.3
192.168.1.3
92
... ... ... .... .... . , . .... . , . .... . , . .... . ,
Question 1.a. Indiquer la classe et ladresse du rseau exploit au 2me tage de lentreprise
DUGALDE. Justifier la rponse.
Question 1.b. Rechercher le masque de sous-rseau utilis pour le 2me tage. Veiller prvoir le
plus grand nombre de postes possible et tenir compte des 2 sous-rseaux existants.
Question 1.c. Indiquer le nombre de sous-rseaux dont on pourrait disposer cet tage. Justifier la
rponse.
Question 1.d. Rechercher ladresse du sous-rseau auquel appartiendrait la machine dadresse
172.16.132.2. Justifier la rponse.
1.a. 1
er
octet = 172 , compris entre 128 et 191 correspond la classe B
Autre solution : en binaire 172 = 1011 1110 ( 10xx xxxx : classe B )
L'adresse du rseau de l'entreprise DUGALDE est 172.16.0.0
1.b. Le masque de rseau par dfaut de la classe B est 255.255.0.0
Pour adresser des sous-rseaux, on dispose des 2 octets de poids faible.
Pour pouvoir disposer dun rseau en x.y.160.0, il faut utiliser 3 bits sur les 2 octets de poids faible
(160 base 10 = 1010 0000 base2). Les autres bits pourront tre utiliss pour ladressage des nuds.
On a donc : 1111 1111. 1111 1111. 1110 0000 . 0000 0000, soit 255.255.224.0
1.c. 3 bits sont utiliss dans la partie hte pour adresser les sous-rseaux.
2
3
2 = 6. On peut adresser 6 sous-rseaux
1.d. Les 2 octets de poids faible ont pour valeur 132.2 , soit en binaire 1000 0100 . 0000 0010. Les
3 premiers bits concernant le rseau (1000 0000 base 2 = 128), la machine d'adresse 172.16.132.2
appartient au sous-rseau d'adresse 172.16.128.0
Question 2. expliquer le rle des agents relais DHCP installs sur AGR1 et AGR2.
Les agents relais DHCP AGR1 et AGR2 sont situs entre un sous-rseau qui dispose dun serveur
DHCP et des sous-rseaux ne disposant pas de serveur DHCP ; les postes des sous-rseaux 2 et 3
doivent obtenir une adresse du serveur EDITI situ sur un autre sous-rseau ; l'agent relais va servir
de passerelle avec le sous-rseau 1 ; il a dans sa configuration l'adresse IP du serveur DHCP EDITI
et redirigera ainsi les requtes de demandes d'adresse IP provenant des postes appartenant aux sous-
rseaux 2 et 3 vers ce serveur DHCP. Inversement il relayera ladresse IP attribue vers la station
qui en a fait la demande (il route les trames DHCP).
Question 3. Donner une cause possible du problme rencontr par ces utilisateurs.
Il se peut que la plage dtendue DHCP propose par EDITI nait pas exclu ladresse du serveur lui-
mme ou celle du routeur. Un utilisateur faisant une demande peut donc se voir affecter une de ces
adresses qui entre alors en conflit avec celle affecte de manire statique au serveur DHCP ou au
routeur. Une autre cause ventuelle peut consister en une dure de bail trop longue ou trop courte.
Une autre raison moins probable ici pourrait tre la prsence dune adresse IP statique (fixe) sur
quelques postes.
93
Question 4. Proposer les paramtres de configuration du serveur DHCP EDITI afin dassurer
le bon fonctionnement de lensemble des postes du 1
er
tage.
Le serveur DHCP EDITI doit attribuer des adresses aux 3 sous-rseaux 1, 2 et 3. Il doit donc grer
trois tendues.
tendue de sous-rseau 1 :
Plage dadresses affecter: de 192.168.1.1 192.168.1.203
Adresse exclure : 192.168.1.100 (adresse du serveur EDITI )
192.168.1.1 (adresse Agent Relais AGR1)
192.168.1.3 (adresse du routeur R2)
Masque de rseau : 255.255.255.0
Adresse de passerelle : 192.168.1.3
tendue de sous-rseau 2 :
Plage dadresses affecter: de 192.168.2.1 192.168.2.52
Adresse exclure : 192.168.2.1 (adresse Agent Relais AGR1)
: 192.168.2.2 (adresse Agent Relais AGR2)
Masque de rseau : 255.255.255.0
Adresse de passerelle : : 192.168.2.1
tendue de sous-rseau 3
Plage dadresses affecter: de 192.168.3.1 192.168.3.51
Adresse exclure : 192.168.3.2 (adresse Agent Relais AGR2)
Masque de rseau : 255.255.255.0
Adresse de passerelle : : 192.168.3.2
Question 5. Proposer une solution matrielle permettant dassurer linterconnexion avec un
dbit de 1 Gbit/s entre les postes du service EDITION dplacs au 3
me
tage et les postes du
service DITION rests au 1
er
tage.
On prendra soin de ne modifier en aucun cas la configuration logicielle des machines.
Il sagit ici de dplacer des machines sans toucher leur configuration. Pas question donc de crer
un autre sous-rseau au troisime tage. Il est exclu de fait, de relier les tages au travers dun
routeur, puisque toutes les machines conservent leur adresse IP et restent donc dans le mme sous-
rseau. La solution consiste alors relier les deux tages (distance suppose infrieure 25 m)
laide dun brin supportant le 1 Gbit/s (catgorie 5
e
, 5+, 6 ou 7, voire fibre optique obligatoire
pour des distances suprieures 25 m). On ne va pas, bien entendu, tirer autant de brins quon
dplace de stations et il faut donc prvoir en plus, ltage, un quipement dinterconnexion des
postes (en principe commutateur plutt que concentrateur afin de limiter les collisions) qui sera reli
lquipement actuel dinterconnexion. (on ignore son type, son dbit actuel et donc sil faut le
changer). On ne demande pas changer les cartes rseau.
On dcide dimplanter galement au 3
me
tage un nouveau service qui aura pour adresse de sous-
rseau 192.168.4.0 et qui devra tre connect au routeur AGR2.
94
Question 6. Donner les lignes de la table de routage du routeur AGR2 qui permettront aux
postes du sous-rseau 192.168.4.0 daccder tous les autres sous-rseaux de lentreprise.
Seules les lignes prcisant les accs aux sous-rseaux sont demandes.
Chaque ligne de la table de routage devra comporter ladresse du rseau de destination, le
masque de sous-rseau, ladresse de passerelle et ladresse dinterface.
Rseau Masque Passerelle Interface
.. ..
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.2
192.168.2.0 255.255.255.0 192.168.2.2 192.168.2.2
192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.2
192.168.4.0 255.255.255.0 192.168.4.2 192.168.4.2
172.16.128.0 255.255.224.0 192.168.2.1 192.168.2.2
172.16.160.0 255.255.224.0 192.168.2.1 192.168.2.2

Question 7. Expliquer en quoi la translation dadresses est intressante pour la scurit de
lentreprise.
On prendra soin de dcrire le processus mis en uvre.
La translation dadresses (NAT Network Address Translation, PAT Port Address Translation, )
permet de masquer au monde extrieur les adresses IP rellement utilises dans lentreprise, rendant
ainsi plus difficiles les tentatives dintrusion.
Quand un poste du rseau local met une demande de service vers linternet, le dispositif (pare-feu,
routeur NAT, serveur mandataire ou proxy, ) disposant dune fonction de translation dadresses,
remplace l'adresse IP du poste metteur du paquet par sa propre adresse avant lenvoi sur linternet.
Il remplace de mme le port de l'application cliente par une valeur particulire, en gnral situe au
del de 61 000. Ces informations, adresse IP du poste metteur, port dorigine de lapplication
cliente et port attribu, sont enregistres dans une table. Lorsque la rponse du service invoqu
arrive sur le pare-feu, ce dernier vrifie dans la table qu'il possde bien l'entre correspondante, par
rapport au port attribu, puis il rcrit dans les paquets ladresse IP du poste metteur et port initial
de lapplication cliente. Le paquet peut ainsi rejoindre sa destination dans le rseau local.
Question 8. Prsenter les contrles daccs du pare-feu laide dun tableau indiquant, pour
chaque groupe de machines, la liste des protocoles autoriss.
Groupe de machines Protocoles autoriss
Sous-rseau 1 DNS, HTTP, FTP
Sous-rseau 2, 3 et 4 DNS, HTTP, SMTP, POP3, IMAP
Sous-rseau 5 DNS, HTTP, SMTP, POP3, IMAP, NNTP
Question 9. Indiquer comment assurer la scurit et la confidentialit de ces transactions.
Une solution consiste mettre en uvre un tunnel travers linternet en utilisant un protocole
comme PPTP ou L2TP (cration dun VPN).
Du ct de lentreprise Dugalde, il faut installer un serveur daccs distant et sur les portables des
commerciaux, il faut configurer un client daccs distant.
Le VPN sera cr entre le client et le serveur et les donnes seront cryptes lors des changes.
Il est galement possible denvisager la transmission de fichiers crypts en utilisant des outils PGP.
Le commercial pourra alors rdiger sa commande sur son portable et crypter le fichier concern
avant de lenvoyer. La fiabilit et la rapidit dun tel cryptage est obtenu en combinant les principes
des cls prives/publiques et des cls secrtes.


95
CDGJC J C

Le groupement d'intrt conomique (GIE) SILVIA regroupe une dizaine de membres (appels
aussi clients) dans des domaines d'activit varis relevant de la filire bois.
Sa mission est de fournir ses membres une expertise dans le conseil (gestion, informatique de
gestion) et de proposer galement tous les services de traitement numrique (comptabilit, paie,
...)
Le GIE hberge sur ses propres machines toutes les applications informatiques de comptabilit, de
gestion et de publication en ligne et propose ses membres l'accs ses services sous la forme d'un
intranet.
Toutes les applications sont bases sur IPv4.
Sur le rseau du GIE, les postes clients ont comme passerelle par dfaut l'adresse 172.16.0.253.
La liaison avec les rseaux des membres du GIE
Chaque nouveau membre se voit attribuer par le GIE une adresse de rseau de classe C prive prise
dans la plage dadresses de 192.168.0.0 192.168.255.0.
Les membres accdent aux applications de l'intranet par une liaison ddie loue un oprateur.
Ils accdent Internet par un autre moyen (Numris, ADSL, modem...) afin de ne pas surcharger la
liaison loue et garantir la scurit des donnes prives.
Sur les rseaux des membres, le cahier des charges prvoit que les postes utilisent :
le serveur de nom qui est situ sur le rseau du GIE,
l'adresse du routeur qui les relie au GIE comme passerelle par dfaut.
Le GIE s'est dot d'un SIG (systme d'information gographique) qu'il met la disposition de ses
membres. Il souhaite s'attacher les services du cabinet de gomtres Gom & Trie, situ 25 km
afin de renseigner le SIG partir de relevs effectus sur le terrain.
Pour chaque parcelle de bois appartenant un membre du GIE, le cabinet de gomtres devra
numriser le plan cadastral correspondant, effectuer un relev sur le terrain par systme GPS
(Global Positioning System), caractriser le boisement et alimenter le SIG.
La liaison entre le site du GIE et le site de Gom & Trie sera ralise par une liaison loue Transfix.
Afin d'tablir le besoin en bande passante, les techniciens du GIE consultent les statistiques
d'utilisation des liaisons avec ses membres. Il en ressort que :
Les applications de gestion bases sur le protocole HTTP reprsentent 75 % des flux. Elles
ncessitent un dbit de 10 Kbit/s par poste utilisateur pour garantir une qualit de service
suffisante.
Le reste des flux est constitu par les autres services (DNS, FTP...) de l'intranet.
1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que devra
supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Toutes les machines du rseau du GIE sont configures pour utiliser le routeur rtr-ext comme
passerelle par dfaut. Ce routeur dispose d'une table de routage, dont voici un extrait :
Rseau Masque Passerelle Interface
192.168.11.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.12.0 255.255.255.0 172.16.0.254 172.16.0.253
192.168.13.0 255.255.255.0 172.16.0.254 172.16.0.253
2. Proposer la ligne ajouter dans la table de routage du routeur rtr-ext pour que les
machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
96
3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcdentes, dadresser
tous les rseaux possibles des membres du GIE.
Un des gomtres semble rencontrer quelques dysfonctionnements partir de la machine
192.168.62.11 alors que tout fonctionne normalement sur les autres machines. Il peut accder
tous les services Internet, mais n'arrive pas accder aux applications situes sur la machine
172.16.0.10 de nom srv10.silvia.fr.
Afin de dterminer la cause du dysfonctionnement entre ces deux nuds, vous souhaitez, partir du
poste 192.168.62.11, utiliser la commande ping pour vrifier le fonctionnement des lments
suivants :
pile de protocoles TCP/IP sur lui-mme,
couche Physique et Liaison de donnes sur le rseau de la socit Gom & Trie,
couche Rseau entre le rseau de la socit Gom & Trie et celui du GIE,
rsolution de nom en utilisant le protocole DNS.
4. Pour chacune des vrifications souhaites, indiquer la commande ping excuter.
Justifier la rponse pour chacune des quatre commandes employes.
Vous demandez au gomtre de taper la commande ping 172.16.0.10 sur la machine qui ne
fonctionne pas. La consultation du cache arp de cette machine donne le rsultat suivant :
Adresse internet Adresse physique Type
192.168.62.253 00:D0:59:86:3B:68 dynamique
Vous demandez ensuite au gomtre de taper la commande ping 172.16.0.10 , depuis une autre
machine dadresse 192.168.62.12. Aprs quoi, la consultation du cache arp de cette autre machine
donne le rsultat suivant :
Adresse internet Adresse physique Type
192.168.62.254 00:D0:59:82:2B:86 dynamique
5. Expliquer le rle du protocole arp.
6. Expliquer le problme que lanalyse des caches arp rvle pour la machine 192.168.62.11.
Les fonctions de filtrage du routeur rtr-ext sont dj actives sur les interfaces 193.252.19.3 et
195.115.90.15. Les tableaux ci-dessous donnent un extrait des tables de filtrage correspondant
chacune de ces interfaces :
Table de filtrage de l'interface 193.252.19.3 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 Toutes Tous 195.115.90.1/32 25 TCP Accepter
2 Toutes Tous 195.115.90.1/32 110 Tous Accepter
3 Toutes Tous 195.115.90.1/32 53 Tous Accepter
4 Toutes Tous 195.115.90.2/32 80 TCP Accepter
6 Toutes Tous 195.115.90.0/28 22 Tous Accepter
7 195.115.90.0/28 Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
97
Table de filtrage de l'interface 195.115.90.15 du routeur rtr-ext :
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
Dfaut Toutes Tous Toutes Tous Tous Accepter
L'algorithme utilis par le service de filtrage est quivalent ceci :
1. Tant qu'il y a un paquet traiter
o En suivant l'ordre des rgles de 1 n, rechercher la premire rgle applicable.
o Si une des rgles est applicable, alors appliquer l'action au paquet et arrter le
parcours de la table.
o Si aucune rgle nest applicable, appliquer la rgle par dfaut.
On souhaite remplir la table de filtrage sur l'interface 172.16.0.253 du routeur rtr-ext entre le
rseau du GIE et la DMZ (zone dmilitarise), en appliquant les rgles suivantes :
L'accs au service DNS de la DMZ n'est autoris que pour le serveur DNS du GIE.
L'accs au service SSH est autoris partir de toutes les machines du GIE sauf pour le serveur
d'adresse 172.16.0.10.
Tout le reste est refus.
7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la table de filtrage
de l'interface 193.252.19.3.
8. Proposer une table de filtrage pour l'interface 172.16.0.253 afin de prendre en compte les
contraintes exprimes ci-dessus. Vous respecterez la prsentation adopte pour les tables de
filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux provenant du GIE en direction
de la DMZ que les flux en retour.
Afin de raliser des tests, vous mettez en place, avec un autre membre de l'quipe, un logiciel de
capture de trames sur lune des machines du rseau du GIE.
Capture de trames
Cette capture ne prsente pas le prambule de la trame Ethernet.
9. Indiquer l'adresse MAC (adresse physique ou Ethernet) de la machine destinataire de la
trame capture.
10. Donner en dcimal l'adresse IP du destinataire du datagramme qui a t captur.
Chaque membre du GIE dispose d'une base de donnes sur la machine 195.115.90.2. Ces donnes
sont exploites par le serveur HTTP pour la cration dynamique de pages web.
11. Dcrire, ventuellement l'aide d'un schma, le dialogue qui stablit entre un client
HTTP (navigateur Internet), un serveur HTTP et un serveur de bases de donnes lorsque le
client soumet un formulaire au serveur HTTP et que celui-ci doit retourner des informations
contenues dans la base de donnes.
98
Annexe 1 : Plan du rseau
99
Annexe 2 : Format des trames Ethernet et datagrammes IP
Format dune trame Ethernet
Donnees FCS
8 ocfefs
o ocfefs o ocfefs 4 ocfefs Z ocfefs de 4o I b00 ocfefs
PreombuIe + SFD
Adresse desfinofion
Adresse source
Type
SFD : Start Frame Delimiter indique le dbut de la trame
FCS : Frame Check Sequence ou code de contrle CRC
Str uctur e du datagr amme IP (par lignes de 32 bits)
1 4 5 8 9 16 17 19 20 24 25 32
Version IHL TOS (Type Of Service) Longueur du datagramme - TL (Total Length)
ID (IDentification) FO Dplacement (Offset)
TTL (Time To Live) Protocole Total de Contrle (Header Checksum)
Adresse IP Source
Adresse IP Destination
Options IP ventuelles Bourrage
Donnes (de 2 65 517o)

IHL : Internet Header Length ou longueur den-tte, en mots de 32 bits
FO : Fragment Offset indique si le fragment est suivi dautres fragments
100
.... .... . : .... .... . : .... .... . : .... .... . :
Question 1. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s, que devra
supporter la liaison Transfix entre le site du GIE et celui de la socit Gom & Trie.
Comme lindique clairement le schma du rseau (annexe 1), il y a douze postes dans la socit
Gom & Trie . Le texte mentionne de son ct les applications de gestion reprsentent 75 %
des flux. Ces applications ncessitent un dbit de 10 Kbit/s par poste utilisateur .
Il faut donc : 10 Kbit/s * 12 postes soit 120 Kbit/s pour les applications de gestion. Ces applications
de gestion reprsentent 75 % des flux . Il faut donc rajouter les 25 % utiliss par les autres flux
(DNS, FTP) soit 40 Kbit/s (120/75*25), pour obtenir le dbit total ncessaire.
Le dbit total ncessaire est donc de 120+40 Kbit/s soit 160 Kbit/s.
Question 2. Proposer la ligne ajouter dans la table de routage du routeur r tr -ext pour
que les machines du rseau du GIE puissent atteindre le rseau de la socit Gom & Trie.
Aidons nous du schma de lAnnexe 1 et plaons nous mentalement sur le routeur r tr -ext dont
il convient de complter la table. La question indique que le rseau atteindre est celui de socit
Gom & Trie puissent atteindre le rseau de la socit Gom & Tri soit 192.168.62.0
comme lindique clairement le schma. Le masque de rseau est not, dans cette mme annexe, /24
ce qui correspond la notation CIDR (Classless InterDomain Routing) dun masque de 24 bits 1
soit, en notation traditionnelle : 255.255.255.0. Depuis le routeur r tr -ext, tous les paquets destins
au rseau Gom & Trie doivent donc tre expdis au routeur r tr -gie (dont le travail sera de les
rediriger son tour vers le rseau de la socit) et dont ladresse de linterface dentre est
172.16.0.254. Pour cela, les paquets doivent sortir de notre routeur r tr -ext par linterface de sortie
172.16.0.253. Bien entendu le concentrateur na rien voir avec un problme de routage
puisquil est cens travailler au niveau 2 du modle OSI et non pas au niveau 3 comme le routeur.
La ligne rajouter dans la table de routage est donc en dfinitive :
Rseau
atteindre
Masque de ce rseau On doit sadresser On sort du routeur
par
Rseau Masque Passerelle Interface
192.168.62.0 255.255.255.0 172.16.0.254 172.16.0.253
Question 3. Proposer la ligne qui permettrait, en remplaant toutes les lignes prcdentes,
dadresser tous les rseaux possibles des membres du GIE
A lobservation de la table de routage (complte en principe par la ligne issue de la rponse la
question prcdente) on constate que tous les rseaux appartiennent la mme plage dadresses
192.168.x.y. On constate galement que, quel que soit le rseau de destination, les valeurs de
passerelle atteindre et dinterface de sortie sont les mmes. Comment fusionner toutes ces
lignes en une seule ?
Si le masque de rseau appliqu aux paquets au niveau du routeur ne couvre que les deux premiers
octets dadresse, tous les paquets vont sembler appartenir au mme rseau 192.168.0.0. En effet,
quand les dcisions de routage sont prises, seuls les bits couverts par le masque de sous-rseau
sont utiliss pour dterminer quel est le rseau atteindre et donc, en appliquant un masque
tronqu ou sur-masque , toutes les adresses semblent faire partie du mme rseau du point de
vue du routage.
On doit donc utiliser ici un sur-masque /16 alors que pour des rseaux de classe C on sattend
avoir /24. Cette technique est largement utilise par les oprateurs pour limiter la taille des tables de
routage.
101
La ligne de remplacement des quatre lignes prcdentes est donc en dfinitive :
Rseau Masque Passerelle Interface
192.168.0.0 255.255.0.0 172.16.0.254 172.16.0.253
Question 4. Pour chacune des vrifications souhaites, indiquer la commande ping
excuter. Justifier la rponse pour chacune des quatre commandes employes.
Vr ification 1 : Pile de protocoles TCP/IP sur lui-mme
La commande ping 127.0.0.1 permet de tester la pile TCP/IP de la machine, sans descendre au
niveau de la carte. Un ping sur ladresse IP du poste (ping 192.168.62.11) permet aussi de tester la
pile TCP/IP sans descendre sur la carte mais teste en plus la validit de ladresse. Lune ou lautre
de ces rponses est donc acceptable.
Vr ification 2 : Couche Physique et Liaison de donnes sur le rseau de la socit Gom &
Trie
La commande ping 192.168.62.254 (ou sur toute autre adresse du rseau - 192.168.62.1 par
exemple) suffit et permet de dterminer que la liaison fonctionne sur 2 nuds adjacents. Cette
commande permet de tester la carte rseau, le concentrateur et le cble de liaison. Par contre un
ping 127.0.0.1 ou ping 192.168.62.11 est insuffisant ce niveau car le paquet ne sort pas
sur le rseau et donc la couche physique ne serait pas teste.
Vr ification 3 : Couche Rseau entre le rseau de la socit Gom & Trie et celui du
GIE
Il sagit de vrifier ici si le routage couche rseau se fait bien. Il faut donc un ping qui
concerne les routeurs intermdiaires aux deux rseaux intresss. Les commandes ping
172.16.1.254 ou ping 172.16.0.10 par exemple, sont valides. Ces commandes permettent de
dterminer que le routage fonctionne entre les deux nuds distants. Ces commandes testent le
fonctionnement du routeur (configuration et table de routage) mais aussi celui de la table de routage
du poste metteur et de celle du poste rcepteur. L aussi la rponse doit normalement tre positive
puisque les autres postes accdent au serveur.
Vr ification 4 : Rsolution de nom en utilisant le protocole DNS
Pour provoquer la rsolution de nom en son adresse IP, il faut faire un ping qui utilise le nom dhte
du poste. Ce nom est prcis dans le texte du sujet la machine 172.16.0.10 de nom
srv10.silvia.fr . On fera donc un ping sr v10.silvia.fr . On travaille ici dans les couches
suprieures la couche 3 (rseau), et donc au dessus du protocole de transport. On va ainsi tester la
configuration DNS du poste ainsi quventuellement le fichier de zone du serveur DNS contact si
le cache DNS sur le poste est vide, c'est--dire que cette rsolution na pas dj t faite
antrieurement.
Question 5. Expliquer le rle du protocole arp.
Le protocole ar p permet la rsolution d'adresse IP en adresse MAC adresse physique ou adresse
Ethernet.
Question 6. Expliquer le problme que lanalyse des caches arp rvle pour la machine
192.168.62.11.
En clair, alors que les adresses MAC devraient tre toutes les deux celles du routeur r tr _geo, une
seule est la bonne. Lautre est donc celle du routeur ADSL qui rpond au lieu du routeur r tr _geo
attendu. La rponse est alors vidente , le problme vient de ce que la passerelle par dfaut
(gateway) sur la machine dfectueuse (192.168.62.11) correspond en fait celle du routeur
ADSL et non celle du routeur r tr _geo.
Il faudrait modifier la passerelle par dfaut du poste 192.168.62.11 en remplaant la valeur actuelle
192.168.62.253 par la valeur correcte : 192.168.62.254.
102
Question 7. Expliquer le rle de la rgle numro 1 et celui de la rgle numro 6 dans la table
de filtrage de l'interface 193.252.19.3.
En clair : La rgle 1 autorise les requtes SMTP partir d'Internet sur la machine d'adresse
195.115.90.1
En clair : La rgle 6 autorise les requtes SSH sur toutes les machines appartenant au rseau DMZ
(195.115.90.0/28)
Question 8. Proposer une table de filtrage pour l'interface 172.16.0.253 afin de prendre en
compte les contraintes exprimes ci-dessus. Vous respecterez la prsentation adopte pour
les tables de filtrage prsentes ci-dessus. Vous traiterez aussi bien les flux provenant du GIE
en direction de la DMZ que les flux en retour.
N
de r gle
Adr esse
sour ce
Por t
sour ce
Adr esse
destination
Por t
destination
Pr otocole
tr anspor t
Action
1 172.16.0.10/32 Tous 195.115.90.1/32 53 Tous Accepter
2 195.115.90.1/32 53 172.16.0.10/32 Tous Tous Accepter
3 172.16.0.10/32 Tous 195.115.90.0/28 22 Tous Refuser
4 172.16.0.0/24 Tous 195.115.90.0/28 22 Tous Accepter
5 195.115.90.0/28 22 172.16.0.0/24 Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Question 9. Indiquer l'adresse MAC (adresse physique ou Ethernet) de la machine
destinataire de la trame capture.
00 : d0 : 59 : 82 : 2b : 86
Question 10. Donner en dcimal l'adresse IP du destinataire du datagramme qui a t captur
172.16.0.10
Question 11. Dcrire, ventuellement l'aide d'un schma, le dialogue qui stablit entre un
client HTTP (navigateur Internet), un serveur HTTP et un serveur de bases de donnes
lorsque le client soumet un formulaire au serveur HTTP et que celui-ci doit retourner des
informations contenues dans la base de donnes.
1. Le client envoie la requte.
2. Les requtes des clients arrivent sur le port HTTP (80 en gnral).
3. Le serveur HTTP transmet les valeurs (noms de champs + valeurs) un script par une
mthode get ou post.
4. Le serveur excute un script (requte SQL encapsule) et via un middleware la requte SQL
est transmise au SGBD.
5. Le SGBD excute la requte et renvoie le rsultat au serveur http.
6. Le serveur http met en forme le rsultat (HTML dynamique) et retourne au client (navigateur)
ce rsultat (page HTML).



