- \n
- sur votre point de sortie vers Internet vous placez un \u00e9quipement (routeur ou FireWall) qui va modifier \u00ab\u00a0\u00e0 la vol\u00e9e\u00a0\u00bb vos adresses de machines pour les rendre compatibles avec le plan d’adressage Internet. Cette fonction de translation d’adresse est appel\u00e9e NAT : Network Adress Translation<\/strong>.<\/li>\n
- vous red\u00e9finissez compl\u00e9tement votre plan d’adressage avant d’\u00eatre vir\u00e9 par votre PDG !<\/li>\n<\/ul>\n<\/li>\n
- vous pr\u00e9voyez votre interconnexion possible avec Internet et, \u00e0 ce titre, souhaitez \u00eatre compatible avec son plan d’adressage<\/strong>. Vous d\u00e9finissez un plan d’adressage conforme au plan d’adressage public<\/strong>. Pour cela, vous demandez \u00e0 des organismes sp\u00e9cifiques (NIC, AFNIC ou votre IAP : Internet Access Provider) des adresses IP publiques<\/strong> qui vous seront r\u00e9serv\u00e9es. Avec ces adresses r\u00e9seaux vous d\u00e9finirez votre plan d’adressage interne. Le probl\u00e8me de cette solution est qu’il y a une tr\u00e8s grosse p\u00e9nurie d’adresses IP publiques ! C’est d’ailleurs une des raisons qui a conduit \u00e0 red\u00e9finir une nouvelle version du protocole IP, l’IP V6, qui propose un format d’adressage sur 16 octets ! Vous aurez donc tr\u00e8s peu d’adresses, et si votre r\u00e9seau est important vous risquez d’\u00eatre coinc\u00e9 !<\/li>\n
- la derni\u00e8re solution est d’utiliser des adresses dites non \u00ab\u00a0routables\u00a0\u00bb. Ce sont des adresses r\u00e9seaux sp\u00e9cifiques qui ne sont et ne seront jamais utilis\u00e9es sur Internet. Vous \u00eates ainsi s\u00fbr de ne pas avoir de conflit d’adressage. Ces adresses sont d\u00e9finies par une RFC sp\u00e9cifique, la RFC 1918<\/strong>.<\/li>\n<\/ul>\n
L’objectif de ce chapitre est donc de vous pr\u00e9senter ces quelques concepts de d\u00e9finition des plans d’adressage.<\/p>\n
Probl\u00e9matique de l’interconnexion avec Internet<\/h2>\n
IP a \u00e9t\u00e9 con\u00e7u pour interconnecter des r\u00e9seaux au niveau mondial. Il est notamment impl\u00e9ment\u00e9 sur Internet. On peut concevoir facilement qu’il est imp\u00e9ratif que deux serveurs ou deux r\u00e9seaux d’entreprises raccord\u00e9s \u00e0 Internet n’est pas la m\u00eame adresse. Sinon, il y aura un conflit de routage (vous aimeriez que votre voisin re\u00e7oive votre courrier ?<\/em>).<\/p>\n
Chaque I.A.P (Internet Access Provider : Orange, WORDLCOM, C&W, etc<\/em>.) dispose d’un \u00ab\u00a0pool\u00a0\u00bb d’adresses IP (r\u00e9seau et \u00e0 fortiori donc machine <\/em>!) qu’ils peuvent affecter \u00e0 des clients qui leur demande un acc\u00e8s Internet. Ces adresses sont attribu\u00e9es par des organismes tr\u00e8s s\u00e9rieux qui veillent \u00e0 la coh\u00e9rence du plan d’adressage Internet : unicit\u00e9 des adresses, r\u00e9partition g\u00e9ographique des \u00ab\u00a0pools\u00a0\u00bb contigus (le fameux CIDR pour les \u00e9rudits<\/em> !). Ces organismes s’appellent le NIC (Network Information Center), l’AFNIC, etc. On les appelle des \u00ab\u00a0registrar<\/strong>\u00ab\u00a0.<\/p>\n
