Routage et filtrage – Windows 2003 Server

Introduction

Lors de l’implémentation d’une infrastructure réseau Microsoft Windows 2003 Server, de nombreux éléments et services demeurent indispensables à l’activité réseau.

Au sein d’une infrastructure réseau, il existe une diversité d’équipements qui demeurent capables de procéder à l’interconnexion des réseaux locaux et globaux.
Cette opération s’effectue au niveau des différentes couches du modèle OSI (Open Systems Interconnection).
Grâce à l’implémentation de plusieurs protocoles de routage et d’autres fonctionnalités de routage, Windows 2003 Server peut donner à un serveur, la capacité de jouer, de manière performante, le rôle de routeur.

Nous allons donc, à travers cet article, présenter les différentes fonctionnalités de routage ainsi que les entités du service routage et accès distant intégrées à l’environnement Windows 2003 Server.

1. Présentation des routeurs :

Les routeurs sont des dispositifs réseau de couche 3 (il s'agit de la couche réseau qui redirige les données à travers un réseau à commutation, et dont l'unité de données est en général, le paquet) du modèle OSI.

On fait appel à un routeur en vue de réaliser la liaison des réseaux locaux de technologies différentes notamment. Ce dernier est capable d'acheminer des paquets d'informations au travers d'un vaste ensemble de réseaux interconnectés.

Cela concerne particulièrement l'interconnexion des réseaux LAN (Local Area Network) et WAN (Wide Area Network). De plus, un routeur est capable de réaliser la segmentation d'un réseau, et ainsi, se donner la capacité de passer d'un segment de réseau à un autre, préservant ainsi la bande passante.

Il existe au sein des routeurs, différentes catégories :

On distingue les routeurs matériels, dont la seule tâche consiste au routage des paquets d'informations dans le monde TCP/IP au sein d'un réseau,
Mais aussi et c'est ce qui nous intéresse le plus ici, les routeurs logiciels, dont le rôle est d'acheminer les données vers une destination voulue. Cependant, à la différence du routeur matériel, le routeur logiciel est implémenté au sein d'un serveur (Windows 2003 Server en ce qui nous concerne), qui lui, peut détenir d'autres fonctionnalités, comme la gestion du spooling par exemple.

2. Principe du routage :

A. Le routage :

Au sein d'une infrastructure réseau, l'activité du routeur se limite à la couche 3, c'est-à-dire, la couche réseau. Ainsi, il est donc capable, lorsqu'il reçoit une trame, de la décapsuler jusqu'au niveau 3.

De ce fait, le routeur est alors capable d'extraire de la trame, l'adresse IP de destination. Dès lors, le paquet peut être acheminé jusqu'à une interface capable d'atteindre cette destination.

Afin de réaliser cette opération, le routeur doit au préalable consulter sa table de routage. Cette dernière constitue un espace où sont stockées les différentes routes dont le routeur a connaissance, c'est-à-dire, les différents réseaux qu'il est capable de joindre. Son rôle est de déterminer le chemin le plus court pour acheminer les paquets, de la source à la destination.

Il peut arriver qu'un paquet ne soit pas acheminé à sa destination et dès lors, qu'il soit détruit par le routeur. L'explication à ce problème est tout à fait abordable : au sein de la table de routage, chaque réseau de destination est associé à une interface qui achemine les paquets. Cependant, lorsque aucune information concernant le réseau de destination de figure dans la table de routage, le routeur se retrouve inefficace pour déterminer le chemin à emprunter. De ce fait, il se retrouve contraint à envoyer un message d'erreur à la source et de mettre fin au paquet.

B. La table de routage :

Pour afficher la table de routage d'une station ou d'un routeur lorsqu'on utilise la plate-forme Windows 2003 Server, il suffit de lancer l'invite de commande (Démarrer->Exécuter->cmd) et ensuite de taper route print.

