Net-Pro Par : GHAOUTI Mohamed

Introduction
1. Présentation des routeurs
2. Principe du routage
3. Configuration du routage sous Windows 2003 Server
4. Routage statique
5. Routage Dynamique
6. Routage à la demande
7. Routage de multidiffusion
8. Filtrage de paquets
9. Accès distant
10. Serveur d'authentification Radius
Conclusion

Introduction

Lors de l’implémentation d’une infrastructure réseau Microsoft Windows 2003 Server, de

nombreux éléments et services demeurent indispensables à l’activité réseau.

Au sein d’une infrastructure réseau, il existe une diversité d’équipements qui demeurent capables
de procéder à l’interconnexion des réseaux locaux et globaux.
Cette opération s’effectue au niveau des différentes couches du modèle OSI (Open Systems
Interconnection).
Grâce à l’implémentation de plusieurs protocoles de routage et d’autres fonctionnalités de
routage, Windows 2003 Server peut donner à un serveur, la capacité de jouer, de manière
performante, le rôle de routeur.

Nous allons donc, à travers cet article, présenter les différentes fonctionnalités de routage ainsi
que les entités du service routage et accès distant intégrées à l’environnement Windows 2003
Server.

1. Présentation des routeurs :

Les routeurs sont des dispositifs réseau de couche 3 (il s'agit de la couche réseau qui redirige
les données à travers un réseau à commutation, et dont l'unité de données est en général, le
paquet) du modèle OSI.

On fait appel à un routeur en vue de réaliser la liaison des réseaux locaux de technologies
différentes notamment. Ce dernier est capable d'acheminer des paquets d'informations au
travers d'un vaste ensemble de réseaux interconnectés.

Cela concerne particulièrement l'interconnexion des réseaux LAN (Local Area Network) et WAN
(Wide Area Network). De plus, un routeur est capable de réaliser la segmentation d'un réseau, et
ainsi, se donner la capacité de passer d'un segment de réseau à un autre, préservant ainsi la
bande passante.

03/02/2009 1/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Il existe au sein des routeurs, différentes catégories :

On distingue les routeurs matériels, dont la seule tâche consiste au routage des paquets
d'informations dans le monde TCP/IP au sein d'un réseau,
Mais aussi et c'est ce qui nous intéresse le plus ici, les routeurs logiciels, dont le rôle est
d'acheminer les données vers une destination voulue. Cependant, à la différence du routeur
matériel, le routeur logiciel est implémenté au sein d'un serveur (Windows 2003 Server en ce
qui nous concerne), qui lui, peut détenir d'autres fonctionnalités, comme la gestion du
spooling par exemple.

2. Principe du routage :

A. Le routage :

Au sein d'une infrastructure réseau, l'activité du routeur se limite à la couche 3, c'est-à-dire, la

couche réseau. Ainsi, il est donc capable, lorsqu'il reçoit une trame, de la décapsuler jusqu'au
niveau 3.

De ce fait, le routeur est alors capable d'extraire de la trame, l'adresse IP de destination. Dès
lors, le paquet peut être acheminé jusqu'à une interface capable d'atteindre cette destination.

Afin de réaliser cette opération, le routeur doit au préalable consulter sa table de routage.
Cette dernière constitue un espace où sont stockées les différentes routes dont le routeur a
connaissance, c'est-à-dire, les différents réseaux qu'il est capable de joindre. Son rôle est de
déterminer le chemin le plus court pour acheminer les paquets, de la source à la destination.

Il peut arriver qu'un paquet ne soit pas acheminé à sa destination et dès lors, qu'il soit détruit
par le routeur. L'explication à ce problème est tout à fait abordable : au sein de la table de
routage, chaque réseau de destination est associé à une interface qui achemine les paquets.
Cependant, lorsque aucune information concernant le réseau de destination de figure dans la
table de routage, le routeur se retrouve inefficace pour déterminer le chemin à emprunter. De
ce fait, il se retrouve contraint à envoyer un message d'erreur à la source et de mettre fin au
paquet.

B. La table de routage :

Pour afficher la table de routage d'une station ou d'un routeur lorsqu'on utilise la plate-forme
Windows 2003 Server, il suffit de lancer l'invite de commande (Démarrer->Exécuter->cmd) et
ensuite de taper route print.

Il s'affiche alors une fenêtre semblable à celle-ci :

03/02/2009 2/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

La table de routage regroupe trois types d'entrées :

Itinéraire réseau : Il s'agit d'un chemin indiquant l'interface réseau, c'est-à-dire, le

dispositif permettant l'acheminement des paquets, afin de joindre un autre réseau.
Itinéraire hôte : C'est un chemin personnalisé (dispositif administrable à distance, comme un
serveur par exemple) permettant de contrôler et optimiser le trafic réseau.
Itinéraire par défaut : Il s'agit du chemin définit pour l'acheminement par défaut des
paquets d'informations, notamment lorsque ces derniers n'arrivent pas à emprunter un
chemin donné.