103
CDGJC J =

Le Domaine VISTE est un domaine qui possde vingt hectares dorange, il produit environ 50 000
litres de jus dorange par an.
VISTE dispose dj dun rseau informatique, reliant les bureaux, le dpt (ou sont stocks les
bouteilles de jus dorange) et la cave, et dun serveur HTTP en intranet.
VISTE est une petite entreprise ambitieuse qui cherche se faire connatre en participant aux
diffrents salons.
Rcemment le propritaire du domaine a lou un stand dans un salon qui va se drouler Mekns.
Durant le salon, les commerciaux prsents auront besoin dobtenir en temps rel ltat des stocks et
de se connecter sur le rseau du domaine. Il faut en effet offrir la possibilit aux visiteurs du salon
de commander des jus dorange prsents ou non sur le stand et disponibles en stock au domaine.
Dans le cadre de sa participation aux diffrents salons, le propritaire du Domaine VISTE souhaite
mettre en place un accs sa base de donnes de gestion de stocks afin de faciliter la prise de
commandes des produits non disponibles en quantit suffisante ou non prsents au salon.
Pour cela, il a contact une socit de services qui, aprs tude, lui propose dabord de modifier le
rseau existant afin den amliorer la scurit. La proposition de modification est jointe en
annexe 2.
Le propritaire vous demande de valider les choix techniques et technologiques proposs par la
socit de services.
1. Indiquer la classe, ladr esse r seau et le nombr e dhtes que peut accueillir chacun des
sous-r seaux r epr sents dans le nouveau plan dadr essage. Vous justifier ez vos r ponses.
Le schma propos par la socit de service indique la prsence dun serveur DHCP et dun agent
relais DHCP, dans la cave et dans le dpt.
2. Indiquer en quoi une telle configur ation est utile.
Pour assurer le bon fonctionnement de lentreprise, il vous faut ensuite prvoir les tables de routage
des routeurs afin que Tous les htes du rseau puissent communiquer entre eux et avec lextrieur.
3. tablir la table de r outage du r outeur Gnr al afin dassur er le bon fonctionnement du
r seau.
Pour maintenir la scurit interne de lentreprise VISTE, la socit de service propose de ne pas
mettre les serveurs HTTP et Mail sur le rseau interne. Sur le routeur Gnral, les rgles suivantes
ont t crites
Rgles NAT (Network Address Translation) PAT (Port Address Translation) appliques sur
linter face 172.16.0.129
IP Port IP Port
172.16.0.66 2020 192.168.0.5 5600
104
Rgles de filtr age appliques sur linter face 172.16.0.129
N r gle Inter face IP Sour ce Por t Sour ce IP
Destination
Por t
Destination
Action
1 172.16.0.129 * * * * Refus
Les rgles de filtrage sappliquent dans lordre de leur numro.
Pr incipes dassociation des r gles de filtr age et de NAT-PAT sur une inter face.
Inter face

Sortie
Filtre NAT-PAT Entre

Sur un paquet en sor tie dune interface, on applique dabord les rgles de filtrage puis les
rgles NAT-PAT.
Sur un paquet en entr e dune interface, on applique dabord les rgles NAT-PAT puis les
rgles de filtrage.
Le serveur HTTP utilise le por t 1060 pour communiquer et le serveur de bases de donnes le por t
2020.
4. Donner les adr esses IP et les por ts sour ce et destination dun paquet envoy par le ser veur
HTTP au ser veur de bases de donnes. Vous justifier ez votr e r ponse.
5. Rdiger la (ou les) r gle(s) dfinie(s) sur linter face 172.16.0.129, qui per met(tent) au
ser veur HTTP de communiquer avec le ser veur de bases de donnes. Vous pr ciser ez lor dr e
de cette (ces) r gle(s) par r appor t la r gle actuelle.
Lorsque les commerciaux du domaine VISTE participent un salon, ils doivent quiper le stand
afin de pouvoir consulter le stock disponible. Pour assurer cette fonction, le domaine a fait
lacquisition de trois ordinateurs portables.
Ce matriel utilise les structures fournies par le salon pour accder au serveur HTTP du domaine.
Cette connexion scurise permet dinterroger, au travers dune interface au format HTML, la base
de donnes de gestion des stocks.
La solution technique propose par la socit de services a t mise en place. Lors dun premier
salon, les commerciaux ont d installer leurs portables en paramtrant leur navigateur avec ladresse
IP du routeur Internet, adresse fournie par le fournisseur daccs Internet (FAI) et releve par la
socit de service. De plus, alors quen interne ils utilisent lURL http://catalogue.viste.fr , ils ont
d employer ladresse IP fournie par le FAI comme adresse dans leur navigateur.
6. Expliquer pour quoi les commer ciaux ont d saisir ladr esse IP four nie par le FAI et non
pas ladr esse IP du ser veur HTTP.
7. Expliquer pour quoi ils ont d saisir cette adr esse IP au lieu dune adr esse URL,
contr air ement ce quils font en inter ne.
Quelques semaines plus tard, lors dun autre salon, les commerciaux ont cherch en vain utiliser
cette mme adresse IP mais elle ne fonctionnait plus ! Aprs contact durgence avec la socit de
services, ils ont d employer une autre adresse IP.
8. Pr oposer une solution per mettant aux commer ciaux daccder au site web dune manir e
conventionnelle (saisie soit de ladr esse URL du site web, soit dune adresse IP stable).
105
Annexe 1 : schma du r seau apr s modification

106
.... .... . , .... .... . , .... .... . , .... .... . ,
Question 1. Indiquer la classe, ladresse rseau et le nombre dhtes que peut accueillir
chacun des sous-rseaux reprsents dans le nouveau plan dadressage. Vous justifierez vos
rponses.
Rseau 1 : 192.168.0.0/29 (locaux techniques, DMZ)
192 en binaire 1100 0000 => dbut par 110 => Classe C
Adresse rseau : 192.168.0.0
Nombre dhtes : masque sur 29 bits => reste 3 bits pour les htes. On dispose donc de
2
3
soit 8 adresses, on enlve [000] et [111] il reste donc 6 htes possibles (2
3
- 2).
Rseau 2, 3, 4 : 172.16.0.0/24, 172.16.1.0/24 (dpt), 172.16.2.0/24 (Cave),
172 en binaire 1010 1100 => dbut par 10 => Classe B
Adresse rseau : 172.16.0.0, 172.16.1.0, 172.16.2.0
Nombre dhtes : masque sur 24 bits => reste 8 bits pour les htes. On dispose donc de
2
8
soit 256 adresses, on enlve [0000 0000] (adresse de rseau ) et [1111 1111]
(adresse de broadcast) il reste donc 254 htes possibles (2
8
- 2).
Question 2. Indiquer en quoi une telle configuration est utile.
En cas de dfaillance du serveur DHCP, le relais DHCP est prsent ici, pour assurer la continuit
de service . Dans ce cas, il faut prvoir sur les diffrents serveurs DHCP des tendues de secours
pour les sous-rseaux pour lesquels on veut assurer la tolrance de panne.
Question 3. tablir la table de routage du routeur Gnral afin dassurer le bon
fonctionnement du rseau.
A partir des documents fournis, on constate que les routeurs de la cave et du chai ne connaissent
quune route par dfaut sur le routeur gnral. Par consquent il convient de passer par ce routeur
pour atteindre les rseaux du dpt et de la cave.
La table de routage du r outeur Gnr al sera donc de la forme suivante :
Destination rseau Masque rseau Adr. passerelle interface Mtrique
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.5 1
172.16.0.0 255.255.255.0 172.16.0.129 172.16.0.129 1
172.16.1.0 255.255.255.0 172.16.0.131 172.16.0.129 1
172.16.2.0 255.255.255.0 172.16.0.130 172.16.0.129 1
192.168.0.0 255.255.255.248 192.168.0.5 192.168.0.5 1
Question 4. Donner les adresses IP et les ports source et destination dun paquet envoy par
le serveur HTTP au serveur de bases de donnes. Vous justifierez votre rponse.
Le paquet est envoy du serveur HTTP (192.168.0.2) sur le port 1060 comme lindique le texte, et
destination du serveur de bases de donnes (172.16.0.66) pour le port 2020. Mais le paquet est pris
en charge par le routeur NAT qui va assurer la translation de certaines valeurs. En effet ladresse
172.16.0.66 et le port 2020 vont tre convertis en ladresse 192.168.0.5 et le port 5600. Les valeurs
dfinitives seront donc :
Adresse IP source : 192.168.0.2
Port source : 1060
Adresse IP Destination : 192.168.0.5
Port Destination : 560
107
Question 5. Rdiger la (ou les) rgle(s) dfinie(s) sur linterface 172.16.0.129, qui
permet(tent) au serveur HTTP de communiquer avec le serveur de bases de donnes. Vous
prciserez lordre de cette (ces) rgle(s) par rapport la rgle actuelle.
Il est ncessaire dautoriser le dialogue dans les deux sens (serveur HTTP vers Serveur de bases de
donnes et inversement). Dautre part on na pas se proccuper du NAT puisque les rgles de
filtrage sappliquent AVANT ce NAT en sortie et aprs le NAT en entre.
N r gle Inter face IP Sour ce Por t
Sour ce
IP
Destination
Por t
Destination
Action
1 172.16.0.129 192.168.0.2 1060 172.16.0.66 2020 Accept
2 172.16.0.129 172.16.0.66 2020 192.168.0.2 1060 Accept
3 172.16.0.129 * * * * Refus
Ces nouvelles rgles seront places AVANT la ligne actuellement prsente dans la table de filtrage
(dans un ordre qui importe peu) car la dernire ligne a pour objet de bloquer TOUTE transmission
quels que soient les IP et ports de lmetteur et de la destination.
Question 6. Expliquer pourquoi les commerciaux ont d saisir ladresse IP fournie par le
FAI et non pas ladresse IP du serveur HTTP.
Il nest pas possible de saisir ladresse IP du serveur HTTP car il sagit dune adresse de classe
pr ive (192.x.y.z) et qui ne sera donc pas route sur lInternet. En consquence les accs ne peuvent
se faire que sur ladresse IP fournie par le FAI, gnralement obtenue partir dun serveur DHCP et
renouvele rgulirement.
En effet, lors du premier salon on a saisi ladresse IP du moment, telle que le serveur DHCP du FAI
lavait affecte au client. Mais lors du deuxime salon cette adresse avait chang (bail expir) et
on ne pouvait plus rutiliser la mme.
Question 7. Expliquer pourquoi ils ont d saisir cette adresse IP au lieu dune adresse URL,
contrairement ce quils font en interne.
En interne, les clients font appel au serveur DNS 172.16.0.65 pour rsoudre le nom catalog.viste.fr
en ladresse IP du serveur web. Comme ce serveur DNS est situ der r ir e deux routeurs NAT et
que de plus il est en adressage pr iv, il sera inaccessible de lextrieur.
Question 8. Proposer une solution permettant aux commerciaux daccder au site web dune
manire conventionnelle (saisie soit de ladresse URL du site web, soit dune adresse IP
stable).
Le domaine VISTE devra faire lacquisition dune adresse IP fixe et dun nom de domaine.

108
CDGJC J =G

La SOVAMI est une socit installe en France et spcialise dans la collecte, le traitement et la
valorisation de dchets d'quipements lectriques et lectroniques (DEEE).
La socit possde son sige historique Lyon. Il regroupe, outre les services administratifs et de
direction, une unit de recherche et dveloppement.
Une autre usine de traitement se situe Fos. D'autres sites dits de prvalorisation existent
Toulouse, Tarbes et Bordeaux et un nouveau site doit ouvrir Bussy en rgion parisienne ; ces sites
servent de lieu de collecte et de premire valorisation..
Le cur du systme d'information de la SOVAMI est Lyon. Les autres sites accdent au site de
Lyon pour l'essentiel de leurs traitements.
Le rseau local du site de Lyon est vous est prsent en annexe 1.
Au sige de Lyon, on souhaite quiper une salle de runion pour des visiteurs extrieurs quips
dordinateurs portables. Cette salle disposera de prises rseau, dune imprimante en rseau et dun
point daccs sans fil. Lensemble sera reli un commutateur capable de grer des rseaux locaux
virtuels (VLAN). Pour des raisons de scurit, on veut pouvoir isoler momentanment le rseau de
la salle de runion du rseau du sige tout en autorisant des communications entre les quipements
prsents dans cette salle. Une prsentation de la notion de VLAN est fournie en annexe 2.
1. Indiquer quel niveau de VLAN per mettr a de pr endr e en char ge lisolement tempor air e du
r seau de la salle de r union du sige. Justifier la r ponse.
En utilisant les annexes 1, 3 et 4, vous tes charg(e) danalyser le plan dadressage de la socit.
2. Indiquer le nombr e d' adr esses IP encor e disponibles dans le r seau IP de la zone " DMZ"
du r seau. Justifier le r sultat.
L'organisation du rseau interconnectant le sige de Lyon aux diffrents sites de la SOVAMI est
conue de telle sorte que chaque poste de n'importe quel site puisse se connecter au sige mais NE
PUISSE PAS avoir accs aux autres sites.
Afin de vrifier que cette organisation est bien en place, vous effectuez la premire srie de tests
suivante :
a) depuis une machine de Fos vers Bussy :
ping 10.192.1.254
vous obtenez le message " Impossible de joindr e lhte de destination .
b) depuis le serveur de fichiers de Lyon 10.0.1.1 vers Fos :
ping 10.128.1.254
vous obtenez le message " Rponse de 10.128.1.254 : octets=32 temps<10 ms ..." .
c) depuis une machine utilisateur de Lyon vers Fos :
ping 10.128.1.254
vous obtenez le message " Impossible de joindr e l' hte de destination" .
d) depuis une machine de Bordeaux vers Tarbes :
ping 10.130.1.254
vous obtenez le message " Rponse de 10.130.1.254 : octets=32 temps<10 ms ..." .
3. Justifier les messages obtenus en r ponse chaque commande ping en analysant les tables
de r outage de l' annexe 4.
4. Pr oposer une solution pour empcher les machines de Bor deaux de communiquer avec
celles de Tar bes.
109
Au fur et mesure de l'accroissement du nombre de sites connects, les tables de routage des
routeurs se sont complexifies.
5. Pr oposer une solution pour r duir e le nombr e de lignes de la table de r outage du r outeur
RLY2. Cette simplification ne doit pas modifier les r gles de r outage actuellement en place.
Les sites reoivent souvent la visite de salaris itinrants qui utilisent leur ordinateur portable pour
se connecter au rseau et travailler. C'est pourquoi il a t dcid de grer de manire centralise
tout l'adressage IP de tous les postes clients de la SOVAMI l'aide d'un serveur DHCP situ au
sige de Lyon. Le service DHCP sera install sur le serveur de fichiers. Dans chaque site, il existe
un poste qui fait office de serveur d'impression. On souhaite que ce poste obtienne toujours la mme
adresse IP du serveur DHCP.
6. Indiquer quel ser vice r seau doit tr e activ sur les r outeur s pour que les postes des
diffr ents sites puissent obtenir une configur ation IP du ser veur DHCP.
7. Dfinir , pour le site de Lyon uniquement, ltendue (plage d' adr esses IP) qui est gr e par
le ser veur DHCP en pr cisant les exclusions str ictement ncessair es.
8. Indiquer comment pr ocder pour que le ser veur dimpr ession obtienne toujour s la mme
adr esse IP de la par t du ser veur DHCP.
Le routeur Internet nomm RLY3 a t install par un prestataire de service qui a configur sur
l'interface 201.10.1.1 les rgles de filtrage suivantes :
Table de filtr age de l' inter face 201.10.1.1 du r outeur RLY3 :
N de
r gle
Adr esse
sour ce
Por t
sour ce
Adr esse
destination
Por t
destinatio
n
Pr otocole
tr anspor t
Action
1
Toutes Tous 201.10.1.10/
32 80
TCP Accepter
2
Toutes Tous 201.10.1.10/
32 53
Tous Accepter
3
Toutes Tous 201.10.1.11/
32 25
Tous Accepter
4
Toutes Tous 201.10.1.12/
32 > 1024
Tous Accepter
5
201.10.1.8/2
9
Tous Toutes Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
Table de cor r espondance entr e les pr otocoles dapplication et les por ts TCP ou UDP
Pr otocole/ap
plication
Por t utilis
SMTP 25
HTTP 80
HTTPS 443
DNS 53
Telnet 23
SSH 22
POP3 110
IMAP 143
L'algorithme utilis par le service de filtrage fonctionne selon
le principe suivant :
Pour chaque paquet traiter :
En suivant l'ordre des rgles de 1 n, rechercher la
premire rgle applicable,
Si une des rgles est applicable, alors appliquer l'action
au paquet et arrter le parcours de la table,
Si aucune rgle nest applicable, appliquer la rgle par dfaut.
9. Expliquer la r gle de filtr age n 4 et pour quoi le numr o de por t de destination est
supr ieur 1024.
110
Un utilisateur itinrant, qui consulte souvent ses messages lectroniques depuis l'extrieur via des
connexions RTC, par exemple l'htel ou chez lui, se plaint qu'il ne peut pas rapatrier ses messages
l'aide de son logiciel client de messagerie habituel. Il accde ses messages uniquement via son
logiciel navigateur en mode webmail , ceci au dtriment du temps de connexion.
10. Expliquer la r aison de l' impossibilit de l' utilisation du logiciel client de messager ie et
pr oposer une solution ce pr oblme en inter venant sur les r gles de filtr age.
111
Annexe 1 : Ar chitectur e du r seau local de la SOVAMI - site de Lyon
112
Annexe 2 : Pr sentation des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de
ladresse MAC mettrice contenue dans une trame en entre sur ce port.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affect dynamiquement
un VLAN en fonction de ladresse IP contenue dans le paquet transport dans la trame en
entre.
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur pouvant grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q ; ils
changent ces trames via des ports dinterconnexion.
On considre quun port de commutateur ne sera associ qu un seul VLAN ( lexception des
ports dinterconnexion).
113
Annexe 3 : Ar chitectur e du r seau de la SOVAMI
114
Annexe 4 : Extr ait du plan dadr essage et des tables de r outage
Site ou liaison Adr esse r seau Masque de sous-r seau
Lyon 10.0.0.0 255.255.0.0
Fos 10.128.0.0 255.255.0.0
Bussy 10.192.0.0 255.255.0.0
Toulouse 10.129.0.0 255.255.0.0
Tarbes 10.130.0.0 255.255.0.0
Bordeaux 10.131.0.0 255.255.0.0
RLY1-RBU1 10.1.1.0 255.255.255.0
RLY2-RFO1 10.1.3.0 255.255.255.0
RFO1-RTO1 10.1.4.0 255.255.255.0
RTO1-RTA1 10.1.5.0 255.255.255.0
RTO1-RBO1 10.1.6.0 255.255.255.0
Configur ation des postes de tr avail dans chaque site
Site
Exemple dadr esse
dun poste
Masque Routeur par dfaut
Lyon - postes de
travail
10.0.2.1 255.255.0.0 Pas de passerelle par
dfaut
Lyon - serveurs 10.0.1.1 255.255.0.0 10.0.1.253
Fos 10.128.1.1 255.255.0.0 10.128.1.254
Bussy 10.192.1.1 255.255.0.0 10.192.1.254
Toulouse 10.129.1.1 255.255.0.0 10.129.1.254
Tarbes 10.130.1.1 255.255.0.0 10.130.1.254
Bordeaux 10.131.1.1 255.255.0.0 10.131.1.254
Table de r outage pour RLY2
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.0.1.253
10.1.3.0 255.255.255.0 10.1.3.254
10.128.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.129.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.130.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.131.0.0 255.255.0.0 10.1.3.253 10.1.3.254
10.192.0.0 255.255.0.0 10.0.1.254 10.0.1.253
Table de r outage pour RFO1
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.3.254 10.1.3.253
10.1.3.0 255.255.255.0 10.1.3.253
10.1.4.0 255.255.255.0 10.1.4.254
10.128.0.0 255.255.0.0 10.128.1.254
10.129.0.0 255.255.0.0 10.1.4.253 10.1.4.254
10.130.0.0 255.255.0.0 10.1.4.253 10.1.4.254
10.131.0.0 255.255.0.0 10.1.4.253 10.1.4.254
115
Table de r outage pour RTO1
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.4.254 10.1.4.253
10.1.4.0 255.255.255.0 10.1.4.253
10.1.5.0 255.255.255.0 10.1.5.254
10.1.6.0 255.255.255.0 10.1.6.254
10.129.0.0 255.255.0.0 10.129.1.254
10.130.0.0 255.255.0.0 10.1.5.253 10.1.5.254
10.131.0.0 255.255.0.0 10.1.6.253 10.1.6.254
Table de r outage pour RTA1
Rseau Masque Routeur Inter face
0.0.0.0 0.0.0.0 10.1.5.254 10.1.5.253
10.1.5.0 255.255.255.0 10.1.5.253
10.130.0.0 255.255.0.0 10.130.1.254
Table de r outage pour RBO1
Rseau Masque Routeur Inter face
0.0.0.0 0.0.0.0 10.1.6.254 10.1.6.253
10.1.6.0 255.255.255.0 10.1.6.253
10.131.0.0 255.255.0.0 10.131.1.254
La route par dfaut sur les routeurs s'exprime l'aide du numro de rseau 0.0.0.0.
116
.... .... . .. .... .... . .. .... .... . .. .... .... . ..
Question 1. Indiquer quel niveau de VLAN permet de prendre en charge lisolement temporaire du
rseau de la salle de runion. Justifier la rponse.
On choisira le niveau 1 (VLAN par ports) en effet il suffira alors de modifier la configuration du
commutateur pendant les runions pour que les ports auxquels sont relis les prises et la borne wi-fi
ne soient pas affects au VLAN donnant laccs au rseau de lentreprise
Le niveau 2 ne convient pas car il nest pas facile de connatre les adresses MAC des portables des
visiteurs. Par ailleurs, cette solution ne respecte pas la contrainte de lieu (accs limit partir de la
salle de runion), en effet un ordinateur portable dont ladresse MAC serait autorise pourrait se
connecter en dehors de la salle de runion.
Le niveau 3 peut prsenter un risque en terme de scurit puisquune adresse IP valide peut tre
ventuellement choisie par un visiteur.
Question 2. Indiquer le nombre d'adresses IP encore disponibles dans le rseau IP de la zone
"DMZ" du rseau. Justifier le rsultat.
La zone DMZ a pour adresse de rseau 201.10.1.8 avec comme masque 255.255.255.248. Il y a
donc 29 bits pour la partie rseau et 3 bits pour la partie hte, soit 2
3
-2= 6 adresses utilisables dans
le rseau. 4 adresses sont dj utilises (3 serveurs et le 1 routeur), il reste donc 2 adr esses IP
disponibles.
Question 3. Justifier les messages obtenus en rponse chaque commande ping en analysant les
tables de routage de l'annexe 4.
a) depuis une machine de Fos ver s Bussy :
ping 10.192.1.254
vous obtenez le message " Impossible de joindr e l' hte de destination " .
Il n'y a pas de route vers le rseau de Bussy (10.192.0.0) ni de route par dfaut dans la table de
routage du routeur RFO1 (et idem pour RLY2). Le routeur envoie au poste une message ICMP
indiquant que le destinataire est inaccessible.
b) depuis le ser veur de fichier s de Lyon 10.0.1.1 ver s Fos :
ping 10.128.1.254
vous obtenez le message " Rponse de 10.128.1.254 : octets=32 temps<10 ms ..." .
Les routes sont bien dfinies entre le serveur de fichiers de Lyon et le rseau local de Fos. En effet
les routeurs de Lyon ont comme passerelle par dfaut 10.0.1.253(RLY2) RLY2 a une route
indirecte vers 10.128.0.0 qui passe par le routeur 10.1.3.253 (RFO1) qui dessert directement le
rseau de Fos. La route de retour ne pose pas de problme. La premire ligne de la table de routage
de RFO1 permet de retourner vers le rseau de Lyon Tant mieux puisque c'est ce que l'on veut !
c) depuis une machine utilisateur de Lyon ver s Fos:
ping 10.128.1.254
vous obtenez le message " Impossible de joindr e l' hte de destination" .
La communication est impossible entre une machine utilisateur de Lyon et le rseau local de Fos.
La machine utilisateur ne possde pas de passerelle par dfaut. Cela dnote l aussi une
configuration conforme aux exigences (structure hirarchique, les postes de Lyon nont pas besoin
de routeur pour accder aux serveurs de Lyon)).
117
d) depuis une machine de Bor deaux ver s Tar bes:
ping 10.130.1.254
vous obtenez le message " Rponse de 10.130.1.254 : octets=32 temps<10 ms ..." .
Les machines de Bordeaux peuvent atteindre le rseau local de Tarbes, ce qui ne devrait pas tre
possible (voir routeurs RTA1, RBO1 et RTO1). Les machines de bordeaux ont comme routeur
10.131.1.254 (RB01) . Celui-ci a une route par dfaut qui renvoie RT01 (10.1.6.254). RT01 a une
route vers 10.130.0.0 via le routeur 10.1.5.253 (RTA1) . Les postes de Tarbes ont aussi une
passerelle par dfaut RTA1 qui dispose dune route de retour vers Bordeaux via la route par dfaut
et le routeur RTO1.
Question 4. Proposer une solution pour empcher les machines de Bordeaux de communiquer avec
celles de Tarbes.
La configuration des routeurs RTA1 et RBO1 comporte une route par dfaut qui rend accessible le
rseau de Bordeaux pour le rseau de Tarbes et retour. La solution la plus simple pour rpondre aux
exigences de scurit est de remplacer la ligne de la route 0.0.0.0 dans les routeurs RTA1 et RBO1
par une route qui permet laccs au site de Lyon :
Pour RTA1 :
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.5.254 10.1.5.253
Et pour RBO1 :
Rseau Masque Routeur Inter face
10.0.0.0 255.255.0.0 10.1.6.254 10.1.6.253
Question 5. Proposer une solution pour rduire le nombre de lignes de la table de routage du
routeur RLY2. Cette simplification ne doit pas modifier les rgles de routage actuellement en place.
Le routeur RLY2 connat la route de 4 rseaux dont les numros sont conscutifs (10.128.0.0
10.131.0.0). Cela correspond pour le deuxime octet aux valeurs binaires 10000000 10000011,
soit 6 bits communs.
Les 4 lignes concernant ces rseaux peuvent tre condenses en une seule.
Rseau Masque Routeur Inter face
10.128.0.0 255.252.0.0 10.1.3.253 10.1.3.254
Les masques 255.192.0.0 255.252.0.0 sont galement corrects.
Question 6. Indiquer quel service rseau doit tre activ sur les routeurs pour que les postes des
diffrents sites puissent obtenir une configuration IP du serveur DHCP.
Le service Agent de relais DHCP doit tre activ pour relayer les requtes DHCP des rseaux des
sites vers le serveur DHCP du site de Lyon.
118
Question 7. Dfinir, pour le site de Lyon uniquement, ltendue (plage d'adresses IP) qui est gre
par le serveur DHCP en prcisant les exclusions strictement ncessaires.
Solution 1
Exclusions tendue
10.0.1.1 10.0.1.4
10.0.1.253 10.0.1.254
10.0.0.1 10.0.255.254 masque 255.255.0.0
Solution 2
Exclusions tendue
10.0.0.1 10.0.1.0 masque 255.255.0.0
10.0.1.5 10.0.1.252 masque 255.255.0.0
10.0.1.255 10.0.255.254 masque 255.255.0.0
Question 8. Indiquer comment procder pour que le serveur dimpression obtienne toujours la
mme adresse IP de la part du serveur DHCP.
Au niveau du serveur DHCP, il faut procder une r ser vation, c'est dire associer l'adresse MAC
de la carte rseau du serveur d'impression l'adresse IP souhaite.
Question 9. Expliquer la rgle de filtrage 4 et pourquoi le numro de port de destination est
suprieur 1024.
Cette ligne concerne l'accs depuis Internet au serveur proxy en rponse des requtes inities par
le serveur proxy la demande des postes clients du rseau local, lesquels utilisent forcment un port
suprieur 1024 (Registered Ports) car de 0 1023 il sagit des ports rservs des processus
systme (Well Known Ports).
Les ports autoriss sont ceux qu'utilise le proxy pour les accs Internet. On admettra les rponses
qui indiquent que le proxy ralisant une translation dadresses, les ports utiliss sont suprieurs
1024.
Question 10. Expliquer la raison de l'impossibilit de l'utilisation du logiciel client de messagerie et
proposer une solution ce problme en intervenant sur les rgles de filtrage.
L'accs au serveur de messagerie depuis l'extrieur est interdit pour un client de messagerie, car les
protocoles POP3 (port 110) et IMAP (port 143) ne sont pas explicitement autoriss et sont donc
bloqus par la rgle de filtrage par dfaut.
Pour l'autoriser, il faudrait ajouter la rgle suivante :
N Adr esse sour ce Por t
sour ce
Adr esse
destination
Por t
destination
Pr otocole
tr anspor t
Action
6 Toutes Tous 201.10.1.11/32 110 ou 143 Tous Accepter
119
CDGJC J =

