Administration Dun Reseau Informatique
Administration Dun Reseau Informatique
Administration Dun Reseau Informatique
Objectifs du cours
À la fin de ce cours, l’étudiant doit pouvoir être en mesure de comprendre tous les aspects de la
fonction d’administration réseau et de reconnaître les moyens techniques et administratifs/
organisationnels qui permettent de nos jours de maîtriser l’administration réseau dans les entreprises
modernes. Par ailleurs, il doit pouvoir être suffisamment éclairé pour s’intégrer dans une équipe
d’administration et pour pouvoir prendre des responsabilités.
DEFINITION DES CONCEPTS CLES
Adresse mac : Adresse physique d'une interface réseau fixée par le constructeur qui
permet d'identifier de façon unique une machine sur un réseau local.
Agent : Elément logiciel embarqué dans un élément actif du réseau permettant sa
gestion par une station de supervision.
Alerte : Signal qui prévient d’un incident.
Authentification : Procédure consistant à vérifier ou à valider l'identité d'une
personne ou l'identification de toute autre entité, pour contrôler l'accès à un réseau,
à un système informatique ou à un logiciel.
Evénement: Signal qui permet, par ses différents états, d'indiquer la situation ou
l'évolution d'une partie d'un système.
EINZIVOH Page 1
Administration réseaux
1. La Supervision
EINZIVOH Page 2
Administration réseaux
La tâche de l’administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification
ou réaliser une action en fonction d’une alerte déclenchée.
2. l'Administration
L'administration désigne plus spécifiquement les opérations de contrôle du
réseau avec la gestion des configurations et de sécurité. De façon générale, une
administration de réseaux a pour objectif d'englober un ensemble de techniques de
gestion mises en œuvre pour :
Offrir aux utilisateurs une certaine qualité de service;
Permettre l'évolution du système en incluant de nouvelles fonctionnalités;
Rendre opérationnel un système ;
3. l'Exploitation
De nos jours, les systèmes d'exploitation à savoir les systèmes UNIX, MacOs et
Windows gèrent tous l'aspect de l’exploitation des réseaux, les procédures, et les
fonctions associés. Un système d’administration réseau est une collection d’outils
pour la supervision et le contrôle du réseau qui sont intégrés dans le sens qu’ils
impliquent :
Un nombre minimal d’équipements séparés qui sont le plus souvent des composants
matériels et logiciels requis pour l’administration réseau, et incorporés dans les équipements
utilisateurs existants.
Les objectifs (les finalités) de l’administration des réseaux pour un administrateur
:
Supervision du fonctionnement des réseaux ;
Optimisation pour l’utilisation des ressources ;
Détection et prévision des erreurs ;
Signalisation des pannes ;
Calculs de facturations à l’utilisation des ressources ; Le support technique pour
utilisateurs.
EINZIVOH Page 3
Administration réseaux
Gestion de configuration ;
Gestion de performance ;
Gestion de panne ;
Introduction
Le NAT est un service qui a été développé en réalité pour faire face à la pénurie des adresses IP. Il
s’est montré efficace dans ce rôle et comme technique de protection de communication entre un
réseau sensible (et qui a besoin d’un niveau de sécurité élevé) et un réseau public. Pour ces raisons le
NAT est couramment implémenté et géré dans les réseaux d’entreprise par l’administration réseau.
Détails de l’activité
2.1.1 La fonction
NAT signifie Network Address Translation, c’est-à-dire Traduction d’adresses réseau. C’est une
fonction auxiliaire qui existe en raison de l’utilisation des adresses privées et des adresses publiques
EINZIVOH Page 4
Administration réseaux
dans un même réseau d’entreprise. La fonction NAT est implémentée dans les équipements actifs, et
dans les routeurs de sortie vers l’extérieur notamment. Ici les adresses IP privées utilisées par les
machines à l’intérieur du réseau sont converties en une adresse publique dans les paquets qui sortent.
Ceci permet aux hôtes du réseau interne utilisant des adresses privées normalement interdites à
l’extérieur de communiquer avec les machines sur Internet.
La plupart des organisations ont beaucoup plus d’ordinateurs que les adresses IP officielles
disponibles. L’utilisation d’adresses IP privées contribue à faire face à ce problème en permettant aux
entreprises d’avoir une passerelle Internet unique avec une adresse IP publique. Tous les autres noeuds
ont des adresses IP privées. La passerelle utilise un serveur NAT pour traduire les adresses IP privées à
une adresse qui peut être acheminée à travers l’Internet.
En rappel, l’ICANN a réservé des adresses IP pour un usage privé sur les trois classes d’adresses. Il
faut remarquer que la recommandation comprend des masques de sous-réseau non standard pour la
classe B et classe C plages d’adresses IP privées. Les adresses qui n’appartiennent pas à ces plages et
qui sont utilisées par des entreprises de façon officieuse sont aussi appelées adresses privées. Les
adresses IP de la version 4 se sont avérées très vite insuffisantes et beaucoup d’entreprises se sont
retrouvées sans alternative à l’utilisation d’adresses privées. Pour des raisons de sécurité on préfère
utiliser officieusement une adresse non attribuée par l’autorité d’administration pour éviter les
adresses privées déclarées et bien connues.
A 10.0.0.0. à 255.0.0.0
10.255.255.25
5
B 172.16.0.0 à 255.240.0.0
172.16.255.25
5
C 192.168.0.0 à 255.255.0.0
192.168.255.2
55
La figure illustre la position du NAT à l’interface entre le réseau privé interne et l’extérieur (Internet
notamment). Nous avons un réseau de 5 hôtes visibles et dans lequel on utilise l’adresse 10.0.0.0/24. Ce
réseau est ouvert au réseau Internet avec un routeur à la sortie dans lequel on a activé le service NAT.
