Ignorer les liens de navigation
Accueil
Admission
Etudiants
Bibliothèque
Info Campus
Ignorer les liens de navigation
Académie
Rectorat
Service des Ressources Informatiques
Téléphonie UNILU
Service IT
Unilu-Network
Assistance
bureau
Backup
Terminal
Exchange
Formation
Complements
Connexion VPN
Certificats
Imprimantes
Integration
E-mail
Antivirus
Réseau
Configuration réseau
Adressage IP
Mobilité
Annuaire téléphonique
Mettre en ligne
Messagerie Etudiants
Lire ses mails à partir de son portable
Configurer son portable
GP7: Informatisation effective des tâches académiques
GP7 pour l’année académique 2011-2012
Adressage IP 

Configuration IP

  Ci-dessous, le lecteur trouvera des explications, beaucoup d'explications:

  • Les adresses publiques et privées.
  • L'adressage statique et dynamique.
  • Le DNS publique, le DNS privé.
  • Remarques.

Adresses privées, adresses publiques.

  Deux types d'adresses peuvent être utilisées dans un réseau qui utilise TCP/IP comme protocole général: des adresses publiques et des adresses privées. Elles ne se distinguent pas particulièrement puisqu'elles présentent la même structure. Les adresses privées sont en fait des adresses IP particulières et réservées. Si on travaille dans un réseau isolé, le gestionnaire du système peut affecter n'importe quelle adresse à son réseau. Il prend alors le risque évident, si son réseau est un jour connecté à Internet, de rencontrer des conflits d'adresses avec des ordinateurs déjà présents. Deux solutions sont alors possible:

  • L'administrateur peut contacter un fournisseur d'accès à Internet et réserver des adresses publiques qu'il affectera à son parc informatique.
  • L'autre solution est d'utiliser des adresses privées. L'intégration du réseau local au réseau 'global' se fera alors sans heurt et sans conflit moyennant l'introduction d'un service supplémentaire: le NAT, Network Address Translation, qui fera une transformation ponctuelle sur une transaction entre une adresse publique, toujours nécessaire pour communiquer sur le réseau Internet, et l'adresse privée de la machine locale.

Adresses publiques.

  Les classes publiques sont fournies par Belnet, notre ISP (Internet Service Provider). Elles sont réservées au niveau de la gestion de l'ensemble du réseau Internet et un ordinateur ayant une adresse dans un de ces groupes sera clairement identifié comme appartenant à la FPMs. Les systèmes qui ont une adresse dans ce groupe accèdent directement aux ressources de la toile et en font intégralement partie. Ils peuvent donc à la fois en être les clients (accéder à des pages HTML par exemple) et en être les serveurs (présenter un site Web local, ...). Du point de vue de la sécurité des machines, seuls les serveurs publics devraient recourir à une adresse publique. Par serveur public, il faut comprendre "ordinateur qui exécute un service qui doit être accédé depuis l'extérieur", comme un serveur Web par exemple. En ces termes, un système qui exécute Windows NT Serveur qui gère les fichiers et les utilisateurs pour un service n'est certainement pas un serveur public.

Adresses privées.

  Les classes privées sont définies par convention par les organismes de gestion du réseau Internet et sont reprises ci-dessous:

  • De 10.0.0.1/8 à 10.255.255.254/8
  • De 172.16.0.1/12 à 172.31.255.254/12
  • De 192.168.0.1/16 à 192.168.255.254/16

  Les adresses privées sont, par définitions, non "routable" sur le réseau Internet. Cela signifie plus clairement que les dispositifs d'aiguillage du réseau ne pourront pas viser une machine qui se trouve dans une classe privée. Cela ne signifie pas qu'un système dont l'adresse IP est privée ne peut se connecter au réseau des réseaux. Cela traduit en fait l'impossibilité pour un tel système d'être serveur de la toile. Il est clair que cette optique présente une amélioration immédiate de la sécurité des machines qui y adhèrent, même s'il ne s'agit pas d'un mécanisme de sécurité à proprement parler.