Il s'affiche alors une fenêtre semblable à celle-ci :

La table de routage regroupe trois types d'entrées :

On observe qu'au sein de la table de routage, plusieurs informations apparaissent, notamment cinq colonnes qui affichent les informations sur les entrées par défaut de la table :

Il semble nécessaire de préciser que l'espace de stockage de la table de routage est une mémoire de type RAM (Random Access Memory), c'est-à-dire, une mémoire qui est vidée à chaque redémarrage du système.

3. Configuration du routage sous Windows 2003 Server :

A. Descriptions des fonctionnalités du routage :

Comme énoncé au préalable, Windows 2003 Server intègre, au sein de son infrastructure, de nombreuses fonctionnalités de routage, capables de donner à un serveur (en l'occurrence, Windows 2003) le rôle de routeur.

On distingue parmi ces fonctionnalités :

L'élément indispensable implémenté à Windows 2003 Server et nécessaire au routage, est la console du service Routage et Accès distant. Cette console est utilisée notamment pour paramétrer le routeur.

B. Configuration du routage :

Afin de configurer le routage sur votre serveur Windows 2003 Server, faites :

Une console semblable à celle-ci dessous, s'affiche alors. Faites alors un clique droit sur votre serveur, situé en dessous de Etat du serveur dans Routage et accès distant .

Ensuite, choisissez la commande Configurer et activer le routage et l'accès distant.

La fenêtre suivante s'affiche alors. Cliquez sur suivant afin de continuer l'opération de configuration du serveur.

Voilà ensuite la fenêtre qui vous est présentée.

Il vous est alors proposé plusieurs types de connexion pour personnaliser votre serveur.

En ce qui concerne notre partie de configuration du serveur en routeur, il vous faut sélectionner l'option Configuration personnalisée qui permettra d'attribuer au serveur Windows 2003, différents rôles.

Ensuite, nous voilà avec l'affichage ci-dessous.

Il vous suffit de cliquer sur Routage réseau , puis ensuite de cliquer sur Suivant , puis Terminer , afin de finir la définition du routage.

4. Routage statique :

Il existe différents types de routage administrables sous Windows 2003 Server. On distingue notamment le routage statique dont nous allons parler, ainsi que le routage dynamique, le routage à la demande, le routage de multidiffusion que seront abordés un peu plus loin.

Le routage statique est configuré manuellement par l'administrateur sous Windows 2003 Server. Il permet d'entrer manuellement un route dans la table de routage, configurant ainsi de manière personnelle, le chemin souhaité. Cependant, un problème demeure : si un problème survient au niveau du réseau et que le route devient inaccessible, l'administrateur se retrouve contraint de reconfiguré manuellement une nouvelle route.

Ce type de routage prend réellement son importance dans un système d'interconnexion de deux réseaux. Au-delà, cela devient plus difficile à gérer en cas de problème.

Il existe deux manières de configurer un routage statique :

Route add –p [réseau_de_destination], MASK [masque_du_réseau_de_destination passerelle], METRIC [métrique_associée_à_la_route], IF [interface_utilisée]

Les éléments essentiels de cette commande sont les deux premières lignes. Le commutateur –p permet de rendre une route persistante, c'est-à-dire qu'elle sera stockée dans le registre afin de subsister. Cela est important puis la table de routage étant stockée en RAM (Random Acces Memory) est perdue à chaque redémarrage du système, puisque la RAM est vidée lors du redémarrage.

L'option METRIC permettra au routeur de choisir la meilleure route, si plusieurs chemins sont possibles pour l'envoi d'un paquet d'information. En effet, au plus l'indice de la métrique est faible, au plus la route associée à cette dernière a de chances d'être choisie.

Quant à l'option IF : cette dernière permet de choisir une interface locale au routeur. Dans le cas contraire, la meilleure interface pour une passerelle serait recherchée afin de transférer le paquet.

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils d'administration.

Déroulez ensuite le menu Routage IP sous votre serveur, et faites un clic droit Itinéraires statiques et sélectionnez Nouvel itinéraire statique.

