VULNERABILITE NATIONALE A LINTERNET Réunion du 21 janvier 2004 Ministère de la Recherche.
________________________________________________________________ Introduction à larchitecture de...
18
____________________________________________________________ Introduction à l’architecture de l’Internet S. Guetari d’après Réseaux de Tadenbum © 2007
-
Upload
edwige-francois -
Category
Documents
-
view
107 -
download
0
Transcript of ________________________________________________________________ Introduction à larchitecture de...
________________________________________________________________
Introduction à l’architecture de l’Internet
S. Guetari d’après Réseaux de Tadenbum© 2007
________________________________________________________________
Sommaire
• Introduction sur l’adressage, le routage, les services, TCP/IP et Internet. • Filtrage ACL, introduction aux firewalls• Le routage : Qu’est-ce qu’un routeur ? Statique et dynamique. • Le plan d’adressage : réseau, sous réseau, masque. • La structure d’une table de routage : métriques. • Les algorithmes de routage : RIP, OSPF. • DNS et le nommage. • Caches répartis• Load balancing• Le protocole réseau : IP, ICMP. • Le protocole transport : TCP, UDP
________________________________________________________________
Les services réseau de TCP/IP• Niveau de base IP(transport des paquets) :
– Sans connexion.– "Best effort
• Niveau transport:– Connecté(TCP) ou non connecté(UDP).– Livraison fiable des données.– Contrôle de flux (TCP).
• TCP/IP n'est pas un protocole, mais une suite de protocoles constituée de TCP (Transmission Control Protocol) au niveau (couche) Transport et de IP (Internet Protocol) au niveau (couche) Réseau.
• Pour ce qui concerne les couches inférieures : Lien et Physique du modèle ISO, le protocole TCP/IP ne prévoit rien. Cela signifie qu'il peut être implanté au-dessus d'à peu près n'importe quels services liés aux couches Lien et Physique.
• Un deuxième protocole de même niveau que TCP est aussi très utilisé, il s’agit d’UDP (User Datagram Protocol). Nous détaillerons ce protocole dans la suite de cette session.
• Comme nous le verrons, la couche IP est aussi une suite ou un ensemble de protocoles (IP, ICMP, ARP, etc.) qui collaborent pour gérer le service Réseau offert par IP.
________________________________________________________________
Vue conceptuelle
________________________________________________________________
Schéma global Internet
________________________________________________________________
Adressage IP• Toute machine du réseau a une adresse unique que l’on appelle adresse IP. • Ces adresses servent aux ordinateurs du réseau pour se reconnaître, ainsi il ne doit
pas exister deux ordinateurs sur le réseau ayant la même adresse IP.• L’adresse IP est basée sur une séquence numérique de 32 bits que l'on écrit sous
forme de 4 numéros allant de 0 à 255 (4 fois 8 bits), on les note donc sous la forme xxx.xxx.xxx.xxx où chaque xxx représente un entier de 0 à 255.
• Par exemple, 194.153.205.26 est une adresse IP valide. • Ce sont ces adresses que connaissent les ordinateurs qui communiquent entre eux.• C'est l'IANA (Internet Assigned Numbers Agency) qui est chargée d'attribuer ces numéros.
________________________________________________________________
Adressage IP• Les logiciels applicatifs utilisent de la même manière les adresses IP pour communiquer
avec des machines distantes. • De fait, il devient nécessaire de disposer d'un mécanisme de traduction des adresses
logiques (Internet) vers les adresses physiques (par ex. Ethernet, Token Ring). • La solution la plus simple est une fonction d'association : adresse physique =
fonct(adresse logique). Cette solution est utilisée pour les réseaux locaux de type Token Ring, où par exemple une machine d'adresse 193.55.61.3 a pour adresse physique 3.
• Une autre approche consiste à effectuer cette association de façon dynamique. Ceci évite de maintenir des tables ou de modifier les adresses physiques. Le protocole de la suite Internet qui effectue cette association est ARP (Address Resolution Protocol).