  L'utilisation d'adresses privées a pour but de réduire la consommation des adresses publiques qui se raréfient à mesure qu'Internet grandit. En fait l'adressage privé est la solution qui permet de repousser la limite de saturation du nombre de machine qui peuvent se connecter au réseau mondial. Une classe complète privée locale peut accéder à l'extérieur par une adresse publique unique et un mécanisme que l'on appelle le NAT (Network Address Translation) dont il a déjà été question plus haut.

Adressage statique et adressage dynamique.

  Une adresse IP peut être non seulement publique ou privée, mais elle peut aussi être statique ou dynamique. Elle peut de plus être publique et statique, publique et dynamique, privée et statique, privée et dynamique... Il est simplement important d'éviter une confusion commune, le caractère privé ou public d'une adresse est indépendant de son mode d'allocation (statique ou dynamique).

L'adressage statique.

  L'adressage statique est le mode utilisé lorsque les paramètres IP principaux sont encodés au clavier dans la configuration des paramètres réseau d'un ordinateur. Il s'agit de l'adresse IP, du masque de sous réseau, du routeur par défaut (default gateway) du serveur de nom du domaine (serveur DNS). Par exemple respectivement: 

  • 193.190.208.10
  • 255.255.255.0
  • 193.190.208.1
  • 193.190.208.4

  Ce système qui parait simple présente beaucoup d'inconvénients. La saisie de ces chiffres est une importante source d'erreurs. Le maintient de l'information des attributions d'adresses et des attributions de noms doit être effectué manuellement par l'administrateur du réseau. Le suivi de cette information dépend de l'information communiquée par les utilisateurs eux-mêmes lors de l'intégration d'un nouveau poste comme lors de la suppression d'un ancien. Très vite la liste des adresses devient lacunaire voire erronée. Le changement de ces paramètres doit, quant à lui, passer par une opération manuelle sur tous les postes du réseau (que ce soit une migration de classe d'adresse IP ou le remplacement du serveur de nom par exemple). 

  Du point de vue de l'utilisateur, comme de celui de l'administrateur du réseau, une gestion saine des affectations de paramètres IP passe par l'emploi de l'adressage dynamique, et donc par l'installation d'un serveur DHCP (Dynamic Host Configuration Protocol).

L'adressage dynamique.

  Dans un adressage dynamique, l'ordinateur 'client' est configuré pour utiliser le protocole DHCP qui va lui permettre d'obtenir auprès d'un serveur du même nom l'ensemble de ses paramètres. Toutes les données sont donc, d'une part, transférées par le réseau et plus entrées sur un clavier, et d'autre part, maintenues de manière centralisée sur un serveur. La modification des paramètres réseaux s'effectuent donc aussi de manière centralisée. Lors de la connexion suivante d'un client, ce dernier recevra les nouveaux paramètres sans la moindre intervention de son utilisateur.

  Il s'agit là clairement de la solution la plus élégante au problème de plan d'adressage et de sa gestion journalière.

  Puisque, en DHCP, un ordinateur obtient ses paramètres par le réseau, à priori, ils peuvent changer d'une connexion à l'autre. Cela n'est pas toujours le cas puisqu'une machine peut être identifiée par l'adresse physique de sa carte réseau (MAC adresse), le serveur DHCP peut y associer une adresse IP constante (Réservation). Cette technique s'écarte un peu d'un adressage entièrement dynamique, mais n'enlève rien à l'intérêt d'une gestion centralisée des adresses. Dans ces différentes situations, un problème demeure, c'est l'association entre le nom des machines et leur adresse IP.

  Lorsqu'un service est recherché sur le réseau, c'est le nom de son serveur qui est utilisé (le nom d'un site Web par exemple). Il s'agit en fait d'un mode de référence compréhensible par l'utilisateur qui est traduit par le système en un adressage numérique. Cette correspondance est effectuée par un autre serveur/service: le DNS, Domain Name System.

La structure DNS.