L’adresse publique disponible pour l’entreprise c’est la 88.66.88.66. Chaque fois qu’une machine du
réseau interne initie une connexion vers l’extérieur, le routeur NAT crée une liaison logique entre
l’adresse IP de la machine (ici
10.0.0.xxx) et l’adresse publique 88.66.88.66. On parle de résolution ou mappage. La création de la
correspondance se fait à l’aide de l’utilisation des numéros de ports. Pendant la
EINZIVOH Page 5
Administration réseaux
communication le routeur qui tient ici lieu de serveur NAT remplace l’adresse privée comme adresse
source dans les paquets qui sortent par l’adresse publique. Et lorsque les paquets de réponse viennent
de l’extérieur il remplace l’adresse publique comme adresse de destination par l’adresse privée de la
machine à laquelle le paquet est effectivement destiné. Étant donné que tous les paquets venant de
l’extérieur ont toutes l’adresse publique comme adresse de destination, le serveur NAT utilise les
informations sur les correspondances créées au départ et qui sont conservées dans la table NAT pour
repérer la machine à laquelle le paquet doit aller dans le réseau interne.
Comme la figure le montre, le NAT procède à l’origine à une association statique entre les adresses
privées internes et une adresse publique unique. On a alors parlé de NAT statique. Lorsque plusieurs
adresses publiques sont disponibles pour la communication vers l’extérieur, on peut implémenter une
traduction dynamique.
Avec le NAT dynamique, nous mappons également nos adresses IP internes à plusieurs adresses IP
publiques. Mais l’adresse publique utilisée par une machine pour atteindre l’extérieur varie d’une
communication à l’autre. Lorsqu’un hôte initie une connexion vers l’extérieur, le serveur NAT choisit
une adresse disponible de son pool d’adresses IP publiques et l’alloue à la communication. Les
traductions dynamiques ont un délai d’expiration après laquelle elles sont purgées de la table de
traduction, rendant ainsi les adresses publiques à
EINZIVOH Page 6
Administration réseaux
2.1.2 Implémentation
Le système d’exploitation Linux dispose d’un module bien connu du nom de iptables qui fait du
filtrage de trafic. C’est ce module qui réalise aussi le NAT sous ce système d’exploitation. La
formulation des règles de mappage nécessite naturellement une bonne maîtrise du système
d’exploitation linux. Heureusement, l’administrateur n’est plus obligé de descendre dans le système
d’exploitation. Il existe des logiciels pouvant ajouter la fonction de traduction d’adresses au système
d’exploitation. Voici quelques liens:
https://en.wikipedia.org/wiki/Network_address_translation#Examples_of_NAT_software
http://www.wingate.com/
Il est encore plus intéressant de savoir beaucoup d’équipements réseau offrent désormais NAT parmi
les fonctions auxiliaires intégrées. C’est le cas des routeurs et des points d’accès sans fil notamment.
La figure nous montre un exemple de tableau de mappage ou table NAT ou table de traduction. Il y
est visible que c’est le couple (AdressePrivée, PortSourcePrivé) qui est remplacé par le couple
(AdressePublique, PortSourcePublic). Par exemple, le couple (192.168.1.101, 54847) est remplacé
par le couple (65.96.14.76,1). C’est-à-dire que la communication émanant de la machine d’adresse
192.168.1.101 et qui est associée dans la couche de transport au port numéro 54847 est visible dans le
réseau publique (Internet) comme provenant de la machine d’adresse 65.96.14.76 et de port numéro1
dans la couche de transport. La traduction (AdressePrivée, PortSourcePrivé)
(AdressePublique, PortSourcePublic) est appelée NAT source.
EINZIVOH Page 7
Administration réseaux
La machine qui reçoit les paquets provenant de (65.96.14.76,1) va répondre en mettant l’adresse
65.96.14.76.1 et la port 1 comme adresse et port de destination respectivement. Au niveau de la
machine qui effectue le NAT, cette indication va subir le NAT de destination: Grâce au tableau de
mappage, la machine va retrouver que le couple (65.96.14.76,1) correspond au couple
(192.168.1.101, 54847) dans le réseau interne. Elle va donc effectuer la substitution correspondante
dans l’en-tête du paquet avant de le livrer dans le réseau Internet.
Conclusion
Le service de résolution d’adresses NAT a permis de pallier à la pénurie des adresses IP. Au fil des
années il s’est avéré très précieux pour l’administration réseau. En effet, le fait de masquer les
adresses réelles des machines internes dans la communication avec l’extérieur s’exploite aussi très
bien dans la sécurisation des réseaux. Pour cette raison le service NAT ne s’utilise plus seulement
entre un réseau privé et un réseau public, mais aussi entre deux réseaux (ou deux compartiments d’un
réseau) ayant présentant des niveaux de sécurité différents.
Évaluation
EINZIVOH Page 8
Administration réseaux
3. Une machine dans un réseau interne peut-elle communiquer directement avec une machine dans
le réseau Internet? Pourquoi?
4. Décrivez le processus de traduction d’une adresse privée interne en une adresse publique!
6. Quelles sont les raisons pouvant amener une entreprise à utiliser des adresses privées?
7. Citez les adresses privées réservées avec chaque fois le masque correspondant! Peuton parler
d’adresses privées en dehors de celles-là?
8. La fonction du NAT n’a-t-elle de sens qu’entre un réseau privé et un réseau public? Expliquez!
DNS signifiait au départ Domain Name Service. Ce service auxiliaire étant réalisé par un système de
plusieurs serveurs, la signification Domain Name System a fini par se répandre. Il s’agit du service de
résolution de noms d’hôtes dont le rôle de retrouver l’adresse IP correspondant à un nom de machine
donné.
Détails de l’activité
2.3.1 Structure
Le service DNS permet à des hôtes du réseau de soumettre des requêtes à un serveur DNS afin
d’obtenir l’adresse IP d’un hôte connaissant le nom de cet hôte (par exemple www.google. com
209.85.229.99). Cette traduction de noms en adresses IP doit toujours être réalisée puisque que les
machines utilisent uniquement les adresses IP pour communiquer entre elles sur le réseau. Les
serveurs qui réalisent le service DNS en système sont organisées dans un modèle en arborescence
hiérarchique avec une gestion décentralisée des données (chacun étant responsable des données de sa
zone). Le système de noms DNS se présente sous forme d’un arbre inversé avec pour sommet “la
racine” et un ensemble de noeuds représentant des domaines identifiés par un label (.org, .cm, .com,
.edu, etc.). Un serveur de noms particulier s’occupe d’un noeud de l’arborescence ou d’un ensemble
de noeuds sur lequel il aura autorité. On dit que le serveur gère une zone d’autorité. C’est-à-dire qu’il
gérera l’attribution des noms et résoudra les noms via une base de données (matérialisée par ce qu’on
appelle un fichier de zone) distincte pour chaque noeud. Chaque information élémentaire de la base
de données DNS est un objet appelé “resource record” (RR).
