Dis papa c'est quoi un réseau?

Authentification centralisée via Radius et Active Directory

Geo — Sun, 22 Nov 2009 11:26:00 +0100

Afin de vous simplifier la gestion utilisateurs et surtout améliorer votre sécurité il est préférable d’utiliser une authentification centralisée. Nous allons parler aujourd’hui de RADIUS (Remote Authentication Dial-In User Service) couplé à Active Directory de Microsoft.

Comme expliqué dans l'article sur TACACS nous allons utiliser l'AAA.

   * Pré-requis

Nous allons avoir besoin d’un serveur sous Windows 2003 ainsi que du CD d’installation.

   * Mise en place

Tout d’abord il faut installer IAS (Internet Authentication Services). Pour cela se rendre dans Ajouter ou supprimer des programmes puis ajouter ou supprimer des programmes Windows descendre jusqu'à Services de mise en réseau et faire détails et là cocher Service d’authentification Internet et faire Ok puis Suivant et enfin Terminer. Maintenant nous avons besoin de deux groupes de sécurité globaux dans le domaine Active Directory.

CISCO_AAA_LVL1 CISCO_AAA_LVL15

Maintenant nous allons configurer IAS. Pour cela le lancer depuis Outils d’Administration. Faire un click droit sur Service authentification Internet (local) et sélectionner Inscrire le serveur dans Active Directory. Maintenant faites un click droit sur Clients RADIUS et sélectionner Ajouter un client RADIUS et indiquer dans Nom convivial le nom de votre équipement par exemple bgp1.gs.par et dans Adresse du client indiquer l’adresse IP de l’équipement en question puis sélectionner suivant. Dans Client-Fournisseur garder RADIUS Standard et remplir dans Secret partagé indiquer la clé de cryptage pour les communications client-serveur et enfin sélectionner Terminer. Ensuite nous devons créer notre politique d’accès pour cela se rendre dans Stratégies d’accès distant et dans la partie droite faire un click droit Nouvelle stratégie d’accès distant, faire suivant, choisir Installer une stratégie personnalisée et la nommer Cisco AAA Level 1 puis suivant, sur la page suivante faire ajouter sélectionner Windows-Groups et faire Ajouter refaire Ajouter indiquer CISCO_AAA_LVL1 faire Ok deux fois puis suivant, là sélectionner Accorder l’autorisation d’accès distant puis suivant puis modifier le profil aller dans l’onglet Authentification et tout décocher sauf Authentification non cryptée (PAP, SPAP) puis se rendre dans l’onglet Paramètres avancés et là double cliquer sur Service-Type et remplacer Framed par Login et valider, sélectionner Framed-Protocol et cliquer sur supprimer puis cliquer sur Ajouter sélectionner Vendor-Specific là faire Ajouter remplacer RADIUS Standard par Cisco et indiquer Oui, il est conforme et sélectionner Configurer les attributs et là indiquer :

Numéro d’attribut assigné au fournisseur : 1 Format d’attribut : Chaîne Valeur d’attribut : shell :priv-lvl=1

Maintenant faire ok, ok, ok, fermer, ok, non, suivant et terminer. Répéter cette opération pour la politique Cisco AAA Level 15 avec un comme groupe CISCO_AAA_LVL15 par contre au niveau des attributs radius indiquer :

Numéro d’attribut assigné au fournisseur : 1 Format d’attribut : Chaîne Valeur d’attribut : shell :priv-lvl=15

Attention ne pas mettre un utilisateur dans les deux groupes sinon il ne bénéficiera que d’un accès non privilégié Level 1. Maintenant nous devons configurer notre Cisco pour cela :

aaa new-model aaa authentication login default group radius local aaa authorization exec default group radius local radius-server host x.x.x.x radius-server key clé de cryptage

   * Vérification

Depuis un des équipements Cisco :

test aaa group radius jdoe cisco legacy

Attempting authentication test to server-group radius using radius User was successfully authenticated.

