Vous êtes sur la page 1sur 905

Le cours Hardware 2: serveur, rseau et communication

1. Introduction

La premire partie du cours hardware reprenait les ordinateurs bureautiques, portables et
priphriques courants. Mme si nous en reparlerons un peu tout au long de cette partie, les
chapitres qui suivent sont plus centrs vers la maintenance et l'installation du matriel rseau et
autres solutions spcifiques rserves aux entreprises, bref du travail de technicien informatique
d'entreprise ou du moins sur site.

La formation / cours hardware 2 technicien PC / rseau reprend les rseaux (cblage, serveurs, hub
et switch, routeurs, Ethernet, scurit, ...), appareils de communication divers, technologies serveurs
(SCSI, RAID, ...).

Dans les autres cours Technicien PC / rseau, les rseaux sont analyss au niveau logiciel: gestion,
administration, protection, ... L'approche de ce cours rseau n'est pas logicielle, mais matrielle: que
le systme d'exploitation du serveur rseau ou du groupe de travail soit Windows, Linux ou Novell
n'intervient pas directement ici. Nous analyserons ici l'installation et le choix des appareils de
connexions. Mme si des solutions logicielles sont abordes pour comparaison, la finalit restera la
solution hardware. Notre travail dans ce cours se limite (c'est dj pas si mal) au choix,
l'installation, la maintenance, au dpannage et au paramtrage d'une installation rseau au niveau
matriel. Vous aurez besoin de toutes les comptences acquises dans les autres cours informatiques
pour les configurations logicielles, mme si des notions sont fournies dans ce cours.

La partie rseau informatique reprend les cartes rseaux, technologies, hub, switch, routeurs et
cblage Ethernet RJ45 mais aussi les normes de rseaux sans fils

La partie serveur reprend toutes les spcificits des serveurs: RAID, disques durs SCSI et SAS,
Sauvegarde, multi processeurs MP. Elle est complte par les stockages spcifiques rseaux (bandes,
NAS et SAN).

Connexions haute vitesse (ADSL, lignes loues, ATM, ...) reprend toutes les technologies de
connexion INTERNET. Elle est complte par les possibilits de connections distance (firewall,
scurit, VPN, ...). Cette partie vous permettra de comparer les diffrentes solutions (logicielles,
Linux et hardware) avec leurs dfauts et avantages. Une solution n'est jamais parfaite. Une partie de
ce cours utilise la formation INTERNET comme base.

Protections lectriques reprend les appareils de protections contre toutes les perturbations du
rseau lectrique (onduleur, ...).

D'autres chapitres traitent de technologies futures ou spcifiques, notamment les configurations
spcifiques pour magasins de dtails (terminaux de vente, scanner code barre, tiroir et afficheur
client.

Vous le voyez, si la premire partie reprenait des techniques plutt atelier, on entre dans les
matriels installs sur sites, l'installation mais aussi rgler des problmes plus spcifiques de
dpannage: un travail de technicien de maintenance qui travaille en coopration avec d'autres
spcialistes informatiques plus habitus aux logiciels. Un bon technicien de maintenance doit se
promener dans l'usine. Celui qui court tout le temps n'a juste pas prpar son boulot, un cble qui
pend doit tre fix si on ne veut pas qu'il soit accroch un jour en passant, les cbles doivent tre
clairement tiquets, ... C'est juste une mthode de travail un peu diffrente mais nettement plus
efficace long terme..
2. Introduction aux rseaux informatiques
1. Introduction - 2. Modle OSI - 3. Modle TCP/IP - 4. Types d'ordinateurs connects - 5. Types de
serveurs - 6. Caractristique d'un rseau - 7. Scurit et administration
Avant de nous attaquer aux infrastructures rseaux, reprenons quelques notions thoriques de base
sur les rseaux informatiques en gnral. Un rseau permet de partager des ressources entre des
ordinateurs: donnes ou priphriques (imprimante, connexion Internet, sauvegarde sur bandes,
scanner, ...). Comme ce cours est typiquement hardware, je n'aborde que l'aspect matriel. Les
autres parties d'un rseau sont repris dans les autres cours, notamment "Bases rseaux", "Initiation
aux systmes LINUX & UNIX", "Logiciels rseaux", ...
La transfert d'information entre deux logiciels informatiques sur 2 quipements rseaux diffrents
se base sur deux modles thoriques: le modle OSI ou le modle TCP/IP. Ces deux modles sont
plus thoriques que pratiques. Chacun inclut plusieurs couches et chaque couche doit envoyer
(recevoir pour l'autre ordinateur) un message comprhensible par les deux parties. Le chapitre
suivant (base de transmission rseau) traitera en dtail de la communication.
2.2. Le modle OSI
Le modle OSI (Open System Interconnection Model) dfini en 1977 rgit la communication entre 2
systmes informatiques selon 7 niveaux. A chaque niveau, les deux systmes doivent communiquer
"compatibles". En matriel rseau, nous n'utilisons que les couches infrieures, jusqu'au niveau 3.
Ces niveaux sont galement appels couches.
L'OSI est un modle de base normalis par l'International Standard Organisation (ISO).
Application
Couche Application 7 Couche Application

Couche Prsentation 6 Couche Prsentation

Couche Session 5 Couche Session

Transport
des
donnes
Couche Transport 4 Couche Transport


Couche Rseau
(Network)
3
Couche Rseau
(Network)
Paquet

Couche liaison de
donnes (Data Link)
2
Couche liaison de
donnes (Data Link)
Trames
Physique (Physical) 1
Couche Physique
(Physical)
BIT

Support de communication

Niveau 7 (application): gre le format des donnes entre logiciels.
Niveau 6 (prsentation): met les donnes en forme, ventuellement de l'encryptage et de la
compression, par exemple mise en forme des textes, images et vido.
Niveau 5 (session): gre l'tablissement, la gestion et coordination des communications
Niveau 4 (transport): s'occupe de la gestion des erreurs, notamment avec les protocoles UDP
et TCP/IP
Niveau 3 (rseau): slectionne les routes de transport (routage) et s'occupe du traitement et
du transfert des messages: gre par exemple les protocoles IP (adresse et le masque de sous-
rseau) et ICMP. Utilis par les routeurs et les switchs manageables.
Niveau 2 (liaison de donnes): utilise les adresses MAC. Le message Ethernet ce stade est
la trame, il est constitu d'un en-tte et des informations. L'en-tte reprend l'adresse MAC
de dpart, celle d'arrive + une indication du protocole suprieur.
Niveau 1 (physique): gre les connections matrielles et la transmission, dfinit la faon dont
les donnes sont converties en signaux numriques: a peut-tre un cble coaxial, paires sur
RJ45, onde radio, fibre optique, ...
A chacun de ces niveaux du modle OSI, on encapsule un en-tte et une fin de trame (message) qui
comporte les informations ncessaires en suivant les rgles dfinies par le protocole rseau employ.
Le protocole est le langage de communication (la mise en forme) utilis pour le transfert des
donnes (actuellement TCP/IP mais d'autres ont t utiliss comme NetBeui (antrieur Windows
98), Novell IPX, ...). Sur le graphique ci-dessous, la partie qui est rajoute chaque couche est sur
fond blanc. La partie en grise est celle obtenue aprs encapsulation (intgration) du niveau
prcdent. La dernire trame, celle qu'on obtient aprs avoir encapsul la couche physique, est celle
qui sera envoye sur le rseau.
Dans ce cours, seules les trois premiers niveaux du modle OSI (jusqu'aux routeurs et switch de haut
de gamme) sont utiliss, ventuellement jusqu'au niveau 4 pour certains switchs manageables et
firewall. Les couches suprieures sont rserves aux autres cours de la formations technicien PC/
Rseaux, notamment base rseau et protocole TCP/IP.
2.3. Le modle TCP/IP
Le modle TCP/IP s'inspire du modle OSI auquel il reprend l'approche modulaire mais rduit le
nombre quatre. Les trois couches suprieures du modle OSI sont souvent utilises par une mme
application. Ce n'est pas le cas du modle TCP/IP. C'est actuellement le modle thorique le plus
utilis.
Protocoles utiliss Modle TCP/IP correspondance en OSI
Couche application
Application
Prsentation
Session
TCP / UDP, gestion des erreurs Couche Transport Transport
IP / ARP et RARP /ICMP / IGMP Couche Internet Rseau
Couche Accs rseau
Liaison de donne
Physique
De nouveau, on ajoute chaque niveau une en-tte, les dnominations des paquets de donnes
changent chaque fois:
Le paquet de donnes est appel message au niveau de la couche application
Le message est ensuite encapsul sous forme de segment dans la couche transport. Le
message est donc dcoup en morceau avant envoi pour respecter une taille maximum
suivant le MTU.
Le segment une fois encapsul dans la couche Internet prend le nom de datagramme
Enfin, on parle de trame envoye sur le rseau au niveau de la couche accs rseau
Les couches du modle TCP/IP sont plus gnrales que celles du modle OSI.
2.3.1. Couche application
La Couche Application reprend les applications standards en rseau informatique et Internet:
SMTP: "Simple Mail Transport protocol" gre le transfert de mails entre serveurs (pour
renseignements supplmentaires, voire Exchange et IIS dans le cours YBET sur les systmes
d'exploitation)
POP: gre le transfert des mails entre un serveur de messagerie et un ordinateur client
TELNET: connexion sur une machine distante (serveur) en tant qu'utilisateur
FTP (File Transfert Protocol), transfert des fichiers via Internet
et beaucoup d'autres.
2.3.2. Couche transport
La Couche transport permet le transfert des donnes et les contrles qui permettent de vrifier
l'tat de la transmission
Les protocoles des couches suivantes permettent d'envoyer des donnes issues de la couche
application. On ne dfinit pas rellement les logiciels qui communiquent, mais des numros de ports
associs au type d'application (numro variant de 0 65535, 2
16
). Par exemple, la navigation Internet
utilise le port TCP 80, l'https, le 443, le FTP utilise le 21, ...
La couche transport gre 2 protocoles de transport des informations, indpendamment du type de
rseau utilis:
TCP est orient connexion (il vrifie la bonne transmission de donnes par des signaux
d'accuss de rception -acknowledge - du destinataire), il assure ainsi le contrle des
donnes
UDP, archaque et non orient connexion, n'assure aucun contrle de transmission des
donnes, par exemple utilis en streaming.
Ces 2 types (orient connexion ou pas) sont une notion utilise pour les firewall. Si vous fermez un
port en TCP, l'envoi d'un message ne renvoie pas de signal de retour (acknowledge), faisant croire
que l'adresse IP est libre, non utilise. En UDP au contraire, un port ferm ne renvoit pas
d'informations, faisant croire une adresse IP utilise. Le protocole UDP renvoie uniquement un
message si le port est en erreur (ne rpond pas)
2.3.3. Couche INTERNET
La couche INTERNET est charge de fournir le paquet des donnes. Elle dfinit les datagrammes et
gre la dcomposition / recomposition des segments.
La couche Internet utilise 5 protocoles, seuls les 3 premiers sont importants:
1. Le protocole IP: gre les destinations des messages, adresse du destinataire
2. Le protocole ARP (Adresse Resolution Protocol): gre les adresses des cartes rseaux et la
correspondance avec l'adresse IP. Chaque carte a sa propre adresse MAC d'identification
code sur 48 bits.
3. Le protocole ICMP (Internet Control Message Protocol) gre les informations relatives aux
erreurs de transmission. ICMP ne les corrige pas, il signale uniquement que le message
contient des erreurs, utilis par exemple par la commande DOS Ping.
4. Le protocole RARP (Reverse Address Resolution Protocol) gre l'adresse IP pour les
quipements rseaux qui ne peuvent en rcuprer une automatiquement par lecture
d'information dans un fichier de configuration ou via un serveur DHCP. Lorsqu'un
quipement rseau dmarre, le gestionnaire rseau lit l'adresse IP utiliser, ce qui est
impossible pour certains quipements qui ne possdent pas de disques durs (principalement
les terminaux)
5. Le protocole IGMP (Internet Group Management Protocol) permet d'envoyer le mme
message des ordinateurs qui font partie d'un groupe. Il permet aussi ces machines de
s'abonner et se dsabonner d'un groupe. La principale application HARDWARE de l'IGMP se
retrouve dans les SWITCH manageables. Ce protocole permet de regrouper des stations.
2.3.4. Couche Accs rseau
La couche Accs rseau spcifie la forme sous laquelle les donnes doivent tre transmises. Elle
prend en charge les notions suivantes:
type de rseaux (Ethernet, Token Ring, ...), y compris les cartes rseaux
transfert des donnes
Synchronisation de la transmission de donnes
Mise en forme (format) des donnes
Conversion analogique/numrique pour les modems tlphoniques
Contrle des erreurs
2.4. Les types d'ordinateurs connects, types de rseaux
Un rseau permet de connecter des ordinateurs entre-eux de tous types (PC, Mac, Main Frames,
...) pour partager des ressources.
Deux types d'ordinateurs sont utiliss sur un rseau: les serveurs rseaux et les clients. Les serveurs
partagent leurs ressources (fichiers, priphriques de stockage, priphriques d'impression, ...). Les
clients utilisent ces ressources.
Trois types de rseaux sont utiliss:
1. les "Peer to Peer" ou rseau points points. Chaque ordinateur connect est la fois client
et serveur. C'est la mthode de partage la plus simple pour les versions de Windows
standards (partage en Workgroup) Ce terme est aussi utilis par extension pour le partage de
musiques et fichiers divers entre ordinateurs via INTERNET.
2. Les rseaux lourds utilisent un (ou plusieurs) ordinateur central (appel serveur). Les droits
d'accs des utilisateurs se connectant partir d'ordinateurs clients permettent de scuriser
les donnes. Diffrents priphriques augmentent encore cette scurit (bandes de backup,
onduleur, ...). Le gestionnaire rseau (un systme d'exploitation ddi) peut tre Linux,
Windows NT serveur, Windows 2000 - 2003 - 2008 serveur ou Novell Netware.
3. Les rseaux Wan (World Area Network) sont des rseaux internationaux permettant
d'interconnecter des rseaux et serveurs entre eux. Internet est un rseau de ce type.
Les cots et difficults de mise en oeuvre, la scurit et la gestion sont proportionnels. Nous ne
voyons que les quipements, les considrations Peer To Peer, serveurs ou Wan sont dtermines par
le systme d'exploitation et l'utilisation, pas par le matriel rseau.
2.5. Les types de serveurs.
Dans le chapitre prcdant, nous avons parl de serveurs au sens large. Dans l'informatique, on
distingue trois types de serveurs:
Un serveur de fichier enregistre et distribue les documents et fichiers partags par les
utilisateurs. Les configurations ne sont gnralement trs grosses.
Un serveur d'application permet d'utiliser un programme sur un serveur partir de tous les
postes clients simultanment, principalement des applications qui utilisent des bases de
donnes (gestion de fabrication, commerciale, comptabilit, stock, ...). Ces applications
doivent tre tre programme pour grer les partages. La configuration de ces serveurs sont
gnralement plus importantes (par exemple des multi-processeurs). Dans tous les cas, un
fichier n'est pas sauvegard lors d'un backup si un utilisateur l'accde.
Un serveur d'impression partage des imprimantes. Actuellement, diffrents modles sont
directement connects un rseau Ethernet, des botiers spcifiques sont galement
commercialiss.
En pratique, un serveur reprend souvent les trois applications.
2.6. Caractristique dun rseau.
Les rseaux locaux sont des infrastructures complexes et pas seulement des cbles entre stations de
travail. Si l'on numre la liste des composants d'un rseau local, on sera surpris d'en trouver une
quantit plus grande que prvue:
1. Le cblage constitue l'infrastructure physique, avec le choix entre paires tlphoniques,
cble coaxial ou fibre optique. Il dtermine le type de concentrateurs (switch, HUB, point
d'accs Wifi, ...) utilis. Ces quipements constituent les nuds dans le cas de rseaux en
toile.
2. La mthode d'accs dcrit la faon dont le rseau arbitre les communications des diffrentes
stations sur le cble: ordre, temps de parole, organisation des messages. Elle dpend
troitement de la topologie et donc de l'organisation spatiale des stations les unes par
rapport aux autres. La mthode d'accs est essentiellement matrialise dans les cartes
d'interfaces, qui connectent les stations au cble.
3. Les protocoles de rseaux sont des logiciels qui "tournent" la fois sur les diffrentes
stations et leurs cartes d'interfaces rseaux. C'est le langage de communication. Pour que
deux structures connectes sur le rseau, ils doivent "parler" le mme protocole.
4. Le systme d'exploitation du serveur rseau, souvent nomm gestionnaire du rseau, est
install sur le ou les serveurs. Il gre les partages, droits d'accs, ... Pour Microsoft, on
retrouve Windows NT serveur, Windows 2000 serveur, Windows 2003, 2008. Ce sont des
versions spcifiques. Linux est utilis sous diffrentes versions serveurs. Novell Netware est
un systme ddi principalement efficace comme serveur de fichier.
5. Le systme de sauvegarde est un lment indispensable qui fonctionne de diverses manires
soit en recopiant systmatiquement tous les fichiers du ou des serveurs, soit en faisant des
sauvegardes rgulires, ventuellement automatises.
6. Un pont, un routeur ou passerelle constituent les moyens de communication qui permettent
un de ses utilisateurs de "sortir" du rseau local pour atteindre d'autres rseaux locaux ou
des serveurs distants, Internet ou autres..
7. Le systme de gestion et d'administration du rseau envoie les alarmes en cas d'incidents,
comptabilise le trafic, mmorise l'activit du rseau et aide le superviseur prvoir
l'volution de son rseau. Cette partie est typiquement software.
2.7. Scurit et administration.
Un des aspect important d'un rseau informatique local est la centralisation de l'administration des
donnes. Ceci permet de sauvegarder et scuriser les donnes sur une seule machine. La scurit
reprend un ensemble de mesures contre les intrusions et virus, la gestion des privilges et droits
d'accs, la sauvegarde quotidienne des donnes, des quipements redondants en cas de panne, ...
Il n'y a pas de solutions idales pour la scurit des rseaux (et pour la scurit informatique en
gnrale). Trois solutions sont envisageable: les solutions matrielles que nous verrons, des solutions
bases sur Linux et des solutions bases sur Windows ou des programmes rajouts sur ces stations
Windows. Le mlange de plusieurs solutions est possible dans certains cas. Certaines solutions sont
d'ailleurs complmentaires. Sur un gros rseau "sensible", mettre un VPN hardware n'est pas
suffisant. Une scurit logicielle complmentaire incluant des contrles d'accs au niveau
administration serveur (serveur, dossier, droits d'accs) et logiciels de scurits vrifiant le trafic sur
le rseau interne n'est pas superflu.
Les routeurs peuvent tre remplacs par une solution base sur un serveur 2003 ou 2008,
par un logiciel proxy comme WinGate ou par un ordinateur configur spcifiquement en
Linux
Un serveur proxy est parfois intgr dans les routeurs (mais gnralement sous Windows ou
Linux)
Les firewall sont intgrs dans certains routeurs mais des logiciels assurent (presque) des
fonctions quivalentes, souvent intgrs dans l'anti-virus (ex.:Symantec, ZoneAlarm, Mcafee
au niveau des stations)
Les rseaux privs intgrs (VPN) sont intgrs dans certains systmes d'exploitation
serveurs mais peuvent galement tre des quipements spcifiques.
Les anti-virus sont le plus souvent des logiciels, mais peuvent tre implants dans des
routeurs qui vrifient tout le trafic extrieur.
Selon l'application, le niveau de scurit souhait, le nombre d'utilisateurs, ... et les budgets, la
conception du rseau utilisera une solution logicielle ou hardware ou une combinaison de ces
solutions. D'autres programmes de gestion rseaux (logiciels) permettent de grer les trafics, les
utilisateurs, ... En clair, par hardware, vous pouvez bloquer l'accs complet un serveur, par
software, autoriser seulement une partie des ressources d'un serveur. Les solutions des droits
d'accs intgrent le plus souvent les deux.

3. Base de transmission rseau
1. Introduction - 2. Cblage Ethernet - 3. Liaison physique - 4. Topologie en bus - 5. Topologie en
anneau 6. Topologie en toile - 7. Topologie mixte - 8. Topologie Maille - 9. Mthode d'accs
Pour transfrer des informations entre ordinateurs et priphriques informatiques dans un rseau
local, diffrents concepts sont ncessaires. Avant de dbuter les liaisons rseaux, commenons par
une simple communication entre un PC et une imprimante.
Dans une connexion en parallle, les 8 bits de chaque octet (byte) sont transfrs sur des fils en
parallle en mme temps. Le cble utilise 8 fils pour les donnes, des fils de masse, complts par
des signaux de contrle. Voyons les donnes. Pour faire passer un byte du PC vers l'imprimante, nous
envoyons une tension ou non sur chacun de ces 8 fils, l'imprimante ne fait que vrifier si une tension
est prsente ou non. En thorie, les signaux de contrles ne sont pas ncessaires.
Les connexions parallles sont maintenant remplaces par les connexions sries, li notamment au
prix et l'encombrement des fils mais aussi des difficults de synchroniser les signaux sur toutes les
lignes de donnes lorsque la vitesse augmente. Dans une connexion srie, le cblage le plus simple
ne reprend qu'un fil de communication (deux en mode bidirectionnel) et une masse commune, les 8
bits de donnes vont passer tour de rle sur un seul fils. Ceci explique que les connexions sries
sont rputes lentes.
Les donnes doivent tre contrles. Une solution serait de renvoyer chaque fois les donnes reues
pour vrification. L'importance des vitesse de transfert rend ce principe impossible. Dans la pratique,
on utilise un contrle de parit qui compte le nombre de bits 1. S'il est pair, la parit est de 0, et 1
pour une parit impaire dans le cas d'une parit paire, EVEN (l'inverse en parit impaire - ODD). Le
bit de parit est envoy la suite des 8 bits de donnes. Cette mthode de contrle n'est pas
totalement fiable, notamment si deux bits sont faux (et donc le message), la parit est juste. On peut
modifier le nombre de bit de parit en passant sur une base 4 (2 bits), ... mais le ralentissement
devient important. Cette solution n'est utilise pour pour des liaisons spatiales, satellites, ... Cette
solution n'est pas non plus utilise telle qu'elle dans les rseaux. Ceci a dj t tudi en premire
anne.
Dans notre liaison classique, seulement deux installations sont connectes entre-elles. Cette
connexion n'est pas trs raliste pour un rseau constitu d'ordinateurs. La connexion physique (les
fils) doivent relier tous les ordinateurs entre-eux. Chacun doit galement prendre la parole son tour
pour viter que plusieurs signaux ne soient prsents en mme temps. Ceci est rgit par le type de
rseau local.
En rseau, la suite de signaux 0 et 1 envoy s'appelle une trame. Elle est constitue des donnes et
des enttes et fin de messages ajoute par les diffrentes couches du modle OSI ou Internet.
L'organisation de ces trames dpendant du protocole utilis. La parit est directement gre par le
protocole.
Un protocole gre la mthode d'envoi des informations vers le destinataire. Comme dans un langage
humain, les deux interlocuteurs doivent utiliser le mme langage (protocole). Dans le cours hardware
( part en TCP/IP pour le routage et les firewall hardwares), nous n'utilisons finalement que les trois
premires couches du modle OSI du chapitre 2.
3.2. Le cblage Ethernet
Trois types de connexions physiques sont utiliss dans les rseaux locaux actuels: la paire torsade, le
cble coaxial (presque disparu) et la fibre optique.
3.2.1. La paire torsade tlphonique
Bon march et facile installer, c'est aujourd'hui le support le plus utilis en rseau local en rseau
Ethernet (cble RJ45)
La catgorie de cble utilis dtermine la vitesse maximale de transmission rseau. En paire
torsade, on utilise du cble tlphonique. Nanmoins, ces cbles sont repris suivant leurs
caractristiques physiques (diamtre, isolant, longueur des torsades) dans diffrentes catgories ci-
dessous:
Type de cble Vitesse supporte Type de rseau
Catgorie 1 Tlphonie Tlphone
Catgorie 2 1 Mbps Token-ring et tlphone
Catgorie 3 16 Mbps Token-Ring et 10 base T
Catgorie 4 20 Mbps en full duplex 10 Base T
Catgorie 5 100 Mbps 10BaseT et 100 Base TX
Catgorie 5e (catgorie 6) 1 Gbps Giga Ethernet
Deux familles de cbles paires torsades sont utilises: les cbles blinds (STP: Shilded Twisted Pair)
entours d'une feuille d'aluminium comme cran lectrostatique et, plus souvent utiliss, les UTP
(Unshielded twisted Pair) n'en utilisent pas.
3.2.2. Le cble coaxial
Nettement plus cher, le coaxial tait utilis dans les premiers rseaux locaux qui utilisaient une
bande passante large dcoupe en plages de frquence, chacune utilise par un canal. Actuellement,
la majorit des rseaux locaux fonctionnent en une seule bande de base (toutes les stations utilisent
un mme canal qui occupe la totalit de la bande passante). Le cble coaxial n'est plus utilis que
dans des endroits avec de fortes perturbations lectromagntiques, prsence de moteurs lectriques
par exemple).
La gaine protge le cble de l'environnement extrieur. Elle est gnralement en caoutchouc
(parfois en PVC (Chlorure de polyvinyle) ou tflon)
Le blindage (enveloppe mtallique) entoure les cbles et protge les donnes des parasites
(souvent appel bruit) qui provoquent une distorsion du signal. C'est le fil de masse.
Un isolant entoure la partie centrale. C'est un matriel dilectrique qui vite tout contact
entre le blindage et l'me.
L'me est le chemin de transmission des donnes. Elle est constitue dun seul brin en cuivre
ou de plusieurs torsads.
3.2.3. La fibre optique
Nettement plus chre, la fibre optique permet des dbits levs. Utilisant un signal lumineux, elle est
insensible aux parasites lectromagntiques. Elle est principalement utilise pour interconnecter des
rseaux locaux ou sur de longues distances. Ce support est fragile, difficile installer et casse
facilement sous un effet de torsion.
La fibre optique possde nanmoins de plusieurs avantages :
Lgre
Parfaite immunit aux signaux parasites lectromagntiques
Faible attnuation du signal avec la distance
Accepte des dbits suprieurs 10 Gb/s
Largeur de bande leve, de quelques dizaines de MHz plusieurs Ghz (en fibre monomode).
La cblage optique est souvent utilise pour les connexions entre plusieurs btiments (appel
backbone) et longues distances (de quelques kilomtres 60 km pour la fibre monomode). Ce type
de cble ne permet pas non plus d'couter sur le cble, il n'met aucun signal lectromagntique lors
d'un transfert de donnes. Deux types de fibres optiques sont utilises:
Le monomode (SMF) utilise un seul canal de transfert l'intrieur du conducteur et permet
des transferts jusque 100 Gb/s par kilomtre. Le chemin est parfaitement linaire, il n'y a
aucune dispersion du signal. Par contre, la source d'mission est une diode laser, plus chre
et plus difficile mettre en oeuvre.
Le multimode (MMF) utilise une simple diode LED moins chre mais avec un signal non
rectiligne. Les rayons utilisent diffrents trajet suivant les angles de rfraction et donc
diffrents temps de propagations: le signal doit tre reconstruit l'arrive. Principalement
utilises pour les rseaux internes, les performances sont de l'ordre du Gb/s.
Le site materiel-informatique.be reprend les diffrents connecteurs et types utilises.
3.3. Les topologies rseau.
En liaison srie ou parallle standard, la communication se fait uniquement entre 2 priphriques
alors que le nombre en rseau n'est pas limit. Dans un rseau local, les quipements sont connects
entre-eux suivant diffrents types de raccordement appels topologie. (nous verrons aussi les
connexions infrarouge et hertzienne).

3.4. Topologie rseau en bus
Le bus est cble central o circulent les donnes sur lequel se connectent les serveurs, stations et
priphriques rseaux. Il stend sur toute la longueur du rseau. Lorsquune station met, les
donnes circulent sur l'ensemble du bus, pour tre rcupre par le destinataire. Une seule station
peut mettre la fois. Au deux extrmits du bus, un "bouchon" supprime dfinitivement les
informations, supprimant la rverbration des donnes (renvoi en sens inverse).
Dans cette topologie, une station en panne ne perturbe pas le reste du rseau. Elle est trs facile
mettre en place. Par contre, en cas de rupture du cble, le rseau est inutilisable. Le signal nest
jamais rgnr, ce qui limite la longueur de connexion.
Cette topologie est utilise dans les anciens rseaux Ethernet 10 Base 2 et 10 Base 5.
3.5. Topologie en anneau
Cette architecture est utilise par les rseaux Token Ring dvelopps par IBM jusqu'au dbut 2000 et
FDI. Elle utilise la mthode daccs "jeton". Les donnes transitent de stations en stations en
suivant lanneau qui chaque fois rgnrent le signal. Le jeton dtermine quelle station peut
mettre, il est transfr tour de rle vers la station suivante. Lorsque la station qui a envoy les
donnes les rcupre, elle les limine du rseau et passe le jeton au suivant, et ainsi de suite
Le gros avantage est un taux d'utilisation de la bande passante proche de 90%. Par contre, une
station en panne bloque toute la communication du rseau. Autre dfaut, linterconnexion de
plusieurs anneaux est complexe. Elle est utilise dans les rseaux Token Ring et FDDI
Remarque: Cette architecture est brevete pour les rseaux Token Ring par IBM qui ne dveloppe
plus de circuits de ce type depuis 2000.
3.6. Topologie en toile.
Notamment utilise par les rseaux Ethernet actuels en RJ45 (10 et 100 base T, Giga 1000T, ...), cest
la plus courante. Toutes les stations sont conectes un concentrateur, un point central. Les stations
mettent vers ce concentrateur qui renvoie les donnes vers tous les autres ports rseaux (hub) ou
uniquement au destinataire (switch).
Facile connecter, une station en panne ne perturbe pas lensemble du rseau, celle du
concentrateur oui. Par contre, cette topologie ncessite plus de longueurs de cbles que pour les
autres. Le dbit pratique est aussi moins bon que pour les autres topologies.
3.7. Topologie mixte.
Dans le cas d'un rel rseau, ces trois topologies sont difficiles mettre en oeuvre. Une topologie en
toile est facile utiliser pour un rseau limit gographiquement, pas pour un rseau mondial. La
technique est de relier des rseaux en toile locaux via des liaisons en bus (fibre optique par
exemple).
3.8. Topologie maille.
Utilise principalement par Internet, les rseaux maills utilisent plusieurs chemins de transferts
entre les diffrents noeuds. Ce sont des routeurs intelligents (appels switch) qui intgrent des tables
de routages et dterminent dynamiquement la meilleure voie parmi toutes celles possibles. Cette
mthode garantit le transfert des donnes en cas de panne d'un noeud. Elle est complexe mettre
en oeuvre et ne peut pas tre utilise dans les rseaux locaux.
3.9. Mthode d'accs
La mthode d'accs se base sur la couche physique du modle OSI (niveau 1) dtermine comment les
stations peuvent mettre sur le cble. Deux mthodes principales sont utilises: la contention et le
jeton. Les rseaux Ethernet utilise la contention et CSMA/CD (Carrier Sense Multiple Acces With
collision Detection), le token Ring utilise le jeton, chacun a le droit de communiquer son tour. Les
deux mthodes sont normalises par l'IEEE (comit 802): 802.3 pour Ethernet et 802.5 pour l'anneau
jeton
Dans la mthode Ethernet, utilisant la contention, chaque ordinateur envoie son message sans
regarder ce qui se transite sur le cble. Si une station met pendant qu'une autre est en train
d'mettre, ceci provoque une collision. La deuxime station mettrice stoppe la transmission pour
recommencer plus tard. Dans le cas du Giga Ethernet, les stations n'envoie plus le message, mais un
signal de dpart pour vrifier si la voie est libre. Le CSMA/CD (Carrier Sense Multiple Acces with
Collision Detection) se charge de la dtection des collisions.
Dans la mthode jeton, chaque station peut communiquer son tour. Si 3 stations sont connectes
en anneau, la station 1 prend la parole, ensuite la 2, puis la 3. La station 1 peut de nouveau prendre
la parole, et ainsi de suite.
4. Les rseaux Ethernet.
4.1. Introduction - 4.2. Ethernet coaxial, IEEE 803.3 10 base 5 et 10 base 2 - 4.3. Ethernet, IEEE 802.3
10 Base T RJ45 - 4.4. Ethernet 100 base T RJ45, fast Ethernet - 4.5. Le Giga Ethernet - 4.6. Carte
rseau - 4.7.Half Duplex et Full Duplex - 4.8. Connexion RJ45 - 4.9. Rseaux RJ45, problmes de
connexion, appareils de tests - 4.10. Adresse Mac
La connexion entre ordinateurs ncessite une carte rseau implante dans chaque PC (aussi appeles
NIC, Network Interface Card). Les cartes rseaux locaux les plus courantes sont de type Ethernet. Ce
chapitre reprend toutes connexions Ethernet et le cblage (fabrication, prcaution, ...). Le suivant
reprend les concentrateurs Ethernet (hub, switch, routeur, ...)
Le rseau local Ethernet date de la fin des annes 70, il dcoule des tudes de DEC, Intel et Xerox,
avant la normalisation. Ceci explique que les couches suprieures du modle OSI ne sont pas
spcifies. Tous les PC peuvent communiquer sur le cble rseau informatique simultanment. Pour
viter que deux stations communiquent au mme moment, ont utilise la contention. La mthode
principale dans un rseau local (LAN) est le CSMA/CD (Carrier Sense Multiple Access), avec une
dtection des collisions. C'est celle utilise par les rseaux Ethernet. Lorsqu'une station met, elle
coute si un autre quipement n'est pas aussi en train d'mettre. En cas de deux missions
simultanes (une collision), la station cesse d'mettre, avant de rmettre son message aprs un
dlai fixe. Cette technique est alatoire, on ne peut prvoir le temps utilis pour mettre un
message, en transmission comme en rception.
4.2. Ethernet, IEEE 802.3 10 Base 5 et 802.3 10 Base 2
10 Base 5 est la version d'origine d'Ethernet. Elle permet une vitesse de 10 Mb/s sur un cble coaxial
de 500 mtres par segments (donc une topologie en bus).

Chaque quipement utilise une carte Ethernet qui effectue l'adaptation physique des donnes et
gre l'algorithme CSMA/CD. Comme pour toutes connexions utilisant un cblage coaxial, les 2
extrmits sont termines par un bouchon (une rsistance de terminaison) qui attnue les
rverbration des donnes et rduit les collisions. L'pais cble coaxial est de couleur jaune d'un
demi-pouce de diamtre (type BELDEN 9580). La longueur maximale du rseau est de 2,5 kilomtres
et 100 quipements connects. Un drop cble (paires torsades) relie les quipement au cble
coaxial avec une longueur maximale de 50 mtres. Les rseaux 10 base 5 ne sont plus utiliss,
remplacs par la fibre optique.
Une version IEEE 802.3 10 base 2 est plus connue. Elle utilise un cble coaxial fin (Thin Ethernet) avec
une longueur maximum de 185 mtres pour 30 stations maximum. Chaque station est raccorde au
coaxial via un T de type BNC, 50 centimtres minimum doivent sparer deux stations. De nouveau,
on utilise une rsistance de terminaison (bouchon) de 50 ohms.
Ce connexion est utilisable pour 2 ou 3 PC, gure plus.
4.3. Rseau Ethernet, IEEE 802.3 10 Base T
Une premire version (802.3 1 base 5 ou Starlan) utilise le cblage prcabl pour le tlphone dans
les immeubles. Elle se base sur une topologie en toile via des hub avec une distance maximum de
250 mtres. La version suivante ( Ethernet 802.3 10 base T) se base sur cette norme mais avec une
vitesse suprieure (10 Mb/s) sur une distance maximum de 100 mtres.
La norme 10 base T utilise deux paires tlphoniques (4 fils) avec une vitesse maximum de 10 Mb/s
avec de nouveau une topologie toile. Les noeuds sont constitus de concentrateurs (hub, switch,
routeur).
Le cblage sous RJ45 en 10 Base-T utilise 4 fils (pour 8 accessibles dans le connecteur). Le fils de
connexion peut-tre achet dans le commerce, mais peut facilement tre fabriqu. Gnralement,
les 8 fils sont connects en RJ45 mais le 10 base T et en 100 base T n'en utilisent que 4 (en Giga
Ethernet, oui). Deux connexions sont proposes, droit ou croiss. Sans concentrateur (connexion de
2 ordinateurs) ou entre deux concentrateurs, les fils doivent tre un cble croiss comme ci-dessous.
Les polarits et les paires doivent tre apparies.
Cble RJ45 droit en 10 Base T et 100 base T, entre
un concentrateur et une station)
Cble Rj45 crois, entre deux PC ou deux
concentrateurs (switch, Hub, routeur, ...)

Pourquoi respecter le cblage RJ45 par paires?
Un courant lectrique induit automatiquement un champ magntique dans le voisinage qui son
tour provoque une circulation de courant. Ceci entrane des parasites sur le cblage rseau.
Au dpart, le signal de la carte rseau est envoy sur la forme T+ et T- (signal invers). Si un parasite
est induit sur le cblage lors de la transmission. Comme les paires sont torsades, les perturbations
lectriques provoques par des courants induits seront gnralement identiques sur une mme paire
mais diffrents d'une paire l'autre.
Inversons T(-). Le signal utile et le parasite sont inverss. En additionnant T(+) et T(-) invers, le signal
est doubl mais le parasite est supprim (ou du moins nettement rduit).
Matriel ncessaire pour un cblage RJ45:
Du cble 4 paires catgorie 5 (5e) torsads
Des connecteurs RJ45 sertir.
Des manchons caoutchouc, pour viter le sectionnement du cble.
Une pince sertir avec une partie coupante et dnuder
Procdure suivre :
Enfiler le manchon sur le cble.
Dnuder la gaine de protection sur 15 mm environ
Insrer les fils de chaque paire dans le connecteur suivant les schmas ci-dessus (droit ou
crois suivant l'utilisation).
Retirez les en maintenant les fils en place et les couper en ligne (pas en arc de cercle). Il doit
rester peu prt 13mm de fils hors gaine.
Replacer les fils dans le connecteur en appuyant sur l'ensemble du cble pour que les fils
rentrent jusqu'au fond du connecteur.
Sertir le connecteur avec la pince.
Enficher le manchon de protection.
Par transparence, vrifiez si les fils arrivent bien fond dans le connecteur.
4.4. Ethernet 100 Base TX et 100 Base T4, Fast Ethernet
Sorti en 1992, la norme 100 base T (Fast Eternet) a un dbit thorique est de 100 Mb/s (toujours 100
mtres maximum). Elle utilise la mme topologie.
On retrouve 2 normes de 100 Base T: le 100 Base T4 (obsolte) et le 100 Base TX. Le 100 Base TX
utilise le mme cblage que le 10 Base T, le 100 Base T4 utilisait les 4 paires (dcoupage de la bande
passante en 4 pour l'mission comme pour la rception (il n'est donc pas Full Duplex, incompatible
avec une communication bidirectionnelle simultane). Le 100 T4 utilise du cble de catgorie 3, 4 ou
5.
En 100 base TX, le cblage est identique en droit et en crois l'Ethernet base 10 mais avec un cble
de catgorie 5. Comme le 100 base TX n'utilise que 4 fils, un cblage giga peut tre utilis sans
problmes, l'inverse en crois non (en droit forcment oui, ils sont identiques).
Cble normal et crois 100 Base TX

Cble normal et crois 100 Base ou Giga Ethernet.