Cependant le plan d’adressage IP, m\u00eame s’il est copieux, n’autorise pas un nombre infini d’adresses r\u00e9seaux ou machines. En cons\u00e9quence, lorsqu’une entreprise veut connecter son r\u00e9seau \u00e0 Internet, elle n’obtient pas autant d’adresses qu’elle le souhaiterai. En effet, il y a actuellement une p\u00e9nurie d’adresses publiques, notamment en classe A et B. Ces deux classes sont les plus recherch\u00e9es car elles offrent de plus grandes possibilit\u00e9s en nombre de machines et, vous le verrez plus tard, en d\u00e9finitions de sous-r\u00e9seaux. Cette p\u00e9nurie a conduit, pour partie, \u00e0 la d\u00e9finition d’une nouvelle version d’IP, l’IP V6, qui offre, notamment, un adressage sur 16 octets (Demain, toutes les cafeti\u00e8res du monde pourront avoir leur adresse IP<\/em> !!).<\/p>\n
Revenons \u00e0 notre entreprise qui r\u00e9clame des adresses publiques pour cr\u00e9er son plan d’adressage interne. Lorsqu’elle fera la demande d’adresses, il faudra qu’elle justifie de son besoin. Et sachez que l’argument \u00ab\u00a0Je veux donner une adresse publique \u00e0 tous mes utilisateurs<\/em>\u00a0\u00bb est un MAUVAIS<\/strong> argument ! On lui r\u00e9pondra \u00ab\u00a0Et la NAT vous connaissez ?<\/em>\u00a0\u00bb et on ajoutera \u00ab\u00a0Et la RFC 1918 vous connaissez <\/em>?\u00a0\u00bb, pour finir on lui dira \u00ab\u00a0Si vous ne connaissez pas, allez lire le cours IP \u00e0 l’adresse <\/em>http:\/\/www.gatoux.com\/<\/em> et revenez nous voir quand vous aurez compris<\/em> !\u00a0\u00bb. Finalement on lui donnera, g\u00e9n\u00e9reusement, 8 adresses machines et d\u00e9brouille-toi !<\/p>\n
N.A.T sauve moi !<\/h2>\n
N.A.T<\/strong> pour N<\/strong>etwork A<\/strong>ddress T<\/strong>ranslation (rien \u00e0 voir avec le diminutif de Nathalie <\/em>!) permet de \u00ab\u00a0translater<\/em>\u00a0\u00bb une adresse IP en une autre. Plus fort ! Il existe deux formes de NAT :<\/p>\n
- \n
- le \u00ab\u00a0natage\u00a0\u00bb (mon dieu quelle horreur !! Promis je le ferai plus !<\/em>), la translation d’adresse source<\/strong> qui consiste \u00e0 modifier l’adresse source d’un paquet IP<\/strong> en une autre adresse. Par cette technique on dit souvent que l’on masque le plan d’adressage interne<\/strong>. En effet, tout paquet qui franchi l’\u00e9quipement effectuant la NAT (routeur, FireWall ou Proxy) part avec une adresse source diff\u00e9rente de la vraie adresse source de l’\u00e9metteur<\/strong>. Un observateur ext\u00e9rieur (pour ne pas l’appeler un \u00ab\u00a0hacker\u00a0\u00bb ou \u00ab\u00a0pirate\u00a0\u00bb !!) ne verra donc qu’une adresse affect\u00e9e par translation ne correspondant pas \u00e0 une r\u00e9elle adresse de l’\u00e9metteur. G\u00e9n\u00e9ralement l’adresse affect\u00e9e est celle de l’interface de sortie de l’\u00e9quipement qui assure la translation.<\/li>\n<\/ul>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/NATSOURCE.gif\")
<\/p>\n- \n