Je vous recommande toujours fortement d'avoir au minimum deux serveurs RADIUS sur votre réseau.

Comment transformer son routeur en serveur DHCP ?

Geo — Mon, 16 Nov 2009 11:28:00 +0100

Il est très facile d’avoir un serveur DHCP sur un routeur Cisco. Ainsi quand on branche un portable ou autre, on obtient une adresse IP et tous les paramètres utiles.

Mise en place

Dans cet exemple nous allons mettre en place un serveur DHCP sur le réseau 192.168.1.0/24 qui aura pour adresse IP 192.168.1.1 et ne donneras des adresses qu’entre 192.168.1.201 et 192.168.1.254. Le domaine DNS seras dhcp.exemple et les serveurs DNS seront 192.168.1.2 et 192.168.1.3.

enable conf t ip dhcp excluded-address 192.168.1.1 192.168.1.200 ip dhcp pool dhcp

  network 192.168.1.0 255.255.255.0
  default-router 192.168.1.1
  dns-server 192.168.1.2 192.168.1.3
  domain-name dhcp.exemple

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

   * Vérification

enable cisco#sh ip dhcp server statistics Memory usage 24403 Address pools 1 Database agents 0 Automatic bindings 3 Manual bindings 0 Expired bindings 184 Malformed messages 0 Secure arp entries 0

Message Received BOOTREQUEST 380060 DHCPDISCOVER 46472 DHCPREQUEST 156 DHCPDECLINE 0 DHCPRELEASE 2 DHCPINFORM 752

Message Sent BOOTREPLY 190030 DHCPOFFER 23236 DHCPACK 854 DHCPNAK 16

Avoir un port en trunk et access en simultané.

Geo — Fri, 28 Nov 2008 11:32:00 +0100

L’autre jour nous avons vu dans l'article sur les VLANS comment mettre un port en TRUNK ou bien en ACCESS. Aujourd’hui nous allons placer un port dans les deux modes en même temps.

Fonctionnement

Dans ce cas nous allons avoir sur l’équipement l’interface connecté au switch avec une adresse IP et une ou plusieurs sous interface en vlan. Quand un paquet va être envoyé depuis l’interface il ne va pas être taggé donc le switch va le placer dans le vlan natif, par contre quand un paquet va être envoyé depuis une des sous interfaces en vlans il sera taggé avec le vlan correspondant.

   * Mise en place

conf t interface FastEthernet 0/20 switchport trunk native vlan 10 switchport trunk allowed vlan 10,20 switchport mode trunk

Dans cet exemple le vlan par défaut donc d’access est le 10 et le vlan 20 est autorisé en taggé.

Configurer un serveur VPN PPTP

Geo — Tue, 18 Nov 2008 11:24:00 +0100

Pour accéder à votre réseau privé la solution la plus simple est le VPN. Le type de VPN le plus « simple » est le PPTP de Microsoft.

Pré requis

Avoir une adresse IP publique avec le port tcp/1723 ainsi que le protocole GRE disponible.

   * Mise en place

Dans cet exemple on accède au VPN via Fe0/0 et le réseau privé est en Fe0/1. Les Ips attribués aux connexions VPN seront de 192.168.2.192 à 192.168.2.200. Les utilisateurs sont locaux et doivent être en type « password » et non type « secret ».

no ip dhcp use vrf connected vpdn enable

vpdn-group 1

accept-dialin
 protocol pptp
 virtual-template 1

username vpn password 7 0000000000000000000000000000 interface Virtual-Template1

ip unnumbered FastEthernet0/1
peer default ip address pool vpn
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2

ip local pool vpn 192.168.2.192 192.168.2.200

   * Configuration d’un poste client Microsoft Windows XP

Se rendre dans Démarrer / Paramètres / Connexions Réseau et là créer une nouvelle connexion. Clicker sur suivant, sélectionner connexion au réseau d’entreprise, connexion réseau privé virtuel, rentrer un nom pour cette connexion, ne pas établir la connexion initiale, rentrer l’adresse IP ou le nom de l’interface externe de votre routeur, sélectionner mon utilisateur uniquement puis terminer. Maintenant il faut changer un paramétrage sinon Windows va changer votre route par défaut pour le VPN. Pour cela clicker sur propriétés, puis gestion de réseau, puis protocole internet (tcp/ip) puis propriétés, puis avancé, et là décocher utiliser la passerelle par défaut pour le réseau distant, fermer toutes les fenêtres jusqu'à la fenêtre de connexion et la indiquer votre nom et mot de passe Cisco.