4.5. Gigabit Ethernet.
Les premires connexions gigabit utilisaient la fibre optique. Elles utilisent les paires torsades de
type RJ45 de classe 5e (toujours sur une distance maximum de 100 mtres). Le gigabit est une
extension des deux normes prcdentes, mme format de trames et mme technique anticollision
(CSMA-CD).
Tableau comparatif des vitesses. Le 1000 base T est le plus courant
Type Vitesse Distance Media
10BASE-T 10 Mb / s 100m Cuivre
100BASE-TX 100 Mb /s 100m Cuivre
100BASE-FX 100 Mb / s 412 m half Duplex Multi-mode Fibre optique
2 Km Full Duplex multi-mode Fibre optique
1000 Base LX 1000 Mb / s
1000 Mb / s
3 Km
550m
Single-mode Fibre optique (SMF)
Multi-mode Fibre optique (MMF)
1000 Base SX 1000 Mb / s
1000 Mb / s
550m
275m
Multi-mode Fibre optique (50u)
Multi-mode Fibre optique (62.5 u)
1000 Base C
(pas supporte par les
applications industrielles
standards)
1000 Mb / s 25m Cuivre, 4 paires UTP5
1000 Base T - 1000 Base TX IEEE
802.3 ab ratifi le 26 juin 1999,
1000 Mb / s 100m Cuivre, cble catgorie 5e, transmission
sur 4 paires (250 Mbits/paire)
1000 BASE LH 1000 Mb / s 70 km Fibre optique
Le cblage des fils dans le connecteur RJ45 des 1000 C et 1000 TX est le mme qu'en 100 Base T4, y
compris pour les cbles Ethernet croiss. Actuellement, tous les switch intgrent le MDI/MDIX qui
permet d'utiliser des cbles droits.
4.6. Carte rseau Ethernet
Les PC utilisent trois types suivant les vitesses: 10, 100 et Giga Ethernet. Toutes les cartes intgrent
un connecteur RJ45 sauf les premires base T de 3Com qui n'acceptaient que le coaxial + un
connecteur propritaire. Les cartes 10 MB intgrent en plus un connecteur coaxial. Les
concentrateurs 100 base TX permettent les liaisons 100 Mb et 10 Mb, les Giga acceptent
rarement les 10.
Les cartes rseaux sont connectes dans un bus interne: ISA, PCI, PCI-Express ou PCI-X pour les
serveurs. Il y a des parfois incompatibilits entre les cartes PCI 3.3V et carte mre en 5V (anciens
Pentium). Certaines cartes intgrent un socket pour une Eprom. ceci permet de dmarrer le PC via le
rseau (sans disque dur).
Chaque carte rseau Ethernet en RJ45 inclut 2 LED. La premire, gnralement verte, signale que la
carte est connecte sur un concentrateur via un cble. La deuxime, orange ou verte, signale la
transmission / rception de donnes. Les cartes rseau actuelles commutent automatiquement sur
chaque vitesse Ethernet (10 ou 100).
A de trs rares exceptions (hub et switch de bas de gamme), avec une carte en connecte en RJ45
sur un concentrateur, la (les) LED doit s'allumer sur la carte rseau et sur le HUB, Switch, Routeur.
En hardware, cela signifie que c'est l'accs rseau qui est mal paramtr.
4.7. Half Duplex et Full Duplex.
Une carte rseau Ethernet peut tre de type Half Duplex (envoi ou rception) et Full duplex (envoi et
rception simultanment). Toutes les cartes actuelles sont Full Duplex, ce qui double le taux de
transfert maximum. Cette solution doit utiliser un Switch (les Hub sont d'office half Duplex).
Pour des problmes de cblage, on doit parfois passer en mode Half Duplex sur la carte rseau. La
configuration se paramtre dans les proprits de la carte rseau sous l'onglet avanc.

4.8. Cblage RJ45 Ethernet, rgles, problmes de liaisons et appareils de tests
Dans les cblages professionnels, les cbles sont insrs dans des goulottes, passent travers des
murs, ... La solution consiste acheter une pince, les connecteurs (avec les protections), le cble et
de respecter strictement les couleurs de cblage RJ45 ci-dessus.
Connecter deux structures entre elles par des cbles amne toujours diffrents problmes.
La premire est de respecter les distances maximales (100 mtres pour les connexions sur cuivre),
mme si on est souvent tent de mettre quelques mtres en plus. Premire erreur, 100 mtres
maximum.
Si le cble est achet, la connexion est gnralement bonne. Si vous raccordez les connecteurs RJ45
vous mme, mieux vaut cbler correctement d'avance. Ca vitera des problmes futurs.
Le nombre de HUBS en cascade est limit (pas avec des switchs normalement). En 10 base T, le
nombre maximum entre 2 concentrateurs ou ordinateur - concentrateur est de 4. Par contre, il est
de 2 en 100 base T. Ceci est li aux temps de propagation du signal sur le cble.
En dernier, le cble RJ45 doit tre correctement pos. Parmi les problmes rencontrs:
cble rseau coup, pli, endommag, ...
passage du cble proximit de cbles lectriques, tubes fluorescents ou non (minimum 50
cm), moteurs lectriques de fortes puissances, ... qui induisent des champs
lectromagntiques parasites. Le tableau reprend les distances minimum entre les cbles
rseaux et lectriques suivant la distance.
Ecartement entre les cbles courant fort (rseau lectrique, non) et courant faible (rseau
Ethernet)
Ecartement
en cm

30 cm

20 cm

10 cm
5 cm

10 m 20 m 30 m 80 m
Cheminement parallle en mtres
L'utilisation des mmes goulottes pour le rseau lectrique et rseau Ethernet provoque dj des
problmes, mme sur une petite longueur. De plus les normes de scurit lectriques l'interdise
(Vincotte en Belgique). C'est identique pour les fils tlphoniques.
On trouve sur le march diffrents types d'appareils de tests des cbles rseaux.
Les premiers (voire ci-contre) fonctionnent comme un ohmmtre sur 8 fils. Une partie se met d'un
cot du fils, le testeur de l'autre. Ces appareils dtectent gnralement les cbles droits et les cbles
croiss ainsi que d'autres connecteurs (RJ11, RJ45, USB, ...). Ils vrifient uniquement si la connexion
est bonne, pas si la liaison est correcte. Si l'appareil dtecte une erreur de cblage, le fils est mauvais.
Par contre, un affichage correct ne signifie pas forcment que le cble est bon. Un mauvais contact
sera souvent considr comme bon par le testeur, mais pas de connexion rseau.
La partie gauche reprend le module de test, la partie droite, la terminaison dtachable. Les 8 Led
indiquent si les fils individuellement sont corrects. La partie gauche regroupe des indications: Short
(mauvaise connexion sur au moins un fils, absence de connexion sur au moins un fils, ...),
CONNECTED pour un cble droit et No-Parrallel pour un cble crois. NO CONNECTION que le cble
n'est pas insr. Le prix varie de 100 150 .
Le deuxime type fonctionne la manire d'une carte rseau. Ces appareils testent la ligne (et pas
uniquement les fils). L'appareil se connecte au bout d'un cble et teste la liaison sur un HUB ou un
switch. Dans ce sens, ils sont plus efficaces. Ils sont un peu plus onreux.
Le troisime type de testeur rseau permet en plus que ceux du premier type:
tests effectifs des faux contacts ou des coupures sur chaque cble.
longueur du cble
en cas de coupure sur un fils (ou de plusieurs), la distance la quelle il est coup.
diverses perturbations lectromagntiques qui transitent en fonction de la distance.
Le prix avoisine facilement 10.000 .
4.9. Adresse MAC
Chaque carte rseau se distingue par une adresse MAC. Cette adresse est unique pour toutes les
cartes et quipements rseaux. Elle est constitu de 6 octets de type X.X.X.X.X.X ou chaque X varie de
0 255 mais plus souvent donn en hexadcimal (exemple 4D.EE.52.A4.F6.69.
Dans Dmarrer -> excuter, tapez la commande WINIPCFG (prsent dans le rpertoire windows sous
windows 98) ou ipconfig / all dans une fentre DOS (Windows 2000, XP, 2003, Vista, ...).

L'adresse Mac FF.FF.FF.FF.FF.FF est particulire, c'est l'adresse de Broadcast utilise pour dtermine
o est un priphrique sur l'ensemble du rseau.
L'adresse IP est dtermine par l'adresse MAC par l'ARP (Adresse Resolution Protocol). Lorsqu'une
communication rseau a t tablie sous Ethernet, la commande DOS arp -a permet de retrouver
l'adresse MAC des autres PC du rseau. Le protocole Ethernet utilise cette adresse MAC pour faire
communiquer des quipement entre eux via un rseau. Quand une machine veut parler une autre,
elle envoie un paquet sur le rseau en TPC, utilisant le contenu de sa table ARP locale pour
dterminer l'adresse IP. Le message contient galement la longueur du packet, les donnes et le CRC
(Cyclic Redundancy Checking), un contrle d'erreur, ...

5. Hub, switch, routeur rseaux, ... Ethernet
5.1. Introduction - 5.2. Hub (rptiteur) - 5.3. Switch (commutateur) - 5.4. Diffrence entre un
hub et un switch - 5.5. Routeur - 5.6. Rpteur - 5.7. Passage des adresses IP aux adresses
MAC - 5.8. Connexion Ethernet
Le chapitre prcdant nous a permis d'tudier les types de rseaux Ethernet. Ce
chapitre va analyser le fonctionnement des concentrateurs Ethernet dans les topologies en
toiles (hub, les switch, routeurs, ...) en T Base 10, T base 100, gigahertz, ... (pas les cblages
coaxial qui utilise une topologie en ligne). Le choix du type de concentrateur varie suivant
limportance du rseau, lemplacement du concentrateur dans la conception et l'inter-
connexion de rseaux. Les hub's sont obsoltes.
5.2. Hub (rptiteur)
Un Hub sont est un simple rptiteur (son nom en Franais). Il ne fait qu'amplifier le
signal pour le retransmettre sur tous ses ports. Il est utilis en Ethernet base 10 et base 100. Le
rel problme de ce type de concentrateur, c'est justement le renvoi des donnes vers tous les
quipements. Ds que le nombre d'ordinateurs connects augmente, le taux de collision
augmente en proportion, rduisant la vitesse effective du rseau. Les Hub sont tous Half
Duplex (pas d'mission / rception en mme temps).
Les HUB sont caractriss par un nombre de connexion: 4, 5, 8, 10, 16, 24, ... Ils sont
remplacs par les switchs dans tous les rseaux actuels.
Suivant le type et le modle, ils
intgrent quelques particularits de
connexion spcifiques (il n'y a pas de
versions Gigabits).
Hubs base 10:
nombre de ports suivant le
modle, port ddoubl avec 1
connecteur inverseur
(connexion de deux
concentrateurs sans cble
crois), un port Ethernet
coaxial 10 Base2. Par port
rseau, on retrouve une LED
de connexion et une led de
collision (ventuellement une pour tous les ports).
Hubs base 100: nombre de ports suivant le modle, port inverseur, plus
de connexion coaxial. Les Led sont identiques aux modles 10 base T, avec en plus
deux LED pour chaque canal pour signaler la vitesse (base 10 et base 100).
Selon la vitesse, le nombre maximum de HUB en cascade (raccords port port) est
limit 4 entre 2 stations pour le 10 base T et 2 pour le 100 base T. Ceci est li au temps
maximum de propagation d'un signal ETHERNET avant sa disparition et au temps de
dtection des collisions sur le cble. Il se pourrait que la collision ne soit pas dtecte temps
et que la deuxime station mettrice envoie le message en pensant que la communication est
libre. Cette limitation n'existe pas pour les switch qui enregistrent les trames avant de les
envoyer.
5.3. Switch (commutateur).
5.3.1. Introduction
En recevant une information, un switch dcode l'entte de trame pour ne l'envoyer que
vers le port Ethernet associ, ce qui rduit le trafic sur l'ensemble du cblage rseau par
rapport un HUB qui renvoie les donnes sur tous les ports, rduisant la bande passante en
provoquant plus de collisions. Chaque switch utilise une table de correspondance adresse
MAC - numro de connexion et pas d'adresse IP comme on pourrait le penser. Les
ordinateurs utilisent une table de correspondance ARP, comme nous vu avec la commande
DOS ARP en systmes d'exploitation qui reprend la correspondance MAC- IP. Reste voire
comment a va fonctionner dans la pratique.
Pour compliquer ... je propose un petit vocabulaire. Un port Ethernet est une des ports
de communication du switch (un connecteur). Un port TCP ou UDP est un numro entre 0 et
65535 qui est spcifique suivant l'application.
Les switches travaillent suivant les modles sur les:
niveau 1 (comme les hubs) mais surtout sur le niveau 2 du modle OSI. Dans ce cas,
ils utilisent une table de correspondance Adresse MAC - port Ethernet qui reprend les
adresses Mac des cartes rseaux connectes directement ou par l'intermdiaire d'autres
concentrateurs (y compris HUB) ... donc pas d'adresses IP connues.
Niveau 3 (appels switch de niveau 3 justement) dcodent les trames de niveau 2 et
donc les adresses IP contenues dedans. Ceci permet d'implanter des services de
qualits en fonctions de plages d'adresses IP comme nous le verrons avec un petit labo
sur les switch manageables comme par exemple allouer des priorits des adresses IP
pour le transfert de donnes, mais aussi de vrifier les collisions sur diffrents noeuds
du rseau ou de bloquer des communications entre diffrents ports de sortie. Les
transmissions se font toujours avec une table de correspondance reprenant des adresses
MAC. Par contre, ils ne font pas de transitions entre classes d'adresses comme les
routeurs.
Les switch de niveau 4 sont encore plus forts. La diffrence avec les layers 3, c'est
qu'ils analysent aussi la couche 3 (transport) lie TCP et UDP qui reprennent des
ports lis aux diffrentes applications. Ils sont capables de bloquer des ports et donc
certaines applications entre leurs diffrents ports rseaux (y compris en les
regroupant).
... mais tous utilisent une correspondance MAC - port Ethernet, les 3 et 4 ne donnent
donc que des possibilits de configurations supplmentaires. D'ailleurs, ces deux types sont
manageables (configurables).
A la diffrence des hubs, la majorit des switches peuvent utiliser le mode Full
duplex. La communication est alors bi-directionnelle, doublant le taux de transfert maximum.
Un Switch vrifie automatiquement si le priphrique connect est compatible full ou half
duplex. Cette fonction est souvent reprise sous le terme "Auto Negociation".
Les modles actuels sont Auto MDI/MDIX. Ceci signifie que le port va dtecter
automatiquement le croisement des cbles pour la connexion Ethernet. Dans le cas des HUB,
un port muni d'un bouton poussoir, reprend la fonction manuellement. Vous pouvez
nanmoins utiliser des cbles croiss pour relier des concentrateurs entre eux.
L'utilisation des switch permet de rduire les collisions sur le cblage rseau.
Lorsqu'un priphrique souhaite communiquer, il envoie un message sur le cblage. Si un
autre priphrique communique dj, deux messages se retrouvent en mme temps sur le
rseau provoquant une collision. Le premier reprend son message au dbut et le deuxime
attend pour ressayer quelques millisecondes plus tard. Il n'y a (en thorie) pas de limitations
du nombre de switches en cascade sur un rseau.
5.3.2. Fonctionnement d'un switch.
Au dmarrage, un switch (Layer 2 mais aussi les autres) va construire une table de
correspondance adresse MAC - (numro de) port Ethernet. Cette table est enregistre dans
une mmoire interne (en RAM). Par exemple pour un D-link DSS-16+ (16 ports), elle est de
8000 entres (stations). Par contre, pour un modle de gamme infrieure (D-Link DES -
1024D de 24 ports) elle est galement de 8000 entres, pour la majorit des switchs 5 ports,
elle varie de 512 1000 entres. Ceci ne pose pas de problmes pour un petit rseau interne
mais bien pour de gros rseaux. J'ai dj eut le problme dans un rseau de 30 PC. Ds que
l'usine dmarrait, les vitesses de communications du rseau s'effondraient. De toute faon, le
nombre de PC maximum connects est limit par la classe d'adresse IP utilise par les
ordinateurs. Lorsqu'une nouvelle carte rseau est connecte sur un de ses ports, il va adapter
sa table de correspondance.
Voyons maintenant ce qui se passe lorsqu'un ordinateur (PC1) communique vers un
autre PC (PC2) connect sur le mme switch. Le message de dpart incluant l'adresse de
destination, le switch va retrouver directement dans sa table l'adresse du PC2 et va rediriger le
message sur le port adquat. Seul le cblage des 2 ports (PC1 et PC2) vont tre utiliser.
D'autres PC pourront communiquer en mme temps sur les autres ports.
Dans le cas ou le rseau utilise 2 switches. Le PC1 envoie le message avec l'adresse de
destination sur le switch1 sur lequel il est raccord. Celui-ci va vrifier dans sa table si
l'adresse de destination est physiquement raccord sur un de ses ports. Dans notre cas ce n'est
pas le cas. Le switch va donc envoyer un broadcast (une adresse MAC FF.FF.FF.FF.FF.FF)
sur tous ses ports pour dterminer sur quel port se trouve l'ordinateur de destination. Ce
broadcast passe gnralement sur tout le rseau. En recevant le broadcast, le switch 2 va
vrifier dans sa table si l'adresse de destination est dans sa table. Dans notre cas, elle est
prsente. Il va donc renvoyer un message au switch 1 signifiant que le message est pour lui.
Le switch 1 va alors diriger le message vers le port connect au switch numro 2. Le switch 1
va mmoriser dans sa table l'adresse du PC2 et le port Ethernet associ. Ceci ne pose pas trop
de problmes tant que la capacit de la table mmoire du premier switch est suffisante.
Voyons maintenant quelques cas plus complexes. Lorsqu'une adresse MAC non
connecte en direct est place dans la table, le switch va la garder pendant un certains temps.
Si une nouvelle demande vers cette adresse est reue, le port de destination est retrouv dans
la table. Par contre, si le dlai entre les demandes est trop long (gnralement 300 secondes),
l'entre de la table est efface et le processus de broadcast est de nouveau activ. Si la table
est trop petite (cas des Switch avec un faible nombre de ports sur un rseau trs important),
l'entre MAC dans la table peut-tre efface prmaturment.
5.3.3. Types de switches
La technologie d'un switch est troitement lie au type de donne, la topologie du
rseau et aux performances dsires.
Store and Forward: le plus courant, stocke toutes les trames avant de les envoyer sur
le port Ethernet adquat. Avant de stocker l'information, le switch excute diverses
oprations, allant de la dtection d'erreur (de type RUNT) ou construction de la table
d'adresses jusqu'aux fonctions applicables au niveau 3 du modle OSI, tel que le
filtrage au sein d'un protocole. Ce mode convient bien au mode client/serveur car il ne
propage pas d'erreur et accepte le mlange de diverses mdias de liaison
(environnements mixtes cuivre / fibre par exemple) ou encore dans le mlange de
dbits. La capacit de la mmoire tampon varie de 256 KB plus de 8 MB pour les
plus gros modles. Les petits switch de ce type partagent souvent la capacit de
mmoire par groupes de ports (par exemple par 8 ports). Par contre, les modles de
haute gamme utilisent une mmoire ddie pour chaque port rseau. Le temps
d'attente entre la rception et l'envoi d'un message dpend de la taille des donnes.
Ceci ralentit le transfert des gros fichiers.
Le mode Cut Through analyse uniquement l'adresse Mac de destination (place en
en-tte de chaque trame, code sur 48 bits et spcifique chaque carte rseau) puis
redirige le flot de donnes sans aucune vrification sur le message proprement dit.
Dans le principe, l'adresse de destination doit tre pralablement stocke dans la table,
sinon on retrouve un mcanisme de broadcast. Ces switch sont uniquement utilises
dans des environnements composs de liaisons point point (clients - serveur). On
exclus toutes applications mixtes de type peer to peer.
Le mode Cut Through Runt Free (galement appel Fragment Free chez CISCO)
est driv du Cut Through. Lorsqu'une collision se produit sur le rseau, une trame
incomplte (moins de 64 octets) appele Runt est rceptionne par le switch. Dans ce
mode, le commutateur analyse les 64 premiers bytes de trames avant de les envoyer au
destinataire. Si la trame est assez longue, elle est envoye. Dans le cas contraire, elle
est ignore. Les temps de latence sont trs bas.
Le mode Adaptive Cut Through se distingue surtout au niveau de la correction des
erreurs. Ces commutateurs gardent la trace des trames comportant des erreurs. Lorsque
le nombre d'erreur dpasse un certain seuil, le commutateur passe automatiquement en
mode Store and Forward. Ce mcanisme vite la propagation des erreurs sur le rseau
en isolant certains segments du rseau. Lorsque le taux d'erreur redevient normal, le
commutateur revient au mode Cut Through.
5.3.4. Particularits supplmentaires
Un Switch peut tre stackable (empilable): un connecteur spcial permet de relier
plusieurs switch de mme marque entre-eux. Le nombre de commutateurs empils (du mme
modle) est limit. L'ensemble du groupe est vu comme un seul appareil avec une seule table
commune, c'est ce qu'on appelle le Meshing. Ceci permet d'augmenter le nombre de ports et
de reprendre une table commune plus importante.
Certains switch sont manageables (administrable). Par une interface de type WEB
relie l'adresse IP ou par RS232 et l'utilisation de Telnet, vous pouvez bloquer certains
lignes, empchant par exemple, un partie de PC de se connecter vers un autre bloc de PC ou
de dterminer physiquement quel PC a accs quel serveur. Ceci permet galement de
dterminer des plages d'adresses sur des ports (cas o plusieurs switch - Hub sont chans) et
ainsi d'augmenter la vitesse. Certains modles permettent nanmoins de crer des groupes
d'utilisateurs en utilisant le protocole IGMP. Ils sont dits de niveau 2 (layer 2 du modle OSI)
s'ils permettent de dterminer les adresses et de niveau 3 (layer 3 du modle OSI) s'ils
permettent en plus de bloquer par ports (TCP ou UDP). L'utilisation d'un routeur - firewall
hardware est nanmoins prfrable si c'est pour bloquer les accs. Certains modle sont
appels niveau 4 (terme publicitaire) lorsqu'ils permettent de bloquer l'utilisation du rseau
pour des logiciels dtermins en dcodant le message.
Via l'interface IP ou Telnet, un switch administrable permet galement de vrifier
distance les connexions sur le switch (affichage de la face avant), sauvegarder ou restaurer la
configuration, mise jour du firmware, paramtrer la dure de vie des adresses MAC dans la
table, ...
Le Port Trunking permet de rserver un certain nombre de ports pour des liaisons
entre 2 commutateurs (jusque 4). Cette fonction partage les communications inter-switchs via
ces ports. C'est le seul cas o deux points du rseau peuvent tre relis par plus d'une
connexion physique.
5.4. Diffrence entre un HUB et un Switch
HUB SWITCH
Les donnes envoyes sont envoys sur tous
les ports aux priphriques qui dcodent la
trame d'en-tte pour savoir si elles leurs sont
destines.
Les donnes envoyes d'un ordinateur vers un
autre sont uniquement reues par destinataire.
Si un autre ordinateur envoie des donnes vers
l'imprimante, elles sont totalement dissocies,
les deux communications peuvent se faire
simultanment.

La bande passante totale est limite la
vitesse du hub. Un hub 100 base-T offre 100
Mbps de bande passante partage entre tous
les PC, quelque soit le nombre de ports
La bande passante est dtermine par le
nombre de ports. i.e. Un Switch 100 Mbps 8
ports peut grer jusqu' 800 Mbps en half
duplex, le double en full duplex.
Pas compatible "half-duplex". Un port 100
Mbps permet juste une liaison a 100 Mbps.
Ils sont compatibles "full-duplex", doublant la
vitesse de chaque port, de 100 Mb/s 200
Mb/s pour un Ethernet 100 Base T.
Le prix par port rseau est quivalent actuellement, les Hub's ne sont pratiquement plus
commercialiss.
5.5. Routeur.
Les hubs et switchs ne grent que les transfert entre quipements dans la mme classe
d'adresse IP d'un mme sous-rseau. Chaque quipement du LAN reoit une adresse unique
de type X.X.X.X, par exemple 192.168.1.1. Les valeurs X varient de 0 255. L'adresse IPV4
est constitue de 32 bits et d'un masque galement cod sur 32 bits. Un routeur analyse les
trames pour rcuprer l'enttes (adresses de destination et de dpart) et permet de transfrer
les donnes entre des rseaux de classes d'adresses diffrentes. Il dtermine galement des
routes (le routage) pour communiquer avec d'autres routeurs qui ne sont pas directement
connects dessus.
Il travaille sur la couche rseau (couche 3 du modle OSI) et dissocie deux rseaux
entre deux en filtrant les informations pour ne transmettre que ce qui est effectivement
destiner au rseau suivant. Les donnes transitant sur le rseau local (pas Internet) restent
l'intrieur du LAN.
Comme les adresses des sites INTERNET sont dans des classes diffrentes de votre
ordinateur en rseau local, la connexion d'un rseau LAN INTERNET utilise
obligatoirement un routeur.
De plus, les routeurs permettent en partie de masquer les ordinateurs du rseau interne
en ne reprenant pour l'extrieur d'un seul quipement. Pour cela, il utilise le NAT (Network
adress translation). Ce mcanisme utilise une table mmoire interne qui mmorise l'adresse de
dpart (l'ordinateur) et l'adresse de destination (typiquement, l'adresse d'un site Internet). Le
site ne revoit le rsultat de la recherche que vers l'adresse externe du routeur. Le NAT va
retransmettre les donnes au vritable destinataire. Le PAT (Port Adresse Translation) permet
de redirectionner les donnes au niveau des ports UDP et TCP/IP.
Les routeurs intgrent parfois un firewall hardware paramtrable et permettent
notamment de bloquer certaines connexions Ethernet au niveau des ports TCP ou UDP. Ils
sont utiliss pour interfacer diffrents groupes de PC (par exemple les dpartements) en
assurant un semblant de scurit. Certains switch manageables peuvent en partie tre utiliser
pour le blocage d'adresses IP dans une mme classe d'adresse. La principale utilisation est le
partage de connexion Internet. D'autres informations sur les mthodes de partage de
connexion Internet sont reprises dans diffrents chapitres du cours INTERNET (par
Windows, routeurs) mais aussi en utilisant des serveurs Windows 2003 - 2008 (cours sur les
systmes d'exploitation).
Les routeurs peuvent galement servir de pont (Bridge en anglais) pour interconnecter
deux rseaux locaux dans des classes d'adresses diffrentes.
Il n'est pas possible de relier directement 2 rseaux en branchant 2 cartes rseaux dans
un PC central, sauf en utilisant un logiciel de liaison proxy (passerelle) de type Wingate ou les
fonctions RRAS (Routing and Remote Access Services) implantes dans Windows serveur
2000 mais surtout en standard en Windows 2003 et 2008..
Un serveur DHCP (Dynamic Host Configuration Protocol) peut tre implant de
manire software (serveurs Windows par exemple) ou dans un routeur. Cette possibilit
permet d'attribuer automatiquement les adresses IP chaque station dans une plage d'adresse
dtermine (dans la mme classe d'adresse).
5.6. Rpteurs
Le rpteur permet de dpasser la longueur maximale de la
norme d'un rseau en amplifiant et en rgnrant le signal lectrique.
Sa principale utilisation actuelle est le passage d'un mdia l'autre
(par exemple de connexion en cuivre vers la fibre optique) ou
d'interconnecter deux cbles en fibre optique en regnrant le signal.
5.7. Passage des adresses IP aux adresses MAC
Nous savons dj que les communications se font par les adresses MAC et pas
directement par les adresses IP.
Pour une communication, le PC metteur vrifie si le PC est dans la mme classe
d'adresse IP. Si c'est le cas, il va envoyer un ARP pour dterminer l'adresse MAC de
destination et envoie directement le packet de donnes et les en-ttes sur le rseau. Les HUBS
laissent le paquet tel quel puisqu'ils sont de simples amplificateurs. Par contre, si le rseau est
reli par des switchs, chaque switch va vrifier l'adresse MAC dans sa table, ventuellement
envoyer un broadcast.
Par contre, si le PC de destination n'est pas dans la mme classe d'adresse, il envoie le
paquet au routeur (dont l'adresse MAC est connue) avec l'adresse IP de destination. Le routeur
va vrifier s'il est connect au sous-rseau (classe IP) de destination. S'il est directement
connect, il envoie les informations au destinataire via un ARP. Dans le cas contraire, il va
envoyer le paquet au routeur suivant, et ainsi de suite.
5.8. Connexion d'un rseau Ethernet.
Par le chapitre sur les diffrentes normes Ethernet, nous savons que:
1. Connecter entre-eux 2 hubs (switch) utilise un cble crois ou utiliser un port crois de
l'quipement (certains modles intgrent un petit interrupteur poussoir sur un port
spcifique). Les switch actuels dtectent automatiquement le croisement
(MDI/MDIX).
2. En Ethernet 10 Base T, plus de quatre Hubs en cascade posent un problme au niveau
des vitesses de connexion.
3. En Ethernet 100 Base T, plus deux HUBS en cascade provoquent galement des
erreurs dans les flux de donnes, les trames se superposent, dpassant la taille du
MTU.
4. Les distances maximales respecter sont de 100 mtres maximum en cuivre. L aussi,
les trames peuvent se superposer en cas de dpassement.
5. Le cblage doit tre stricte: connecteur, proximits des cbles du rseau lectrique, ...
Quels choix pour un rseau local Ethernet? Les dpartements entre-eux doivent tre
relis par des switchs, si possible administrables pour bloquer certaines liaisons. Toute
connexion extrieure (Internet et liaison inter-rseau) ncessite un routeur. Le partage Internet
par Windows est viter pour les entreprises (scurit) et remplac par un routeur incluant le
NAT qui permet masquer les diffrentes adresses du rseau interne et incluent souvent des
firewall hardware mme si en standard ces quipements sont plutt amateurs.

6. Liaisons Internet haute vitesse, haut dbit, ADSL, ATM.
6.1. Introduction - 6.2. Technologies xDSL (ADSL, SDSL, VDSL, ...) - 6.3. DSL symtrique - 6.4. DSL
asymtrique - 6.5. Lignes loues - 6.6. Connexion par satellite - 6.7. Le cble - 6.8 Connexions 3 G et 3
G+ - 6.9. Liaisons ATM
Ce chapitre du cours hardware YBET rseaux et communications traite des liaisons haut dbit pour
la connexion des sites INTERNET et la connexion haute vitesse entre l'utilisateur et INTERNET:
connexion xDSL, ATM, lignes loues, cble de tldistribution, liaison satellite, ... Toutes ces solutions
ncessitent un abonnement spcial chez votre fournisseur d'accs.
6.2. Les technologies DSL
Le DSL regroupent tout ce qui permet de faire passer des flots de donnes haute vitesse sur de
simples lignes tlphoniques torsades. Il existe diffrentes variantes :
HDSL: High bit rate DSL
SDSL: Single pair, ou symmetric DSL
ADSL: Asymmetric DSL
RADSL: Rate adaptative DSL
VDSL: Very high DSL
Les diffrences essentielles entre ces diffrentes technologies sont:
la vitesse de transmission
distance maximale entre l'utilisateur et le point d'accs
variation de dbit (vitesse) entre le flux montant (utilisateur vers le rseau Internet) et flux
descendant (rseau Internet vers l'utilisateur)
Les technologies xDSL sont divises en deux familles, celles utilisant une transmission symtrique et
celle utilisant une connexion asymtrique.
L'ide de dpart est de dcouper une gamme de frquence en canaux. Chaque canal correspond
une frquence distincte. L'metteur / rcepteur utilisent le FDM (signifiant Frequence division
multiplexage) pour envoyer et rceptionner les donnes sur les diffrents canaux. Une zone de
frquence est ddie l'envoi et l'autre la rception. Dans les technologies les plus courantes, la
bande passante est divise en 3 zones: une pour la transmission de la voix (les basses frquences
jusque 4 Khz en sachant que l'oreille humaine adulte va justement jusque ... 20 Khz) et deux zones
pour l'mission et la rception. Sachant , ne vous attendez pas couter en Hifi un morceau de
musique via le tlphone: c'est pas non plus le but.
Voyons comment a se passe:

