Révision rapide : Services IP – CCNA

Ce que vous devez vraiment savoir

Les services IP sont des fonctions fondamentales qui permettent à un réseau de fonctionner de manière pratique, administrable et sécurisée. Ils ne concernent pas seulement le routage des paquets, mais aussi l'attribution des adresses, la résolution des noms, la synchronisation de l'heure, la gestion des dispositifs, la journalisation et l'accès distant.

Pour CCNA, vous devez connaître le rôle des principaux services IP, comprendre quand ils sont utilisés et savoir reconnaître les problèmes typiques liés à DHCP, DNS, NAT/PAT, NTP, SNMP, Syslog et SSH.

Concepts clés

• DHCP : attribue automatiquement des adresses IP et des paramètres réseau aux clients.
• DNS : traduit les noms de domaine en adresses IP.
• NAT : traduit des adresses IP privées en adresses publiques ou inversement.
• PAT : forme de NAT qui utilise différents ports pour permettre à de nombreux hôtes de partager une seule IP publique.
• NTP : synchronise l'heure des dispositifs réseau.
• SNMP : permet la surveillance et la gestion des dispositifs.
• Syslog : envoie et collecte les messages de log.
• SSH : permet un accès distant sécurisé à la CLI.
• Telnet : accès distant non chiffré, à éviter dans les environnements sécurisés.
• TFTP/FTP : utilisés dans certains contextes pour le transfert de fichiers, les sauvegardes ou les images.
• IP helper-address : relaie les requêtes DHCP broadcast vers un serveur DHCP dans un autre réseau.

Différences à ne pas confondre

Concept	Signification principale
DHCP	Attribue automatiquement la configuration IP
DNS	Résout les noms en adresses IP
NAT	Traduit les adresses IP
PAT	Traduit de nombreux hôtes en utilisant différents ports
NTP	Synchronise l'heure
SNMP	Surveille et gère les dispositifs
Syslog	Enregistre et envoie les logs
SSH	Accès distant chiffré
Telnet	Accès distant non chiffré
IP helper-address	Relaie DHCP entre sous-réseaux

DHCP

DHCP, Dynamic Host Configuration Protocol, sert à attribuer automatiquement aux clients des paramètres réseau comme :

• adresse IP ;
• subnet mask ;
• default gateway ;
• serveur DNS ;
• lease time ;
• éventuelles options supplémentaires.

Sans DHCP, les adresses devraient être configurées manuellement sur chaque hôte, ce qui augmenterait les erreurs et le temps de gestion.

Le processus DHCP est souvent mémorisé avec la séquence DORA :

• Discover ;
• Offer ;
• Request ;
• Acknowledge.

Le client envoie une requête broadcast parce qu'au départ il ne connaît pas le serveur DHCP. Le serveur répond en proposant une configuration IP.

DHCP relay et ip helper-address

Un message DHCP Discover est un broadcast. Normalement, les routeurs ne relaient pas les broadcasts entre sous-réseaux différents.

Si le client et le serveur DHCP se trouvent dans des réseaux différents, un DHCP relay est nécessaire.

Chez Cisco, cela se configure souvent avec ip helper-address sur l'interface Layer 3 du sous-réseau des clients.

Exemple conceptuel :

• client dans la VLAN 10 ;
• serveur DHCP dans un réseau serveur séparé ;
• le switch Layer 3 ou le routeur reçoit le broadcast DHCP ;
• ip helper-address le relaie au serveur DHCP en unicast.

Pour CCNA, vous devez retenir que ip helper-address est la solution typique lorsque les clients ne reçoivent pas d'IP parce que le serveur DHCP se trouve dans un autre sous-réseau.

DNS

DNS, Domain Name System, traduit les noms lisibles en adresses IP.

Exemple :

• nom : www.example.com ;
• résultat : adresse IP du serveur.

Sans DNS, les utilisateurs devraient mémoriser des adresses IP au lieu de noms.

Problèmes DNS courants :

• serveur DNS incorrect ;
• enregistrement manquant ou incorrect ;
• résolution lente ;
• cache DNS non mis à jour ;
• connectivité IP fonctionnelle mais noms non résolus.

Dans les quiz, si un hôte peut faire un ping vers une IP mais pas vers un nom, le problème est souvent DNS.