   * Vérification

Pour voir la liste des utilisateurs connectés :

cisco#sh vpdn session pptp PPTP Session Information Total tunnels 1 sessions 1 LocID RemID TunID Intf Username State Last Chg Uniq ID 19 32768 21347 Vi4 vpn estabd 00:00:12 20

   * Conclusion

Au lieu d’ouvrir à tout l’internet vos ports d’administrations n’ouvrez que les ports de services et le VPN ainsi votre sécurité n’en seras que renforcé et vous utiliserez moins d’IP publiques.

Gestion de l’heure, heure d’été et NTP

Geo — Sat, 15 Nov 2008 11:30:00 +0100

Avoir ces équipements à l’heure c’est important voire indispensable. Votre outil de supervision vous indique un problème a 14H43 donc il faut regarder tous les logs à ce moment-là pour comprendre, mais si vos routeurs, switchs et serveurs ne sont pas à l’heure ça va devenir complexe.

Définition de la TIMEZONE

La première chose à faire et de définir la zone de temps locale. En France nous utilisons CET (Central European Time) qui correspond à UTC+1. De manière générale il est plus simple d’avoir l’heure locale sur vos équipements, par contre sur des réseaux internationaux soit vous utilisez l’heure du pays principal (pour nous la France) soit vous utilisez UTC partout.

enable conf t clock timezone CET 1

   * Définition de l’heure d’été

En France entre le dernier dimanche de mars à 1h UTC et le dernier dimanche d'octobre à 1h UTC nous utilisons CEST (Central European Summer Time) qui correspond à UTC+2.

enable conf t clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

   * Définition du serveur de temps NTP

Enfin pour que tous vos équipements soient à l’heure il faut utiliser NTP (Network Time Protocol). Pour le configurer il faut taper:

enable conf t ntp server 172.16.1.1 prefer ntp server 172.16.2.1

Si vous n’avez pas de serveur NTP sur votre réseau un routeur Cisco fait un très bon serveur NTP. Pour l’activer en tant que serveur de Strate 2:

enable conf t ntp master 2

   * Conclusion

Avoir un réseau qui n’a pas son horloge synchronisée va rendre complexe les diagnostics, donc n’oubliez pas de configurer vos timezones et NTP.

Port d’un switch en accès ou trunk

Geo — Sat, 15 Nov 2008 11:27:00 +0100

Quand on branche un équipement sur un switch il est soit en accès (il est dans un vlan) ou en trunk (il est dans plusieurs vlans).

Qu’est-ce qu’un port en mode accès ?

Quand on a un équipement en mode accès c’est le switch qui gère pour lui le vlan avec lequel il communique. On l’utilise principalement pour les machines ou certains switchs.

   * Comment mettre un port en mode accès sur un switch :

enable conf t interface FastEthernet 0/20 switchport mode access switchport access vlan 30

   * Qu’est-ce qu’un port en mode trunk ?

Quand on a un équipement en mode trunk c’est ce dit équipement qui gère le/les vlan(s). Ce mode est principalement utilisé pour les interconnexions entre switchs ou vers un routeur, vers un firewall ou même vers une machine de supervision.

   * Comment mettre un port en mode trunk :

enable conf t interface FastEthernet 0/21 switchport mode trunk switchport trunk encapsulation dot1q switchport trunk allowed vlan add 3-4,30,900-999

Ceci va mettre le port FastEthernet 0/21 en mode trunk et les vlans autorisés seront 3 et 4, 30 et de 900 à 999.