On observe qu'au sein de la table de routage, plusieurs informations apparaissent, notamment

cinq colonnes qui affichent les informations sur les entrées par défaut de la table :

Destination réseau : Affiche l'adresse IP des réseaux de destination.

Masque réseau : Indique le masque de sous réseau utilisé sur le réseau de destination et
associé à ce dernier.
Adresse passerelle : Représente l'adresse de l'élément arbitraire le plus proche, c'est-à-
dire, l'adresse de routeur qui sera traversée par le paquet avant d'atteindre sa destination.
Il s'agit là d'une adresse qui doit nécessairement être accessible par le routeur.
Métrique : Représente en quelque sorte, une échelle de mesure. En effet, il s'agira de
l'élément qui permettra au routeur de « décider » de choisir une route plutôt qu'une autre.
Plus cet indice est faible, plus la route semblera fiable pour le routeur.

Il semble nécessaire de préciser que l'espace de stockage de la table de routage est une
mémoire de type RAM (Random Access Memory), c'est-à-dire, une mémoire qui est vidée à
chaque redémarrage du système.

3. Configuration du routage sous Windows 2003 Server :

03/02/2009 3/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

A. Descriptions des fonctionnalités du routage :

Comme énoncé au préalable, Windows 2003 Server intègre, au sein de son infrastructure, de
nombreuses fonctionnalités de routage, capables de donner à un serveur (en l'occurrence,
Windows 2003) le rôle de routeur.

On distingue parmi ces fonctionnalités :

Configuration des filtres de paquets,

Translation d'adresse,
Implémentation de protocoles de routage comme : - le RIP 1 et 2(Routing Information
Protocol) qui est un protocole de routage à vecteur de distance, c'est-à-dire qu'il permet le
transfert de la table de routage d'un routeur à son voisin.
l'OSPF (Open Shortest Path First) qui est un protocole de routage à état de lien.
Contrairement au RIP, l'OSPF permet une allégeance de la bande passante, en envoyant les
informations uniquement lorsque cela est nécessaire, à la différence du RIP, qui l'effectue
de manière périodique.

L'élément indispensable implémenté à Windows 2003 Server et nécessaire au routage, est la

console du service Routage et Accès distant. Cette console est utilisée notamment pour
paramétrer le routeur.

B. Configuration du routage :

Afin de configurer le routage sur votre serveur Windows 2003 Server, faites :

Démarrer,
Outils d'administration,
Puis, cliquez sur Routage et accès distant.

Une console semblable à celle-ci dessous, s'affiche alors. Faites alors un clique droit sur votre
serveur, situé en dessous de Etat du serveur dans Routage et accès distant .

Ensuite, choisissez la commande Configurer et activer le routage et l'accès distant.

03/02/2009 4/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

La fenêtre suivante s'affiche alors. Cliquez sur suivant afin de continuer l'opération de
configuration du serveur.

03/02/2009 5/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Voilà ensuite la fenêtre qui vous est présentée.

Il vous est alors proposé plusieurs types de connexion pour personnaliser votre serveur.

En ce qui concerne notre partie de configuration du serveur en routeur, il vous faut sélectionner
l'option Configuration personnalisée qui permettra d'attribuer au serveur Windows 2003,
différents rôles.

Ensuite, nous voilà avec l'affichage ci-dessous.

Il vous suffit de cliquer sur Routage réseau , puis ensuite de cliquer sur Suivant , puis Terminer
, afin de finir la définition du routage.

03/02/2009 6/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

4. Routage statique :

Il existe différents types de routage administrables sous Windows 2003 Server. On distingue
notamment le routage statique dont nous allons parler, ainsi que le routage dynamique, le routage
à la demande, le routage de multidiffusion que seront abordés un peu plus loin.

Le routage statique est configuré manuellement par l'administrateur sous Windows 2003 Server.
Il permet d'entrer manuellement un route dans la table de routage, configurant ainsi de manière
personnelle, le chemin souhaité. Cependant, un problème demeure : si un problème survient au
niveau du réseau et que le route devient inaccessible, l'administrateur se retrouve contraint de
reconfiguré manuellement une nouvelle route.

Ce type de routage prend réellement son importance dans un système d'interconnexion de deux
réseaux. Au-delà, cela devient plus difficile à gérer en cas de problème.

Il existe deux manières de configurer un routage statique :

Au travers de la table de routage en utilisant la commande route add :

03/02/2009 7/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Route add –p [réseau_de_destination], MASK [masque_du_réseau_de_destination passerelle],

METRIC [métrique_associée_à_la_route], IF [interface_utilisée]

Les éléments essentiels de cette commande sont les deux premières lignes. Le commutateur –p
permet de rendre une route persistante, c'est-à-dire qu'elle sera stockée dans le registre afin
de subsister. Cela est important puis la table de routage étant stockée en RAM (Random Acces
Memory) est perdue à chaque redémarrage du système, puisque la RAM est vidée lors du
redémarrage.

L'option METRIC permettra au routeur de choisir la meilleure route, si plusieurs chemins sont
possibles pour l'envoi d'un paquet d'information. En effet, au plus l'indice de la métrique est
faible, au plus la route associée à cette dernière a de chances d'être choisie.