  La gestion de la correspondance des noms de machines et de leurs adresses IP est effectuée de la manière la plus simple en maintenant "manuellement" une liste de ces correspondances. L'ensemble de la procédure est alors la suivante: L'utilisateur d'une nouvelle machine demande une adresse IP à l'administrateur du réseau; celui-ci fourni l'ensemble des paramètres IP (cfr ci-dessus), un nom de machine (parfois proposé par l'utilisateur) et entre la correspondance dans le fichier de gestion du service DNS sur le serveur.  

  Eu égard à ce qui est dit précédemment, on comprend immédiatement que ce système ne fonctionne pas dans un environnement DHCP. On peut également constater que dans une structure multi-classes multi-sites, il est très vite impossible de localiser la source d'un problème identifié uniquement par son adresse IP. Il existe bien sûr une solution de DNS adaptée à une gestion de l'adressage en DHCP: le DDNS ou DNS dynamique. Il faut toutefois garder à l'esprit que la résolution de nom doit présenter une certaine stabilité en ce qui concerne les serveurs publics. De plus la correspondance entre le nom et les adresses IP des machines en adressage privé ne doit pas être accessible de l'extérieur puisque les machines ne le sont pas. La solution est donc duale: un serveur public statique associé à un serveur privé dynamique.

Le DNS dynamique privé.

  Le DNS dynamique est associé au serveur DHCP, il s'agit de la même machine dans le cas du réseau de l'UNILU. Lorsqu'un ordinateur a terminé sa transaction DHCP, il connaît l'adresse du serveur DNS. Il le contacte pour lui communiquer son nom. Il est alors enregistré automatiquement dans la base de données du serveur DNS. C'est donc l'utilisateur d'une machine qui en choisi le nom sur une base de "premier arrivé, premier servi" (le nom doit toutefois se conformer au protocole détaillé sur la page configuration).

  Étant associé au serveur DHCP, le serveur DNS enregistre potentiellement toutes les adresses qu'il fournit, publiques et privées. Idéalement, ce système ne doit pas permettre à une requête dont l'origine est externe, d'être résolue. C'est un serveur public, dont les données DNS représentent un échantillon très réduit des données du serveur privé (les adresses de serveurs publics) qui s'en charge.

Le DNS statique public.

  Le serveur public contient les adresses de machines devant être accédées du réseau Internet Le fichier de correspondance est maintenu "à la main" en extrayant les données désirées du serveur privé. Il est donc indispensable de stabiliser les machines concernées afin que cette table change le moins possible. Le nombre de ces machines est idéalement extrêmement faible (un serveur de courrier, un ou deux serveurs Web).


Remarques:

Quelques adresses utiles:

  • Le routeur par défaut (default gateway) d'une classe est toujours l'adresse '.1' de la classe (193.190.209.1 pour une adresse 193.190.209.x).
  • Les serveurs DNS Privés sont 10.10.10.15 et 10.10.10.10
  • Le serveur DNS public (et statique) est 194.7.1.4

Réseau local privé, éventuellement abrité derrière un pare-feu, au niveau d'un service.

Le paragraphe qui suit, très technique, est réservé à une situation très particulière, liée à une volonté d'indépendance pour un réseau local au niveau d'un service.

  L'utilisation des adresses privées dans le réseau de l'UNILU est détaillée dans les points qui précédent. Il peut toutefois y avoir des raisons pour lesquelles un service aurait envie de s'orienter vers une gestion locale de l'adressage en recourant à des adresses privées propres. Le réseau local du service devient un sous réseau autonome qui effectuera localement la translation d'adresse (NAT) entre la structure interne et le réseau universitaire. Tout cela est possible, mais nécessite une administration réseau interne. Une condition est toutefois essentielle à respecter: les règles de routage implémentées dans les configurations des composants de bordure du réseau 'privé' ne doivent concerner QUE les classes d'adresses qui y sont utilisées. Ceci afin d'éviter de "router" vers l'intérieur du réseau privé les paquets à destinations des classes privées du backbone. Idéalement et afin d'éviter tout risque "d'aiguillage", les classes utilisées dans le réseau privé doivent être différentes de celles utilisées par le 'backbone'.