Les VLANs et le VTP

Geo — Tue, 11 Nov 2008 11:22:00 +0100

Le VTP (VLAN Trunk Protocol) est un protocole propriétaire Cisco qui permet depuis un switch de gérer la base de données des VLANs d’un réseau et de le propager à tout les switchs du domaine.

Sur un réseau qui commence à devenir important maintenir la liste des VLANs sur tout les switchs est lourd et source d’erreurs. Pour se simplifier la vie il existe le service VTP de Cisco.

   * Pré-requis

VTP étant un protocole propriétaire Cisco il faut que tout les switchs de votre réseau soit Cisco ou bien compatible VTP.

   * Fonctionnement

Il y a 3 modes en VTP : - Serveur, vous pouvez ajouter, modifier, supprimer des VLANs, c’est le mode par défaut de tout switchs - Client, vous ne pouvez rien changer à la base de données des VLANs, applique et retransmet les messages VTP - Transparent, vous pouvez modifier la base de données des VLANs, le switch ignore les mises à jour VTP et s’il est en version 2 du protocole VTP il va retransmettre les messages de mise à jour. Le serveur VTP annonce un message à travers son domaine VTP toutes les 5 minutes ou bien lors d’un changement dans la base de données des VLANs. Ce message contiens la liste des noms, des Ids et quel switch a quel ports dans tel VLANs et enfin un numéro de révision. Quand un switch en mode client reçoit un message de mise à jour avec un numéro de révision supérieur à celui qu’il possède il va l’appliquer.

   * Mise en place

Sur le serveur

enable vlan database vtp domain mon_domaine vtp server vtp v2-mode vlan 10 name serveurs exit

Sur les clients

enable vlan database vtp domain mon_domaine vtp client exit

   * Vérification

Sur le serveur

VTP Version : 2 Configuration Revision : 50 Maximum VLANs supported locally : 254 Number of existing VLANs : 107 VTP Operating Mode : Server VTP Domain Name : mon_domaine VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x6E 0x07 0x06 0x5F 0x12 0xF1 0x6D 0xE3 Configuration last modified by 172.16.4.21 at 11-8-08 11:23:55

Sur un client

VTP Version : 2 Configuration Revision : 50 Maximum VLANs supported locally : 254 Number of existing VLANs : 107 VTP Operating Mode : Client VTP Domain Name : mon_domaine VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x6E 0x07 0x06 0x5F 0x12 0xF1 0x6D 0xE3 Configuration last modified by 172.16.4.21 at 11-8-08 11:23:5

Authentification centralisée via TACACS+

Geo — Tue, 11 Nov 2008 11:19:00 +0100

Afin de vous simplifier la gestion utilisateurs et surtout améliorer votre sécurité il est préférable d’utiliser une authentification centralisé. Nous allons parler aujourd’hui de TACACS+ (Terminal Access Controller Access-Control System Plus).

Chez Cisco il y a pour l’authentification 3 parties : - Authentication (authentification) - Authorization (autorisation) - Accounting (rapports) On appelle ça l’AAA. Nous allons maintenant expliquer à quoi servent ces différentes parties : - Authentification, c’est ce qui permet d’identifier l’utilisateur à l’aide de son nom d’utilisateur et une méthode de validation (statique : mot de passe, dynamique : token, calculette, … ou bien physique : lecteur de badge, …) - Autorisation, c’est ce qui donne les droits par exemple la liste des commandes autorisées - Rapports, c’est la partie journaux qui va comptabiliser l’utilisation de ressources par exemple la connexion, déconnexion, les ressources réseau, les ressources cpu, les ressources mémoire,…

   * Fonctionnement

L’équipement va envoyer une requête START au serveur TACACS+ qui va lui répondre le type d’authentification à utiliser puis les données utilisateur / mot de passe et enfin la validation de l’authentification. Ensuite l’équipement va demander au serveur la liste des services auquel il a accès. Enfin il va envoyer un message pour dire que la session a bien démarré jusqu’à la déconnexion.