- la translation d’adresse destination<\/strong>, moins courante, permet de modifier l’adresse destination d’un paquet IP <\/strong>lorsque celui-ci demande une adresse sp\u00e9cifique. Vous pouvez, de cette mani\u00e8re, masquer l’adresse r\u00e9elle d’un serveur<\/strong> au monde ext\u00e9rieur ! Les internautes cherchent, par exemple, \u00e0 contacter l’adresse 132.12.12.11 qui correspond en fait \u00e0 votre adresse de FireWall (Pare-Feu). Le FireWall \u00e0 r\u00e9ception des paquets va modifier l’adresse en 10.0.0.1 qui est l’adresse interne de votre serveur ! De cette fa\u00e7on on ne peut pas joindre votre serveur sans passer par votre FireWall ! Bien s\u00fbr, lors de la r\u00e9ponse du serveur, le FireWall modifiera l’adresse source de r\u00e9ponse !<\/li>\n<\/ul>\n
La N.A.T permet de n’utiliser qu’une seule adresse machine cot\u00e9 Internet. Cette adresse est affect\u00e9e \u00e0 l’interface de sortie de l’\u00e9quipement r\u00e9alisant la NAT. Tous les paquets, de tous les utilisateurs internes, partiront sur Internet avec cette adresse source. Mais bien s\u00fbr les r\u00e9ponses des serveurs sur Internet se feront toutes vers l’adresse source indiqu\u00e9e dans le paquet qu’ils re\u00e7oivent, c’est \u00e0 dire celle de l’\u00e9quipement qui assure la N.A.T !<\/p>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/NAT.gif\")
<\/p>\nDans ce cas, comment faire pour que les r\u00e9ponses arrivent bien \u00e0 chaque machine qui a \u00e9mis initialement la requ\u00eate ? C’est assez simple … L’\u00e9quipement N.A.T va maintenir une table de correspondance des translations en cours !<\/p>\n
Lorsqu’une station envoie un paquet IP vers l’ext\u00e9rieur, il m\u00e9morise l’adresse source interne de la station et l’adresse destination externe demand\u00e9e. Ce couple est insuffisant car lors des r\u00e9ponses l’\u00e9quipement disposera toujours de la m\u00eame adresse destination (la sienne !), il ne peut donc pas d\u00e9terminer \u00e0 qui il doit r\u00e9\u00e9mettre le paquet. De la m\u00eame mani\u00e8re, s’il se base sur l’adresse source du paquet, il pourra retrouver la correspondance d’adresse de la station initiale mais seulement si une seule station discute avec le serveur ! Si plusieurs stations discutent avec le m\u00eame serveur externe il ne peut pas savoir \u00e0 laquelle retransmettre le paquet. Il doit donc m\u00e9moriser des informations suppl\u00e9mentaires pour identifier de mani\u00e8re unique un couple station_interne – serveur_externe de mani\u00e8re unique.<\/p>\n
Il m\u00e9morise donc \u00e9galement les ports source et destination du segment TCP ou UDP v\u00e9hicul\u00e9 par le paquet IP. Pour une machine IP donn\u00e9e le couple @IP-N\u00b0 Port Source est toujours unique ! Le sujet du cours n’\u00e9tant ni TCP\/UDP ni la N.A.T nous ne pousserons pas plus loin ! Croyez-moi sur parole si vous n’avez rien compris \u00e0 la d\u00e9monstration pr\u00e9c\u00e9dente.<\/p>\n
L’\u00e9quipement de NAT m\u00e9morise donc la correspondance :<\/p>\n
adresse source interne – port tcp source – adresse destination demand\u00e9e – port tcp destination.<\/span><\/h6>\n
Au retour des paquets il examinera les couples adresses sources, ports TCP (destination et source) et pourra retrouver l’adresse destination \u00e0 donn\u00e9 au paquet pour qu’il soit rout\u00e9 en interne !! Compris ?<\/p>\n