Quant à l'option IF : cette dernière permet de choisir une interface locale au routeur. Dans le
cas contraire, la meilleure interface pour une passerelle serait recherchée afin de transférer le
paquet.

En utilisant la console du service Routage et accès distant :

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils

d'administration.

Déroulez ensuite le menu Routage IP sous votre serveur, et faites un clic droit Itinéraires
statiques et sélectionnez Nouvel itinéraire statique.

5. Routage dynamique :

03/02/2009 8/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Lors de l'interconnexion de plusieurs routeurs, il est nécessaire de prévoir un changement de

topologie du réseau. Ainsi, le routage statique est quasiment inefficace puisqu'il serait fastidieux
de procéder à la reconfiguration des nombreuses routes établies au sein d'un tel réseau,
notamment dans lorsque ce réseau est constitué de nombreux sous réseaux émaillés. De ce fait,
un nouveau type de routage : le routage dynamique, est mis en place. Ce dernier permet
d'attribuer dynamiquement, en ce basant sur un algorithme, la meilleure route, modifiable de
manière dynamique par le routeur, en vue d'atteindre une destination.

Afin de permettre à différents routeurs d'échanger des informations, il existe des protocoles
de routage.

On distingue sous Windows 2003 Server, deux types de protocoles de routage dynamique :

Les protocoles de routage à vecteur de distance,

Les protocoles de routage à état de lien.

A. Protocole de routage à vecteur de distance :

Basés sur des algorithmes dis de Bellman-Ford, les protocoles de routage à vecteur de distance
permettent aux routeurs de transmettre, et ce de manière périodique, le contenu de leur table
de routage à leurs voisins.

Ce type de routage pose cependant des problèmes. En effet, le caractère périodique du

transfert des tables de routage d'un routeur à un autre, entraîne un ralentissement dans la mise
à jour et la vérification des tables de routage, c'est-à-dire qu'il existe un allongement des temps
de convergence sur un réseau utilisant ce type de protocole. Cela peut notamment entraîner la
perte de paquets d'IP en cas de mise à jour tardive de la table de routage.

Il ne s'agit pas là du seul inconvénient du routage à vecteur de distance. On distingue aussi le

problème des boucles de routage.

Sous Windows 2003 Server, on distingue diverses versions de protocoles de routage à vecteur
de distance. On distingue notamment le RIP (Routing Information Protocol).

a. RIP (Routing Information Protocol) :

Windows 2003 Server implémente deux version de RIP pour IP : RIPv1 et RIPv2.

Il faut préalablement souligné qu'un réseau Windows 2003 Server ne doit pas avoir un diamètre
physique de plus de 14 routeurs. En effet, il est définit un nombre de sauts (hot count qui est la
métrique utilisée par RIP) maximum de 15 afin de résoudre les problèmes de bouclage.

Ainsi, on ne pourra pas utiliser le protocole RIP s'il est possible qu'au sein du réseau, un paquet
d'IP doit être amener à travers plus de 16 routeurs. Notons notamment que Windows 2003
considère qu'à un tronçon fixe de 2 sauts, se trouvent tous les itinéraires de la table de routage
non RIP, comme un itinéraire statique par exemple.

03/02/2009 9/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Il existe des différences entre RIPv1 et RIPv2. On peut notamment souligner les deux
différences suivantes :

RIPv1 n'accepte pas de protocole d'authentification. Cependant, il est capable d'envoyer un

message à un ensemble de machines, c'est-à-dire, d'annoncer les mises à jour la table de
routage au moyen du multicast.
RIPv2 lui accepte, contrairement au RIPv1, le protocole d'authentification.

b. Configuration du RIP pour IP :

Nous allons dans cette partie, procéder à l'installation du protocole RIP pour IP sous Windows
2003 Server.

Tout d'abord, comme ci-dessous, ouvrez la console de Routage et accès distant .

Ouvrez la console du service Routage et accès distant située dans Démarrer/Outils

d'administration.

Déroulez ensuite le menu Routage IP située sous votre serveur, et faites un clique droit sur
Général et cliquez ensuite sur Nouveau protocole de routage.

Choisissez ensuite le Protocole RIP version 2 pour Internet.

03/02/2009 10/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Cliquez ensuite sur OK.

Il faut ensuite définir les interfaces du routeur.

Pour cela, faites un clic droit sur RIP situé sous Routage IP.

03/02/2009 11/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

La fenêtre suivante vous permet alors de configurer le mode de fonctionnement de RIP par
interface :

03/02/2009 12/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

B. Protocole de routage à état de lien :

Contrairement au routage à vecteur de distance où les routeurs n'ont pas connaissance de la

topologie physique du réseau, le routage à état de lien met en œuvre des routeurs qui disposent
d'une vue complète sur la topologie physique du réseau. De même, à la différence du routage à
vecteur de distance où les routeurs s'échangent les tables de routage, les routeurs implémentés
dans une topologie réseau de routage à état de lien, s'échangent quant à eux, des informations
qui leurs permettront de construire cette table de routage.

