Aller au contenu principal

Exercices de la semaine 9

Adresse IP de vos appareils GNS3

Quelle adresse IP utilisez-vous pour obtenir un terminal sur un appareil GNS3 via Telnet? À quelle interface cette adresse est-elle associée?

Réponse

Si vous utilisez GNS3 au laboratoire 0103 ou sous WSL dans Windows, l'adresse utilisée est ::1 ou 127.0.0.1. Ces adresses sont associées à l'interface loopback.

Serveurs localhost

Vous démarrez un serveur HTTP à l'adresse http://localhost:8080. Le serveur HTTP distribue vos dernières prouesses en CSS que vous désirez montrer à vos collègues.

En assumant que vous avez proprement configuré le firewall de votre poste, vos collègues ont-il accès à l'adresse localhost:8080? Aussumez aussi que vos collègues sont sur le même réseau local que vous.

Réponse

Non, vos collègues n'auront pas accès à votre serveur web. Le nom localhost est associé aux adresses 127.0.0.1 et ::1 (ces adresses peuvent être obtenues avec dig ou nslookup). Ces adresses sont classé parmi les préfixes réservés à des usages spéciaux, dont l'interface loopback

Les messages destinés à une adresse 127.0.0.1 ou ::1 ne quittent jamais l'appareil.

Servir du contenu à l'extérieur du réseau local

Au dernier exercice, vous avez appris que vous devriez utiliser une adresse différente de celle associée au nom localhost pour rejoindre un serveur autre que votre poste.

Vous avez donc choisi d'utiliser l'adresse IPv4 associée à votre interface WiFi. L'adresse choisie est 192.168.72.1, soit votre adresse à la maison, et vous utilisez toujours le port TCP 8080.

Vous désirez monter votre site web à un collègue situé à l'Université Laval.

En assumant que vous avez proprement configuré le firewall de votre poste, votre collègue a-t-il accès à l'adresse 192.168.72.1:8080?

Réponse

Pas plus qu'à la question précédente. Cette fois, c'est parce que l'adresse 192.168.72.1 est sous le préfixe 192.168.0.0/16. Ce préfixe est réservé aux adresses privées. Ces adresses ne sont pas routées sur Internet.

MTU / path MTU

Que signifie MTU? Quelle est la valeur typique du MTU sur Ethernet?

Réponse

L'acronyme MTU signifie Maximum Transmission Unit. C'estla taille maximale de la charge utile dans une trame Ethernet. La valeur typique du MTU Ethernet et 1500 octets. Vous pouvez valider cette valeur sur un poste Linux ou Unix avec la commande ifconfig ou ip link. Nous verrons l'impact du MTU sur la couche réseau et transport lorsque nous couvrirons les protocoles IP, UDP et TCP

Communication entre les VLANs

Les VLANs permettent d'isoler différents appareils à la couche liaison. Deux appareils sur des VLANs différents sont isolés de manière à ne pas être sur le même lien même s'ils sont connectés à la même switch.

Vous avez isolé deux postes sur des VLANs différents, mais désirez tout de même parfois envoyer des données entre ces deux postes. Est-ce possible? Si oui, comment? Sinon, pourquoi?

Réponse

C'est possible, mais il faut généralement passer par les couches supérieures de la pile Internet. On pourrait par exemple ajouter un routeur entre les VLANs de chaque appareil. Le routeur pourrait alors acheminer les datagrammes entre les deux VLANs.

Postes connectés à un VLAN

Lorsque des VLANs sont configurés dans un commutateur Ethernet, est-ce que les postes connectés à ce commutateur doivent avoir une configuration spéciale pour tenir compte de la présence de VLAN à la couche liaison?

Réponse

En général, non. Des trames Ethernet 802.3 “normales” sont envoyées entre le commutateur et les postes connectés. Ces trames ne contiennent pas l’information du VLAN, et ne contiennent donc pas l’entête 802.1Q (“VLAN tag”). La présence de VLAN dans le commutateur est donc invisible pour le poste de travail.

Il est possible de configurer le commutateur pour envoyer des trames Ethernet avec l’entête 802.1Q sur des interfaces bien précises. On identifie alors ces interfaces comme “802.1Q” ou “VLAN trunk”. Cette configuration utilisée pour y connecter un routeur IP qui agira comme routeur de sous-réseau pour différents VLAN, ou encore étendre les réseaux VLAN sur un autre commutateur Ethernet.

VLANs et ARP

Soit un commutateurs configuré avec 2 VLAN: VLAN 10 et VLAN 20. Si des postes de travail dans le VLAN 10 communiquent entre eux et effectuent des requêtes ARP, est-ce qu’un poste de travail dans le VLAN 20 reçoit la requête ARP? Est-ce qu’un routeur connecté via un lien 802.1Q (VLAN trunk) reçoit la requête ARP?

Réponse

Le poste de travail dans le VLAN 20 ne reçoit pas la requête ARP. Une requête ARP est envoyée vers l'adresse de broadcast limitée au sous-réseau (255.255.255.255). Puisque qu'un VLAN est dans un réseau distinct, le broadcast est limité au VLAN.

Un routeur connecté via un lien 802.1Q (VLAN trunk) reçoit la requête ARP car le routeur reçoit les trames de chaque VLAN via le lien 802.1Q.

Implémentation d'un protocole de tunnelling

À quelle couche de la pile réseau devriez-vous implémenter un protocole de tunnelling? Pourquoi?

Réponse

Plusieurs réponses sont possibles. Tout dépend du domaine d'application.

D'abord, il est nécessaire de différencier le protocole utilisé pour transporter les données envoyées dans le tunnel ainsi que la couche Internet à laquelle les données envoyées sont emballées.

Par exemple, un protocole de tunnels comme L2TP et VxLAN transporte des trames Ethernet dans des paquets UDP ou des datagrammes IP.

L'avantage d'encapsuler la couche liaison est de permettre d'interconnecter des appareils dans un même sous-réseau (LAN) alors qu'ils sont physiquement connectés dans des sous-réseaux séparés.

Un autre exemple est le tunnellage IP-IP. Pour IP-IP, le datagramme IP est encapsulé dans un autre datagramme IP. Ce genre de tunnel est utilisé pour permettre à des datagrammes IPv6 de traverser des réseaux IPv4.

L'utilisation des protocoles de plus haut niveau pour le transport (ex: UDP) permet au tunnel de fonctionner dans des réseaux où se retrouvent des appareils NAT. Ces appareils seront discuté au chapitre 7.

Tunnelling et sécurité

Les fournisseurs de service VPN publicisent souvent leurs services en parlant de sécurité. Les services sont vendus comme permettant de sécuriser vos communications lorsque vous sortez de la maison.

Que pensez-vous de cet énoncé?

Réponse

Il est vrai les données encryptées d'un bout à l'autre du tunnel protogées (confidentialité) contre un acteur malicieux tentant de lire vos données.

Il faut se rappeler que les messages sortent du tunnel quelque part! Dans ce cas-ci, le tunnel termine chez le fournisseur de service VPN, et la sécurité du tunnel VPN termine à cet endroit. Il est donc important de bien évaluer votre confiance en l'entité qui gère le bout du tunnel.