Tout cela pour vous faire comprendre que rien n’oblige une entreprise \u00e0 mettre en place un plan d’adressage IP public (avec des adresses attribu\u00e9es par un \u00ab\u00a0registrar\u00a0\u00bb ou obtenues aupr\u00e8s du NIC directement par l’entreprise). En effet :<\/p>\n
- \n
- si l’entreprise n’a pas l’attention d’interconnecter son r\u00e9seau avec Internet, elle n’est pas oblig\u00e9 de respecter son plan d’adressage ! Mais attention si son besoin \u00e9volue ! Car refaire un plan d’adressage complet d’un r\u00e9seau d’entreprise est loin d’\u00eatre anecdotique ! Vous jouez votre place sur ce coup l\u00e0 !<\/li>\n
- m\u00eame si elle veut interconnecter son r\u00e9seau avec Internet, nous venons de voir, que l’activation de la NAT sur le routeur d’interconnexion, permettra de masquer le plan d’adressage interne et de se mettre en conformit\u00e9 avec le plan d’adressage Internet.<\/li>\n<\/ul>\n
Donc la NAT c’est la solution \u00e0 tous vos soucis ? Presque … Attention, le loup veille dans le bois …<\/p>\n
Un loup bien cach\u00e9 !<\/h2>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/S2P9I3.gif\")
Imaginons qu’une entreprise mettent en place un r\u00e9seau IP interne sans respecter le plan d’adressage Internet. Elle souhaite, tout de m\u00eame, s’interconnecter avec Internet, mais pense que la NAT sur le routeur d’acc\u00e8s r\u00e9soudra tous les probl\u00e8mes … C’est faux !<\/p>\nSupposons qu’elle cr\u00e9e un r\u00e9seau 128.10.0.0 sur lequel elle installe son serveur d’application (la paye par exemple ! C’est beau un serveur de paye, non ?<\/em>), ayant pour adresse 128.10.11.2 ! Maintenant supposons qu’un utilisateur, Jules (toujours lui !<\/em>), du r\u00e9seau veuille surfer sur Internet et notamment atteindre le serveur www.jebulle.com<\/strong> ! Apr\u00e8s r\u00e9solution DNS (d\u00e9sol\u00e9, mais DNS ce sera pour un autre jour !<\/em>) le PC de Jules est inform\u00e9 que le serveur en question est \u00e0 l’adresse : 128.10.11.2 !! Vous sentez le probl\u00e8me ? C’est l’adresse du serveur de paye ! A votre avis ? Jules atteindra-t-il le serveur www.jebulle.com<\/strong> ? Suspense ….<\/p>\n
Et bien, non !! Il ira sur le serveur de paye !! Et pourquoi ? Parce que les routeurs internes au r\u00e9seau de l’entreprise qui interconnectent les diff\u00e9rents r\u00e9seaux locaux (LAN : Ethernet, Token Ring, etc…) connaissent un r\u00e9seau interne 128.10.0.0 et envoient le trafic vers ce r\u00e9seau …<\/p>\n
En fait, dans tous les r\u00e9seaux d’entreprises, lorsqu’ils sont interconnect\u00e9s \u00e0 Internet, on applique la m\u00e9thode du routage par d\u00e9faut vers Internet. Cela veut dire que quand un routeur interne ne conna\u00eet pas pr\u00e9cis\u00e9ment une adresse r\u00e9seau demand\u00e9e en destination, il va envoyer le paquet sur une route par d\u00e9faut (0.0.0.0 : vous vous souvenez ?<\/em>), qui g\u00e9n\u00e9ralement correspondra au routeur de sortie, d’interconnexion avec Internet. Le routeur de sortie vers Internet aura les moyens d’acheminer ce paquet vers www.jebulle.com<\/strong> (l\u00e0, je vous passe les d\u00e9tails … Il faut bien s’arr\u00eater quelque part !<\/em>), et pourra \u00e9galement appliquer la NAT si vous le d\u00e9sirez. Mais encore faut-il l’atteindre !<\/p>\n