La socit AHOLA est une socit dont lactivit est centre sur la conception dquipements et de
vtements de surf. Elle emploie 74 personnes, chaque salari est quip dun ordinateur. Les
ordinateurs sont des machines de bureau. Toutes ces machines sont relies au rseau local de
lentreprise.
Le rseau de distribution est constitu dune centaine de concessionnaires implants dans les
principaux pays europens et de vingt agents commerciaux. Chacun deux dispose dun ordinateur
portable qui lui permet de se connecter distance pour transmettre les commandes des clients et
pour obtenir une mise jour rgulire des catalogues de produits. Les commerciaux viennent
rgulirement travailler dans les locaux de lentreprise.
Prenant conscience quil est temps de rorganiser totalement son rseau, l'administrateur dcide
dtudier les principes dune architecture Ethernet entirement commute et la mise en uvre de
rseaux locaux virtuels (VLAN).
Pour cela, il a fait lacquisition dun premier commutateur qu'il a reli provisoirement au rseau afin
de l'tudier.
Sur ce commutateur, il a connect diffrents concentrateurs comme le montre l'annexe 1.
Le commutateur mis en place peut grer les rseaux locaux virtuels (VLAN), comme lexplique
l'annexe 3.
Pour tester son commutateur, l'administrateur met en place provisoirement deux VLAN de niveau 1
(VLAN par ports). Les concentrateurs 3, 4 et 5 sont respectivement connects au port 3, 4 et 5 du
commutateur. L'administrateur dclare un VLAN pour le port 3 et 4 et un autre VLAN pour le port
5.
Avant cette manipulation, le poste de l'administrateur communiquait avec l'ensemble des serveurs et
accdait Internet sans problme.
partir de son poste, ladministrateur excute une commande qui vide son cache ARP puis excute
plusieurs commandes laide de lutilitaire ping.
1. Apr s la mise en place des VLAN, dir e quel ser a le message mis lissue de lexcution des
commandes suivantes mises par le poste de l' administr ateur :
- ping 192.168.1.2
- ping 192.168.1.5
- ping 195.26.36.2
Justifier les r ponses.
2. Dir e quel ser a le contenu du cache ARP du poste de ladministr ateur lissue de ces tr ois
commandes. Utiliser lannexe 2 pour r pondr e cette question.
Aprs son test sur le commutateur, l'administrateur est revenu la configuration sans VLAN
prsente en annexe 1.
Les adresses des machines du rseau 192.168.1.0, autres que les serveurs et les routeurs, sont
attribues dynamiquement. Le serveur DHCP est paramtr pour distribuer des adresses aux 74
machines de bureau. Mais il faut prvoir aussi des adresses supplmentaires pour les commerciaux
qui peuvent avoir besoin de connexion rseaux dans les locaux du sige.
Pour des raisons de scurit, ladministrateur veut imprativement limiter la plage dadresses IP aux
seules adresses indispensables, il a dfini la configuration DHCP suivante :
Adr esse de dbut : 192.168.1.10
Adr esse de fin : 192.168.1.93
Masque de sous-r seau : 255.255.255.192
Dur e du bail : 30 jours 0 heure 0 minute
Mais le serveur DHCP refuse la valeur du masque de sous-rseau.
3. Expliquer la cause de cet chec et pr oposer un nouveau masque.
120
Aprs rectification, toutes les stations obtiennent maintenant une adresse mais la configuration
DHCP n'est pas complte.
4. Dfinir les par amtr es DHCP per mettant aux stations de se connecter Inter net et de
r soudr e les noms d' hte inter net.
On estime quau plus 10 commerciaux par semaine peuvent tre amens se connecter
simultanment au sige de la socit. Ils branchent leur portable sur les prises RJ45 disponibles
dans les bureaux et restent au maximum 3 jours sur le site.
La premire semaine suivant la mise en place de la configuration DHCP, 5 commerciaux se sont
connects sans problme.
La deuxime semaine, 3 autres commerciaux se sont connects.
La troisime semaine, 6 commerciaux ont tent de se connecter mais certains ont chou.
5. Expliquer la cause de cet chec et pr oposer une solution.
Le choix des adresses rseau 192.168.1.0 et 192.168.2.0 pour le rseau dAHOLA a amen
ladministrateur installer le service NAT (service de translation dadresses IP) sur le routeur
192.168.1.254.
6. Justifier la ncessit du ser vice NAT.
Le serveur du fournisseur daccs Internet (FAI), poste 200.12.200.12, est utilis comme serveur
mandataire (proxy) et serveur de messagerie. Il a t paramtr pour livrer des messages (protocole
POP sur le port 110) et envoyer des messages (protocole SMTP sur le port 25).
Tous les salaris de lentreprise (y compris ceux du dpt de Benesse-Maremne) sont autoriss
utiliser le protocole HTTP (port 80) pour consulter les sites web disponibles sur le Net.
Le tableau suivant donne le filtre mis en uvre par ladministrateur sur le routeur pour que les
serveurs web extrieurs l'entreprise puissent rpondre :
N r gle
Inter face
dar r ive
Action Sour ce
Por t
sour ce
Destination
Por t
destination
1 195.26.36.2 accepte * * 192.168.1.0 >1024
2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.0 > 1024
3 192.168.1.254 accepte * * 200.12.200.12 80
4 192.168.2.254 accepte * * * 80
Le filtre s'applique aprs les oprations de translation d'adresses sur les adresses relles et non sur
les adresses substitues.
La pr emir e r gle (r gle n 1) sinter pr te ainsi :
Sur linterface darrive 195.26.36.2, quelle que soient ladresse IP source et le numro de port
source du paquet, on accepte tous les paquets destination du rseau 192.168.1.0 et dun numro de
port suprieur 1024.
La deuxime r gle (r gle n 2) sinter pr te ainsi :
Sur linterface darrive 195.26.36.2, on accepte les paquets dont ladresse IP source est
200.12.200.12, le port source 80 destination du rseau 192.168.2.0 et d'un numro de port
suprieur 1024.
Les r gles gnr ales de filtr age sont les suivantes :
- Pour chaque paquet qui transite par le routeur, les rgles sont parcourues de la rgle 1 la rgle
4.
- Ds quune rgle sapplique, on arrte le parcours des rgles.
- Tout ce qui nest pas autoris est interdit.
121
7.a. Dir e en quoi les r gles 1 et 2 expr iment un fonctionnement diffr ent en ter mes de scur it
et pr ciser quelle est la plus sr e.
7.b. Dir e en quoi les r gles 3 et 4 expr iment un fonctionnement diffr ent en ter mes de scur it
et pr ciser quelle est la plus sr e.
8. En r espectant le for malisme pr opos ci-dessus, r diger la ou les r gles qui per mettent tous
les salar is de l' entr epr ise (dpt de Benesse-Mar emne compr is) d' envoyer des messages
lectr oniques (on ne tiendr a pas compte des flux DNS et des flux POP ou IMAP).
122
Annexe 1 : Schma du r seau
123
Annexe 2 :Tableau de cor r espondance adr esses IP adr esses MAC
Adr esses IP Adr esses MAC
192.168.1.2 00-02-3f-23-9C-02
192.168.1.3 00-02-3f-23-3f-03
192.168.1.4 00-02-3f-23-40-04
192.168.1.5 00-02-3f-3a-80-05
192.168.1.8 00-02-3f-10-7d-08
192.168.1.254 00-02-3f-01-02-54
192.168.2.254 00-0b-cd-02-02-54
195.26.36.2 00-0b-cd-00-36-02
200.12.200.12 00-06-1b-02-00-12
Annexe 3 : Pr incipe de fonctionnement des r seaux locaux vir tuels (VLAN)
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse
que sur les ports du commutateur associs ce VLAN. Il existe diffrentes faons dassocier des
trames et des ports un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN,
une trame en entre sur ce port sera associe au VLAN du port.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
donc chaque port du commutateur se voit affect dynamiquement un VLAN en fonction de
ladresse MAC mettrice contenue dans une trame en entre sur ce port.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affect dynamiquement
un VLAN en fonction de ladresse IP contenue dans le paquet transport dans la trame en
entre.
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur pouvant grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q ; ils
changent ces trames via des ports dinterconnexion.
On considre quun port de commutateur ne sera associ qu un seul VLAN ( lexception des
ports dinterconnexion).
124
.... .... . . .... .... . . .... .... . . .... .... . .
Question 1. Aprs la mise en place des VLAN, dire quel sera le message mis lissue de
lexcution des commandes suivantes mises par le poste de l'administrateur :
- ping 192.168.1.2
- ping 192.168.1.5
- ping 195.26.36.2
Justifier les rponses.
Chaque ping sera prcd d'une requte ARP qui rsoudra l'adresse IP en adresse MAC. Une
requte ARP est transmise par une trame de diffusion. Chaque VLAN constitue un domaine de
diffusion.
La commande "ping 192.168.1.2" aura des rponses "reply" car la requte de diffusion ARP
parvient au poste 192.168.1.5 et l'change ICMP echo/reply peut donc se faire. 192.168.1.2 fait
partie du mme VLAN que le poste de l'administrateur.
La rponse la commande "ping 192.168.1.5" sera "dlai d'attente dpass" car la requte de
diffusion ARP ne parvient pas au poste 192.168.1.5 qui ne fait pas partie du mme VLAN que le
poste de l'administrateur.
La rponse la commande "ping 195.26.36.2" aura des rponses "reply" car la requte de diffusion
ARP parvient au routeur 192.168.1.254 qui fait partie du mme VLAN que le poste de
l'administrateur
Question 2. Dire quel sera le contenu du cache ARP du poste de ladministrateur lissue de ces
trois commandes. Utiliser lannexe 2 pour rpondre cette question.
On trouvera dans le cache ARP les associations suivantes :
00-02-3f-23-9c-02 192.168.1.2
00-02-3f-01-02-54 192.168.1.254 // correspondant au ping 195.26.36.2 qui provoque le
renvoi de ladresse MAC du routeur
00-02-3f-3a-80-05 192.168.1.5 // cette association ne doit pas se trouver dans le cache
ARP
Question 3. Expliquer la cause de cet chec et proposer un nouveau masque.
Le masque ne permet pas de grer les 84 adresses que prtend offrir la plage dadressage (6 bits
dans la partie host 64 2 = 62 adresses hosts). Il faut changer le masque. Les deux masques
permettant de grer au moins 84 adresses sont 255.255.255.0 et 255.255.255.128. Comme le routeur
a pour adresse 192.168.1.254, et que ladresse du rseau est 192.168.1.0 seul le masque
255.255.255.0 est acceptable.
Question 4. Dfinir les paramtres DHCP permettant aux stations de se connecter Internet et de
rsoudre les noms d'hte internet.
Il faut renvoyer l'adresse 192.168.1.254 pour le routeur et 200.12.200.12 comme adresse de serveur
DNS.
Question 5. Expliquer la cause de cet chec et proposer une solution.
La plage dadresses disponibles pour DHCP propose 84 adresses ; 74 postes de travail utilisent en
permanence une adresse dynamique. La premire semaine, 5 commerciaux pourront donc se
connecter au rseau du sige sans soucis, la deuxime semaine trois autres. En revanche, la
troisime semaine, seuls 2 des 6 commerciaux russiront se connecter. En effet, comme le bail est
de trente jours, les adresses n'ont pas t libres.
Il faut diminuer la dure du bail pour que les adresses soient libres (attention car le
renouvellement se fait avant l'expiration).
125
Question 6. Justifier la ncessit du service NAT.
Pour assurer la scurit de son rseau, loprateur lui a conseill dopter pour des adresses de rseau
priv. Ces adresses ne sont pas routables sur Internet. Il faut donc substituer, dans tous les paquets
IP, ces adresses par des adresses routables. C'est ce que fait le service NAT sur le routeur. Ce
service prend une adresse IP dans une plage d'adresses sur son rseau (195.26.36.0), ces adresses
sont obligatoirement des adresses publiques.
Question 7.a. Dire en quoi les rgles 1 et 2 expriment un fonctionnement diffrent en termes de
scurit et prciser quelle est la plus sre.
Question 7.b. Dire en quoi les rgles 3 et 4 expriment un fonctionnement diffrent en termes de
scurit et prciser quelle est la plus sre.
En autorisant l'adressage des ports suprieurs 1024, la premire rgle autorise des flux autres
quen provenance de HTTP. La deuxime rgle autorise des changes avec le proxy sur le port 80
uniquement. La deuxime rgle est donc plus sre que la premire.
La quatrime rgle autorise des changes HTTP qui ne passent pas par le proxy. La troisime rgle
est donc plus sre.
Question 8. En respectant le formalisme propos ci-dessus, rdiger la ou les rgles qui permettent
tous les salaris de l'entreprise (dpt de Benesse-Maremne compris) d'envoyer des messages
lectroniques (on ne tiendra pas compte des flux DNS et des flux POP ou IMAP).
N
rgle
Interface
darrive
Action Source Port source Destination Port destination
1 195.26.36.2 accepte * * 192.168.1.0 >1024
2 195.26.36.2 accepte 200.12.200.12 80 192.168.2.1
3 192.168.1.254 accepte * 200.12.200.12 80
4 192.168.2.254 accepte * 80
5 195.26.36.2 accepte 200.12.200.12 25 192.168.0.0/16 >1024
6 192.168.1.254 accepte 192.168.1.0/24 * 200.12.200.12 25
7 192.168.2.254 accepte 192.168.2.0/24 * 200.12.200.12 25
La notation employe sur les rgles 5 est optimise avec un supernetting, ce nest pas bien sr la
notation exige. Cette ligne peut tre dcompose en deux lignes prenant en compte les rseaux
192.168.1.0 et 192.168.2.0.
126
CDGJC J ==

Le groupe polymousse est spcialis dans la fabrication et la transformation de mousse de
polyurthanne.
Employant quelque 3 000 collaborateurs, le groupe polymousse est principalement prsent sur le
march franais mais il a rcemment rachet dans diffrents pays plusieurs socits qui sont
devenues des succursales.
La rpartition de leffectif des collaborateurs du groupe est dsormais la suivante :
- France : 1 500
- Espagne : 800
- Allemagne : 400
- Belgique : 300
Cette volution majeure ncessite de raliser lintgration des diffrents systmes dinformation
prsents au sein du groupe. Le systme dinformation (SI) ainsi obtenu doit garantir la disponibilit
des applications informatiques dans lensemble du groupe.
Aprs lacquisition des diffrentes succursales, le groupe polymousse est organis en quatre
divisions : France, Espagne, Allemagne et Belgique.
Chaque division regroupe plusieurs succursales :
- lEspagne compte trois succursales,
- lAllemagne huit succursales,
- la Belgique quatre succursales,
- la France comporte une succursale qui hberge les applications du groupe.
Dans un premier temps, les administrateurs du groupe dsirent harmoniser le plan dadressage pour
lensemble des divisions. Lorganisation du rseau et le plan dadressage retenu pour le groupe
polymousse sont dcrits en annexe 1.
Pour optimiser les tables de routage, on utilise un plan dadressage dans lequel chaque division se
voit attribuer un sous-rseau dans le rseau dadresse 10.0.0.0, quelle subdivise son tour en sous-
rseaux pour ses succursales.
La division Espagne doit regrouper terme jusqu 11 succursales rparties sur lensemble du
territoire de ce pays.
1. Expliquer quelle classe cor r espond ladr esse 10.0.0.0 et donner le masque de sous-r seau
par dfaut cor r espondant cette classe.
2. Calculer le nombr e maximum de divisions que le plan dadr essage per met de dfinir .
3. Donner le masque de sous-r seau qui per met dadr esser les 11 sous-r seaux des succur sales
de la division Espagne. Justifier la r ponse.
4. Indiquer les adr esses IP des sous-r seaux accessibles, en utilisant la pr emir e ligne de la
table de r outage du r outeur nomm R.Belgique, pr sente sur lannexe 1. Expliquer la
r ponse.
5. Donner les lignes de la table de r outage du r outeur nomm R.Centr al qui donne accs
lensemble des divisions du gr oupe dans tous les pays.
Aprs la mise en uvre du plan dadressage global au sein du groupe, il savre ncessaire de
mettre en place un service priv de rsolution de nom DNS. Larchitecture DNS prsente en
annexe 2, doit permettre de nommer les diffrents serveurs du groupe qui sont rpartis sur
lensemble des Divisions.
Le domaine appel polynet constitue la racine du domaine priv du groupe. Chaque division
gre son propre sous domaine et porte lextension du pays. Ainsi la Belgique disposera du sous
domaine be.polynet
127
6. Expliquer le pr incipe et lintr t de la dlgation de zone dans le systme de r solution de
nom DNS.
7. Donner ladr esse IP et le nom du ser veur DNS sur lequel doit tr e dfini le nom dhte
sap.be.polynet. Expliquer ce choix.
8. Pr oposer une solution per mettant damlior er la tolr ance aux pannes du ser vice DNS
dune division.
Ladministrateur du rseau de la division France dsire limiter les flux de diffusion aux services. Le
commutateur install permet de mettre en place une configuration base sur les VLAN, dont le
principe et les niveaux sont prsents en annexe 3. Dans un premier temps, ladministrateur ne
prend pas en compte les problmes lis ladressage IP. Il se demande si cette opration peut tre
ralise immdiatement en conservant les concentrateurs existants.
9. Donner le nombr e de domaines de collision et le nombr e de domaines de diffusion pr sents
dans le r seau de la division Fr ance avant la mise en place des VLAN. Justifier la r ponse.
10. Expliquer sil est possible disoler les flux des ser vices en conser vant les concentr ateur s
existants.
Dans ltude mene pour linterconnexion des rseaux des diffrentes divisions, il a t dcid que
chaque division grerait son propre accs Internet.
Dans un premier temps on sintresse la gestion de laccs Internet du sige. Les administrateurs
ont mis en place larchitecture reprsente en annexe 4. Celle-ci est constitue dun routeur filtrant
(nomm RF) et dun serveur mandataire (nomm proxy) pour le service HTTP. Ce serveur
mandataire analyse les URL demandes pour ne retenir que celles qui ne comportent pas certains
mots et qui nappartiennent pas une liste rgulirement mise jour. Le routeur filtrant ne gre pas
automatiquement les flux de retour.
Lensemble du personnel lexception du poste de ladministrateur doit accder lInternet en
utilisant le serveur mandataire.
Rgles de filtrage dfinies actuellement sur le routeur filtrant RF (interface S0)
rgle direction IP source
Port
source
IP
destination
Port
destination
Action
1 Sortie 10.1.0.50 /
32
Tous Tous Tous Router
2 Entre Tous Tous 10.1.0.50 /3
2
Tous Router
3 Sortie Tous Tous Tous Tous Bloquer
4 Entre Tous Tous Tous Tous Bloquer
11. Compar er la natur e des actions de filtr age que peuvent r aliser le r outeur filtr ant RF
dune par t et le ser veur mandatair e dautr e par t, en pr enant appui sur le modle OSI.
12. Expliquer le r le et lor donnancement des r gles de filtr age dfinies sur le r outeur RF.
13. Insr er cor r ectement des nouvelles r gles dans la table de filtr age de RF de faon
per mettr e au ser veur mandatair e de communiquer sur le web, sans tenir compte des flux
DNS.
14. Indiquer la configur ation r equise sur les postes clients du sige pour leur per mettr e
daccder Inter net avec le pr otocole HTTP.
128
Linfrastructure rseau du groupe polymousse permettant de relier lensemble des divisions au sige
est actuellement construite sur des liaisons internationales loues haut dbit. Toutes les garanties
de scurit exiges par le groupe sont prises en charge par cette infrastructure, mais lextension du
groupe devrait augmenter considrablement les cots de location des liaisons.
La solution envisage prvoit lexploitation du rseau public Internet avec une mise en uvre de
Rseaux Privs Virtuels (RPV, ou Virtual Private Network, ou VPN).
Dans un premier temps, une solution RPV va tre teste entre les divisions France et Belgique qui
disposent de routeurs implmentant les fonctions de RPV.
15. Dcr ir e les diffr entes gar anties quoffr ent les mcanismes de signatur e et de chiffr ement.
16. Indiquer les cls ncessair es dans chacune des divisions en pr cisant leur r le.

129
Annexe 1 : ar chitectur e du r seau du gr oupe POLYMOUSSE
Routeur
Routeur R.Allemagne
Routeur R.Belgique
WAN Belgique
Routeur R1
Routeur R10 Routeur R11 Routeur R12
Division ALLEMAGNE 10.30.0.0 /16
Division ESPAGNE 10.20.0.0 /16
Division BELGIQUE 10.10.0.0 /16
Succursale S2
Succursale S3 Succursale S4
Succursale S1
Rseau
10.10.17.0/24
Rseau
10.10.20.0/24
Rseau
10.10.18.0/24
Classe d'adresse 10.0.0.0 pour le groupe Polymousse
Rseau 10.10.32.0 /20
195.0.0.1
195.0.0.13
195.0.0.12
195.0.0.11 10.10.32.254
10.10.32.253
Rseau WAN Europe
Le rseau du groupe forme une structure arborescente dans
laquelle chaque division est connecte au site central par un
routeur division ddi.
Au sein de chaque division les succursales sont connectes
un site central qui est lui mme une succursale.
Division FRANCE 10.1.0.0 /16
Sige
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tudes
Service Ventes
Service Comptabilit
Rseau10.1.0.0/16
Routeur R.Espagne
Internet
Compose de 8
succursales
Compose de 11
succursales
10.10.32.252
concentrateur
concentrateur
10.1.0.254
Extrait de la table de routage du routeur R. Belgique

ligne Adresse rseau Passerelle Interface
1
10.10.16.0/20 10.10.32.253 10.10.32.254
2 10.10.32.0/20 10.10.32.254 10.10.32.254

n dfaut 10.10.32.252 10.10.32.254
130
Annexe 2 : or ganisation DNS du gr oupe
Liste des ser veur s DNS :
Annexe 3 : pr sentation des r seaux locaux vir tuels
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse
que sur les ports du commutateur associs ce Vlan. Il existe diffrentes faons dassocier des ports
un VLAN, les principales sont les suivantes :
- VLAN de niveau 1 ou VLAN par port : chaque port du commutateur est affect un VLAN,
donc chaque carte rseau est affecte un VLAN en fonction de son port de connexion.
- VLAN de niveau 2 ou VLAN dadresses MAC : chaque adresse MAC est affecte un VLAN,
donc chaque port du commutateur se voit affecter dynamiquement un VLAN en fonction de
ladresse MAC de la carte rseau qui y est connecte.
- VLAN de niveau 3 ou VLAN dadresses IP : chaque carte rseau est affecte un VLAN en
fonction de son adresse IP, donc chaque port du commutateur se voit affecter dynamiquement
un VLAN en fonction de ladresse IP de la carte rseau qui y est connecte
Chaque VLAN peut tre gr par un ou plusieurs commutateurs, un commutateur peut grer
plusieurs VLAN.
Les commutateurs identifient le VLAN auquel appartient une trame grce au protocole 802.1q, ils
changent ces trames via des ports dinterconnexion.
En pratique, un port de commutateur ne sera associ qu un seul VLAN ( lexception des ports
dinterconnexion).
pays Zone fonction Nom du serveur adresse IP
Belgique
be.polynet Primaire dns.be. polynet 10.10.32.2
Allemagne
de. polynet Primaire dns.de. polynet 10. 30.32.2
Espagne
es. polynet Primaire dns.es. polynet 10. 20.32.2
France
fr. polynet Primaire dns.fr. polynet 10.1.0.2
France
polynet Primaire Racine.polynet 10.1.0.1
Polynet
fr be
de es
Dlgation
Domaine polynet
131
Annexe 4 : ar chitectur e du r seau pour laccs lInter net