5. Routage dynamique :

Lors de l'interconnexion de plusieurs routeurs, il est nécessaire de prévoir un changement de topologie du réseau. Ainsi, le routage statique est quasiment inefficace puisqu'il serait fastidieux de procéder à la reconfiguration des nombreuses routes établies au sein d'un tel réseau, notamment dans lorsque ce réseau est constitué de nombreux sous réseaux émaillés. De ce fait, un nouveau type de routage : le routage dynamique, est mis en place. Ce dernier permet d'attribuer dynamiquement, en ce basant sur un algorithme, la meilleure route, modifiable de manière dynamique par le routeur, en vue d'atteindre une destination.

Afin de permettre à différents routeurs d'échanger des informations, il existe des protocoles de routage.

On distingue sous Windows 2003 Server, deux types de protocoles de routage dynamique :

A. Protocole de routage à vecteur de distance :

Basés sur des algorithmes dis de Bellman-Ford, les protocoles de routage à vecteur de distance permettent aux routeurs de transmettre, et ce de manière périodique, le contenu de leur table de routage à leurs voisins.

Ce type de routage pose cependant des problèmes. En effet, le caractère périodique du transfert des tables de routage d'un routeur à un autre, entraîne un ralentissement dans la mise à jour et la vérification des tables de routage, c'est-à-dire qu'il existe un allongement des temps de convergence sur un réseau utilisant ce type de protocole. Cela peut notamment entraîner la perte de paquets d'IP en cas de mise à jour tardive de la table de routage.

Il ne s'agit pas là du seul inconvénient du routage à vecteur de distance. On distingue aussi le problème des boucles de routage.

Sous Windows 2003 Server, on distingue diverses versions de protocoles de routage à vecteur de distance. On distingue notamment le RIP (Routing Information Protocol).

a. RIP (Routing Information Protocol) :

Windows 2003 Server implémente deux version de RIP pour IP : RIPv1 et RIPv2.

Il faut préalablement souligné qu'un réseau Windows 2003 Server ne doit pas avoir un diamètre physique de plus de 14 routeurs. En effet, il est définit un nombre de sauts (hot count qui est la métrique utilisée par RIP) maximum de 15 afin de résoudre les problèmes de bouclage.

Ainsi, on ne pourra pas utiliser le protocole RIP s'il est possible qu'au sein du réseau, un paquet d'IP doit être amener à travers plus de 16 routeurs. Notons notamment que Windows 2003 considère qu'à un tronçon fixe de 2 sauts, se trouvent tous les itinéraires de la table de routage non RIP, comme un itinéraire statique par exemple.

Il existe des différences entre RIPv1 et RIPv2. On peut notamment souligner les deux différences suivantes :

b. Configuration du RIP pour IP :

Nous allons dans cette partie, procéder à l'installation du protocole RIP pour IP sous Windows 2003 Server.

Tout d'abord, comme ci-dessous, ouvrez la console de Routage et accès distant .

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils d'administration.

Déroulez ensuite le menu Routage IP située sous votre serveur, et faites un clique droit sur Général et cliquez ensuite sur Nouveau protocole de routage.

Choisissez ensuite le Protocole RIP version 2 pour Internet.

Cliquez ensuite sur OK.

Il faut ensuite définir les interfaces du routeur.

Pour cela, faites un clic droit sur RIP situé sous Routage IP.

La fenêtre suivante vous permet alors de configurer le mode de fonctionnement de RIP par interface :


B. Protocole de routage à état de lien :

Contrairement au routage à vecteur de distance où les routeurs n'ont pas connaissance de la topologie physique du réseau, le routage à état de lien met en œuvre des routeurs qui disposent d'une vue complète sur la topologie physique du réseau. De même, à la différence du routage à vecteur de distance où les routeurs s'échangent les tables de routage, les routeurs implémentés dans une topologie réseau de routage à état de lien, s'échangent quant à eux, des informations qui leurs permettront de construire cette table de routage.