EINZIVOH Page 9
Administration réseaux
2.3.2 Fonctionnement
Le service DNS utilise deux approches pour résoudre les noms: L’approche récursive et l’approche
itérative. Dans l’approche itérative, le client envoie une requête au serveur DNS indiqué dans sa
configuration. Si la récursivité est désactivée, et le serveur ne peut pas répondre à la requête (c’est-à-
dire qu’il ne trouve pas la correspondance dans sa base de données), le serveur répond au client en
indiquant le prochain serveur DNS dans le système hiérarchique. Le client va alors utiliser ces
informations pour interroger un autre serveur DNS. Ce processus se poursuivra de cette manière
jusqu’à ce qu’un serveur réponde en renvoyant une réponse faisant autorité.
Dans l’approche récursive, un client envoie une requête au serveur dont l’adresse est indiquée dans
sa configuration. Si la résolution récursive est activée, le serveur recherche alors la résolution
d’abord localement dans sa propre base de données, puis dans son cache local, enfin en passant par
l’arbre DNS jusqu’à ce qu’il trouve un serveur qui peut donner une réponse faisant autorité à la
requête. Dans ce modèle, le client est considéré comme un résolveur de bout (Stub Resolver).
Typiquement, résolveurs de bout sont mis en oeuvre sur les appareils disposant de ressources
limitées telles que les systèmes embarqués ou des ordinateurs personnels.
EINZIVOH Page 10
Administration réseaux
Les noms de domaines ont une structure hiérarchique avec au sommet les domaines de premier
niveau (Top-Level Domains, TLD). Les noms google.com et computerhope.com représentent des
domaines et sont sous un même domaine de premier niveau: Le domaine des organisations
commerciales, .com. De la même manière les domaines mit.edu et stanford. edu sont des domaines
sous le TLD .edu, qui est le domaine de premier niveau des institutions universitaires (disponible en
Amérique du Nord). Cette structuration hiérarchique des noms de domaine se reflète dans
l’organisation des serveurs DNS qui effectuent la résolution des noms:
Au sommet de la hiérarchie on a les serveurs racine (root servers) qui sont responsables des
domaines du premier niveau.
Les serveurs de domaine qui détienne les noms pour les hôtes dans un domaine comme
google.com ou avu.org.
Dans la configuration d’un poste de travail par exemple on indique au moins une adresse de serveur DNS.
Ce serveur DNS doit être normalement le serveur DNS de l’entreprise ou de l’organisation dans laquelle
on se trouve. On attend notamment d’une entreprise qui a une infrastructure réseau de déployer aussi un
serveur DNS. Ce serveur d’entreprise est appelé serveur d’autorité pour les noms du domaine associé. Par
exemple, le serveur DNS de l’entreprise Google est serveur d’autorité pour le domaine google.com: C’est
lui qui, dans le processus de résolution de noms, va fournir en définitive les adresses correspondant aux
noms de machines tels que www.google.com (Serveur web de Google) ou peut-être
EINZIVOH Page 11
Administration réseaux
support.google. com qui serait une autre machine dans le réseau de Google.
Les serveurs DNS sont serveurs d’autorité pour les domaines du premier niveau: C’est un serveur
racine qui va fournir en dernier ressort l’adresse du serveur respons---able du domaine .com, .cm, ou
.org aux serveurs DNS situés sous lui (dans sa zone). Il existe 13 (treize
) serveurs racine dans le réseau Internet. Les treize serveurs appartiennent à douze organisations
(https://www.iana.org/domains/root/servers), l’entreprise VeriSign, Inc. en possédant deux. Les
serveurs racine sont contactés lorsqu’un serveur DNS de niveau inférieur n’arrive pas à résoudre un
nom de domaine, c’est-à-dire qu’il ne trouve pas un nom dans sa base de données. Par exemple,
lorsque vous voulez accéder au site www.mit.edu pour la première fois, le serveur DNS qui vous sert
peut ne pas avoir ce nom dans sa base de données. Dans ce cas, le serveur va s’adresser au serveur
racine sous lequel il se trouve (indiqué dans la configuration) pour avoir l’adresse du serveur
responsable du domaine .edu. C’est à ce dernier qu’il faut s’adresser en prochaine étape pour obtenir
l’adresse du serveur responsable du domaine mit. edu. Et en dernière étape ce serveur qui est
d’autorité pour le domaine mit.edu va fournir l’adresse du serveur web de MIT.
Conclusion
Les machines qui communiquent en réseau s’identifient entre elles uniquement à l’aide d’adresses IP.
Par contre, dans les références aux machines nous utilisons presque exclusivement les noms d’hôtes
tels que www.avu.org. Le service auxiliaire DNS permet de retrouver l’adresse IP correspondant à
tout nom de domaine rencontré. Il arrive souvent de constater que la communication à partir du
réseau de l’entreprise vers l’Internet ne passe pas, alors que la connexion physique est bel et bien
opérationnelle. La cause peut être la non disponibilité du service DNS. Le service est offert grâce à
un ensemble de serveurs répartis à travers le monde et organisés dans un système hiérarchique.
Évaluation
3. Pourquoi dit-on que les serveurs DNS sont dans une structure hiérarchique qui forme un arbre
renversé?
EINZIVOH Page 12
Administration réseaux
Le DHCP désigne un protocole (et en même temps le service réalisé) qui sert à effectuer une attribution
dynamique d’adresses IP aux nœuds du réseau. Il y a des raisons pour lesquelles l’attribution dynamique est
souhaitable:
Les adresses IP sont attribuées à la demande.
Lorsque la configuration manuelle devient lourde.
Soutien à la mobilité des noeuds.