Internet
Routeur R.Central
Modem
d'accs internet
Routeur Filtrant RF
10.1.0.253
postes clients
S0
Serveur mandataire
HTTP
10.1.0.100
Serveurs Privs
Administrateur
10.1.0.50
132
.... .... . .. .... .... . .. .... .... . .. .... .... . ..
Question 1. Expliquer quelle classe correspond ladresse 10.0.0.0 et donner le masque de sous-
rseau par dfaut correspondant cette classe.
- Ladresse 10.0.0.0 est comprise entre 1.0.0.0 et 127.0.0.0, elle correspond donc une classe A.
- Le masque de sous-rseau associ une classe A est 255.0.0.0.
Question 2. Calculer le nombre maximum de divisions que le plan dadressage permet de dfinir.
- Le plan dadressage prvoit 16 bits pour le masque de sous rseau des divisions, soit 8 bits (16
8) pour la partie sous rseau. Ce qui permet dadresser 256 (2
8
) sous-rseaux.
Question 3. Donner le masque de sous rseau qui permet dadresser les 11 sous rseaux des
succursales de la division Espagne.
- Pour adresser un minimum de 11 sous-rseaux, il faut au minimum prlever 4 bits sur la partie
hte. On dispose alors de 16 (2
4
) sous-rseaux.
- Pour les divisions, le masque est dj sur 16 bits, pour les succursales de lEspagne, le masque
sera donc sur 20 bits (16 + 4). Soit 255.255.240.0
Question 4. Indiquer les adresses IP des sous-rseaux accessibles, en utilisant la premire ligne de
la table de routage du routeur nomm R.Belgique, prsente sur lannexe 1. Expliquer la rponse.
- La premire ligne de la table de routage fait rfrence un masque de 20 bits donc toutes les
adresses disposant des mmes 20 premiers bits seront routes :
Soit les succursales
S2 : 00001010.00001010.00010001.0 soit 10.10.17.0
S3 : 00001010.00001010.00010010.0 soit 10.10.18.0
S4 : 00001010.00001010.00010100.0 soit 10.10.20.0
Question 5. Donner les lignes de la table de routage du routeur nomm R.Central qui donne accs
lensemble des divisions du groupe dans tous les pays.
Table de routage du routeur R.Centr al
Adr esse r seau Passer elle Inter face
10.1.0.0 /16 10.1.0.254 10.1.0.254
10.30.0.0 /16 195.0.0.13 195.0.0.1
10.20.0.0 /16 195.0.0.12 195.0.0.1
10.10.0.0 /16 195.0.0.11 195.0.0.1
Question 6. Expliquer le principe et lintrt de la dlgation de zone dans le systme de rsolution
de nom DNS.
- Permet de diviser lespace de noms et de dlguer la gestion dune partie de lespace de nom DNS
chaque Division. Lextension de lespace de noms sera ainsi simplifie et sous la responsabilit de
chaque Division. La modification dun nom dhte sera ralise par la division qui gre la zone
concerne.
Question 7. Donner ladresse IP du serveur DNS sur lequel doit tre dfini le nom dhte,
SAP.be.polynet. Expliquez ce choix.
- Le nom dhte sap.be.polynet est situ dans le sous-domaine be.polynet. Le serveur primaire qui
gre cette zone est situ en Belgique. Il a pour adresse IP 10.10.32.2 et pour nom dns.be.polynet.
133
Question 8. Proposer une solution permettant damliorer la tolrance aux pannes du service DNS
dune division.
- Un serveur DNS supplmentaire peut tre rajout au niveau de chaque succursale permettant ainsi
doffrir une redondance de zone. Les informations de zone seront rpliques sur chacun deux.
- Une autre solution consiste utiliser le serveur racine (parent) de la zone Polynet pour rpliquer
lensemble des zones.
Question 9. Donner le nombre de domaines de collision et le nombre de domaines de diffusion
prsents dans le rseau de la division France avant la mise en place des VLAN. Justifier la rponse.
Un domaine de diffusion (broadcast domain) est une aire logique dun rseau informatique o
nimporte quel ordinateur connect au rseau peut directement transmettre tous les autres.
Un domaine de collision est une zone logique dun rseau informatique o les trames de donnes
peuvent entrer en collision entre elles. Dans le cas du rseau Ethernet, le domaine de collision
comprend lensemble des segments connects par des concentrateurs ou rpteurs.
Il y a 3 (ou 4) domaines de collision et 1 domaine de diffusion, le segment entre le routeur et le
commutateur peut-tre considr comme un domaine de collision.
- Soit le schma suivant.
Division FRANCE
Succursale Centrale
Commutateur
Routeur R.Central
concentrateur
Etage 2
Etage 1
Service tude
Service Vente
Service Comptabilit
Domaine de diffusion
Domaine de collision
Question 10. Expliquer sil est possible disoler les flux des services en conservant les
concentrateurs existants.
Pour isoler les trois services, il est donc ncessaire de crer trois VLAN.
Tous les postes dun service doivent appartenir au mme VLAN pour communiquer ensemble. Ces
postent sont relis par des concentrateurs connects sur un port du commutateur. Ces ports doivent
donc tre affects un VLAN.
Il est donc possible de conserver les concentrateurs existants. La solution est de configurer des
VLAN de niveau 1 sur le commutateur existant en affectant le numro de Vlan du service au port
connect au concentrateur du service. Mais le fait de conserver les concentrateurs impose que tous
les postes appartiennent au mme VLAN.
134
Remar que : le port connect vers le routeur Central peut tre affect au mme VLAN que celui
correspondant au service comportant les serveurs accessibles depuis les autres Divisions.
Les VLAN de niveau 2 : ncessitent dans cette configuration de saisir toutes les adresses MAC des
postes pour les affecter un VLAN, mais dans cette configuration (avec concentrateur), cest
inutile. Un port appartient un seul Vlan (non 802.1q), donc toutes les adresses appartiennent au
VLAN correspondant au port connect au concentrateur.
Les VLAN de niveau 3 : laffectation des vlan dpend de ladresse Ip dun rseau. Mme remarque
que pour le niveau 2 avec les concentrateurs.
La question demande de ne pas prendre en compte les problmes lis ladressage Ip. En effet, si la
communication inter-VLAN est autorise, il faut passer par la mise en place dun routeur (avec une
interface sur chaque VLAN) et donc des adresses rseaux diffrentes pour chaque VLAN.
Question 11. Comparer la nature des actions de filtrage que peuvent raliser le routeur filtrant RF
dune part et le serveur mandataire dautre part, en prenant appui sur le modle OSI.
Le routeur filtrant agit aux niveaux 3 et 4 du modle OSI. Les filtres sont bass sur lanalyse des
adresses IP source et destination et les ports de protocole. Il nest capable ni de comprendre le
contexte du service quil rend, ni didentifier le demandeur du service.
Le serveur mandataire agit au niveau application du modle OSI. Le filtrage se situe donc au niveau
applicatif. Les rgles de filtrage peuvent tre plus labores (discriminantes) et faire rfrence
lidentit de lutilisateur ou la nature du service fourni.
Question 12. Expliquer le rle et lordonnancement des rgles de filtrage dfinies sur RF.
Les rgles 1 et 2 permettent au poste de ladministrateur dadresse IP 10.1.0.50 daccder tous les
services disponibles sur Internet.
La rgle 3 bloque en sortie tout autre trafic de faon ce quil faille passer par le serveur
mandataire (proxy) pour accder Internet.
La rgle 4 bloque en entre tout autre trafic provenant dInternet.
Les rgles 1 et 2 sont places avant les rgles 3 et 4 qui bloquent tout le trafic
Question 13. Insrer correctement des nouvelles rgles dans la table de filtrage de RF de faon
permettre au serveur mandataire de communiquer sur le web, sans tenir compte des flux DNS.
Rgl
e
direction IP source Port source IP destination
Port
destination
Action
1 Sortie 10.1.0.50 /32 Tous Tous Tous Router
2 Entre Tous Tous 10.1.0.50 /32 Tous Router
3 Sor tie 10.1.0.100 /3
2
Tous Tous 80 / HTTP Router
4 Entr e Tous 80 / HTTP 10.1.0.100 /32 Tous Router
5 Sortie Tous Tous Tous Tous Bloquer
6 Entre Tous Tous Tous Tous Bloquer
Question 14. Indiquer la configuration requise sur les postes clients du sige pour leur permettre
daccder Internet avec les protocoles HTTP.
Il convient dindiquer au niveau des applications, voire au niveau du systme dexploitation, que les
accs se font via un serveur mandataire (pr oxy) dont on indiquera ladresse IP ou le nom.
135
Question 15. Dcrire les diffrentes garanties quoffrent les mcanismes de signature et de
chiffrement.
Les mcanismes de signature et de chiffrement permettent dassurer les fonctions de confidentialit,
dauthentification, de non-rpudiation et dintgrit.
Le chiffrement assure la confidentialit : linformation change entre deux entits du
rseau, ne doit pas tre intelligible pour une tierce personne qui serait lcoute ou
rcuprerait le message.
Laction de signer assure authentification et imputabilit (non-rpudiation).
o Lauthentification (ou identification) permet de prouver que la provenance de
linformation est bien celle quelle dit tre.
o La non-rpudiation (ou non-dsaveu) concerne la validit juridique des
signatures. metteur et rcepteur ne pourront nier lmission et la rception de
lobjet.
Le chiffrement assure lintgrit : le destinataire est assur que linformation qui lui
parvient est bien linformation qui a t transmise.
Question 16. Indiquer les cls ncessaires dans chacune des divisions en prcisant leur rle.
Lors dun change entre la succursale S1 et le sige, S1 utilisera la cl publique du destinataire (le
sige) pour chiffrer le message. Puis le sige utilisera rception sa cl prive pour dchiffrer. En
outre S1 peut utiliser sa propre cl prive pour signer son envoi et garantir ainsi lauthentification
du message. Toute transmission linitiative du sige gnrera un processus inverse quant la mise
en uvre des cls.(chiffrage avec la cl publique de S1 qui dchiffrera avec sa propre cl prive, le
sige utilisant ventuellement sa cl prive pour signer son envoi).
136
CDGJC J ==

Le Conseil Gnral rassemble 43 lus. Il emploie environ 1 500 personnes dont 19 au service
informatique, bas la cit administrative.
Linfrastructure rseau se compose principalement dune vingtaine de serveurs et environ dun
millier de postes de travail rpartis sur plusieurs sites.
Le rseau dispose
-dune zone dmilitarise (DMZ) publique comportant :
un serveur DNS matre pour la zone cg96.fr, le serveur secondaire (esclave) tant hberg par le
fournisseur daccs ;
un serveur relais de messagerie/anti-virus de messagerie ;
un serveur web public (www.cg96.fr).
-d'un rseau priv o sont situs :
des serveurs dinfrastructure (DNS, DHCP, WWW, messagerie SMTP et POP3, annuaires
dauthentification, serveurs de fichiers et dimpression, SGBD) ;
des serveurs applicatifs ;
les postes de travail.
Lorganisation logique TCP/IP est base sur le domaine Internet cg96.fr . Ladressage est effectu
par des serveurs DHCP.
Ladministratrice du rseau, Mme Simonet, veut mettre en place une infrastructure Wifi dans la
salle du Conseil pour que les lus et les visiteurs, essentiellement des journalistes, puissent accder
Internet depuis leur ordinateur portable lors des sessions du Conseil gnral.
Pour cela, elle dispose dun point daccs Wifi qui propose deux SSID (identifiant de rseau
physique) associs chacun un VLAN par le commutateur Wifi, ce qui permet la sparation
complte des rseaux.
Le premier SSID nest pas diffus sur le rseau. Il est paramtr sur les portables des lus du CG96.
Ce SSID a t configur par le service informatique pour n'autoriser que certaines adresses MAC.
Le second SSID est diffus sur le rseau. Il ne dispose daucune scurit particulire et permet une
connexion implicite pour un poste de travail configur de manire standard. Les postes de travail
utilisant ce SSID accderont Internet au moyen dun accs ADSL classique. Les adresses MAC
des portables des lus sont interdites sur ce SSID.
Ladressage sera effectu par deux serveurs DHCP (un pour chaque VLAN).
Le point daccs est reli un commutateur qui gre des VLAN. Selon la configuration dun poste
de travail portable, celui-ci se connectera sur le VLAN 1 (lus) ou sur le VLAN 2 (Visiteurs).
1. Dir e pour quoi les por tables des visiteur s qui se connectent sur le second SSID obtiendr ont
obligatoir ement une adr esse IP donne par le ser veur DHCP 192.168.1.33 et non par le
ser veur DHCP 172.16.108.2. Justifier la r ponse en vous appuyant sur le pr otocole DHCP et
les VLAN.
Pour le rseau VLAN2 (Visiteurs), Mme Simonet souhaite mettre en oeuvre un plan dadressage IP
limitant 13 le nombre dadresses htes utilisables dans le rseau. Le serveur DHCP d'adresse
192.168.1.33 fera aussi office de routeur NAT.
2. Donner en la justifiant la valeur du masque de sous-r seau en notation classique et en
notation CIDR.
3. Donner la plage dadr esses utilisables par le ser veur DHCP ainsi que les diffr ents
par amtr es TCP/IP ncessair es au fonctionnement des postes de tr avail du r seau VLAN2
(Visiteur s).
137
Aprs avoir paramtr le serveur DHCP du VLAN 1 (lus), Mme Simonet teste la connexion avec
la cit administrative au moyen de commandes ping depuis un portable d'lu disposant de ladresse
172.16.108.10 et dont la passerelle par dfaut est 172.16.108.1. Les liaisons sont oprationnelles et
les postes et routeurs sont actifs. Elle excute les deux commandes suivantes.
ping 172.16.4.10
Rponse de 172.16.108.1 : impossible de joindr e l' hte de destination
le message sous Linux ser ait : Networ k Unr eachable)
ping 192.168.8.1
Dlai d' attente de la demande dpass (le message sous Linux ser ait : Destination Host
Unr eachable)
En analysant les tables de r outage de l' annexe 2 :
4. Justifier les r ponses obtenues aux deux commandes.
5. Pr ciser quelles modifications sur les tables de r outage Mme Simonet doit fair e pour que la
communication entr e la salle du Conseil et la cit administr ative fonctionne.
Mme Simonet doit installer un nouveau serveur dapplication architecture 3-tiers (serveur web,
couche applicative et base de donnes relationnelle). Elle a command un serveur performant
nomm
SRV-IM. Mais le fournisseur vient de la prvenir que la livraison sera retarde de trois semaines.
Or, elle doit imprativement mettre ce serveur en production ds la semaine prochaine. En
attendant, elle va donc installer le serveur sur une machine un peu ancienne nomm SRV-FIC.
L'application sera accessible sur SRV-FIC au moyen de lURL suivante :
http://intr a-mar che.cg96.fr
Elle prparera ensuite SRV-IM, installera les outils et les applicatifs, rinstallera le contenu de la
base de donnes, puis testera la nouvelle configuration. Les deux machines, SRV-FIC et SRV-IM
devront donc fonctionner simultanment sur le rseau. Lorsque les tests seront concluants, elle
lancera le basculement sans que cela modifie l'URL en mettant jour le fichier de la zone cg96.fr .
6. Dir e quelle modification doit tr e effectue sur le fichier de zone cg96.fr du ser veur
Richelieu pour fair e le basculement.
Mme Simonet dcide d'installer un serveur DNS secondaire (Milady) pour le domaine cg96.fr .
7. Dir e quel intr t pr sente la mise en place dun ser veur DNS secondair e (esclave).
A lissue des tests, le serveur secondaire est oprationnel pour la rsolution de noms sur la zone
cg96.fr . Les postes de travail de la cit administrative sont configurs pour utiliser le serveur DNS
Milady en premier et le serveur DNS Richelieu en deuxime. Aprs linstallation dun nouveau
serveur applicatif (g-equip), Mme Simonet ajoute manuellement un enregistrement Adresse (ou
Hte) dans le fichier de zone cg96.fr du serveur matre (Richelieu), mais oublie d'incrmenter le
numro de version.
Pour tester le nouvel hte, elle lance partir d'un poste de travail de la cit administrative la
commande suivante : ping g-equip.cg96.fr
8. Donner et justifier la r ponse cette commande en vous appuyant sur les fichier s de zone
de l' annexe 3.
138
Le pare-feu externe est paramtr pour filtrer les flux en provenance d'Internet :
Extrait de la table de filtrage du pare-feu externe cot Internet
Remarques : les rgles sont appliques dans l'ordre. "> 1024" signifie tous les ports suprieurs
1024. Une toile (*) signifie "tout". "SO" signifie sans objet, c'est dire que le paramtre n'a pas
d'intrt dans ce cas. L'tat TCP tabli correspond une connexion TCP en cours.
Le serveur DNS Athos ayant t victime d'attaques sur le port SSH, Mme Simonet a trois objectifs :
viter momentanment toute connexion SSH ;
continuer autoriser l'accs au DNS, au relais de messagerie et au serveur WWW de la DMZ ;
continuer permettre la navigation sur Internet des postes du rseau interne.
Pour cela elle envisage la solution suivante :
Supprimer les rgles 9, 10, 11, 12, 13 et 14, puis n'autoriser dans un premier temps en entre du
pare-feu externe ( partir d'Internet) que les requtes TCP tablies (c'est dire postrieures une
requte de connexion TCP pralable). Pour cela elle modifie la table de filtrage ainsi :
Extrait de la nouvelle table de filtrage du pare-feu externe cot Internet :
9. Dir e si cette table de filtr age r pond aux tr ois objectifs. Justifier la r ponse pour chaque
objectif.
Non satisfaite par cette solution, Mme Simonet revient la table de filtrage initiale.
10. Pr oposer une deuxime solution r espectant les tr ois objectifs. Justifier la r ponse.
La politique de scurit interne implique l'utilisation d'un serveur mandataire (proxy) pour accder
Internet. Les postes de travail de la cit administrative auront comme passerelle par dfaut le
routeur R-CA8 d'adresse 172.16.4.2. La solution de paramtrer les navigateurs sur les postes n'a pas
t retenue car elle n'offre pas une garantie suffisante. Mme Simonet a paramtr PROXY1 en
proxy transparent. Un proxy transparent est un proxy dont l'existence n'est pas connue par les
navigateurs.
PROXY1 coute les requtes HTTP sur le port 8080, les navigateurs envoient leurs requtes sur le
port 80.
11. Dir e quel mcanisme doit mettr e en oeuvr e l' administr atr ice pour que les r equtes HTTP
des postes de tr avail soient envoyes PROXY1.
139
Annexe 1 : schma simplifi du r seau
140
Annexe 2 : Adr esses des ser veur s DNS des r seaux sans fil et tables de
Routage
Rseau VLAN1 (lus)
Ser veur DNS inter ne : 172.16.4.10
Rseau VLAN2 (Visiteur s)
Ser veur DNS du four nisseur daccs Inter net : 201.110.47.38
Table de r outage du r outeur R-SC1
Table de r outage du r outeur R-CA8
141
Annexe 3 : Fichier s de zones DNS des ser veur s Richelieu et Milady
Serveur Richelieu : extrait du contenu du fichier de configuration de la zone cg96.fr (toutes les
portions de texte prcdes par un point virgule (;) sont des commentaires).
; dfinition de la zone cg96.fr
; le serveur d'autorit est richelieu.cg96.fr (serveur primaire)
; il est administr par une personne qu'on peut joindre l'adresse simonet@cg96.fr
; le serveur esclave est milady.cg96.fr (serveur secondaire)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (
136 ; numro de version : permet aux serveurs secondaires de savoir s'ils doivent mettre
; jour leur base, une incrmentation de ce numro provoque un transfert de zone entre
; primaire et secondaire(s)
36000 ; dlai de mise jour impos aux serveurs secondaires (en secondes)
3600 ; dlai avant une autre tentative de mise jour par un serveur secondaire (en secondes)
360000 ; dure au-del de laquelle les donnes de zones seront marques comme obsoltes par
; un serveur secondaire (en secondes)
86400); dure de validit en cache par dfaut des enregistrements de zones (en secondes)
; avec deux serveurs de noms dans cette zone
NS richelieu.cg96.fr.
NS milady.cg96.fr.
; dclaration des adresses faisant autorit (extrait)
richelieu.cg96.fr. IN A 172.16.4.10 ; dclaration des diffrents nom d'hte
milady.cg96.fr. IN A 172.16.12.10
srv-im.cg96.fr. IN A 172.16.4.100
srv-fic.cg96.fr. IN A 172.16.4.50
g-equip.cg96.fr. IN A 172.16.4.97 ; ligne rajoute dans la nouvelle version
r-sc1.cg96.fr. IN A 192.168.8.2
r-ca8.cg96.fr. IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr. ; declaration d'un alias
; fin de la zone dautorit
Serveur Milady : extrait du contenu du fichier de configuration de la zone cg96.fr du serveur
Milady (les commentaires ont t effacs)
cg96.fr. IN SOA richelieu.cg96.fr. simonet.cg96.fr. (136 36000 3600 360000 86400)
NS richelieu.cg96.fr.
NS milady.cg96.fr.
richelieu.cg96.fr. IN A 172.16.4.10
milady.cg96.fr IN A 172.16.12.10
srv-im.cg96.fr. IN A 172.16.4.100
srv-fic.cg96.fr. IN A 172.16.4.50
r-sc1.cg96.fr IN A 192.168.8.2
r-ca8.cg96.fr IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-fic.cg96.fr.
142
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Dire pourquoi les portables des visiteurs qui se connectent sur le second SSID
obtiendront obligatoirement une adresse IP donne par le serveur DHCP 192.168.1.33 et non par le
serveur DHCP 172.16.108.2. Justifier la rponse en vous appuyant sur le protocole DHCP et les
VLAN.
Les VLAN dfinissent logiquement des domaines de diffusion. Ces domaines sont hermtiques.
Le protocole DHCP est bas sur des diffusions (broadcast). La requte DHCPDISCOVER envoye
par un portable de journaliste sur le VLAN 2 ne parviendra jamais au serveur DHCP 172.16.108.2.
Question 2. Donnez en la justifiant la valeur du masque de sous-rseau en notation classique et en
notation CIDR.
13 adresses +1 (serveur)
Au total 14 + 2 (Adr. Diffusion + Rseau) = 16 adresses possibles
Il faut donc 4 bits pour adresser ces 16 adresses, car 24 = 16
Il reste donc 4 bits pour adresser les sous-rseaux
Ce qui donne 255.255.255.240.
Ou encore un masque 28 bits ce qui donne la notation CIDR suivante 192.168.1.32/28
Question 3. Donnez la plage dadresses utilisables par le serveur DHCP ainsi que les diffrents
paramtres TCP/IP ncessaires au fonctionnement des postes de travail du rseau VLAN2
(Visiteurs).
Plage dadresses utilisable pour les postes de travail : 192.168.1.34 192.168.1.46
Paramtres DHCP :
masque de sous-rseau : 255.255.255.240
passerelle par dfaut : 192.168.1.33
serveur DNS : 201.110.47.38
Ladresse 172.16.4.10 nest pas acceptable.
dure du bail : 4 h (dure dune session du Conseil)
Question 4. Justifier les rponses obtenues aux deux commandes.
a)Le poste de travail 172.16.108.10 peut joindre la passerelle par dfaut 172.16.108.1, mais ensuite
le routeur R-SC1 ne dispose pas de route vers le rseau 172.6.4.0. Le ping ne peut pas aboutir, donc
ce routeur envoie un message ICMP au poste indiquant qu'il ne connat pas de route vers ce rseau.
b)Il y a un problme pour le retour sur le routeur R-CA8. Le poste de travail 172.16.108.10 peut
joindre la passerelle par dfaut 172.16.108.1, le routeur R-SC1 connat la route vers 192.168.8.1
mais la route vers le rseau 172.16.108.0 est fausse.
Question 5. Prciser quelles modifications sur les tables de routage Mme Simonet doit faire pour
que la communication entre la salle du conseil et la cit administrative fonctionne.
Il suffit dajouter la route 172.16.4.0/255.255.255.252 passerelle 192.168.8.1 sur R-SC1 et de
modifier la route
vers 172.16.108.0/255.255.252 passerelle 192.168.8.2 sur le routeur R-CA8.
Table de r outage du r outeur R-CA8
143
Table de r outage du r outeur R-SC1
Question 6. Dire quelle modification doit tre effectue sur le fichier de zone cg96.fr du serveur
Richelieu pour faire le basculement.
; dclaration des adresses faisant autorit (extrait)
richelieu.cg96.fr. IN A 172.16.4.10
milady.cg96.fr IN A 172.16.12.10
srv-im.cg96.fr. IN A 172.16.4.100
srv-fic.cg96.fr. IN A 172.16.4.50
g-equip.cg96.fr. IN A 172.16.4.97
r-sc1.cg96.fr IN A 192.168.8.2
r-ca8.cg96.fr IN A 172.16.4.2
intra-marche.cg96.fr. IN CNAME srv-im.cg96.fr.
Il faut modifier l'enregistrement CNAME en le faisant maintenant pointer vers la nouvelle machine.
Question 7. Dire quel intrt prsente la mise en place dun serveur DNS secondaire (esclave).
Un serveur secondaire (esclave) permet :
La tolrance de pannes en permettant de rsoudre les noms (pendant un certain temps) mme si le
serveur matre est en panne
Lquilibrage de charge en rpartissant les requtes DNS.
Question 8. Donner et justifier la rponse cette commande en vous appuyant sur les fichiers de
zone de l'annexe 3.
La rsolution de noms ne se fait pas. Milady rpond qu'il n'a pas d'association pour ce nom donc les
clients ne vont pas interroger Richelieu.
Le fichier du secondaire n'a pas t mis jour cause de l'erreur sur le numro de version.
Les postes du site quipement sont configurs pour interroger d'abord le DNS Milady puis si celui-
ci ne rpond pas et uniquement si celui-ci ne rpond pas, Richelieu.
Question 9. Dire si cette table de filtrage rpond aux trois objectifs. Justifier la rponse pour
chaque objectif.
En bloquant les flux entrants ne correspondant pas des connexions TCP tablies en interne, on
obtient le rsultat suivant :
On ne peut plus se connecter de l'extrieur sur le service SSH car il nest pas explicitement
autoris la ligne 13 est supprime la ligne par dfaut bloque et la ligne 9 nautorise que les
connexions tablies de lintrieur ;
mais on ne peut plus se connecter sur le relais de messagerie et sur le serveur WWW qui ncessite
une connexion TCP et on ne peut plus se connecter non plus au serveur DNS y compris avec UDP
car la rgle par dfaut bloque l'accs ; les lignes 10 11 12 ont t supprimes ;
par contre les utilisateurs peuvent utiliser Internet avec leur navigateur parce quils tablissent la
connexion
Cette solution ne rpond donc pas aux trois objectifs.
144
Question 10. Proposer une deuxime solution en respectant les trois objectifs. Justifier la rponse.
Il suffit de supprimer (ou de mettre sa dcision ltat bloquer ) la ligne 13 car cette ligne
autorise la connexion SSH.
Cette table rpond aux trois objectifs
on ne peut plus se connecter de l'extrieur sur le service SSH car la rgle par dfaut s'applique ;
mais on peut se connecter aux autres services ;
et les utilisateurs peuvent utiliser Internet.
Question 11. Dire quel mcanisme doit mettre en oeuvre l'administratrice pour que les requtes
HTTP des postes de travail soient envoyes PROXY1.
Il faut mettre en place sur le routeur R-CA8 une redirection de port
145
CDGJC J ==