La table de routage, lorsqu'elle est maintenue par des protocoles à état de lien, fonctionne avec
un algorithme dit SPF (Short Path First) qui permet de construire, à l'aide des paquets SPF
reçus, une arborescence du réseau.

Les paquets utilisés par les protocoles à état de lien sont des paquets d'état de lien, appelés LSP
(Link State Packet). De même, ces protocoles utilisent en dehors de ces paquets LSP et de
l'algorithme SPF, une base de données topologiques.

On sait de même, que le temps d'établissement d'une table de routage lors de l'utilisation d'un
protocole à état de lien est très rapide, c'est-à-dire que ce type de protocole converge très vite.

Windows 2003 Server implémente un type de protocole de routage à état de lien nommé OSPF
(Open Shortest Path First).

03/02/2009 13/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

a. OSPF (Open Shortest Path First):

L'OSFP est un protocole de routage à état de lien. Contrairement au RIP, l'OSPF ne possède
théoriquement aucune limite de routeurs et peut donc être appliqué dans un environnement
réseau, où sont implantés une multitude de routeurs.

L'OSPF utilise un métrique se basant sur la vitesse du lien et ne présente pas de problème de
bouclage. De même, comme dit précédemment, l'OSPF présente une rapidité de convergence et
permet entre autre, d'alléger la bande passante puisque les paquets d'informations sont envoyés
uniquement en cas de nécessité et non pas de manière périodique, ce qui est le cas du protocole
RIP.

Afin de pouvoir créer la table de routage lors de l'utilisation d'un protocole de routage OSPF, il
faudra passer par deux étapes.

Tout d'abord, il faudra commencer par créer une base de données adjacente. Cette dernière
permettra ensuite de construire la base de données topologique qui conduira à la création de la
table de routage.

Base de données adjacente : un routeur envoi des messages Hello à ses voisins à l'aide du
multicast à l'adresse 224.0.0.5 et ce, en vue de les découvrir et d'établir une communication
bidirectionnelle.

Ce message contient de nombreuses informations parmi lesquelles on distingue :

l'identifiant du routeur émetteur,

les voisins connus par le routeur émetteur,
l'intervalle d'envoi qui permet de supprimer le message envoyé au bout d'un certain laps de
temps si aucune réponse ne parvient à l'émetteur,
un identifiant de zone : tous les routeurs qui « souhaitent » communiquer entre eux, doivent
se situer dans la même zone et sur le même segment réseau,
une priorité ;
un mot de passe d'authentification.

Lorsque le message Hello envoyé par le routeur émetteur par multicast parvient à d'autres
routeurs voisins, les routeurs recevant ce message ajoutent à leur base de données adjacente les
routeurs émetteurs. Par la suite, chaque routeur ayant reçu ce message par multicast, renvoi un
message en unicast, c'est-à-dire qu'il envoi un paquet vers une seule destination, au routeur
émetteur qui ajoute à son tour le routeur précédent à sa base de données adjacente.

Le transfert du message Hello va permettre notamment, aux différents routeurs, de pouvoir

comparer la priorité de ses voisins. Ainsi, on définira deux types de routeurs :

Le routeur DR qui est celui disposant de la plus forte priorité,

e routeur BDR qui correspond au routeur ayant la seconde plus forte priorité.

03/02/2009 14/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Base de données topologique : Lors de la phase création de cette base de données, une relation
maître-esclave doit être établie. Cette relation est établie entre le DR et un autre routeur. Afin
d'établir cette relation, un mécanisme d'échanges est instauré : il s'agit de l'envoi de paquets
LSA (Link State Advertisement) entre le DR ainsi que le BDR et les autres routeurs. Ce paquet
d'informations envoyé par le DR contient notamment son identifiant. Ainsi, si l'identifiant du DR
est plus grand que l'identifiant du routeur qui reçoit le paquet, alors il sera défini comme le
maître. Inversement s'il possède l'identifiant le plus faible, il sera désigné comme esclave.

Pour que les routeurs ajoutent des informations à leurs bases de données à état de lien, ils
s'envoient des informations. Ainsi, l'esclave recevant le paquet, compare les informations de la
base de données du maître et si ce dernier détient plus d'informations, il envoi une requête au
maître afin d'obtenir plus d'informations, des informations qu'il ajoutera à sa propre base de
données à état de lien.

A cette étape, ils possèdent tous les mêmes informations et peuvent donc commencer à créer
leur propre table de routage afin de router le trafic IP.

b. Configuration de l'OSPF :

Nous allons dans cette étape, procéder à la mise en route de l'OSPF.

Allez dans la console du service Routage et accès distant , déroulez le menu Routage IP du
serveur, puis faites un clic droit sur Général puis un clic sur Nouveau protocole de routage.

Choisissez alors Ouverture du chemin d'accès le plus court en priorité (OSPF).

03/02/2009 15/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Puis, faites un clic droit sur OSPF dans Routage IP . Ensuite, cliquez sur Nouvelle interface.