Donc si on veut enclencher le routage par d\u00e9faut au niveau des routeurs internes, il faut que les adresses de serveurs Internet ne puissent jamais correspondre \u00e0 des adresses de serveurs internes \u00e0 l’entreprise ! Pour \u00eatre plus pr\u00e9cis, \u00e9tant donn\u00e9 que les routeurs ne connaissent que des adresses r\u00e9seaux et pas machines, il faut que l’adresse r\u00e9seau du service demand\u00e9 sur Internet, ne corresponde jamais \u00e0 une adresse r\u00e9seau interne \u00e0 l’entreprise<\/strong> !<\/p>\n
En cons\u00e9quence, si vous n’avez pas cherch\u00e9 \u00e0 \u00eatre en conformit\u00e9 avec le plan d’adressage Internet en pensant que la NAT vous sortira de toutes les situations, c’est perdu ! Vous courrez \u00e0 la catastrophe, NAT ou pas NAT !<\/p>\n
D’accord mais on vous a dit que le plan d’adressage IP public est satur\u00e9 ! On vous a dit que vous n’obtiendrai jamais assez d’adresse IP normalis\u00e9e pour adresser tous vos r\u00e9seaux internes ! Comment faire ?<\/p>\n
RFC 1918, sauve moi !<\/h2>\n
La RFC 1918<\/strong> vient \u00e0 votre secours ! Cette RFC d\u00e9fini un \u00ab\u00a0pool\u00a0\u00bb d’adresse IP r\u00e9seaux dites \u00ab\u00a0non routables\u00a0\u00bb<\/strong>. C’est \u00e0 dire, que le NIC (et l’IETF) garanti qu’aucun serveur sur Internet n’utilisera ces adresses r\u00e9seaux<\/strong> ! On appelle \u00e9galement ces adresses des adresses IP priv\u00e9es.<\/p>\n
Si un petit g\u00e9nie vous pose la question suivante (Je sais ! Moi-m\u00eame, je la pose souvent ! Suis-je donc un g\u00e9nie ?<\/em>) :<\/p>\n
- \n
- Etes-vous conforme \u00e0 la RFC 1918 ?<\/strong><\/li>\n<\/ul>\n
Ne le regardez plus avec des yeux ronds ! Si vos adresses IP internes sont conformes \u00e0 celles que je pr\u00e9sente ci-dessous, vous pouvez r\u00e9pondre \u00ab\u00a0Oui\u00a0\u00bb, sinon …<\/p>\n
Liste des adresses r\u00e9seaux non routables :<\/strong><\/p>\n
- \n
- toutes les adresses du r\u00e9seau 10.0.0.0<\/strong> (Classe A)<\/li>\n
- toutes les adresses des r\u00e9seaux 172.16.0.0 \u00e0 172.31.0.0<\/strong> (Classe B)<\/li>\n
- toutes les adresses du r\u00e9seau 192.168.0.0 \u00e0 192.168.255.0<\/strong> (Classe C)<\/li>\n<\/ul>\n
Si votre plan d’adressage interne est \u00e9tabli sur ces adresses, vous n’aurez aucun probl\u00e8me de routage par d\u00e9faut vers Internet. Utilisez ces adresses et faites de la NAT pour sortir sur Internet avec les quelques adresses normalis\u00e9es que votre IAP vous aura g\u00e9n\u00e9reusement attribu\u00e9 !<\/p>\n
Mais ces quelques adresses \u00ab\u00a0priv\u00e9es\u00a0\u00bb RFC 1918 suffiront-elles \u00e0 adresser l’ensemble de vos r\u00e9seaux et machines ? Probablement que oui … Mais vous avez aussi la ressource des sous-r\u00e9seaux pour d\u00e9finir plus de r\u00e9seaux ! Nous y arrivons enfin !<\/p>\n
Qu’est-ce qu’un sous-r\u00e9seau ?<\/h2>\n
Les sous-r\u00e9seaux sont des sous-r\u00e9partitions d’un r\u00e9seau. Nous savons :<\/p>\n
- \n
- qu’une adresse IP est form\u00e9e d’une partie r\u00e9seau et d’une partie machine<\/li>\n
- qu’on affecte une adresse r\u00e9seau \u00e0 chaque r\u00e9seau physique<\/li>\n<\/ul>\n