La mairie de la ville de L. est charge de la gestion de 47 restaurants scolaires.
Ces restaurants sont regroups en cinq secteurs, superviss par des responsables de secteur, chargs
de la gestion pratique des restaurants et de lorganisation des quipes. Les responsables de secteur
disposent chacun dun ordinateur utilis pour des travaux de bureautique. Ces responsables de
secteur sont situs dans un local distant de lhtel de ville, btiment principal de la mairie.
La gestion administrative de ces restaurants scolaires est assure par le Service des Affaires
Gnrales . Ce service, situ dans les locaux de la mairie, soccupe ainsi de la gestion du personnel
et de ltablissement du planning des quipes.
Monsieur Franck DUBOIS, attach administratif au Service des Affaires Gnrales , veut
interconnecter le rseau principal de la mairie au rseau des responsables de secteur afin
damliorer lorganisation et la gestion administrative du personnel.
Vous tes amen(e) installer et configurer deux routeurs R2 et R3 pour relier le rseau principal
de la mairie au rseau des responsables de secteur.
1. Expliquer la ligne 2 de la table de r outage du r outeur R3 (Annexe 2)
Il est dcid que les responsables de secteur connects au rseau principal de la mairie doivent aussi
avoir la possibilit de se connecter au serveur de messagerie de la mairie.
2. Indiquer ladr esse de passer elle qui doit tr e dfinie sur chaque or dinateur des
r esponsables de secteur .
Ces modifications faites, il savre que les ordinateurs des responsables de secteur nont toujours
pas accs au serveur de messagerie 192.168.200.130.
partir du serveur Windows NT4 dadresse 172.30.16.3, vous excutez la commande
ping 192.168.200.130. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1, vous excutez la
commande ping 172.30.16.3. La commande sexcute correctement.
partir de lordinateur du responsable du secteur 1 dadresse 172.30.32.1, vous excutez la
commande ping 192.168.200.130. Cette fois la rponse est Impossible de joindre lhte de
destination .
3. Indiquer , en justifiant votr e r ponse, le r outeur qui est la cause du dysfonctionnement.
Vous avez la possibilit dutiliser, pour modifier les tables de routage, la commande route.
On considrera que la syntaxe de la commande route se limite :
route {[ADD] | [PRINT] | [DELETE] | [CHANGE] } destination MASK masque passerelle
Exemple : route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.1
4. Pr ciser , en justifiant votr e r ponse, la commande que vous devez employer pour mettr e
jour la table de r outage du r outeur incr imin, de faon obtenir une r ponse cor r ecte la
commande ping pr cdente.
Le serveur de messagerie de la mairie est dsormais accessible par les responsables de secteur.
On vous demande dappliquer sur le routeur R3, la commande suivante :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Une commande route print montre quune ligne supplmentaire a t cre dans la table de routage
du routeur R3.
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
5. Indiquer la r aison pour laquelle on a dcid dinsr er une telle ligne dans la table de
r outage de R3.
146
On a mis en place sur le routeur R1 connect Internet des rgles de scurit.
Aprs tude de la documentation technique du routeur R1 et de la configuration existante, vous
devez mettre jour les fonctions de filtrage dfinies en Annexe 3pour autoriser aux responsables de
secteur l'accs aux serveurs web et de messagerie.
6. Indiquer , en justifiant votr e r ponse, si le ser veur web de la DMZ est accessible par tir
dInter net.
7. Ajouter une nouvelle r gle qui autor ise les r esponsables de secteur accder au ser veur
web de la DMZ en passant par le r seau pr incipal de la mair ie.
Le Service des Affaires Gnrales est rparti sur les 1
er
et 2
me
tages quil partage avec dautres
services. Le Service des Administrs , quant lui, occupe lui seul la totalit du rez-de-
chausse.
Le responsable informatique souhaite isoler chacun de ces deux services en mettant en uvre des
rseaux locaux virtuels (VLAN).
Le commutateur actuellement install dans les btiments de la mairie est un commutateur
administrable ne grant que les VLAN de niveau 1 .
Aprs observation du schma du rseau (Annexe 1), ladministrateur saperoit que, dans ltat
actuel de linstallation, il peut crer un VLAN de niveau 1 pour isoler le Service des
Administrs mais quil ne peut pas en crer pour le Service des Affaires Gnrales .
8. Expliquer pour quoi il est possible de cr er un VLAN de niveau 1 pour le Ser vice des
Administr s .
9. Expliquer pour quoi il nest pas possible de cr er un VLAN de niveau 1 pour le Ser vice
des Affair es Gnr ales .
Les responsables de secteur se plaignent de recevoir de nombreux pourriels (spams).
10. Dfinir la notion de pour r iel (spam) et pr ciser en quoi ils constituent une gne pour
lentr epr ise.
Le responsable informatique vous demande de filtrer la rception des messages, afin de bloquer
certaines sources (adresses lectroniques, noms de domaine, adresses IP). Dans cette optique, la
mairie adhre un service de liste noire anti-pourriels (blacklist anti-spam) hberg sur un serveur
DNSBL (DNS BlackList).
11. Expliquer , en vous aidant ventuellement dun schma, le pr incipe de fonctionnement de
linter r ogation par lentr epr ise dune liste de type Blacklist anti-spam lor s de la pr ocdur e
de r ception dun message.
147
Annexe 1 : schma du r seau


148
Annexe 2: Tables de r outage
Table de r outage du r outeur R1

Adresse destinataire Masque Passerelle Interface
1 195.167.221.0 255.255.255.0 195.167.221.12 195.167.221.12
2 192.168.200.128 255.255.255.128 192.168.200.131 192.168.200.131
3 172.30.16.0 255.255.240.0 172.30.30.253 172.30.30.253
4 172.30.32.0 255.255.255.0 172.30.16.254 172.30.30.253
5 0.0.0.0 0.0.0.0 195.167.221.12 195.167.221.12
Table de r outage du r outeur R2
Adresse destinataire masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.254 172.30.128.254
2 172.30.16.0 255.255.240.0 172.30.16.254 172.30.16.254
3 172.30.32.0 255.255.255.0 172.30.128.253 172.30.128.254
3 192.168.200.128 255.255.255.128 172.30.30.253 172.30.16.254
4 195.167.221.0 255.255.255.0 172.30.30.253 172.30.16.254
5 0.0.0.0 0.0.0.0 172.30.30.253 172.30.16.254
Table de r outage du r outeur R3
Adresse
destinataire
Masque Passerelle Interface
1 172.30.128.0 255.255.128.0 172.30.128.253 172.30.128.253
2 172.30.16.0 255.255.240.0 172.30.128.254 172.30.128.253
3
4
149
Annexe 3: Politique de scur it de la mair ie
Le routeur R1 est un routeur filtrant. Il agit au niveau des couches 3 et 4 du modle OSI et assure
des fonctions de translation dadresses et de ports (NAT/PAT). Cette translation est assure aprs
filtrage. titre dexemple, voici une des rgles NAT/PAT appliques sur linterface dentre
195.167.221.12 du routeur R1, ladresse IP de destination du paquet.
Avant Trans|at|on Apres Trans|at|on
Adresse Porl Adresse Porl
195.1Z.221.12 80 192.18.200.129 80
Chaque paquet arrivant sur une interface du routeur est analys et les rgles de filtrage sont traites
squentiellement.
Rgles de filtr age pour R1
N de
Reg|e
|nterface
d'arr|ve
Adresse
8ource
Port
8ource
Adresse
0est|nat|on
Port
0est|nat|on
Numro de
Protoco|e
Act|on
1 195.1Z.221.12 Ary Ary 195.1Z.221.12 80 accepl
2 1Z2.30.30.253 1Z2.30.1.0 /20 Ary 192.18.200.130 25 accepl
3 195.1Z.221.12 Ary Ary Ary 23 rejel
0laul (1) Ary Ary Ary Ary Ary Ary rejel
(1) Tout ce qui nest pas autoris est interdit.
Pr incipaux pr otocoles et por ts associs
Protoco|e Port rserv Numro de Protoco|e
FTP 21
Te|rel 23
3VTP 25
lTTP 80
NNTP 119
3NVP 11
0lCP 8
0N3 53
lCVP 1
TCP
u0P 1Z







150
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer la ligne 2 de la table de routage du routeur R3 (Annexe 2).
Rappelons quune ligne de la table de routage sinterprte de la manire suivante : pour atteindre le
rseau w.x.y.z, dfini par le masque m.m.m.m, il faut transmettre les paquets ladresse w.x.y.z et
pour cela quitter le routeur ou le poste par linterface w.x.y.z.
Pour atteindre le rseau 172.30.16.0, dfini par le masque 255.255.240.0, il faut transmettre les
paquets ladresse 172.30.128.254 (passerelle : point dentre dans ce sens l du routeur R2) et
pour cela quitter le routeur (R3 dans notre cas) par linterface 172.30.128.253.
Question 2. ndiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur des
responsables de secteur.
La passerelle doit avoir pour valeur le point dentre dans le routeur R3, ct rseau des
responsables de secteur, soit ladresse 172.30.32.254.
Question 3. Indiquer, en justifiant votre rponse, le routeur qui est la cause du dysfonctionnement.
Comme le ping passe depuis le serveur NT4 vers le serveur SMTP, on peut en dduire que le
routeur R1 nest pas en cause. Il nous reste donc prciser qui, des routeurs R2 ou R3, est en cause.
A lobservation des tables de routage, on constate que le routeur R3 ne dispose daucune ligne
concernant le rseau 192.168.200.128 /25. Il ne peut donc atteindre les postes de ce rseau. Il faut
lui rajouter cette ligne.
Question 4. Prciser, en justifiant votre rponse, la commande que vous devez employer pour
mettre jour la table de routage du routeur incrimin, de faon obtenir une rponse correcte la
commande ping prcdente.
Ladresse du rseau joindre est 192.168.200.128, ce quon dtermine en appliquant le masque /25
ladresse du Serveur SMTP/POP (192.168.200.130).
La commande appliquer au routeur R3 est donc :
route ADD 192.168.200.128 MASK 255.255.255.128 172.30.128.254
Question 5. Indiquer la raison pour laquelle on a dcid dinsrer une telle ligne dans la table de
routage de R3.
Rappelons que la ligne de commande qui a t excute sur le routeur R3 est :
route add 0.0.0.0 mask 0.0.0.0 172.30.128.254
Ce qui a pour effet dinsrer la ligne :
0.0.0.0 0.0.0.0 172.30.128.254 172.30.128.253
La ligne insre indique donc au routeur R3 quil doit rediriger les flux sortants (toutes adresses
inconnues ) vers le routeur suivant R2 (interface dentre 172.30.128.254). Ici, cette ligne
permet aux postes des responsables de secteur daccder Internet en passant par les routeurs R3,
R2 et R1.
151
Question 6. Indiquer, en justifiant votre rponse, si le serveur web de la DMZ est accessible partir
dInternet.
Rappelons la rgle 1 de la table de filtrage :
N de
r gle
Inter face
dar r ive
Adr ess
e
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n
Pr otocol
e
Action
1 195.167.221.
12
Any Any 195.167.221.1
2
80 6 accept
Daprs cette rgle, tout accs (quelle que soit la source et quel que soit le port) en provenance
dInternet (interface darrive 195.167.221.12), destination de 195.167.221.12 avec le port 80 est
accept.
Rappelons la table de translation :
Avant Tr anslation Apr s Tr anslation
Adresse Port Adresse Port
195.167.221.12 80 192.168.200.129 80
Du fait de lapplication de la rgle de translation, ladresse de destination 195.167.221.12 est
substitue en ladresse 192.168.200.129 du serveur Web de la Mairie, qui est donc bien accessible
depuis Internet.
Question 7. Ajouter une nouvelle rgle qui autorise les responsables de secteur accder au serveur
web de la DMZ en passant par le rseau principal de la mairie.
Donc, quel que soit le port source, tout flux en provenance du rseau des responsables de secteur
(172.30.32.0 /24) arrivant sur linterface 172.30.30.253, destination du serveur web
(192.168.200.129) doit tre accept.
La rgle doit tre place avant la rgle par dfaut :
N de
r gle
Inter face
dar r ive
Adr esse
Sour ce
Por t
Sour ce
Adr esse
Destination
Por t
Destinatio
n
Pr otocol
e
Action
4 172.30.30.25
3
172.30.32.0
/24
Any 192.168.200.129 80 6 accept
Question 8. Expliquer pourquoi il est possible de crer un VLAN de niveau 1 pour le Service des
Administrs .
Toutes les machines du rez-de-chausse doivent tre isoles. Donc, si lon affecte le por t du
commutateur sur lequel est connect le concentrateur du rez-de-chausse un VLAN (VLAN par
port ou de niveau 1), toutes les machines situes derrire le concentrateur vont appartenir ce
VLAN.
Question 9. Expliquer pourquoi, il nest pas possible de crer un VLAN de niveau 1 pour le
Service des Affaires Gnrales .
Il nest plus possible dutiliser des VLAN par port sans bloquer, dans un unique VLAN, toutes les
machines situes derrire le concentrateur. Or certaines doivent appartenir un VLAN et dautres
un autre. On ne peut donc pas mettre en place de VLAN de niveau 1 pour le Service des Affaires
Gnrales.
152
Question 10. Dfinir la notion de pourriel (spam) et prciser en quoi ils constituent une gne pour
lentreprise.
Pourriel (spam, pollupostage) : dsigne les communications lectroniques massives, notamment
de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes.
Les pourriels polluent les boites aux lettres des usagers des messageries et ncessitent de leur part
un temps de traitement parfois non ngligeable (tri, suppression). Par ailleurs ils sont parfois
porteurs de virus, chevaux de Troie, espiogiciels ce qui peut nuire lefficacit des systmes
(destruction de donnes, ralentissement des systmes).
Question 11. Expliquer, en vous aidant ventuellement dun schma, le principe de fonctionnement
de linterrogation par lentreprise dune liste de type Blacklist anti-spam lors de la procdure de
rception dun message.
153
CDGJC J ==

Consciente de l'importance de modifier nos habitudes nutritionnelles et de protger notre
environnement, la socit ESN a dvelopp lenseigne Espace Sant Nature qui offre une large
gamme de produits issus de lagriculture biologique, labelliss et contrls par des organismes
agrs.
Pour accompagner le dveloppement de son enseigne Espace Sant Nature la socit a dcid de
faire voluer son systme dinformation.
Les locaux du sige de la socit ESN accueillent un rseau informatique darchitecture
FastEthernet , entirement commut et distribu sur deux btiments principaux (A et B). Au
moment de votre collaboration, le projet dvolution de larchitecture du rseau local est en cours de
ralisation.
Lensemble des serveurs et le cur de llectronique active ont t migrs vers un nouveau
btiment appel local technique gnral . Celui-ci permet de bnficier de locaux mieux adapts
notamment en termes de scurit daccs physique (utilisation de badges), de climatisation, de
systme anti-incendie et de tolrance aux pannes.
Chacun des trois btiments dispose d'un commutateur : CA, CB et CG (annexe 1).
Pour grer la tolrance aux pannes des liaisons, ladministrateur a reli les trois commutateurs entre
eux en formant un circuit. Pour viter les temptes de diffusion, il a activ le protocole 802.1d. Ce
protocole utilise un algorithme darbre de recouvrement minimum (spanning tree) pour transformer
un circuit en arbre. Les liaisons redondantes doivent tre invalides quand elles ne sont pas utiles et
valides en cas de rupture dune liaison. L'administrateur influe sur le choix des liaisons invalides
en pondrant chaque liaison. Les serveurs sont situs dans le local technique gnral. Il n'y a pas de
trafic rseau entre les postes du btiment A et ceux du btiment B.
1. Expliquer ce qu' est une tempte de diffusion et sa cause.
2. Identifier le lien qui doit tr e invalid par le pr otocole 802.1d en justifiant la r ponse.

La sparation des flux entre btiments est assure par la mise en place de rseaux locaux virtuels
(VLAN) sur les commutateurs. Le commutateur CG dispose galement dune fonction de routage
qui n'est pas active. L'annexe 2 prsente la configuration des rseaux virtuels et IP de la socit.
3. Expliquer pour quoi les por ts d' inter connexion entr e commutateur s doivent tr e tiquets.
4. Expliquer s' il est ncessair e d' activer le r outage sur le commutateur CG pour per mettr e la
communication entr e un poste du btiment B et le ser veur SRV-ESN.
Tous les postes obtiennent dynamiquement leur configuration IP (adresse, routeur, DNS) partir du
serveur SRV-ESN. Mais un commercial connect avec son portable un point d'accs sans fil du
btiment A n'a pas pu accder au serveur SRV-SAGE. La liaison entre le portable et le point d'accs
est pourtant oprationnelle.
5. Dfinir les adr esses IP des passer elles par dfaut affectes aux postes fixes du btiment A et
du btiment B pour aller ver s Inter net.
6. Expliquer la cause du dysfonctionnement obser v sur l' or dinateur por table.
Afin de remplacer des serveurs de donnes obsoltes, on a fait l'acquisition d'un unique serveur
nomm SRV-NAS plus performant, dont les caractristiques sont prsentes en annexe 3. Il
dispose notamment de caractristiques matrielles permettant d'assurer la continuit d'exploitation
en cas de panne.
7. Compar er les solutions RAID 0, RAID 1 et RAID 5 de ce ser veur :
- en ter me de volume utile justifier par un calcul,
- en ter me de tolr ance aux pannes.
154
8. Dir e quels sont les autr es lments du ser veur NAS qui per mettent d' assur er la continuit
de ser vice et la tolr ance aux pannes.
La socit ESN a mis en place un catalogue en ligne accessible tous sur Internet. Mais elle a aussi
dvelopp pour son rseau commercial de boutiques un accs web permettant de passer des
commandes en ligne.
Les sites web public et priv sont installs sur le serveur SRV-3W. Ils se distinguent par des
numros de port diffrents (80 et 8000). Le SGBDR utilis par le site web est situ sur le serveur
SRV-SAGE.
Dans le cadre de son nouveau contrat daccs Internet, la socit ESN bnficie dune liaison haut
dbit SDSL 2 Mbps, dune plage dadresses IP sur le sous-rseau 217.167.171.128 de masque
255.255.255.248 et dun nom de domaine gr par le fournisseur daccs (espace-sante-
natur e.com).
9. Justifier le choix dune offr e daccs Inter net de type SDSL.
10. Dter miner la classe, le nombr e d' adr esses et la plage dadr esses IP offer tes par le FAI
(four nisseur daccs Inter net) ESN.
Les boutiques sont identifies par la plage dadresses 195.200.10.65 195.200.10.126 rserve
auprs du FAI.
Dans un pr emier temps, l'administrateur n'a pas mis en place de DMZ, il a utilis les
fonctionnalits NAT/PAT et de redirection du routeur SDSL pour rendre accessibles le site public et
le site priv. Puis sur le pare-feu SRV-WALL, il a labor les rgles de filtrage suivantes sur
linterface externe (annexes 1 et 2 uniquement) :
Extr ait de la table de filtr age qui ne montr e pas les flux bidir ectionnels :
(Information sur les ports utilisables : DNS (53), HTTP site public (80), HTTP site priv (8000),
SMTP (25), POP3 (110) et SGBDR (3306), tous(ports > 1024))
Source Destination
N
IP Port IP Port
Dcision
.
20 Toutes Tous 192.168.0.7/32 80 Accepter
30 Toutes Tous 192.168.0.7/32 8000 Accepter
40 Toutes Tous 192.168.0.9/32 25 Accepter
41 Toutes Tous 192.168.0.9/32 110 Accepter
Dfaut Toutes Tous Toutes Tous Bloquer
11. Donner la signification de la r gle n 20.
12. Donner la signification de la r gle n 30 et expliquer pour quoi cette r gle ne r pond pas
pr cisment aux contr aintes daccs.
Dans un deuxime temps, l'administrateur a dcid de crer une zone dmilitarise (DMZ) pour
amliorer la scurit des accs Internet (annexe 4).
Les deux interfaces du routeur SDSL sont configures avec ladresse IP 217.167.171.126 sur
linterface externe et 217.167.171.133 sur linterface interne. Les adresses IP affectes aux serveurs
SRV-MAIL et SRV-3W sont dsormais 217.167.171.129 et 217.167.171.130. Sur le routeur SDSL
les fonctionnalits NAT/PAT et de redirection ne sont plus ncessaires.
13. Donner la table de r outage du par e-feu SRV-WALL.
155
Le pare-feu du routeur SDSL et le pare-feu SRV-WALL disposent dsormais des rgles de filtrage
permettant l'accs au site web public et au serveur SMTP et POP. L'administrateur vous demande
dcrire les nouvelles rgles qui permettent laccs au site web pr iv depuis les boutiques pour la
mise jour des commandes dans la base de donnes.
14. tablir la nouvelle r gle de filtr age sur linter face exter ne 217.167.171.126 du r outeur
SDSL.
15. tablir la r gle de filtr age sur linter face exter ne de SRV-WALL sachant que le SGBDR
(implant sur le ser veur SRV-SAGE) coute sur le por t 3306.
Le serveur SRV-MAIL assure les services SMTP et POP. Ces deux services ont t tests et
fonctionnent correctement. Ils utilisent les mmes mots de passe de connexion.
Depuis un poste du service informatique dans le rseau local, ladministrateur a configur un
compte de messagerie existant ainsi :
SMTP : 217.167.171.129
POP : pop.espace-sante-nature.com
Il envoie les courriels avec succs, mais il ne parvient pas en recevoir. Le logiciel client de
messagerie affiche lerreur suivante :
chec de la connexion au serveur. Compte : 'admin', Serveur : 'pop.espace-sante-nature.com',
Protocole : POP3, Port : 110
16. Expliquer la cause de lchec de r ception du cour r iel, sachant que le FAI na pas t
infor m du nouveau plan d' adr essage.
156
Annexe 1 : Nouvelle ar chitectur e du r seau
157
Annexe 2 : Configur ation des r seaux vir tuels et IP de la socit
Ar chitectur e gnr ale de l' inter connexion : Chaque btiment (A, B et local technique gnral)
dispose d'un commutateur principal qui s'interconnecte avec les commutateurs principaux des
autres btiments.
Ar chitectur e des VLAN
Commutateurs
principaux
CA CB CG
Emplacement Btiment A Btiment B Local Technique gnral
VLAN grs 1,100, 200 1,100, 200 1,100, 200
Remar que : Le commutateur CG est un commutateur / routeur. chaque VLAN dfini sur le
commutateur peut tre associe une adresse IP qui permet le routage entre VLAN. Cette fonction de
routage n'est pas active.
Tableau d' affectation Por ts - VLAN avec statut 802.1q des por ts
VLAN
1
VLAN
100
VLAN
200
Etiquets
802.1q (taggs)
Ports de connexion des points d'accs sans fil du
btiment A
X NON
Ports de connexion des postes fixes filaires et des
autres quipements du Btiment A
X NON
Ports de connexion des postes fixes filaires et des
autres quipements du btiment B
X NON
Ports de connexion des serveurs et des
quipements du local technique gnral
X X OUI
Ports d'interconnexion des commutateurs CA, CB
et CG
X X X OUI
Adr esse IP du sous-r seau associ chaque VLAN
VLAN 1 (par dfaut) VLAN 100 VLAN 200
Pas d'adresse IP affecte 192.168.0.0/24 192.168.1.0/24
Adr essage IP des postes de tr avail : Tous les postes des btiments A et B doivent obtenir une
adresse dynamiquement partir du serveur DHCP SRV-ESN. Ce serveur gre deux plages
d'adresses, une pour chaque rseau IP.
Adr essage IP des ser veur s : Le protocole 802.1q est activ sur les interfaces rseau des serveurs.
Ces interfaces sont associes au VLAN 100 et au VLAN 200 et disposent d'une adresse IP par
VLAN. Les cartes rseaux de ces serveurs sont donc multi-adresses. Elles associent un VLAN la
trame reue en fonction de l'tiquette contenue dans la trame et remettent le paquet l'adresse IP
correspondante. En mission, elles tiquettent la trame en fonction du VLAN d'mission.
Tableau d' affectation ser veur s / VLAN et adr essage IP des ser veur s (avant le dplacement
dans la DMZ des ser veur s SRV-3W et SRV-MAIL)
VLAN 100 VLAN 200
SRV-ESN (serveur d'authentification DHCP DNS cache) 192.168.0.1 192.168.1.1
SRV-SAGE (serveur d'applications de gestion et SGBDR) 192.168.0.3 192.168.1.3
SRV-NAS (stockage des fichiers et des bases de donnes) 192.168.0.5 192.168.1.5
SRV-3W (serveur web interne et externe) 192.168.0.7 192.168.1.7
SRV-MAIL (serveur de messagerie interne et externe) 192.168.0.9 192.168.1.9
SRV-WALL (pare-feu, accs Internet des postes sur l'interface
interne)
192.168.0.254 192.168.1.254
NB: le pare-feu SRV-WALL dispose de l'adresse IP 217.167.171.134 sur l'interface externe.
158
Annexe 3 : Infor mations techniques sur le ser veur NAS
Le ser veur NAS est une solution simple pour ajouter du stockage disque en rseau. Le NAS est un
priphrique rseau de stockage (serveur de fichiers). Il se connecte sur un rseau Ethernet et se
comporte comme un serveur autonome de fichiers. Sa simplicit d'installation et d'administration, la
redondance de ses composants en font une solution fiable et efficace pour le stockage et la
sauvegarde des donnes sur un rseau htrogne.
Car actr istiques du ser veur NAS
Matr iel
Pentium 4 2.8GHz avec 512KB L2 cache et 2 DIMM
slots for 2GB ECC DDR 266/333 memory,
2 interfaces intgres Intel Gigabit Ethernet
8 disques SATA hot-swappable (250 GB chacun)
RAID 0, 1, 5
Gravure sur CD-R/RW et DVD+RW (Option)
Alimentation redondante et compatibilit UPS
Administr ation et Compatibilit
Microsoft Windows NT/2000/2003 support Domaine
et Active Directory
UNIX, Solaris, FreeBSD, Linux, support Network
Information Service (NIS),
MacOS 8.x, 9.x, OS X
TCP/IP, AppleTalk, IPX
HTTP, CIFS/SMB, NFS v3, NCP, FTP, AFP
BOOTP, RARP, DHCP, DNS, WINS, SMTP, SNMP,
NTP, SSL
Annexe 4 : Schma de la DMZ
Boutiques
Clients
SDSL
2 Mbps
SRV-WALL
SRV-MAIL
SRV-SAGE
SRV-ESN
SRV-NAS
CG
192.168.0.254
192.168.1.254
SRV-3W
217.167.171.134
217.167.171.129
217.167.171.130
217.167.171.133
DNS
194.20.0.50
FAI
217.167.171.126
159
.... .... . ., .... .... . ., .... .... . ., .... .... . .,
Question 1. Expliquer ce qu'est une tempte de diffusion .
Le commutateur segmente le domaine de collision, il laisse cependant passer les diffusions de
trames Ethernet (MAC FF-FF-FF-FF-FF-FF).
Larchitecture en annexe prsente une interconnexion des commutateurs en boucle.
Consquences :
Les commutateurs mettent jour leur table de correspondance port source = @mac partir de la
trame qui arrive. Les trames de diffusion et de multidiffusion sont achemines par inondation vers
tous les autres ports du commutateur et donc vers tous les commutateurs interconnects. La trame
boucle indfiniment (pas de TTL), il y a inondation de la bande passante et surcharge de tous les
noeuds connects sur tous les ports.
Question 2. Identifier le lien qui doit tre invalid en justifiant la rponse
Le lien a invalider doit tre CA CB, pour deux raisons, le dbit est plus faible et il n'y a pas de flux
changs entre le btiment A et le btiment B, tous les flux sont destins au local technique gnral
o sont placs tous les serveurs.
Question 3. Expliquer pourquoi les ports d'interconnexion entre commutateurs doivent tre
tiquets (taggs).
Les ports d'interconnexion appartiennent plusieurs VLAN. Pour pouvoir associer une trame un
VLAN il faut donc rajouter l'tiquette 802.1q dans la trame.
Question 4. Expliquer s'il est ncessaire d'activer le routage sur le commutateur CG pour permettre
la communication entre un poste du btiment B et le serveur SRV-ESN.
Non car le serveur SRV-ESN a deux adresses IP sur son interface o le protocole 802.1q est actif.
Les trames mises et reues par lui sont "tiquetes" puis associer la bonne adresse IP en fonction
du VLAN. Le serveur et le poste sont donc dans le mme rseau IP et dans le mme VLAN, on n'a
donc pas besoin de router.
Question 5. Dfinir les adresses IP des passerelles par dfaut affectes aux postes du btiment A et
du btiment B pour aller vers Internet.
L'accs Internet se faisant par le pare-feu SRV-WALL, on utilise l'interface de celui-ci associe au
VLAN correspondant :
Pour le btiment A il s'agit de 192.168.0.254 (VLAN 100).
Pour le btiment B il s'agit de 192.168.1.254 (VLAN 200).
Question 6. Expliquer la cause du dysfonctionnement observ sur l'ordinateur portable.
Les points d'accs Wi-Fi sont associs au VLAN par dfaut. Ils ne peuvent communiquer avec les
autres Vlan directement. Il s'agit soit d'une erreur de configuration, soit d'une volont d'isoler le flux
des portables.
Question 7. Comparer les solutions RAID0, RAID1 et RAID5 de ce serveur :
- en terme de volume utile justifi par un calcul,
- en terme de tolrance aux pannes.
RAID0 : on utilise tous les disques, donc la totalit du volume (2000 G0) est disponible mais on n'a
aucune tolrance aux pannes.
RAID1 : (mirroring) la moiti de l'espace est disponible pour l'utilisateur (1000GO) et celle-ci est
duplique sur l'autre moiti, la tolrance de panne est assure. Aprs une perte de disque la remise
en service est trs rapide puisqu'on dispose d'un disque identique au disque perdu.
160
RAID5 : un disque est utilis pour le contrle de parit. Donc l'espace disponible est de (7 X 250 =
1750) pour l'utilisateur et la tolrance aux pannes est assure. La remise en service ncessite la
reconstruction du disque perdu partir des autres disques.
Question 8. Dire quels sont les autres lments du serveur NAS qui permettent d'assurer la
continuit de service et la tolrance aux pannes.
Disques durs hot-swappable (branchement chaud) en RAID 0 5
Alimentation redondante et compatibilit UPS (l'arrt se fera proprement partir de l'onduleur)
Mmoire vive de type ECC (contrle derreur),
2 interfaces intgres Intel Gigabit Ethernet (tolrance de panne possible)
Question 9. Justifier le choix dune offre daccs Internet de type SDSL.
Symetric Digital Subscriber Line, liaison haut dbit symtrique en descente et en monte. Les
besoins de lentreprise sont effectivement un haut dbit bidirectionnel puisque laccs Internet est
offert sur le rseau local et le serveur web hberg en local est ouvert lextrieur.
Question 10. Dterminer la classe, le nombre d'adresses et la plage dadresses IP offertes par le
FAI (fournisseur daccs internet) ESN.
217.167.171.128 : classe C publique (rseau de 192.0.0.0
10
223.255.255.0
10
soit 110
2
au 1
er
octet)
IP : 217.167.171.128
10
1000 0000
2
Masque : 255.255.255.248
10
1111 1000
2
Plage : 1000 0001
2
1000 0110
2
217.167.171.129
10
217.167.171.134
10
Nombre d'adresses : il reste trois bits pour la partie poste (host-id) donc 2
3
2 = 6
Question 11. Donner la signification de la rgle n 20.
Les internautes (tout le monde) accdent aux pages web publiques (port standard 80) du serveur
SRV-3W.
Question 12. Donner la signification de la rgle n 30, et expliquer pourquoi cette rgle ne rpond
pas prcisment aux contraintes daccs.
Tout le monde accde aux pages web prives du serveur SRV-3W. Les internautes devront
nanmoins connatre le port non standard utilis (http://www.espace-sante-nature.com:8000)
Ceci ne rpond pas explicitement aux besoins. Au niveau du pare-feu, rien ne permet la scurit
daccs aux pages prives (extranet) rserves exclusivement aux boutiques.
Question 13. Donner la table de routage du pare-feu SRV-WALL.
Destination Masque Passerelle Interface
192.168.0.0 255.255.255.0 192.168.0.254 192.168.0.254
192.168.1.0 255.255.255.0 192.168.1.254 192.168.1.254
217.167.171.128 255.255.255.248 217.167.171.134 217.167.171.134
0.0.0.0 0.0.0.0 217.167.171.133 217.167.171.134
161
Question 14. tablir la nouvelle rgle de filtrage sur linterface externe 217.167.171.126 du
routeur SDSL.
Source Destination
N
IP Port IP Port
tat
10 Toutes 53 217.167.171.134/32 Tous Accepter
20 Toutes Tous 217.167.171.130/32 80 Accepter
30 195.200.10.64/26 Tous 217.167.171.130/32 8000 Accepter
40 Toutes Tous 217.167.171.129/32 25 Accepter
41 Toutes Tous 217.167.171.129/32 110 Accepter
Dfaut Toutes Tous Tous Tous Bloquer
Adresses : 195.200.10.65 195.200.10.126 .0100 0001
2
.01111 1110
2
Masque : .1100 0000
2
255.255.255.192
Rseau 195.200.10.64/26
Question 15. tablir la nouvelle table des rgles de filtrage sur linterface externe de SRV-WALL
sachant que le SGBDR (implant sur le serveur SRV-SAGE) coute sur le port 3306.
Source Destination
N
IP Port IP Port
tat
10 217.167.171.134/32 53 Toutes Tous Accepter
20 217.167.171.130/32 Tous 192.168.0.3/32 3306 Accepter
30 217.167.171.130/32 80 192.168.0.0/24 Tous Accepter
40 217.167.171.129/32 25 192.168.0.0/24 Tous Accepter
41 217.167.171.129/32 110 192.168.0.0/24 Tous Accepter
Dfaut Toutes Tous Tous Tous Bloquer
Question 16. Expliquer la cause de lchec de rception du courriel, sachant que le FAI na pas t
inform du nouveau plan d'adressage.
Les noms de domaine smtp.espace-sante-nature.com et pop.espace-sante-nature.com doivent tre
raffects ladresse 217.167.171.129 dans la zone espace-sante-nature.com administre par le
DNS primaire (SOA) du FAI.
162
CDGJC J =Z