03/02/2009 16/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

ID de zone : Zone OSPF dans laquelle l'interface du routeur va être connectée. Tout comme
une adresse IP, cette zone est représentée par 4 octets.

Priorité du routeur : Comme vu précédemment, la priorité d'un routeur permet de sélectionner

le DR et le BDR. La priorité est d'autant plus élevée que l'indice l'est.

Mot de passe : Mot de passe circulant en clair dans l'implémentation Microsoft OSPF et utilisé
pour l'authentification.

Coût : Indice influençant la métrique.

Type de réseau : Permet le choix entre les trois types de réseau que sont : le réseau broadcast,
point-to-point, NBMA Access.

6. Routage à la demande :

Le routage à la demande permet d'établir des connexions uniquement lorsque cela est nécessaire.
C'est-à-dire que lorsqu'un routeur « désire » établir une connexion vers un autre routeur afin de
pouvoir faire acheminer des paquets d'IP sur une liaison, il y a mise en place d'une interconnexion
de réseaux par des liaisons temporaires (comme RTC ou RNIS). Ce type de routage a pour
avantage de déconnecter la liaison au bout d'un certain temps d'inactivité afin notamment, de
préserver les ressources système.

03/02/2009 17/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

A. Configuration du routage à la demande :

Avant tout mise en route du routage à la demande, il faut au préalable s'assurer du bon
fonctionnement et de la bonne configuration des périphériques qui seront nécessaires à la
connexion tels que le modem, la carte modem…

→ Lancez ensuite, la console Routage et accès distant et faites un clic droit sur votre serveur,
et ensuite allez dans ses Propriétés .

→ Sélectionnez ensuite l'option Routage réseau local et de numérotation à la demande si tel

n'est pas le cas. Faites ensuite un clic droit/ Propriétés sur Ports dans le console Routage et
accès distant . Choisissez alors le port que vous souhaitez utiliser pour la numérotation à la
demande, puis cliquez sur le bouton Configurer .

→ Dans la fenêtre apparaissant, cochez la case Connexions de routage à la demande .

→ Retournez dans la console Routage et accès distant , et effectuez un clic droit Interfaces
réseau et sélectionnez Nouvelle interface de numérotation à la demande .

→Puis, cliquez sur Suivant , nommez l'interface puis cliquez sur Suivant , dans la fenêtre de
bienvenue.

Indiquez ensuite le type d'interface de numérotation à la demande que vous voulez créez pour la
connexion.

03/02/2009 18/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

→ Sélectionnez ensuite les options de transport et de sécurité pour la connexion créée.

→ Si vous avez coché la case Ajouter un compte d'utilisateur pour qu'un routeur distant
puisse effectuer un appel entrant , un nom d'utilisateur portant le nom de la connexion est
automatiquement créé.

Il vous est ensuite demandé d'entrer un mot de passe pour le compte qui sera utilisé pour
l'authentification des appels entrants.

→ Il vous faut ensuite entrer le nom d'utilisateur, son domaine ainsi que son mot de passe, afin
de procéder à l'identification pour les appels sortants.

7. Routage de multidiffusion :

Le routage de multidiffusion est le routage permettant d'envoyer à plusieurs destinataires, le

même message.

L'énorme avantage du multicast est de permettre l'envoi d'un même message à plusieurs
destinataires, évitant ainsi tout pollution du réseau.

L'utilisation d'un protocole de routage de multidiffusion tel que DVMRP (Distance Vector
Multicast Routing Protocol), est nécessaire au bon fonctionnement du multicast dans un
environnement routé.

Windows 2003 Server implémente le protocole IGMPv3 qui permet à un hôte IP de rejoindre une
multidiffusion. Il n'implémente pas directement de protocole de routage de multidiffusion mais
est capable cependant, grâce à la prise en charge du protocole IGMP (Internet Group
Management Protocol), d'être à l'écoute de tous les hôtes utilisateurs du multicast présents sur
le réseau.

Lorsque les stations utilisant la multidiffusion sont à l'écoute de la multidiffusion sur une
adresse particulière, ces dernières envoient à leur routeur local un paquet IGMP Membership
Report. Lors de l'installation du protocole de routage IGMP, il faut spécifier le rôle joué par les
interfaces réseau du routeur. On distingue alors deux modes :

Mode routeur IGMP : Tous les paquets IGMP Membership Report envoyés par les hôtes
utilisant la multidiffusion sont écoutés par l'interface configurée de ce manière.
Mode Proxy IGMP : Les paquets IGMP Membership Report reçus par l'interface configurée
en mode routeur IGMP, sont envoyés sur les l'interface configurée en mode Proxy IGMP,
permettant ainsi aux autres routeurs de mettre à jour leur table de routage.

A. Configuration de l'IGMP :

Nous allons ici, procéder à la configuration de l'IGMP sur un routeur Windows 2003 Server.

Pour cela :

→ Ouvrez la console Routage et accès distant .

03/02/2009 19/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

→ Faites un clic droit sur Général sous Routage IP .