Si chaque r\u00e9seau physique comporte moins de stations que ne peut en d\u00e9finir la partie machine de l’adresse r\u00e9seau affect\u00e9e, on gaspille des adresses !<\/p>\n
On va dans ce cas utiliser une partie des bits machines de la partie machine de l’adresse pour \u00e9tendre la partie r\u00e9seau de l’adresse<\/strong>. En ajoutant ces bits \u00e0 la partie r\u00e9seau on se donne plus de possibilit\u00e9s d’adresses r\u00e9seaux. Cependant on sort dans ce cas du cadre normalis\u00e9 des Classes A, B ou C ! La partie ajout\u00e9e est donc consid\u00e9r\u00e9e comme une sous-r\u00e9partition de l’adresse r\u00e9seau dans sa classe initiale. C’est le sous-r\u00e9seau<\/strong> !<\/p>\n
Utilit\u00e9 des sous-r\u00e9seaux<\/h2>\n
Les sous-r\u00e9seaux ont essentiellement deux cadres d’utilisation :<\/p>\n
- \n
- permettre de \u00ab\u00a0tron\u00e7onner\u00a0\u00bb une plage d’adresse normalis\u00e9e<\/strong> (conforme \u00e0 Internet) trop juste pour affecter une adresse r\u00e9seaux par r\u00e9seau physique de l’entreprise.<\/li>\n
- permettre dans les grands r\u00e9seaux, une optimisation du routage<\/strong>, en diminuant le nombre de r\u00e9seaux d\u00e9clar\u00e9s dans les tables de routage des passerelles.<\/li>\n<\/ul>\n
Cas du \u00ab\u00a0tron\u00e7onnage\u00a0\u00bb !<\/h3>\n
Si une entreprise d\u00e9sire cr\u00e9er un r\u00e9seau interne complet, sur un plan d’adressage dit \u00ab\u00a0public\u00a0\u00bb (en coh\u00e9rence avec celui d’internet), nous savons maintenant qu’elle ne disposera pas d’une infinit\u00e9 d’adresses r\u00e9seaux. Il faudra qu’elle ruse pour d\u00e9finir chacun de ses r\u00e9seaux physiques (Ethernet, Token Ring, Liaisons Lou\u00e9es) avec une seule adresse r\u00e9seau (voir avec une partie d’adresse r\u00e9seau<\/em>) fourni par son IAP !<\/p>\n
Dans ce cas, elle va tron\u00e7onner son adresse r\u00e9seau en sous-r\u00e9seaux pour d\u00e9finir un sous-r\u00e9seau par r\u00e9seau local (LAN) par exemple. Bien s\u00fbr cette technique limitera le nombre de machines qu’elle pourra installer sur chaque r\u00e9seau physique, mais bien souvent ce n’est pas un probl\u00e8me.<\/p>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/SRX.gif\")
<\/p>\nCas de l’optimisation du routage !<\/h3>\n
A votre avis ? L’optimisation du routage c’est quoi ? Ci-dessous, le sch\u00e9ma d’un r\u00e9seau priv\u00e9 faisant appel \u00e0 un plan d’adressage standard de classe A. Chaque routeur conna\u00eet l’ensemble des r\u00e9seaux :<\/p>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/RNOP.gif\")
<\/p>\nSupposons qu’un r\u00e9seau soit \u00ab\u00a0subnetter\u00a0\u00bb (humm.. Joli mot !<\/em>) en 10 sous-r\u00e9seaux. Si le routeur conna\u00eet les dix sous-r\u00e9seaux il aura dix lignes dans sa table de routage (rappelez-vous le chapitre pr\u00e9c\u00e9dent<\/em>).<\/p>\n