La socit A'CLICK est spcialise dans la production et la distribution de logiciels pdagogiques
destins aux enfants.
La socit dispose aussi d'un service rdaction pour l'laboration de magazines quotidiens pour
enfants.
L'impression des magazines et fascicules est ralise par un imprimeur situ 160 km environ.
Vingt personnes de la socit A'CLICK collaborent llaboration des logiciels, dont quatre en
tltravail ( partir de leur domicile) et trois autres chez l'imprimeur pour la mise en forme des
magazines et fascicules.
La socit A'CLICK dispose dj dun rseau informatique reliant les collaborateurs domicile
(essentiellement des dveloppeurs) et limprimeur.
Vous disposez du plan du rseau de la socit (annexe 1).
Le rseau de la socit A'CLICK dessert le rez-de-chausse et le premier tage de deux btiments
distants d'une trentaine de mtres.
Les serveurs principaux sont placs au premier tage du btiment A dans un local technique. Les
personnels sont rpartis sur les deux btiments.
Les dveloppeurs sur site travaillent essentiellement dans le btiment B.
La socit a mis en place un rseau bas sur une architecture Ethernet 100 Mbit/s commute
bidirectionnelle avec des liaisons fibres optiques entre les commutateurs ayant un dbit de 1 Gbit/s.
Pour la configuration des commutateurs, l'administrateur a choisi une solution base sur des VLAN
(Virtual Local Area Network) de niveau 1 (annexe 2).
1. Pr senter les cr itr es qui plaident en faveur de lutilisation de r seaux locaux vir tuels.
Le plan d'adressage IP en fonction des rseaux locaux virtuels et la configuration actuelle des
commutateurs sont spcifis dans les annexes 3 et 4.
2. Indiquer la classe, ladr esse r seau et le masque par dfaut cor r espondant au plan
dadr essage spcifi lannexe 3. Justifier les r ponses.
3. Calculer le nombr e dhtes que peut accueillir chacun des r seaux vir tuels avec ce plan
dadr essage.
4. Donner le nombr e de domaines de diffusion (br oadcast) mis en place par la configur ation
des commutateur s C2, C3, C4 et C5.
Ladministrateur du rseau souhaite modifier la configuration des commutateurs (annexe 4).
Ladministrateur connecte un poste (appartenant au rseau IP 192.168.10.32/27 et configur sans
passerelle) sur le port libre c2e8 du commutateur C2 pour le configurer. Il lance ensuite la
commande http://192.168.10.33 pour accder la page daccueil de loutil dadministration du
commutateur C2.
Il obtient le message " page web non disponible hor s connexion" " ter min" .
Pour comprendre la nature du problme, il effectue les trois tests suivants :
Test1 : Il lance la commande ping 192.168.10.33
Il obtient le message " Dlai dattente de la demande dpass" .
Test2 : Depuis le poste il branche un cble console sur le commutateur C2 et lance une connexion
srie avec les proprits (Bits par seconde : 9600, Bits de donnes : 8, Parit : Aucun, Bits d'arrt :
1, Contrle de flux : Matriel).
Il obtient le message de connexion Login : permettant daccder loutil
dadministration.
163
Test3 : Il connecte alors directement le poste (en Ethernet) sur le port libre c3e8 du commutateur
C3 et lance la commande http://192.168.10.34
Il obtient la page web d'accueil de loutil dadministration du commutateur C3.
5. Donner la r aison pour laquelle l' administr ation du commutateur C2 ne peut se fair e
actuellement que par le cble console. Pr oposer une solution pour r soudr e ce pr oblme.
Suite une rorganisation des quipes de projet, il est ncessaire de dplacer le poste de travail dun
dveloppeur, identifi Dev5, pour l'installer au rez-de-chausse du btiment B. Ce poste est reli par
l'intermdiaire d'une prise murale, au port c4e7 du commutateur C4.
Aprs ce changement, l'administrateur constate que le poste Dev5 ne peut plus communiquer avec
son serveur d'applications Sappl. Il ralise diffrents tests partir de la prise et en conclut que ce
n'est pas un problme de connexion physique.
6. Expliquer pour quoi ce dplacement a gnr ce pr oblme. Pr oposer une solution pour que
le poste Dev5 puisse de nouveau communiquer avec son ser veur d' applications par tir de son
nouvel emplacement.
Tous les postes du rseau peuvent communiquer entre eux grce la fonction de routage active sur
C2 qui est un commutateur de niveau 3. Cependant, l'administrateur n'a pas encore ajout dans la
table de routage de C2, la route par dfaut pour accder Internet. La syntaxe de la commande pour
ajouter une route dans la table de routage de C2 est dcrite dans l'annexe 4.
7. cr ir e l' instr uction qui ajoute une r oute dans la table de r outage de C2 pour autor iser tous
les postes du r seau accder Inter net.
L'tude des flux sur les rseaux montre qu'aprs le redmarrage de l'ensemble des commutateurs
une multitude de trames de diffusion ARP parviennent au portable de l'administrateur.
Celui-ci entreprend des recherches sur Internet et obtient des rponses lui expliquant un problme
de "tempte de broadcast".
8. Expliquer lexpr ession " tempte de br oadcast" et ce qui a pr ovoqu ce pr oblme. Indiquer
quel pr otocole (ou algor ithme) l' administr ateur doit activer sur les commutateur s pour
r soudr e ce pr oblme.
Les pages des magazines sont stockes dans une base de donnes. Elles sont composes de textes et
d'images numrises et dattributs de mise en forme. Les flux de communication avec limprimeur
sont de simples transferts de donnes composant le magazine : texte, images et attributs de mise en
page.
La solution utilise actuellement pour relier lentreprise la socit A'CLICK repose sur une liaison
distance Numris 64 Kbit/s point point.
L'impression quotidienne des magazines pour enfant tant en constante augmentation, l'adaptation
de la ligne de communication reliant la socit A'CLICK l'imprimeur devient une priorit.
Le responsable du rseau estime en effet que le transfert des pages d'un magazine est trop long.
Ainsi, pour le transfert dune page de 300 Ko laquelle sajoute 15 % de donnes de gestion (des
diffrents protocoles mis en uvre lors du transfert), il faut prs de 44 secondes.
9. Dter miner la bande passante minimum ncessair e, expr ime en Kbit/s, que doit suppor ter
la liaison pour r amener le temps de tr ansfer t d' une page envir on 10 secondes (justifier la
r ponse, pr endr e 1 Ko = 1 000 octets).
164
L'administrateur constate que pour obtenir des temps de transfert de pages et un cot acceptables, il
va falloir augmenter considrablement les dbits de transfert.
Lors d'une runion, la direction de la socit a donn son accord pour augmenter les dbits via
Internet.
Pour amliorer les capacits d'accs, l'administrateur propose la mise en place d'une technologie
ADSL pour les dveloppeurs domicile et dune technologie SDSL pour l'imprimeur.
10. Expliquer les pr incipales diffr ences techniques qui existent entr e l' ADSL et le SDSL
pr oposes par l' administr ateur .
La connexion devra se faire de manire crypte, virtuelle, point point, avec une passerelle VPN
(Virtual Private Network) dite aussi RPV (Rseau Priv Virtuel), situe sur le routeur Rte_Aclick
de la socit. Elle offrira ainsi aux dveloppeurs et l'imprimeur une extension du rseau priv.
Les dveloppeurs domicile pourront se connecter Internet, puis tablir une connexion VPN vers
le rseau de la socit.
Pour la mise en place de ce tunnel VPN, le routeur Rte_A' click doit possder une adresse IP
publique fixe, utiliser un pare-feu effectuant de la translation d'adresses et tre capable de rediriger
une demande vers une adresse IP prive (annexes 1 et 5).
11. Expliquer la dmar che que doit suivr e l' administr ateur du r seau pour obtenir une
adr esse IP publique fixe.
12. Lister les avantages (en dehor s des dbits) dune solution DSL/VPN
Aprs ces dmarches, ladresse IP attribue linterface publique est 66.101.21.12. En plus des
accs Internet, les donnes circulant sur le routeur Rte_A' click proviennent des changes entre
l'imprimeur et le serveur de base de donnes Ssgbd ainsi que des changes entre les dveloppeurs
domicile et le serveur Intranet Sweb.
13. cr ir e la table de r outage du r outeur Rte_A' click, par tir des informations de l' annexe 1.
Les fonctions de filtrage du routeur Rte_A' click sont dj actives sur linterface publique
66.101.21.12 et sur l'interface prive 172.16.120.253. Les tableaux ci-dessous donnent un extrait
des tables de filtrage correspondant chacune de ces interfaces :
Table de filtr age de l' inter face publique (66.101.21.12) du r outeur Rte_A' click
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole Action
1 Toutes Tous 66.101.21.12/32 tous GRE Accepter
2 66.101.21.12/32 1723 Toutes tous TCP (tabli) Accepter
3 Toutes Tous 66.101.21.12/32 1723 TCP Accepter
4 Toutes Tous 66.101.21.12/32 500 UDP Accepter
6 Toutes Tous 66.101.21.12/32 1701 UDP Accepter
7 Toutes Tous 66.101.21.12/32 4500 UDP Accepter

Dfaut Toutes Tous Toutes Tous Tous Bloquer
Table de filtr age de l' inter face pr ive (172.16.120.253) du r outeur Rte_A' click
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole Action

Dfaut Toutes Tous Toutes Tous Tous Accepter
14. Expliquer les r gles de filtr age 2 et 3 appliques sur l' inter face publique.
165
Lors de la mise en place du tunnel la connexion, le serveur VPN doit attribuer aux dveloppeurs
domicile une adresse IP, prise sur une tendue statique allant de 172.16.120.8 172.16.120.15.
L'imprimeur, quant lui, doit toujours recevoir l'adresse IP 172.16.120.100.
Les dveloppeurs domicile ont accs au serveur de base de donnes Ssgbd et au serveur Intranet
Sweb, mais en aucun cas l'imprimeur ne pourra accder au serveur Intranet Sweb.
Ni les dveloppeurs domicile, ni l'imprimeur ne doivent avoir accs au rseau interne de la
socit.
15. Ajouter la (les) r gle(s) de filtr age mettr e en place sur l' inter face 172.16.120.253 du
r outeur Rte_A' click, afin de r especter les accs pr ciss ci-dessus, sachant que laction de la
r gle par dfaut est Accepter .
166
Annexe 1 : Rseau Ether net de la socit A' CLICK
167
Annexe 2 : Rappel sur les VLAN
Les rseaux locaux virtuels (VLAN) permettent de crer des domaines de diffusion, grs par des
commutateurs. Une trame ne peut tre associe qu un VLAN et cette trame ne peut tre diffuse
que sur les ports du commutateur associs ce VLAN. Une trame ou un port peuvent tre associs
un VLAN de manire statique ou dynamique :
- Statique : chaque port du commutateur est affect un VLAN par ladministrateur, une trame
en entre sur ce port sera associe au VLAN du port. On parle de VLAN de niveau 1 ou VLAN
par port.
- Dynamique : chaque port du commutateur se voit affect dynamiquement un VLAN partir
dune information contenue dans la trame en entre sur ce port. Cette affectation peut tre
dfinie en fonction de ladresse MAC mettrice, de ladresse IP mettrice, dun protocole, etc.
contenues dans la trame. On parle de VLAN de niveau 2 (VLAN dadresse MAC) de niveau 3
(VLAN dadresse IP) ou de niveau applicatif (VLAN bas sur les protocoles d'application).
On considre quun port de commutateur ne sera associ qu un seul VLAN lexception des ports
dinterconnexion 802.1q. Un port 802.1q (dit tagged port) transporte des trames tiquetes avec un
en-tte 802.1q qui permet d'associer la trame un VLAN. Ce port est gnralement rserv la
communication entre commutateurs.
Une trame ne peut tre associe qu un seul VLAN. Chaque VLAN peut tre gr par un
commutateur ou par plusieurs et un commutateur peut grer un ou plusieurs VLAN.
Lorsqu'un commutateur reoit une trame de diffusion (broadcast), il la transmet dune part
l'ensemble des ports sur lesquels sont relis les postes appartenant au mme VLAN que lmetteur,
dautre part aux ports 802.1q affects ce VLAN.
Annexe 3 : Plan d' adr essage IP en fonction des r seaux locaux vir tuels
Chaque VLAN correspond un sous-rseau IP.
VLAN 1 (VLAN par dfaut) : Pour les postes du service administratif, adresse rseau
192.168.10.32 masque 255.255.255.224
VLAN 2 : Pour les postes du service de comptabilit, adresse rseau 192.168.10.64 masque
255.255.255.224
VLAN 3 : Pour les postes du service dveloppement et serveurs, adresse rseau
192.168.10.96 masque 255.255.255.224
La communication entre les VLAN est assure par la fonction de routage active sur C2,
commutateur de niveau 3. Pour constituer la table de routage de C2, une adresse IP est affecte
chaque VLAN sur le commutateur C2, soit :
VLAN 1 : 192.168.10.62/27 VLAN 2 : 192.168.10.94/27 VLAN 3 : 192.168.10.126/27
Chaque poste du rseau est configur avec une passerelle par dfaut qui est l'adresse IP du VLAN
correspondant, mis en place sur le commutateur C2, soit :
- Service administratif, VLAN 1 (VLAN par dfaut), passerelle par dfaut : 192.168.10.62
- Service de comptabilit, VLAN 2, passerelle par dfaut : 192.168.10.94
- Service de dveloppement et serveurs, VLAN 3, passerelle par dfaut : 192.168.10.126
168
Annexe 4 : Configur ation des commutateur s et des r seaux locaux vir tuels
Commutateur C2 :
Administrable sur le VLAN2,
192.168.10.33/27
Protocole 802.1q activ, ports : c2f1, c2f2
Routage activ
Table gre du C2
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c2e1
c2e6
c2e7
c2e8
c2e9
c2ea
c2eb
c2ec
Aimp c2e2 Rte_Int c2e3
c2e4
c2e5
Sdns
Sfic
Simp
Commutateur C3 :
Administrable sur le VLAN1, 192.168.10.34/27
Protocole 802.1q activ, ports : c3f1, c3f2
Table gre du C3
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c3e7
c3e8
c3e9
c3ea
c3eb
c3ec
c3e1
c3e2
c3e3
c3e4
c3e5
c3e6
Sappl
Dev1
Dev2
Dev3
Dev5
Dimp
Commutateur C5 :
Administrable sur le VLAN3,
192.168.10.97/27
Protocole 802.1q activ, ports : c5f1, c5f2
Table gre du C5
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c5e1
c5e9
c5ea
c5eb
c5ec
Ad6 c5e2
c5e3
c5e4
c5e5
c5e6
c5e7
Ac1
Ac2
Ac3
Ac4
Ac5
Acim
c5e8 Scomp
Commutateur C4 :
Administrable sur le VLAN1, 192.168.10.35/27
Protocole 802.1q activ, ports : c4f1, c4f2
Table gre du C4
VLAN1 VLAN2 VLAN3
Port Poste Port Poste Port Poste
c4e1
c4e2
c4e3
c4e4
c4e5
c4e7
c4e8
c4e9
c4ea
c4eb
c4ec
Ad1
Ad2
Ad3
Ad4
Ad5
c4e6 Dev4
Chaque commutateur dispose dau moins une adresse IP et est administrable sur un seul VLAN.
Seul C2 est un commutateur de niveau 3 qui possde une fonction de routage. Il est configur
pour assurer la communication entre les rseaux locaux virtuels.
La commande pour ajouter une r oute dans la table de r outage de C2 est la suivante :
Syntaxe :
ADD IP ROUTE=ipadd1 INTERFACE=vlan NEXTHOP=ipadd2 [MASK=ipadd3]
Paramtres :
ROUTE ipadd1 : dfinit l'adresse IP du rseau destinataire (0.0.0.0 pour la route par dfaut).
INTERFACE vlan : dfinit le VLAN sur lequel est associe la route ajouter (par exemple : INTERFACE=vlan1).
NEXTHOP ipadd2 : dfinit l'adresse IP du prochain saut (routeur) pour cette route.
MASK ipadd3 : dfinit le masque associ cette route (rseau destinataire). Ce paramtre est facultatif.
Sil n'est pas dfini, c'est le masque de la classe de l'adresse IP du rseau destinataire qui est utilis
(0.0.0.0 pour la route par dfaut).
169
Annexe 5 : Le r seau VPN (Vir tual Pr ivate Networ k)
Ce rseau VPN utilise soit le protocole PPTP (Point to Point Tunneling Protocol), soit le protocole
L2TP (Layer Two Tunneling Protocol) pour tablir une connexion.
Le ser veur VPN : Le serveur VPN doit possder une adr esse IP publique fixe afin que les clients
VPN puissent utiliser cette adresse ou un nom DNS correspondant pour tablir leur connexion
VPN.
Lors de la demande de connexion du client VPN, le serveur VPN attribue aux clients VPN une
adresse IP prive prise sur une tendue statique prdfinie.
Les paquets VPN entrent sur linterface publique du serveur VPN. Aprs vrification des filtres en
entre, celui-ci les dsencapsule du tunnel crypt (dchiffrement des donnes) et envoie le
datagramme IP priv en sortie sur linterface prive qui applique les filtres avant de transmettre le
paquet vers le rseau priv.
Le filtr age du ser veur VPN :
Le pare-feu doit laisser entrer sur linterface publique les paquets VPN suivants :
Pour un tunnel PPTP (Point to Point Tunneling Pr otocol) :
Adresse IP source : adresse IP publique du client VPN source
Adresse IP destination : adresse IP publique du serveur VPN destination
Port de destination : TCP/1723 (pour ltablissement et la maintenance du tunnel)
ID de protocole : GRE/47 (protocole spcifique pour les donnes encapsules dans le tunnel)
Pour un tunnel L2TP/IPSec (Layer Two Tunneling Pr otocol / Inter net Pr otocol
Secur ity) :
Adresse IP source : adresse IP publique du client VPN source
Adresse IP destination : adresse IP publique du serveur VPN destination
Port de destination : UDP/500 (pour la gestion des cls dauthentification utilises pour scuriser les
informations)
Port de destination : UDP/1701 (trafic L2TP)
Port de destination : UDP/4500 (IPSec NAT-Transversal)
170
.... .... . .: .... .... . .: .... .... . .: .... .... . .:
Question 1. Prsenter les critres qui plaident en faveur de lutilisation de rseaux locaux virtuels.
Le responsable du rseau a dcid de mettre en uvre des rseaux locaux virtuels pour isoler les
flux entre les diffrents services (chaque VLAN tant associ un rseau IP) et amliorer ainsi la
scurit des changes (les postes de mme VLAN communiquent entre eux) et optimiser
l'utilisation de la bande passante (broadcast).
Question 2. Indiquer la classe, ladresse rseau et le masque par dfaut correspondant au plan
dadressage spcifi lannexe 3. Justifier les rponses.
Classe : C car 192 en binaire commence par 110 - Adresse rseau : 192.168.10.0 car on trouve par
exemple une adresse 192.168.10.33 et quen classe C on considre les 3 premiers octets comme
ladresse de rseau. Masque par dfaut 255.255.255.0
Question 3. Calculer le nombre dhtes que peut accueillir chacun des rseaux virtuels avec ce
plan dadressage.
Masque des sous-rseaux : 255.255.255.224, soit le dernier octet en binaire : 1110 0000.
Donc 3 bits pour les sous-rseaux, reste 5 bits pour les postes, soit 2
5
-2 = 30 htes possibles par
VLAN.
Question 4. Donner le nombre de domaines de diffusion (broadcast) mis en place par la
configuration des commutateurs C2, C3, C4 et C5.
Il y a trois VLAN, donc trois domaines de diffusion.
Question 5. Donner la raison pour laquelle l'administration du commutateur C2 ne peut se faire
actuellement que par le cble console. Proposer une solution pour rsoudre ce problme.
Que se passe-t-il ? L'administrateur ne peut pas administrer le commutateur C2.
Justification :
Car le commutateur C2 est administrable uniquement sur le VLAN2.
Or, lorsque l'on se connecte sur le port C2e8 le portable est rattach au VLAN1 ce qui implique une
impossibilit d'administrer le commutateur C2.
Solutions :
1. Sur le commutateur C2 : changer le VLAN d'administration (pass du VLAN2 en VLAN1)
2. Sur le commutateur C2 : changer le port c2e8 en VLAN2 (avec cette solution, lIP du
commutateur nest pas compatible avec le VLAN2).
Question 6. Expliquer pourquoi ce dplacement a gnr ce problme. Proposer une solution pour
que le poste Dev5 puisse de nouveau communiquer avec son serveur d'applications partir de son
nouvel emplacement.
Justification :
Avant le dplacement, le poste Dev5 appartient au VLAN3, port c3e5 du commutateur C3.
Aprs le dplacement, il est connect sur le port c4e7 du commutateur C4, qui appartient au
VLAN1.
Dev5, plac dans le VLAN1, ne peut plus communiquer directement avec le VLAN3 et sa
configuration IP ne permet pas de communiquer avec le VLAN3 en utilisant sa passerelle par dfaut
(routage activ sur C2).
Solution :
Sur le commutateur C4 : Configurer le port c4e7 en VLAN3.
171
Question 7. crire l'instruction qui ajoute une route dans la table de routage de C2 pour autoriser
tous les postes du rseau accder Internet.
L'instruction est :
ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93
ou (le masque est facultatif pour la route par dfaut)
ADD IP ROUTE=0.0.0.0 INTERFACE=vlan2 NEXTHOP=192.168.10.93 MASK=0.0.0.0
Question 8. Expliquer lexpression "tempte de broadcast". Indiquer quel protocole (ou
algorithme) l'administrateur doit activer sur les commutateurs pour rsoudre ce problme.
Explication de lexpression
Les liaisons redondantes entranent que chaque trame parcourant des chemins diffrents passent
plusieurs fois par le mme commutateur qui rgnre de nouvelles trames etc. On appelle a une
tempte de broadcast .
Choix de lalgorithme :
Les liaisons redondantes doivent tre invalides (suite la formation de liaison inter-commutateur)
sous peine de diffuser en plusieurs exemplaires des trames de broadcast et d'autres trames.
Pour y remdier il faut s'assurer que les commutateurs grent un algorithme de gestion des
redondances comme STP (Spanning Tree Protocol) ou protocole 802.1d et l'activer sur tous les
commutateurs.
Question 9. Dterminer la bande passante minimum ncessaire, exprime en Kbit/s que doit
supporter la liaison pour ramener le temps de transfert d'une page environ 10 secondes (justifier
la rponse, prendre 1 Ko = 1 000 octets).
Bande passante dterminer :
Bande passante : Soit 15 % de donnes de gestion : 300 * 1,15 = 345 ko pour une page de
magazine.
Le temps de transfert actuel est de 43,12 secondes : [(345 * 1000 * 8) / (64 * 1000)], soit 345 / 8.
Pour ramener 10 secondes :
10 = [(345 * 1000 * 8) / (d * 1000)]
d = (345 * 8) / 10
Il faut un dbit rel de 276 kbit/s.
Question 10. Expliquer les principales diffrences techniques qui existent entre l'ADSL et le SDSL
proposes par l'administrateur.
ADSL (Asymetric DSL) est la technique utilise actuellement. Les canaux (la voie descendante
allant de l'abonn vers le rseau et la voie montante allant du rseau vers l'abonn) sont
asymtriques c'est--dire que leur dbit est diffrent.
SDSL (Symetric DSL ou Single line DSL) est une version monoligne de HDSL. Les canaux (la
voie descendante allant de l'abonn vers le rseau et la voie montante allant du rseau vers l'abonn)
sont symtriques c'est--dire que leur dbit est identique.
Question 11. Expliquer la dmarche que doit suivre l'administrateur du rseau pour obtenir une
adresse IP publique fixe.
Faire une demande dadresse IP Publique fixe auprs du fournisseur daccs Internet.
Question 12. Lister les avantages (en dehors des dbits) dune solution DSL/VPN.
Connexion permanente du fait de la liaison DSL, cot forfaitaire et indpendant de la distance
Scurit lie au VPN : encapsulation de la trame crypte et authentification.
172
Question 13. crire la table de routage du routeur Rte_A'click, partir des informations de
l'annexe 1.
Table de r outage pour Rte_A' click
Rseau Masque Routeur Interface
0.0.0.0 0.0.0.0 @IP_FAI_A' Click 66.101.21.12
192.168.10.0 255.255.255.0 172.16.120.252 172.16.120.253
172.16.120.0 255.255.255.0 172.16.120.253 172.16.120.253
On acceptera en lieu et place de ladresse @IP_FAI_A'Click une adresse publique cohrente.
Question 14. Expliquer les rgles de filtrage 2 et 3 appliques sur l'interface publique.
Le pare-feu doit laisser entrer les flux VPN sur linterface publique.
Les rgles de filtrage 2 et 3 servent ltablissement et le maintien du tunnel VPN, la connexion
des clients VPN.
Question 15. Ajouter la (les) rgle(s) de filtrage mettre en place sur l'interface 172.16.120.253 du
routeur Rte_A'click afin de respecter les accs prciss ci-dessus, sachant que laction de la rgle
par dfaut est Accepter .
Table de filtrage de l'interface 172.16.120.253 du routeur Rte_A'click :
N de
rgle
Adresse source Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 172.16.120.100/32 Tous 172.16.120.7/32 Tous Tous Bloquer
2 172.16.120.100/32 Tous 192.168.10.0/24 Tous Tous Bloquer
3 172.16.120.8/29 Tous 192.168.10.0/24 Tous Tous Bloquer