Les frquences et canaux sont valables pour l'ADSL standard mais le principe est le mme pour
toutes les liaisons DSL. La gamme de frquence est dcoupe en canaux, dans le cas de l'ADSL 1, la
gamme de frquence de 0 1,1 Mhz est dcoupe en 256 canaux not de 0 255. Les premiers
canaux ne sont pas utiliss pour la transmission de donnes. La partie suivante est dcoupe en 17
canaux pour le transfert utilisateur vers la borne de l'oprateur relie Internet (appele DSLAM), la
suivante est utilise pour le transfert DSLAM vers utilisateur et prend 225 canaux. Dans ce cas, le
nombre de canaux "download" est nettement suprieur celui d'upload: le dbit est nettement plus
important. Le petit problme est la dgradation du signal en fonction des parasites sur la ligne (qui
augmentent avec la distance) qui est nettement plus importante mesure qu'on monte en
frquence: plus on s'loigne du point d'accs, plus la vitesse de download diminue.
Dans le cas d'une solution symtrique, le nombre de canaux d'envoi et de rception est le mme,
dans le cas d'une solution asymtrique, le nombre de canaux d'envoi est infrieur celui de
rception.
Pour augmenter les dbits, on a la solution d'augmenter la gamme de frquence mais de fait, la
porte va diminuer, ou plutt, la vitesse va ralentir plus vite mesure que la distance augmente. On
le voit ici avec la comparaison des dbits entre les 3 types d'ADSL. L'adsl et l'adsl2 utilisent la mme
plage de frquence, seule la mthode de transfert a t modifie. Par contre, l'ADSL2+ utilise plus de
canaux avec une plage de frquence qui va jusqu' 2,2 Mhz. Dans tous les cas, le taux de transfert
reste constant pour de petites distances plus diminue trs vite ensuite. A partir de 2,5 KM (10.000
pieds), la vitesse des trois technologies est identiques.
Une autre mthode pour augmenter le dbit est d'utiliser les canaux montants et descendants pour
le transfert DSLAM vers utilisateur (download). Pourtant, en thorie, aucune chance que cette
technique fonctionne puisque deux signaux vont tre prsent sur la plage de frquence basse. En
fait, on va utiliser l'annulation d'cho. Chaque cot en recevant le signal va soustraire ce qu'il envoie
sur ces mmes canaux, permettant le transfert bidirectionnel sur cette plage de frquence.
Et la dernire mthode est de jouer sur le type de modulation - codage des donnes. Celle utilise
pour l'ADSL est le DMT (Discrete Multi Tone) qui permet 8 Mb/s en descendant et 640 Kb/s en
montant.
Ces vitesses sont thoriques et maximum. En effet, elles vont dpendre de l'tat de la ligne
tlphonique plus ou moins bonne mais aussi de la section du fil. A la premire connexion, mais aussi
en cours de transfert, la vitesse va tre vrifie canal par canal, les canaux (frquences) les moins
fiables (gnralement les plus hauts mme si d'autres frquences peuvent tre perturbes) ne seront
pas utilises.
6.3. Solutions symtriques
Une solution xDSL symtrique a la mme vitesse de transfert en download (Internet vers utilisateur)
qu'en upload (utilisateur vers Internet), contrairement aux liaisons asymtriques (Adsl par exemple).
Ceci est primordial pour l'hbergement d'un site au sein de l'entreprise. Les connexions symtriques
sont surtout utilises pour remplacer les lignes loues trop chres.
6.3.1 HDSL et HDSL2 :
L'HDSL date du dbut des annes 90. Elle utilise les lignes loues mais en utilisant pas tous les fils.
Deux versions sont utilises, soit avec 2 paires (vitesse maximale de 1,5 Mb/s), soit 3 paires de fils
(vitesse maximale de 2 Mb/s). Ces vitesses peuvent tre moindre en fonction de la qualit de la ligne.
La distance maximale avec le central est de 4,5 KM.
La version suivante, l'HDSL2, en dcoule mais n'utilise plus qu'une seule paire tlphonique, soit 1,5
Mb/s pour les Etats-Unis et 2 Mb /s pour l'Europe. Seul dfaut, la distance diminue pour ne plus
atteindre que 2500 mtres.
Cette solution ne permet pas de tlphoner en mme temps.
6.3.2. SDSL (Symmetric Digital Subscriber Line):
Comme HDSL, le SDSL utilise les lignes loues mais avec seulement 1 paire de fils avec un dbit
maximum de 2 Mb / s, mme si on peut coupler atteindre les 8 Mb/s en utilisant deux lignes
simultanes et mme 20 Mb/s en utilisant 4 paires tlphoniques. La vitesse varie avec la distance au
central:
< 1Mb/s disponible jusqu 5,6 km
1Mb/s disponible jusqu 5 km
2Mb/s disponibles jusqu 2,3 km
L'utilisation simultan de la connexion Internet avec un appel tlphonique est impossible. Les
modems sont spcifiques suivant le nombre de paires raccordes.
6.3.3. SHDSL:
Le SHDSL (Single-pair High-speed DSL) date de 2002 et rassemble les techniques HDSL (2) et SDSL. La
distance maximum est de 5 kilomtres. Les taux de transfert varient suivant l'abonnement de:
192 Kb / seconde 2,3 Mb sur une paire tlphonique.
384 Kb / seconde 4.6 Mb sur deux paires tlphoniques.
Plutt base sur les lignes tlphoniques que sur les lignes loues, elle permet le transport de
donnes travers les centraux tlphoniques.
Au dpart, le dbit est configur une vitesse fixe suivant l'abonnement. Les premires versions
bloquaient la transmission si la vitesse n'tait pas suffisante. Actuellement, les modems utilisent une
auto dtection et se synchronisent sur la vitesse la plus leve possible autorise.
6.4. Solutions asymtriques: ADSL, RADSL et VDSL
On va parler de diaphonie. Par quelques bases en lectricit, on sait qu'un courant dans un fils
lectrique induit un champ magntique qui ( forte dose) va parasiter les fils adjacents. Hors dans
une installation standard, les fils de connexion Internet vont de tous les utilisateurs pour se
regrouper vers le central. Du coup, les signaux sont nettement plus parasits au niveau du central
qu'au niveau utilisateur. En suivant l'ide, plus un signal est fort, moins il est parasit. Par contre,
plus la vitesse (en fait la frquence du signal) est rapide, plus il a de chance d'tre parasit (mais
surtout l'inverse).
Ben voil l'ide. Le signal envoy par l'utilisateur est plus faible au niveau du central que celui envoy
par le central, on va partager la bande passante asymtriquement, la vitesse utilisateur vers le
central sera plus faible (donc moins parasite malgr un signal plus faible), tandis que la vitesse de
transfert partir du central sera plus leve (moins perturbe par la diaphonie au niveau du central
car plus fort). C'est la base des connexions asymtrique, augmenter la vitesse de transfert dans une
direction au dtriment de l'autre pour une mme bande passante globale. Ca tombe bien,
l'internaute prfre tlcharger plus vite ...
Ces solutions asymtriques ne sont pas utiliser pour l'hbergement d'un site Internet, sauf pour de
petites applications utilisant par exemple DynDNS.
6.4.1. ADSL et ADSL2 (Asymetric Digital Subscriber Line):
L'ADSL utilise trois plages de frquences:
un plage Internet vers utilisateur haut dbit
une plage bi-directionnelle moyen dbit (utilis en upload et en download).
une plage utilise par la tlphonie (voix normales)
Chaque plage numrique est elle-mme divise en petites bandes permettant le transfert de signaux
simultanment dans la mme direction. Le signal global doit tre filtr pour les communications
tlphoniques, comme expliqu dans la partie installation du filtre ADSL.
Deux types de modem - routeur sont utiliss, l'annexe A pour les lignes tlphoniques classiques et
l'annexe B pour les lignes ISDN / RNIS. Ils ne sont pas compatibles entre-eux, les annexe B ncessite
un filtrage global. Deuxime problmes avec ces modems, ils sont souvent fournis avec un
connecteur RJ45 pour le tlphone alors que le connecteur du filtre est de type RJ11 comme pour
une ligne standard mais les connecteurs RJ11 entrent dans un connecteur RJ45.
L'ADSL permet, pour une distance maximale de 5,6 km, des dbits de :
de 1,5 8 Mb / seconde en download
de 16 kb/s 640 kb/s en upload
La distance maximale dpend de la qualit du cble tlphonique. Au del de 5,5 km et jusqu' 6,5
km, la vitesse doit tre rduite 1 Mb/s en download.
Ces vitesses de transfert transforment le rseau public tlphonique existant (limit la voix, au
texte et aux graphismes basse rsolution) en un systme puissant capable de supporter le
multimdia, y compris la vido temps rel. En transmettant des films, des programmes de tlvision,
des donnes de rseaux locaux d'entreprises, et surtout en introduisant l'Internet dans les maisons,
ADSL rend les marchs viables et rentables pour les compagnies de tlphone et les fournisseurs
d'applications.
L'ADSL Lite, normalise en dcembre 1998, fonctionne des dbits infrieurs puisque la vitesse
maximum de download est de 1.5 Mbit/s pour 512 kbit/s pour le transfert ordinateur vers Internet et
n'utilise pas de filtre ADSL. Pourtant elle n'a jamais t rellement commercialise. Les versions Lite
des fournisseurs d'accs sont des connexions ADSL standard brides en vitesse sur le central, les
modems sont donc tout fait compatibles, l'utilisation de filtres dans ce cas est galement
obligatoire.
L'ADSL 2 augmente la vitesse maximum 12 Mb/s en dowload en modifiant la modulation de
frquence, les modems et routeurs restent compatibles.
L'ADSL 2+ permet une vitesse de download jusqu' 24 MB/s avec une limitation de distance. Les
vitesses de ces deux normes sont identiques l'ADSL standard pour des distances suprieures 3
KM. Cette technologie haute vitesse est utilise principalement pour la tlvision numrique. La
vitesse en upload est limite 1 Mb/s (pour 640 Kb/s en standard), avec une distance maximum de 5
KM.
6.4.2. RADSL, Rate Adaptive DSL
En RADSL, le modem adapte la vitesse en fonction de la qualit de la ligne (en upload et en download
indpendamment). Ceci donne un dbit constant ncessaire dans les applications vido et vido-
confrence. C'est une simple variante de l'ADSL quasiment jamais implante, elle utilise les mmes
modulations et les mme caractristiques de vitesses et distances.
6.4.3. ReADSL (Reach Extended ADSL)
Cette technologie est une adaptation de l'ADSL 2. En gros, elle a abaiss le signal de 70 db (ADSL) en
78 db, permettant une distance de connexion suprieure puisqu'elle atteint 8 Km maximum mais au
dtriment de la vitesse qui descend 128 kb en mission et 512 kb en rception, soit des vitesses
comparables l'ADSL Lite. Le Readsl est commercialis en Europe depuis 2005.
6.4.4. VDSL et VDSL2
Ces technologies peuvent travailler en mode asymtrique ou symtrique (jusque 34 Mb/s une
distance maximale de 300 mtre). Dans le mode asymtrique, la vitesse de transfert peut atteindre
52 Mb/s en download et jusqu' 16 Mbs en upload. Seule la version asymtrique est rellement
utilise.
C'est la plus rapide des liaisons DSL. Sur une seule paire tlphonique torsade, elle autorise:
dbit descendant de 13 52 Mb par seconde
dbit ascendants de 1,5 2,3 Mb par seconde
En revanche, la longueur maximale de la connexion est limite 1,5 km pour des vitesses correctes
(5 Km maximum mais avec des dbits nettement rduits).
Le VDSL2 en cours d'instalation dans quasiment toute l'Europe et permet le transfert de la TV haute
dfinition. Elle permet des taux de transferts de 250 Mb/s maximum au central mais avec des
performances nettement rduite avec la distance (plus que 100 Mb par seconde 500 mtres et 50
Mb 1 KM du central en asymtrique. Au de l de 1,6 Km, les vitesses en mode asymtrique sont
identiques celles de l'ADSL 2.
Fin 2012, Belgacom dbute l'implantation de VDSL 2 avec une vitesse de 50 Mb/s: en changeant les
centraux mais aussi en ajoutant des bornes de proximit.
6.2.5. Tableau rcapitulatif des technologies DSL
Abrviation Dfinition Mode
Dbit Internet
-> PC
Dbit PC ->
Internet
Distance
maximum
Nombre
de
paires
HDSL
High data
rate DSL
symtrique
1.544 Mb/s
2.048 Mb/s
1.544 Mb/s
2.048 Mb/s
3,6 km
2 ou 3
suivant
le dbit
souhait
HDSL 2
High data
rate DSL 2
1.544 Mb/s
(USA) - 2 Mb/s
1.544 Mb/s
(USA) - 2 Mb/s
2,5 km 1
(Europe)
SDSL
Single line
DSL
128 Kb/s 2
Mb
768 Kb/s 3,6 km 1
SHDSL
Single-Pair
High-Speed
DSL
- 192 Kb/s
2,3 Mb/s (une
paire),
- 384 Kb/s to
4.6 Mb/s
(deux paires)
- 192 Kb/s
2,3 Mb/s (une
paire),
- 384 Kb/s to
4.6 Mb/s
(deux paires)
5 km
1 ou 2
suivant
le dbit
souhait
ADSL
Asymmetric
DSL
Asymtrique
128 Kb/s 8
Mb/s
16 640 Kb/s
5,4 km (6,5 en
rduisant la
vitesse)
1 ADSL 2 128 12 Mb/s
ADSL 2+ 128 24 Mb/s
16 Kb/s 1
Mb/s
5,4 Km
RADSL
Rate
Adaptive DSL
0.6- 8 Mb/s
128 kb/s-1
Mb/s
5,4 km 1
VDSL
Very high
data DSL
15-53 Mb/s
1.544-2.3
Mb/s
1,3 km 1
ReADSL
Reach
Extended
ADSL
512kb/s 128 kb/s 8 km 1
6.5. Ligne loue
Les lignes loues sont le mode de transfert le plus rapide mais en utilisant un nombre de paires
leves (maintenant remplaces par de la fibre optique). Trois normes distinctes sont utilises
suivant le pays (E pour Europe, T pour Etats-Unis et Japon).
Elles prsentent actuellement le dbit le plus lev mais le nombre de paires est nettement plus
leve (24 paires pour T1 et 32 paires pour E1 par exemple). Ces lignes connectent directement deux
points, sans passage sur des lignes partages d'o une plus grande scurit des transactions. Elles
peuvent galement tre utilise comme lignes tlphoniques via des terminaux tlphoniques
spciaux.
Dans le cas des fournisseurs d'accs europens, les types actuels sont:
E1 (2 Mb par seconde, distance de 50 km maximum)
E2 (8Mb / s)
E3 (34 Mb /s)
E4 (140 Mb /s)
Dans le cas du rseau amricain:
T1 1,544 Mb/s
T2 = 4 X T1 (6,312 Mb/s)
T3 = 7 X ligne T2 (44,736 Mb/s)
Pour le Japon, les deux premiers types sont identiques aux normes amricaines:
T1, identique la version amricaine
T2, identique la version amricaine: 6,312 Mb / seconde
T3 = 5 X T2 (32,064 Mb/s)
T4 = 3 X T3, soit une vitesse de 97,728 Mb/s.
6.6. Connexion INTERNET par satellite
La connexion INTERNET par satellite permet de se connecter quasiment partout, y compris loin
d'installations tlphoniques et mme en dplacement ( condition de repositionner la parabole vers
le satellite chaque fois).
Les premires connexions utilisaient un systme hybride: rception par la parabole, mission par
modem classique. Ceci permet d'utiliser des antennes standards mais n'est pas trs performant.
Les paraboles actuelles intgrent un module d'mission. En envoi, la vitesse varie de 128 kb/s 1024
kb/s pour 512 kb/s 8 Mb/s en rception (avec une limite thorique de 155 Mb/s). Pourtant, le
systme utilise des satellites gostationnaires, soit une distance de 35.786 km de la terre. Lors de
l'mission (ou de la rception), le signal parcourt d'abord cette distance vers le satellite puis est
renvoy vers la base de rception (soit un petit dplacement de plus de 70.000 kilomtres. L'cart
entre l'mission et la rception est de l'ordre de 700 millisecondes (temps de latence), peu pratique
pour le Voice Over Ip ou le jeu en ligne.
Le prix de l'installation est aussi nettement plus chre que les autres mthodes. Suivant les pays, les
abonnements sont finalement quivalents aux autres technologies, du moins pour les faibles
vitesses. En Europe, mieux vaut utiliser le systme 3 G (ou mme le 4G) pour la mobilit.
6.7. Cble TV.
Utilisant le rseau de tldistribution, le cble TV utilise toute la bande de frquence de 10 850
Mhz (sauf certaines utilises par les radio). Une grosse partie est utilise par les tlvisions en
regroupant les TV numriques par 8 avec une plage utilise de 8 Mhz chaque fois et les TV
analogiques qui utilisent elles aussi 8 Mhz mais chaque fois.
Deux plages sont rserves pour la connexion INTERNET:
Une plage montante large de 30 Mhz qui permet des dbits de 128 512 Kb/s
Une plage descendante avec une vitesse de download de 512 12.000 Kb/s, quivalent
l'ADSL2
Par contre, la bande passante Internet est partage entre plusieurs internautes mais avec moins de
connexion sur le central. Les performances sont quasiment identiques celles de l'ADSL2.
6.8. Connexion 3G et 3G+
Le 3G et son volution le 3G+ dcoulent au dpart de la tlphonie pour GSM, c'est leur principale
utilisation, mais permettent de transfrer des vidos lors des conversations tlphoniques ou mme
des donnes. Cette solution permet une vitesse de transfert thorique de 14,4 Mb/s d'une antenne
vers un rcepteur et de 5,8 mb/s dans l'autre sens.
La porte est limite quelques kilomtres. Le rseau belge actuel autorise des vitesses jusque 3,6
Mb/s sur les principales viles et centres industriels. Quelques rgions plus recules utilisent une
vitesse de 160 kb/s ou sont hors de porte. Cette solution peut tre implant sur un PC ordinateur
standard via carte USB ou PCMCIA.
6.8. Liaison ATM.
L'ATM (Asynchronus Transfer Mode) est un standard orient connexion (vrification des donnes
mises) depuis la fin des annes 80 pour le transfert haut dbit. C'est un protocole plus qu'une
connexion matrielle, utilisant des paquets de donnes de taille plus petite et fixe (appeles cellule)
de 5 octets (bytes) d'en-tte et 48 de donnes.
Le Flux est constant et l'utilisation de la bande passante optimale. Les liaisons ATM utilisent le QOS
(Quality Of Service) pour dterminer des priorits sur les messages envoyer. En absence de
donnes prioritaires transmettre, le protocole va intercaler des donnes moins prioritaires. Le
message n'est mis qu'une seule fois, la transmission des donnes tant considre comme sans
erreurs. En pratique, seule des connexions en fibre optique le permettent (mme si ce protocole
peut galement fonctionner sur d'autres supports rseaux en thorie)..
Le routage des cellule (messages) est implant en hardware, la diffrence d'un routage suivant le
protocole IP. Ceci explique que les routeurs ATM sont dsigns par le terme Switch. Ils sont la base
des backbones Internet.

7. Un Serveur rseau informatique.
7.1. Introduction aux serveurs - 7.2. Caractristiques externes - 7.3. Caractristiques internes - 7.4.
Configuration de base d'un serveur - 7.5. Mmoires Ram des serveurs - 7.6. Les ports internes - 7.7.
Les processeurs - 7.8. Les techniques multi-processeurs
L'utilisation d'un rseau local lourd informatique de type Windows 2000 / 2003 / 2008 / 2012, Linux
ou Novell Netware impose l'utilisation d'un ou plusieurs ordinateur(s) central (aux) appel serveur
rseau. Ils peuvent tre de tous types, y compris mainframe. Nous ne voyons ici que les serveurs PC
X86 compatibles, bass sur des processeurs Opteron, Xeon ou itanium. Mme si un serveur
informatique peut-tre un ordinateur standard (petit rseau de PME) et un serveur peut tre utilis
comme PC bureautique de haut de gamme, ces serveurs sont en majorit des ordinateurs spcifiques
reprenant diverses spcificits lies la vitesse, scurit des donnes et des applications installes.
La puissance doit tre suffisante pour l'application. Un serveur ne doit pas fonctionner plus de 10
% de charge en moyenne, sous peine de ralentir les utilisateurs et l'application. Selon l'utilisation, le
nombre d'utilisateur, la fonction du serveur (programme, fichier ou imprimante), la configuration
doit tre choisie en consquence, ni trop grosse (prix), ni trop petite.
Avec l'volution de l'informatique dans l'entreprise, l'ordinateur central et l'installation rseau
devient primordial, le moindre arrt de l'informatique provoque immdiatement l'arrt de l'usine
avec les consquences que l'on peut imaginer. Que cet arrt soit caus par un problme logiciel, une
panne hardware d'un serveur ou d'un concentrateur n'a pas d'importance au dpart. Le rsultat est
le mme pour l'entreprise: perte de production, de donnes, ... Un rseau informatique ne doit pas
s'arrter. S'il a prpar des solutions pour la majorit des causes de pannes, un bon technicien de
maintenance doit "se promener" dans l'usine. Un arrt, surtout s'il dure, se paye cash, autant
minimiser les dures.
7.2. Caractristiques externes
Diffrentes solutions externes peuvent tre utiliss sur les serveurs de haut de gamme:
Protection par cls des boutons d'allumage, reset, accs au lecteur CD et disquette, ... pour
viter des interventions non autorises.
Utilisation de rack 19", ce qui rduit l'encombrement mais permet galement des chemins
d'accs de cbles cachs et fixs, .. Les cbles doivent tre clairement tiquets.
Lame (Blade): carte globale sur laquelle s'enfichent des cartes reprenant un ordinateur
complet, ce qui rduit l'encombrement.
La partie externe est lie au botier et la fixation mcanique et ... aux techniciens, administrateurs
rseaux pour l'aspect cblage: pas de cble installs en vitesse dans les passages. Les salles
informatiques pour serveurs sont gnralement construites avec un faux plancher pour le passage
des cbles. Le systme anti-feux utilisait du halon, un gaz inerte mais toxique pour l'homme, interdit
en 2004 et remplac par l'Inergen, aussi un gaz, constitu de 52% dazote, 40% dargon et 8% de
dioxyde de carbone qui donne le mme effet mais n'est pas toxique. Ces salles sont gnralement
sous temprature contrle de 18.
Le raccordement lectrique passe par un UPS, alimentation ininteruptible (onduleur) qui assure une
autonomie en cas de coupure de courant mais protge galement contre divers problmes lis au
rseau. L'onduleur peut galement teindre proprement le serveur avec un logiciel ddi. Les plus
gros centres utilisent galement de gros groupes lectrognes en cas de panne prolonge ( partir de
5 minutes gnralement). Les concentrateurs (hubs, switch, ...) peuvent galement tre protgs.
7.3. Caractristiques internes
disques durs rapides, si possible multi-sessions: connexions SCSI et SAS pour les plus gros, S-
ATA pour les plus petits. La majorit des serveurs sont vendus par les grossistes et fabricants
SANS disques.
scurit des donnes en cas de "crash disk": ddoublement des disques durs par systmes
RAID
protection en cas de panne d'alimentation lectrique ou de baisse de tension: UPS
scurit des donnes en cas de panne complte du serveur ou perte de fichiers (sauvegarde
quotidienne)
Disques durs, cartes priphriques, alimentations, ... connectables / dconnectables "
chaud" (hot plug) et redondants en option. Ceci signifie que le priphrique peut tre
remplac alors que le PC continue de fonctionner.
Carte graphique intgre et pas de carte audio
Les disques durs sont gnralement de type SCSI ou SAS (ventuellement S-ATA). Gure plus
performants en stations que les disques durs E-IDE, part en temps d'accs, les connexions SCSI sont
plus performantes en multi-read (plusieurs demandes simultanes). Ils peuvent galement tre
redondant (RAID 1): les donnes sont crites sur plusieurs disques simultanment, la lecture ne se
fait que sur un seul. En cas de crash, on continue sur les autres disques. En cas de crash complte
d'un serveur, on peut coupler en permanence 2 serveurs de la mme manire. Tous ces systmes
sont dits RAID.
Ci-contre, l'intrieur d'un vieux modle Compaq base de Pentium 1, carte fille reprenant le
processeur, la mmoire et le chipset. Elle se connecte via un bus spcifique sur la carte mre qui
reprend un contrleur SCSI.
Pour les alimentations, on peut utiliser 2 alimentations redondantes (deddoubles). Chacune peut
alimenter l'ensemble de manire autonome. Pour les cartes internes, le PCI-X 64 autorise de retirer
ou d'insrer une carte sans couper la machine ( chaud) avec un systme d'exploitation compatible
(en pratique, tous les gestionnaires rseaux, par exemple Windows 2003). Le ddoublement d'une
installation informatique garantit la continuit de l'installation en cas de panne d'un composant, cela
s'appelle en informatique la redondance.
Au niveau des priphriques, les bandes de sauvegarde sont toujours le plus souvent employes avec
des vitesses de transfert bases sur le SCSI. D'autres solutions comme les NAS sont galement
utilises.
7.4. Configuration de base d'un serveur.
Par dfinition, un serveur n'est pas une machine ddie aux jeux ou aux traitement graphique: la
carte graphique et le lecteur CD / DVD ne sont pas des composants primordiaux pour les
performances. L'cran n'est pas non plus un modle multimdia de grande taille. C'est gnralement
un 15" qui tourne " vide". L'affichage et le lecteur CD sont rarement utiliss: installation, panne
critique, ... Selon le systme d'exploitation, le serveur peut (ou doit) tre configur via une station.
La mmoire doit tre suffisante (limite 4 GB maximum pour les systmes d'exploitation 32 bits),
les disques de capacits doubles, voire triples par rapport la capacit maximum effective que vous
utiliserez sur cette machine.
7.5. Mmoire serveur.
Par rapport aux mmoires traditionnelles, les barrettes de RAM des serveurs utilisent les mmes
technologies (DDR par exemple) mais avec des corrections d'erreur. Les serveurs actuels utilisent des
RAM ECC (Error Checking and Correcting ou Error Correction Code) qui utilisent plusieurs bits de
contrle de parit pour vrifier les donnes. Elles sont en plus auto-correctives. Une ECC dtecte 4
erreurs et corrige une sans arrter le systme. Les mmoires Ram AECC (Advanced Error Correcting
Code) peuvent dtecter et corriger 4 erreurs mais sont trs rarement utilises.
7.6. Bus internes.
Dans un PC traditionnel, les ports sont PCI 32 bits, AGP et PCI-Express.
Premire limitation, ils ne sont pas dconnectables chaud (Hot plug): pour remplacer ou installer
une carte, il faut teindre l'ordinateur. Ca ne pose pas de problme pour les petits serveurs sans
redondance puisque l'application ne peut pas fonctionner. Pour les serveurs de haut de gamme, les
cartes principales (rseaux par exemple) sont redondantes. En cas de panne, la fonction continue sur
une deuxime quivalente. Le Hot Plug permet la rparation sans arrts.
Deuxime limitation, le taux de transfert maximum sur un bus PCI est limit 132 MB/s sur
l'ensemble des connecteurs. Prenons une carte rseau Giga Ethernet (1000 Gb/s). Divisons par 10,
une valeur moyenne pour le taux de transfert en octets, a donne dj 100 MB/s rien que pour une
seule carte. La connexion des disques durs sur le mme port est finalement impossible, un SCSI 160
va lui tout seul utiliser ... 160 MB/s, soit plus que le bus ne peut transfrer. Ce bus est utilis pour
les cartes rseaux en fibre optique (2 canaux pour le bidirectionnel), Giga Ethernet sur cuivre (jusque
4 canaux sur la mme carte), et version SCSI 160 et 320.
Dvelopp conjointement par les principaux fabricants de serveurs rseaux (IBM, Compac, HP et
Intel), ces ordinateurs utilisent des bus PCI-X sur 32 ou 64 bits. C'est une volution du PCI standard
mais avec des vitesses d'horloge allant de 66 533 Mhz suivant les versions en 32 ou 64 bits (33 Mhz
32 bit pour la version standard).
La version PCI-X 1.0 (1999) est dveloppe en 6 versions.
Frquence du bus PCI-X
1.0
Tension
largeur du bus de
donnes
bande passante
66 Mhz
3,3 V
3,3 V
32 bits 264 MB/s
64 bits 528 MB/s
100 Mhz 3,3 V
32 bits 400 MB/s
64 bits 800 MB/s
133 Mhz 3,3 V
32 bits 532 MB/s
64 bits 1064 Mb/s
La version PCX-2.0, sortie en 2002, peut galement tre alimente en 1,5 V suivant les versions.
Frquence du bus Tension
largeur du bus de
donnes
bande passante
66 Mhz 3,3 V
32 bits 264 MB/s
64 bits 528 MB/s
100 Mhz 3,3 V
32 bits 400 MB/s
64 bits 800 MB/s
133 Mhz 3,3 V
32 bits 532 MB/s
64 bits 1064 MB/s
266 Mhz 3,3 V / 1,5 V
32 bits 1064 MB/s
64 bits 2128 MB/s
533 Mhz 3,3 V / 1,5 V
32 bits 2128 MB/s
64 bits 4256 MB/s
Les cartes PCI-X 32 bits peuvent tre insres dans un bus 64 bits (forcment pas l'inverse). Les bus
PCI-X sont directement connects sur le Northbridge du chipset, ce qui ncessite des cartes mres
(chipset) spcifiques.
Les ports PCI-X vont jusqu' 533 MHz. Ceci nous donne un taux de transfert de 533 * 8 (64 bits) =
4256 MB/s pour l'ensemble du bus. Gnralement, un serveur accepte galement 1 ou 2 port PCI 32
bits pour des cartes standards.
Avec les ports PCI-X, nous retrouvons les caractristiques attendues: rapidit et Hot plug (si le pilote
de la carte le permet). Une dernire prcision, ces cartes et l'implantation de ces bus sont chres et
complexes. Chaque serveur n'inclue pas d'office un PCI-X 533 Mhz (la majorit n'en implantent
mme plus depuis l'arrive du PCI-E 2.0). Il existe des cartes 33, 66, 100 et 133 Mhz. En plus, les
gros serveurs n'incluent pas un, mais 2 ou trois ports PCI-X spars. Ceci permet galement de
supprimer les goulots.
7.7. Microprocesseur serveur.
Pour les caractristiques effectives des processeurs ddis aux serveurs rseaux, vous pouvez vous
rfrer la page microprocesseur serveur ou aux Dual Core. Cette partie ne reprend que les cas
gnraux.
7.7.1. Introduction
Le processeur d'un serveur n'est pas d'office une bte de comptition. Sauf pour les serveurs de
programmes, les processeurs sont gnralement "faibles". Un serveur de Web peut utiliser un
Pentium IV ou mme un CELERON. Par contre, pour les serveurs d'application, les fabricants de
processeurs utilisent deux solutions: processeurs spcialiss et multiprocesseurs. Les deux sont en
partie lis.
Les processeurs actuels sont soit 32 bits (Intel Core Duo), soit 64 bits (Itanium), soit acceptent les
deux modes de fonctionnement (Xeon, Athlon 64 et Opteron). Pour augmenter les performances, les
processeurs 64 bits utilisent des jeux d'instruction diffrents. L'Itanium D'intel, full 64 bits,
n'acceptent que des systmes d'exploitation 64 bits spcifique acceptant l'assembleur IA-64. Ce sont
les versions Data Center de Windows 2003 et 2008. Les processeurs 64 bits d'AMD et le XEON sont
compatibles 32 et 64 bits suivant le systme d'exploitation utilis. Les registres internes ont t
allongs pour augmenter l'adressage mmoire maximum, quelques instructions spcifiques sont
galement utilises.
Une dernire chose, l'utilisation en bi-processeur ou plus ncessite un systme d'exploitation rseau
spcifique. Windows NT, 2000 et XP Pro acceptent deux processeurs. Seuls des versions spcifiques
des systmes d'exploitation ddis acceptent un nombre suprieur. Novell oblige une option
supplmentaire. UNIX - Linux est nativement multi-processeurs, si la fonction est implante en
fonction de la carte mre / OS. Les versions "home" des systmes d'exploitation Microsoft ne grent
pas le multi-processeur. Pour utiliser deux (ou plus) processeurs simultanment (avec une carte mre
qui l'accepte), les processeurs doivent tre de mme type et mme frquence et (en pratique) de
mme srie de fabrication: une limitation de taille pour des upgrades.
7.7.2. INTEL
Le processeur ddi serveur d'Intel est le XEON 32/64 bits. Par rapport aux Intel Dual-Core ou mme
I7, INTEL insre gnralement des caches L1 et L2 plus importants. Le socket et les chipsets sont
diffrents.
Les Itanium et Itanium II sont full 64 bits et ncessitent des systmes d'exploitation spcifiques.
Une dernire remarque, avec les Pentium IV 3.06 Ghz, INTEL inclue dsormais, lhypertreading (pas
sur les Intel Core mais rintroduit avec les I7). Cette technique permet dmuler deux processeurs
logiciels dans un seul processeur. Lavantage est li la vitesse mme si les diffrents tests sont assez
mitigs, notamment parce que lapplication doit tre ddie ce processus dans le cas de stations de
travail. Par contre, cette fonction est largement implante dans les ITANIUM et XEON.
L'arrive des processeurs Dual-core en 2005 et des premiers Xeon quadri-core en novembre 2006 et
mme 6 coeurs en octobre 2007 modifie encore un peu la donne, surtout que les Xeon grent
directement les bus PCI-E (comme les I7).
7.7.3. AMD
Depuis septembre 2001, AMD fabrique des Athlon capables de travailler en bi-processeurs (Athlon
MP), avec un chipset lui aussi spcifique. L'opteron utilise la mme architecture interne que les
Athlon 64 mais permet de connecter jusqu' 8 processeurs
simultanment.
L'Opteron, sorti en avril 2003, est la version serveur station
informatique de haute gamme. La diffrence par rapport aux
Athlon bureautiques est li au nombre de bus hypertransport que
ces processeurs sont capables de grer (1, 2 ou 3). La srie 100
utilise un bus et n'est pas multi-processeur. Les versions 2 bus
(srie 200) acceptent le bi-processeur, les versions 3 bus (srie
300) permettent nativement jusque 4 processeurs simultans,
jusque 8 avec un circuit spcifique. Les chipsets actuels acceptent les bus PCI-X, PCI-Express ou l'AGP
directement sur le northbridge (ces processeurs grent directement la mmoire, sans passer par le
chipset)..
D'abord dvelopp avec un socket spcifique de type 940, certaines versions utilisent l'AM2 (comme
les versions bureautiques). Les multi-processeurs prvus pour fin 2008 utiliseront un nouveau socket,
le type F.
7.8. Les techniques multiprocesseurs.
Distinguons d'abord le Dual-core du multiprocesseur. Dans le premier cas, deux processeurs sont
insrs dans le mme botier. Dans le deuxime cas, deux processeurs distincts (ou plus) sont insrs
sur la mme carte mre. Dans ce cas, les processeurs peuvent galement tre Dual-core ou plus.
C'est la deuxime mthode qui nous intresse. Travailler avec plusieurs processeurs simultanment
(dans la mme machine) ncessite forcment une carte mre compatible. Le principe doit permettre
de partager la mmoire, les accs disques et en rgle gnrale tous les bus internes.
L'utilisation de 2 processeurs simultanment est un peu plus rapide par rapport un dual-coeur
(quelques %), mais les prix sont nettement plus chres.
Deux techniques sont utilises: le SMP bus commut (Symetric multiprocessing) et le multi-
processing Numa. La diffrence entre les deux se rduit avec l'volution, les fabricants commencent
mlanger les deux.
Le SMP est surtout utilis dans un serveur pour un petit nombre de processeurs, le Numa s'adapte
mieux un grand nombre de processeurs.
7.8.1. SMP, type UMA (Uniform Memory Access)
L'architecture SMP consiste utiliser plusieurs processeurs partageant la mme mmoire et les
mmes priphriques internes. Un seul systme d'exploitation fait tourner l'ensembles des
processeurs. Un bus commun partag permet les accs la mmoire et aux priphriques.

Architecture SMP type UMA
Le bus systme est le point faible du SMP puisqu'il est utilis conjointement par tous les processeurs,
mme en augmentant la frquence de l'horloge. L'augmentation de la mmoire cache permet en
partie de limiter son utilisation.
Pour concevoir des plates-formes volutives (ajout de processeurs selon les besoins), les fabricants
de processeurs et serveurs rseaux ont travaill sur des architectures bus commuts, crant des
infrastructures d'interconnexion dont la bande passante peut tre augmente par paliers, grce
des commutateurs supplmentaires. Les composants lmentaires sont des cartes filles bi ou quadri
processeurs insres dans des connecteurs sur une carte centrale de fond. Sun a utilis cette
technique le premier avec un ordinateur utilisant 64 microprocesseurs simultanment. La carte
accueillant les cartes filles permet un dbit de 12,8 GB/s et permet d'enficher jusque 16 cartes
quadri-processeurs. Chaque ajout de cartes quadri-processeur voit l'ouverture de canaux
d'interconnexion supplmentaire et donc une augmentation de la bande passante. Dans le systme
SUN, la mmoire est localise sur chaque carte fille. Elle apparat donc comme rserve par carte
quadri-processeurs. En fait, tous les accs mmoire se font par le bus central, sur la mme carte fille
comme sur une autre. Par ce principe, la technique SUN ressemble une technique SMP. D'autres
constructeurs utilisent des techniques quivalentes.
7.8.2. Multi-processeurs Numa (No Uniform memory access)

Architecture NUMA
La technologie NUMA permet de regrouper des groupes de processeurs avec leur propre mmoire
ddie et de les relier entre-eux par des bus capable de dlivrer plusieurs giga bytes par seconde.
L'accs la mmoire n'est pas uniforme, un processeur n'accdera pas la mme vitesse sa
mmoire locale qu' celle ddie un autre processeur. Cette diffrence de dlais diminue,
regroupant ainsi les architectures UMA et NUMA. La mmoire est partage par l'ensemble des
processeurs. Ceci implique que le systme NUMA exploite une gestion des cohrences de la mmoire
cache capable de prendre en compte l'ensemble des processeurs attachs la plate-forme.
Le multi-processeur n'est pas uniquement lie la mthode utilise pour grer les bus de connexions
mais surtout la mthode pour optimaliser les transferts mmoire - processeurs.
Une dernire remarque, et de taille, en architecture NUMA, chaque processeur utilise son propre
systme d'exploitation, alors que dans le cas SMP, un seul systme d'exploitation tourne pour
l'ensemble des processeurs du serveur. Ceci ddie donc NUMA pour des systmes multi-
processeurs UNIX ou propritaires et SMP pour le monde des serveurs INTEL - Windows, mme si
l'Opteron utilise le NUMA de par son architecture interne reprenant le contrleur mmoire.


8. Disque dur SCSI, technologie RAID
8.1. Introduction - 8.2. Technologie SCSI - 8.3 Connexion de priphriques SCSI - 8.4. SAS (Serial
SSCI) - 8.5. RAID (Redundant Array of Independant Disk)- 8.6. Raid Hardware et software - 8.7.
Solutions RAID hardware
Les donnes (et son support principal, le disque dur) sont primordiales dans toute application
informatique. Dans le cas d'un serveur rseau, deux directions sont utilises pour augmenter la
vitesse et garantir la fiabilit en cas de panne d'un disque dur: l'utilisation de solutions SCSI pour le
stockage (plus performantes) et l'implantation du RAID. Les deux sont gnralement implants en
mme temps.
8.2. Technologie SCSI.
En premire anne, nous n'avons vus que le disque dur IDE et SATA. Cette anne, avec les serveurs,
nous nous intresserons aux disques durs et priphriques de type SCSI (Small Computer System
Interface). Par rapport aux priphriques IDE, elles ont plusieurs avantages.
1. Le nombre de priphriques connects sur la mme nappe est suprieur: jusque 15.
L'adresse se fait par pontage ou slecteur rotatif
2. multi-session. En clair, le disque peut excuter plusieurs applications en mme temps (ou
presque) et l'criture (ou la lecture) d'un fichier ne doit pas attendre la fin de l'opration
prcdente. Ceci est le cas par exemple lorsque l'on crit un gros fichier sur le disque dur, la
lecture suivante ne doit pas attendre pour dmarrer. SCSI est capable de grer
simultanment plusieurs requtes de lecture /criture en parallle (jusque 255), l'IDE qui ne
peut effectuer qu'une opration (compltement) la fois. Ceci ne fonctionne qu'avec un
systme d'exploitation compatible (Win 2000 ou XP Pro, Vista et Seven Pro (+ les versions
serveurs), Novell), l'exclusion des versions home et familiales de XP, Vista ou Seven.
3. Les connexions SCSI peuvent tre internes ou externes, les connecteurs actuels sont
d'ailleurs les mmes. Le transfert de donnes entre deux priphriques se fait directement
par DMA.
4. Ce mode de connexion inclut automatiquement un contrle d'erreur.
Tout ceci explique que les vitesses te transfert soient plus leves qu'en IDE (mme taux de
transfert thorique quivalent), avec des prix qui varient en mme temps.
Les normes ont volu, mais on rencontre encore quasiment toutes. NARROW se rfre un bus 8
bits, WIDE se rfre un bus 16 bits.
Normes SCSI
Taux
transfert
MB/s
maximum
Largeur bus
(en bits)
Longueur maximum cble SCSI
Nombre
conducteurs
Nb. max. connexion
(non compris la carte
contrleur) SE LVD HVD
ARROW SCSI 1 5 8 6 m - - 25 7
FAST NARROW
SCSI
10 8 3 m - - 50 7
Fast Wide SCSI
SCSI 2
20 16 3 m 12 m 25 m 68 ou 80 15
Ultra SCSI Narrow 20 8 3 m - - 50 3
Ultra SCSI Narrow 20 8 1,5 m - - 50 7
Wide Ultra SCSI 3 40 16 bits 3 m - - 68 ou 80 3
Wide Ultra SCSI 40 16 bits 1,50 - - 68 ou 80 7
Wide Ultra SCSI
SCSI 3
DIFFERENTIEL
40 16 bits - 12 m 25 m 68 ou 80 15
Ultra 2 SCSI
(Narrow)
40 8 bits 6 m - - 50 7
Wide
Ultra 2 SCSI
80 16 bits - 12 m 25 m 68 ou 80 15
Wide Ultra 160
Ultra 3 SCSI ou
SCSI 5
160 16 bits - 12 m - 68 ou 80 15
Wide Ultra 320
SCSI
320 16 bits - 12 m - 68 ou 80 15
Par comparaison
E-IDE ATA 133 133 16 bits -
80 fils
(connecteur
40)
2
Le taux de transfert, la longueur des cordons, le nombre de fils et de priphriques diffrent selon la
norme.
Ce qu'il est important de connatre pour commander un cordon ou un terminateur :
1. Le nombre de fils et le modle des connecteurs.
2. La norme SE, LVD ou HVD.
Tous les autres renseignements sont superflus sur le plan des connecteurs.
SCSI 1 (NARROW SCSI): Il est cod sur 8 bits seulement
SCSI 2 (WIDE SCSI) : Cod sur 16 bits il autorise un taux de transfert jusqu' 20 MB/s

Carte SCSI 2 Adaptec AH 3940. Cette carte est
identique une 2940 mais possde 2 canaux
internes distincts (RAID)
Connecteur SCSI2 interne
SCSI 3 (ULTRAWIDE SCSI) : permet des taux de transfert de 40 MB/s
SCSI 3 DIFFERENTIEL : utilise du cble de trs bonne qualit appair, le signal est transfr en
deux signal par paire (+ et invers). Deux types de chanes diffrentielles sont utilises:
le HVD (High Voltage Differential) qui utilise une tension de 5 volts permet datteindre des
longueurs de 25 mtres pour seulement 6 mtres en UltraWide.
le LVD (Low Voltage Differential) qui utilise une tension de 3,3 volts accepte des longueurs
de cbles entre priphriques jusqu' 12 m. avec des nappes, cordons, terminateurs internes
comme externes spcifiques.
Le connecteur est spcifique chacune des 3 normes Ultra Wide, HVD et LVD:l'impdance des
cordons et les nappes internes sont galement diffrentes. Les rsistances de terminaison aussi sont
diffrentes. Le mlange des cordons et terminateurs sont dconseills (principalement en HVD). Par
contre, la norme LVD accepte la connexion de priphriques non LVD sur la carte contrleur mais
aussi de connecter des priphriques LVD sur une carte contrleur non LVD mais avec un dbit plus
faible.
L'Ultra 2 SCSI LVD est une extension du SCSI 3. De nouveau, cette norme utilise deux fils pour
transmettre le signal en diffrentiel Cette mthode est galement utilise en liaison Ethernet (entre
autre). Les cordons LVD doivent de haute qualit et la bonne impdance. La vitesse maximum
thorique est de 80 MB/s.
La norme Ultra 3 SCSI ou Ultra 160/m ou SCSI 5 (SCSI PARALLEL INTERFACE SPI-3):
LUltra 160/m est une implantation spcifique de la norme Ultra 3 SCSI et ne retient que 3
caractristiques:
1. Taux de transfert de 160 MB/s au lieu de 80 par rapport lUltra 2 SCSI.
2. Au dmarrage, test du bus par le contrleur qui permet de dterminer la vitesse de transfert
en fonction des diffrents priphriques connects sur la chane. Ici aussi, la qualit des
cordons et terminateurs est dterminante pour les vitesses de transferts.
3. Contrle de redondance cyclique (CRC) pour le contrle derreurs de transmission. Le
"160/m" indique que la norme est manageable - administrable (test physique et CRC).
LUltra 3 SCSI est uniquement LVD et utilise les mmes connecteurs, cordons et rsistances de
terminaisons que l'Ultra 2 mais de meilleure qualit pour permettre une vitesse suprieure.
Manageable, l'Ultra 160/m permet la gestion de priphriques de vitesse infrieures mlangs, par
exemple des priphriques 80 MB/s pour lUltra 2 SCSI et 160 MB/s pour le 160/m, le bus adaptant
sa vitesse en fonction du priphrique de transfert. Un contrleur Ultra 2 SCSI accepte galement un
mlange de priphriques des deux normes mais la transmission est uniquement de 80 MB/s. Ces
deux normes sont donc compatibles.
La norme Ultra 320 SCSI (SCSI PARALLEL INTERFACE SPI-4) :
Gardant les spcifications de l'Ultra 160/m, elle permet en plus:
Transfert dunits dinformation et plus d'un bloc une vitesse de 320 MB/s
Meilleur gestion des temps d'inertie en multiplexant les tches dentres/sorties,
notamment au niveau du BUS FREE (libre). Cette mthode exploite mieux les canaux
disponibles et simplifie les transferts.
Le signal est rectifi par rapport au signal dhorloge en compensant les diffrence de dlais
de transmission sur les diffrents fils de la nappe (skew compensation).
DB 25
Centronix 50 mle externe (plus de pin que le connecteur centronix imprimante standard)