Détails de l’activité
2.2.1 Fonctionnement
Le protocole DHCP (Dynamic Host Configuration Protocol) permet à une machine hôte d’obtenir
automatiquement une adresse IP au démarrage lorsqu’il se connecte au réseau. Ceci fonctionne qu’il
y a un serveur DHCP opérationnel dans le réseau. Le serveur DHCP choisit une adresse dans une
plage d’adresses (pool) et l’attribue à la machine qui en a fait la demande, généralement pour une
durée déterminée appelée durée de bail. En fait, le serveur DHCP ne fournit pas seulement l’adresse
IP à la machine, mais toutes les données de configuration qui vont permettre de fonctionner
proprement dans l’environnement réseau où elle veut s’intégrer:
Une adresse IP.
Un masque de sous réseau.
L’adresse IP de la passerelle par défaut.
L’adresse IP du serveur DNS.
Dans un réseau ayant un nombre important de stations, l’utilisation d’un serveur DHCP est la seule
solution pour fournir les données de configuration aux machines. Le protocole DHCP peut présenter
un certain risque dans la sécurité du réseau. Dans la pratique on utilise généralement l’adressage
dynamique et l’adressage statique sur un même réseau. L’adressage dynamique est utilisé pour les
périphériques utilisateurs finaux. L’adressage statique est utilisé pour les systèmes importants, les
appareils périphériques et les équipements actifs:
Passerelles (routeurs).
Commutateurs.
Serveurs.
EINZIVOH Page 13
Administration réseaux
Imprimantes.
Le fonctionnement du service DHCP est basé sur un dialogue entre le serveur et la machine qui
sollicite une adresse, le dialogue étant initié par cette dernière. Lorsqu’une machine arrive
nouvellement dans le réseau elle diffuse un paquet DHCP DISCOVER pour identifier un serveur
DHCP disponible au cas où elle est configurée en mode d”adressage automatique. Le serveur DHCP
répond avec un paquet DHCP OFFER dans lequel se trouve une offre de bail donnant les indications
:
Adresse IP prêtée.
Serveur DNS.
Passerelle par défaut.
Durée de bail.
Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur. Si l’offre est encore
valable, le serveur renvoie un accusé positif DHCP ACK et dans le cas contraire un accusé négatif
DHCP NAK. L’utilisation du service DHCP suppose deux choses:
1. Il existe un serveur DHCP opérationnel dans le réseau, et
2. Les machines sont configurées en option d’adressage dynamique.
Configuration
Plus que pour le service de traduction d’adresses, il existe de nombreux logiciels disponibles pour
réaliser un serveur DHCP. Par ailleurs, les équipements réseau et tous les appareils comme les
smartphones ou des simples postes de travail sous Windows peuvent effectuer l’attribution d’après
quand on les configure pour partager une connexion. C’est-à-dire que quand on active la fonction de
points d’accès Wifi sur un smartphone la fonction DHCP est directement activée dans ce cas. Sur les
deux figures qui suivent, nous voyons les données essentielles de configuration d’un serveur DHCP. Il
y a notamment:
EINZIVOH Page 14
Administration réseaux
La plage d’adresses à attribuer aux machines qui en font la demande. Pour la spécifier on indique
une adresse de début et une adresse de fin . Sur la première figure la plage va de 172.50.50.1 à
172.50.50.25, alors que sur la seconde figure les adresses vont de 192.168.3.20 à 192.168.3.30.
Le masque d’adresses est une donnée naturelle. Il est unique et permet ainsi à tous les noeuds qui
reçoivent leur adresse du serveur d’être dans le même réseau.
La passerelle par défaut est aussi une donnée évidente et est également unique pour toutes les
machines.
Le DHCP fournit aussi l’adresse d’un ou de plusieurs serveurs DNS aux machines à configurer.
La durée de bail représente la durée de validité des données de configuration fournies à la
machine par le serveur DHCP. Après ce temps la machine doit obtenir de nouvelles données au
serveur. En règle généralement, le client demande un prolongement (de la même durée) de son bail
auprès du serveur.
La durée de bail est généralement indiquée en seconde. Une permet de réduire le trafic DHCP, mais
peut bloquer les adresses et présenter des problèmes de sécurité. Il faut donc dans chaque cas choisir
un compromis dans les limites autorisées. Sur la première figure on constate que la durée de bail peut
à aller de 61 secondes à 30 jours.
EINZIVOH Page 15
Administration réseaux
Les machines qui doivent recevoir leurs données de configuration du serveur DHCP dans le
réseau doivent être configurées en adressage dynamique. La figure ci-dessous montre la fenêtre de
configuration des propriétés du protocole IP pour une machine qui doit recevoir ses données du
serveur DHCP.
La question de la disponibilité du serveur DHCP dans le réseau joue un rôle de grande importance.
En effet, une fois que l’infrastructure est basée sur un adressage dynamique, son fonctionnement
dépend du fonctionnement du serveur DHCP: Si le serveur tombe en panne les machines qu’on met
en marche ne pourront plus obtenir des adresses et surtout les machines qui avaient déjà obtenu des
adresses ne pourront pas renouveler le bail de l’adresse concernée. Raison pour laquelle des mesures
d’augmentation de la disponibilité du serveur DHCP ont été mises au point. Parmi celles-ci il y a
notamment la configuration redondante: En plus du serveur primaire, on déploie un ou plusieurs
serveurs secondaires dans le réseau:
En cas de défaillance du serveur primaire, un des serveurs secondaires prend le relais et peut
attribuer des adresses aux machines qui arrivent en réseau et peut aussi renouveler les baux des
machines qui avaient déjà reçu des adresses.
Une fois, le serveur primaire rétabli, il reprend le service DHCP après une synchronisation de sa
base de données avec la base de données du serveur secondaire et assuré provisoirement le service.
Comme le montre la figure, la technique de déploiement redondant du service DHCP est basée sur
une synchronisation courante entre le serveur primaire (aussi appelé serveur maître) et le serveur
secondaire (aussi appelé serveur esclave). Ceci permet aux deux machines d’avoir le même état au
niveau de leur base de données, ce qui est la condition sine qua none pour que le serveur secondaire
puisse prendre le relais au niveau où était le serveur primaire. En d’autres termes, au moment où le
serveur secondaire va prendre le relais il a dans sa base de données les baux en cours et peut donc les
renouveler à expiration.