NAT

NAT, Network Address Translation, traduit les adresses IP d'un réseau vers un autre.

Le cas le plus courant est de permettre à des hôtes avec des adresses privées de sortir vers Internet en utilisant une ou plusieurs adresses publiques.

Exemple :

• hôte interne : 192.168.1.10 ;
• IP publique du routeur : 203.0.113.10 ;
• NAT traduit l'adresse privée en adresse publique lorsque le trafic sort.

NAT est utile parce que les adresses IPv4 publiques sont limitées et parce que les réseaux internes utilisent souvent des adresses privées non routables sur Internet.

PAT

PAT, Port Address Translation, est une forme de NAT dans laquelle plusieurs hôtes internes partagent une seule adresse IP publique en utilisant différents numéros de port.

Il est souvent appelé NAT overload.

Exemple :

• PC1 192.168.1.10 utilise l'IP publique 203.0.113.10 port 30001 ;
• PC2 192.168.1.11 utilise l'IP publique 203.0.113.10 port 30002 ;
• le routeur distingue les sessions grâce aux ports.

PAT est très courant dans les réseaux d'entreprise et domestiques parce qu'il permet à de nombreux dispositifs de naviguer avec une seule IP publique.

NAT statique, NAT dynamique et PAT

Vous devez distinguer :

• NAT statique : associe une adresse interne à une adresse externe de manière fixe.
• NAT dynamique : utilise un pool d'adresses publiques disponibles.
• PAT : permet à de nombreux hôtes de partager une ou quelques adresses publiques en utilisant différents ports.

Le NAT statique est souvent utilisé pour publier un serveur interne. Le PAT est souvent utilisé pour la sortie Internet des utilisateurs.

NTP

NTP, Network Time Protocol, synchronise l'heure des dispositifs.

L'heure correcte est importante pour :

• logs fiables ;
• corrélation des événements ;
• troubleshooting ;
• certificats ;
• authentification ;
• audits ;
• incident response.

Si les dispositifs ont des heures différentes, il devient difficile de reconstruire ce qui s'est passé pendant un problème ou un incident.

Pour CCNA, vous devez retenir que NTP ne sert pas à accélérer le réseau : il sert à maintenir une heure cohérente entre les dispositifs.

Syslog

Syslog permet aux dispositifs d'envoyer des messages de log à un serveur centralisé.

Les logs peuvent inclure :

• erreurs ;
• changements d'état des interfaces ;
• tentatives d'accès ;
• événements de configuration ;
• problèmes de routage ;
• événements de sécurité ;
• notifications opérationnelles.

L'avantage de Syslog est de centraliser les événements et de les conserver même si le dispositif possède une mémoire limitée ou redémarre.

Les messages Syslog ont des niveaux de sévérité. Les niveaux les plus bas indiquent des événements plus graves.

SNMP

SNMP, Simple Network Management Protocol, est utilisé pour surveiller et gérer les dispositifs réseau.

Il peut collecter des informations comme :

• état des interfaces ;
• utilisation CPU ;
• mémoire ;
• trafic ;
• erreurs ;
• disponibilité des dispositifs.

Concepts importants :

• manager : système qui surveille ;
• agent : logiciel sur le dispositif surveillé ;
• MIB : base de données d'objets surveillables ;
• trap : notification envoyée par le dispositif au manager.

SNMPv3 est plus sécurisé parce qu'il prend en charge l'authentification et le chiffrement. Les versions plus anciennes comme SNMPv1 et SNMPv2c utilisent des community strings et sont moins sécurisées.

SSH et Telnet

SSH et Telnet permettent l'accès distant à la CLI d'un dispositif.

La différence fondamentale est :

• SSH chiffre la communication ;
• Telnet envoie les données en clair.

Pour CCNA et les bonnes pratiques de sécurité, SSH est préférable à Telnet.

Une configuration sécurisée d'accès distant peut inclure :

• hostname ;
• domain name ;
• clés RSA ;
• utilisateur local ;
• mot de passe fort ;
• lignes VTY configurées pour utiliser SSH ;
• désactivation de Telnet ;
• ACL pour limiter depuis où l'on peut se connecter.