   * Mise en place

Télécharger la dernière version depuis le site http://www.shrubbery.net/tac_plus la compiler et l’installer. Ensuite il vous faut un fichier configuration :

/etc/tac_plus.conf
set the key

key = cle_tacacs accounting file = /var/log/tac_plus.acct

users accounts

user = jdoe { login = cleartext “cisco” enable = cleartext “enable” name = “John Doe” }

Dans cet exemple l’utilisateur jdoe utilisera le mot de passe « cisco » pour se connecter et le mot de passe « enable » pour passer en mode privilégié. Pour crypter vos mots de passe il faut utiliser la commande « tac_pwd » et dans le fichier de configuration remplacer cleartext « cisco » par des « XS9lbwngAfLL6 » Ensuite sur vos équipements cisco configuration de l’authentification tacacs+ (retour à l’authentification locale si le serveur tacacs+ ne répond plus).

aaa new-model aaa authentication login telnet group tacacs+ local aaa authentication login console group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default if-authenticated none aaa accounting update newinfo aaa accounting exec default start-stop group tacacs+

line con 0 login authentication console line vty 0 4 login authentication telnet line vty 5 15

tacacs-server host 192.168.10.10 tacacs-server key cle_tacacs

   * Vérification

Depuis un des équipements Cisco :

test aaa group tacacs+ jdoe cisco legacy

Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated.

Je vous recommande fortement d'avoir au minimum deux serveurs TACACS+ sur votre réseau.

Mise en place rapide d’OSPF

Geo — Mon, 10 Nov 2008 11:24:00 +0100

Comment activer simplement OSPF sur un routeur Cisco ? OSPF c’est simple et c’est rapide à mettre en œuvre.

Pré-requis

Pour pouvoir dialoguer OSPF a besoin que les routeurs soient sur le même réseau. Le plus simple est d’avoir un réseau où se trouvent tous vos routeurs. Ce réseau sera le réseau backbone dans OSPF.

   * Fonctionnement

Les routeurs ayant le même numéro de processus établissent des liaisons d’adjacences entre eux et envoient des messages hello régulièrement. Ensuite ils se communiquent la liste des réseaux qu’ils gèrent. Enfin ils déterminent le plus court chemin. Les interfaces de dialogue inter-routeurs doivent être dans l’aire (area) 0 « backbone ». Ensuite je vous conseille de définir une aire pour chaque site physique.

   * Mise en place

Sur les routeurs du premier site

enable conf t router ospf numéro log-adjacency-changes redistribute connected passive-interface FastEthernet1/0 interface loopback 0 ip ospf numéro area 1 interface GigabitEthernet 0/0 ip ospf numéro area 0 interface GigabitEthernet0/1 ip ospf numéro area 1

La commande « passive-interface » permet de désactiver OSPF sur une interface à faire sur toutes les interfaces « externes ». Sur les routeurs du second site

enable conf t router ospf numéro log-adjacency-changes redistribute connected interface loopback 0 ip ospf numéro area 2 interface GigabitEthernet 0/0 ip ospf numéro area 0 interface GigabitEthernet0/1 ip ospf numéro area 2

   * Vérification

sh ip ospf Routing Process "ospf 1" with ID 172.16.4.6

Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
It is an autonomous system boundary router
Redistributing External Routes from,
   Connected

… sh ip route ospf

    172.16.0.0/24 is subnetted, 10 subnets

O IA 172.16.220.0 110/2 via 172.16.4.7, 1w2d, FastEthernet0/0.4 O IA 172.16.57.0 110/2 via 172.16.4.5, 1w2d, FastEthernet0/0.4

                   110/2 via 172.16.4.4, 1w2d, FastEthernet0/0.4

O IA 172.16.59.0 110/2 via 172.16.4.5, 1w2d, FastEthernet0/0.4

                   110/2 via 172.16.4.4, 1w2d, FastEthernet0/0.4

   * Conclusion

Il est important d’avoir un protocole de routage dynamique interne, OSPF est le plus simple, robuste à mettre en place. Il est cependant limité à IP donc il est amené à être remplacé par IS-IS à terme.