SUB 50 mle

Connecteur DB68HD
8.3. Connexion de priphriques SCSI
Les types de priphriques qui sont connects en SCSI sont
Disque dur (interne ou externe)
Sauvegarde sur bandes (DAT, DLT, ...) en interne ou externe
Scanner (externe)
Le choix du numro de priphrique se fait soit par pontage, soit par un slecteur rotatif. L'adresse
doit tre unique sur un mme cble ou plutt sur un mme contrleur. En effet, les priphriques
internes et externes partagent gnralement le mme contrleur.
La fin de la liaison des priphriques externes doit se terminer par une rsistance de terminaison
spcifique au type de connexion SCSI. En effet, pour les priphriques externes, la connexion est
chanes. On dbute du contrleur vers le priphrique. Le cble suivant passe du priphrique au
priphrique suivant. Dans certains priphriques, la terminaison est inclue dans le priphriques
(pontage insrer pour l'activer).
Les cbles standards internes reprennent gnralement seulement 3 connecteurs mais des modles
reprenant plus de priphriques se trouvent dans le commerce.
Gnralement, on ne mlange pas les priphriques SCSI de diffrents types, nanmoins des
terminaisons spciales permettent de chaner des priphriques NARROW (50 pin) avec des ULTRA
WIDE (68 pin), tant en interne qu'en externe.
8.4. SAS (SERIAL SCSI)
Cette solution d'interface de disque dur et
priphriques de sauvegarde rseau date de 2004.
C'est l'implantation d'une connexion srie pour les
disques durs SCSI. Premire chose, un contrleur
SAS peut grer des priphriques SAS et SATA via
le connecteur ci contre. En revanche, un
contrleur SATA implant dans les ordinateurs
standards ne peut pas utiliser de priphriques
SAS puisqu'ils ne grent pas le protocole SCSI (les
connecteurs sont aussi diffrents.
De nouveau, on retrouve les caractristiques SCSI avec
des possibilits de connexions internes et externes et
des possibilits de contrle suprieures. Ca s'arrte l
puisque le nouveau standard ne relie plus jusque 15
priphriques sur la mme nappe mais bien une
nappe par priphrique. Avec une transmission srie,
le nombre de fils a aussi diminu mais quelques
surprises puisque les contrleurs permettent de
dbuter avec 1 cble 4 canaux pour connecter 2, 4 ou
plus disques durs. Certains disques acceptent
galement d'tre commands par deux contrleurs simultanment (mais ce n'est pas le plus courant)
via des cartes additionnelles installes dans des rack et via un numro SID (comme pour les anciens
SCSI). La majorit de ces disques sont livrs dans des racks permettant de les dconnecter
directement d'une armoire. En effet, comme pour les SATA, ils sont hot-plug (dconnectables
chaud).
La vitesse de transfert est de 300 MB/s
actuellement (comme le SATA) mais pourrait
sembler infrieure celle des Ultra SCSI (320
MB/s), pourtant, dans cette technologie, la bande
passante est rserve un seul priphrique et
non plus un groupe (15 maximum pour les
anciens standards). Elles devraient suivre les
volutions du SATA pour passer 600 MB/s
(mme si les disques durs ne suivent pas ces
vitesses de transfert. De nouveau, les vitesses de rotations sont quivalentes celles des
quipements professionnels puisqu'elles varient de 10.000 15.000 tours par minutes (contre 5400
pour les PC portables de bas de gamme en 2,5" et 7200 en standards pour les disques durs utiliss
dans les tours standards). En externe, la longueur du cble est de 5 mtres, 2 mtres en interne. La
dernire norme en cours de finalisation permet des transferts 600 Mb/s mais augmente aussi la
distance (jusqu' 20 mtres avec des fils de cuivre mais aussi 100 mtres en fibre optique).
D'autres quipements acceptent galement cette interface comme les sauvegardes sur bande,
remplaant les anciennes interfaces.
8.5. RAID (Redundant Array of Independant Disk).
Le RAID permet de regrouper plusieurs de disques durs de mme type ensemble. En cas de panne
d'un disque, Le RAID (sauf le 0) permet de reconstruire les donnes en utilisant les informations des
autres disques. La solution peut tre hardware ou software, ventuellement un mlange des deux.
Le RAID utilise un contrleur de disque dur particulier et un systme d'exploitation compatible (ce
qui en pratique est le cas via un pilote pour tous les systmes d'exploitation actuels). Cette technique
est majoritairement implante en SATA sur les cartes mres actuelles mais avec des contrleurs
spcifiques pour le SCSI et SAS. Les systmes d'exploitation rseau grent galement un RAID logiciel
qui utilise le processeur pour simuler le Raid, donc plus lent.
Avant de dbuter, le RAID n'est pas une sauvegarde de donnes, c'est ( part le 1) une scurit si un
disque dur tombe subitement en panne.
8.5.1. RAID 0 (striping)
Le RAID 0 couple deux disques durs (ou plus) en ligne le schma ci-dessous e reprend 4, mais ce n'est
pas la solution la plus courante. Les donnes sont dcoupes la suite les unes des autres pour tre
inscrite sur les disques la suite des autres sont crites. L'avantage est le taux de transfert amlior.
Par contre, la panne d'un seul disque dur entrane la pertes de toutes les donnes
Le transfert est rparti sur tous les disques, ce qui permet d'additionner les dbits de chacun. Chaque
accs en lecture ou en criture s'effectue en parallle. Cette solution est aussi utilise pour les
mmoires Ram en Dual Chanel
La capacit globale est gale la somme de celles de tous les disques durs (la capacit de chacun doit
tre gale).

8.5.2. RAID 1 (Mirroring)
En criture, les donnes sont copies intgralement sur deux disques durs. Les donnes sont donc
parfaitement identiques. En lecture, seul un disque est utilis. C'est la mthode la plus scurise amis
au prix d'une perte de capacit de stockage. Il correspond au Mode logiciel "Miroir" de Windows
2000/2003/2008 Server.

Ecriture Lecture

8.5.3. RAID 2
RAID 2 repose sur une grappe avec plusieurs disques de parit et une synchronisation des accs.
Cette technologie complexe est peu utilise. C'est finalement un RAID 0 avec un contrle des
donnes intgr (technique ECC) sur des disques durs supplmentaires (gnralement trois disques
de contrle pour quatre disques de donnes). Cette technologie n'as pas t rellement
commercialise.

8.5.4. RAID 3
Le RAID 3 est identique un RAID 0 mais avec un disque qui sauve la parit. En cas de panne du
disque de parit, l'ensemble est strictement un mode 0. Par contre, en cas de panne d'un autre
disque, les donnes sont reconstruites, le disque parit reprenant la place du dfectueux.
Dsavantage, le disque de parit est deux fois plus sollicit que les autres.

8.5.5. Le RAID 4
RAID 4 est similaire au RAID 3 mais gre la parit diffremment, par blocs de donnes. De nouveau,
c'est le disque de partit qui travaille le plus.

En criture, les donnes sont dcoupes en petits blocs et rpartis sur les diffrents disques de
donnes. Simultanment, le contrle de parit est inscrit sur le disque spcifiques
Ecriture Lecture :

Avantages : Inconvnients :
Bonne tolrance de panne.
Rapport capacit/ performance/ prix
intressant.
En lecture, les performances sont
similaires au RAID 0
Dgradation des performances lors de la
mise jour des donnes de parit, qui est
moindre en Raid 5
8.5.6. Le RAID 5
RAID 5 est similaire au RAID 4, sauf que la parit est distribu sur l'ensemble des disques, supprimant
ainsi la perte de performante lie l'criture continuelle sur un mme disque dur. Ce mode est
quivalent l'agrgat par bandes avec parit sous Windows 2000 ou 2003 Server. Lors d'un change
chaud (hot plug) ou d'une panne d'un disque dur, les donnes sont recres partir des autres
disques durs.

Avantages: Inconvnients:
o Bonne tolrance aux erreurs
o Enormment d'implantations
commerciales
o Hot-spare
o Hot-plug
o 3 disques au minimum
o En cas de problme, remise en ordre
assez lente
o En cas de panne d'un disque dur, on
revient en mode 0.
Applications:
Les applications qui utilisent des donnes alatoirement sur de petits disques, les bases de
donnes par exemple
Le RAID 5, la solution idale? Oui et non. D'abord, si un disque dur tombe en panne, le systme va
reconstruire les donnes mais ce n'est pas immdiat. Il va commencer par les parties demandes via
le rseau ou l'ordinateur. Ceci va fortement rduire les performances du serveur pour les utilisateurs
puis le serveur va durant son "temps libre" reconstruire le reste des donnes. Ca peut prendre
suivant les capacits de disques durs et les performances du processeur des heures. De toute faon,
la perte d'un disque dur entrane automatiquement le systme en MODE 0. Pensez changer le
disque dfectueux le plus tt possible.
8.5.7. Orthogonal RAID 5
L'Orthogonal RAID 5, dvelopp par IBM, est similaire au prcdant mais utilise un contrleur par
disque. Il est gnralement assimil au RAID 5.
8.5.8. Les autres RAID
Les autres systme RAID ne sont que des volutions du RAID 5 et sont peu utiliss: cots levs et
difficile implanter:
RAID 6 utilise une double parit. Ce systme accepte deux disques durs en panne, mais avec
des performances moindres.
RAID 7 (dpos par Storage Computer Corporation) utilise plusieurs disques durs pour les
donnes coupls avec 1 ou plusieurs disques de parit. Dans ce mode, c'est un
microcontrleur qui effectue les calculs de parit et la rpartition des donnes. L'volution
des performances est de 50 % par rapport au 5.
RAID 10 intgre le striping (RAID 0) avec le Mirroring (RAID 1), en gros la vitesse du Raid 0
avec la scurit du Raid 1.
8.6. RAID hardware et software.
Les systmes d'exploitation "professionnels" de Microsoft grent le RAID logiciel: Windows NT, 2000,
2003 et 2008 en version serveur grent le RAID 0, 1, 5
Netware gre en mode natif le RAID 1
Linux gre les RAID 0, 1, 4 et 5
Les sries "amateurs" (DOS, WIN95/98/Me et XP Home) ne grent pas le RAID.
Cette mthode permet au systme d'exploitation de grer le RAID sans contrleur ddi, mais la
partition d'installation de OS est d'office seule (pas couple), ce qui fait perdre de l'espace mais
oblige en plus travailler avec des partitions.
8.7. Solutions RAID hardware.
Diverses cartes sont proposes sur le march de solutions RAID pour disques durs SCSI et SAS
(notamment ADAPTEC). Actuellement les cartes mres standards incluent directement des solutions
RAID en IDE ou S-ATA. Cette dernire possibilit permet d'installer les RAID 0 et RAID 1,
ventuellement du 5.

9. Sauvegarde sur bande et stockage rseau

1. Types de lecteurs de bande magntique - 2. Sauvegarde DAT - 3. AIT et SAIT - 4. Cartouches 8 mm
- 5. DLT - 6. S-DLT - 7. LTO et Ultrinium - 8. Librairies de bandes - 9. REV Iomega - 10. Sauvegarde sur
disque dur (NAS - SAN et iSCSI) - 11. Cloud computing - 12. Stratgie de backup

Aprs avoir tudi en premire les mthodes de sauvegarde standard, voyons les mthodes de
sauvegarde des donnes (backup) des serveurs informatiques. Pas utiliss pour les PC personnels, les
lecteurs de bande sont la principale mthode de sauvegarde des serveurs informatiques. Les
technologies permettent des vitesses de transfert jusqu' 540 MB/s (LTO) avec des capacits
dpassant plusieurs Tetra (1000 GB).

Les disques durs serveurs en RAID donnent un semblant de sauvegarde, ou plutt un faux sentiment
de scurit: les donnes en cas d'un crash de disque disque peuvent tre rcuprs sous certaines
conditions (RAID 1, RAID 5) mais pas en cas de corruptions de donnes, effacement de fichiers
accidentel (ou non), .... Si la scurit des donne est importante sur une station professionnelle, le
problme est nettement plus important dans le cas de serveurs rseaux. Premirement, les
utilisateurs font entire confiance au rseau (et surtout son administrateur) pour les donnes: les
sauvegardes sont normalement quotidiennes sur les serveurs. Deuximement, les applications
rseaux sont souvent trop grosses pour tre sauvegardes individuellement (place, droits d'accs et
privilges, ...)

Les utilisateurs doivent se dconnecter du rseau lorsqu'ils quittent le travail. Si un fichier est utilis
par une application, il ne sera pas enregistr par le backup. Avec le RAID 1, nous pouvons par
exemple dconnecter un disques dur des utilisateurs (mme si cette possibilit n'est rellement
accessible que sur les serveurs rseaux de haut de gamme). Un disque est donc accessible en pour
les utilisateurs tandis que le deuxime est rserv au backup. Lorsque la sauvegarde est termine, les
2 disques Raid sont resynchroniss pour reprendre le fonctionnement normal.
1. Type de lecteurs sur bandes magntiques.

En premire anne, nous avons dj vu la sauvegarde sur bande pour les stations de travail. Dans le
cas d'une station, les choix sont multiples: disquettes (?), graveurs, DVD-Rom, Zip, ... et les bandes
sont ... peu utilises. Par contre, les lecteurs de bandes permettent de faire les sauvegardes sans
interventions de l'utilisateur des jours et heures bien prcis. Cette possibilit, complte par le prix
de revient d'une bande au MB, la rend pratiquement incontournable comme solution pour les
serveurs. En couplant des bandes dans des "chargeurs" appels librairies, on augmente encore la
capacit. La connexion est systmatiquement en SCSI ou SAS, soit avec des appareils externes, soit
internes (les vitesses sont identiques).

Diffrentes technologies de lecteurs ne sont plus utilises (obsoltes) comme les srie AIT et SAIT et
8 mm. Les dveloppements futurs penchent plutt vers des applications hberges sur Internet, ce
qui va encore rduire les types utiliss.
2. Sauvegarde DAT

Le DAT est dpart dvelopp pour remplacer les cassettes audio analogiques par un standard audio
digital, avec une qualit audio CD. Avec le standard DDS (Digital Data Storage), Hewlett Packard et
Sony le transpose en technologie informatique en 1989. Le DAT utilise des cassettes de 4 mm de
large. L'criture / lecture se fait de manire elliptique (l'criture n'est pas perpendiculaire la bande
mais dcale comme pour les cassettes vido). Cette mthode est plus lente que le modle linaire
mais permet d'augmenter la capacits de donnes.

L'criture se fait par groupes de 128 KB, correction d'erreur comprise. Lors de la lecture, la bande
rcupre l'entiret des donnes groupe (correction comprise) avant de restaurer les donnes sur le
disque dur.

En DAT, deux mthodes d'inscriptions sont utilises, le DDS (le plus courant) et le DataDAT (obsolte
et plutt rserv au multimdia). Le mcanisme des lecteurs est identiques mais pas l'encodage des
donnes. Les deux sont incompatibles.
Standard Anne Capacit Taux de transfert max.
DDS-1 1989 2 / 4 GB 0,55 / 1,1 MB/s
DDS-2 1993 4 / 8 GB 0,55 / 1,1 MB/s
DDS-3 1996 12 / 24 GB 1,1 / 2,2 MB/s
DDS-4 1999 20 / 40 GB 1,1 / 2,2 MB/s
DDS-5 2003 36/72 GB 1,5 / 3 MB/s
DDS-6 2007 80/160 3,5 / 6,9 MB/s
DDS320 Fin 2009 160/320

DDS5 (aussi appel DAT72) peut utiliser les bandes DdS3 et DDS4. Les dernires technologies sont
principalement dveloppes par Hewlett PAckard.
3. AIT et SAIT

Dvelopps par Sony depuis 1996, les capacits des lecteurs de bandes AIT varient de 35, 50, 100,
150, 200 GB ou 400 GB en mode non-compress. Une version 800 GB (non compress) est en cours
de dveloppement (2007). Pour le petit modle, il est directement en concurrence avec le DAT (plus
lents) ou les DLT. En 2008, Sony a stopp tout dveloppements de ces deux technologie pour se
consacrer au DAT en collaboration avec HP.

Ces appareils de sauvegarde peuvent tre interfacs suivant les versions en USB, Firewire et SCSI
pour les modles externes, Srial ATA, Parallle ATA, SCSI pour les modles internes.

Six modles sont dvelopps suivant la capacit de sauvegarde et la vitesse de transfert. Chaque
modle peut tre fourni en mode standard ou en mode turbo (augmentation de la vitesse de
transfert).

Ces lecteurs de bandes sont reconnus par la majorits des logiciels de back-up sur le march. Les AIT
une une compatibilit ascendante. Chacun peut lire utiliser (lecture / criture) les modles infrieurs.
A partir de la version 4, ils sont compatible avec la mthode WORM (Write Only / read Many) qui
permet une seule criture, utilise dans la conservation des documents officiels en industrie.

La technologie SAIT dcoule du AIT avec une plus grande capacit, mais ne permet pas d'utiliser les
bandes AIT.
Norme Capacit standard / compress (*) Taux transfert normal, compress (*) Format type
de bandes MTBF
AIT1 35 / 90 GB 4 MB /s (10) 3"5 8 mm AME 300.000
AIT2 50 / 130 GB 6 MB / s (12) 3"5 8 mm AME 300.000
AIT3 100 / 260 GB 12 MB / s (31) 3"5 8 mm AME 400.000
AIT-3Ex 150 / 390 GB 18 Mo/s (46) 3"5 8 mm AME 400.000
AIT4 200 / 520 GB 24 Mo/s (62) 3"5 8 mm AME 400 000
AIT5 400 / 1024 GB 24 Mo/s (62) 3"5 8 mm AME 400 000
SAIT1-500 500 GB / 1,3 TB 30 MB /s (78) 5"25 1/2 AME 500.000
SAIT2-800 800 GB / 2 TB 45 MB /s (117) 5"25 1/2 AME 500.000

(*) le taux de compression utilis est 2,6:1, les appareils concurrents annoncent gnralement une
compression 2:1 plus raliste.
4. Cartouches 8 mm.

Les cartouches 8 mm ont t dveloppes au dbut pour les vidos: transfert d'images en haute
qualit couleur sur bande pour sauvegarde. Similaire au DAT, mais gnralement de plus grosse
capacit, les 8mm utilise galement la technologie hlicodale.

Deux standards sont utiliss suivant le systme de compression: Exabyte Corporation et son standard
8 mm et le mammoth dvelopp par Exabyte et Sony. Ces modles ne sont plus livrs (2007).

Standard Date commercialisation Capacit (non compress / compress) Interface
Taux de transfert max.
Standard 8 mm 3,5 / 7 GB SCSI 32 MB /min.
Standard 8 mm 5 / 10 GB 60 MB /min.
Standard 8 mm 7 / 14 GB 60 MB /min.
Standard 8 mm 7 / 14 GB 120 MB /min.
Mammoth 1996 14 / 28 GB
Mammoth-LT 1999 20 / 40 GB 360 MB /min.
Mammoth-2 2000 50/100 GB 1,8 GB/min.

Pour rappel, le MTBF est le Mean Times between Fealures, le temps moyen entre deux pannes.
5. Le DLT

Dvelopp dans les annes 1980 par DEC (Digital, rachet par Compaq) pour ses micro-ordinateurs
VAX, la technologie DLT est rellement apparue en 1989. Cette technologie a t rachete en 1994
par Quantum. D'autres fabricants utilisent cette technologie en OEM.

Les lecteurs DLT utilisent une cartouche plus petite que les bandes 8 mm. La bande est dcoupe en
pistes parallles sur toute la longueur. Chaque criture utilise deux pistes (donnes et correction).
Lorsque la fin de la piste est rencontre (fin de la bande), les ttes sont repositionnes sur une
nouvelle paire de pistes et la sauvegarde continue en revenant par l'arrire) jusqu' ce que la bande
soit complte (par aller - retour). Les bandes courantes incluent 128 ou 208 pistes.

La technologie DLT est unique dans l'implantation des ttes. L'implantation des 6 guides assure un
droulement de la bande hlicodal (au mme titre que les technologies ci-dessus), assure un
excellent contact bande / tte. Ceci est associ 2 guides qui ne font que le nettoyage de la bande et
ne sont pas motoriss. Ceci assure une dure de vie des ttes de 30.000 heures, pour 2000 dans le
cas des DAT
Dnomination Capacit GB (compress) cartouches Connection Taux de transfert
max. compress (MB/s)
DLT 2000 15 (30) - SCSI 2,5
DLT 4000 20 (40) 3
DLT 7000 35 (70) 20
DLT-4 (VS-80) 40 (80) DLTtape IV Wide Ultra SCSI-2 6
DLT-4 (VS-160) 80 (160) DLTtape VS1 16
DLT-V4 160 (320) DLTtape VS1 20
DLT-S4 800 (1600) DLT-S4 Ultra-SCSI 320 120

Seuls les 4 derniers sont encore commercialiss (2006).
6. Super DLT

Les tapes Super DLT sont galement fournies par Quantum, d'autres fabricant les fabriquent sous
licence. Ces bandes augmentent la capacit des bandes DLT. Dans ce cas, les ttes de lecture
/criture sont contrles par faisceau laser (Technologie LGMR - Laser Guided Magnetic Recording).
En lecture, ces bandes de sauvegardes acceptent gnralement les mdia infrieurs. SDLT 600 est
compatible WORM.
SLDT 220 SLDT 320 SLDT 600
Capacit de base 110 GB 160 GB 300 GB
Capacit compresse
(2:1 de compression) 220 GB 320 GB 600 GB
Taux de transfert (DTR) 11 MB /s 16 MB /s 36 MB/s
DTR compress 22 MB /s 32 MB /s 72 MB /s
MEDIA SDLT I SDLT I SDLT II
INTERFACE Ultra2 SCSI LVD
HVD Ultra2 SCSI
Ultra 160 SCSI Ultra 320 SCSI
DATE 2001 (Plus fabriqu) TR1 2002 TR3 2003
7. LTO (Linear Tape Open), Ultrium

La technologie LTO a t dveloppe conjointement par IBM, HP et Quantum. L'implantation de
cette norme est appele Ultrium. Les diffrentes normes sont grs par un groupement, le LTO-
Technology qui s'occupe de la normalisation et de l'octroie des licences. Six gnration sont
dveloppes, mme si la 5 et la 6 sont plus l'tat de projet qu'en cours de normalisation.

C'est actuellement la technologie de sauvegarde la plus performante, tant en capacit qu'en vitesse
de transfert.

La bande est divise en 4 zone sur l'ensemble de sa longueur, numrotes de 0 3. Chaque piste est
entoure de deux bandes servozones permettant d'aligner la tte, y compris en cas de lgre usure
de la bande. L'criture utilise d'abord la piste 0 sur l'ensemble de la bande. Une fois arrive la fin,
elle reprend en sens inverse sur la piste 1, et ainsi de suite.
Norme LTO-1 LTO-2 LTO-3 LTO-4 LTO-5 LTO-6
Capacit non compresse 100 GB 200 GB 400 GO 800 GB 1,5 TB 2,5 TB TB
Capacit compresse 2:1 200 GB 400 GB 800 GO 1,6 TB 3 TB 5 TB
Vitesse de transfert non compress 20 MB/s 40 MB/s 80 MB/s 120 MB/s
140 MB/s 160 MB/s
Vitesse en mode compression 40 MB/s 80 MB/s 160 MO/s 240 MB/s 280
MB/s 400 MB/s
Interface SAS SAS
Date de sortie 1998 2002 2004 2007 2010 2012

La version LTO-4 peut lire et crire sur les bandes LTO-3, seulement lire les LTO-2.
9.8. Chargeurs de bandes

Les librairies sont des regroupements de lecteurs qui permettent d'utiliser plusieurs bandes
simultanment dans un chargeur externe.

S'ils peuvent tre utiliss comme solution standard, la principale utilisation est de conserver des
donnes qui ne sont pas trop (ou pas souvent) utilises mais doivent rester accessibles aux
utilisateurs. Les fichiers sont reconnu comme sur un disque dur mais sont physiquement enregistrs
sur des bandes. A la demande, le fichier est retransfr sur le disque dur. Le programme d'auto
archivage transfre priodiquement tous les fichiers qui ne sont plus utiliss depuis un certain
(gnralement, l'auto archivage se fait tous les jours).
9.9. REV Iomega (obsolte)

Destin concurrencer les bandes de sauvegarde DAT et remplaant les lecteurs Jazz, le REV
d'Iomega a de nombreux avantages. Le lecteur REV utilise des cartouches amovibles de 35 GB (90 B
en compress), soit la capacit des plus gros lecteurs DAT. Internes, ils sont interfacs en IDE, SATA,
SCSI. Dans tous les cas, la vitesse de transfert est maximum de 25 MB / seconde. Les REV sont
galement disponibles en version externe (interface SCSI, Firewire (Mac) ou USB). Le logiciel de
sauvegarde associ permet une utilisation tout fait identique aux bandes de backup.

Le gros avantage vient du prix de l'appareil, dans les 400 pour prs du double pour un lecteur DAT,
mme si interfacs en SCSI 160, ceux-ci sont thoriquement plus rapides. C'est la solution idale
actuelle pour le backup de petits serveurs de fichiers, mme si le prix des cartouches (50 environ)
sont plus chres que le prix d'une simple bande DAT. Comme le SATA et l'IDE sont implants en
standard dans les PC courants, cette solution peut galement tre utilise dans les stations de travail.
9.10. San, NAS et iSCSI

Le stockage des fichiers sur le disque dur d'un serveur ne fait finalement que de la distribution de
fichiers mais implique des licences utilisateurs Windows plutt chres. Les deux solutions suivantes
vont annuler ces licences.
9.10.1. NAS (Network Attached Storage).

Schmas de fonctionnement d'un NASUn NAS est constitu d'un ou plusieurs disque(s) dur(s) en
Sata, PATA ou plus rarement en SCSI (RAID ou non), d'une connexion Ethernet, d'un microcontrleur
et d'un systme d'exploitation Linux (pas de licences utilisateurs). L'administration se fait
directement via une interface Web et se rduit aux droits d'accs des utilisateurs, au paramtrage
TCP/IP de la carte rseau, ventuellement du serveur DHCP. C'est point fort de ces quipements, la
facilit de mise en route le prix (pas de licence Windows).

En option pour les appareils de haut de gamme, disques durs Hot Plug (extractibles chaud), RAID,
synchronisation des droits d'accs avec les privilges utilisateurs du serveur Windows, ... Un exemple
de configuration NAS.
9.10.2. SAN (Storage attached Network).

Schma de fonctionnement d'un SANSi un NAS est directement attach au rseau, le SAN se
positionne comme mmoire de masse supplmentaire pour un ou plusieurs serveurs. Dans cette
configuration, disques et bibliothques de bande sont directement connects ces serveurs par une
connexion en Fibre optique. Normalement, tous les disques et bibliothques de bande sont visibles
par tous les processeurs. La fonctionnalit de Zoning permet d'isoler des ensembles de disques et
bibliothques des autres ensembles. Les disques sont donc accessibles depuis plusieurs serveurs
simultanment.

Le protocole de communication entre les serveurs et le SAN utilise le fibre Channel, c'est un
protocole de communication qui permet d'envoyer des commandes des disques SCSI encapsules
dans un protocole rseau. Cette mthode permet des transferts rapides. Pourtant, la difficult
mettre en place ce type de stockage le rserve uniquement aux grandes entreprises.

La diffrence entre un NAS et un SAN est juste au niveau des accs, directement via le rseau pour
un NAS, par l'intermdiaire des serveurs (y compris privilges utilisateurs pour un SAN.
9.10.3. ISCSI

La mise en place de SAN bass sur le Fibre Channel est complexe et demande des comptences
spcifiques. IBM et Cisco ont dvelopp une autre approche du stockage rseau en utilisant le TCP/IP
comme protocole rseau et en encapsulant des commandes SCSI dessus. Cette mthode est
normalise depuis 2004. L'avantage est principalement li aux cots, dj l'implantation mais aussi
l'utilisation de disques durs SATA moins chres que les SCSI.

Ces baies de stockages se connectent simplement sur le rseau de l'entreprise comme un simple NAS
dans les cas les plus simples (mais dconseill)) ou via un rseau Ethernet spar. Comme un NAS,
l'ISCSI permet de stocker de simples documents mais permet galement le partage de bases de
donnes(SQL, Exchange, ...), toujours en permettant le partage entre diffrents serveurs. C'est donc
un mlange de NAS et de SAN.

La majorit des constructeurs utilisent Windows Storage Server de Microsoft, une version
particulire de Windows server 2003 comme gestionnaire de NAS. Au niveau des serveurs, Windows
2003 (pas SBS) et 2008 intgrent directement le pilote (iSCSI Software Target), installer dans les
outils d'administration si ce n'est pas fait par dfaut, il est galement disponible sous Linux.

Si des cartes rseaux spcifiques ISCSI sont dveloppes, les cartes Ethernet Giga actuelles
implantes sur les serveurs sont toutes compatibles TOE (TCP/IP Offload Engine). Qu'est que le TOE?

Une carte rseau standard ne fait que de vrifier le checksum et rassembler les donnes, c'est le
processeur qui fait tout le reste du travail. Une carte TOS va galement rcuprer les informations du
protocole rseau TCP et IP (donc jusqu'au niveau 4 du modle OSI). Ceci rduit nettement la charge
du processeur qui ne reoit plus que les donnes.

Diffrents routeurs spcifiques sont galement fabriqus.
9.11. Cloud computing

Le cloud computing rassemble tout et rien (encore une ide marketing): de la sauvegarde de donne
automatique, au partage de documents en passant par des applications (programmes ddies). Le
seul rel point commun est que tout est hberg sur Internet, permettant l'accs distance de
finalement n'importe o. Toutes ces solutions passent par un abonnement.
9.11.1. Sauvegarde automatique.

Dvelopp depuis le dbut des annes 2000, cette technique utilise un logiciel sur l'ordinateur
protger qui va simplement copier les donnes sur un site Internet avec un cryptage (en temps rel
ou une heure dtermine). C'est le mme principe que les logiciels fournis avec les disques durs
externes sauf que les donnes ne sont pas dans le btiment mais bien externe. Comme tous
transferts Internet, la sauvegarde (envoi) est plutt lente mais la rcupration plutt rapide. Cette
solution ne permet pas un partage de documents (ce n'est pas son but).
9.11.2. Le partage de documents.

Deuxime solution adopte par beaucoup d'entreprises, la mise en ligne de documents avec un
accs scuriss. Ce systme cloud est finalement un serveur de fichier hberg sur Internet. Le
premier avantage est que l'entreprise n'a plus faire ses propres sauvegardes, ces solutions
recopient les donnes sur plusieurs serveurs Internet. Le deuxime est finalement l'accs distance
et le partage avec des droits d'accs tout fait identiques ceux des serveurs rseaux internes.
9.11.3. Les applications distribues.

Cette solution est un peu identique au partage de documents puisqu'elle reprend galement la
sauvegarde mais reprend en plus des applications bureautiques, calendriers, logiciels de mail, ...
Deux gros acteurs sont actuellement sur le march:

Google Documents reprend un traitement de texte, tableur, prsentation, dessin, ... Toutes ces
solutions sont collaboratives, les documents peuvent tre modifis en mme temps par plusieurs
utilisateurs. L'utilisation est gratuite mais l'espace de sauvegarde est limit sans un abonnement.
Microsoft et Office 365 (2012) est simplement le passage de la suite bureautique directement
accessible sur Internet. La suite standard 2010 est conserve. Cette solution ncessite pour toutes les
versions un abonnement par utilisateurs.

9.11.4. Applications distance.

Cette solution est diffrente puisque cette fois une application tourne directement sur un serveur
Internet avec un accs distance. L'avantage est principalement li la charge, en cas de forte
demande de puissance de calcul, plusieurs serveurs peuvent tre utiliss en temps rel (c'est la
solution propose par Amazon). L'autre solution, propose par exemple par Microsoft Azure (2012)
est la virtualisation de serveur qui permet de faire tourner plusieurs systmes d'exploitation en
mme temps (identique un serveur virtuel local mais hberg distance).

Quelles applications peuvent utiliser cette mthode? Quasiment toutes tant que les transferts ne
sont pas trop importants vers les PC utilisateurs. Quasiment toutes les bases de donnes en mode
client / serveur peuvent tre utilises, y compris les applications de gestion. C'est probablement
l'avenir de l'informatique moyen terme.
10.11. Stratgies de backup.

Pourquoi sauvegarder les donnes, mme avec le RAID?

virus ou intrusion sur le rseau par Internet (hacker)
modification de la configuration logicielle directement sur le serveur en production (largement
utilise dans la pratique) pour ajouter des fonctionnalits, modification de paramtres de logiciels et
... mauvais fonctionnement. En pratique, obligez les programmeurs faire une copie complte du
dossier de l'application et de la base de donne sur un disque dur. Cette solution est plus rapide pour
la rcupration.
effacement accidentel ou autre de fichiers et dossiers, erreur dans la table des matires du disque
dur (FAT et NTFS), fichier corrompu, ...

10.11.1. En premire, nous avions vu les trois types de sauvegarde:

Backup complet : sauve tous les dossiers et fichiers du disque dur. C'est la mthode la plus sre, mais
la longue puisqu'elle permet de reprendre tous le contenu des dossiers en une seule fois. De toute
faon, en cas de crash disque complet, vous devrez d'abord rinstaller Windows avant de rcuprer
les donnes.

Backup incrmental: uniquement les fichiers modifis depuis la dernire sauvegarde. Pour une
restauration complte d'un dossier, vous devez d'abord utiliser une restauration complte, ensuite
reprendre la suite des autres toutes les sauvegardes incrmentales. C'est la plus rapide en
sauvegarde mais aussi la plus longue en rcupration.

Backup diffrentiel: copie tous les fichiers depuis le dernier backup complet ou incrmental mais ne
modifie pas le bit darchive des fichiers comme dans les deux autres techniques. Le dfaut est li aux
temps de sauvegarde puisqu'il reprend des fichiers et dossiers dj sauvs les jours prcdents
(mme non modifis depuis). Une sauvegarde complte ou incrmentale est ncessaire avant.

Chaque technique a ses qualits et ses dfauts. Une bonne stratgie doit tenir compte du temps
d'criture et du temps de rcupration en cas de panne.
Complte incrmentale diffrentielle
SAUVEGARDE
modification du bit de sauvegarde OUI OUI NON
dure Longue courte longue - courte
dconnections des utilisateurs Oui OUI / NON NON/ OUI
Dfaut problme sur une bande problme sur une bande, changement obligatoire des bandes
chaque fois Changement obligatoire des bandes chaque fois, dure qui augmente
Rcupration des donnes
type Tout d'un coup Chaque sauvegarde jusque la dernire complte Une sauvegarde
jusque la dernire complte
Risques fichier manquant Une sauvegarde dans l'ensemble dfectueuse

Mlangeons les mthodes de sauvegardes avec l'utilisation des donnes sur le serveur.

Une stratgie intressante utilise une sauvegarde complte rgulire suivie d'une sauvegarde
diffrentielle journalire. Le problme est la priodicit d'une sauvegarde complte. Plus le dlai
entre deux est long, plus le diffrentiel prendra du temps.

Une deuxime mthode consiste faire un backup complet par mois, suivi d'un backup incrmental
par semaine et un diffrentiel par semaine. Cette stratgie est souple, mais ncessite l'emploi de
beaucoup de jeux de bandes diffrentes.

Une dernire chose concernant l'utilisation des bandes, elles doivent tre changes tous les jours et
ddoubles en sries paires et impaires: si une bande de lundi est dfectueuse, celle du prcdant
lundi ne le sera pas. Le jeux de bandes ne doit pas se trouver dans la mme pice (et si possible dans
un btiment diffrent) que le serveur. Pensez aux risques d'incendie ou de vol.
10.11.2. Exemple de stratgie de sauvegarde bureautique

Voici un exemple de stratgie de backup dans un systme bureautique, sans utilisateurs de nuit.
Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi
Mercredi Jeudi vendredi samedi dim.
Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff.
Compl.
horaires 21h 21h 21h 21h 21h 20h 21h 21h 21h 21h
21h 20h
bande Lu1 Ma1 Me1 Je1 Ve1 Com1 Lu2 Ma2 Me2 Je2 Ve2
Com2

Ici, le backup du vendredi est un diffrentiel. Il peut remplacer celui du samedi s'il n'y a pas
d'activits le samedi. Ceci vite un dplacement du personnel pour ... changer les bandes.
10.11.3. Exemple de stratgie backup industriel

Si l'application ne s'arrte pas, juste un ralentissement dimanche matin par exemple (maintenance
des machines). Le problme dans ce cas reste les utilisateurs.

Le deuxime problme dans ce cas est la charge sur le serveur durant le backup. En sauvegardant,
vous ralentissez le serveur. L'heure des sauvegardes doit tre choisie avec le moins d'utilisateurs
possibles, pas 8 heures du matin quand les bureaux dmarrent. La stratgie se fait sur 4 semaines,
une sauvegarde complte du systme par mois (4 semaines), tous dossiers confondus.
Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi
Mercredi Jeudi vendredi samedi dim.
Type Diff. Diff. Diff. Diff. Diff. Diff. Comp Diff. Diff. Diff. Diff. Diff.
Diff. Compl/inc
horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h
21h 21h 8h
RAID? O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N O/N
O/N Oui
bande Lu1 Ma1 Me1 Je1 Ve1 Sa1 Mensuel 1/2 Lu2 Ma2 Me2 Je2
Ve2 Sa2 Inc1
Lundi Mardi Mercredi Jeudi vendredi samedi dim. Lundi Mardi
Mercredi Jeudi vendredi samedi dim.
Type Diff. Diff. Diff. Diff. Diff. Diff. Compl/inc Diff. Diff. Diff. Diff.
Diff. Diff.
Compl/inc
horaires 21h 21h 21h 21h 21h 14h 8h 21h 21h 21h 21h
21h 14h 8h
RAID? O/N O/N O/N O/N O/N O/N Oui O/N O/N O/N O/N O/N
O/N Oui
bande Lu3 Ma3 Me3 Je3 Ve3 Sa3 Inc2 Lu4 Ma4 Me4 Je4 Ve4
Sa4 Inc3

La stratgie ressemble celle bureautique. Le dimanche reprend soit une sauvegarde complte, soit
une incrmentale. Ceci dpend galement de l'incidence du backup sur le fonctionnement de
l'entreprise. Par contre, le premier dimanche du mois est une sauvegarde complte sur 2 jeux de
bandes part.