EINZIVOH Page 16
Administration réseaux
Fenêtre de configuration des propriétés IPv4 (Windows 7) pour une machine en adresse dynamique
Conclusion
Le service DHCP est le service de configuration des machines du réseau. Il est incontournable dans les
réseaux de taille consistante où il serait irréaliste d’attribuer et d’administrer manuellement les
EINZIVOH Page 17
Administration réseaux
adresses aux machines. Même lorsque le nombre de machines dans le réseau n’est pas grand, le
service de configuration peut être avantageux parce qu’il permet d’exclure les erreurs dans la saisie
des données de configuration sur une machine. Dans tous les cas, lorsqu’il y a changement dans le
schéma interne de configuration (par exemple quand on décide de changer l’adresse IP utilisée dans le
réseau) le travail de migration est simple lorsque le service DHCP est fonctionnel.
Évaluation
3. Quelles sont les étapes de l’échange entre un client et un serveur DHCP en vue la configuration
du client?
4. Citez deux autres données fournies aux machines à configurer par le serveur DHCP.
5. Faut-il laisser toutes les machines obtenir leur adresse du serveur DHCP dans un réseau?
Expliquez!
6. Discutez du choix d’une durée de bail longue et d’une durée de bail courte, respectivement!
Qu’est-ce qui peut justifier le déploiement de plusieurs serveurs DHCP dans un réseau?
Les deux services réseau que nous voulons présenter ici rendent l’utilisation du réseau confortable
pour les utilisateurs. Il s’agit du service de fichiers réseau et du service d’impression. Il y a peu de
temps, les disques durs et imprimantes de haute qualité étaient relativement coûteux. Aujourd’hui,
chaque système dispose d’un grand disque dur et beaucoup ont leurs propres imprimantes de haute
qualité, mais cela ne va jamais éliminer le besoin de partage des ressources. Tout au contraire le
développement vers le cloud computing exacerbe le partage.
Dans un réseau les serveurs de fichiers permettent aux utilisateurs de stocker des fichiers importants à
un emplacement central pour permettre le partage et à partir de cet emplacement il est facile
d’implémenter des mesures de sécurité pour protéger les données. Un serveur de fichiers offre aussi
généralement un service d’impression, ce qui fournit un moyen facile et pratique pour partager des
imprimantes sur le réseau.
EINZIVOH Page 18
Administration réseaux
Malheureusement elles sont plus lentes que la mémoire principale. Dans ces conditions la
performance du système de fichiers est déterminante pour la performance globale de l’ordinateur:
Les fichiers doivent être facilement repérables sur les disques, sinon le temps de recherche élevé va
s’ajouter au temps de lecture pour limiter la performance du système. Différents systèmes
d’exploitation utilisent des systèmes de fichiers différents, mais qui ont tous des caractéristiques
similaires.
La partie la plus importante et qui détermine la performance du système de fichiers est la méthode par
laquelle les fichiers sont indexés sur le disque dur. Cet indice permet au système d’exploitation de
savoir à tout moment où trouver un fichier spécifique sur le disque dur. Cet indice est le plus souvent
basé sur les noms de fichiers. En fonction du système d’exploitation, il existe des systèmes de fichiers
différents et donc des méthodes différentes d’indexation. Dans un environnement Windows, nous
avons notamment l’un des trois systèmes de fichiers
FAT, NTFS et exFAT, chacun ayant différentes méthodes d’indexation. Le premier système FATx
(x=12, 16, ou 32) utilise ce qu’on appelle une table d’allocation de fichiers pour indexer les fichiers
sur le disque. Cette table d’allocation de fichiers est très simple à mettre en oeuvre et à utiliser, mais
peut être un peu lent. Le deuxième système de fichiers NTFS (New Technology File System) a vu le
jour avec Windows NT et se rencontre dans les versions de Windows ultérieures à NT. NTFS utilise
des arbres binaires qui, bien que complexes, permettent des temps d’accès très rapides. Le système de
fichiers exFAT est utilisé principalement dans les applications de stockage sur les mémoires
électroniques (flash) et les cartes SD.
Les systèmes d’exploitation de la famille connaissent plusieurs systèmes de fichiers parmi lesquels on
a notamment ext2, ext3, ext4, XFS et JFS. Cependant le plus courant est certainement EXT3, qui est
une extension de journalisation du système de fichiers ext2 sous Linux. La journalisation permet de
réduire énormément le temps nécessaire pour effectuer la récupération d’un système de fichiers après
un crash. XFS est très rapide et utilise B-arbres pour son indexation des fichiers aussi.
2.4.2 Systèmes de fichiers réseau
Un système de fichiers est un système de fichiers réseau lorsqu’il est capable d’organiser et de
sauvegarder les fichiers sur des mémoires secondaires distantes et accessibles par communication via
le réseau. Dans ce contexte, les systèmes de fichiers réseau jouent un rôle déterminant pour atteindre
le partage de ressources entre les utilisateurs et les applications déployées en réseau. Nous nous
rappelons que l’un des avantages des réseaux c’est effectivement ce partage de ressources. Un
système de fichiers réseau doit effectivement être transparent aux utilisateurs et aux applications:
L’accès à des fichiers situés sur des machines distantes doit se passer comme si ceux-ci étaient
sauvegardés sur la machine locale. Il incombe à l’administrateur réseau de choisir le système de
fichiers (et le type de serveur de fichiers) en vue d’atteindre la performance souhaitée. Il existe de
nombreux systèmes de fichiers réseau, mais les deux systèmes NFS en environnement Linux et
Samba en environnement Windows sont les plus populaires.
Système NFS
Le système de fichiers NFS fut développé par Sun Microsystems en 1985. Il est devenu ensuite un
standard Internet (RFC 1094). C’est un système basé sur le modèle client/serveur: Les fichiers sont
enregistrés sur des serveurs à partir desquels ils sont accessibles aux clients; les fichiers sauvegardés
sur les clients n’ont aucun intérêt pour d’autres clients comme pour les serveurs. La communication
entre le client et le serveur est basée sur le RPC (Remote Procedure Call) qui est l’un des premiers
mécanismes de communication entre les composants des applications distribuées. La figure montre
comment un serveur NFS a exporté le dossier / remote vers les clients. Ce dossier ainsi exporté
devient visible au niveau d’un client comme s’il faisait partie de l’arborescence des fichiers stockés
en local.