Définitions

Geo — Sun, 09 Nov 2008 11:15:00 +0100

On va commencer par définir quelques termes. Bien entendu il n'y a pas tout et je vais m'efforcer d'en rajouter régulièrement.

ADSL (Asymetric Digital Subscriber Line traduit Ligne Digitale d'Abonné), ligne permettant la connexion d'un réseau local vers un fournisseur d’accès internet utilisant la ligne téléphonique existante de l'abonné. Grâce à des équipements spéciaux, la bande passante n'est plus limitée aux systèmes téléphoniques mais utilise toute la capacité d’une paire cuivre. L'abonnement est dit asymétrique car la bande passante réseau vers le fournisseur d’accès internet (100aine de kb/s) est plus faible que le fournisseur d’accès internet vers l'abonné.

BGP (Border Gateway Protocol), protocole qui permet à un groupe de routeurs Internet (ce groupe est alors appelé un système autonome ou Autonomous System) de dialoguer entre eux de façon à échanger des informations de routage et permettre ainsi la meilleure utilisation possible de la bande passante disponible. Protocole de routage externe, utilisé pour la connectivité entre systèmes autonomes, qui permet d'échanger des informations entre des réseaux ayant des politiques de routage différentes, et notamment d'assurer, par l'utilisation de vecteurs de chemin, une protection contre les boucles de routage. Internet fut d'abord administré comme un réseau unifié, mais en raison de sa forte croissance, il fut nécessaire d'adopter une structure hiérarchique (arborescence) et il fut découpé en plusieurs systèmes autonomes. L'ensemble des réseaux (et des routeurs) partageant la même politique de routage, utilisant un protocole de routage interne, forme un système autonome. Les informations de routage entre systèmes autonomes sont échangées par un protocole de routage externe, tel le protocole BGP. Le protocole BGP, qui doit remplacer le protocole EGP (External Gateway Protocol), fait partie des protocoles à vecteurs de chemin, qui gèrent le problème des boucles entre systèmes autonomes, en les enlevant automatiquement des tables de routage.

DHCP (Dynamic Host Configuration Protocol), il s’agit d’un protocole qui permet à un ordinateur qui se connecte sur un réseau d’obtenir dynamiquement (c’est-à-dire sans intervention particulière) sa configuration (principalement, sa configuration réseau). Vous n’avez qu’à spécifier à l’ordinateur de se trouver une adresse IP tout seul par DHCP. Le but principal étant la simplification de l’administration d’un réseau. Protocole permettant l'attribution dynamique d'adresses IP aux ordinateurs (hosts) sur un réseau local. Par opposition à l'attribution d'une adresse fixe entrée dans les panneaux de configuration du host qui peut poser problème lorsque l'on change cet ordinateur de réseau local.

DNS (Domain Name Service), chaque station possède une adresse IP propre. Cependant, les utilisateurs ne veulent pas travailler avec des adresses numériques du genre 207.218.59.11 mais avec des noms de stations ou des adresses plus explicites (appelées adresses FQDN) du style http://www.secr.fr/ ou webmaster@secr.fr. Ainsi, TCP/IP permet d'associer des noms en langage courant aux adresses numériques grâce à un système appelé DNS. On appelle résolution de noms de domaines (ou résolution d'adresses) la corrélation entre une adresse IP et le nom de domaine.

Fail Over Technique permettant de « passer au-dessus » des pannes. Ce n'est pas de la tolérance aux pannes, mais cela y ressemble. Ici, on fait en sorte de pouvoir continuer à fonctionner, même si c'est sur trois pattes. Aptitude d'un système à fonctionner malgré ses défaillances éventuelles. Le plus souvent, on fait tourner deux machines en même temps et en parallèle. Quand l'une tombe en panne, l'autre fonctionne toujours.