→ Sélectionnez ensuite Nouveau protocole de routage , puis Routeur et Proxy IGMP .

→ Alors, sélectionnez Nouvelle Interface en faisant un clic droit sur IGMP . Sélectionnez
ensuite l'interface qui jouera le mode routeur et validez par Ok .

→ Configurez ensuite les propriétés comme ci-dessous :

→ De même, pour le mode Proxy, faites une configuration identique à celle ci-dessous :

03/02/2009 20/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

8. Filtrage de paquets :

A. Principe :

Il est possible de filtrer les paquets entrants et sortants d'un routeur lorsque par exemple, un
routeur Windows 2003 est configuré en tant que routeur filtrant. Ainsi, le routeur autorise ou
non, des paquets entrants ou sortants, c'est-à-dire qu'il interdit ou autorise, certains types de
trafic IP.

Il existe deux manières de mettre en place un dispositif de filtrage de paquets :

→ Le filtre peut être placé en entrée auquel cas, ce dernier sera traité avant que le routeur
n'accède à la table de routage. Lors de la réception du paquet d'IP, le routeur va notamment
comparer son adresse source et son adresse de destination à celles configurées aux filtres
appliqués. Dans le cas où le filtre est configuré pour bloquer ce type de paquet, ce dernier sera
détruit et un message d'erreur (paquet ICMP) sera envoyé à la source.

→ Le filtre peut être placé en sortie auquel cas, ce dernier sera lu après le traitement de la
table de routage par le routeur. Lorsque le routeur reçoit le paquet d'IP, il « lit » sa table de
routage afin de déterminer l'interface vers laquelle il peut router ce dernier. Ensuite, le routeur
va regardé si un quelconque filtre de sortie est appliqué à cette interface. Si tel est le cas, il va
comparer les paramètres du filtre avec le paquet IP et « décide » ensuite de procéder ou non au
routage du paquet.

03/02/2009 21/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

B. Configuration du filtrage de paquets :

Nous allons dans cette partie, procéder à la mise en œuvre d'un filtre.

Pour cela :

→ Rendez-vous dans la console Routage et accès distant puis cliquez sur Général sous Routage
IP .

→ Allez ensuite dans les Propriétés de l'interface pour laquelle le filtre sera appliqué.

→ Choisissez ensuite votre type de filtre : filtre d'entrée, de sortie, ou les deux.

→ Puis, cliquez sur le bouton Nouveau .

→ Entrez ensuite une adresse source et une adresse de destination. Puis entrez si vous le
souhaitez, un protocole et un numéro de port à filtrer.

Parmi les différents protocoles existant, il est possible de filtre les protocole TCP, UDP, TCP
[établit], ICMP, ou un autre protocole si vous détenez le numéro de port.

→ Validez ensuite votre sélection en cliquant sur le bouton Ok .

La fenêtre suivante s'affiche alors :

03/02/2009 22/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Il vous est alors possible d'agir sur le filtrage en acceptant de recevoir tous les paquets sauf
ceux qui répondent aux critères définis par les filtres, ou alors de rejeter tous les paquets à
l'exception de ceux qui répondent aux critères définis par les filtres.

9. Accés distant :

A. Présentation :

L'accès réseau à distance constitue un élément indispensable permettant à un utilisateur situé en

dehors du réseau de son entreprise (par exemple chez lui), de se connecter à l'environnement
réseau de cette dernière, au travers notamment du service Accès distant ou d'une connexion
VPN (Virtual Private Network), et ainsi, de pouvoir accéder aux ressources du réseau selon les
permissions qui lui sont accordées.

Afin de pouvoir réaliser une connexion d'accès distant, le serveur et le client devront utilisés
réciproquement, un programme d'accès distant et un client d'accès distant, et devront aussi
utilisés les mêmes protocoles permettant la connexion d'accès distant.

Windows 2003 Server implémente justement le service Routage et Accès distant, qui donne à un
serveur le rôle de serveur d'accès distant. Il implémente également un client d'accès distant et
un client VPN, permettant ainsi d'établir réciproquement, des connexions via le protocole PPP et
des tunnels PPTP, L2TP, IPSEC.

B. Protocoles d'accès distant :

Windows 2003 Server est capable de supporter divers protocoles de liaisons de données WAN :

→ Microsoft RAS (Remote Access Service) : Ce protocole permet à des clients Windows
utilisant le NetBEUI d'accéder à un serveur d'accès distant Windows 2003.

→ ARAP (Appletalk Remote Access Protocol) : Ce protocole permet à des clients Macintosh de se
connecter à un serveur Windows 2003.

→ SLIP (Serial Line Internet Protocol) : Ce protocole est utilisé pour se connecter via un modem
à un serveur SLIP au travers du connexion non sécurisée. Seule l'encapsulation d'IP est possible
grâce à ce type de protocole.

→ PPP (Point to Point Protocol) : C'est un protocole qui est en quelque sorte une amélioration du
SLIP. Il peut cependant encapsuler en dehors des protocoles TCP/IP, des protocoles IPX/SPX,
NetBEUI.