Deux versions de NFS sont actuellement en vigueur. La version 2 de NFS (NFSv2) utilisée depuis
plusieurs années, est largement supportée. La version 3 de NFS (NFSv3) apporte d’autres fonctions, y
compris un traitement de fichiers de taille variable et un meilleur rapportage d’erreurs, mais n’est pas
entièrement compatible avec les clients NFSv2. Red Hat Enterprise Linux supporte les deux clients
NFSv2 et NFSv3, et utilise NFSv3 par défaut lors du montage d’un système de fichiers via NFS sur
EINZIVOH Page 19
Administration réseaux
un serveur qui le supporte. NFSv2 utilise le protocole UDP (User Datagram Protocol) pour fournir
une connexion réseau sans états entre le client et le serveur. NFSv3 peut utiliser soit UDP soit TCP
(Transmission Control Protocol) en cours d’exécution sur un réseau IP.
La connexion sans déclaration UDP réduit le trafic réseau, puisque le serveur NFS envoie au client un
cookie qui l’autorise à accéder au volume partagé. Ce cookie est une valeur aléatoire stockée du côté
serveur et transmis en même temps que les requêtes RPC du client. Non seulement le serveur NFS
peut être redémarré sans affecter le client mais le cookie restera intact. Cependant, vu que UDP est
sans états, si le serveur s’arrête inopinément, les clients UDP continueront à saturer le réseau de
requêtes. Pour cette raison, TCP est le protocole préféré lors de la connexion sur un serveur NFSv3.
Système Samba
Le système de fichiers Samba est une suite d’applications Unix qui qui réalise le protocole SMB
(Server Message Block). Le système d’exploitation Windows de Microsoft et un autre système
d’exploitation comme OS/2 utilise le protocole SMB pour effectuer le partage de fichiers et
d’imprimantes et les opérations associées en mode client/serveur en réseau. En supportant ce
protocole, Samba permet à un ordinateur qui fonctionne sous Unix de communiquer avec les postes
qui tournent sous Windows et d’apparaître de la perspective de ces derniers comme un autre système
Windows sur le réseau. Un serveur Samba offre les services suivants:
Partage d’une ou de plusieurs arborescences d’annuaire.
Partage d’une ou de plusieurs arborescences de systèmes de fichiers distribués.
Partage d’imprimantes installées sur le serveur parmi les clients Windows sur le réseau.
Assistance aux clients dans la navigation en réseau.
Authentification des clients lors de la connexion à un domaine Windows.
Réaliser ou assister les clients dans la résolution de nom pour le service WINS (Windows
Internet Name Service).
EINZIVOH Page 20
Administration réseaux
La suite Samba comprend également des outils clients qui permettent aux utilisateurs sur un système Unix
d’accéder à des dossiers et des imprimantes que les systèmes Windows et les serveurs Samba offrent sur le
réseau.
Bien qu’il puisse sembler naturel d’utiliser un serveur Windows pour réaliser le service de partage de
fichiers et d’imprimantes dans un réseau contenant des clients Windows, il y a de bonnes raisons de
préférer un serveur Samba pour cette tâche. Samba est un logiciel fiable qui fonctionne sur les
systèmes d’exploitation fiables de la famille Unix, ce qui signifie moins de problèmes et un faible
coût de maintenance. Samba offre également de meilleures performances lorsque charges sont
élevées, dépassant la performance de serveurs Windows d’un bon facteur sur le même matériel de PC
(selon des benchmarks neutres publiés). Par ailleurs, lorsque le hardware du PC bon marché ne
répond plus aux exigences d’un environnement avec une charge énorme en provenance des clients, le
serveur Samba peut facilement être migré sur un mini-ordinateur tournant sous Unix. Et si tout cela
ne suffisait pas, Samba est tout simplement gratuit: Non seulement le logiciel lui-même disponible
gratuitement, mais aussi aucune licence client n’est nécessaire.
2.4.3 Service d’impression
Le service d’impression est un service réseau très utile qui permet de partager les imprimantes pour
qu’elles soient accessibles à partir de toutes les machines connectées au réseau. Les avantages du
partage d’imprimantes sont les suivantes:
Réduction du nombre d’imprimantes nécessaires, ce qui permet de réaliser des économies directes en
termes d’argent dépensé, de relever le niveau d’utilisation des imprimantes achetées, et permet
d’économiser de l’espace dans l’entreprise.
Réduction des efforts de maintenance: La réduction du nombres d’imprimantes dans la maison permet
de réduire le coût de maintenance engendré par les imprimantes.
L’accès aux imprimantes spéciales: Les imprimantes de certaines gammes de qualité et de capacité
sont très coûteuses. Et pour cette raison il n’est même pas envisageable d’en avoir en plusieurs
exemplaires dans une entreprise. La possibilité de partage représente donc une solution salvatrice
pour rendre de telles imprimantes accessibles aux employés de l’entreprise.
De façon générale, les imprimantes réseau sont relativement simples à installer et très faciles à utiliser
une fois configurées. Les multiples avantages d’une imprimante réseau en font l’option préférée pour
l’impression dans l’environnement d’entreprise de nos jours. On rencontre aussi les cas où, pour
diverses raisons, on a besoin de plus d’un type d’imprimantes dans une entreprise - par exemple, on
pourrait avoir besoin d’imprimer des graphiques de haute qualité dans un département, alors que dans
d’autres départements c’est plutôt des gros volumes d’impression qui constituent l’exigence centrale.
L’impression en réseau représente le seul recours envisageable dans ces cas: On installe autant de
types d’imprimantes que nécessaire en réseau et on donne aux employés la possibilité d’envoyer leur
projet à l’imprimante appropriée en fonction de leurs besoins d’impression.