Firewall (Traduit pare-feu), un firewall est un dispositif (logiciel ou matériel) qui permet de bloquer l'entrée et/ou la sortie des paquets de données transmis entre deux hôtes sur un réseau. Ce filtrage peut se faire selon divers critères comme par exemple un port (bloquer le port 21 permet d'empêcher le FTP), selon un nom d'hôte (bloquer 192.168.1.2 revient à interdire à tous les ordinateurs situés derrière le firewall l'accès à 192.168.1.2) ou autre. Le firewall est en général un ordinateur équipé d'un logiciel qui filtre tous les paquets de données d'un protocole (TCP/IP ou autre). Pour ce faire, le firewall est installé à l'entrée du réseau au niveau du lien de votre entreprise vers Internet.

IP (Internet Protocol), protocole de réseau à commutation de paquet réalisant l'adressage et le routage. Nom UNIQUE servant à identifier un ordinateur connecté à un réseau. Une adresse IP est composée de 4 nombres et de 3 points. Exemple : 207.218.59.11.

IPv6 (Internet Protcol version 6), version 6 du protocole IP. L'adresse IP (ou numéro Internet ou numéro IP) sera codée sur 128 bits qui seront écrits sous la forme FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF. IPv6 permettra un nombre énorme dardasses (environ 6000 milliards de milliards d'adresses IP par m2 de surface terrestre).

IPSEC (Internet Protocol Security), est un protocole réseau auquel des fonctions de sécurité ont été rajoutées (exemple : le chiffrement des données). Le protocole IPSEC est prévu directement dans la nouvelle version du protocole IP : IPV6.

Load Balancing (traduit Répartition de Charge), technique consistant à distribuer le travail à effectuer sur plusieurs machines, en particulier sur plusieurs serveurs. Cela permet de faire face plus efficacement aux grosses variations d'activité.

LS (Liaison Spécialisée), par opposition aux lignes RTC, l'utilisateur paye une location pour la ligne et peut s'en servir à son gré, il en a l'usage exclusif. Liaison exclusive directe et permanente, affectée à l'usage d'un utilisateur spécifié.

MAC, adresse (Media Access Control address), il s'agit des adresses physiques des cartes réseaux. Ces adresses sont codées en 48 bits par les constructeurs de matériels réseaux. Les adresses sur 48 bits sont uniques. Un numéro spécifique (6 chiffres hexadécimaux) est attribué à chacune d’entre elle. Le constructeur gère ensuite lui-même les autres bits disponibles de l'adresse. Ainsi, quel que soit l'origine du matériel, il n'y a pas de conflit d'adresses physiques possible sur le réseau. Adresse physique de la carte ethernet, inscrite de façon définitive au moment de la fabrication de la carte dans le logiciel de la carte. Ces adresses sont du type xxxxxx:yyyyyy ou xxxxxx est propre à chaque fabricant d'équipements de réseaux.

Monitoring Processus continu d'observation d'un système ou d'une partie d'un système en vue de s'assurer de son bon fonctionnement, en mesurant une ou plusieurs grandeurs du système et en comparant les résultats de ces mesures à des valeurs prescrites.

NTP

(Network Time Protocol), ce protocole permet de garder des équipements à l’heure.

OSPF (Open Short Path First), protocole qui permet l'échange et la construction de tables de routage entre routeurs interconnectés. Les routeurs échangent entre eux des informations sur leurs connexions et des algorithmes permettent de calculer les routes les plus favorables d'une adresse à une autre sur un inter-réseau. Il a été conçu pour résoudre les principaux défauts d’un autre protocole et entre autres le temps de convergence. Actuellement, ce temps de convergence est d’environ d’une minute avec l’utilisation d’un protocole tel que OSPF. Il est donc certain que ce protocole a permis de réduire considérablement le temps de convergence mais hélas pas suffisamment pour certaines applications pour lesquelles des temps de convergence de l’ordre d’une minute sont encore trop importants. C’est pourquoi une solution complémentaire a été apportée au protocole OSPF, c’est le calcul préalable d’un chemin de secours disjoint du premier chemin utilisé pour chaque destination possible sur le réseau.