10. Connexion distance par INTERNET, scurit et communications
10.1. Risques (virus, intrusion, ...) - 10.2. Connexion INTERNET de base - 10.3. Diffrents points d'une
connexion professionnelle - 10.4. Les firewall - 10.5. L'accs distance - 10.6. Sauvegarde via
INTERNET
Ce chapitre traite de la communication et scurit entre les ordinateurs. Le plus courant concerne la
connexion vers INTERNET (Firewall, VPN) mais galement des prise de contrle distance de PC ou
de rseau partir d'un ordinateur connect une ligne tlphonique ou via INTERNET (partage de
donnes), travail distance, ... Toutes ces connexions peuvent tre traites en hardware ou en
software, les 2 possibilits existent systmatiquement. Nous verrons en dtail les possibilits
hardware. Ceci nous prparera la suite du cours: architecture d'un rseau.
10.1. Les risques
Un bref rappel sur les risques de scurit (virus, hacking, ...). Une explication plus complte sur les
virus, adware, spyware, ... est reprise dans le cours Scurit sur INTERNET
Au niveau anti-virus Hardware, certains routeurs et VPN incluent un anti-virus interne. D'autres
appareils sont spcialiss: PANDA fabrique un modle de ce type. L'avantage vient des mises jour
quotidiennes automatiques sur un seul noeud: le routeur d'entre / sortie de la connexion Internet
vers le rseau interne. Lorsqu'un virus est dtect dans un mail (quelque soit le type), le mail est
directement renvoy l'expditeur sans mme passer sur le rseau interne ou le PC du destinataire.
Le dfaut reste les autres points d'entre: disquettes, CD pirats, connexions Internet via d'autres
points (modem du portable par exemple). Les spyware, adware, dealer, ... utilisant le port 80
(navigation), ils ne sont pas dtects par les firewall hardware, mais bien par les anti-virus hardware.
10.1.1 Les intrusions, scurit des PC
Les risques d'intrusions sont un sujet la mode. Diffrentes mthodes d'intrusions vont tre
examines.
La premire mthode consiste injecter un programme dans votre PC (via un mail par exemple). Ce
programme serveur va ragir toute demande d'un client (le programme de celui qui essaye
l'intrusion) via un port TCP ou UDP. Les ports sont spcifiques chaque trojan (aussi appel cheval de
Troie ou backdoor). Comme ces programmes sont facilement tlchargeables sur Internet, n'importe
quel gamin est capable de les utiliser. Par contre, elle ncessite qu'un programme soit implant dans
votre ordinateur ou un PC du rseau: si le logiciel client n'est pas implant dans le systme, pas de
risque.
La deuxime mthode utilise des failles de scurit dans le fourbi Microsoft, que ce soit dans le
systme d'exploitation Windows, dans Internet Explorer, Outlook ou Office (toutes versions
confondues). Cette solution est plus rserve aux professionnels. Ceci a permis un site de tests de
firewall d'ouvrir mon lecteur CD-ROM distance. Avec un firewall software sur la station et le rseau
protg par un firewall hardware, je me sentait pourtant plutt en scurit. La solution consiste
suivre les SERVICE PACK de scurit de Microsoft.
En troisime, de loin la plus sournoise, la mthode consiste modifier des informations dans la
trame TCP/IP d'un message correct pour que le PC (ou le routeur) attaqu croit que les informations
proviennent effectivement du site demand comme dans le schmas ci-dessous. Cette technique est
appele le spoofing. Pour parer ces attaques, il faut imprativement que les trames soit toutes
analyses avant la lecture par le navigateur.
Les buts sont multiples: vols d'informations et dans de nombreux cas, utilis cet ordinateur comme
relais pour d'autres attaques. La cible dtecte alors l'attaque comme provenant du PC "hack".
10.1.2. Les attaques par Dni de service distribu (Denial of Service -dDOS)
Encore un problme relevant de la scurit sur INTERNET. Ce type d'attaque consiste envoyer un
maximum de requte sur un serveur web ou un routeur en un minimum de temps. L'appareil ne
sachant plus suivre craque littralement.
La mthode consiste envoyer des multitudes de paquets ICMP echo-requets en modifiant l'adresse
source de chaque paquet. Les commandes envoyes sont des multiples petits paquets de 64 Kb ou
infrieur (souvenez-vous les paramtres de la commande PING). La cible ne peut plus rpondre aux
demandes de connexions car l'ensemble de la bande passante est limite.
Ceci est la mthode du gamin gt qui ne parvient pas s'introduire dans un serveur, alors, il le
plante. Par contre, c'est aussi une mthode beaucoup plus professionnelle pour stopper des serveurs
Internet avec un maximum de commandes en mme temps, le mieux reste d'utiliser un maximum
d'ordinateurs pour l'attaque en utilisant ceux infects par un trojan.
10.1.3 Dni de service station (tear drop, new tear, boink, ...)
Les attaques de type Teardrop, Newtear, Boink, ... sont quasiment identiques au dni de service ci-
dessus sauf qu'elle ne s'attaque qu'aux ordinateurs (serveurs inclus) directement connects ou
mme via un routeur. Ce type d'attaque vise les systme Windows 32 bits (Win 95, 98, Me, XP (Pro),
NT et 2000) mais galement les systmes d'exploitation Linux infrieur 2.0.32. Apparemment, les
Mac et systmes Unix peuvent aussi tre altrs par ces attaques. A part Windows 3.11 et DOS (mais
comment aller sur INTERNET en DOS?), tous sont donc viss. L'attaque ne se fait plus sur un serveur,
mais sur les stations connectes. Ce type d'attaque consiste envoyer des packets TCP/IP qui se
recouvrent appel OOB = Out Of Band). L'ordinateur cible tente de reconstruire les informations et
finalement, n'y arrivant pas, ceci provoque un plantage de la machine. En Windows, vous vous
retrouvez avec une belle fentre bleue et vous n'avez d'autres choix que de redmarrer la machine.
10.1.4. Quelques prcisions.
Anonyme sur Internet, pas si sr. Dterminer votre adresse IP fournie par le fournisseur d'accs reste
un jeu d'enfant. Un routeur protge votre adresse TCP/IP locale sur le rseau en n'indiquant que
l'adresse extrieure. Dans le cas d'un partage de connexion via les programmes fourni avec les
systmes d'exploitation Microsoft, ce sont les adresses internes du rseau qui sont directement
dtectes. Pour le paramtrage des partages INTERNET. Toute intrusion, attaques de tout type
demande d'abord au "hacker" de connatre l'adresse TCP/IP de la cible vis vis d'INTERNET. Le sport
pour lui est ensuite de connatre les adresses internes des stations PC ou autres du rseau. Tant que
l'adresse Wan (Internet) est invisible, il ne peut rien. Forcment, elle est plus facile a dtecter lorsque
le rseau local est raccord par adresse TCP/IP fixe sur INTERNET.
Dans le mme ordre d'ides, votre systme d'exploitation et votre navigateur Internet sont
automatiquement envoys par votre navigateur au site, idem pour la rsolution de votre cran
(dimension et nombre de couleurs)
Les serveurs Proxy sont des mmoires cache qui permettent d'acclrer les connexions. Le
mcanisme est simple, lorsqu'une page vient d'tre lue, le proxy la garde en mmoire. Si une
demande sur cette page intervient rapidement, le proxy ne la tlcharge pas d'INTERNET mais
directement de sa mmoire. En plus, il est plus difficile de vous suivre la trace puisque vous n'tes
pas toujours directement en contact avec les sites. Ces proxy peuvent tre des botiers externes,
inclus dans un PC ddi du rseau local (sous Linux par exemple) ou directement chez le fournisseur
d'accs ( condition d'tre configur spcifiquement suivant les adresses fournies par votre
provider). Diffrents sites (ou mme entreprises) permettent d'utiliser leur site comme proxy,
masquant la relle adresse IP du visiteur: qu'ils soient gratuits ou payant, 99% % des visites sur un
site est essentiellement pour provoquer des nuisances: fausses annonces, faux posts sur les forums,
tentatives de hacking, vol du contenu, ... Ils sont systmatiquement bloqus sur nos sites.
Les coockies sont de petits fichiers textes chargs sur votre PC. Ces cookies enregistrent vos
prfrences. Ceci permet par exemple d'arriver directement sur la version franaise de Google.be.
Pas bien dangereux, mais ces cookies incluent souvent des informations tels que mots de passe
(mme s'ils sont souvent crypts) ou la date de votre dernire visite sur un site. Quelques cookies
permettent de vous suivre la trace sur divers sites.
Le NAT (Network Adress Translation) sert de translation entre l'extrieur du rseau local (Internet) et
les stations. Le routeur construit une table de correspondance d'adresses IP. De cette manire,
l'extrieur ne sait pas dterminer l'adresse interne d'une station. A la rception de donnes par le
routeur, celui-ci transfre les informations vers le vritable destinataire grce sa table.
10.2. Connexions INTERNET de base.
Le partage d'une connexion INTERNET permet de connecter plusieurs ordinateurs relis en rseau
TCP/IP simultanment avec un seul modem. Le partage professionnel se fait via un routeur, mais des
partages plus simples utilisent directement un modem reli sur un PC. Le modem peut tre normal,
ISDN ou ADSL. De mme, le type de modem peut tre interne, externe srie, externe USB ou mme
dans certains modem ADSL, reli via une carte rseau. Dans les trois premiers cas, le partage peut
se faire directement par le systme d'exploitation ( partir de Windows 98 seconde dition). Dans le
cas d'une liaison via carte rseau, le partage peut se faire via un routeur, via un logiciel de type
WinGates. Cette solution est directement implante dans les serveurs 2003 et 2008. Ces logiciels
assurent galement la scurit des connexions. Dans ce dernier cas, le PC assurant le partage reoit 2
cartes rseau.
Dans le cas d'un partage simple via Windows, chaque ordinateur peut demander la connexion
Internet, mais elle ne peut tre coupe que sur le PC connect Internet. Ceci ne pose pas de
problmes en ADSL, mais attention aux communications tlphoniques en RTC ou ISDN (RNIS). Vous
pouvez demander de couper la connexion INTERNET aprs un certain laps de temps d'inactivit par la
commande option Internet dans. Slectionnez la connexion (Ma connexion ci-dessous) et cliquez sur
le bouton paramtres. Dans la fentre suivante, slectionnez le bouton "avanc". Cochez la case
Dconnecter si inactif pendant et tapez le nombre de minutes souhaite.

Diffrents logiciels ou matriels vont nanmoins se connecter entre le rseau et INTERNET, soit pour
assurer la scurit, soit pour assurer la vitesse de connexion. Ces appareils (logiciels) assurent
diffrentes fonctions de connexion.
10.3. Les diffrents points d'une connexion / partage INTERNET professionnel.
10.3.1. Partage de base
Avant de parler des appareils et solutions mettre en oeuvre pour des connexions Internet
professionnelles, analysons les diffrents problmes possibles. Ceci nous permettra terme de
dessiner notre connexion plus facilement.
Dans le cas d'une connexion vers INTERNET, la premire tche est le partage. Ceci va permettre
plusieurs utilisateurs de se connecter sur Internet en mme temps (navigation, mail, news, ...). Ceci
passe ncessairement par une installation rseau. Dans ce cas, un ordinateur ou un appareil
(gnralement un simple PC sur lequel est connect le modem doivent servir de liaison.

Selon le schmas ci-dessus, chaque station possde sa propre adresse TCP/IP (X.X.X.X.@station1 et
X.X.X.X@station2). De mme, le fournisseur d'accs fournit automatiquement une adresse TCP/IP
la connexion. Lors d'une demande d'affichage d'un site, rfrenc par une adresse TCP/IP propre, par
exemple 238.128.128.128 que nous dnommerons par X.X.X.X@site. Lors de la demande d'affichage,
la station 1 envoie l'appareil de liaison son adresse propre (pour la rponse) et l'adresse du site
qu'elle veut afficher (X.X.X.X@site). Le fournisseur d'accs et tous les composants du rseau Internet
vont se dbrouiller pour que les informations du site soit renvoys l'adresse TCP/IP Internet fournis
par le fournisseur d'accs (X.X.X.X.@ISP) qui les renvoie l'appareil de liaison. Celui-ci fera le
transfert de sa propre adresse Internet vers l'adresse prive de la station 1.
Le fonctionnement, quoique complexe de manire interne, n'est pas trop difficile mettre en oeuvre
avec les logiciels actuels. Cette mthode est utilise par le partage de connexion Internet implante
dans Windows 98 SE et versions ultrieures. Cette solution n'est pas trs scurise. Chaque adresse
des PC connects est visible d'INTERNET. Cette pratique est utilise pour de petits partages de
connexions INTERNET familiales en modem RTC ou en ADSL avec modem USB.
Cette solution est analyse en pratique dans la formation INTERNET
10.3.2. Partage via un logiciel spcialis.
Cette solution de partage INTERNET utilise un PC relais entre le rseau et INTERNET. Le PC utilise 2
cartes rseaux. Une carte rseau est connecte vers le rseau interne, la deuxime carte rseau est
connecte un modem Ethernet RJ45. Le logiciel peut tre Wingate, quelques solutions
professionnelles (Symantec par exemple) ou une solution base de Linux. Le PC relais doit rester
connect pour que la connexion INTERNET fonctionne.
Le logiciel assure diffrentes fonctions: NAT (Network Adress Translation), proxy (cache) et mme
pare-feu. Le firewall s'il est directement implant (Linux) est de fonctionnalit identique un firewall
hardware. Vous pouvez galement installer sur ce PC relais un firewall software.

Cette solution de partage logicielle fait partie des autres cours de deuxime anne, notamment
Linux.
10.3.3. Partage via un routeur simple.

L'utilisation d'Internet est tout fait transparente pour le rseau. Le routeur reste connect en
permanence. Ceci cache le rseau interne (adresse des PC et priphriques) pour l'extrieur, mais
n'empche pas les risques d'intrusion. En effet, part les adresses caches (NAT), les stations sont
directement connectes sur INTERNET. Un trojan sur une station communiquera travers le rseau
de manire compltement transparente. Il est mme probable que le hacker ne s'apercevra qu'il est
dans un rseau qu'au moment de la prise de contrle du PC lorsqu'il aura accs tous les partages de
dossiers et priphriques.
Ceci donne un semblant de scurit, gure plus. Cette solution est vue en pratique dans le cours
partage Internet par routeur
10.3.4. Partage via routeur et firewall hardware.

Ce schma reprsente presque la solution de scurit idale (le presque m'inquite). Le routeur et le
firewall peuvent tre inclus dans le mme botier. Le modem peut tre intgr dans le routeur ou
connect entre celui-ci et INTERNET. Cette solution sera examine dans un exercice du chapitre 17.
Partage et connexion Internet via un routeur - firewall mode ADSL RJ45 Ethernet.
La scurit ne repose pas sur le montage mais sur la manire de paramtrer le firewall. Ceci est
valable pour toutes les solutions de scurit firewall.
10.3.5. Le DMZ (DeMilitarized Zone).
Ceci est une utilisation particulire des firewall. Elle est utilise avec un hbergement sur un serveur
propre l'entreprise ou en cas de leurre pour diffrentes attaques. Dans ce dernier cas on par le PC
bastion. Son utilisation comme serveur proxy ou serveur de messagerie est galement utilise.

Le firewall en contact avec Internet va laisser passer les informations sur le port TCP 80
(ventuellement 443) provenant de l'extrieur du site, ainsi que les informations provenant du site
interne vers Internet. Dans le cas d'un serveur Web, le premier firewall vite les attaques extrieur.
Les ports 20 et 21 par exemple pourront tre ferms. Par contre, les informations provenant de
l'extrieur passerons soit par le firewall extrieur, puis par le server DMZ (cas d'un PC bastion) puis
par le deuxime firewall.
Ce n'est pas le niveau maximal de scurit, mais le hacker se retrouve avec 2 voir 3 barrires ouvrir.
10.4. Les Firewall (pare feu)
Les firewall protgent les installations informatiques des intrusions. Un firewall surveille les
communications d'un PC vers Internet et vis versa. Pour cela, il analyse, bloque ou autorise les
communications via les ports UDP et TCP. Ceci est valable pour les connexions Internet, mais
galement entre diffrentes parties d'un rseau interne. Une large partie des "intrusions" sont
orchestres de l'intrieur de l'entreprise. Pensez par exemple l'employ qui vient de recevoir son
pravis, ...On retrouve 2 types de firewall: les firewall logiciels et les firewall hardware.
Le paramtrage des firewall logiciels ne fait pas partie de ce cours hardware, je ne m'y attarderai pas.
Dans les applications INTERNET, pour faciliter les communications entre applications identiques, on
utilise des ports tant en TCP qu'en UDP. Chaque port est spcifique un type d'application. La
navigation se fait par le port 80 et les news par le port 119 par exemple. Le paramtrage consiste
ouvrir des portes (ports) ncessaires aux applications normales en fonction des adresses de
destination IP (en sortie) ou d'mission (adresses des sites). Ds ce moment, il me semble clair que
toutes les autres doivent tre fermes. Par dfinition, l'intrusion se fait toujours par l'entre la plus
faible de la protection du rseau. Ceci est similaire la scurit d'un btiment. Cela ne sert rien de
mettre des portes blindes partout, si la fentre de derrire reste ouverte en permanence. Pour la
liste des ports ouvrir, rfrez-vous au cours INTERNET: Classes d'adresse, ports TCP et UDP
10.4.1. Diffrence entre un firewall logiciel et hardware
Et non, les deux ne font pas exactement le mme boulot. Dans un sens, ils sont complmentaires.
Pour rappel, installer 2 firewall logiciels est dangereux et peut rendre chaque logiciel inefficace.
Un firewall logiciel vrifie et indique sur quels ports les programmes qui accdent INTERNET depuis
votre PC (en TCP/IP et en UDP). De mme, ils annoncent les ports sur lesquels rentrent (ou tentent
de rentrer) des applications sur votre PC. Dans ce sens, sauf mauvaise configuration, ils sont
efficaces. Par contre, ils n'analysent pas du tout les programmes courants (modifications des trames,
...), ni n'analysent encore moins les dfaut de scurit du systme d'exploitation (diffrentes failles
de scurit Microsoft sur les systmes d'exploitation, Internet Explorer, Outlook et mme office). En
vrifiant les programmes qui tentent des connexions Internet, ces programmes bloquent les spyware
et les adware. Malheureusement, cette solution bloque gnralement galement la connexion
INTERNET. La solution logicielle pour les enlever reste lavasoft par exemple. Un firewall software
s'installe sur chaque PC (d'o un lourd travail d'administration), sur le serveur ou sur des PC ddis.
En plus, ces logiciels reconnaissent rarement les adresses extrieures (Internet) des adresses
internes. Ces logiciels sont parfait pour la dtection des trojans. S'ils les dtectent, ils ne les
suppriment pas. Ce rle est dvolu aux anti-virus, mme si les anti-virus ne considrent pas les
adware et spyware comme nuisible (ce sont des programmes commerciaux).
Un firewall hardware est plac entre INTERNET et le rseau. Dans ce sens, les intrusions (ou
tentatives) l'intrieur du rseau ne sont jamais analyses. Mme si un firewall hardware n'est pas
li Microsoft, ils ne protgent pas non plus des failles de scurit des programmes et systme
d'exploitation. En analysant les trames de donnes, ils rejtent galement les intrusions par bricolage
des adresses. Par contre, mme si tous les ports non utiliss sont ferms, les programmes qui
utilisent les ports standards peuvent travailler sans problmes. Un vers (trojan) qui utiliserait le port
80 ne sera en aucun cas bloqu, il est considr comme une application tout fait standard. Les
spyware et adware utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall
hardware.
Les 2 protections ci-dessous sont gnralement intgres dans les firewall matriel:
Statefull Packet Inspection:
Permet au firewall de comparer un paquet de donnes entrant avec les paquets ayant
prcdemment t considrs comme "sains".
Content Filtering :
Permet notamment de contrler les accs au Web par des filtres (bass sur des listes d'adresses
Internet, des mots cls ou des plages horaires de connexion).
Une scurit optimale serait donc un firewall hardware entre le rseau et Internet et un firewall
logiciel sur chaque station. Nanmoins, les firewall interne dans le cas de rseaux lourds pose des
problmes au niveau utilisateur. A la moindre alerte (mme inutile de type DHCP sur le port UDP 68),
l'administrateur sera appel (ou non ...) par l'utilisateur.
Actuellement diffrentes firmes fabriquent des cartes rseaux qui incluent un firewall hardware
(Nvidia notamment) mais qui posent plus de problmes qu'autre chose.
10.4.2. Les ports ouvrir en TCP et en UDP, les plages d'adresses.
Chaque application est caractrise par un port TCP et / ou UDP utilis. Il est spcifique au type
d'application Ceci facilite les communications puisqu'une application de type navigation utilisera
d'office le port 80, que ce soit Microsoft Explorer, Netscape ou un autre. Les numros de ports (tant
en TCP qu'en UDP) varient de 0 65535 (216). IP dtermine l'adresse du site ou du PC en
communication. La combinaison port TCP/IP dtermine donc le site et l'application.
Les principaux ports et services TCP ouvrir sont repris dans les annexes de la formation INTERNET:
Classes d'adresses, ports TCP et UDP
10.4.3. Mthode de dtection d'un firewall hardware et fonctionnalits
Les firewall (pare feu) analysent les trames, tandis que les firewall software analysent les
applications. Cette analyse hardware est effectue par un logiciel interne. La premire partie filtre les
combinaisons TCP IP pour envoyer ou non les informations vers le PC client du rseau. La deuxime
partie va vrifier si l'information est effectivement demande par une station cliente en analysant
les connexions PC - site Internet.
La troisime application est appele Statefull inspection. Ce terme est brevet par Checkpoint (un
des leaders de la scurit Internet) qui fabrique des firewall software mais dont la technologie est
implante dans divers firewall hardware. Le "State Full Inspection" est aussi appel Firewall-1 ou
technologie de filtrage dynamique. Le firewall dtermine si le client est bien connect (active) sur
INTERNET au moment de la rception du message. Pour cela, le firewall garde dans des tables de
connexion les sessions actives. Dans le cas contraire, le message est purement bloqu.
Les firewall peuvent inclure galement diffrentes options tel que le proxy. Un proxy est un espace
disque dur sur lequel les pages couramment demandes sont stockes. Chaque fournisseur d'accs
(FAI) utilise un proxy pour les connexions. Lors d'une demande, le proxy vrifie si la page n'est pas en
mmoire. Dans le cas positif, la page est renvoye la demande sans tlchargement partir du site.
Ceci permet de gagner du temps lors des tlchargements. Cette solution est galement utilise dans
quelques firewall ou routeur. Si l'utilisateur n'est pas en contact direct avec le site, son adresse IP ne
pourra pas tre analyse. Quoiqu'en disent certains sites, ce n'est pas vraiment une scurit puisque
les adresses hacker sont souvent dtermines par un scannage des adresses sur INTERNET. Par
contre, dans le cas des firewall qui ne renvoient pas les commandes PING, ceci permet l'attaquant
de dterminer que l'adresse est effectivement utilise si le proxy n'est pas en fonction. Remarquez
que l'utilisation ICQ ou MSN Messenger permet galement de dterminer votre adresse TCP/IP
encore plus facilement, la liste apparat sur le site.
Le filtrage de sites est implant dans la majorit des firewall hardware. Ceci permet de bloquer les
accs sortant des adresses de sites ou mme des adresses contenant un mot. Vous pouvez par
exemple bloquer les sites dont le nom inclus sex, rencontre ou KAZAA.
10.5. L'accs distance un rseau
Cette application permet de se connecter un rseau interne via une liaison tlphonique ou par
INTERNET.
10.5.1. Prise de contrle distance et transferts de fichiers.
Dans le chapitre prcdant, nous avons vu que les trojans de type Netburst permettent de prendre le
contrle distance (entre autre) d'un PC via Internet. Cette solution semble facile mais permet
d'autres de prendre le contrle aussi. Cette solution est donc tout fait proscrire.
La solution la plus communment utilise fait appel des logiciels de type PC Anywhere qui
permettent de prendre la commande de PC via des modems analogiques ou ISDN, ou mme l'ADSL
(Internet). Cette solution est souvent utilise pour de petites infrastructures de type indpendants,
ou pour le dpannage des utilisateurs distance dans le rseaux internes. De nombreuses tentatives
d'attaques par INTERNET viennent de ce logiciel. Le paramtrage de PC Anywhere permet de changer
le numro de port pour l'accs distance. Ce n'est pas la solution parfaite. En effet, pour une prise
de contrle distance, il faut le numro de port et le programme client. En changeant le numro de
port, l'administrateur suppose que le pirateur ne pourra prendre le contrle. De l'autre ct, le
pirateur par scannage d'adresses sur tous les ports, reoit les logiciels qui rpondent (mme mal) sur
un port. Il n'a plus qu' essayer tous les programmes possibles sur ce port. La prise de contrle se fait
galement par mot de passe (nettement conseill).
Une autre solutions qui n'est utilise que par certains programmes permettent de mettre en
commun des ressources via l'accs rseau distance.
Cette fonction ncessite l'installation d'un composant additionnel de Windows serveur: serveur
d'accs rseau distance et permet l'utilisation de fichiers sur des disques partags. La connexion
pour permettre l'entre se fait galement via un mot de passe et le dmarrage de ce serveur d'accs
distance via la partie accs rseau distance.
Certains programmes bureautiques (notamment Works de Microsoft) incluent galement des
fonctions de transferts de fichiers. Windows XP a galement implant une fonction de prise de
commande distance, en esprant qu'ici aussi il n'y ait pas de failles de scurit.
10.5.2. Virtual Private Networks (VPN)
Les solutions ci-dessus ne permettent pas directement de se "connecter un serveur rseau", mais
de prendre le contrle d'un PC qui lui se connecte au rseau. Ce sont des solutions logicielles.
Les VPN (pour Virtual Private Networks) sont des appareils qui se connectent physiquement sur
INTERNET ou entre le rseau et le routeur suivant les modles. Les dernires versions des systmes
d'exploitation serveurs de Microsoft implantent des fonctionnalits quivalentes.
Les VPN crent entre un ordinateur et le rseau interne une liaison scurise et crypte pour assurer
le transfert des informations: appel communment un tunnel. Lorsque la station demande via
Internet une connexion sur le rseau interne, les 2 appareils se communiquent une cl logicielle qui
servira au cryptage des informations. Le VPN cre alors une sorte de tunnel scuris sur Internet qui
empche toute forme de piratage. Cette solution est la seule utilisable pour une connexion via ADSL
La connexion ncessite 3 choses:
1. Un logiciel particulier sur le client (Rseau priv virtuel install comme composant de
Windows ou programme spcifique)
2. Un matriel hardware de type VPN reli entre Internet et le rseau d'entreprise
(ventuellement Windows 2000 ou XP)
3. Une adresse INTERNET TCP/IP fixe ou du moins connue au moment de la connexion.
Les deux premires contraintes semblent faciles. Nous reparlerons de l'appareil. La troisime
ncessite, soit un site INTERNET et donc un serveur propre reli sur INTERNET, mme si la connexion
doit se faire sur un autre serveur ou un abonnement spcifique permettant d'avoir une adresse
INTERNET TCP/IP fixe. Dans le cas d'un abonnement ADSL normal, l'adresse change chaque
connexion et au maximum aprs quelques dizaines d'heures suivant le fournisseur d'accs. Les
amateurs pourront nanmoins utiliser quelques solutions pour connatre l'adresse TCP/IP de la
connexion un moment donn sur des sites spcifiques par exemple et la communiquer via
tlphone ou mail. Cette solution est peu envisageable pour une connexion 24h/24h.
On distingue plusieurs modles de VPN. La majorit des modles hardware permettent uniquement
un tunnel entre 2 installation rseau fixes. Ils ne permettent donc pas le travail domicile (quoique
sous-entendent les publicits). Les modles plus chres permettent galement le travail distance.
Le mode de cryptage peut tre MPLS ou IP-Sec (IP Security). Le cryptage se fait uniquement entre les
deux VPN. Certaines mthodes de tunnel, notamment Over Ip ( la diffrence de tunnel IP)
permettent de faire transiter d'autres protocoles tel que IPX dans le tunnel.
Dans le cas de l'utilisation d'un VPN, vous ne pouvez pas scuriser votre rseau en empchant le
partage des ressources via TCP/IP. Le VPN permet d'utiliser distances toutes les ressources du
rseau (fichiers, applications et priphriques de type imprimante) comme si vous tiez directement
connects sur le rseau.
Selon l'appareil (des solutions logicielles existent, notamment dans Win2003 serveur), le VPN va
effectuer plusieurs tches comme la dtection d'intrusions, la fonction firewall ou le scan de virus.
Une passerelle (gateway) vers INTERNET (fonction de routeur INTERNET), une fonction de firewall
pour bloquer les intrusions, un anti-virus intgr et la fonction VPN pour crer le tunnel Internet via,
gnralement le fonctionnement est conforme aux spcifications de cryptage IPsec des stations
clientes.
Le VPN va fournir une adresse locale un PC connect sur INTERNET. celui-ci va alors
automatiquement s'intgrer dans le rseau. Attention, le paramtrage de ce type d'appareil au
niveau VPN est gnralement plus pointu puisqu'il permet par exemple d'accepter les donnes
rentrantes sur une adresse mais de refuser les entres sortantes.
Lorsque tous les niveaux sont rsolus, vous pouvez directement relier deux rseaux internes via
Internet. C'est actuellement la seule solution viable (sans lignes totalement ddies et loues) pour
ce genre d'applications. C'est galement, du moins en Belgique dans les zones connectes l'ADSL, la
meilleure solution pour le tl-travail (le travail partir de son domicile).
10.6. Sauvegarde scurise via Internet.
Cette mthode de backup pourrait tre insre dans la partie stockage et sauvegarde rseau, mais
utilise les techniques de connexions distance. Le principe est de crer un tunnel Internet entre
votre serveur interne et un rseau distant constitu de serveurs, NAS ou de sauvegardes sur bandes
pour sauver vos donnes. Le principal avantage: vous ne vous proccupez plus de vos bandes, elles
sont en principe en scurit l'extrieur de votre entreprise (un autre avantage). Le programme de
gestion sauve automatiquement les donnes importantes en les compressant et les cryptant au
pralable.
Diffrentes variantes de cette technique sont proposes. La premire consiste transfrer
systmatiquement le contenu du disque dur sur la sauvegarde Internet. Malheureusement, les
liaisons ADSL les plus rapides tournent 12 Mb/s (divisez par 10 pour retrouvez une notation en byte
ou octet). Pour sauver un disque dur de 20 GB de donnes, il faut donc 20.000.000 / 800 = 25.000
secondes, soit prs de 7 heures. Le retour se fait encore plus lentement, 512 kb/s maximum pour
l'ADSL, soit 16 X plus lent. Pas trs efficace.
La deuxime solution consiste sauver sur diffrents supports les donnes de dpart (CD, DVD,
bandes) et ne sauvegarder que les dossiers importants ou que les fichiers modifis via le tunneling
Internet. Cette mthode revient une sauvegarde incrmentale ou diffrentielle avec leurs dfauts
respectifs. En cas de problme, on rapatrie par vhicule la sauvegarde de base et on rcupre les
fichiers sauvegards plus tard. Ces systmes peuvent sauver les donnes chaque jour dans des
dossiers diffrents ou dans le mme dossier (en crasant les dossiers les plus anciens. La sauvegarde
des donnes est compresse et crypte au minimum 128 bits, donc scurise et pratiquement
impossible rcuprer sans les diffrentes clefs. Au niveau SECURITE, cette solution semble donc
bonne.
Les dfauts font nanmoins importants. La premire vient de la scurit des donnes (mme si elles
sont cryptes) puisque les donnes sont sur un site Internet qui ne vous appartient pas. Le deuxime
problme vient du dbit de transfert des donnes en mission (mme compresses) et encore plus
en rception. Comme le tunnelling ncessite un matriel ou un logiciel spcifique, vrifiez le cot
effectif de cette solution de sauvegarde peu orthodoxe. Ce principe ne fonctionne qu'avec des
serveurs rseaux travaillant en TCP/IP. Ce n'est pas forcment une solution intelligente pour la
sauvegarde d'un serveur complet mais une manire de ne plus s'encombrer de la tche sauvegarde
pour de petites capacits.
Cette solution pourrait tre galement installe entre deux serveurs rseaux de la mme entreprise
mais distants en utilisant une liaison VPN. Ceci rduit le cot du prestataire mais demandes des
connexions Internet par IP fixes et n'est envisageable que pour les grosses entreprises.

11. Rseau sans fils
11.1. Bluetooth - 11.2. IEEE 802.11 - 11.3. IEEE 802.11 a - 11.4. IEEE 802.11 b - Wifi - 11.5. IEEE 802.11
B+ - 11.6. Rseau sans fils 802.11 G - 11.7. Connexion 802.11G+ - 11.8. 802.11N - 11.9. Wimax -
11.10. Connexion Infrarouge - 11.11. Scurit des communications
Cette partie pourrait tre repris dans les rseaux Ethernet. Nanmoins, comme les connexions sans
fils (Wireless) sont spcifiques, je rassemble ici: rseaux sans fils (WIFI), Wimax (y compris 4G
puisqu'il en fait partie, communications infra-rouges, ...

