sous-reseaux [etait: Re: Re[1] Probleme TCP/IP]

To: Debian <debian-user-french@lists.debian.org>
Subject: sous-reseaux [etait: Re: Re[1] Probleme TCP/IP]
From: Vazco <vazco@altern.org>
Date: Sun, 24 Mar 2002 19:44:55 +0100
Message-id: <[🔎] 20020324184455.GA1334@littlebigmac>
Mail-followup-to: Debian <debian-user-french@lists.debian.org>
In-reply-to: <[🔎] 20020324171655.4d669d66.francois@boisson.homeip.net>
References: <[🔎] 1016869070029363@caramail.com> <20020323142123.39727.qmail@web20004.mail.yahoo.com> <[🔎] 20020323200900.GA626@littlebigmac> <[🔎] 20020324171655.4d669d66.francois@boisson.homeip.net>

Le dimanche 24 mars 2002, à 18:16, François Boisson écrivait :
> Une question: Y-a-t-il un intérêt à préferer pour
> configurer une machine connectée à deux réseaux d'adresses complètement
> distinctes une définition de réseau la plus petite possible (ici donc un
> masque sur respectivement 3 et 4 bits) par rapport à la configuration
> usuelle (masque sur 8 bits, cela aurait pu se faire sur cette
> configration)? Cela rend-t-il le routage plus efficace?
> Question HS bien sûr mais ça me rendra moins ignorant.

Ça rend surtout la distribution des adresses plus efficace. Ton FAI
t'attribue une plage de 8, 16, 32... adresses (qui comprennent l'adresse
du sous-réseau, l'adresse de diffusion et l'adresse d'un routeur, donc
déjà 3 adresses occupées en réalité - on pourrait attribuer 4 adresses
mais comme ça n'en laisserait qu'une en réalité, ça ne présente guère
d'avantages par rapport à un bon vieux ppp) et ça suffit pour la plupart
des besoins. Imagine s'il devait attribuer un réseau de classe C (256
adresses) à tout le monde ! À l'avènement d'ipv6, peut-être, et
encore...

Ça peut aussi être utile pour compartimenter ton propre réseau. Je
prends un exemple :
ma petite entreprise est sur le réseau privé 192.168.0.0/24 avec une
passerelle vers l'extérieur en 192.168.0.1 . Tous les échanges sur le
réseau privé se font directement de machine à machine et chacune connait
192.168.0.1 comme passerelle vers l'inconnu (0.0.0.0).
C'est classique et ça fonctionne très bien, mais :
- ça ne correspond pas vraiment à l'organisation de l'entreprise : les
  besoins d'accès à l'information ne sont pas les mêmes selon les
  services (comptabilité, communication, service technique, etc)
- ça peut poser des problèmes de sécurité puisque même les échanges de
  données à l'intérieur d'un même service iront se balader en fait sur
  tout le réseau (on peut utiliser un switch, mais bon...)
- localiser la source problème peut amener à auditer potentiellement
  tout le réseau

je peux donc découper mon réseau en tranches de mettons 32 adresses (ou
autre suivant les besoins de chaque département). Comme chaque section
communique avec les autres par le biais des routeurs, je peux filtrer
plus précisément les protocoles autorisés pour chaque département (et
particulièrement blinder l'accès à la compta, par exemple, sans me
soucier de ce que je dois laisser passer pour les autres), et si
en plus le cablage correspond à la topologie, je suis à l'abri du
sniffing interne. Il peut aussi être plus facile de circonscrire un
problème. En résumé : divide ut regnat.

Évidemment, ça peut entraîner un léger surcoût (et encore, c'est souvent
pas difficile de réquisitionner les vieux pentium ou 486 dont plus
personne ne veut parce que les icones n'y bougent pas assez vite, et d'y
ajouter deux cartes réseau) et un léger surcroît de travail lors de la
configuration (à relativiser toutefois parce que ça va vraiment
faciliter la vie pour les filtres).

Tu me feras remarquer qu'on se ferait moins suer en ajoutant des
192.168.1.0/24, 192.168.2.0/24, etc.
C'est vrai mais c'est moins élégant :-), et si tu transposes mon exemple
sur des adresses publiques...

Maintenant, si tu prends l'efficacité en terme de performances, à mon
avis c'est forcément pénalisant puisque tu vas ajouter deux routeurs
intermédiaires. J'ai jamais fait la course au ping le plus court donc je
ne peux pas te dire dans quelle mesure...


Voilà, j'espère avoir répondu à ta question...


PS : juste une dernière remarque :
> (masque sur 8 bits, cela aurait pu se faire sur cette configration)?
C'est pas une bonne idée parce que ça va poser des problèmes de routage
(j'avoue n'avoir jamais essayé).
exemple de dysfonctionnement :
tu veux accéder à l'adresse 212.234.150.92 : pour ta machine, ça
correspond à une adresse du réseau local, donc elle ne passe pas par le
routeur et personne ne répond.
Et ça peut sûrement poser plein d'autres problèmes cotons à déceler,
sans parler du risque d'oublier qu'on n'a droit qu'à une plage
d'adresses bien précises et bonjour les risques de conflit (même si le
FAI n'est pas censé les router...)


-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- Re[1] Probleme TCP/IP
  - From: Olivier FONTES <o.fontes@caramail.com>
- Re: Re[1] Probleme TCP/IP
  - From: Vazco <vazco@azatoth.org>
- Re: Re[1] Probleme TCP/IP
  - From: "François" Boisson <francois@boisson.homeip.net>

Prev by Date: Re: Re[1] Probleme TCP/IP
Next by Date: DMZ et LL [etait Re: Re[1] Probleme TCP/IP]
Previous by thread: Re: Re[1] Probleme TCP/IP
Next by thread: Re: Re[1] Probleme TCP/IP
Index(es):
- Date
- Thread