Dfaut Toutes Tous Toutes Tous Tous Accepter
173
CDGJC J =

La socit Tholdi est implante dans plusieurs installations portuaires europennes.
Elle est spcialise dans la gestion de containeurs destins au transport de marchandises.
Son sige social est situ en rgion parisienne et ses zones dactivits dans les ports de :
- Le Havre (France) ;
- Marseille (France) ;
- Hambourg (Allemagne) ;
- Anvers (Belgique) ;
- Rotterdam (Pays-Bas).
Chacune des implantations comporte un systme informatique organis en rseau local. Ces rseaux
sont interconnects afin de permettre lchange dinformations en temps rel entre tous les sites.
Le rseau de cette entreprise est bas sur un protocole unique : TCP/IP V4. Les rseaux locaux
utilisent une technologie Ethernet 100 Mb/s pour la connexion des postes de travail et 1 Gb/s
pour tous les serveurs. Les diffrents sites sont relis au sige par des liaisons spcialises.
Tous les utilisateurs des diffrents sites accdent aujourdhui lInternet via le serveur proxy du
sige.
La socit THOLDI, toujours soucieuse de diminuer ses charges dexploitation, dcide de tester une
solution RPV (Rseau Priv Virtuel) ou VPN (Virtual Private Network), pour remplacer ses
actuelles liaisons loues reliant tous les ports au site de Paris. Le site pilote choisi pour ce projet est
le site de Rotterdam. Vous tes charg de cette mission par ladministrateur rseau de la socit.
Ce dernier vous a fourni le plan de la solution mettre en place en annexe 1 et le plan dadressage
en annexe 2.
1. Indiquer , en obser vant le plan dadr essage, de quelle classe dadr esses il sagit. Expliquer
sil sagit dadr esses pr ives ou publiques. Justifier les r ponses.
Le projet commence par linstallation du routeur daccs lInternet qui doit remplacer le routeur
grant la liaison loue avec Paris. Celui-ci possde une fonction NAT (Network Address
Translation) et une adresse publique en 82.216.198.161/29.
2. Donner ladr esse de r seau public de Rotter dam. Justifier la r ponse.
3. Dter miner le nombr e dhtes pouvant tr e adr esss sur ce sous-r seau. Donner les
adr esses utilisables pour ces htes ainsi que ladr esse de diffusion. Justifier la r ponse.
Il sagit maintenant dinstaller le serveur RPV et de configurer les lments du rseau
indispensables la ralisation de ce projet. Pour faciliter votre travail, ladministrateur rseau vous
a fourni une documentation sur les RPV. Elle est disponible en annexe 3.
La configuration suivante a t retenue pour la mise en place du RPV entre le site de Rotterdam et
le site de Paris :
Le serveur RPV du rseau de Rotterdam, paramtr pour faire du routage et de la
tunnelisation , est install ladresse relle 172.30.192.100/19. Ce serveur RPV possde une
carte virtuelle dadresse 10.7.124.240/8.
Ladministrateur rseau sest charg de linstallation du serveur RPV de Paris. Ce dernier est
install sur la machine hbergeant le serveur DHCP. Ladresse virtuelle du serveur RPV de
Paris est 10.119.255.97/8.
Les paquets transports par le RPV utilisent le protocole UDP et le port 1500.
174
Le routeur Internet du site de Paris possde ladresse 83.225.12.17/30. Pour autoriser la
redirection des paquets reus sur le routeur Internet de ce site vers le serveur RPV de ce mme
site, ladministrateur rseau a mis en place une redirection de port ou DNAT (Destination
Network Address Translation).
Vous tes charg(e) deffectuer un paramtrage similaire sur le routeur Internet du site de
Rotterdam. Pour effectuer ce travail vous utiliserez le modle de tableau prsent ci-dessous.
Interface Type Protocole Adresse
publique
Port
public
Adresse
prive
Port
priv
DNAT
4. cr ir e, en utilisant le modle de tableau pr sent ci-dessus, la r gle mettr e en place.
Lannexe 4 vous prsente la table de routage du serveur RPV de Rotterdam.
5. Indiquer , en obser vant la table de r outage du ser veur RPV de Rotter dam, si le site de Par is
et le site de Rotter dam sont bien r elis par un tunnel dadr esse de r seau 10.0.0.0/8. Justifier
la r ponse.
6. Complter la table de r outage pour que le site de Rotter dam puisse communiquer avec le
site du Havr e via le ser veur RPV de Par is.
7. Simplifier la table de r outage obtenue en pr oposant une agr gation de r outes. Justifier la
r ponse.
8. Indiquer ladr esse de passer elle qui doit tr e dfinie sur chaque or dinateur du site de
Rotter dam.
Pour tester votre RPV, vous connectez votre portable ladresse 172.30.192.1/19 et vous excutez
la commande ping, en continu, vers le portable de ladministrateur rseau situ Paris ladresse
172.30.32.1/19. Vous lancez alors une capture de paquets sur la carte rseau relle du serveur RPV
de Rotterdam. Cette capture est prsente en annexe 5.
9. Expliquer , en utilisant la captur e de paquets de lannexe 5, pour quoi les adr esses IP
dor igine et de destination des paquets en entr e et en sor tie du ser veur RPV (r outeur
chiffr ant) sont diffr entes alor s quil sagit pour tant du mme message (ping request pour les
lignes 1 et 2).
Vous testez maintenant le fonctionnement global de linterconnexion du site de Rotterdam avec le
site de Paris depuis un poste fixe de Rotterdam. Vous constatez que le serveur DHCP de Paris
narrive pas vous fournir une adresse IP.
10. Indiquer la fonctionnalit qui na pas t mise en place sur le site de Rotter dam. Justifier
la r ponse.
Aprs la mise en place de larchitecture dcrite en annexe 1, on se proccupe maintenant des accs
Wi-Fi pour le site de Rotterdam.
Les conducteurs dengins du port maritime sont quips de PDA (Personal Digital Assistant ou
Assistant Personnel) de type HP iPAQ hx2490, qui ne supportent que le chiffrement en mode Wep.
Les informations sur chaque transport sont ainsi saisies en temps rel.
175
Le rseau Wi-Fi de la socit THOLDI respecte la norme 802.11g et offre un dbit thorique de 54
Mbits/s (26 Mbits/s rels) sur la bande de frquence 2,4 GHz. Cette norme offre une compatibilit
descendante avec la norme 802.11b. Le mode de fonctionnement utilis est le mode infrastructure,
centralis autour dun seul point daccs Wi-Fi pour le site. Ce point daccs joue galement le rle
de commutateur et dispose de six ports RJ45 dont trois sont libres.
11. Donner les avantages du mode point daccs (infr astr uctur e) par r appor t au mode dgal
gal (ad hoc).
12. Expliquer ce quest un SSID.
Le point d'accs Wi-Fi a t paramtr ainsi :
Non diffusion du SSID du rseau ;
Chiffrement Wep activ ;
Activation du filtrage par adresse MAC.
13. Citer les par amtr es Wi-Fi enr egistr er sur les PDA pour pouvoir se connecter au
commutateur Wi-Fi.
Pour accentuer la scurit des LAN du site, ladministrateur rseau envisage de mettre en place des
VLAN. Il espre ainsi mieux grer le trafic gnr par les PDA des camionneurs. Il pense installer
deux VLAN : un VLAN Wifi pour les seuls PDA et un VLAN Lan pour le reste du site. Le
commutateur Wi-Fi permet d'associer un SSID chaque VLAN et permet de grer des VLAN par
port.
14. Dcr ir e le pr incipe de fonctionnement dun VLAN par por t.
Avant de mettre en uvre cette solution, l'administrateur souhaite tudier ses consquences sur la
configuration actuelle du rseau du site de Rotterdam.
15. Donner le nombr e de domaines de diffusion ainsi dfini sur le site.
16. Dter miner si l' administr ateur r seau peut conser ver le plan d' adr essage IP des PDA.
Justifier la r ponse.
17. Exposer une solution per mettant au PDA du VLAN Wifi de communiquer avec les
postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel peut tre
ajout). Pr ciser les configur ations mettr e en place sur le commutateur Wi-Fi et sur les PDA.
L'objectif attendu par l'administrateur rseau est la limitation d'coute passive par un portable pirate
disposant dune liaison Wi-Fi et ayant cass la cl Wep.
18. Indiquer , avant la mise en uvr e des VLAN, la natur e des changes entr e les ser veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant dune liaison Wi-Fi.
Justifier la r ponse.
19. Indiquer , apr s la mise en uvr e des VLAN, la natur e des changes entr e les ser veur s du
por t mar itime pouvant tr e captur s par un por table pir ate disposant dune liaison Wi-Fi.
Justifier la r ponse.
Aprs cette tude pralable l'administrateur rseau dcide d'abandonner la mise en place des VLAN
estimant que la solution n'est pas techniquement et financirement adapte.
20. Pr oposer une autr e solution per mettant de r duir e les r isques dcoute passive et ses
consquences sur les quipements actuels
176
177
Annexe 2 : Plan dadr essage r seau de la socit THOLDI
172.30.32.0/19 rseau du sige Paris
172.30.64.0/19 rseau du port du Havre
172.30.96.0/19 rseau du port de Hambourg
172.30.128.0/19 rseau du port dAnvers
172.30.160.0/19 rseau du port de Marseille
172.30.192.0/19 rseau du port de Rotterdam
Annexe 3 : Fonctionnement dun RPV (Rseau pr iv vir tuel)
Le RPV correspond une interconnexion de rseaux locaux via une technique de tunnel . On
parle de RPV lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec
d'autres organismes. C'est sur Internet et les infrastructures IP que se sont dveloppes les
techniques de tunnel .
Le RPV utilise Internet comme support de transmission en utilisant un protocole de
tunnelisation qui encapsule les donnes transmettre, donnes qui sont elles-mmes chiffres.
On parle alors de RPV pour dsigner le rseau ainsi cr, qui est dit virtuel car il relie deux rseaux
physiques (rseaux locaux) par une liaison non fiable (Internet) et priv car seuls les ordinateurs
des rseaux locaux de part et d'autre du RPV peuvent accder aux donnes en clair.
Le RPV permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en uvre des
quipements terminaux. En contrepartie, il ne permet pas d'assurer une qualit de service
comparable une ligne loue dans la mesure o le rseau physique est public, donc non garanti.
Annexe 4 : Table de r outage du ser veur RPV de Rotter dam
Destination rseau Masque rseau Adresse de
Passerelle
Adresse
Interface
0.0.0.0 0.0.0.0 172.30.192.254 172.30.192.100
10.0.0.0 255.0.0.0 10.7.124.240 10.7.124.240
172.30.32.0 255.255.224.0 10.119.255.97 10.7.124.240
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100
Annexe 5 : Captur e de paquets sur le ser veur RPV de Rotter dam
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500 Destination
port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500 Destination
port: 1500
4 Sortie 172.30.32.1 172.30.192.1 ICMP Echo (ping) reply

178
.... .... . . .... .... . . .... .... . . .... .... . ., ,, ,
Question 1. Indiquer, en observant le plan dadressage, de quelle classe dadresses il sagit.
Expliquer sil sagit dadresses prives ou publiques. Justifier les rponses.
Il sagit de classe B car les valeurs de 128 191 pour le premier octet dfinissent la classe B.
Il sagit dadresses prives car de 172.16.0.0 172.31.255.255 ce sont des adresses prives.
Question 2. Donner ladresse du rseau public de Rotterdam. Justifier la rponse.
Ladresse du routeur internet est 82.216.198.161/29. Avec un masque de 29 on utilise les cinq
premiers bits du dernier octet pour adresser les sous-rseaux et les trois derniers pour adresser les
htes du sous-rseau.
Les adresses rseau des sous-rseaux varient donc de 8 en 8.
soit 0,8,16,32,40,48,56,64,72,80,88,96,104,112,120,128,136,144,152,160,168. Ladresse du sous-
rseau public de Rotterdam est donc 82.216.198.160/29.
Question 3. Dterminer le nombre dhtes pouvant tre adresss sur ce sous-rseau. Donner les
adresses utilisables pour ces htes ainsi que ladresse de diffusion. Justifier la rponse.
Les 3 bits restant permettent dadresser 2
3
-2 = 6 htes. Premier hte 82.216.198.161, dernier hte
82.216.198.166, adresse de diffusion 82.216.198.167.
Question 4. En utilisant le modle de tableau prsent ci-dessous, donner la rgle mettre en place.
Interface Type Protocole Adresse publique Port
public
Adresse prive Port
priv
82.216.198.161 DNAT UDP 82.216.198.161/29 1500 172.30.192.100/19 1500
Question 5. Indiquer, en observant la table de routage du serveur RPV de Rotterdam, si le site de
Paris et le site de Rotterdam sont bien relis par un tunnel dadresse de rseau 10.0.0.0/8. Justifier la
rponse.
Destination rseau Masque rseau Adr. Passerelle Adr. Interface Mtrique
0.0.0.0 0.0.0.0 172.30.192.254 172.30.192.100 20
10.0.0.0 255.0.0.0 10.7.124.240 10.7.124.240 20
172.30.32.0 255.255.224.0 10.119.255.97 10.7.124.240 1
172.30.192.0 255.255.224.0 172.30.192.100 172.30.192.100 20
On constate bien que pour atteindre le rseau de Paris situ en adresse 172.30.32.0/19 on sort par
linterface 10.7.124.240 pour atteindre la passerelle 10.119.225.97. Cette adresse de passerelle est
en fait ladresse virtuelle du serveur RPV de PARIS. Tous les paquets destination de Paris
passeront donc bien par le tunnel RPV dadresse de rseau 10.0.0.0/8.
Question 6. Complter la table de routage pour que le site de Rotterdam puisse communiquer avec
le site du Havre via le serveur RPV de Paris.
Il faut rajouter la ligne suivante :
172.30.64.0 255.255.224.0 10.119.255.97 10.7.124.240
179
Question 7. Simplifier la table de routage obtenue en proposant une agrgation de routes. Justifier
la rponse.
Les routes concernant le site de Paris et du Havre peuvent tre regroupes car elles ont une partie
commune en binaire sur le troisime octet :
32 00100000
64 01000000
172.30.0.0 255.255.128.0 10.119.255.97 10.7.124.240
Question 8. Indiquer ladresse de passerelle qui doit tre dfinie sur chaque ordinateur du site de
Rotterdam.
Les communications intersites doivent passes par le RPV. Ladresse de passerelle des htes de
Rotterdam doit tre ladresse du serveur RPV soit 172.30.192.100. Comme le montre la table de
routage si le rseau de destination est inconnu, le serveur RPV route le paquet vers sa passerelle par
dfaut, le routeur internet. Les accs lInternet ne sont donc pas perturbs par la mise en place de
cette passerelle par dfaut.
Question 9. Expliquer, en utilisant la capture de paquets de lannexe 5, pourquoi les adresses IP
dorigine et de destination des paquets en entre et en sortie du serveur RPV (routeur chiffrant) sont
diffrentes alors quil sagit pourtant du mme message (ping request lignes 1 et 2).
No. Sens Source Destination Protocol Info
1 Entre 172.30.192.1 172.30.32.1 ICMP Echo (ping) request
2 Sortie 172.30.192.100 83.225.12.17 UDP Source port: 1500
Destination port: 1500
3 Entre 83.225.12.17 172.30.192.100 UDP Source port: 1500
Destination port: 1500
4 Sortie 172.30.32.1 172.30.192.1 ICMP Echo (ping) reply
Un serveur RPV encapsule les paquets dorigine pour les faire transiter dans le tunnel. La ligne 1 est
le premier echo request de la commande ping mise par le portable de Rotterdam destination du
portable de ladministrateur rseau de Paris. Ce paquet est trait par le serveur RPV de la faon
suivante : il y a chiffrement et encapsulation
Paquet reu en premier par le serveur RPV
172.30.192.1 172.30.32.1 ICMP Donnes
Le premier paquet pour pouvoir voyager sur internet est encapsul dans ce deuxime paquet
172.30.192.100 83.255.12.17 1500 UDP Donnes
La ligne 2 est donc le paquet qui encapsule les donnes chiffres du ping de la ligne 1.
Ladresse 83.255.12.17 est ladresse du routeur internet du site de Paris.
Ladresse 172.30.192.100, adresse du serveur RPV de Rotterdam, sera nate par le routeur
internet de Rotterdam et deviendra 82.216.198.161.
Il existe donc dans les fichiers de configuration du serveur RPV, une correspondance entre son
adresse virtuelle, son adresse relle et son adresse publique.
180
Question 10. Indiquer la fonctionnalit qui na pas t mise en place sur le site de Rotterdam.
Justifier la rponse.
Le site de Rotterdam et le site de Paris ne sont pas sur le mme rseau. Le serveur DHCP est situ
Paris. Il est donc ncessaire dinstaller un serveur relais DHCP sur le site de Rotterdam. En effet le
serveur relais DHCP permet de relayer les demandes et les attributions dadresses dans le port de
Rotterdam depuis le serveur DHCP du site de Paris.
Question 11. Donner les avantages du mode point daccs (infrastructure) par rapport au mode
dgal gal (ad hoc).
cot Scurit Mise en uvre
Infrastructure Plus lev Trs bonne avec un
routeur
Point daccs ou routeur wifi
Cartes wifi
Ad hoc Peu lev Peu scuris Trs simple
Cartes wifi
Il sagit ici du rseau dune entreprise, le mode infrastructure est donc le mode le plus appropri.
Question 12. Expliquer ce quest un SSID.
Service Set Identifier, identifiant de 32 caractres de long au format ASCII servant de nom pour le
rseau. La connaissance du SSID est ncessaire pour quune station puisse se connecter au rseau.
Question 13. Citer les paramtrages Wi-Fi enregistrer sur les PDA pour pouvoir se connecter au
commutateur Wi-Fi.
Il faut configurer le SSID sur le poste puisquil nest pas diffus.
Il faut dfinir la cl WEP utilise par le point daccs.
Question 14. Dcrire le principe de fonctionnement dun VLAN par port.
Cest lassociation dans le commutateur dun port un numro de VLAN. Toutes les trames mises
et reues sur le port ne seront commutes que vers un port appartenant au mme VLAN. Si
plusieurs VLAN sont dfinies sur le port il faut que les trames soient tiquetes.
Question 15. Donner le nombre de domaines de diffusion ainsi dfinis sur le site.
Deux domaines de diffusion sont grs sur chaque site. Un par Vlan.
Question 16. Dterminer si l'administrateur rseau peut conserver le plan d'adressage IP des PDA.
Justifier la rponse.
Les deux VLANS sont isols. On peut conserver le mme plan dadressage IP mais dans ce cas on
ne pourra jamais communiquer entre les deux Vlans. En effet pour communiquer en IP entre les
deux VLANs il faut un routeur ce qui implique que les rseaux IP sur chaque Vlan soient diffrents.
181
Question 17. Exposer une solution qui permettrait au PDA du VLAN Wifi de communiquer
avec les postes du VLAN Lan (les commutateurs Wi-Fi sont conservs mais un matriel peut
tre ajout). Prciser les configurations mettre en place sur le commutateur Wi-Fi et sur les
PDA.
Il faut un routeur. Ce routeur aura deux cartes rseaux (relles ou virtuelles) avec une adresse IP sur
chacun des rseaux.
Si le routeur possde deux cartes relles, il faut associer chacune de ces cartes un VLAN et donc
mettre jour sur le commutateur Wi-Fi les associations VLAN <-> port (une carte sur Wi-Fi et une
carte sur LAN).
Si le routeur ne possde quune carte relle mais deux cartes virtuelles, il faut sur le commutateur
Wi-Fi installer le protocole 802.1Q sur le port o est connecte cette carte relle.
Sur les PDA, il faut paramtrer ladresse IP de la carte rseau du routeur situe sur le mme VLAN
comme passerelle.
Question 18. Indiquer, avant la mise en uvre des VLAN, la nature des changes entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi-
Fi. Justifier la rponse.
Les changes entre les serveurs sont commuts. Les changes unicast ne seront pas capturables car
non transmis par le point daccs par contre les changes broadcast le seront.
Question 19. Indiquer, aprs la mise en uvre des VLAN, la nature des changes entre les
serveurs du port maritime pouvant tre capturs par un portable pirate disposant dune liaison Wi-
Fi. Justifier la rponse.
Cela ne change pas grand chose. Les changes entre les serveurs sont toujours commuts. Les
changes unicast ne seront pas capturables car non transmis par le point daccs et isols dans un
VLAN. Par contre les changes de broadcast ne seront pas transmis par le point daccs car le SSID
a t associ au VLAN Wifi.
Question 20. Proposer une autre solution permettant de rduire les risques dcoute passive et ses
consquences sur les quipements actuels.
Il faut passer un mode de chiffrement plus difficile craquer que le chiffrement Wep, le
chiffrement WPA par exemple. On peut aussi envisager la mise en place dun serveur Radius et une
authentification des PDA par certificats lectroniques.
Le choix de chiffrement WPA impose le changement des PDA.
182
CDGJC J =C
La socit FEFORT, installe en France, est spcialise dans la torrfaction et lassemblage de
cafs.
Activit de lentreprise
FEFORT possde des units de production en Afrique, Amrique Centrale et Amrique du Sud qui
soccupent de la collecte de la matire premire, la cerise de caf , auprs des producteurs
locaux. Cette matire premire est ensuite lave et dpulpe sur place. Une fois schs, les
grains verts qui rsultent de lopration prcdente traversent lAtlantique, en bateau, jusquau
Havre.
La socit procde en France la torrfaction des grains verts. Ceux-ci, grills dans des fours,
librent alors larme attendu. Les laboratoires ralisent aussi, si ncessaire, lassemblage des
diffrentes varits de caf, tous les consommateurs nayant pas les mmes attentes du produit,
souvent en fonction de leurs habitudes culturelles.
Son client principal est la grande distribution sous sa propre marque ou sous la marque du
distributeur.
Implantation gographique
Le sige de la socit est situ en rgion PACA (Provence-Alpes-Cte dAzur). Il regroupe les
services administratifs et de direction, un service qualit, recherche et dveloppement (QR&D)
intgrant un laboratoire charg de tester de nouveaux produits. Le service qualit est charg de
veiller la qualit des processus de lentreprise, aussi bien administratifs, que de production.
Le centre informatique principal est implant au sige de la socit. Les autres sites y accdent pour
l'essentiel de leurs traitements.
Le rseau et le parc informatique ont pris de lampleur au fil des annes et il est ncessaire de le
rationaliser.
Jeune diplm(e), vous travaillez en tant que technicien(ne) sur le site principal, dans lquipe
rseau et systmes, charge de larchitecture et de la scurit de celui-ci.
Le rseau principal du sige regroupe un grand nombre de stations clientes (environ 250) et de
serveurs. Bien que ce rseau s'appuie sur une arborescence de commutateurs, les diffusions sont
nombreuses et pnalisent lourdement le rseau. De plus, la direction souhaite que les changes de
donnes entre les postes dun mme service ne soient pas, pour des raisons de confidentialit,
accessibles aux autres services. Pour scuriser et allger la charge du rseau, Monsieur Godard, le
directeur du service informatique envisage deux solutions :
La premire consiste crer 8 sous-rseaux (7 services plus la liaison vers le pare-feu) en
remplaant le commutateur central (voir annexe 1) par un routeur IP 8 interfaces. Monsieur
Godard vous demande d'tudier dans un premier temps la faisabilit de cette solution.
La seconde solution fait appel aux VLAN et sera envisage dans le dossier suivant.
tude de la pr emir e solution
Chaque service correspondra un sous rseau. Monsieur Godard a choisi dutiliser un masque de
sous-rseau de 20 bits.