03/02/2009 23/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

C. Authentification pour l'accès distant:

Il est essentiel, lors de l'établissement de connexion d'accès distant, de procéder à la

sécurisation des données qui transitent via un mécanisme d'authentification. Au sein de
l'infrastructure Windows 2003 Server, plusieurs protocoles d'authentification sont proposés.
Ces méthodes diffèrent essentiellement par leur niveau de sécurité.

Il est alors possible de choisir parmi les protocoles d'authentification suivants :

→ PAP (Password Authentification Protocol) : Il s'agit ici d'une méthode d'authentification peut
sécurisée et très simple basée sur une base SAM ou Active Directory. Le login et le mot de passe
sont envoyés en clair par le client d'accès distant au serveur d'accès distant, qui les comparent
aux informations qui sont stockées dans la base SAM locale ou Active Directory.

→ SPAP (Shiva Password Authentification Protocol) : Ce type de protocole d'authentification est

plus sécurisé que le protocole PAP. Il permet de connecter des clients Shiva à un serveur d'accès
distant Windows 2003.

→ CHAP (Challenge Handshake Authentification Protocol) : Il s'agit d'un protocole crypté conçu
pour les échanges de mots de passe via IP ou PPP. Les mots de passes sont stockés en clair sur le
client et le serveur.

→ MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) : Ce type de protocole

est basé sur le même principe que le CHAP à la différence que MS-CHAP stocke les mots de
passes de façon cryptée, grâce à MD4 qui est une fonction de hachage.

→ MS-CHAP 2 : Il s'agit ici d'une version plus récente du MS-CHAP, qui a la différence du MS-
CHAPv1, propose une sécurité plus accrue.

→ EAP (Extensible Authentification Protocol) : Il fait référence à un ensemble de protocoles qui

apportent une extension aux méthodes d'authentification actuelles.

03/02/2009 24/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

D. VPN:

Le VPN (Virtual Private Network), permet à un utilisateur d'accéder aux ressources de son
entreprise par exemple, comme s'il était physiquement connecté au LAN de cette dernière.

Il est important de souligner que le VPN constitue une extension d'un réseau privé à travers un
réseau public. De ce fait, le VPN n'est doté d'aucune mesure de sécurité dans son élément de
base.

Cependant, il est nécessaire de sécuriser les données qui transitent dans ce type de réseau.

Ainsi, Windows 2003 Server gère deux types de protocoles de tunnel qui sont PPTP (Point-to-
Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol) basés sur le protocole PPP
servant pour l'authentification.

L'avantage du VPN par rapport à une connexion d'accès distant « classique » est que ce dernier
peut s'effectuer via une connexion Internet, alors que l'accès distant nécessite quant à lui une
connexion point à point utilisant le RTC ou RNIS, ce qui revient économiquement plus cher. En
effet, cet avantage est notamment dû au fait que le VPN est une simulation de connexion point à
point.

Un autre avantage du VPN est la possibilité d'effectuer une interconnexion de deux réseaux
d'entreprise à travers un réseau public.

Les protocoles de tunnels PPTP et L2TP sont pris en charge par Windows 2003.

03/02/2009 25/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

→ PPTP : Il s'agit d'un protocole qui rend possible l'interconnexion des réseaux via un réseau IP.
C'est notamment un protocole qui permet l'encapsulation sécurisée sur un réseau public pour
créer un VPN.

→ L2TP : C'est un protocole qui permet d'interconnecter dès réseaux dès qu'une connexion point
à point orientée paquet est offerte par le tunnel. Le L2TP permet une compression des en-têtes
et une authentification en tunnel. Il utilise aussi IPSec afin de crypter les données.

E. Configuration de l'accès réseau à distance:

Nous allons dans cette étape, configurer un serveur VPN.

03/02/2009 26/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

10. Serveur d'authentification Radius :

03/02/2009 27/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

La sécurité reste un élément important dans l'établissement de connexions distantes. Certains

serveurs et protocoles permettent une sécurité accrue des échanges d'informations.

Parmi ceux là, on distingue un protocole permettant de centraliser l'authentification et

l'autorisation des utilisateurs distants. Développé par Livingston Enterprise Inc, ce protocole
client/serveur fonctionne sur UDP (Protocol). De ce fait, pour les clients Radius, la gestion de
l'authentification et de l'autorisation sera gérée par un serveur Radius.

Dans notre cadre, un serveur Windows 2000 ou 2003 pourra jouer le rôle de serveur Radius. Le
serveur Radius pourra aussi être représenté par un serveur d'accès distant ou VPN, fonctionnant
sous Windows 2000 ou 2003. Le protocole Radius pourra être utilisé dans plusieurs
circonstances, notamment si vous voulez renforcer la sécurité de votre réseau (par exemple,
l'accès aux bornes de votre réseau WIFI).

De même, lorsqu'un serveur VPN tente d'accéder à un domaine auquel il n'appartient pas, le
serveur Radius peut lui, permettre d'authentifier les clients VPN correspondant.