Conclusion
Le service de fichiers et le service d’impression sont deux exemples de services auxiliaires qui
permettent de réalisation l’accès transparent aux ressources du réseau pour les utilisateurs finaux. Il
existe des systèmes de fichiers réseau qui permettent de réaliser le premier service et dont
l’administration est délicate et représente un défi pour l’administration réseau. Le service
d’impression est aussi un service couramment implémenté sur l’infrastructure réseau de nos jours. En
effet, les multiples avantages d’une imprimante réseau en font désormais l’option préférée pour
l’impression dans l’environnement d’entreprise.
Évaluation
EINZIVOH Page 21
Administration réseaux
a. Effectuez une comparaison des concepts de sécurité (s’il en existe) des systèmes de
fichiers suivants: NFS, Samba, et les services de fichiers SMB/CIFS en réseau.
b. Expliquez comment on peut sécuriser l’échange de données entre le serveur et le client
NFS à l’aide des protocoles SSL/TLS. Il faudra tenir compte de ce que plusieurs ports TCP
respectivement plusieurs services doivent être disponibles pour un serveur NFS.
I- Généralité :
Il est difficile pour un utilisateur de travailler avec des adresses IP. La résolution est le processus qui permet
d’affecter automatiquement une traduction entre les noms alphanumériques et des adresses IP. Tout les
ordinateurs possèdent deux identificateurs :
- Nom alphanumérique - Adresse IP
Dans les systèmes Windows on trouve deux types de noms :
- Les noms NetBios
- Les noms d’hôtes
II- Noms NetBios : Un Nom NetBios est un nom qui permet d’identifier les services NetBios sur un
ordinateur.
L’avantage de l’utilisation des noms NetBios, c’est que lors du processus de résolution, on demande
l’adresse IP qui correspond au nom d’une machine qui exécute les services demandés.
Exemple : La requête de résolution demandera le nom NetBios : Poste00 <20>. Donc, on cherche au serveur
de fichiers dans une machine nommée « Poste00 », nom seulement l’adresse IP de « Poste00 ».
EINZIVOH Page 22
Administration réseaux
V- Fichier Lmhosts :
Fichier Lmhosts est un fichier qui se situe dans « C:\Windows\System32\Drivers\etc\Lmhosts.sam »,
l’action doit le configurer pour mapper les ordinateurs et leurs adresses IP qui se situes on dehors du réseau
local.
X- TTL (Time To Live) : Définir le temps de blocages des réponses attribués à partir de la zone dans les
caches des machines ayant interrogé la zone.
EINZIVOH Page 23
Administration réseaux
Serveur WINS:
I- Définition :
Le serveur WINS (Windows Internet Name Server) a été créé pour le but de limiter le trafic de diffusion et
de paramétrer la résolution des noms NetBios sur plusieurs segments de réseaux.
Active Directory :
I. Introduction :
1 - Définition : L'Active Directory est un service qui permet de stocker des informations sur les ressources
de tout le réseau et permet aux utilisateurs de localiser, gérer et utiliser ces ressources. Il utilise le protocole
LDAP (Lightweight Directory Acces Protocole), son numéro de port 389/TCP.
2- Les objets Active Directory : Serveurs, domaines, sites, utilisateurs, ordinateurs, groupe, lien de site,
imprimantes, dossier partagé…
EINZIVOH Page 24
Administration réseaux
3- Schéma Active Directory : Le schéma Active Directory stocke la définition de tous les objets d’Active
Directory (ex : nom, prénom pour l’objet utilisateur). Le schéma comprend deux types de définitions : les
classes d'objets et les attributs.
4- Le catalogue global : Le catalogue global contient une partie des attributs les plus utilisés de tous les
objets Active Directory. Il contient les informations nécessaires pour déterminer l’emplacement de tout
objet de l’annuaire.
5- Le protocole LDAP : LDAP (Lightweight Directory Access Protocol) est un protocole du service
d’annuaire utilisé pour interroger et mettre à jour Active Directory.
Chaque objet de l’annuaire est identifié par une série de composants :
• DC : (Domain Controller) Composant de domaine.
• OU : (Organizational Unit) Unité d’organisation.
• CN : (Common Name) Nom usuel.
III. La structure physique d'Active Directory : La structure physique permet d’optimiser les échanges
d’informations entre les différentes machines en fonction des débits assurés par les réseaux qui les
connectent.
Les composants de la structure physique :
1- Contrôleurs de domaine : Un contrôleur de domaine est un ordinateur exécutant Windows Server qui
stocke un répliqua de l’annuaire. Il assure l’authentification et l’ouverture des sessions des utilisateurs,
ainsi que les recherches dans l’annuaire.
2- Sites et liens des sites :
Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit
fiable (liaison LAN).
Un lien de site est une liaison entre deux site.
La réplication Active Directory peut utiliser les protocoles :
• IP pour les liaisons intra site.
• RPC pour les liaisons inter site.
• SMTP pour les liaisons inter site.
EINZIVOH Page 25
Administration réseaux
• Utilisateurs et ordinateurs Active Directory : C’est le composant le plus utilisé pour accéder à l’annuaire.
Il permet de gérer les comptes d’utilisateurs, les comptes d’ordinateurs, les fichiers et les imprimantes
partagés, les unités d’organisation …
• Sites et Services Active Directory : Ce composant permet de définir des sites, des liens de sites et de
paramétrer la réplication Active Directory.
• Domaines et approbations Active Directory : Ce composant permet de mettre en place les relations
d’approbations et les suffixes UPN. Il propose aussi d’augmenter le niveau fonctionnel d’un domaine ou
d’une forêt.
• Schéma Active Directory : Ce composant permet de visualiser les classes et les attributs de l’annuaire.
• Gestion des Stratégies de Groupe : Ce composant permet de centraliser l’administration des stratégies de
groupe d’une forêt, de vérifier le résultat d’une stratégie de groupe ou bien encore de comparer les
paramètres de deux stratégies de groupe. Ce composant n’est pas disponible sur le CD-ROM de Windows
Server, il doit être téléchargé sur le site de Microsoft.
• Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande permettent
respectivement d’ajouter, de modifier, de supprimer, de lister ou de déplacer des objets dans l’annuaire.
• Ldifde : L’outil en ligne de commande LDIFDE (LDAP Data Interchange Format Directory Export)
permet d’importer des données à partir d’un fichier texte vers Active Directory ou bien d’exporter des
données à partir d’Active Directory vers un fichier texte.