PPTP (Point to Point Tunneling Protocol), il a été développé par un consortium comprenant Microsoft et est employé pour établir des tunnels de VPN (réseau privé virtuel) à travers l'Internet. Ceci permet aux utilisateurs à distance d’accéder solidement et économiquement à leur réseau d’entreprise n'importe où sur l'Internet. PPTP emploie un client - serveur pour établir une connexion.

QOS (Quality Of Service traduit Qualité De Service), décrit le niveau de performance attendu d'une application, d'un serveur, d'un réseau ou de tout autre dispositif. Par exemple pour un réseau, les paramètres principaux suivis sont en général la bande passante, le temps de latence, la perte de paquets et le temps de réponse à une requête.

Routeur Le routeur est un élément physique d’un réseau. Pour résumer, c’est un guide : on lui demande une route, il accompagne vers la bonne destination. Sa fonction principale est de prendre un paquet et de le renvoyer au bon endroit en fonction de la destination finale. Un réseau tel qu’Internet emploie de nombreux routeurs qui communiquent tous les uns avec les autres. Ce sont en quelque sorte les échangeurs de l’autoroute de l’information. Quand il y en a un qui tombe en panne, selon l’architecture globale du réseau, un autre peut prendre le relais. Equipement qui permet d'interconnecter des réseaux informatiques. Ces réseaux peuvent être très proches ou éloignés de plusieurs milliers de kilomètres. Certains routeurs supportent différents protocoles. Le rôle du routeur est de transférer les données informatiques entre ces réseaux en fonction des adresses auxquelles sont destinées ces données. Pour ce faire, le routeur maintient des tables de routage, aidé par les protocoles. Les routeurs sont un des éléments essentiels de l'architecture de l'Internet.

SNMP (Simple Network Management Protocol traduit protocole simple de gestion de réseau). Il s'agit d'un protocole qui permet aux administrateurs réseau de gérer les équipements du réseau (imprimantes, cartes réseaux…). Il est actuellement le protocole le plus utilisé pour la gestion des équipements de réseaux. SNMP est un protocole relativement simple; toutefois l’ensemble de ses fonctionnalités est suffisamment puissant pour permettre la gestion des réseaux hétérogènes complexes. Il est aussi utilisé pour la gestion à distance des applications: les bases de données, les serveurs, les logiciels, etc. L’usage du protocole SNMP peut aussi dépasser largement le cadre de la gestion des équipements de réseaux.

Switch (Networking Switch traduit commutateur: commutateur réseau), équipement qui concentre en un seul point les connections d'un réseau LAN de type Ethernet. Le switch identifie grâce à l'adresse MAC des cartes réseaux des ordinateurs connectés le destinataire de l'information sur le réseau et établit ainsi un canal de transmission privilégié entre les 2 machines. Cette technologie améliore considérablement le débit et la bande passante disponible sur le réseau local.

VPN (Virtual Private Network), est un tunnel virtuel (par opposition au réseau privé) établi entre deux points et dans lequel les données circulant ne sont pas « visibles » de l'extérieur. Cette « invisibilité » peut être obtenue par exemple à un chiffrement des données ou à un protocole particulier d’échanges de données. Dans le cas des VPN IPSEC, on aurait tendance à dire qu'un VPN assure que les données circulent de façon sécurisée : les deux points sont authentifiés, l'intégrité des données est vérifiée, et les données peuvent circuler chiffrées sur le réseau internet.

YABAN - Yet Another Blog About Network

Geo — Sun, 09 Nov 2008 11:14:00 +0100

Bonjour,

Pourquoi un nouveau blog pour parler de réseau? parce que j'aime le réseau parce que le réseau est la base de tout parce que c'est un bon moyen de centraliser les informations