Mais nous savons maintenant que les sous-r\u00e9seaux font partie d’une m\u00eame adresse r\u00e9seau<\/strong>. Donc si on localise dans un m\u00eame endroit du r\u00e9seau l’ensemble des sous-r\u00e9seaux d’un r\u00e9seau, les routeurs \u00e0 l’ext\u00e9rieur de cette concentration pourront consid\u00e9rer l’ensemble de ces sous-r\u00e9seaux comme un seul r\u00e9seau<\/strong>. Le sch\u00e9ma suivant propose de remplacer les r\u00e9seaux 11.0.0.0, 12.0.0.0 et 13.0.0.0 par des sous-r\u00e9seaux d’un r\u00e9seau 11.0.0.0. Le routeur externe n’a plus que deux lignes dans sa table de routage. Il identifie le r\u00e9seau 11.0.0.0 dans sa globalit\u00e9, charge au routeur interne de traiter la s\u00e9paration en sous-r\u00e9seaux.<\/p>\n
![\"\"](\"http:\/\/www.gatoux.com\/wp-content\/uploads\/2017\/04\/ROP.gif\")
<\/p>\nSi un routeur externe \u00e0 cette concentration envoie un paquet au routeur interne \u00e0 la concentration il atteindra forc\u00e9ment le sous-r\u00e9seau, le routeur de la concentration se chargeant de router vers les bons sous-r\u00e9seaux. Il suffit alors d’avoir une seule entr\u00e9e dans la table de routage du routeur externe<\/strong>, celle du r\u00e9seau, le routeur interne aura lui une entr\u00e9e pour chaque sous-r\u00e9seaux.<\/p>\n
Avec une telle structure d’adressage, vous hi\u00e9rarchisez votre routage et all\u00e9gez vos tables de routage<\/strong>. Un routeur n’aime pas les grosses tables de routage, moins il a d’entr\u00e9e dans la table, moins il a de lignes \u00e0 scruter, plus il commute rapidement et moins de m\u00e9moire il lui faut !<\/p>\n
Bien s\u00fbr il faudra bien qu’\u00e0 un endroit, un routeur ait connaissance des sous-r\u00e9seaux (le routeur de concentration) pour faire la s\u00e9paration du trafic, mais plus ce routeur est pr\u00eat de la destination moins les autres ont \u00e0 conna\u00eetre de routes.<\/p>\n
Pour la petite histoire, ce concept est tellement important dans les grands r\u00e9seaux et notamment pour Internet qui route des millions de r\u00e9seaux, qu’un protocole appliquant ce principe au niveau des adresses r\u00e9seaux cons\u00e9cutives a \u00e9t\u00e9 produit. Ce protocole s’appelle le CIDR<\/strong> (C<\/strong>lassless I<\/strong>nterD<\/strong>omain R<\/strong>outing). Ce protocole permet de regrouper sur le plan du routage des adresses r\u00e9seaux cons\u00e9cutives 1.0.0.0, 2.0.0.0, 3.0.0.0 etc. en consid\u00e9rant une seule route pour le groupe. On ram\u00e9ne donc \u00e0 une entr\u00e9e de table de routage au lieu des 3 de notre exemple. Il faut bien s\u00fbr que ces r\u00e9seaux soient regroup\u00e9s \u00ab\u00a0g\u00e9ographiquement\u00a0\u00bb. C’est d’ailleurs la logique qui essaie (j’ai bien dit essaie !) d’\u00eatre respect\u00e9e sur Internet avec des blocs cons\u00e9cutifs pour la plaque Europe, pour la plaque Asie, etc.<\/p>\n
Conclusion du chapitre<\/h2>\n
Alors, \u00e0 votre avis ? L’architecture r\u00e9seau c’est facile ? Rassurez-vous on s’y fait tr\u00e8s vite. Mais ce chapitre avait pour but d’introduire quelques \u00e9l\u00e9ments de base et fondamentaux pour construire un bon plan d’adressage. Je l’ai r\u00e9\u00e9cris plusieurs fois pour essayer d’\u00eatre \u00e0 la fois le plus simple et le plus logique possible. J’esp\u00e8re avoir r\u00e9ussi ! Il \u00e9tait difficile, \u00e0 mon sens, d’introduire la notion des sous-r\u00e9seaux sans passer par les bases d’un plan d’adressage.<\/p>\n