A. Installation du serveur Radius :

Afin de procéder à l'installation d'un serveur Radius, il suffit de suivre les étapes décrites ci-
dessous :

Tout d'abord, allez sur le serveur qui vous servira de serveur Radius. Sur ce dernier, rendez-vous
dans l'assistant Ajouter ou supprimer des programmes situé dans Panneau de
configuration/Ajout/suppression de programmes , cliquez ensuite sur le bouton Ajouter ou
supprimer des composants Windows . Sélectionnez ensuite l'option Services de mise en réseau
et cliquez enfin sur Détails .

Dans la fenêtre qui apparaît, cochez la case Service d'authentification Internet .

03/02/2009 28/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

B. Configuration du serveur Radius :

Afin d'autoriser ou non la connexion de clients d'accès distant et/ou VPN, au client Radius, il est
nécessaire de procéder à la configuration du serveur Radius en créant des stratégies d'accès
distant.

La raison pour laquelle nous devons procéder à cette configuration est que, le client Radius est
alors dépourvu de stratégies d'accès distant, et ceci est du au passage d'un serveur d'accès
distant/VPN à un client Radius, laissant ainsi au serveur Radius, la tâche d'authentifier les
clients.

Tout d'abord, il faut configurer les stratégies d'accès distant afin de mettre au point les
différentes conditions, autorisation et profil à appliquer aux clients VPN. Pour cela, il faut se
rendre dans les Outils d'administration du serveur Radius , Utilisez ensuite la MMC Service
d'authentification Internet . Il suffit ensuite d'utiliser le conteneur Stratégies d'accès
distant de la console Service d'authentification Internet .

Ensuite, il nous faut définir les clients Radius sur lesquels, le serveur Radius va agir. Dès lors, il
nous faut ajouter un client Radius. Pour cela, il suffit d'effectuer un clic droit sur Client radius
et ensuite de cliquer sur Ajouter un client radius .

03/02/2009 29/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Remplissez ensuite les champs apparaissant et cliquez sur le bouton suivant . Ensuite, il vous faut
choisir la technologie employée par le client Radius. Différentes technologies vous sont
proposées. Cependant, si la votre n'apparaît pas parmi celles présentées, utilisez l'option Radius
standard .

Le mot de passe saisi dans le champ Secret partagé devra être le même que celui saisi sur le
client Radius correspondant.

Une signature numérique basée sur le secret partagé pour les méthodes d'authentification PAP,
CHAP, MS-CHAP, peut être envoyée par le client Radius. Pour cela, il suffit de cocher la case Les
requêtes doivent contenir l'attribut de l'authentificateur de message .

C. Configuration du client Radius :

Il nous faut maintenant, procéder à la configuration du client Radius, c'est-à-dire, du serveur

d'accès distant/VPN.

Pour cela, il faut ouvrir la console Routage et accès distant située dans Démarrer/Outils
d'administration/Routage et accès distant . Faites ensuite un clic droit->Propriétés sur votre
serveur Radius.

Ensuite, sous Fournisseur d'authentification , sélectionnez Authentification Radius . Cliquez

ensuite sur Configurer .

Il faut ensuite définir le client Radius concerné. Pour cela, il faut cliquer sur le bouton Ajouter .,
et dans la nouvelle fenêtre, il vous faut entrer le nom ou l'adresse IP du serveur Radius, et
finalement cliquer sur le bouton modifier, pour entrer le secret partagé, qui, rappelons-le, doit
être identique à celui entré pour le serveur Radius.

La case Toujours utiliser l'authentificateur de message sera cochée si, il a été imposé au client
d'envoyer l'attribut D'authentificateur de message .

Lorsque l'opération est terminée, il vous faut redémarrer le service Routage et accès distant .

De plus, en dehors de ce rôle, le client Radius est capable de gérer la journalisation.

Pour définir que le serveur Radius sera client pour la journalisation, il vous faut faire un clic droit
sur votre serveur dans la console Routage et accès distant, puis, allez dans les Propriétés de ce
dernier et ensuite, sous l'onglet Sécurité .

Dès lors, il faut sélectionner Gestion de comptes Radius sous Fournisseur de comptes , puis
cliquer sur Configurer . On s'aperçoit alors qu'au sein de la console Routage et accès distant ,
le conteneur Connexion par accès distant n'existe plus. Vous devez ensuite utiliser ce même
conteneur afin de centraliser les logs sur votre serveur Radius.

Conclusion :

03/02/2009 30/31 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Au travers de cet article, il a été montré que Windows 2003 Server implémente au sein de son
infrastructure, de nombreuses entités lui permettant de jouer le rôle de routeur (qu'il s'agisse
de routage de multidiffusion, de routage à la demande…), de serveur ou client VPN, de serveur ou
client Radius…et ceci, directement configurable au travers de la console Routage et accès
distant . Ceci démontre ainsi le caractère modulable de Windows 2003. De même, au-delà de ces
différentes entités, Windows 2003 Server recèle de nombreuses fonctionnalités qui le rendent
d'autant plus complet.

03/02/2009 31/31 napster_simon@hotmail.com