Énoncé
Vous venez d'être embauché en tant qu'administrateur systèmes et réseaux dans l'entreprise Zéro & Cie.
L'ancien administrateur a dû partir précipitamment et vous a laissé un projet à réaliser.
La société possède sur son réseau privé 10.0.0.0/23 quelques serveurs : 5 serveurs SSH (port TCP 22) (10.0.1.1,10.0.1.2,10.0.1.3,10.0.1.4,10.0.1.5) ; 4 serveurs web (port TCP 80) (10.0.1.6,10.0.1.7,10.0.1.8,10.0.1.9) ; et 2 serveurs DNS (port UDP 53) (10.0.1.10,10.0.1.11).
De plus, il y a environ 250 salariés dans l'entreprise qui ont leurs adresses de 10.0.0.1 à 10.0.0.254.
L'ancien administrateur a acheté une plage d'adresses sur Internet qui est la suivante:
194.34.56.0/29
On vous demande d'écrire la table de port forwarding du routeur qui fera la liaison entre le réseau privé et Internet. Sachant que ce routeur pourra donc avoir toutes les adresses du réseau public sur son interface réseau externe.
À vous de dire si cette mise en place est possible, et si oui, de proposer votre solution de NAT dynamique et port forwarding.
Secret (cliquez pour afficher)
Pour résoudre cet exercice, il va falloir prendre les problèmes un par un.
Déjà, nous allons calculer l'étendue de la plage d'adresses publiques à notre disposition.
En écrivant le masque en décimal, nous avons : 194.34.56.0/255.255.255.248
Si vous avez bien compris la limitation liée au port forwarding, on ne peut avoir qu'un seul serveur d'un certain type (SSH ou web ou DNS) par adresse IP.
Or, dans cet exercice nous avons au maximum 5 serveurs d'un même type à rediriger, cela devrait donc fonctionner.
Il faudra simplement rediriger plusieurs serveurs de types différents sur une même adresse IP.
Vous comprendrez peut-être mieux avec la solution.
Nous avons deux choix :
commencer par rediriger tous les serveurs de même type, par exemple commencer par placer tous les serveurs SSH ; commencer par chaque adresse IP.
Quoi qu'il en soit, nous arriverons de toute façon au même résultat. Nous allons choisir le second choix pour que vous compreniez bien le principe.
On commence par la première adresse IP publique que nous avons à notre disposition. Nous allons rediriger depuis cette adresse un serveur de chaque type, étant donné que nous avons plus d'une seule adresse IP :
Table de port forwarding
@IP externe 194.34.56.1 Port externe TCP 22 (SSH) @IP interne 10.0.1.1 Port interne TCP 22
@IP externe 194.34.56.1 Port externe TCP 80 (web) @IP interne 10.0.1.6 Port interne TCP 80
@IP externe 194.34.56.1 Port externe UDP 53 (DNS) @IP interne 10.0.1.10 Port interne UDP 53
Nous utilisons donc une seule adresse IP publique parmi nos 6 adresses disponibles pour rediriger 3 services différents (SSH, web et DNS) vers trois serveurs différents !