Les connexions sans fils permettent de connecter diffrents appareils ... sans cble. La liaison peut-
tre soit de type hertzienne, soit par lumire infra-rouge. Pour les liaisons infra rouge, l'metteur et
le rcepteur doivent tre face face. Ces connexions taient utilises (sans grand succs) pour le
claviers et les souris et dans certaines imprimantes. Les connexion Internet par satellite sont vues
dans un autre chapitre.
En utilisant les transmission hertziennes, les liaisons sans fils permettent la connexion simultane de
plusieurs appareils entre eux: PC en rseaux (Wlan - Wireless Lan), imprimantes (principalement la
technologie AirPrint d'Apple), GSM et priphriques divers ou mme de rseaux (appels ). La
difficult de mise en oeuvre tient de la zone de rception, lie la puissance de l'metteur, la
dtection du rcepteur (d'o un protocole dfinissant clairement celui-ci) et de la scurit des
donnes transmises (cryptage des informations). Rien ne sert de scuriser un rseau cbl si un
simple rcepteur hertzien pourraient pomper toutes les donnes circulant sur le rseau.
Les solutions hertzienne posent des problmes d'environnement que peu de constructeurs signalent.
Il n'y a qu' se promener dans un btiment industriel (en tle) pour se rendre compte que
l'environnement pose quels problmes de liaisons GSM par exemple. Les distances maximales
fournies par les constructeurs parlent de terrains dcouverts, ce qui est rarement le cas dans les
habitations ou entreprises, mme s'il est possible d'installer des antennes externes dans de
nombreux cas. Les environnements perturbs par des champs lectromagntiques (machines
lectriques de fortes puissances) posent les mmes problmes que dans les cblages rseaux
classiques. Souvent, il faudra mlanger des solutions avec cblage rseau et liaison hertzienne.
11.1. Bluetooth
Ce type de liaison sans fils permet de reli deux appareils via une liaison hertzienne. Ces appareils
peuvent tre des appareils photo numriques, des PDA, imprimantes, .. Bluetooth exploite la gamme
de frquence des 2,45 Ghz ISM (Industrial, Scientific & Medical) qui est normalement libre de droit
pour la majorit des pays. Le nombre de frquences distinctes utilises est de 79. Vous pourriez donc
utiliser 79 rseaux diffrents dans la mme pice. Le dbit de la connexion est de maximum 1 Mb/s
pour des priphriques distants de maximum 4 mtres et 75 kb/s pour des distances suprieures. La
distance maximum est de 10 mtres, mais peut atteindre dans certains cas 100 mtres. En effet, la
technologie Bluetooth dfinit 2 catgories de puissances radio-frquence pour les rseaux
personnels, la plage courte (0 dBm) qui autorise des distances jusqu' 10 mtres et la plage moyenne
(+ 20 dBm) qui porte jusqu' 100 mtres. La liaison radio soutient la fois la transmission de donnes
et vocale avec une vitesse maximum de donnes de 72 kb/s, ce qui est en pratique le taux maximum.
Scurise, cette connexion est transparente uniquement si les deux appareils se connaissent. Chaque
priphrique est reoit un code la fabrication sur six octets: les trois premiers dsignant le
constructeur et les trois autres la machine. En effet, chaque appareil bluetooth peut tre dsactiv
pour une connexion automatique ou activ pour seulement certains appareils. Les priphriques
utilisent donc des systmes de protection vitant le transfert de donnes non autorises.
Nanmoins, la scurit est souvent dsactive par dfaut et le piratage est donc possible pour
rcuprer par exemple les donnes du carnet d'adresse d'un GSM ou d'un PDA partir d'un autre
appareil ou utiliser le GSM du voisin pour une connexion INTERNET.
Au sein d'un rseau bluetooth, un appareil sert de matre et jusque 7 priphriques esclaves qui se
partagent la bande passante. Il est possible en thorie de faire communiquer jusque 10 groupes
d'appareils, soit 80 appareils.
Au contraire des liaisons IEEE 802.11, ce type de connexion n'est pas ddi pour les liaisons
rseaux (mme si c'est possible). Il permet par exemple de connecter un PDA ou un GSB directement
un Notebook ou un ordinateur portable.
11.2. IEEE 802.11
Liaison hertzienne utilisant galement la bande de frquence des 2,45 Ghz (ISM). Le dbit maximal
est de 2 Mb/s sur une distance maximum de 100 mtres. Les spcificits un peu vieillottes de ce
standard de rseaux sans fils datent de 1997. Elle n'est plus utilise actuellement.
11.3. IEEE 802.11a
Cette norme opre dans la bande de frquence 5-6 Ghz. Le schma de modulation utilis est le
"orthogonal frequency-division multiplexing" (OFDM). Dans ce type de modulation, le signal est
dcoup et envoy sur plusieurs de frquences diffrentes. Ceci limite les interfrences et rend
possible des vitesses de transmission de donnes allant jusqu' 54 Mb/s (soit environ 6 MB/s), mais
plus gnralement les communications se passent 6 Mb/s, 12 Mb/s ou 24 Mb/s.
La distance maximale entre le point central (qui fonctionne comme un Hub) et les stations est de 366
m 6 Mbps en extrieur et de 91 m 6 Mbps en intrieur. Pour de faibles distances, il est plus rapide
que le 802.11B Wifi.
Cette norme est parfois appele Wifi5. Elle est peu utilise en Europe mais trs implante aux Etats-
Unis.
11.4. IEEE 802.11b - Wifi - IEEE 802.11 HR
Driv du IEEE 802.11 (1999), cette liaison hertzienne utilise la bande de frquence des 2,4 Ghz. Elle
est utilise comme connexion rseau via des cartes rseaux spcifiques et un appareil central appel
point d'accs (Access Point) fonctionnant comme un hub (la bande passante totale est donc partage
entre les diffrents PC. Cette connexion permet un dbit maximum de 11 Mb/s sur un rayon d'une
centaine de mtres mais la porte dpend fortement de l'environnement (murs ou cloisons, ...). Le
nombre de priphrique est limit 10 par stations.
La connexion utilise les 2 couches basses du modle OSI qui servent au transport. Chaque PC,
portable et priphrique inclus une carte rseau de type WIFI avec une antenne. Un concentrateur
(HUB, switch ou mme routeur) sert de point central pour le partage ou ventuellement pour une
connexion vers un concentrateur classique.
La mthode de prise de ligne est de type CSMA/CA, identique aux rseaux Ethernet. Lorsqu'une
station met sur un cble, elle est l'coute de toutes les stations sur le cble, ce qui pourrait ne pas
tre le cas dans une liaison hertzienne. En effet, le fait que 2 stations puissent se raccorder sur le
noeud central n'inclut pas que les stations puissent communiquer directement entre elles si la
distance est trop importante. Pour cela, on utilise le mcanisme de "Virtual Carrier Sense". Une
station voulant mettre transmet un petit paquet appel RTS (Request To Send), qui indique la
source, la destination et la dure de la transmission. La station rpond, si elle est libre, par un paquet
de contrle appel CTS (Clear To Send) qui inclue les mmes informations de dure. Toute les
stations qui reoivent un RTS ou un CTS dclenchent un indicateur de Virtual Carrier Sense (appel
NAV - Network Allocation Vector) pour une certaine dure.
La distance maximale est de 503 mtres 1 Mbps en extrieur et de 152 m en intrieur dans un
mode particulier. Peu de cartes ou de points d'accs sont compatibles avec cette fonctionalit.
Un routeur WIFI peut servir de routeur ou de pont. Il utilise gnralement 2 antennes directionnelles.
Les cartes rseaux sont spcifiques, avec une antenne extrieure.
11.5. IEEE 802.11B+
Le 802.11 B+ est driv du 802.11 B. Il utilise la mme gamme de frquence mais avec des
particularits d'en cryptage spcifiques puisque celui-ci se fait sur 64, 128 ou mme 256 bits. Pour
rappel, les versions actuelles d'Internet Explorer ne cryptent que sur 128 bits. Ce systme permet des
dbits de 22 Mbps, soit le double de 802.11b, en compressantles donnes.
Il est tout fait compatible descendant avec le 802.11B standard. Un priphrique 802.11B+
acceptera donc la connexion avec les priphriques 802.11B. Par contre, ce standard n'a jamais t
rellement normalis. Des appareils 802.11B+ de fabricants diffrents peuvent ne pas tre
compatibles.
11.6. Rseau sans fils 802.11 G
Mme si la normalisation date de mai 2003, quelques appareils sont sortis avant. Les premiers
appareils rellement la norme sont sortis dbut juillet 2003. Cette norme wireless permet des
liaisons 54 Mbps en utilisant la gamme de frquence des 2,4 Ghz (idem que le 802.11 b). Cette
utilisation de la mme zone de frquence devrait permettre de mlanger des points d'accs 802.11 B
et 802.11 B+ (dans la mme marque). Le point central adapte sa vitesse en fonction du priphrique
connect, permettant des clients 802.11 B de se connecter.
La srie How to reprend la configuration d'un routeur 802.11G DI-624
11.7. Wifi 802.11G+
Cette amlioration du 802.11G est sorti dbut 2004 et double la vitesse de connexion des 802.11G
pour atteindre 108 Mb/s en compressant les donnes. Cette vitesse est donc plus thorique que
pratique. Un exemple de configuration d'un pont D-link DWL-2100AP
11.8. IEEE 802.11N
En cours d'laboration en 2006 (version draft), ce norme est seulement normalise depuis 2009. La
vitesse maximum thorique est de 150 (version N-150) 300 Mb/s (version N-300) pour 54 Mb/s en
802.11G. Cette vitesse est celle de transport et ne tient pas compte des codes de contrles, cryptage,
... inclus dans le message. En pratique, le dbit effectif est compris entre 100 et 200 Mb/s.
Le 802.11N utilise le MIMO (Multiple Input Multiple Output) qui permet d'envoie et rceptionne en
utilisant trois antennes simultanment. En modifiant le positionnement des 3 antennes du point
d'accs comme de la carte rseau, on augmente la distance maximum (mais toujours sous les 100
mtres). Cette solution ne permet pas non plus de "passer les murs" mais permet dans certains cas
de les contourner.
Le 802.11N utilise en mme temps la bande de frquences 2,45 Ghz - ISM et la bande des 5 Ghz
(utilise par le 802.11a). 8 canaux peuvent tre utiliss (23 ou 3 est le nombre d'antennes) pour un
seul dans les autres connexions.
11.9. Wimax
Le Wimax (Worldwide Interoperability for Microwave Access) est une connexion sans fils haut dbit
et longue distance. Elle autorise un dbit de 70 Mb/s sur maximum 50 km. C'est une liaison point
point. Cette solution est en cours d'implantation en Belgique (2008) et en France depuis fin 2006,
mais peu suivie car en concurrence avec le rseau 3G bas sur les transmissions GSM.
Ce n'est pas un WIFI, il n'utilise pas la gamme de frquence ISM (libre d'utilisation) et une
autorisation pralable est obligatoire. Diffrentes versions sont utilises:
La version 802.16a permet une distance de 20 Km maximum avec un dbit maximum de 12
mb/s. La bande de frquence utilise se situe entre 2 et 11 Ghz. Elle est obsolte.
Sortie en 2004, la norme 802.16d atteint les distances de 50 km. C'est cette norme qui est
actuellement commercialise pour les connexions Internet.
La version 802.16e sortie en 2005 transpose le Wimax pour la tlphonie mobile avec un taux
de transfert de 30 Mb/s pour une distance de 3 km maximum. C'est un des deux systmes 4G avec
LTE. Cette solution commence remplacer les connexions 3G actuelles (dbit de 400 700 Kb/s) fin
2012. La plage de frquence se situe entre 2 et 6 Ghz.
La version 802.16f permet des accs partir de plusieurs points diffrents (topologie
maille).
802.m est en cours d'laboration avec des vitesses 100 Mb/s.
Le Wimax utilise le multiplexage OFDM (Orthogonal Frequency Division Multiplexage) qui utilise
plusieurs plages de frquence diffrentes en mme temps, sparant les applications.
11.10. Connexion infra-rouge.
Ce type de connexion va disparatre et remplac par des connexions hertzienne vues plus haut. Le
premier problme de ce type de connexion vient de son mode de fonctionnement, la lumire. Les
appareils connects doivent tre parfaitement en face l'un de l'autre, ce qui n'est pas toujours aiss.
De plus, de nombreuses solutions ont t proposes. Mme si la liaison IrDA (install dans les
imprimantes HP990CXi par exemple) a pris plus d'ampleur que les autres liaisons, cette multitude de
systme fortement rduit le champs d'activit.
La liaison infra-rouge IrDA permet une connexion de 1 mtres pour une vitesse maximum de 16 Mb/s
11.11. Scurit des rseaux sans fils.
Et oui, si vous pouvez vous connecter sur votre rseau sans connexion physique jusque une certaine
distance, d'autres le peuvent aussi. Pour viter que d'autres ne mettent leur nez dans votre rseau
ou utilisent votre bande passante pour tlcharger de la musique ou autres exploits de hackers en
herbe, votre connexion sans fils doit tre scuris.
Le premier protocole de scurisation utilis est le WEP (Wired Equivalent Privacy). Il date de 1999 et
ses caractristiques sont relativement faibles. WEP est implant par dfaut dans les anciens routeurs
ADSL mais facilement dcodable par de petits outils logiciels. Il utilise une cl connue des deux points
de connexion de longueur fixe sur:
64 bits (WEP64). 24 bits utiliss par le cryptage suivis de 40 bits pour la cl (10 chiffres en
hexadcimal).
128 bits (WEP128). 24 bits pour le cryptage, les 104 bits suivants pour la cl (26 chiffres en
hexadcimaux)
256 bits (WEP256), 24 pour le cryptage et 232 bits pour la cl (58 en hexadcimal), rarement
utilis, remplac par WAP ci-dessous
La solution suivant en 2003 passe par le protocole de scurit 802.11i. Les retards pris par
l'laboration de la norme ont conduit l'utilisation du WPA (Wi-Fi Protected Access), une version
allge avec un cryptage de 128 bits. Dans ce cas la cl n'est plus fixe mais peut tre directement une
phrase.
Deux mthodes sont utilises:
dans la version standard implante dans les points d'accs du commerce, une cl est connue
de tous les quipements devant rentrer en communication. On parle WPA-PSK (Pre-Shared Key). Plus
scurise que le WEP, elle est aussi dcryptable via des logiciels gratuits.
Le mode TKIP (Tempory Key Integrity Protocol) utilise un protocole supplmentaire associ
un serveur (gnralement utilisant Radius), qui utilise une cl alatoire combine une phrase
connue des deux quipements. Lors de la premire communication (si la cl utilisateur est correcte),
la cl alatoire est envoye en clair. Dans les communications suivantes, cette deuxime cl sur 48
bits (on parle de vecteur d'initialisation) va tre non seulement chiffre mais galement modifie
jusque plusieurs fois par seconde. C'est la version WPA entreprise.
La norme 802.11i est associe au protocole WPA2 mais est peu installe dans les quipements sans
fils standards. Ici aussi, les deux modes existent. Comme diffrence par rapport la premire version,
le cryptage est pass sur 256 bits et la mthode de chiffrement a t compltement modifie. Cette
solution pose encore de nombreux problmes d'interconnexion entre quipements en absence de
normalisation complte du WPA-2.
Deux autres mthodes sont utilises. La premire est de cacher le SSID du rseau. Comme le point
d'accs n'met pas de nom, celui-ci doit donc tre connu de l'ordinateur pour pouvoir se connecter.
Intressant puisque les personnes extrieures ne dtectent mme pas un rseau sans fils, mais peut
tre dtect par diffrents logiciels ou mme Seven et Vista mais sans connatre le nom utiliser.
La dernire mthode passe par un filtrage par adresse MAC des cartes rseaux. Seules les cartes
rseaux (et donc les ordinateurs) dont l'adresse MAC est reprise dans la liste sont autorises se
connecter. C'est la solution de scurit la plus sre actuellement, surtout lorsqu'elle est utilise en
mme temps que les autres mthodes ci-dessus.


12. Protection lectrique, onduleur, ...
12.1. Introduction - 12.2. Fonctionnement d'une alimentation dcoupage - 12.3. Perturbations du
rseau lectrique 12.4. Les disjoncteurs - 12.5. Onduleur - UPS (Uninterruptible Power Supply)
Le rseau lectrique europen est aliment en 230 V alternatif (ventuellement comme nous l'avons
vu en premire du 230 ou 380 V triphas). Par contre, les appareils informatiques sont aliments en
basses tensions continues (gnralement compris entre + 12 et -12V). Pour transformer la tension
d'alimentation du rseau lectrique en tension acceptable par les appareils lectroniques, on utilise
une alimentation.
En premire dans le chapitre sur les bases d'lectricit et lectronique, nous avons vu un montage
alimentation par pont redresseur. Les alimentations utilises en informatique utilisent la technologie
"A dcoupage". Ce principe est non seulement adapt aux alimentations, mais galement aux UPS
(onduleur en Franais). Les alimentations conventionnelles ont gnralement un rendement proche
de 50 % pour jusque 80 % pour les alimentations dcoupage. Le rendement (le rapport entre la
puissance consomme et la puissance rendue en continu) de ces alimentations par pont redresseur
(4 diodes) aprs passage par un transformateur est trop faible.

12.2. Fonctionnement d'une alimentation dcoupage.
Avant de commencer, deux remarques s'imposent:
1. Au prix d'une alimentation PC, la rparation n'est rentable (aussi en temps)
2. Les pices sont difficiles trouver. La technique de rparation est plus spcifiques aux vrais
lectroniciens qu'aux techniciens informatiques. De ce fait, les rparations ventuelles sont difficiles
raliser (sinon impossibles). En plus, les prcautions en ouvrant ces appareils sont de types "si tu
met le doigt l, c'est du 230 V alternatif, l c'est du 380 continu, ..." Bref, si vous n'avez pas de
connaissances srieuses en lectronique analogique (transistors, haute tension). ATTENTION!
Prenons le schma suivant.

La tension de dpart est alternative en 230 V, elle est redresse directement par un pont de diodes
dit de Pont de Graetz sans transformateur intermdiaire, coupl avec un condensateur (230 V en
continu, 330 V en pointe sans le condensateur). Le composant suivant est un transformateur: un
transformateur parcouru par un courant continu au primaire ne produit aucun signal au secondaire.
Par contre, si vous faites passer une tension alternative au primaire d'un transformateur, il en ressort
au secondaire une tension de mme forme mais de valeur diffrente (une division suivant le rapport
nombre de bobines entres / sorties). A quoi peut donc bien servir ce transformateur?
En srie avec le transformateur, on insre un transistor qui va dcouper la tension, permettant une
tension discontinue au primaire du transformateur. La base du transistor (la gchette en technologie
CMOS) est relie au secondaire du transformateur via un circuit de commande, pour la majorit des
modles via un autre transformateur (sparation galvanique servant de protection). Ceci vite des
problmes en cas de sur-tensions sur le rseau lectrique.
A l'allumage, le rseau lectrique n'est pas continue (le temps de charger le condensateur mais aussi
les imperfections de l'interrupteur). Cette tension va d'abord alimenter le circuit de commande qui
va commencer faire hacher la tension continue aux bornes du transformateur.

Plus la proportion de hachage va tre grande sur la gchette du transistor (ou base dans le cas d'un
transistor bi-polaire), plus la tension en sortie va tre grande. Le circuit de commande va faire varier
ce dcoupage en fonction de la tension de sortie de l'alimentation et ainsi rguler cette tension.
Comme le pont est directement sur le 230 V alternatif, considrez que la moiti du montage est sous
230 V. Le signal d'entre est une tension redresse (continue), ce montage lectronique permet
galement de dmarrer directement d'une tension continue (batteries, panneaux voltaques, ...).
12.3. Perturbations du rseau lectrique.
Reprenons notre signal alternatif de base.
1. Coupure complte du courant provoque gnralement par un problme de rseau
lectrique ou d'un disjoncteur.
2. Surtension, la tension du rseau est suprieure la tension pour laquelle les alimentations
sont conues (pensez aux diodes d'entres). Ceci est spcifiques aux installations proches des cabines
lectriques "haute tension". Mme si une surtension n'est par forcment dangereuse pour les
installations informatiques (dans des valeurs raisonnables), cette perturbation provoque des
contraintes des composants de l'alimentation qui, terme, provoquent les pannes.
3. Sous-tension, la tension est infrieure celle pour laquelle les alimentations sont conues et
l'alimentation ne sait plus fournir une tension suffisante en sortie. Dans le cas des alimentations pour
PC, elle descendent au moins jusque 180 V. Une sous-tensions est gnralement provoqu par une
augmentation soudaine de le consommation lectrique sur le rseau par le dmarrage de dispositifs
lectriques lourds: moteurs, compresseurs, ascenseurs, ... mais galement par une distance trop
importante par rapport la cabine haute tension. Ce problme lectrique peut provoquer des
blocages et crash inattendus. Elles rduisent galement la dure de vie de l'ordinateur.
4. Transitoires. Signaux parasites de haute frquence qui se superposent sur le signal
lectrique, elles peuvent aller jusqu' 4000 Volts, mais sont plus faibles gnralement.
5. Micro coupures. De faibles coupures du signal lectrique durant quelques millisecondes.
6. Pics de tensions: surtensions de dure trs faible (infrieure 1/120 seconde), mais de forte
intensit (suprieure 4000 V), gnralement dus l'arrt de machines lectriques de fortes
puissances (moteurs, climatiseurs, quipements industriels, ...) qui dissipent la tension excdentaire
sur le rseau. Ici aussi, on assiste une usure des composants.
7. Foudre, aussi une surtension. La foudre vient de phnomnes mtorologiques (orages) qui
transfre de fortes tensions sur le rseau lectrique mais aussi tlphonique. Une forme de foudre
remonte de la terre, lie la gologie du sol et donc une zone gographique limite, sans relles
solutions de protections, mme si la proportion est faible, moins de 1% des cas.
Comment va se comporter notre alimentation dcoupage dans ces cas:
En cas de panne complte du rseau, plus d'alimentation.
En cas surtension (jusqu' 280 Volts), l'alimentation dcoupage va rguler la sortie mais
avec des contraintes pour les composants lectroniques.
En cas de transitoires, le redressement au primaire va rduire les effets, mais le
transformateur ne servira pas de tampon, il va juste rduire la tension. Le condensateur et la self de
lissage au secondaire vont juste les attnuer. Elles provoquent gnralement des blocages de cartes
mres avec les alimentations ATX actuelles. C'est identique pour les pics de tensions.
En cas de micro-coupures, les diffrents condensateurs vont servir en partie de rserves
d'nergies.
En cas de foudre, l'alimentation tombe gnralement en panne mais peux aussi dtruire
d'autres composants de l'ordinateurs.
Ces diffrentes perturbations lectriques ne sont analysable que par des appareils professionnels
que l'on appelle perturbographes.
12.4. Le disjoncteur
Ces appareils protgent uniquement des surtensions (y compris la foudre). En cas de surtensions, ils
dconnectent les appareils du rseau lectrique. Les moins chres doivent tre remplacs aprs une
seule surtension importante, les autres permettent une remise zro.
Bref, ce n'est pas forcment la solution pour des installations professionnelles, juste un premier
niveau de protection.
12.5. UPS - onduleur
Un UPS (Uninteruptible Power Supply, onduleur en Franais) inclut des batteries qui alimentent les
appareils connects lors d'une coupure de courant, dconnectent les appareils du rseau en cas de
sur-tension / foudre et rgularisent la tension du rseau. Trois schmas sont utiliss:
On-line
Line-interactive
Off-line.
Les UPS actuels se connectent avec un logiciel l'ordinateur via un port USB (srie pour d'anciens
modles), ce qui permet d'teindre le PC proprement (y compris sauvegarde de donnes) en cas de
coupure prolonge. Les onduleurs permettent typiquement une alimentation de 10 minutes, le
logiciels coupe l'ordinateur au minimum avec une scurit de 5 minutes mais c'est paramtrable.
Certains BIOS permettent de redmarrer le PC lorsque la tension est rtablie.
La puissance d'un UPS est donne en VA (Volts - ampres). L'quivalence pratique avec la puissance
en Watts est de 1,6. Par exemple, une consommation de 350 Watts ncessite un onduleur de 350 X
1,6 = 560 VA. Une station standard consomme dans les 300 Watts. Ceci conditionne le choix de la
puissance. En cas de sous puissance de l'appareil de protection, il sera endommag ou disjonctera en
cas de coupure. Les imprimantes laser ne doivent pas tre protges, cause de la brusque
consommation de courant lors du dbut d'impression.
Reste les batteries- accumulateurs. Elle sont gnralement au plomb avec une tension de service de
12 Volts continu, parfois connectes en srie pour atteindre 24 Volts et en parallle pour augmenter
la dure d'alimentation (charge plus importante). Ces batteries doivent tre compltement
dcharges rgulirement, ceci pour viter l'effet mmoire de recharge, tous les 6 mois en moyenne.
C'est identique pour les ordinateurs portables, GSM, ...
Certains UPS incluent des protections pour les cbles Ethernet et lignes tlphoniques.
12.5.1 Onduleur Off-line

Rgulation de tension
Schmas de fonctionnement d'un onduleur Off-line En noir, l'volution du rseau lectrique, en
vert la tension de sortie du l'onduleur.
Les modles Off-line sont les plus courants et utiliss pour les ordinateurs individuels, les puissances
varient de 420 800 VA. Le rseau lectrique est spar de l'appareil par un relais qui s'ouvre en cas
de sur ou sous tension. En fonctionnement normal, le signal d'entre est filtr pour liminer une
partie des parasites et le convertisseur charge les batteries.
En cas de coupure du rseau lectrique ou si la tension est infrieure 176 Volts ou dpasse les 280
Volts, le relais s'ouvre, dissociant le montage du rseau lectrique. Le convertisseur recre la tension
de sortie partir de l'nergie des batteries. Le temps de raction du relais est relativement lev
(quelques millisecondes) et cette technique ne corrige pas les micro-coupures.
12.5.2. Onduleur Line Interactive.
Similaires aux off-line, ces onduleurs intgrent en plus un booster qui permet d'injecter une tension
supplmentaire en cas de variations de tensions, mais surtout de baisses prolonges. Le circuit de
compensation va juste "booster" la tension de sortie pour des tensions d'entres entre 176 Volts (le
minimum) et 205 Volts , diminuant les contraintes de l'alimentation des quipements protgs. Pour
des tensions d'entres infrieures 176 Volts ou suprieur 280 volts, le fonctionnement est
identique aux modles off line.

Schmas d'un line-Interactive Rgulation de tension

12.5.3. Onduleur On-Line

Le fonctionnement d'un onduleur On-Line est nettement diffrent. La tension d'entre est
systmatiquement redresse et alimente en permanence les batteries: la tension est donc stable.
Cette tension de 12 ou 24 Volts est ensuite retransforme en tension alternative de 230 Volts en
sortie.
Lors d'une coupure de tension du rseau lectrique, les accumulateurs vont assurer l'alimentation
lectrique des quipements connects via le convertisseur continu / alternatif. Si l'alimentation du
rseau passe en sous tension ou en cas d'une courte baisse de tension, la source d'alimentation
utilise va tre le rseau lectrique aid par la charge des batteries, les deux sont donc utilises
simultanment, augmentant la dure de la protection, la diffrence des autres types d'UPS). Seul
problme, les accumulateurs au plomb sont pratiquement utiliss en permanence, et finalement
remplacer plus souvent (les batteries reprsentent quasiment 2/3 d'un prix d'un onduleur).
Gnralement, ces modles utilisent deux circuits de by-pass. Le premier permet d'alimenter les
ordinateurs sans passer par l'lectronique de l'onduleur, utilis lors du remplacement des batteries
ou lors d'une rparation de l'onduleur. Le deuxime by-pass est similaire aux off-Line et augmente la
dure de vie des batteries.
12.5.. Comparaison des protections
Les couleurs utilises dterminent les risques en fonction des problmes du rseau lectrique.
Tension d'entre Disjoncteur Off-line Line Interactive On-line
<180V plus d'alimentation relais ouvert, alimentation uniquement par les batteries
Alimentations par les batteries et le rseau
180 - 220 V Fonctionnement normal fonctionnement via le rseau lectrique
Alimentation via le rseau lectrique, aid par le booster pour des tensions comprises entre
176 et 205 volts. Alimentation par le rseau et les batteries si ncessaires
220 - 240 V Fonctionnement normal
240 - 280 V Fonctionnement normal Alimentation via le rseau. Alimentation par le
rseau
>280 V Coupure brusque Fonctionnement par batterie.
Haute tension, foudre Coupure brusque Fonctionnement par batteries, attention au dlais
d'ouverture du relais. Alimentation par batteries et coupure du disjoncteur (remise zro
obligatoire)
Pic de courte dure Aucune dtection Protection partielle totalement protg
Micro-coupures
La protection lectrique reste un compromis entre le prix des appareils de protection et l'importance
du matriel protger. La scurit d'un serveur informatique d'entreprise ncessite au minimum un
onduleur online, alors qu'un ordinateur personnel se contentera probablement d'un disjoncteur.
L'arrt d'une heure de production revient nettement plus chre que le prix d'un UPS. Attention, Vous
ne pouvez pas mettre d'onduleur pour protger une imprimante laser. Dans ce cas, la seule
possibilit de protection lectrique est le disjoncteur.


14. Technologies alternatives rseaux informatiques
14.1. Introduction - 14.2. Technologie IPP - 14.3. Connexion Ethernet par rseau lectrique - 14.4.
Voice over IP
Sont rassembles ici un ensemble de technologies hardwares qui sont plus ou moins en cours de
conceptions et d'autres technologies difficilement classables dans les autres chapitres.
14.2. Technologie IPP
Cette technologie permettra d'imprimer via Internet. Elle est dveloppe depuis 1996 conjointement
entre diffrents fournisseurs d'imprimantes (HP, Novell, Microsoft, Xerox, Lexmark). Elle utilisera
selon les derniers dveloppements le port NetBios 631 au lieu du port tcp 80 utilis par HTTP.
Les dveloppements actuels penchent galement sur une adresse imprimante de type "ipp://... au
lieu de http://www.... cette technologie permettra non seulement d'imprimer distance via Internet,
mais galement d'assurer certaines tches administratives sur ces imprimantes ou mme d'imprimer
distance un site Web.
14.3. Connexion Ethernet par courant porteur de ligne (CPL).
Le rseau le plus courant est le rseau lectrique en 230 V. Plusieurs tentatives ont ou sont en cours
de dveloppement pour faire passer les informations digitales (rseau informatique) via ce lignes,
notamment les connexions INTERNET avec plus ou moins de succs. Par contre, diffrents fabricants
proposent depuis dbut 2003 des solutions de rseau interne via le rseau lectrique (en
concurrence avec les rseaux sans fils).
Avec le chapitre 12 du cours hardware 2, nous avons fait un tour du rseau lectrique. Avant
d'tudier quelques possibilits, voyons quelques contraintes du rseau de distribution lectrique.
Quelques rappels:
Le rseau domestique dans une habitation est en 230 V monophas en Europe. Par contre, le rseau
lectrique extrieur est en triphas (3 phases ou 3 phases + neutre). En prenant 2 fils, on obtient le
rseau monophas. Pour que le signal soit propag d'un point l'autre, il faut que les 2 points soient
sur la mme phase. Vous pourriez donc communiquer avec une maison plus de 100 mtres et ne
pas pouvoir atteindre une autre pice chez vous si elle est sur une autre phase lectrique. C'est le
mme problme avec les appareils pour surveiller les enfants en bas ge de type "baby phone".
Pour transporter le courant lectrique sur de longue distance, la tension lectrique est augmente
pour rduire les pertes d'nergie. C'est ce qu'on appelle les lignes haute tension qui dpassent les
5000 V. Pour passer de la tension 230 V la haute tension, et vis et versa, on utilise un
transformateur. Ces transformateurs rduisent (ou augmentent) les signaux parasites et les signaux
digitaux en mme temps que la tension du rseau. En plus, de par l'effet de self d'un transfo, la
forme des signaux est modifie. Ceci explique les problmes des liaisons Internet par rseau
lectrique rencontrs actuellement en dveloppement chez EDF en France.
Avec le chapitre sur les protections rseaux lectriques, nous savons galement que celui-ci est
parcouru par de nombreux parasites. Dans les milieux "usine", cette solution risque de poser de
srieux problmes.
14.3.2. Connexion Internet.
EDF en France notamment dveloppent un accs large bande INTERNET via le rseau lectrique. Le
problme majeur qu'ils tentent de rsoudre vient de la modification (perte) du signal lors du passage
travers les transformateurs dans les cabines "haute tension". Cette solution est limite pour un
village ou un immeuble.
14.3.3. Ethernet via rseau lectrique (CPL).
Cette solution existe dj en Belgique depuis 2003. De la mme manire que la modulation des
modems, le signal est modul sur la frquence du rseau lectrique. Les contraintes lies au
transformateurs sont galement de mise. Le problmes des phases du rseau est le deuxime
problme. Par contre, cette solution est la plus facile pour relier deux pices d'un mme btiment ou
mme entre deux btiments pas trop loigns: surtout lorsque les rseaux Wifi ne sont pas possibles
(tolles mtalliques, dalle de bton avec treillis mtalliques, murs pais, ...). Cette solution engendrent
nanmoins de fortes perturbations lectromagntiques dans les ondes courtes et peut provoquer
des perturbations sur d'autres quipements lectriques.

La liaison Ethernet travers le rseau lectrique (Ethernet Over Power Line) utilise des appareils
spcifiques que se chargent du transfert des signaux via la ligne lectrique. De l'autre ct, l'appareil
est muni d'une liaison Ethernet classique 10/100 qui se connectent sur les carte rseaux des PC,
Hubs, switch, ...
Le dbit maximum de ce type d'installation est de 14 Mbps pour les versions courantes, soit un peu
plus que le Wifi 802.11B 10 Mps, 200 Mbs et jusqu' 500 Mps pour les plus rapides, ce qui permet
de raccorder des cartes Ethernet Gigabit pour le VOIP ou les signaux TV. La distance maximum est
actuellement limite 200 mtres.
La mthode de communication utilise une modulation de type OFDM (Orthogonal Frequency Division
Multiplexing) dj utilise dans la norme 802.11a. Cette technologie intgre de nombreuses
fonctions, comme la gestion de la QoS (classes de priorit, contrle de la latence, et adaptation des
taux de transmission au temps de propagation d'un paquet).
Cette solution permet via d'autres appareils de relier directement via le port USB des PC ou via une
carte Ethernet standard.
La scurisation de la connexion se fait par programmation logicielle et / ou par un bouton poussoir
sur chaque adaptateur
14.4. VoIP, Voice Over IP
Au dbut des rseaux, les liaisons ont utiliss les fils tlphoniques. Juste retour des choses, les
liaisons rseaux vont accepter les liaisons tlphoniques et, en gnral, la voie sur des rseaux
TCP/IP.
Une distinction avant de commencer. Il faut imprativement dissocier le VoIP et ToIP. Dans le
premier cas, le rseau Ethernet permet de faire transiter la parole. Dans le deuxime cas, des
logiciels permettent de "tlphoner" via le rseau INTERNET. Le ToIP est donc plus li aux logiciels
qu' l'infrastructure rseau.
L'avantage est surtout li aux communications grande distance (via Internet). Nanmoins, cette
solution fonctionne galement sur le cble rseau interne de l'entreprise avec une communication
vers des oprateurs utilisant un central tlphonique particulier sur le site de l'entreprise
(permettant de connecter des tlphones au sein de l'entreprise), faisant transiter le signal TCP/IP
voice sur le rseau Internet pour le rinjecter sur soit une autre connexion Voice / Over IP, soit
comme une communication tlphonique normale. Le VOiP utilise des tlphones (et des centraux
tlphoniques) particuliers.
La technologie volue actuellement avec des corrections, notamment au niveau des pertes de
paquets, problmes d'cho, temps de transfert de la voix ou mme des variations de dlais entre les
diffrentes parties du signal sonore, ce qui rendait parfois le message incomprhensible.
Plusieurs protocoles sont actuellement utiliss:
H 323: le standard actuellement le plus rpandu mais ne garanti pas une qualit du service.
Cette technologie (hardware et software) est notamment utilise par Netmeeting de Microsoft.
SIP (session Initiation Protocol): nouveau standard plus proche du monde informatique que
de la tlphonie, les messages sont de format similaire une application texte (comme la navigation
HTTP). Ceci garantit une meilleure qualit de rception du signal. Ce protocole permet galement
une meilleure implantation dans les programmes.
SIP est constitu de 8 routines: Invite, Register, Bye, ack, cancel, options, subscribe et notify. Coupl
XML, il mne un sous-potocole IPTML (IP Terminal Markup Language). L'ensemble des 2 devrait
permettre de rassembler des textes, sons, vidos dans un mme transfert de donnes.

Le lecteur ne doit donc pas trop penser en terme de communication Internet, mais bien en terme de
connexion tlphonique transitant sur Internet.

16. Switch Manageable DGS 1216T

Donn titre d'exercice, ce chapitre va nous permettre d'tudier d'un peu plus prt les switchs
manageables (administrable) de layer 2, 3 ou 4 (le type 4 est plutt une dnomination commerciale
des switchs qu'une similitude avec le modle OSI).

La configuration se fait via une interface de type Web, les anciens modles utilisaient galement une
connexion RS232-Telnet. La fentre Internet permet l'administration, la sauvegarde ou la
restauration des paramtres, ... Toutes ces possibilits permettent finalement d'ajuster les
performances et la scurit du rseau.

Les possibilits de ces switch permettent notamment:

grer les communications sur chaque port. Par exemple, ils peuvent interdire les communications
entre un groupe de ports et un autre groupe. Ceci permet notamment d'interdire une partie des
ports Ethernet (et donc des quipements) vers un port spcifique pour interdire l'accs Internet en
interdisant la communication vers le routeur ADSL.

Interdire les communications entres certaines adresses IP.

Crer des groupes d'utilisateurs via le protocole IGMP.

Grer la qualit du cblage rseau en affichant les statistiques de collisions sur chaque port.

Ils sont dits de layer 2 (niveau) s'ils permettent de dterminer les adresses IP, de niveau 3 s'ils
permettent de bloquer les ports TCP et / ou UDP). Les Layer 4 utilisent la couche 4 du modle OSI
(mme s'il ne la suivent pas correctement et permettent de bloquer certaines applications en
analysant les trames). C'est la mthode hardware pour bloquer les applications.

Avant de configurer et d'analyser un appareil de layer 2, quelques petites remarques concernant
trois types d'quipements:

un firewall hardware et un switch administrable de layer 3 permettent de bloquer des applications
via des ports. Si le programme essaye de passer par un port bloqu, il n'y aura pas de
communications.

par contre, un firewall hardware va dtecter les modifications de trames (content Filtering).

un routeur va permettre de transmettre les communications entre des rseaux de classes
d'adresses diffrentes en utilisant le NAT ou le PAT, pas un administrable.

16.1. D-Link DGS-1216T

L'appareil que nous allons utiliser est un DGS 1216T de marque D-Link. Il est de layer 2 (soit la plus
faible) et intgre 16 ports Gigabit, 2 ports combo SFP (mini GBIC) pour extensions ventuelles, l'auto
MDI/MDIX et diffrentes fonctions spcifiques comme le Ports trunking pour relier des switchs entre
eux. Il est bien sr montable en rack 19". C'est un quipement plutt utilis dans les PME que dans
les gros rseaux, mme s'il intgre de nombreuses possibilits.

La configuration se fait via une interface Web. Un programme d'installation est galement fourni
avec, notamment pour dtecter son adresse IP ncessaire sa configuration.

L'installation du logiciel va d'abord permettre de dterminer son adresse IP. Une fois l'quipement
dtect, la fentre va nous permettre via la commande configuration Setting de modifier les
paramtres IP. L'adresse IP choisie doit tre dans la mme plage que l'ensemble du rseau, ou au
moins que le PC connect si vous travaillez en adresses IP fixe.

Une fois cette configuration effectue, vous pouvez accder la configuration du switch manageable
DGS-1216T via votre navigateur prfr ou en utilisant le bouton Web Access dans la fentre de
configuration. L'affichage de dpart donne un rsum de la configuration de l'quipement.

Un rapide aperu des menus nous donne:

Ports, permet de configurer la vitesse des diffrents ports, ainsi que le Flow Control (enabled
permet de rduire les pertes de donnes) ou la priorit du port par rapport aux autres (QOS)
802.1Q VLAN qui permet d'associer des groupes de machines. Les connexions dans le mme
groupe ont accs entre eux, pas les autres. Ceci permet de totalement dissocier deux rseaux Lan.
le trunking qui permet de crer un regroupement de plusieurs switch, notamment les tables de
correspondance port / adresse IP connecte.
mirror setting permet de renvoyer une copie de toutes les donnes transmises vers un port vers un
autre port, notamment utilis lorsque l'on utilise un analyseur.
Le spanning tree protocol (aussi appel STP) est un protocole rseau (norme 802.1d) permettant
de dfinir un chemin de remplacement si la connexion principale est coupe. La connexion
configure ne se met en fonction que si il y a une panne sur la premire route, vitant les connexions
de boucles (plusieurs chemins possibles).
SNMP, permet la gestion simple d'un rseau
Jumbo Frame permet d'accepter ou non les trames Ethernet avec un MTU suprieur 1500 bytes
(octets), taille maximum en Ethernet 10/100 mais qui peuvent tre dpasss dans le Gigabit (9000
maximum).
QoS est li aux niveaux de priorit des ports vus plus hauts.
Status affiche la configuration de dpart comme lors de la connexion.
Statistic permet d'afficher les erreurs de transmissions par ports.


17. Exercice: connexion routeur - firewall hardware avec un modem ADSL RJ45.
17.1. Modem ADSL Tornado Copperjet 812 - 17.2. Routeur - Firewall Hardware - Switch - 17.3.
Paramtrage rseau et INTERNET des PC connects - 17.4. Quelques exemples de tentatives
d'intrusions et autres.
Sans la pratique, la thorie ne sert pas grand chose (et sans thorie, la pratique devient rapidement
incomprhensible). Cet exercice de partage de connexion reprend la connexion et le paramtrage
d'un routeur - firewall matriel avec un modem ADSL RJ45 (un routeur utilis comme pont, simple
modem ADSL), le tout connect un rseau Ethernet. Cette installation professionnelle scurise est
rserve aux entreprises. La formation INTERNET reprend plusieurs chapitres sur le partage de
connexion INTERNET (mthodes, modem USB, routeur / modem).
Si vous achetez un modem directement votre fournisseur d'accs, pas de problme, il est configur
grce un fichier spcifique. Par contre, si vous achetez un appareil l'extrieur, vous devez
pratiquement rinventer la roue, sans support technique. Les trucs donns ici serviront (je l'espre)
faciliter la vie pour d'autres connexions ADSL. Les paramtres Internet donns ci-dessous sont
spcifiques au fournisseur d'accs SKYNET (belgique), Paramtres de connexion reprend ces
paramtres pour divers fournisseurs d'accs
17.1. Le modem - routeur ADSL
Le modem ADSL RJ45 utilis ici intgre un routeur. Deux modles de connexion sont proposs: en
rseau Ethernet.
Soit connexion rseau avec un HUB (ou un switch). L'appareil est alors utilis comme routeur
ADSL et permet directement le partage de la connexion Internet.

Soit, connexion directement sur un PC munis d'une carte rseau Ethernet 10 (ou 100). Dans
ce cas, l'appareil est utilis comme modem ADSL.

Nous utiliserons une connexion similaire la deuxime solution. Le deuxime appareil (un firewall -
routeur Hardware) ci-dessous servira lui de routeur et le routeur Tornado sera utilis en "mode Pont"
(finalement comme simple modem). Remarquez la diffrence de connexion au niveau du cble RJ45.
Dans le cas d'un PC, on utilise un cble crois RJ45. Dans notre cas, comme il s'agit d'un router et non
d'un HUB, nous utiliserons galement un cble crois.
Les modems TORNADO sont solides mais ont systmatiquement une documentation complexe et ...
une configuration l'aide d'un logiciel spcifique. Ceci pose souvent des problmes avec les
nouveaux systmes d'exploitation (programmes incompatibles). Le modem ADSL doit tre
directement connect sur une carte rseau pour tre configur. L'installation du programme est la
porte de n'importe quel amateur informatique. Aprs l'installation, on retrouve 2 logiciels: un de
configuration et un moniteur. Vous pouvez vrifier par le moniteur la version dur firmware.
Comme se modle ne peut tre paramtr qu'en connexion directe, commenons par celui-ci.