• Csvde : L’outil en ligne de commande CSVDE est utilisé pour importer des comptes d’utilisateurs à partir
d’un fichier texte vers Active Directory.
Commandes d’administration
Introduction
Les systèmes d’exploitation offrent des commandes utiles à l’administration réseau, lesquelles peuvent à
première vue paraître rudimentaires, mais qui rendent de précieux services au quotidien, même devant des
situations les plus complexes. Il y a notamment les commandes ping et traceroute que nous allons présenter
dans cette activité. Les deux sont disponibles aussi bien sous Windows que sous Linux.
3.3.1 État d’une machine et de la route: ping
Officiellement la commande ping a été fournie pour permettre de tester si une machine est en vie. Être en vie
veut dire que la machine est allumée et opérationnelle. Mais pour être précis, être en vie pour une machine
signifie qu’elle répond à la commande ping. En effet, une machine peut
Ne pas être en marche (éteinte),
Être en marche et avoir planté,
Être en marche et en bon état de fonctionnement, mais connaître une interruption de la connexion
physique au réseau
Être en marche et en bon état de fonctionnement, mais avec une configuration réseau erronée.
Dans tous ces cas, la machine ne peut pas répondre à la commande ping, synonyme de ce que cette machine
ne peut pas communiquer en réseau. C’est pour cette réseau que l’administrateur réseau effectue un test avec
la commande ping après la mise en marche d’une nouvelle machine en réseau et un résultat positif de ce test
lui permet de conclure que la machine a été bien installée et peut communiquer en réseau. Quand il est devant
une situation de dysfonctionnement (inaccessibilité) d’un service, l’administrateur commence le diagnostic
par un test ping sur le serveur qui offre le service.
EINZIVOH Page 26
Administration réseaux
La figure montre le résultat d’un test ping sur le serveur web de l’UVA (Syntaxe: ping www.avu. org). La
machine sur laquelle nous exécutons la commande ping envoie un certain nombre de paquets (4 sous
Windows) à la machine à tester; cette dernière lui renvoie les paquets au fur et à mesure et notre machine
détermine le temps d’aller-et-retour (Round Trip Time, RTT) appelé temps de réponse de chaque paquet. Le
résultat ci-dessus montre que le premier paquet envoyé à www.avu.org est revenu après 823 ms alors que le
quatrième et dernier paquet est revenu après 157 ms.
La figure qui suit montre le résultat de la commande ping sur la machine locale, c’està-dire sur la
machine sur laquelle nous exécutons cette commande ping. La syntaxe est la suivante: ping 127.0.0.1 ou encore
ping localhost. Le temps de réponse pour tous les paquets est inférieur à 1 ms (La mesure sous Linux est plus
précise et produit des valeurs approchées inférieures à 1). Le résultat positif d’un test ping sur la machine locale
signifie que la suite de protocoles TCP/IP est bien installée et opérationnelle sur la machine. C’est la condition
sine qua none pour qu’une station communique avec les autres à travers le réseau. C’est pourquoi l’un des
premiers tests après configuration ou après modification de la configuration d’une machine c’est bel et bien le
test ping.
EINZIVOH Page 27
Administration réseaux
EINZIVOH Page 28
Administration réseaux
EINZIVOH Page 29
Administration réseaux
La commande traceroute fonctionnement de la façon suivante (voir figure): La machine locale envoie
un groupe de trois paquets à la machine distante en mettant la valeur du champ TTL à 1 (TTL=1). La valeur du
TTL étant interprétée comme étant le nombre maximum de noeuds intermédiaire que le paquet peut traverser,
la valeur 1 oblige le premier noeud intermédiaire à rejeter le paquet et à renvoyer un message d’erreur via le
protocole ICMP à la source. Le message ICMP (ICMP time exceed) permet à la machine locale de découvrir
qui est le premier noeud sur la route et de mesurer le temps de réponse de ce premier noeud pour chaque
paquet. Les trois valeurs obtenues pour le temps de réponse font partie de l’affichage produit par la commande
traceroute. La machine locale envoie maintenant un autre groupe de paquets à la machine distante en
incrémentant le TTL de 1 (TTL=2). Cette valeur du TTL permet aux paquets de traverser le premier noeud
intermédiaire avant d’être détruits par le deuxième noeud intermédiaire qui renvoie des messages ICMP
correspondants à la source. Le processus se poursuit ainsi jusqu’au dernier routeur sur la route. Ce dernier
obtient le paquet, décrémente le TTL et obtient la valeur 0. Toutefois, il constate aussi que le paquet est à
destination, c’est-à-dire que la machine concernée se trouve dans un réseau attaché directement à l’un de ses
ports. Il dirige le paquet vers cette machine. Néanmoins, le routeur ne reçoit pas de confirmation de la
destination parce que le paquet porte un numéro de port UDP inconnu (sciemment choisi). Raison pour
laquelle le dernier routeur envoie aussi un message ICMP (ICMP port unreachable) à la source. La machine
locale détecte ainsi le “bout de la route” avec la réception de ce message.
Conclusion
Dans cette activité nous avons présenté deux commandes simples et légères offertes par les systèmes
d’exploitation couramment rencontrés et qui sont de précieux compagnons pour l’administrateur réseau. La
commande ping a pour rôle premier de détecter si une machine est en état de fonctionnement normal en réseau.
Néanmoins en mesurant le temps de réponse de la machine testée, la commande fournit à l’administrateur réseau
une impression de l’état de la connexion à ladite machine. Quant à la commande traceroute elle permet de
découvrir la route qui mène de la machine sur laquelle la commande est exécutée à la machine distante
spécifiée. Tout comme la commande ping, traceroute mesure aussi les temps de réponse en passant et donne à
EINZIVOH Page 30
Administration réseaux
l’administrateur réseau la possibilité d’apprécier l’état de chaque segment de ligne sur la route entre la machine
de départ et la machine distante.
Évaluation
2. Quelle est la syntaxe qui permet de faire tourner la commande ping en continu sous Windows? Existe-t-il
3. Quelles sont les conditions qui peuvent conduire à un résultat négatif de la commande ping?
EINZIVOH Page 31