Nous pouvons maintenant passer à la seconde adresse IP publique qui va, elle aussi, accueillir trois services différents : Table de port forwarding
@IP externe 194.34.56.1 Port externe TCP 22 (SSH) @IP interne 10.0.1.1 Port interne TCP 22
@IP externe 194.34.56.1 Port externe TCP 80 (web) @IP interne 10.0.1.6 Port interne TCP 80
@IP externe 194.34.56.1 Port externe UDP 53 (DNS) @IP interne 10.0.1.10 Port interne UDP 53
@IP externe 194.34.56.2 Port externe TCP 22 (SSH) @IP interne 10.0.1.2 Port interne TCP 22
@IP externe 194.34.56.2 Port externe TCP 80 (web) @IP interne 10.0.1.7 Port interne TCP 80
@IP externe 194.34.56.2 Port externe UDP 53 (DNS) @IP interne 10.0.1.11 Port interne UDP 53 Vu que nous avons déjà placé nos 2 serveurs DNS, il n'y aura plus besoin de placer que deux services différents (SSH et web) sur la troisième adresse IP publique disponible :
Table de port forwarding
@IP externe 194.34.56.1 Port externe TCP 22 (SSH) @IP interne 10.0.1.1 Port interne TCP 22
@IP externe 194.34.56.1 Port externe TCP 80 (web) @IP interne 10.0.1.6 Port interne TCP 80
@IP externe 194.34.56.1 Port externe UDP 53 (DNS) @IP interne 10.0.1.10 Port interne UDP 53
@IP externe 194.34.56.2 Port externe TCP 22 (SSH) @IP interne 10.0.1.2 Port interne TCP 22
@IP externe 194.34.56.2 Port externe TCP 80 (web) @IP interne 10.0.1.7 Port interne TCP 80
Table de port forwarding
@IP externe 194.34.56.1 Port externe TCP 22 (SSH) @IP interne 10.0.1.1 Port interne TCP 22
@IP externe 194.34.56.1 Port externe TCP 80 (web) @IP interne 10.0.1.6 Port interne TCP 80
@IP externe 194.34.56.1 Port externe UDP 53 (DNS) @IP interne 10.0.1.10 Port interne UDP 53
@IP externe 194.34.56.2 Port externe TCP 22 (SSH) @IP interne 10.0.1.2 Port interne TCP 22
@IP externe 194.34.56.2 Port externe TCP 80 (web) @IP interne 10.0.1.7 Port interne TCP 80
@IP externe 194.34.56.2 Port externe UDP 53 (DNS) @IP interne 10.0.1.11 Port interne UDP 53
@IP externe 194.34.56.3 Port externe TCP 22 (SSH) @IP interne 10.0.1.3 Port interne TCP 22
@IP externe 194.34.56.3 Port externe TCP 80 (web) @IP interne 10.0.1.8 Port interne TCP 80
@IP externe 194.34.56.4 Port externe TCP 22 (SSH) @IP interne 10.0.1.4 Port interne TCP 22
@IP externe 194.34.56.4 Port externe TCP 80 (web) @IP interne 10.0.1.9 Port interne TCP 80
@IP externe 194.34.56.5 Port externe TCP 22 (SSH) @IP interne 10.0.1.5 Port interne TCP 22
Il nous reste même une adresse IP non utilisée ! C'est le Pérou !
Ceci dit, l'exercice n'est pas encore tout à fait terminé, car il faut aussi donner accès à Internet à nos 250 utilisateurs.
Mais ça, c'est facile, il suffit d'activer la NAT dynamique sur une de nos adresses IP.
Euh, mais on a déjà 5 adresses prises par du port forwarding, donc on ne peut pas utiliser n'importe laquelle de ces adresses, non ?
En fait, si !
Si vous vous souvenez bien, les ports alloués pour les clients sont alloués au-dessus de 1024. Or, ici, les ports utilisés pour le port forwarding sont tous en dessous. Nous avons donc, sur chacune de nos 6 adresses publiques disponibles, la possibilité de mettre en place de la NAT dynamique pour nos utilisateurs !
Et hop, mission accomplie pour notre nouvel administrateur !
Nous en avons donc fini avec la NAT et le port forwarding qui sont si utiles aujourd'hui ! Vous avez maintenant vu toutes les couches de 1 à 4.
Vous connaissez les protocoles réseau associés à ces couches.
Vous connaissez les mécanismes comme la NAT qui sont nécessaires au bon fonctionnement d'Internet.
Enfin, vous avez appris toute la théorie des réseaux TCP/IP dont nous avons besoin pour comprendre le fonctionnement réseau d'Internet, à travers la compréhension du modèle OSI.
Si vous êtes arrivés jusque-là sains et saufs, bravo !
Pour s'assurer que vous avez tous bien compris et assimilé le cours, nous allons faire un récapitulatif complet de ce que nous avons vu pour bien fixer les idées.