1. Donner l' cr itur e dcimale pointe de ce masque et indiquer combien de sous r seaux
pour r ont tr e cr s l' aide de celui-ci.
2. Pr oposer une adr esse IP de r seau pour chacun des ser vices. La proposition doit tre
compatible avec les adresses statiques existantes indiques dans l'annexe 2.
183
3. Donner ladr esse de la passer elle par dfaut des postes du ser vice commer cial, sachant quil
sagit de ladr esse disponible la plus leve pour ce sous-r seau.
Suite cette modification, les postes des diffrents services configurs en DHCP ne reoivent plus
leurs paramtres IP.
4. Expliquer la r aison de ce dysfonctionnement et pr ciser les modifications appor ter , dune
par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Par e-feu : Filtr age du tr afic r seau
En complment de la protection des accs lentreprise prise en charge par le fournisseur daccs
Internet, le DSI envisage de filtrer le trafic rseau entre le sige et les units du groupe.
Le pare-feu du sige doit tre configur pour :
permettre tous les utilisateurs l'accs la navigation web via le serveur mandataire (proxy)
du FAI (port 3128) ;
limiter laccs des units du groupe uniquement au service informatique ;
donner au service informatique (et donc au poste de l'administrateur) accs l'ensemble des
services et sites distants.
5. En utilisant le for malisme donn en annexe 4, donner les r gles applicables en entr e de
linter face concer ne per mettant de r especter les consignes donnes. Vous veillerez limiter le
nombre de rgles dfinir.
DHCP : Cr ation d' une tendue de secour s
Chaque unit dispose de son propre serveur DHCP. L'administrateur du rseau souhaite introduire
un dispositif de tolrance de panne s'appuyant sur le serveur DHCP du sige.
En cas de dysfonctionnement dun serveur local, le serveur du sige devra donc pouvoir fournir
leurs paramtres IP aux stations distantes qui en font la demande.
Vous avez t charg(e) de tester la solution sur le site de Villeurbanne.
Le serveur DHCP local possde la configuration suivante :
tendue : Villeurbanne
Plage d'adresses : 172.22.0.1 172.22.0.149
Masque : 255.255.0.0
Options
Passerelle : 172.22.250.204 (adresse interne du routeur 4)
DNS : 172.16.200.2
6. Indiquer les modifications appor ter afin de distr ibuer des adr esses valides aux stations de
Villeur banne, sur une tendue de mme taille.
DNS : Mise en place d' une dlgation de zone
Le serveur DNS du sige prend en charge les rsolutions de noms pour l'ensemble du groupe. La
charge importante pour ce serveur et lutilisation des liaisons distantes pnalisent les temps de
rponse. Il a donc t dcid de mettre en place des serveurs DNS locaux sur le principe des
dlgations de zone. Chaque site grera sa propre zone dpendante de la zone principale du groupe.
L'arborescence souhaite est donne en annexe 6.
7. Appor ter les modifications ncessair es au fichier de la zone fefort.loc (annexe 5) et cr ir e le
fichier de la zone villeurbanne.fefort.loc.
184
Pour amliorer la tolrance aux pannes, il a t dcid que le serveur DNS du sige serait serveur
secondaire pour chacun des domaines fils. En cas de dfaillance d'un serveur DNS, les clients du
site pourront alors utiliser les services du serveur DNS du sige.
Une premire exprimentation de ce dispositif doit tre mise en uvre sur le site de Villeurbanne.
8. Expliquer les modifications appor ter au ser veur DNS du sige dune par t et celui du site
de Villeur banne dautre par t.
Le directeur vous suggre de mettre en place une solution base sur lutilisation de rseaux locaux
virtuels (VLAN). Cette solution permettra de rduire le primtre des domaines de diffusion et de
scuriser les changes entre les services. Lacquisition dun nouveau commutateur est ncessaire
pour remplacer le commutateur actuel, notamment pour :
Grer les VLAN et la priorit des flux ;
viter les temptes de diffusion ;
Supporter la redondance de liens avec un autre commutateur de mme type ;
Administrer distance le commutateur en mode console ainsi qu laide doutils de supervision
de rseau.
9. Dter miner la configur ation matr ielle et pr ciser les pr otocoles que devr a suppor ter le
nouveau commutateur . Le rle des fonctions et protocoles quil prendra en charge sera
expliqu.
En vous documentant sur les VLAN afin de monter le dossier, vous vous apercevez que
ltanchit quoffrent les VLAN ne permettra plus aux postes de communiquer avec les
serveurs du service informatique.
10. Pr oposer une solution matr ielle complmentair e pour per mettr e aux postes de tr avail des
diffr ents ser vices daccder aux ser veur s du ser vice infor matique. Expliquer br ivement
comment elle doit tr e mise en uvr e.
Une fois cette solution mise en place, un problme survient. Le service dassistance tlphonique
interne au groupe est dbord dappels : les diffrents sites ne peuvent plus accder aux serveurs.
Lorigine de la panne est trouve : le routeur R1 est hors service.
Le problme est rgl par le remplacement du routeur dfaillant par un nouveau routeur quil a fallu
configurer. Le dpannage a ncessit une journe de travail. Aprs avoir reu les chiffres de la perte
dexploitation gnre par cette rupture de liaison, le DSI cherche viter quune telle interruption
de service puisse nouveau survenir. Ce dernier vous demande de proposer une solution permettant
de garantir la continuit du service daccs aux serveurs du sige lorsquune panne identique se
prsente.
11. Pr oposer une solution per mettant de gar antir la continuit du ser vice daccs aux ser veur s
du sige lor s dune panne du r outeur . Expliquer les pr incipes de fonctionnement de votr e
solution.
185
Annexe 1 Schma du r seau de la socit FEFORT
Internet
Rseau
maill
MPLS
Fournisseur dAccs Internet
? Filtrage de contenu
? Proxy Web/ Ftp
? Relais de messagerie
? Anti-virus
? Anti- spam
? DNS
Costa Rica
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Brsil
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Kenya
Serveur de production de
type Mainframe
Serveur dauthentification
Serveur DHCP
Sige
Villeurbanne ( F)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Bourg- en- Bresse ( F)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Serveur
DNS
Direction
Service
Marketing
Service
Relation
Client
Service
Commercial
Service
Gestion/
compta
Service Qualit,
Recherche et
Dveloppement
Liaisons SDSL jusquau
fournisseur MPLS
F.A.I . priv
Neuchtel ( Suisse)
Serveur dauthentification
Serveur de fichiers publi FTP
Serveur DHCP
Ethernet Commut
Lgende
R1
R2
R3
R4
R5
R6
R7
Connexion
vers le reste
du groupe
Pare-feu
172.16. 0. 0/16
172.17.0. 0/ 16
172.20. 0. 0/16
172. 21.0.0/16
172.22.0.0/ 16
172.23.0.0/16
172.24.0. 0/ 16
172.25.0. 0/ 16
Commutateur
central
Serveur
DHCP
Service informatique
Serveur
SGBD et
DHCP
Commutateurs vers
les diffrents
services
186
Annexe 1 (suite)
Les sites du groupe sont interconnects par un rseau professionnel MPLS. Le rseau et son
adressage sont grs par le fournisseur. Le groupe FEFORT peut tout moment observer le
fonctionnement de celui-ci, dtecter les goulets dtranglement et ventuellement demander le
redimensionnement de certaines liaisons sites vers MPLS . Cest pour cela quil est important
dconomiser la bande passante inter-sites.
Plan d' adr essage du gr oupe FEFORT
Classe B prive : 172.16.0.0/16 172.25.0.0/16
Le sige possde 2 rseaux : 172.16.0.0 (services sige), 172.17.0.0 (liaison PF-Routeur)
Chaque service dispose dun maximum de 50 stations.
Seuls le service informatique et le pare-feu utilisent des adresses statiques.
Pour infor mation : MPLS (Multi-Protocol Label Switching)
Un rseau MPLS est mis en place par un oprateur spcialis, il permet des entreprises trs
tendues dinterconnecter leurs sites trs facilement comme sils appartenaient un rseau local. Le
protocole MPLS intervient au niveau 2 du modle OSI. On sy connecte le plus souvent avec une
liaison SDSL.
Diffrentes entreprises peuvent emprunter les mmes chemins, car ltanchit entre les
diffrents clients de ce rseau est assure, en partie, par un marquage des trames. La
marque (tag) est unique pour une entreprise.
Annexe 2 : Adr esses statiques attr ibues au sige
Machine @ IP F.Q.D.N.
Serveur d'authentification 172.16.200.1 logon.fefort.loc
Serveur DNS 172.16.200.2 ns.fefort.loc
Serveur DHCP 172.16.200.3 dhcp.fefort.loc
Serveur de messagerie 172.16.200.4 mail.fefort.loc
Serveur de dveloppement 172.16.200.5 dev.fefort.loc
Serveur de fichiers 172.16.200.6 fichiers.fefort.loc
Serveur de sauvegardes 172.16.200.7 backup.fefort.loc
Serveur d'impressions 172.16.200.8 imp.fefort.loc
Serveur de bases de donnes 172.16.200.9 bdd.fefort.loc
Ferme de serveurs d'applications 172.16.200.10 appli.fefort.loc
Poste admininistrateur 172.16.200.200 poste_admin.fefort.loc
Pare-feu 172.16.220.1
172.17.0.1
Routeur 1 (R1) 172.17.0.201
187
Annexe 3 : Configur ation du ser veur DHCP du sige
tendue : Sige FEFORT
Plage d'adresses distribues : 172.16.0.1 172.16.2.255
Masque : 255.255.0.0
Options
Passerelle par dfaut : 172.16.220.1
Serveur DNS : 172.16.200.1
Annexe 4 : Str uctur e de la table de filtr age
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action



Chaque adresse sera indique au format xxx.xxx.xxx.xxx/nn o nn est le nombre de bits 1 du
masque.
Annexe 5 : Contenu du fichier de configur ation de la zone fefor t.loc
; dfinition de la zone fefort.loc
; le serveur d'autorit est dns.fefort.loc (serveur primaire)
; il est administr par une personne qu'on peut joindre l'adresse admin@fefort.loc
fefort.loc. IN SOA ns.fefort.loc. admin.fefort.loc. (3; 36000; 3600; 360000; 86400)
NS ns.fefort.loc. ; nom du serveur DNS primaire
; dclaration des adresses faisant autorit
; serveurs du sige
localhost.fefort.loc. IN A 127.0.0.1 ; serveur local
logon.fefort.loc. IN A 172.16.200.1 ; serveur d'authentification
ns.fefort.loc. IN A 172.16.200.2 ; serveur de nom
dhcp.fefort.loc. IN A 172.16.200.3 ; serveur dhcp
mail.fefort.loc. IN MX 172.16.200.4 ; serveur de messagerie
dev.fefort.loc. IN A 172.16.200.5 ; serveur de dveloppement
fichiers.fefort.loc. IN A 172.16.200.6 ; serveur de fichiers
backup.fefort.loc. IN A 172.16.200.7 ; serveur de sauvegardes
imp.fefort.loc. IN A 172.16.200.8 ; serveur d'impressions
bdd.fefort.loc. IN A 172.16.200.9 ; serveur de bases de donnes
appli.fefort.loc. IN A 172.16.200.10 ; serveurs d'applications
poste_admin.fefort.loc. IN A 172.16.200.200 ; station de l'administrateur
; serveurs de Villeurbanne
log-vi.fefort.loc. IN A 172.22.200.1 ; serveur d'authentification
dhcp-vi.fefort.loc. IN A 172.22.200.3 ; serveur dhcp
fic-vi.fefort.loc. IN A 172.22.200.6 ; serveur de fichiers
; serveurs des autres sites
;
; fin de la zone dautorit
188
Annexe 6 : Ar bor escence DNS
F e fo r t . l o c B o u r g . fe fo r t . l o c
N e u c h a t e l . f e fo r t . l o c
V i l l e u r b a n n e . f e f o r t . l o c
K e n y a . f e f o r t . l o c
B r e s i l . fe fo r t . l o c
C o s t a . fe fo r t . l o c
189
.... .... . . .... .... . . .... .... . . .... .... . .: :: :
Question 1. Donner l' cr itur e dcimale pointe de ce masque et indiquer combien de sous
r seaux pour r ont tr e cr s l' aide de celui-ci.
255.255.240.0
4 bits ==> 2
4
= 16 sous-rseaux possibles (on tolre 16-2 obsolte depuis 1995)
Question 2. Proposer une adresse IP pour chacun des services. La proposition doit tre compatible
avec les adresses statiques existantes indiques dans l'annexe 2.
Tous les sous-rseaux commencent par 172.16 et se terminent par 0.
Ils s'crivent donc sous la forme 172.16.x.0/20 o x reprsente un nombre multiple de 16 (puissance
de 2 correspondant au dernier bit 1 du masque de sous-rseau) :
0, 16, 32, 48, 64, 80, 96, 112, 128, 144, 160, 176, 192, 208, 224 et 240.
Tous les ordinateurs du service informatique sont en 172.16.200.x : ils doivent donc appartenir au
sous rseau 172.16.192.0 car celui-ci va jusqu' l'adresse 172.16.207.255.
Le pare-feu possde une adresse 172.16.220.1 : il est donc dans le rseau 172.16.208.0
Pour les diffrents services, puisqu'ils n'ont que des adresses dynamiques fournies par le DHCP, on
peut choisir n'importe quel autre sous-rseau non encore attribu.
sous-r seaux ser vices
172.16.0.0
172.16.16.0 Gestion/comptabilit
172.16.32.0 Commercial
172.16.48.0 Relation Client
172.16.64.0 Marketing
172.16.80.0 Direction
172.16.96.0 Q, R & D
172.16.112.0
172.16.128.0
172.16.144.0
172.16.160.0
172.16.176.0
172.16.192.0 Service informatique
172.16.208.0 Accs pare-feu (pour
information : non
exig)
172.16.224.0
172.16.240.0
La liste complte des sous rseaux possibles n'est pas demande et les deux derniers rseaux sont
aussi utilisables.
Question 3. Donner ladr esse de la passer elle par dfaut des postes du ser vice commer cial,
sachant quil sagit de ladr esse disponible la plus leve pour ce sous-r seau.
172.16.47.254
Ladresse fournie doit tre cohrente avec ladresse du sous rseau retenue pour le service
commercial (ici 172.16.32.0).
Au choix
Obligatoire
190
Question 4. Expliquer la r aison de ce dysfonctionnement et pr ciser les modifications
appor ter , dune par t au ser veur DHCP, dautr e par t au nouveau r outeur .
Raison
En l'tat actuel des choses, le routeur ne laisse pas passer les paquets DHCP Discover qui sont des
paquets de diffusion gnrale (adresse 255.255.255.255). Seuls les clients du service informatique
sont susceptibles de recevoir leurs paramtres IP.
Mise jour du r outeur
Sur le routeur, il faut :
attribuer au routeur une adresse dans chaque sous-rseau (fait la question prcdente donc
pas exige);
activer le relais DHCP sur toutes les interfaces du routeur sauf celle du service informatique;
La citation de l'agent relais est exige mais pas sa prsence sur toutes les interfaces.
lui indiquer l'adresse du serveur DHCP : 172.16.200.3.
Mise jour du ser veur
Sur le serveur DHCP, il faut :
supprimer l'tendue existante (pas exige);
crer une tendue par sous-rseau utilis, donc par service
Par exemple, pour le service Comptabilit/Gestion :
tendue : 172.16.16.1 172.16.16.100 (doit contenir au moins 50 adresses)
Masque : 255.255.240.0
Options :
Passerelle : 172.16.31.254 (adresse de routeur sur ce sous-rseau)
serveur DNS : 172.16.200.2
Il n'tait pas demand dexemple. Une simple phrase prcisant une cration d'tendue par sous-
rseau sera donc admise.
Question 5. En utilisant le for malisme donn en annexe 4, donner les r gles applicables en
entr e de linter face concer ne per mettant de r especter les consignes donnes. Vous veiller ez
limiter le nombr e de r gles dfinir .
Interface concerne (pas demand) :
172.16.220.1 (ct sige) en entre pour la communication sige vers sites distants
172.17.0.1 (ct site) en entre pour la communication retour
Ou bien une de ces interfaces en entre et en sortie (on nexige pas les deux).
N de
rgle
Adresse
source
Port
source
Adresse
destination
Port
destination
Protocole
transport
Action
1 Toutes Tous proxy 3128 TCP Accepter
2 Adresse proxy 3128 Toutes Tous TCP Accepter
3 172.0.0.0/8 Tous 172.16.192.0/20 Tous Tous Accepter
4 172.16.192.0/20 Tous 172.0.0.0/11 Tous Tous Accepter
Dfaut Toutes Tous Toutes Tous Tous Refuser
1
re
consigne : les rgles 1 et 2 permettent les changes entre le sige et le proxy du fournisseur
d'accs.
2
me
consigne : la rgle 3 permet aux units d'envoyer des paquets tous les services disponibles du
service informatique et la rgle 4 permet les rponses.
3
me
consigne : la rgle 4 permet au service informatique de contacter les units et la rgle 3 permet
les rponses.
La rgle finale (non exige) par dfaut interdit tout trafic non spcifiquement autoris donc les
changes directs entre les services du sige et les units du groupe. Le pare-feu n'intervient pas dans
les changes entre les services du sige.
191
On acceptera :
toute adresse proxy cohrente.
toute faon cohrente d'exprimer le mot "tous".
tout masque de sur-rseau cohrent (/11, /12, et avec deux lignes /14 et /15)
Une solution avec une ligne spcifique pour le poste de ladministrateur (/32).
La ligne par dfaut n'est pas exige.
Question 6. Indiquer les modifications appor ter afin de distr ibuer des adr esses valides aux
stations de Villeur banne, sur une tendue de mme taille.
Il faut crer une tendue pour Villeurbanne, par exemple :
Plage d'adresses : 172.22.1.1 172.22.1.149
Masque : 255.255.0.0
Options Passerelle : 172.22.250.204 (adresse interne du routeur 4)
DNS : 172.16.200.2
La seule modification par rapport l'tendue du serveur DHCP de Villeurbanne concerne la plage
d'adresses distribues.
Bien videmment, il faudra activer le relais DHCP du routeur 4 et lui indiquer l'adresse du serveur
DHCP du sige mais cela n'est pas demand.
Question 7. Appor ter les modifications ncessair es au fichier de la zone fefort.loc (annexe 5)
et cr ir e le fichier de la zone villeurbanne.fefort.loc.
Il faut ajouter le serveur DNS de Villeurbanne. Ce serveur aura par exemple les caractristiques
suivantes :
Machine @ IP F.Q.D.N.
serveur DNS 172.22.200.2 ns.villeurbanne.fefort.loc
Exemple avec BIND :
Dans la zone fefort.loc :
il faut rajouter une ligne de dlgation de zone pour chaque unit ainsi qu'une ligne de dclaration
de l'adresse du serveur. Exemple pour villeurbanne
villeurbanne.fefort.loc. IN NS ns.villeurbanne.fefort.loc.
ns.villeurbanne.fefort.loc. IN A 172.22.200.2
On nexige quune seule zone.
il faut supprimer la dclaration des serveurs de Villeurbanne (sauf le serveur DNS dclar ci-
dessus bien sr)
Le fichier zone de villeurbanne.fefort.loc. ressemblera ceci :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc.
(3; 36000; 3600; 360000; 86400)
IN NS ns.villeurbanne.fefort.loc.
; serveurs de Villeurbanne
log-vi IN A 172.22.200.1 ; serveur d'authentification
dhcp-vi IN A 172.22.200.3 ; serveur dhcp
fic-vi IN A 172.22.200.6 ; serveur de fichiers
ns IN A 172.22.200.2 ; serveur de nom

192
Exemple sur un ser veur MS-Windows :
Dans la zone fefort.loc :
Slectionner la zone fefort.loc
Crer une nouvelle dlgation
Saisir le nom de la sous-zone (ici : villeurbanne)
Ajouter le nom (ns.villeurbanne.fefort.loc) et l'adresse IP (172.22.200.2) du serveur DNS
qui a obtenu la dlgation.
Ajout de la zone de villeurbanne.fefort.loc :
2. Slectionner les zones de recherche directes
3. Ajouter une nouvelle zone principale
4. Saisir le nom de la zone (ici : villeurbanne.fefort.loc).
Question 8. Expliquer les modifications appor ter au ser veur DNS du sige dune par t et
celui du site de Villeur banne dautr e par t.
Exemple avec BIND :
Au sige :
Sur le serveur du sige, il faut ajouter l'information selon laquelle il sera serveur esclave pour la
zone villeurbanne.fefort.loc .
zone "villeurbanne.fefort.loc" {
type slave;
masters {
172.22.200.2;
};
};
Villeur banne :
Sur le serveur DNS de Villeurbanne, il faut ajouter une ligne NS pour le serveur ns.fefort.loc, ce qui
nous donne :
villeurbanne.fefort.loc. IN SOA ns.villeurbanne.fefort.loc. admin.fefort.loc.
(3; 36000; 3600; 360000; 86400)
IN NS ns.villeurbanne.fefort.loc.
IN NS ns.fefor t.loc

Exemple sur un ser veur MS-Windows :
Au sige :
zSlectionner Zones de recherche directes.
zDfinir une nouvelle zone secondaire
zSaisir le nom de la zone (ici : villeurbanne.fefort.loc).
zSaisir l'adresse IP du serveur DNS principal (ici : 172.22.200.2)
Villeur banne :
Slectionner la zone villeurbanne.fefort.loc
Ajouter un serveur de nom
Saisir nom et adresse IP du nouveau serveur NS.
Question 9. Dter miner la configur ation matr ielle et pr ciser les pr otocoles que devr a
suppor ter le nouveau commutateur . Le rle des fonctions et protocoles quil prendra en charge
sera expliqu.
193
Exemple de rponse :
Fonctions/pr otocoles Rle, explication
Configuration matrielle : 8 ports au moins
+ ports de liaison
Connectivit
Supporter la redondance de lien en vitant
les temptes de diffusion
Protocole 802.1D, STP
Arbre de recouvrement (Spanning tree),
Tolrance de panne par agrgation de liens
Grer les VLAN
Protocole 802.1q
Marquage de trames pour identifier les VLAN
Grer la priorit de flux
Protocole 802.1p
Gestion de la priorit de trames
Protocoles SNMP, Telnet, HTTP Accs en mode administrateur
Question 10. Proposer une solution matrielle complmentaire pour permettre aux postes de
travail des diffrents services daccder aux serveurs du service informatique. Expliquer
brivement comment elle doit-tre mise en uvre.
Pour la solution base sur un routeur, il faut soit une interface relle par VLAN sans ncessit de
taguer les trames soit une interface virtuelle par VLAN dans ce dernier cas le routeur doit taguer
les trames.
Pour la solution base sur des serveurs multidresss , il faut une interface virtuelle par VLAN et le
serveur doit taguer les trames.
Pour la solution base sur un commutateur-routeur il y a une interface relle par VLAN, il n'est pas
ncessaire de taguer.
Il existe aussi une rponse non dtaille ici avec des VLAN asymtriques?
Rponses possibles :
Prise en charge de la fonction de routage par lajout dun routeur avec une interface tague multi
adresse afin dinterconnecter logiquement tous les VLAN.
Une solution avec un commutateur de niveau 3 peut assurer l'ensemble de ces fonctionnalits.
Chaque port du commutateur s'interconnectant un autre commutateur est associ un VLAN et on
affecte une adresse IP. Les liaisons ne grant pas plusieurs VLAN il n'est pas ncessaire de taguer.
Si les serveurs grent les VLAN (protocole 802.1Q) on peut multiadresser les serveurs en
dfinissant une interface virtuelle par VLAN, dans ce cas la liaison entre les commutateurs et les
serveurs doit tre tague.
Question 11. Pr oposer une solution per mettant de gar antir la continuit du ser vice daccs
aux ser veur s du sige lor s dune panne du r outeur . Expliquer les pr incipes de
fonctionnement de votr e solution.
Exemples :
Mettre en place un routeur de secours et le protocole VRRP (Virtual Redondancy Router Protocol)
(HSRP pour Cisco) pour activer/dsactiver le routeur de secours.
Prvoir une redondance des routeurs avec rpartition de charges
On accepte une solution qui n'assure pas la continuit de service mais la reprise rapide de service
Par exemple :
Prvoir un routeur de secours avec une reprise dactivit base sur modification dynamique de
ladresse de passerelle sur les postes
VRRP permet deux routeurs R1 et R1 de partager une adresse IP virtuelle. De mme pour leur
adresse MAC. Lun des routeurs est actif comme sil tait seul. Mais sil tombe en panne lautre le
dtecte. (Arrt des changes mutuels de messages signalant leurs prsences). R1 ne reoit plus de
messages, il devient alors actif et rpond aux requtes adresses aux adresses communes (IP et
MAC).