La table de routage, lorsqu'elle est maintenue par des protocoles à état de lien, fonctionne avec un algorithme dit SPF (Short Path First) qui permet de construire, à l'aide des paquets SPF reçus, une arborescence du réseau.

Les paquets utilisés par les protocoles à état de lien sont des paquets d'état de lien, appelés LSP (Link State Packet). De même, ces protocoles utilisent en dehors de ces paquets LSP et de l'algorithme SPF, une base de données topologiques.

On sait de même, que le temps d'établissement d'une table de routage lors de l'utilisation d'un protocole à état de lien est très rapide, c'est-à-dire que ce type de protocole converge très vite.

Windows 2003 Server implémente un type de protocole de routage à état de lien nommé OSPF (Open Shortest Path First).

a. OSPF (Open Shortest Path First):

L'OSFP est un protocole de routage à état de lien. Contrairement au RIP, l'OSPF ne possède théoriquement aucune limite de routeurs et peut donc être appliqué dans un environnement réseau, où sont implantés une multitude de routeurs.

L'OSPF utilise un métrique se basant sur la vitesse du lien et ne présente pas de problème de bouclage. De même, comme dit précédemment, l'OSPF présente une rapidité de convergence et permet entre autre, d'alléger la bande passante puisque les paquets d'informations sont envoyés uniquement en cas de nécessité et non pas de manière périodique, ce qui est le cas du protocole RIP.

Afin de pouvoir créer la table de routage lors de l'utilisation d'un protocole de routage OSPF, il faudra passer par deux étapes.

Tout d'abord, il faudra commencer par créer une base de données adjacente. Cette dernière permettra ensuite de construire la base de données topologique qui conduira à la création de la table de routage.

Base de données adjacente : un routeur envoi des messages Hello à ses voisins à l'aide du multicast à l'adresse 224.0.0.5 et ce, en vue de les découvrir et d'établir une communication bidirectionnelle.

Ce message contient de nombreuses informations parmi lesquelles on distingue :

Lorsque le message Hello envoyé par le routeur émetteur par multicast parvient à d'autres routeurs voisins, les routeurs recevant ce message ajoutent à leur base de données adjacente les routeurs émetteurs. Par la suite, chaque routeur ayant reçu ce message par multicast, renvoi un message en unicast, c'est-à-dire qu'il envoi un paquet vers une seule destination, au routeur émetteur qui ajoute à son tour le routeur précédent à sa base de données adjacente.

Le transfert du message Hello va permettre notamment, aux différents routeurs, de pouvoir comparer la priorité de ses voisins. Ainsi, on définira deux types de routeurs :

Base de données topologique : Lors de la phase création de cette base de données, une relation maître-esclave doit être établie. Cette relation est établie entre le DR et un autre routeur. Afin d'établir cette relation, un mécanisme d'échanges est instauré : il s'agit de l'envoi de paquets LSA (Link State Advertisement) entre le DR ainsi que le BDR et les autres routeurs. Ce paquet d'informations envoyé par le DR contient notamment son identifiant. Ainsi, si l'identifiant du DR est plus grand que l'identifiant du routeur qui reçoit le paquet, alors il sera défini comme le maître. Inversement s'il possède l'identifiant le plus faible, il sera désigné comme esclave.

Pour que les routeurs ajoutent des informations à leurs bases de données à état de lien, ils s'envoient des informations. Ainsi, l'esclave recevant le paquet, compare les informations de la base de données du maître et si ce dernier détient plus d'informations, il envoi une requête au maître afin d'obtenir plus d'informations, des informations qu'il ajoutera à sa propre base de données à état de lien.

A cette étape, ils possèdent tous les mêmes informations et peuvent donc commencer à créer leur propre table de routage afin de router le trafic IP.

b. Configuration de l'OSPF :

Nous allons dans cette étape, procéder à la mise en route de l'OSPF.

Allez dans la console du service Routage et accès distant , déroulez le menu Routage IP du serveur, puis faites un clic droit sur Général puis un clic sur Nouveau protocole de routage.