• La conversion adresse logique en adresse physique se fait dans tous les cas automatiquement.
________________________________________________________________
Routage : Principes
• Si une machine peut atteindre son destinataire directement, elle envoie ses informations sur le réseau; sinon elle les envoie à une passerelle (le routeur).
• Si un routeur peut atteindre le destinataire directement, il envoie les informations sur le réseau; sinon, il les envoie à un autre routeur
________________________________________________________________
Routage• On appelle route le chemin suivi par l’information pour aller du noeud source au noeud
destination. Cette route passe par un ensemble de dispositifs matériels dont les routeurs. • Le routage est le fait de trouver le chemin entre deux éléments d'un réseau maillé (avec des
noeuds). Il est généralement mis en oeuvre à l'aide d'adresses qui identifient les éléments de manière unique. C’est la couche réseau du modèle ISO qui est responsable de l'acheminement des données sur le réseau. Elle intègre ainsi la notion de routage, c'est-à-dire la recherche d'un chemin entre deux points d'un réseau. A ce niveau on ne parle plus de trames mais de paquets.
• Si deux machines sont sur le même sous-réseau, elles vont pouvoir communiquer directement, si le passage d’un sous-réseau à un autre sous-réseau est nécessaire, elles font appel à un moyen intermédiaire : un routeur. Le routeur utilise une table de routage pour rediriger les messages transitant par lui.
________________________________________________________________
Routage • La construction de la table de routage peut être effectuée de manière statique ou dynamique. • Statique signifie que la route est prédéterminée et fixe. • A l’opposé, dynamique signifie que la route est calculée au moment et peut changer au fil
du temps. • La table de routage est conservée au niveau du routeur qui s’en sert pour faire transiter les
informations qu’il reçoit.
________________________________________________________________
Exemple : Routage statique
• L’exemple montre comment sont tracées les routes menant des Réseaux 1, 2 et 3 : – Réseau 1 utilise un lien direct (G1) pour accéder au Réseau 2. – Réseau 2 utilise un lien direct (G1) pour accéder au Réseau 1. – L’accès au Réseau 3 se fait au travers du routeur G2. – Aucune autre route n’est définie (d’où l’erreur).
________________________________________________________________
Routage statique• La construction de la table de routage peut être effectuée de manière statique ou dynamique. • Statique signifie que la route est prédéterminée et fixe. • A l’opposé, dynamique signifie que la route est calculée au moment et peut changer au fil
du temps. • La table de routage est conservée au niveau du routeur qui s’en sert pour faire transiter les
informations qu’il reçoit.
________________________________________________________________
Architecture de l’Internet• Schéma de principe volontairement simplifié
POP
MODEM
Système téléphonique
Epine dorsale
FAI Régional
Ferme de serveurs
routeur
Lan d’entreprise
NAP
Ligne téléphonique communtée
internaute
________________________________________________________________
Architecture de l’Internet• Connexion d’un internaute lambda
– Acheminement des signaux par le modem vers le POP (Point Of Presence) – Le réseau est ensuite entièrement numérique et commuté par paquets– Lorsque le FAI (Fournisseur d’Accès Internet) est aussi l’opérateur de télécommunications local, le point de
présence se trouve dans le commutateur local du client– Sinon le POP se trouve à quelques commutateurs plus loin
• Réseau régional– Interconnexion de plusieurs routeurs reliant les diverses villes desservies– Si le destinataire du paquet est un hôte de ce réseau alors le paquet lui est transmis– Autrement, il est envoyé vers l’opérateur auquel est rattaché le FAI
• Au cœur du système… – Importants réseaux fédérateurs exploités par AT&T, France Telecom– Milliers de routeurs reliés par fibre optique à très haut débit– Souvent les fermes de serveurs sont connectées directement au réseau fédérateur– Si le réseau fédérateur reçoit un paquet pour un FAI ou une entreprise qu’il dessert, le paquet est remis au
routeur qui s’en rapproche le plus– Il peut arriver qu’un paquet traverse une épine dorsale concurrente– Toutes les dorsales majeures sont raccordées aux NAP (réseau local de routeurs)– Private peering : connexion directe d’un routeur d’une épine dorsale vers une épine dorsale concurrente
________________________________________________________________
Internet : pas de « propriétaire »
Internet Architecture Board (IAB)ConseilNominationsContrôleAppel
L'Equipe
IINNTTEERRNNEETT
WWEEBB
Internet Society (ISOC)Président : Donald Heath
Conseil d'administrationVint Cerf, Christian Huitèma,Jun Murai...