L'utilisation de ce modem ncessite le chargement d'un profile (un fichier spcifique). Cliquons sur
Edit/new profile pour crer un tel profile. Une fois le fichier enregistr, la fentre suivante apparat.
Voici tous les modes d'utilisation de ce modem. Nous les verrons tour de rle, avec chaque fois
l'utilisation et les configurations.
17.1.1. mode bridged (pont)
Ce mode pont permet la connexion du modem comme passerelle. Dans ce mode, nous n'utilisons
que la partie modem du routeur, toutes les autres fonctions sont deseabled (login et mot de passe,
NAT, firewall ventuel, ...). Dans la fentre, nous rentrons:
1. l'adresse IP Lan: dfinie par l'utilisateur dans la classe 3 des adresses IP, soit de 192.168.0.0.
192.168.255.255. Ceci correspond la plage des adresses rseau internes. Dcidons par exemple
192.168.1.2.Nous reprendrons cette adresse dans tous les cas suivants.
2. Subnet mask: masque de sous-rseau. Dans la majorit des cas, ce masque est 255.255.255.0
3. L'adresse gateway, est l'adresse de la passerelle, typiquement celle du routeur: Prenons
192.168.1.1.
4. VPI / VCI. Premier problme, ces donnes sont rarement fournies: paramtres de connexion.
5. PCR (Peek Cell Rate). Ce nombre doit tre compris ici entre 0 et 500.000. Ceci reprsente la vitesse
maximale, je tape 500000. Remarquez que dans un autre routeur, la valeur par dfaut tait 864000.
6. Packet Filter: filtrage des donnes, soit aucun (par dfaut), soit laisse passer uniquement les
packets PPP (Forward), soit uniquement les IP. Laissez par dfaut dans la majorit des cas.
Laissez les autres paramtres par dfaut.
7. DNS relay doit tre l'adresse TCP/IP du modem en cas de bridged., mais elle n'est pas ncessaire
dans ce mode
17.1.2. mode Routed, modem install sur un HUB.
Ce mode permet de faire un pont entre un rseau local et un rseau WAN adresse IP fixe.
Les paramtres sont pratiquement identiques, sauf que:
Vous devez spcifier l'adresse Wan (Internet). Dans le cas d'une liaison ADSL avec adresse TCP/IP
fixe, c'est le mode de travail.
Vous pouvez galement utiliser dans ce cas le modem en serveur DHCP (configuration adresses
TCP/IP automatiques). Les donnes sont identiques au mode bridged pour le reste.
17.1.3. Mode PPPoA.
Ce mode PPPoA et le suivant PPPoE servent une connexion Internet directe (cas o le modem est
directement connect sur une carte rseau. En Europe, le mode PPPoE et le mode PPoA peuvent
tous deux tres employs. Ceci dpend du fournisseur d'accs. En thorie, le mode PPPoE est utilis
par les modems RJ45, les PPPoA pour les modem USB.
Une grosse diffrence par rapport aux modes prcdents, vous devez ici taper le login et le mot de
passe fournis par le fournisseur d'accs. Pour rappel, le login est loginfourni@FOURNISSEUR
Dans le cas de skynet, ce sera du type gv52222@SKYNET.
Le mot de passe est celui fourni par le fournisseur d'accs (provider).
Le protocol PAP / CHAP est essayer pour chaque fournisseur.
VPI/VCI est spcifique aux fournisseur: paramtres de connexion INTERNET
NAT (translation d'adresse) doit tre coch quand votre adresse LAN diffre de votre adresse
WAN, ce qui est dans la grosse majorit des cas le cas.
Le programme demande ici le type de connexion. Dans notre cas, elle est Ethernet et nous
tapons l'adresse et le masque habituel: 198.162.1.2 - 255.255.255.0. Cette adresse est ncessaire
pour configuration ultrieure (cas d'un raccordement direct). Tapez l'adresse DNS relay. Celle-ci doit
tre l'adresse fournie en DNS dans le rseau local (sur chaque station), mais ce n'est pas obligatoire
d'en taper une, notamment dans les systmes d'exploitation 2000, XP et suprieurs qui l'incluent
automatiquement. Nous verrons DHCP server plus tard.
17.1.4. Mode PPPoE (Point To Point Protocol Over Ethernet), le mode par dfaut en Europe pour une
connexion directe.
La configuration est identique celle PPPoA, except que le NAT est d'office coch et que le
protocole PAP / CHAP n'existe pas, ce qui est logique.
1. Username, par exemple gv52222@SKYNET
2. Password fourni par le provider ou fournisseur d'accs
3. VPI/VCI: 8/35, suivant le fournisseur d'accs (plus souvent le pays).
4. NAT cocher.
5. Ethernet dans notre cas, toujours l'adresse 198.162.1.2. et le sous masque 255.255.255.0
6. DNS relay. Celle-ci doit tre l'adresse fournie en DNS dans le rseau local (sur chaque station), mais
ce n'est pas obligatoire d'en taper une, notamment dans les systmes d'exploitation 2000, XP et
suprieurs qui l'incluent automatiquement.
17.1.5. Les autres modes: PPTP et IPoA
Ce sont des modes hybrides que je ne vois pas.
17.1.6. Au final.
Dans le cas d'une liaison par routeur, le mode utilis est bridged, dans le cas d'une liaison par HUB ou
en direct, le mode de connexion est PPPoE. La seule diffrence entre une connexion directe et une
connexion HUB est lie la passerelle qui peut tre renseigne dans la configuration du PC (ce n'est
pas toujours ncessaire). Dans paramtres, slectionner TCP/IP sur carte rseau et taper l'adresse
TCP/IP de la passerelle, dans notre cas 200.1.1.1. (n'oubliez pas de cliquer sur ajouter).
Et voil pour le modem. Cette partie suffira pour toutes les connexions modems ADSL. Pour les petits
modems, retenez au moins les paramtres VPI/VCI.
17.1.7. Configuration DHCP serveur
Ce mode permet d'attribuer automatiquement des adresses TCP/IP aux stations par le modem
(attention aux OS 2000, XP et suprieur). Pour les cas les plus courants, ceci n'est pas ncessaire.

On retrouve l'adresse DHCP serveur, terminant par 0 avec toujours le sous masque 255.255.255.0.
L'adresse Serveur est donc 198.162.1.0. Pour rappel, le DHCP permet un appareil de fournir tous
les appareils connects sur le rseau une adresse IP.
Range dtermine la plage d'adresse qui sera attribu aux stations. Dans notre cas, 198.162.1.10
198.162.1.30
L'adresse Routeur est obligatoirement celle donne au modem, soit 198.162.1.2 dans notre cas
17.2. Routeur - firewall Hardware - Switch 4 ports.
Le routeur - firewall est fourni par la firme Zero One Technology. Ce modle est quip d'un Switch
4 ports, d'une connexion vers modem ADSL RJ45 (d'o l'utilisation ci-dessus du Copperjet 812), d'un
routeur et d'un firewall hardware intgr.
Plusieurs appareils de ce type existent dans pratiquement toutes les marques. Certains avec modem
intgr, d'autres sans, ... le choix est suffisamment large.
Ces appareils se configurent par TELNET ou une interface web, directement en tapant l'adresse de
l'appareil dans la barre d'adresse d'Internet Explorer. Dans l'appareil ci-dessus, vous devez configurer
votre connexion TCP/IP PC pour obtenir une adresse TCP/IP automatique ou du moins faire partie du
mme groupe soit 192.168.1.X en sachant que par dfaut l'adresse du routeur est 192.168.1.1. Dans
les paramtres de connexions INTERNET Explorer, n'utilisez pas de proxy ce stade, sinon, vous
n'aurez pas d'accs au routeur (ou sinon, utilisez "Pas pour les adresses locales" avec l'adresse du
routeur en option).
Aprs avoir tap l'adresse de l'appareil dans la barre, la connexion se fait, avec un login et un mot de
passe spcifique l'appareil.
17.2.1. Configuration ADSL
Commenons par configurer la connexion ADSL.

Use PPPoE Yes (forcment).
Username et mot de passe sont fournis par le fournisseur d'accs.
Le Service Name est parfois fourni par le fournisseur d'accs, sinon, ne mettez rien.
"Connect on demand" permet de couper la connexion (et de se reconnecter) aprs 120
minutes, mais moins est nettement conseill.
Si l'abonnement ADSL prvoit une adresse TCP/IP Internet fixe, elle doit tre rentre en
"Fixed Adress".
Cette deuxime partie permet de configurer le TCP/IP.
Soit votre adresse TCP/IP Internet est fournie automatiquement par le fournisseur d'accs (Obtain IP
adresss Automatically), soit elle est fixe et fournie par celui-ci.
Les paramtres DNS primaires et secondaires sont fournis par votre fournisseur d'accs. Ceux ci-
dessus sont ceux de Skynet.


17.2.2. Configuration IP / Lan
Cette partie permet de configurer le routeur sur le rseau interne. Nous lui fournissons une adresse
(ici 192.180.1.1.) et un masque de sous-rseau (255.255.255.0)
L'adresse "Dfaut gateway" est gnralement celle du routeur (Lan IP adress) et doit tre renseigne
dans la configuration rseau de chaque PC

NAT doit toujours tre activ.
D'autres configuration permettent de modifier les mots de passe et l'heure interne du routeur. Cette
dernire option est utilise par la fonction firewall.
17.2.3. Autres paramtrages
D'autres paramtrages permettent d'utiliser le routeur en serveur DHCP (cf. modem), configurer le
routeur en DMZ (zone dmilitarise avec 2 routeurs), .....
17.2.4. Firewall hardware intgr.
Je ne rentrerai pas trop dans les dtails puisque celui-ci est spcifique cet appareil, seulement les
configurations de base.

Forcment, vous autorisez la protection firewall. Par dfaut, vous laissez (forward) les connexions du
LAN (rseau interne) au Wan (Internet). Dans le cas contraire, il est difficile en cas de blocage quel
port est bloqu.
Le paramtrage suivant permet de bloquer les connexions TCP/IP incompltes partir d'un certain
nombre par minutes (on est jamais trop prudent).
Les attaques DoS (Denied of Service) sont des attaques massives de trames incompltes sur une
adresse Internet donne. La cible tente de reconstruire les messages infrieurs 64 bits et
finalement "s'croule" sous la charge de travail.
Le port 139 est utilis en NetBios par le partage des ressources en rseaux Windows (avec 137 et
138). Pour viter le partage de ressources (disque dur et rpertoires via Internet): Non.
Enable remote management ... permet de configurer le routeur via INTERNET, peu recommandable,
seulement dans des dures limites.
La dernire commande permet de ne pas rpondre aux commandes de type Ping provenant
d'Internet (scannage des adresses, commande DOS Ping).
D'autres commandes permettent d'interdire des plages d'adresses ou des ports du Lan vers Internet
et vis versa.
La partie suivante permet d'envoyer un mail une adresse donne s'il y a une attaque ou mme dans
le cas plus bas pour envoyer par mail le fichier LOG.
17.2.5. Les ports TCP et UDP ouvrir sur le firewall
Dans le paramtrage de ce type de firewall, vous pouvez bloquer tous les ports TCP et UDP et n'en
ouvrir que quelques uns. La liste des ports a Ouvrir (ou a absolument fermer) est reprise dans la
formation INTERNET: Classes d'adresses, ports TCP et UDP
17.3. Le paramtrage sur le PC.
Une fois le paramtrage effectu sur les diffrents appareils, reste connecter l'installation.
L'installation se fait en deux parties, le paramtrage de la connexion rseau interne et le
paramtrage de la connexion INTERNET . Pour la majorit des firewall - routeurs actuels, tous les
paramtres sont automatiquement renvoys au PC, principalement en Windows XP et Vista. Ces
configurations ne sont faire que quand a ... fonctionne pas. En plus, par dfaut, ces systmes
d'exploitation se connectent via le rseau RJ45 s'ils dtectent une connexion existante.
17.3.1. Le paramtrage rseau et connexion INTERNET.
Comme pour toutes les connexions INTERNET, le protocole TCP/IP doit tre implant sur votre carte
rseau. Reprenons les paramtres de configurations de chaque PC et slectionnons la carte rseau
qui va se connecter (mme via des switch ou HUB) sur le routeur.

En affichant les proprits TCP/IP de cette carte rseau, on obtient la fentre suivante

L'onglet Adresse IP permet soit de laisser l'adresse automatique (par DHCP), soit de la spcifier. Dans
le cas d'une adresse automatique, la configuration IP des stations est automatise. Par contre, la
spcification d'une adresse a plusieurs avantages. Premirement, ceci permet de retrouver via son
adresse unique quel PC tente des connexions indlicates. Deuximement, en jouant sur le firewall,
on peut utiliser le TCP/IP et refuser que certains PC (via leur adresse IP) se connectent sur INTERNET.
Par exemple, on peut autoriser les adresses 192.168.1.1 192.168.1.100 se connecter, mais pas les
adresses 192.168.1.101 192.168.1.255. Le masque de sous-rseau doit tre toujours paramtrer en
255.255.255.0. Dans le cas de partage avec un PC sous Microsoft Windows XP, c'est quasiment la
seule mthode de connexion possible.
L'onglet Configuration Wins est sans importance ici. Intressons nous la passerelle. Elle doit tre
renseigne comme celle du routeur, soit dans notre cas: 192.168.1.1. La connexion marche
gnralement sans mais ceci facilite la connexion.
La configuration DNS n'est pas obligatoire mais de nombreuses connexions ne fonctionnent pas sans.
Par habitude, je l'insre. Elle doit tre identique celle implante dans le routeur (sinon Internet
Explorer ne fonctionne pas). Le nom d'hte et de domaine est sans importance mais doit tre
renseigne sous Windows 98. Les paramtres ci-dessous sont ceux de Skynet: rentrez d'abord le DNS
primaire et ensuite le DNS secondaire. D'autres paramtres de connexion FAI

Aprs avoir redmarrer le PC (du moins en Windows 98), il ne reste plus qu' paramtrer la
connexion INTERNET pour ce partage de connexion ADSL par routeur.
17.3.2. Paramtrage de la connexion INTERNET.
Dmarrer Internet Explorer. S'il ne dtecte pas de connexion, arrter la tentative. Dans le menu
Outils, slectionnez "Options Internet". Dans l'onglet Connexions, cliquez sur le bouton Configurer.

Cochez la case "Je veux configurer ma connexion manuellement ou en utilisant un rseau local
"LAN". Ensuite "En utilisant un rseau local. Laissez ce stade le proxy en automatique. Si votre
messagerie est dj configure, vous n'avez plus besoin de la configurer.
Dans le mme onglet, cliquez sur le bouton "Paramtres Lan".

Pour utiliser le proxy de votre fournisseur d'accs (ici Skynet), cochez la case correspondante et tapez
l'adresse fournie par le FAI. Dans ce cas, si vous utilisez des connexions spcifiques (le logiciel
bancaire ISABEL par exemple) ou souhaitez avoir accs la configuration du routeur partir de ce PC,
vous devez cocher la case "Ne pas utiliser de serveur proxy pour les adresses locales et cliquez sur le
bouton "Avancs".
Dans les exceptions, tapez l'adresse IP du routeur et les diffrentes exceptions souhaites. Une fois
ces modifications acceptes, votre connexion fonctionne en automatique.
Quelques prcautions nanmoins, dcochez la case "Vrifiez les messages toutes les 30 minutes"
dans les paramtres de votre messagerie. En effet, comme la communication vers INTERNET est
transparente, n'importe quel programme peut se connecter sur INTERNET quand il veut. Avec cette
option, la connexion reste ouverte en permanence ce qui peut provoquer des risques de scurit
(mme si le firewall protge une large partie des communications, mieux vaut rester prudent).
17.4. Quelques exemple de la vie d'une connexion INTERNET
Voici quelques exemples de fichier LOG du firewall hardware (avec adresse Wan TCP/IP non
permanente), un condens de systmes protgs diffrents.
La dernire adresse correspond l'adresse du PC du rseau interne au moment de la connexion.
Toutes les lignes ne sont pas forcment des tentatives d'intrusion via Internet, on trouve des ports
officiels IANA (mais rien ne dit qu'il ne s'agit pas d'une autre application, des ports typiques un
trojan, des ports utiliss mais ferms (de type ICQ, MSN messenger, ...), ICMP attack sans importance
(un ping), ... Certaines commandes essayent sur le routeur, d'autres directement sur les PC (les
adresses de type 192.168.X.X). Les messages proviennent autant en TCP qu'en UDP
________________________________________
fc-cli 1371 tcp Fujitsu Config Protocol IANA port officiel ou ?
Tue May 07 07:58:44 2002 - policy rule - tcp [wan,213.36.127.59,192.168.1.152:1371] - [discard]

________________________________________
Un ping, il y en a qui s'amuse.

Tue May 07 10:37:42 2002 - icmp attack - icmp [wan,213.36.100.179,217.136.190.170:0] - [discard]
________________________________________
A partir d'un PC, toujours le mme. Comme les tentatives de sortie ne se sont plus produites, plutt
une application qu'un trojan (faut pas tre paranoaque mais lucide)
6667 tcp Trinity trojan
6667 tcp WinSatan trojan
6667 tcp Schedule Agent trojan
ircd 6667 tcp Internet Relay Chat IANA
ircd 6667 udp Internet Relay Chat IANA
ircu 6667 tcp IRCU IANA
ircu 6667 udp IRCU IANA

Tue Dec 17 18:27:40 2002 - policy rule - tcp [lan,192.168.1.97,213.177.65.17:6667] - [discard]
...
________________________________________
Jeux provenant de l'extrieur
Tue Dec 17 18:08:08 2002 - policy rule - udp [wan,80.200.150.123,217.136.155.190:27015]-[discard]
________________________________________
Pourquoi pas essayer avec PC anywhere
pcanywherestat 5632 tcp pcANYWHEREstat IANA

Tue Dec 17 23:11:02 2002 - policy rule - udp [wan,217.136.191.74,217.136.155.190:5632] - [discard]
________________________________________
Inconnu mais justement, pas officiels.

Wed Dec 18 13:44:57 2002 - policy rule - tcp [wan,193.201.103.100,192.168.1.27:2193] - [discard]
Wed Dec 18 20:42:37 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.7:1223] - [discard]
Fri Dec 20 15:42:00 2002 - policy rule - tcp [wan,193.201.103.91,192.168.1.152:3524] - [discard]
________________________________________
Officiel IANA
Wed Dec 18 14:06:11 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.4:2845] - [discard]
Wed Dec 18 14:36:18 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.4:2848] - [discard]
Wed Dec 18 15:06:29 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.4:2851] - [discard]
________________________________________
Officiel IANA pour un logiciel de contrle distance de serveur http://www.folio.com (pas sr que ce
soit logique) et toujours sur le mme PC
Fri Dec 20 16:13:48 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.27:2242] - [discard]
Fri Dec 20 16:28:48 2002 - policy rule - tcp [wan,80.200.248.200,192.168.1.27:2242] - [discard]
________________________________________
31789 udp HackaTack trojan
Wed Dec 18 14:40:20 2002 - policy rule - udp [wan,217.136.26.127,217.136.155.190:31789] -
[discard]

________________________________________
http://www.phonefree.com (un employ qui s'amuse ?)

Fri Dec 20 16:20:53 2002 - policy rule - tcp [wan,207.46.106.183,192.168.1.119:1035] - [discard]
________________________________________
1812, officiellement un port officiel ou CuSeeMe (un logiciel de video confrence) mais qui travaille
alors que personne n'est dans l'entreprise et provenant d'adresses sources (Wan) diffrents ...

Sat Dec 21 01:51:00 2002 - policy rule - udp [wan,195.250.78.242,217.136.154.118:1812] - [discard]
Sat Dec 21 01:55:26 2002 - policy rule - udp [wan,218.1.36.50,217.136.154.118:1812] - [discard]
________________________________________
Une attaque informatique nettement plus grave
Sat Dec 21 20:12:49 2002 - tear drop attack - any [wan,192.9.200.32,217.136.155.185:0] - [discard]
Un TEAR DROP consiste envoyer des informations (appel OOB = Out Of Band ) sur des ports de
windows (toutes versions 32 bits). Les informations envoyes sont des packets TCP qui se recouvrent.
Lorsque l'ordinateur victime reoit ces packets, il tente de les reconstruire. N'y arrivant pas, cela
provoque un plantage, un cran bleu causant une erreur de protection gnrale et vous n'avez
d'autre choix que de redmarrer l'ordinateur. Le tear drop, le new tear et le boink (des attaques
similaires) peuvent aussi affecter les systmes Linux (infrieur 2.0.32), mac et unix. Un article plus
complet sur la scurit, le chapitre 17 du cours INTERNET (scurit) reprend ces problmes en
dtails.
Pour retrouv un semblant de localisation du PC qui tente l'intrusion, utilisez la commande DOS
tracert.
Une dernire remarque, les adresses rseau LINKLOCAL (APIPA) commencent toujours par 169.254
et ont le format suivant: 169.254.X.X Les adresses rseau LINKLOCAL sont rserves aux adresses
prives et internes et ne peuvent pas tre utilises sur les ordinateurs relis par le Partage de
connexion Internet.



Dfinitions - Glossaire
Le dictionnaire informatique technique du cours hardware 2 (rseaux, serveurs, technologies
spciales), se dpanner et formation Internet. Le dictionnaire du cours hardware 1 (PC et
priphriques) est repris dans la page dictionnaire informatique 1. Le lien de la dfinition renvoie
vers les explications plus compltes du cours hardware. Dans la majorit des cas, je reprend le mot
en franais, en anglais s'il est utilis et abrviations.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
1 base 5
Norme IEEE de connexion rseau Ethernet 1 Mbps par paire tlphonique
invente par A&T, aussi appele starlan
10 base 2 Norme IEEE de connexion Ethernet par cble coaxial fin (Twin Ethernet)
10 base 5 Norme de connexion Ethernet par cble coaxial pais
10 base T Connexion Ethernet en toile par paire tlphonique 10 Mbps
100 base T
Norme de connexion Ethernet en toile par paire tlphonique 100 Mbps,
aussi appel Fast Ethernet
100 base FX Norme Ethernet 100 Mbps sur fibre optique
100 base T4
Variante de l'Ethernet 100 base T en toile par paire tlphonique 100 Mbps
utilisant 4 paires
100 base TX
Variante la plus courante de la norme 100 base T en toile par paire
tlphonique 100 Mbps utilisant 2 paires
1000 Base C Ethernet 1 Gbit/s sur cuivre, maximum 25 m
1000 Base CX Ethernet 1 Gbit/s sur cuivre, maximum 25 m, non standardise
1000 Base LH Ethernet 1 Gbit/s sur fibre, maximum 70 km
1000 Base LX Ethernet 1 Gbit/s sur fibre optique monomode, maximum 3000 m
1000 Base SX Ethernet 1 Gbit/s sur fibre optique multimode, maximum 500 m
1000 Base TX Ethernet 1 Gbit/s sur cuivre, maximum 100 mtres
8 mm Appareils de sauvegarde similaire au DAT
802.11 (IEEE) Rseau sans fils permettant des transferts jusqu' 2 Mb/s
802.11 a
Rseau sans fils avec un dbit maximum de 54 Mb/s utilisant la bande de
frquence 5-6 Ghz en utilisant la mthode de modulation OFDM.
802.11 B
Rseau sans fils driv du 802.11, vitesse maximale de 11 Mb/s, aussi appel
WIFI ou 802.11 HR
802.11 B+ Rseau sans fils driv du 802.11B, vitesse maximale de 22 Mb/s
802.11G Rseau sans fils driv du 802.11, vitesse maximale de 54 Mb/s
802.11G+ Rseau sans fils driv du 802.11G, vitesse maximale de 108 Mb/s
802.11 HR Autre nom du 802.11 B
802.11I
Protocole de scurit des connexions sans fils qui permet un changement
priodique des cls de chiffrement; approuv 07/2004. Le 802.11X devrait
encore amliorer la scurit
802.11X
Protocole d'identification des connexions utilisateurs sur un rseau sans fils en
cours d'laboration (mi-2004) utilisant le protocole EAP. Cette nouvelle norme
ne serait normalement pas compatible avec les matriels existants.
802.3
Norme IEEE pour les connexions rseau de la mthode d'accs Ethernet
CSMA/CD
802.3 1 base 5
Connexion Ethernet 1 Mbps par paire tlphonique invente par A&T, aussi
appele starlan
802.3 10 base 2 Connexion Ethernet par cble coaxial fin (Twin Ethernet)
802.3 10 base 5 Connexion Ethernet par cble coaxial pais
802.3 10 10 base T
802.3 ab Norme de connexion Ethernet sur cuivre 1000 Base TX
802.5 Norme IEEE pour les connexions rseau de la mthode anneau jeton
8139D (RTL) Circuit lectronique pour carte rseau 10/100 base T de Realtek
940 Socket utilis par le processeur serveur 64 bits Opteron d'AMD
9580 Belden Belden
Dfinition commenant par A
Accs rseau
(TCP/IP)
Couche du modle TCP/IP qui spcifie la forme sous laquelle les donnes
doivent tre achemines indpendamment du type de rseau
Accs (mthode) Manire dont une station connecte un rseau prend la parole
Acknowledge
Mcanisme de correction de transfert de donne: le rceptionneur signale la
rception en renvoyant un signal d'accus de rception
Adaptive Cut
Through
Technologie des Switch qui passe du mode Store and Forward au mode Cut
through en fonction des erreurs de signaux
ADSL Asymetric Digital Subscriber Line, type de liaison haute vitesse
Ad-aware
Programme de lavasoft permettant de dtecter et supprimer les spyware et
adware.
Adware Programme servant envoyer des publicits via INTERNET. Voir Ad-aware.
AECC
(Advanced Error Correcting Code) mmoire utilise dans les serveurs pour
contrler et corriger automatiquement les donnes
AIT Type de bande de sauvegarde dvelopp par Sony
Anneau
(topologie)
Mthode de connexion physique des rseau o les stations sont raccordes sur
un cble circulaire.
Antivirus Programme permettant de dtecter et de supprimer les virus informatiques
Application (OSI) Couche 7 du modle OSI
Application
(TCI/IP)
Couche du modle TCP/IP, communication des informations entre 2 mmes
applications
Application
(serveur)
PC ddi permettant l'utilisation d'une mme application (typiquement une
base de donne) partir de plusieurs clients.
ARP
"Adresse Resolution Protocol", gre les adresses des cartes rseaux pour la
transmission de donnes. Chaque carte a sa propre identification MAC code sur
48 bits.
Athlon MP Processeur AMD spcifique serveur
ATM
(Asynchronus Transfer Mode) mthode de transfert utilis pour les connexions
INTERNET haute vitesse
Auto
NEGOTIATION
Caractristique d'un switch qui adapte la vitesse des ports en Full ou Half Duplex
Dfinition commenant par B
Belden 9580
Cble coaxial pais de couleur jaune d'un demi-pouce de diamtre utilis pour
les rseau Ethernet 10 base 5
Bluetooth
Liaison hertzienne sans fils permettant de connecter de petits priphriques
entre eux.
Boink Attaque de type Denial of Service
Bouchon
Rsistance place aux 2 extrmits d'un cble coaxial rseau pour attnuer les
rverbrations, aussi appel Terminaison
Broadcast
Adresse Mac particulire FF.FF.FF.FF.FF.FF permettant d'envoyer un message
l'ensemble du rseau.
Bus (topologie)
Mthode de raccordement physique des rseaux, stations raccordes sur une
mme ligne de communication
Dfinition commenant par C
Cble Mthode de connexion INTERNET utilisant le cble de tldistribution
Chaud
(dconnectable )
Hot Plug, Priphrique (disque dur, carte lectronique) qui peut tre remplace
alors que le PC (serveur) est en fonctionnement.
Cheval de Troie voire Trojan
Classe Plages d'adresses IP utilis pour dlimiter les rseaux
Client Ordinateur utilisant les ressources partages d'un serveur
Cloud Computing Partage de donnes et ressources sur Internet
Coaxial Type de cble utilis en informatique rseau
Collision
Problme des rseaux Ethernet lorsqu'une station met un signal sur le cble
alors qu'une autre communique dj.
Content Filtering Mcanisme de blocage d'accs Internet par analyse des noms de site
Contention Mthode de prise d'accs d'un PC lors d'une communication rseau
Cookies Fichier texte transfr via INTERNET
Commutateur Switch, type de concentrateur
Concentrateur Noeud d'un cblage rseau rassemblant les hub, switch et routeur
Coupure rseau
lectrique
Perte complte du rseau lectrique
Crash Disk
Panne complte d'un disque dur ncessitant son remplacement (perte des
donnes)
Crois cble Cble Ethernet RJ45 pour relier 2 ordinateurs ou deux concentrateurs entre eux
CSMA/CD
"Carrier Sense Multiple Acces with Collision Detection", mthode de dtection
des collisions dans un rseau o la mthode d'accs est la contention (eg.
Ethernet)
Cut Through Type de Switch Ethernet utilisant l'adresse MAC de destination
Cut Through Runt
Free
Technologie drive du Cut Through qui analyse les trames incomplte de type
RUNT
Dfinition commenant par D
DAT (backup) Appareil de sauvegarde sur bande allant jusqu' 40 GB
DataDAT Type de bande utilise par les appareils de sauvegarde DAT
Datagramme
Nom des segments de donnes en capsules dans la couche Internet du modle
TCP/IP
DDS Type de bande utilise par les appareils de sauvegarde DAT
Dcoupage
alimentation
Type d'alimentation utilise dans les PC et priphriques informatiques
Dni de Service

Denial of Service
distribu
(Dni de service - dDOS): type d'attaque consistant envoyer des paquets de
trames incompltes pour stopper le fonctionnement d'un appareil
DHCP
(Dynamic Host Configuration Protocol) Mcanisme implant dans un appareil
rseau ou 1 serveur qui attribue automatiquement une adresse IP tous les PC
dans une plage donne.
Diffrentielle
(sauvegarde)
Sauvegarde de tous les fichiers non sauvs, ne met pas le bit de backup des
fichiers comme sauvegard.
Disjoncteurs
Appareils de protection lectrique qui coupe le rseau des appareils protgs en
cas de sur-tension
DLP ((Digital Light Processing) technologie de projecteurs vidos
DLT Technologie de sauvegarde dveloppe par Quantum
DLT2000 Bandes DLT de 15 / 30 GB
DLT4000 Bandes DLT de 20 / 40 GB
DLT7000 Bandes DLT de 35 / 70 GB
DMD
(Digital MicroMirror Device), technologie de micro miroirs utiliss par les
projecteurs vidos DLP
DMZ Demilitarised zone: scurisation d'un rseau via deux firewall.
DNS
Domaine Name of Service: serveur faisant la liaison entre le nom d'un site
Internet et son adresse IP.
DOS Denial Of Service
Download
Vitesse de chargement Internet vers utilisateur dans une connexion INTERNET
(voir UPLOAD)
DTR (Data Transfert Rate): taux de transfert de donnes
Dual-Core Technologie o 2 processeurs sont implants dans le mme botier
Dfinition commenant par E
E1 Ligne INTERNET loue avec un dbit de 1,544 Mb/s (Europe)
E2 Ligne INTERNET loue avec un dbit de 8 Mb/s
E3 Ligne INTERNET loue avec un dbit de 34 Mb/s
E4 Ligne INTERNET loue avec un dbit de 140 Mb/s
EAP
Extensible Authentification Protocole, authentification des connexions
utilisateurs sur les rseaux sans fils 802.11 suivant la norme 802.11X
Ethernet Mthode d'accs normalise un rseau
Etoile (topologie)
Mthode de raccordement physique des rseaux o chaque station se raccorde
un noeud central
Dfinition commenant par F
FAI Abrviation de Fournisseur d'Accs Internet
Fast Ethernet
Normalisation IEEE de connexion Ethernet en toile par paire tlphonique
100 Mbps, aussi appel 100 base T
Fast Narrow SCSI Norma SCSI sur 8 bits avec un taux de transfert de 10 MB/s maximum
Fast Wide SCSI SCSI 2, norme SCSI sur 16 bits avec un taux de transfert de 20 MB/s maximum
Fichier (serveur) Ordinateur ddi servant partager l'accs des fichiers
Filtre ADSL
(Splitter en anglais) Filtre qui dissocie le signal analogique tlphonique du
signal numrique ADSL
Firewall
Appareil ou logiciel qui analyse et bloque les communications sur les ports TCP
et UDP: firewall software et hardware
Foudre
Sur-tension de forte puissance provoque par des phnomnes
mtorologiques
Fragment Free
Gnralement appel Early Cut Through, technologie des switch drivs du
mode Cut Through
Frame relay Mthode de connexion haute vitesse, anctre de l'ATM
FTP
"File Transfert Protocol", protocole permettant d'changer des fichiers via
Internet
Full Duplex
Caractristique des cartes rseaux et concentrateurs permettant l'mission et la
rception simultane de donnes
Dfinition commenant par G
Giga Bit Ehternet Norme de liaison rseau 1 Gbps
Dfinition commenant par H
Half Duplex
Caractristique d'une carte rseau (ou concentrateur) ne permettant pas
d'mettre et de recevoir en mme temps (oppos: Full Duplex)
HDSL
Technologie xDSL symtrique avec un dbit maximum de 2 Mbps sur une
longueur maximum de 4,5 KM
HDSL2
Technologie xDSL symtrique drive de HDSL mais sur une seule paire de cuivre
en cours de test
Hot Plug
Dconnectable chaud, priphrique (disque dur, carte lectronique) qui peut
tre remplace alors que le PC (serveur) fonctionne.
HUB Type de concentrateur servant de Noeud d'un rseau Ethernet RJ45
HVD
High Voltage Differential, norme de connectique SCSI sous 5 V avec des
longueurs de chane de 25 m
Dfinition commenant par I
ICMP
"Internet Control Message Protocol" gre les informations relatives aux erreurs
de transmission.
IGMP
"Internet Group Management Protocol", protocole permettant d'envoyer le
mme message des machine faisant partie d'un groupe.
Imprimante
(serveur)
Serveur ddi permettant de partager une imprimante
Incrmentale
(sauvegarde)
Sauvegarde des fichiers dont le bit de sauvegarde n'est pas activ
Infra rouge Type de liaison sans fils utilisant la lumire infrarouge
IP
Protocole INTERNET du modle TCP/IP grant les destinations des messages en
rseau
IPsec Mthode de cryptage des donnes sur Internet
IrDA Liaisons sans fils utilisant la lumire infra rouge
ISCSI Technologie - protocole de stockage externe de serveurs.
ISM
Gamme de frquence hertzienne 2,45 Ghz utilise par les communications
Industrielles, Scientifiques et Mdicales.
Dfinition commenant par J
Jeton
Mthode d'accs un rseau ou la communication se fait suivant un ordre
prtabli, principalement utilis en Tocken-Ring
K
Dfinition commenant par L
LAYER Couche (niveau) du modle OSI ou Internet
LCD "Liquid Crystal Display", technologie utilis dans les projecteur vido
LGMR Technologie laser pour contrler les bandes Super DLT
Liaison des
donnes (couche)
Niveau 2 du modle OSI qui dfinit l'interface avec la carte rseau: hubs, switch,