Choisissez alors Ouverture du chemin d'accès le plus court en priorité (OSPF).

Puis, faites un clic droit sur OSPF dans Routage IP . Ensuite, cliquez sur Nouvelle interface.

ID de zone : Zone OSPF dans laquelle l'interface du routeur va être connectée. Tout comme une adresse IP, cette zone est représentée par 4 octets.

Priorité du routeur : Comme vu précédemment, la priorité d'un routeur permet de sélectionner le DR et le BDR. La priorité est d'autant plus élevée que l'indice l'est.

Mot de passe : Mot de passe circulant en clair dans l'implémentation Microsoft OSPF et utilisé pour l'authentification.

Coût : Indice influençant la métrique.

Type de réseau : Permet le choix entre les trois types de réseau que sont : le réseau broadcast, point-to-point, NBMA Access.

6. Routage à la demande :

Le routage à la demande permet d'établir des connexions uniquement lorsque cela est nécessaire. C'est-à-dire que lorsqu'un routeur « désire » établir une connexion vers un autre routeur afin de pouvoir faire acheminer des paquets d'IP sur une liaison, il y a mise en place d'une interconnexion de réseaux par des liaisons temporaires (comme RTC ou RNIS). Ce type de routage a pour avantage de déconnecter la liaison au bout d'un certain temps d'inactivité afin notamment, de préserver les ressources système.

A. Configuration du routage à la demande :

Avant tout mise en route du routage à la demande, il faut au préalable s'assurer du bon fonctionnement et de la bonne configuration des périphériques qui seront nécessaires à la connexion tels que le modem, la carte modem…

7. Routage de multidiffusion :

Le routage de multidiffusion est le routage permettant d'envoyer à plusieurs destinataires, le même message.

L'énorme avantage du multicast est de permettre l'envoi d'un même message à plusieurs destinataires, évitant ainsi tout pollution du réseau.

L'utilisation d'un protocole de routage de multidiffusion tel que DVMRP (Distance Vector Multicast Routing Protocol), est nécessaire au bon fonctionnement du multicast dans un environnement routé.

Windows 2003 Server implémente le protocole IGMPv3 qui permet à un hôte IP de rejoindre une multidiffusion. Il n'implémente pas directement de protocole de routage de multidiffusion mais est capable cependant, grâce à la prise en charge du protocole IGMP (Internet Group Management Protocol), d'être à l'écoute de tous les hôtes utilisateurs du multicast présents sur le réseau.

Lorsque les stations utilisant la multidiffusion sont à l'écoute de la multidiffusion sur une adresse particulière, ces dernières envoient à leur routeur local un paquet IGMP Membership Report. Lors de l'installation du protocole de routage IGMP, il faut spécifier le rôle joué par les interfaces réseau du routeur. On distingue alors deux modes :

A. Configuration de l'IGMP :

Nous allons ici, procéder à la configuration de l'IGMP sur un routeur Windows 2003 Server.

Pour cela :


8. Filtrage de paquets :

A. Principe :

Il est possible de filtrer les paquets entrants et sortants d'un routeur lorsque par exemple, un routeur Windows 2003 est configuré en tant que routeur filtrant. Ainsi, le routeur autorise ou non, des paquets entrants ou sortants, c'est-à-dire qu'il interdit ou autorise, certains types de trafic IP.

Il existe deux manières de mettre en place un dispositif de filtrage de paquets :

B. Configuration du filtrage de paquets :

Nous allons dans cette partie, procéder à la mise en œuvre d'un filtre.

Pour cela :



Il vous est alors possible d'agir sur le filtrage en acceptant de recevoir tous les paquets sauf ceux qui répondent aux critères définis par les filtres, ou alors de rejeter tous les paquets à l'exception de ceux qui répondent aux critères définis par les filtres.

[...]

D'après Bremtane MOUDJEB (Laboratoire SupInfo des technologies Microsoft). Source : http://www.laboratoire-microsoft.org/articles/win/rad2003/.