Internet Engineering Steering Group (IESG)ApplicationsQuestions généralesInternetOpérationset management
RoutageSécuritéTransportService usagers
MEMBRES (quelques exemples)
Academia SinicaAdobe SystemsAlcatelAOLApple Computer
AT&TBoeingBritish TelecomBullCERN
Cisco SystemsCNRSCompaqDeutsche TelekomEDF
France TélécomFraunhofer IGDIBMINRIAIntel
KEIO UniversityMatra HachetteMicrosoftOTANXerox
Internet Corporaiton for Assigned Names & Numbers (ICANN)
Conseil des directeurs (J .-F. Abramatic, Vint Cerf, Jun Murai...)Attribution des adresses IPGestion des noms de domainesHomologation des protocolesGestion des serveurs-sources
ActivitésArchitectureInterface utilisateurTechnologie & sociétéAccessibilité
Hôtes :MIT . INRIA . Keio
World Wide Web Cons.(W3C)Président : J .-F. Abramatic
Directeur : Tim Berners-Lee
Comité consultatif
1 représentant par membre
Conseil restreint
MEMBRES (quelques exemples)
25 000 à50 000 $/ anAT&T LabsDeutsche TelekomFranceTélécomIBMMicrosoft
5 000 à10 000 $/ anAOLCERNCisco SystemsIntelLucent Technologies
2 500 à5 000 $/ anEboneECMAGlocom (Tokyo)Macmillan PublishingTeleglobe
1 250 à2 500 $/ anAdobe SystemsHungarnet AssociationKorea TelekomMosaic CommunicationsWorld Bank
5 à500 $/ anPersonnes privées
• une gouvernance complexe, à dominante américaine
________________________________________________________________
Schéma d’architecture
Tools
1xx
Web Layer
4xx
5xx
6xx
Front-End
2 x ISPs
Routers and Bandwidth Controllers
16Mbps
@Publique Internet/Masque Réseau?
Tools Servers (Security, Tivoli Gtw,
Reporting...)
Data General Data General
Backup
RTR
Customer Network or Network
Provider
2xx
3xx
Database servers/Application Servers
Non Load Balanced web &application Servers
(multimédia, ..)
Load Balanced Application and Web Servers(webfarm, searchfarm, ..)
Data Layer
Tools
Dédicated Network Dispatchers(* )
1xx
4xx
5xx
6xx
8xx
2xx
IP/VPN internal
FilteringMSFC
IP/VPN ExternalDNS/SMTP external
Internet
IP/VPN routers
DNS/SMTP internal 1
3xx
MonAdmin
Fnac.com : Front-officeTitre: Principes d'architecture d'hébergementIBM/Fnac.com ConfidentialAuteur : Skander GUETARI
Primary&Secondary DNS, SMTP
c
FilteringMSFC
Réseau Fnac existant à MOP
back-end
Dedicated
Back-end
Backup Server & Robot
Data General
Dedicated tools external Layer (mail, ..)
Non Load Balanced Servers
Load Balanced Servers
Database servers/Application ServersDedicated
tools internal layer
LGE
RAS
Vers poste distant
RTC
LGE
(* )
Customer dedicated servers & networks
Optional
IBM shared devices
Routeur filtrant(linux/ ipchains)
à doubler
________________________________________________________________
Routage
________________________________________________________________
• Il existe 2 types d'équipement réseau pour l'interconnexion au niveau 3 de la modélisation ISO.