HTTP et HTTPS

Certains dispositifs peuvent aussi être gérés via une interface web.

La différence est :

• HTTP ne chiffre pas le trafic ;
• HTTPS utilise le chiffrement TLS.

Dans les environnements sécurisés, si la gestion web est nécessaire, HTTPS est préféré. Toutefois, dans de nombreux scénarios CCNA, l'accès CLI via SSH reste une méthode courante et sûre.

TFTP et FTP

TFTP et FTP peuvent être utilisés pour transférer des fichiers, des sauvegardes de configuration ou des images logicielles.

TFTP est simple mais n'offre pas d'authentification forte ni de chiffrement. FTP est plus complet mais traditionnellement ne chiffre pas le trafic.

Pour la sécurité, dans les environnements réels, on préfère des méthodes plus sécurisées lorsqu'elles sont disponibles.

Dans le contexte CCNA, vous devez reconnaître que ces protocoles peuvent apparaître dans des opérations de sauvegarde, restauration ou transfert d'images.

Services IP et troubleshooting

De nombreux problèmes réseau se ressemblent, mais dépendent de services différents.

Exemples :

• un hôte ne reçoit pas d'IP : possible problème DHCP ;
• un hôte reçoit une IP mais ne navigue pas vers des noms : possible problème DNS ;
• les hôtes internes ne sortent pas vers Internet : possible problème NAT/PAT ou route par défaut ;
• les logs ont des heures incohérentes : possible problème NTP ;
• la surveillance ne reçoit pas de données : possible problème SNMP ;
• l'accès distant ne fonctionne pas : possible problème SSH, VTY, ACL ou identifiants.

Pour CCNA, vous devez savoir relier le symptôme au service IP le plus probable.

Commandes utiles à retenir

Dans une optique Cisco CCNA, les commandes utiles peuvent inclure :

• show ip dhcp binding ;
• show ip dhcp pool ;
• show running-config ;
• show ip nat translations ;
• show ip nat statistics ;
• show clock ;
• show ntp status ;
• show logging ;
• show access-lists ;
• show ip interface brief ;
• ping ;
• traceroute.

Il n'est pas nécessaire de retenir chaque détail avancé, mais vous devez savoir quelle commande peut aider dans quel scénario.

Erreurs fréquentes dans les quiz

• Confondre DHCP et DNS.
• Penser que DNS attribue des adresses IP aux clients.
• Penser que DHCP résout les noms de domaine.
• Oublier que DHCP Discover est un broadcast.
• Oublier ip helper-address lorsque le serveur DHCP et le client sont dans des sous-réseaux différents.
• Confondre NAT et PAT.
• Penser que NAT résout les problèmes de routage interne.
• Penser que NTP sert à améliorer la vitesse du réseau.
• Confondre Syslog et SNMP.
• Utiliser Telnet au lieu de SSH dans des scénarios sécurisés.
• Oublier que SNMPv3 est plus sécurisé que SNMPv1/v2c.
• Penser que disposer de NAT élimine le besoin d'ACL, de firewall ou de routage correct.

Mini scénario d'examen

Un PC reçoit correctement une adresse IP, un subnet mask et un default gateway. Il réussit à faire un ping vers 8.8.8.8, mais ne parvient pas à ouvrir www.example.com.

Le problème le plus probable est DNS, parce que la connectivité IP fonctionne mais la résolution des noms ne fonctionne pas.

Autre scénario : un client dans une VLAN ne reçoit pas d'adresse IP d'un serveur DHCP situé dans un autre sous-réseau. Dans ce cas, la solution la plus probable est de configurer ip helper-address sur l'interface Layer 3 de la VLAN du client.

Mini checklist avant le quiz

Avant de commencer le quiz, vous devriez savoir expliquer :

• ce que fait DHCP ;
• ce que fait DNS ;
• pourquoi DHCP Discover utilise un broadcast ;
• à quoi sert ip helper-address ;
• la différence entre NAT et PAT ;
• quand utiliser une route par défaut avec NAT ;
• à quoi sert NTP ;
• pourquoi Syslog est utile ;
• à quoi sert SNMP ;
• pourquoi SNMPv3 est plus sécurisé ;
• pourquoi SSH est préférable à Telnet ;
• comment relier un symptôme au bon service IP.