Vous avez maintenant des notions de routage, des notions d’adressage avec des standards comme la NAT ou la RFC 1918. Il vous manque un dernier point pour conclure ces chapitres sur l’adressage IP :<\/p>\n
- \n
- comment cr\u00e9er des sous-r\u00e9seaux<\/li>\n
- comment identifier un sous-r\u00e9seau<\/li>\n<\/ul>\n
C’est l’objectif du chapitre suivant … Accrochez-vous \u00e0 votre calculette ou \u00e0 votre boite d’aspirine selon le cas ! Et bon courage !<\/p>\n
Page pr\u00e9c\u00e9dente <\/a>| Page Suivante<\/a><\/span><\/h5>\n","protected":false},"excerpt":{"rendered":"
Qu’est-ce qu’un plan d’adressage ? Lorsque vous devez cr\u00e9er un r\u00e9seau d’entreprise IP, ce r\u00e9seau interconnectant diff\u00e9rents sites et r\u00e9seaux de votre soci\u00e9t\u00e9, vous r\u00e9fl\u00e9chissez \u00e0 un plan d’adressage. Cette op\u00e9ration a pour but de d\u00e9finir pour chaque r\u00e9seau physique (LAN et WAN) une adresse de r\u00e9seau IP. Pour chaque machine de chacun de ces\u2026 Lire la suite »<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":24,"comment_status":"closed","ping_status":"closed","template":"page-templates\/full-width.php","meta":{"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"class_list":["post-350","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/pages\/350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/comments?post=350"}],"version-history":[{"count":4,"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/pages\/350\/revisions"}],"predecessor-version":[{"id":435,"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/pages\/350\/revisions\/435"}],"wp:attachment":[{"href":"https:\/\/racine.gatoux.com\/lmdr\/index.php\/wp-json\/wp\/v2\/media?parent=350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- permettre dans les grands r\u00e9seaux, une optimisation du routage<\/strong>, en diminuant le nombre de r\u00e9seaux d\u00e9clar\u00e9s dans les tables de routage des passerelles.<\/li>\n<\/ul>\n
- permettre de \u00ab\u00a0tron\u00e7onner\u00a0\u00bb une plage d’adresse normalis\u00e9e<\/strong> (conforme \u00e0 Internet) trop juste pour affecter une adresse r\u00e9seaux par r\u00e9seau physique de l’entreprise.<\/li>\n
- toutes les adresses des r\u00e9seaux 172.16.0.0 \u00e0 172.31.0.0<\/strong> (Classe B)<\/li>\n
- toutes les adresses du r\u00e9seau 10.0.0.0<\/strong> (Classe A)<\/li>\n
- Etes-vous conforme \u00e0 la RFC 1918 ?<\/strong><\/li>\n<\/ul>\n
- la translation d’adresse destination<\/strong>, moins courante, permet de modifier l’adresse destination d’un paquet IP <\/strong>lorsque celui-ci demande une adresse sp\u00e9cifique. Vous pouvez, de cette mani\u00e8re, masquer l’adresse r\u00e9elle d’un serveur<\/strong> au monde ext\u00e9rieur ! Les internautes cherchent, par exemple, \u00e0 contacter l’adresse 132.12.12.11 qui correspond en fait \u00e0 votre adresse de FireWall (Pare-Feu). Le FireWall \u00e0 r\u00e9ception des paquets va modifier l’adresse en 10.0.0.1 qui est l’adresse interne de votre serveur ! De cette fa\u00e7on on ne peut pas joindre votre serveur sans passer par votre FireWall ! Bien s\u00fbr, lors de la r\u00e9ponse du serveur, le FireWall modifiera l’adresse source de r\u00e9ponse !<\/li>\n<\/ul>\n