Librairie Chargeur de plusieurs bandes de sauvegarde
Line Interactive Type d'UPS driv des UPS off-line
Lourd (rseau)
Type de rseau utilisant un ordinateur central de type serveur utilisant un
systme d'exploitation ddi.
LVD
(Low Voltage Differential), norme de connexion SCSI sous 3,3 volts et permet
datteindre 12 m de longueur de chane.
Dfinition commenant par M
MAC adresse
Adresse spcifique chaque quipement rseau code sur 6 octets (48 bits),soit
2
48
valeurs possibles.
MAC
"Medium Access Control", mthode d'accs des station un rseau. On
distingue la contention et la mthode jeton
Maille topologie Mthode de raccordement physique rseau
Main Frame Ordinateur central de type serveur
Mammoth Appareil de sauvegarde 8 mm dvelopp par Sony et Seagate
Manageable
Type de switch o l'on peut dterminer des groupes de PC pour les
communications autorises ou non
MDI / MDIX
Technologie des switch (jamais implante dans les HUB) qui dtecte
automatiquement le type d'appareil connect sur un port, vitant l'utilisation de
cbles croiss.
Medium Access
Control
"MAC", mthode d'accs des station un rseau. On distingue la contention et
la mthode jeton
Meshing Technologie des switch qui permet de crer des tables multi switch
Message Paquet de donnes au niveau de la couche application du modle TCP/IP
Micro coupures Pertes de courte dure de la tension lectrique
Mirror
Implantation logicielle du RAID 1 (Mirroring) dans les serveurs sous Windows NT
et Windows 2000 server
Mirroring
RAID 1, connexion de disques durs qui assure la redondance des donnes sur
plusieurs disques
Mixe (topologie)
Mthode de raccordement physique des rseaux o plusieurs topologies sont
mlanges (anneau, bus ou toile)
MMF Cble en fibre optique rseau multimode
MTBF Mean Time to Fealure: temps moyen de fonctionnement avant une panne
Multi session
Technologie utilise par les connexions SCSI effectuant plusieurs tches
simultanment
Dfinition commenant par N
Narrow Se rfre aux connexions SCSI sur 8 bits de donnes
NAS
Network Attached Storage: appareil servant de serveur de fichier directement
connect sur le rseau
NAT
(PAT en Franais), Network address translation: technologie d'un routeur qui
assure la transition entre une adresse globale extrieure et les adresses prives
d'un rseau Ethernet
Network (rseau) Connexion entre ordinateurs pour partager des ressources
Network Interface
Card
En abrg NIC, carte rseau
New Tear Attaque de type DoS
NIC Network Interface Card, carte rseau
NOCOMA Architecture XEON hybride 32 - 64 bits
NUMA
Non Uniform Memory Access, technologie multi processeurs o chaque
microprocesseur utilise sa propre mmoire avec un accs indirect aux mmoires
des autres (voir SMP)
Dfinition commenant par O
OFDM
"orthogonal frequency-division multiplexing" Mthode de modulation
hertzienne dcoupant le signal pour l'envoyer sur plusieurs frquences
diffrentes, utilis par le 802.11a
Off-line Type d'UPS utilis dans la protection des stations de travail
OOB (Out Of Band) Packet TCP/IP incomplet pour les attaques de Denial of service
On-Line
Type d'UPS o le rseau lectrique est totalement dissoci des appareils
protger.
Onduleur UPS
Orthogonal RAID 5 Norme de connexion drive du RAID 5 avec un contrleur RAID par disque
OSI (modle)
Standardisation des communications rseaux sur 7 couches dfinissant les
compatibilits des transferts de donnes
Out Of Band (OOB) Packet TCP/IP incomplet pour les attaques de Denial of service
Dfinition commenant par P
Paire (cble)
Nom donn aux cble de type tlphonique utiliss en rseaux Ethernet o 2 fils
(paire) sont apparis.
PAT
(NAT en anglais), port adress translation: technologie d'un routeur qui assure la
transition entre une adresse globale extrieure et les adresses prives d'un
rseau Ethernet
PCI-X
Connecteur interne (bus) utilis par les serveurs en 64 bits pour les cartes
d'extensions, dconnectable chaud
Peer To Peer Rseau o les ordinateurs sont la fois clients et serveurs
Physique (couche) Niveau 1 du modle OSI qui gre les connexions matriel
Pic de tension
Sur-tension de forte puissance sur une dure trs courte, typiquement 1/120
seconde
Pont mode)
Paramtrage d'un routeur - modem ADSL pour n'utiliser que la partie liaison
(bridge)
Port Trunking
Technologie des switch qui rserve des ports spcifiques pour la connexion avec
d'autres switch
Port (rseau)
Numros spcifiques utiliss par les application TCP/IP ou UDP pour
communiquer entre elles, permettant ainsi une normalisation des applications
Portal
Site regroupant des informations diverses compltes par un moteur de
recherche
Prsentation
(couche)
Couche 6 du modle OSI assurant la mise en forme des donnes
Protocole "Langage" utilis dans les communications rseaux
Proxy Mmoire cache pour la navigation Internet
Q
Dfinition commenant par R
RADSL
(Rate Adaptive DSL), technologie xDSL asymtrique dbits constants
(ascendants de 128kbps 1Mbps et descendant de 600kbps 7Mbps) sur une
distance de 5,4 KM
RAID
Norme de connexion de disques durs en parallle pour augmenter la vitesse ou /
et la scurit des donnes
RAID 0 Striping, connexion de disques en parallle pour augmenter le dbit
RAID 1
Mirroring, connexions de disques durs qui assure la redondance des donnes sur
plusieurs disques durs
RAID 10 Implantation du RAID 0 et du RAID 1
RAID 2 Norme de connexion de disques durs assurant un contrle des donnes
RAID 3
Norme de connexion de disques durs assurant un contrle des donnes par
contrle de parit
RAID 4 Norme de connexion de disques durs avec contrle des donnes
RAID 5 Norme de connexion de disques durs acceptant le Hot plug
RAID 6
Norme de connexion de disques durs driv du RAID 5 autorisant 2 disque durs
dfectueux
RAID 7
Norme de connexion de disques durs driv du RAID 5 avec calcul de parit par
circuit lectronique spcialis
RARP
"Reverse Address Resolution Protocol" gre l'adresse IP pour les quipements
sans disques durs
Redondance
Terme utilis dans une installation rseau o les composants critiques sont
ddoubls
Rptiteur (Hub en anglais), type de concentrateur utilis en rseau Ethernet RJ45
Rseau (Network) Connexion entre ordinateurs qui permet de partager des ressources
Rseau couche Niveau 3 du modle OSI qui gre les routes de transport des informations
REV Equipement de sauvegarde rseau
RJ45
Connecteur (connexion par extension) utilis en rseau Ethernet en toile pour
le 10 base T, le 100 base T, le 1000 base T, ...
Routeur Concentrateur intelligent servant de passerelle entre 2 rseaux
RUNT Trame Ethernet incomplte de moins de 64 bits
Dfinition commenant par S
S-AIT Type de bande 8 mm de 500 GB / 1 TB
SAS Connexion disque dur SCSI en srie
SAN Storage Attached Network, extension de disques durs sur serveurs
SCSI
Small Computer System Interface, norme de connexion de disque dur, lecteur
CD et sauvegarde
SCSI 1
Premire normalisation SCSI sur 8 bits (Narrow) avec un taux de transfert de 5
MB/s maximum
SCSI 2
FAST WIDE SCSI, norme SCSI sur 16 bits avec un taux de transfert de 20 MB/s
maximum
SCSI 3 Wide Ultra SCSI, norme SCSI sur 16 bits avec un taux de transfert de 40MB/s
SCSI 3 Differentiel Norme particulire SCSI 3 avec un taux de transfert de 40 MB/s
SCSI 5 Wide Ultra 2 SCSI, norme SCSI sur 16 bits avec un taux de transfert de 80 MB/s
SDLT 1 Mdia Super DLT utilis en SDLT 220 et 320
SDLT 2 Mdia Super DLT utilis en SDLT 640
SDLT 1280 Technologie Super DLT de 640 GB
SDLT 220 Super DLT de 110 GB
SDLT 2400 Super DLT de 1,2 TB
SDLT 320 Super DLT de 160 GB
SDLT 640 Super DLT de 320 GB
SDSL Technologie xDSL symtrique avec une vitesse de 768 kb/s limite 3,6 KM
SE Norme de connectique standard utilise en SCSI
Segment Nom donn aux parties de donnes dans la couche transport du modle TCP/IP
Serveur
Ordinateur partageant ses ressources en rseau. On distingue suivant
l'application des serveurs de fichiers, d'application et d'impression.
Session (couche) Niveau 5 du modle OSI: la gestion des communications rseaux
SHDSL
Technique xDSL symtrique permettant une connexion de 192 Kb/s 2,3 Mb/s
sur 1 paire et 384 Kb/s to 4.6 Mb/s sur 2 paires
SMF Cble rseau en fibre optique mono mode
SMP
Symetric multiprocessing, technologie multiprocesseurs o tous les
microprocesseurs utilisent un seul systme d'exploitation
SMTP "Simple Mail Transport protocol", protocole de gestion des mails
Sous-tension
Tension sur un rseau lectrique ou montage lectronique infrieure la
tension d'alimentation prvue
Spam (Spams) Courrier indsirable envoy une multitude de personnes
Splitter
Filtre utilis pour dissocier le signal analogique tlphonique du signal
numrique ADSL
Spyware Programme espion pour INTERNET
SSID Nom des groupes dans les rseaux sans fils
Stackable
(empilable) se dit des switch qui peuvent s'interconnecter entre-eux pour ne
former qu'un seul concentrateur
Starlan
Normalisation IEEE 802.3 1 base 5 de connexion Ethernet 1 Mbps par paire
tlphonique invente par A&T
Statefull packet
Inspection
Technologie des firewall hardware pour comparer des paquets de donnes
entrants.
Store and Forward
Technologie des switch Ethernet qui stocke toutes les trames avant de les
envoyer
Storm Trojan
Striping (RAID 0), connexion de disques en parallle pour augmenter le dbit
STP
"Shilded Twisted Pair", cbles paire torsade blinds Ethernet RJ45 qui est
entour d'une feuille d'aluminium pour faire cran.
Super DLT Technologie de Quantum drive des bandes DLT
Sur-tension
Dpassement de la tension nominale sur un rseau lectrique ou dans un
montage lectronique
Switch (commutateur), type de concentrateur intelligent
Symtrique (xDSL)
Liaison DSL o la vitesse de transfert en upload est identique celle de
download
Dfinition commenant par T
T1 Ligne loue amricaine (1,544 Mb/s) ou japonaise (1,544 Mb/s)
T2 Ligne loue amricaine (6,312 Mb/s) ou japonaise (6,312 Mb/s)
T3 Ligne loue amricaine (44,736 Mb/s) ou japonaise (32,064 Mb/s)
T4 Ligne loue japonaise (97,728 Mb/s)
Taux de Transfert Nombre de byte (octets) transfrs par secondes
TCP Protocole de livraison de donnes orient connexion
TCP/IP (modle) Modle de communication utilis par INTERNET
Tear drop Attaque de type Denial of Service
Telnet protocole de connexion sur une machine distante (serveur) en tant qu'utilisateur
Thread
Morceau de programme dont la particularit est de s'excuter sparment du
reste du programme, utilis par l'hyper-threading
Terminaison
rsistance de
Rsistance place aux 2 extrmits d'un cble coaxial rseau pour attnuer les
rverbrations, aussi appel Bouchon
Tocken Ring Structure rseau en anneau dveloppe par IBM
TOE
Type de cartes rseaux ETHERNET en Giga et 10 Giga qui travaillent jusqu'au
niveau 4 du modle OSI
Topologie Mthode de raccordement physique des rseaux
Trame
Nom donns aux segments de messages dans la couche "Accs rseau" du
modle TCP/IP
Transitoire Signal parasite sur un rseau lectrique
Transport (OSI) Niveau 4 du modle OSI qui gre la gestion des erreurs
Transport (TCP/IP)
Assure l'acheminement des donnes et les mcanismes permettant de connatre
l'tat de la transmission dans le modle TCP/IP
Tritube Technologie utilise pour les projecteurs vido de haute Gamme
Trojan
(Storm - Vers - cheval de Troie - backdoor) Programme pour prendre le contrle
d'un PC distance
Tunnel Liaison Internet scurise et crypte utiliss par les VPN
Dfinition commenant par U
UDP Protocole de transfert de donne non orient connexion
Ultra 2 Narrow Norme SCSI sur 8 bits avec un taux de transfert de 40 MB /s
Ultra 2 Wide Norme SCSI sur 16 bits avec un taux de transfert de 80 MB/s
Ultra Narrow SCSI Norme SCSI sur 8 bits avec un taux de transfert de 20 MB/s
UMA
Uniform Memory Access, technologie multi-processeurs utilise dans les
architecture SMP
Upload
Vitesse de chargement utilisateur vers Internet dans une connexion INTERNET
(voir download)
UPS
(Onduleur) Uninteruptible Power supply, appareil permettant d'alimenter un
appareil lectrique en cas de panne ou perturbation du rseau lectrique
UTP Unshielded twisted Pair, cble paire Ethernet RJ45 torsade non blinde
Dfinition commenant par V
VDSL et VDSL 2
Technologie xDSL symtrique et asymtrique avec un dbit en upload
(ascendant) de 1,5 2,3 Mbps et en dowload de 13 52 Mbps sur 1 paire
tlphonique sur une distance de 1,5 Km pour sa version standard. En version 2,
dbit maximum de 250 Mbit/s la source pour descendre 100 Mbit/s 500
mtres et 50 Mb/s 1 KM en mode asymtrique.
Vers trojan
Virus
Programmes malveillants qui perturbent le fonctionnement des programmes
d'un PC
VPN
Virtual Private Network, rseau priv virtuel: permet de se connecter un
rseau d'entreprise via INTERNET.
Dfinition commenant par W
WEP
Wired Equivalent Privacy, norme de scurit rseaux sans fils 802.11B et
802.11G remplace par 802.11i
Wide Se rfre aux connexions SCSI sur 16 bits
Wide Ultra SCSI SCSI 3, norme SCSI 16 bits, taux de transfert de 40MB/s
Wide Ultra 160 Norme SCSI 16 bits, taux de transfert de 160 MB/s
Wide Ultra 320 Norme SCSI 16 bits, taux de transfert de 320 MB/s
Wide Ultra 2 SCSI SCSI 5, norme SCSI sur 16 bits avec un taux de transfert de 80 MB/s
WIFI Autre nom des rseaux sans fils 802.11b
WIFI 5
Autre nom des rseaux sans fils 802.11a, ne pas confondre avec le WIFI
(802.11b)
Wingate Logiciel faisant fonction de routeur et proxy sous Windows
WPA Wi-fi protect access, norme de protection des connexions rseaux sans fils.



1. Introduction - 2. Paramtrage d'un pont DWL-2100AP D-Link - 3. Configuration
d'une station - 4. Rcapitulatif
1. Introduction.
Installer un rseau sans fils (Wlan) implique la scurisation du rseau pour viter son
utilisation de l'extrieur par des personnes "non-admises": utilisation de votre connexion
Internet ou mme piratage complet de votre systme par un gamin malintentionn. Rien ne
sert de protger l'accs votre rseau interne des intrusions via Internet si le voisin (ou un
autre) peut rentrer directement.
Une connexion sans fils utilise diffrents niveaux:
le type de connexion
le canal utilis
la divulgation du SSID, le nom du groupe raccord sans fils
l'autorisation uniquement de cartes avec des adresses MAC dfinies.
La cl de cryptage en WEP (obsolte), WPA
Nous allons utiliser pour cette procdure un pont (rptiteur). Le pont va uniquement
servir connecter des PC munis de cartes rseaux sans fils un rseau local Ethernet
standard. La connexion Internet utilisera un routeur Ethernet standard en plus.
1.a. Les types de rseaux sans fils Wifi.

Frquence
liaison
hertzienne
Dbit
maximum
Distance maximum Remarque
802.11 2,45 Mhz 2 Mb/s 100 mtres Premier rseau sans fils
802.11A
Wifi5
5 6 Ghz
54 Mb/s
maximum
Jusque 366 mtres
l'extrieur, 91 m
l'intrieur.
Incompatible avec les
autres liaisons
802.11B
Wifi
2,4 Ghz 11 Mb/s 100 mtres
Liaison sans fils la plus
courante en Europe
802.11B+ 2,4 Ghz 22 Mb/s 100 mtres
Amlioration du
802.11B et compatible
Cryptage sur 64, 128 et
256 bits.
802.11G 2,4 Ghz 54 Mb/s 100 mtres
Compatible 802.11,
802.11B et 802.11B+
802.11G+ 2,4 Ghz 108 Mb/s 100 mtres
Version amliore du
802.11G
Le 802.11A ne travaille pas dans la mme zone de frquence que les autres normes.
Un appareil 802.11A ne pourra donc pas se connecter sur un autre type de rseau sans fils.
Pour les autres liaisons, il y a une compatibilit ascendante. Un appareil de connexion en
802.11G+ adaptera sa vitesse si une carte rseau en 802.11 tente de se connecter par exemple,
et ainsi de suite.
1.b. Les canaux de communications.
Une connexion sans fils peut utiliser un canal parmi 13 (de 1 13). Pour une
communication entre 2 appareils sans fils, les canaux doivent correspondre. Certains appareils
dtectent automatiquement le canal.
1.c. Le SSID
Le SSID est un genre de nom de groupe de la connexion sans fils, il est diffrent du
groupe de travail propos par Windows. Un appareil sans fils ne peut se connecter que s'il est
dans le mme nom de rseau que l'quipement raccorder. Nanmoins, un pont wifi
communique par dfaut son nom de groupe. De ce fait, tout appareil se baladant dans la zone
de couverture dtectera ce nom de groupe. Il est nanmoins possible sur de nombreux
appareils de ne pas envoyer le SSID. Les appareils dj repris sur ce SSID pourront
nanmoins se connecter.
1.d. L'adresse MAC.
Chaque carte, routeur possde une adresse spcifique et unique que l'on appelle
l'adresse MAC. Elle est implante dans la carte la fabrication et ne peut donc pas tre
modifie. Certains appareils permettent d'accepter des connexions uniquement par des
installations dont l'adresse MAC est repris dans une liste interne. C'est le meilleur niveau de
scurit mais le plus difficile mettre en oeuvre. L'adresse MAC est gnralement
directement reprise sur l'appareil, rarement pour les cartes rseaux.
En Win98, l'adresse MAC est donne par la commande winipcfg.exe (Dmarrer ->
excuter)

En Windows 2000 et XP, elle se dtermine par la commande DOS IPconfig/all.
2. Paramtrage d'un point d'accs 802.11G+ D-Link
DWL2100AP
Je ne reprend pas ici la configuration complte de l'appareil. Voyons comment
scuriser la connexion sans fils. Je vous passe galement les mots de passe, ... pour rentrer
dans l'administration de l'appareil. Les systmes sont quivalents dans la majorit des
appareils.

Premire fentre de configuration, l'accs sans fils. La zone Wireless Band ne peut tre
modifie et signale que l'appareil travaille en 802.11G. En effet, le G+ n'est pas (encore)
normalis.
Le SSID (ici YBET) est le groupe d'utilisateurs autoriss ce connecter. Par dfaut, le
SSID Broadcast ENABLE. Le pont envoie donc l'extrieur son groupe via les les liaisons
hertziennes. Ceci signifie qu'un PC dans le rayon de l'appareil dtectera le rseau par son nom
de groupe. Il est ici DISABLE. L'appareil ne communique pas son nom de groupe
l'extrieur. Par contre, un PC programm avec ce groupe pourra se connecter. Il y a
nanmoins un dcalage de quelques secondes entre la mise en route de la liaison sans fils et la
connexion effective. DISABLE est donc nettement prfrable pour la scurisation du rseau
qui sera inconnu de l'extrieur.
Le Channel (canal) est celui utilis par la communication. Normalement, les appareils
doivent obligatoirement tre dans le mme canal. Nanmoins, certains quipement font un
scannage de tous les canaux disponibles (DWL-610 par exemple). Ce n'est donc en elle mme
pas une scurit suffisante.

La page suivante reprend des configurations particulires:
Access Point PtP Bridge PtMP Bridge AP repeater AP Client
Mode par dfaut,
permet la
connexion de PC
au rseau sans fils
Connexion de 2
points d'accs
entre-eux. Par
exemple, 2
btiments.
Connexion de
plusieurs points
d'accs sans fils.
Cette
configuration
permet au DWL-
2100 AP de
fonctionner
comme un
rptiteur et
d'augmenter la
distance de
Configuration
comme client
sans fils. Dans ce
mode, le DWL
est vu comme un
simple appareil
sans fils.
transmission
L'adresse MAC
de l'autre
quipement doit
tre indiqu. La
connexion est
donc uniquement
entre 2 appareils,
l'exclusion de
PC.
Les adresses
MAC des autres
points d'accs (
l'exclusion des
PC) ne sont pas
obligatoires mais
fortement
conseilles.
Dans ce mode,
l'adresse MAC de
l'appareil de
connexion sans
fils qui est
connect doit tre
rentre. Ceci n'est
pas lie la
scurit mais
pour viter des
interfrences.
L'adresse MAC
du point d'accs
(un autre appareil
connect en
access Point) doit
tre rentre.
Nous ne nous intressons qu'au mode "Access Point", le plus courant.

La fonction Filtrage (Filters) va permettre d'autoriser uniquement des cartes d'adresse MAC
prdfinies. C'est pour rappel, le niveau de scurit le plus lev.

Dernire commande de scurit, l'encryptage. Un rseau utilisant cette protection utilise
une cl de chiffres hexadcimals ou ASCI. Pour rappel, l'hexadcimal utilise une base 16,
tandis que les codes ascii (utiliss pour les lettres) une base 8.
Open System: Dans ce cas toutes les stations peuvent se connecter (sauf filtrages plus haut)
mais doivent utiliser la mme cl que l'appareil si l'option est Enabled comme ci-dessus.
Shared Key: Ceci ncessite l'implantation d'un protocole spcial, le PAE. C'est l'ordinateur
serveur qui va accepte la connexion de l'utilisateur et renvoyer la cl de cryptage au client. Le
serveur doit tre renseign au point d'accs.
WPA (Wi-fi Protect Access): Le WPA est une norme de scurit non standardise. Elle est
remplace depuis juin 2003 par la norme IEEE 802.11i et permet de changer
automatiquement la cl de chiffrement. La norme suivante (802.11X) permettra encore une
meilleure scurisation des connexions par certification utilisateurs.
Le chiffrement: La premire scurit est d'activer (enabled) cet encryptage. Le choix peut
tre dans cet appareil en hexadcimal ou en ASCII. Gnralement, dans les cartes rseaux,
seul l'hexadcimal est utilisable.

Le cryptage peut tre avec une cl de 64, 128 ou plus rare
de 152 bits (n'est pas souvent implante dans les cartes
rseaux actuelles). Plus le niveau est lev, plus la
"dcouverte" de la cl est difficile et donc meilleure est la
scurit.

L'option suivante permet d'utiliser 4 cls de scurit. Nanmoins, l'option VALID Key ne
permet de n'en utiliser qu'une la fois. L'utilisation de 4 cls est donc nettement
optionnelle.
3. Configuration d'une station
Voyons maintenant la connexion d'une station, ici un portable avec carte rseau
intgre sous Windows XP home.

Nous utiliserons directement les fonctions fournies par Windows XP. Comme les proprits
du rseaux ne sont pas diffrentes d'un rseau Ethernet normal, nous ne nous intressons qu'
la configuration de la carte (Configurer).

La configuration est assez rduite. Nanmoins, on retrouve:
Channel, le canal de communication iden,tique celui du point, ici 6. Network Type est
de type infrastructure pour une connexion sur un point d'accs. Le SSID est repris ici et
permet de dterminer le groupe de connexion.
Ce n'est pas tout. Dans les connexions rseaux, utilisons la touche contextuelle pour
slectionner la fonction "Afficher les rseaux disponibles"


Cette fonction permet d'afficher tous les rseaux sans fils disponibles (qui transmettent leur
SSID). Ici, le SSID est donn la carte rseau puisque nous avons slectionn de NE PAS
TRANSMETTRE LE nom du rseau par le pont Wifi. La cl rseau doit tre identique la
cl slectionne dans le pont.
L'authentification par 802.11X ne doit tre coche que si si vous utilisez sur le pont le
mode Shared Key, les cls sont automatiquement fournies par le serveur et ncessitent
l'implantation du PAE.
4. En conclusion.
La configuration d'un rseau sans fils passe par:
1. Choix du canal
2. Choix du SSID
La scurisation du rseau sans fils demande
1. Pas de transmission par le pont du SSID
2. Cl rseau, si possible 128 bits, en WEP (obsolte) ou en WPA
3. Filtrage des adresses MAC autorises se connecter
Ceci n'est qu' la limite du suffisant. En effet, des logiciels permettent d'analyser les
trames (les messages) et ainsi de dtecter les informations dans les messages (login, mots de
passe, ...). Parmi ces logiciels, on retrouve Wi-Fi Scanner et Airsnort sous Linux, Net
Stumbler (Windows) et mme Mini Stumbler pour les PocketPc. Bref, les possibilits sont
nombreuses et seule l'utilisation des adresses MAC autorises permet rellement de scuris
un rseau sans fils. La solution de scurit de cryptage (cl rseau) utilise le WEP (Wired
Equivalent Privaty). Selon des tudes rcentes, ce n'est pas une relle scurit. Le
chiffrement est facilement dterminable par des professionnels
Pour les rseaux hautement sensibles, l'utilisation d'un VPN est galement une source
supplmentaire de scurit. Le VPN se branche alors entre la borne de rception sans fils (ici
le DWL-2100AP) et le switch de connexion au rseau Ethernet.. Pour rappel, le VPN en
capsule des paquets IP chiffrs (en-ttes et donnes) dans d'autres paquets qui transitent entre
2 stations.
Pour une relle scurit, il faudra attendre l'arrive de la norme informatique de scurit
802.11X qui permettra l'authentification des utilisateurs avec le protocole EAP (Extensible
Authentification Protocole), en plus du cryptage des informations. Dans ce cas, l'accs n'est
autoris que si l'utilisateur est enregistr sur un serveur RADIUS (Remote Authentification
Dial-In User Service) tel que le logiciel libre Free Radius. Ce logiciel fonctionne sous
Windows 2000 serveur et Win2003 serveur. L'change pralable du login - mot de passe peut
passer par certificat (ventuellement intgr dans une carte puce) ou plus simplement par
l'algorithme MD5 avec une scurit moindre.
Dans tous les cas de donnes sensibles, il est prfrable de connect l'installation sans fils
comme liaison extrieur du firewall, par exemple entre le firewall et la connexion ADSL.
Ceci implique forcment l'utilisation d'un VPN.
14. Dpannage rseau local
1. Rappel.
Un rseau local permet de connecter plusieurs ordinateurs entre eux pour partager les
ressources (donne et rpertoire du disque dur, imprimantes, ...) ou partager une connexion
INTERNET. La connexion entre deux ordinateurs ncessite la comptabilit entre:
le support de communication (cble, liaison sans fils)
les cartes rseaux (spcifique selon la connexion) mais gnralement Ethernet ou Wifi
et les points d'accs associs
le programme de gestion (systme d'exploitation)
le protocole. Le protocole est le langage utilis par le programme de gestion pour
communiquer entre les ordinateurs. Le langage le plus utilis actuellement est le
TCP/IP. D'autres existent mais ne peuvent tre utiliss sur INTERNET: NetBui, IPX
(rseaux Novell avant Netware 4.1).
Si vous avez install un firewall logiciel, avant de tester l'ensemble de l'installation,
commencez par vrifier les configurations du firewall, ou du moins dsactivez le pour tests.
Ceci est surtout valable pour Windows XP SP2 qui en inclut un en standard. Norton semble
continuer bloquer certaines connexions rseaux mme dsactiv.
Un dpannage rseau complet serait trop complexe mais voici dj quelques pistes pour des
rseaux TCP/IP. Un autre problme rseaux est repris sur Workgroup est inaccessible
2. Dpannage
A. Dans "voisinage rseau", le PC ne se reconnat pas lui-mme.
Vrifiez si le partage disque dur / imprimante est activ pour cet ordinateur.
Carte rseau et connexion OK: en RJ45, vrifiez les LED sur l'HUB (switch) et sur la
carte rseau. A de trs rares exceptions prt (faux contact dans les connecteurs RJ45,
inversion de cble avec des switch de trs bas de gamme) ceci signifie que la
connexion rseau est bonne.
Vrifiez si le pilote de la carte rseau est le bon (notamment lors d'une dtection
automatique de Windows). Gnralement, un pilote non adapt spcifique la carte
fonctionne mais les connexions sont ralenties.
Attention aux nombreux problmes de cblage (paires respectes, loignement des fils
du rseau lectrique, ...)
B. Dans "Voisinage rseau", le PC se reconnat lui-mme. Dans ce cas, le pilote de la carte
rseau est correct.
Dans le cas d'un branchement direct rseau entre 2 ordinateurs (sans switch), le cble
doit tre crois. Ce mme cble doit tre utilis pour relier 2 concentrateurs (hub,
switch, routeur) entre eux mme si les switchs et la majorit des routeurs (au moins 4
ports) intgrent le MDI/MDIX qui permet d'utiliser n'importe quel cble, le
concentrateur paramtrant la connexion automatiquement. Dans le cas d'un PC
branch sur un concentrateur, le cble doit tre droit. Par contre, certain petit modem
(y compris ceux proposs par Voo) obligent un cble crois pour relier le PC.

La premire chose est de vrifier si le protocole IP est bien implant. Sous DOS tapez
la commande PING 127.0.0.1. Cette commande doit renvoyer ceci. Sinon,
dsinstallez IP dans les paramtres rseaux (ou plus gnralement tous les paramtres
rseaux), redmarrez le PC et rinstallez le tout.

Commencez par dterminer l'adresse IP sur chaque PC. Utilisez pour cela la
commande DOS "IPCONFIG".

Faite ensuite un ping XXX.XXX.XXX.XXX ou les X sont l'adresse de chaque PC
partir des autres (ping est un programme DOS). Dans l'exemple ci-dessus, tapez
partir des autres ping 192.168.1.152 . Ceci permet de dterminer si les PC sont en
communication et donc si la connexion (cble, switch ou hub, ...) est correcte. Dans le
cas de 2 PC connects en direct, le cble doit tre crois comme mentionn dans le
chapitre 4 de Hardware: les rseaux Ethernet
Pour rappel, pour que 2 stations puissent communiquer entre-elles sans passer par un
routeur, les stations doivent tre dans la mme classe d'adresse, comme mentionn dans la
chapitre 20 du cours INTERNET sur les concentrateurs (Hub, switch et routeurs)
Dans paramtres / rseau, vrifiez si le groupe de travail est le mme pour les 2
ordinateurs.
Message mot de passe non valide: "vrifiez votre login / mot de passe", en
correspondance sur le serveur. Sur les serveurs en 2000 - 2003 - 2008, utilisez
dconnexion dans le menu Dmarrer pour ouvrir une autre session (avec mot de
passe).
Dans les paramtres rseaux, vrifiez les protocoles sur chaque machines (TCP/IP le
plus courant, mais pour certains programmes ou configuration: NetBui, IPX).
Si vous avez attribu des adresses IP fixes, elles doivent tre dans la mme classe
d'adresse mais diffrentes (sinon, message conflit d'adresse). Par exemple: 192.168.1.5
et 192.168.1.20. Essayez la commande DOS ipconfig.exe (Win98) ou ipconfig (en
ligne de commande DOS) pour dterminer les paramtres TCP/IP. Vous pouvez
galement utiliser la commande DOS Ping (TCP/IP) pour vrifier si le PC est bien
connect. Par exemple Ping 192.168.1.5 mais attention certain firewall.
En mlange Win95/98/Me, n'utilisez pas les paramtrages automatiques par disquette
propos par Windows! Ils ne fonctionnent qu'avec le mme systme d'exploitation
Aucun autre PC dtect: vrifier le groupe de travail dans les proprits rseaux
(95/98) ou dans les proprits systmes du panneau de configuration (onglet
identification rseau) pour les systmes d'exploitation actuels.

Firewall logiciel install. Vrifiez s'il ne bloque pas ces connexions. Pour rappel:
Windows XP et Vista incluent d'office un firewall (mme s'il est peu performant).
C. Problmes de communication.
Sont rassembls ici quelques problmes lis l'exprience dans des problmes de
communication alatoires.
La connexion rseau fonctionne mais est lente. Ce problme peut venir d'une quantit de
raisons: pilote carte rseau, cblage, ...
Le pilote de la carte rseau doit tre celui fourni par la carte. Ce problme survient
notamment avec les cartes utilisant un circuit Railtek. Mme si le circuit lectronique
est le mme, utilis un pilote "quivalent" provoque souvent des ralentissements
alatoires.
Les rgles de cblage doivent tre respecte: respect des paires, longueur infrieure
100 mtres, pas de passage prs des fils lectriques et Nons. Des renseignements
complmentaires sur ces problmes sont repris de la cours Hardware 2 sur les
connexions Ethernet.
3. Quelques commandes DOS rseau
L'ensemble des X est remplac par l'adresse de destination IP ou par le nom du site
PING XXX.XXXX.XXX.XXX (sous DOS pour vrifier la communication. Si les PC ne sont
pas dans la mme classe d'adresse, le ping fonctionne mais pas la connexion.
Connatre l'adresse IP d'une station IPconfig (sous DOS)
Quels sont lesPC connects NET View (sous DOS)
D'o vient la connexion et par quel chemin: Tracert XXX.XXX.XXX.XXX (sous DOS)
Winipcfg (par excuter, commande Windows 98, plus en 2000 - XP - Vista), affiche l'adresse
MAC et l'adresse IP.
Pour une liste plus complte
4. Partage de connexion INTERNET.
Cette rubrique permet de retrouver quelques pistes mais le cours INTERNET reprend des
explications plus compltes suivant le mode de partage utilis. Avant de vrifier le partage,
les PC connects entre eux pour le partage doivent se reconnatre.
PC dans la mme classe d'adresse (y compris adresse interne du routeur si c'est
d'application). Si ce n'est pas le cas, le rseau ne fonctionne pas.
Protocole IP utilis pour tous les PC. Ce protocole est utilis par dfaut pour tous les
systmes d'exploitation Microsoft sauf Windows 95 ( rajouter par Dmarrer ->
Paramtre -> Panneau de configuration -> Rseau).


. Dans les proprits de TCP/IP -> carte rseau: La passerelle doit souvent tre renseigne.
L'adresse de la passerelle est celle du PC qui partage la connexion (partage par Windows) ou
celle du routeur. Parfois cela fonctionne sans, parfois non. Gnralement je la met.

De mme les paramtres DNS primaire et secondaire doivent souvent tre activs sur les PC.
Ils sont fournis par le fournisseur d'accs, cf paramtres Internet fournisseurs d'accs. La
fentre ci-dessous provient d'un Win98. Hte et domaine peuvent tre invent dans notre cas.
Par contre, en Win 2000 et XP, si le rseau interne est important, le nom de domaine peut tre
obligatoire pour le rseau interne (utilisation d'un serveur utilisant l'Active Directory Service).



8. Partage d'une connexion ADSL
8.1. Introduction - 8.2. Installation d'un rseau Ethernet RJ45 - 8.3. Mthodes de
partage de connexion INTERNET
8.1. Introduction
L'utilisation de l'ADSL permet dans de nombreux cas de partager la connexion entre
plusieurs ordinateurs (PC et Mac). Avant de paramtrer ces partages dans les chapitres
suivant, voyons comment partager une connexion Internet: les mthodes utilises, avantages
et inconvnients, matriels mettre en oeuvre.
Le partage de connexion INTERNET ADSL (ou autre) passe par l'installation d'un
rseau. Celui-ci peut tre de type Ethernet 10/100 (le plus courant) ou mme sans fils. Un
rseau permet de relier des PC entre-eux pour partager des ressources (rpertoires,
imprimantes et priphriques). Dans notre cas, c'est le priphrique modem qui nous
intresse, ou plutt appareil de communication Internet. Ce chapitre reprend le paramtrage
du rseau.
8.2. Installation d'un rseau Ethernet RJ45
8.2.1. Installation des cartes rseaux, cblage
Les cartes rseaux Ethernet 10/100 sont trs bon march, moins de 10 , quand elles
ne sont pas intgres sur la carte mre de l'ordinateur. Chaque PC qui va utiliser la connexion
doit tre quipe d'une telle carte de communication. Le cas d'un rseau sans fils sera vu plus
tard. Pour l'installation d'une carte rseau, rfrez-vous au cours hardware 2. Ceci ne pose pas
de problmes particuliers, le CD-Rom d'installation de votre systme d'exploitation vous sera
demand pour Wndows 98, pas pour les versions suivantes.
Les cartes rseaux Ethernet 100 travaillent la vitesse 100 Mb/s, la possibilit
d'utiliser la vitesse 10 Mb/s n'est pratiquement plus utilise. Les dernires versions utilisent le
Gb/s.

Les rseaux Ethernet utilise un cblage en cuivre sur 8 fils, similaire au cble
tlphonique. Ce type de cblage est appel RJ45, du nom du connecteur fix chaque bouts
du cble. Pour relier les cartes rseaux entre elles, on utilise un Hub ou un switch. Chaque PC
se relie vers ce concentrateur suivant un cblage dit en toile. Si vous n'utilisez que 2 cartes
rseaux, vous pouvez galement utiliser un cble crois comme sur la figure ci-dessous. La
longueur maximale des cbles rseau Ethernet 10/100 est de 100 mtres. Ces cbles peuvent
tre achets tout fait ou mme fabriqu l'aide d'une pince spciale. Rfrez-vous au chapitre
4 du cours hardware 2 pour les normes de cblages (couleurs et numro de pin) si vous
souhaitez fabriquer vous-mme ces cbles.

Cble RJ45 10/100 droit Cble RJ45 10/100 crois
Lorsque les cartes rseaux sont installes dans votre PC et connectes au switch ou
l'UPS, les LED du Switch et de la carte rseau correspondante doit tre allume. Ce n'est pas
la condition sine qua non pour avoir une connexion, mais gnralement, ceci prouve que la
connexion physique existe.
8.2.2. Paramtrage du rseau.
Une fois le cblage dtermin et termin, reste la liaison entre les PC. Pour
communiquer, les ordinateurs doivent utiliser le mme langage de communication. En rseau,
on appelle cela un protocole. Un PC peut utiliser plusieurs protocoles en mme temps. Dans
des rseaux normaux amateurs, ceci n'apporte aucun intrt mais augmente le trafique de
donnes et donc ralentit la communication. Le protocole utilis pour les partages Internet (et
dans la majorit des rseaux actuels) est TCP/IP. Il est implant par dfaut dans Win98, Win
Millenium, Win 2000 et Win XP. Par contre, pour les PC sous Win95, il faudra le rajouter par
le panneau de configuration -> rseau: ajouter protocole IP.

Une fois le rseau local install, on retrouve l'icne suivant sur le
bureau. Ce programme va permettre de vrifier vos connexions rseau.
Remarque, il n'y a pas de PC affichs si aucune ressource (rpertoire,
imprimante, ...) n'est partage sur un ordinateur. Cette notion est reprise
dans l'article "Paramtrer un petit rseau".
Dans un rseau IP, chaque PC doit tre dans la mme classe d'adresse pour pouvoir
communiquer. ceci est repris dans la page des ports INTERNET. Pour viter des surprises, il
est conseill de mettre les PC dans les classes d'adresses comprises entre 192.168.0.1.
192.168.255.254. Les plages d'adresses sont 192.168.0.X, 192.168.1.X, ... Gnralement, si
un quipement sur le rseau permet le mode DHCP (routeur, station sur Win2000 ou XP),
ceci se fait automatiquement. Les adresses termines par 0 et 255 ne sont pas utilisables. Ceci
fait 254 installation maximum dans une classe d'adresses IP locale.
Pour vrifier l'adresse IP d'une station, utilisez la commande DOS/ IPCONFIG

La commande renvoie l'adresse de la carte (ici 192.168.1.128), son masque de rseau
(255.255.255.0) et l'adresse de la passerelle par dfaut (192.168.1.1, nous en reparlerons
bientt).
Pour vrifier si 2 PC communiquent, vous pouvez utiliser la commande DOS: PING
X.X.X.X ou X.X.X.X est l'adresse IP d'une autre station. Par exemple: ping 192.168.1.1.
Dans le cas o les adresses ne sont pas dans la mme classe, vous pouvez paramtrer
vos adresses manuellement. Dans Panneau de configuration -> Paramtres rseaux,
slectionnez TCP/IP carte rseaux et cliquez sur proprits. Tapez pour chaque PC une
adresse dans la mme classe 192.168.1.1, 192.168.1.2, ... jusqu' 192.168.1.254. Comme
masque de sous rseau, utilisez 255.255.255.0 pour chaque station.

Pour partager des ressources, ce n'est pas ncessaire pour INTERNET, les PC doivent
galement tre dans le mme groupe de travail. Pour cela, dans les paramtres rseaux,
cliquez sur "identification". Dans la majorit des cas, le PC doit redmarrer pour prendre en
compte les modifications (Win95, Win98 et Me). Pour Windows 2000 et XP, utilisez l'onglet
identification rseau dans les proprits systmes du panneau de configuration. Pour la
majorit des systmes d'exploitation Windows, le groupe par dfaut est Workgroup. XP gre
cette possibilit diffremment et il faudra le rentrer manuellement.

8.3. Mthodes de partage de connexion
Internet
Une fois le rseau local install, diverses mthodes sont possibles suivant l'importance
du nombre de PC connects, le niveau de scurit souhait, ...
La mthode la plus
simple et la moins coteuse
est d'utiliser le partage
fourni avec Windows. Cette
solution pose parfois
quelques problmes de
paramtrages, ncessite que
l'ordinateur sur lequel est
connect le modem doit tre
allum, n'offre aucune
scurit (tous les PC
connects sont dtects de
l'extrieur) mais est
implante dans Windows depuis Win98 seconde dition. Elle est donc gratuite. Cette
possibilit peut tre implante avec un modem ADSL USB. Les stations peuvent varier de
Win95 Windows XP. Chaque PC peut dmarrer la connexion, mais celle-ci ne peut tre
coupe que pas le PC sur lequel est connect le modem. Il est parfois ncessaire de
dslectionner le pare-feu de XP sur les stations. Cette solution s'adapte jusque 5 PC sans
perte de vitesse.
La deuxime mthode utilise des logiciels de type proxy dont le plus clbre est
Wingate. Ces logiciels font la fonction entre la connexion Internet par modem Ethernet RJ45
(ce qui ncessite 1 deuxime carte rseau) ou modem USB et le rseau connect sur une carte
rseau indpendante. Les avantages sur la premire solution viennent du NAT (Network
Adresse Translate) qui cache les adresses internes du rseau et du proxy. Un proxy travaille
comme une zone mmoire qui stocke les pages les plus couramment lues, faisant gagner en
vitesse et masquant certaines visites de sites. Le logiciel joue galement le rle de firewall
(pare-feu) pour le rseau interne. Cette solution plus esthtique ncessite donc galement 1
ordinateur allum en permanence pour le partage de la connexion. Elle est rserve des
utilisateurs avertis cherchant une certaine scurit.
La troisime solution passe par un routeur. Cet appareil se connecte entre le modem
RJ45 et le rseau. Quelques modles permettent la connexion aux PC via un port USB, avec
quelques rats. Les routeurs peuvent inclure diverses possibilits ou quipements: switch
intgr, firewall hardware, serveur DHCP. Le NAT est toujours intgr dans ces appareils. Au
dpart, un routeur sert principalement relier des quipements dans des classes d'adresses IP
diffrentes.
La quatrime solution, pratiquement identique celle d'un logiciel proxy, est base sur
une installation Linux sur une machine avec 2 cartes rseaux. Les fonctionnalits sont
quivalentes mme si les inconditionnels de ce systme d'exploitation vous diront que c'est la
solution pas chre et scurise.
La cinquime solution consiste galement installer des appareils de protections entre
le routeur et le rseau interne: firewall, serveur proxy, VPN (connections aux rseau interne
par INTERNET), ... Ceci dpasse le cadre de cette formation.
Le partage Internet par Windows sera vu dans le chapitre suivant. Le paramtrage de
la connexion ADSL par routeur sera vue au chapitre 10. Les autres possibilits sont rserves
des spcialistes.
Partage Windows
Partage
logiciels
proxy
Partage
routeur
Partage
Linux
Partages
spciaux.
1 PC sert la connexion:
doit rester allum
Oui Oui - Oui -
Connexion automatique
Oui (sauf
paramtrage
spcifique)
Oui Oui Oui Oui
Adresses internes du
rseau invisibles: NAT
- Oui Oui Oui Oui
Scurisation firewall - Oui / non *
Oui / non
***
Oui * Oui
Possibilits de VPN - Oui / non *
Oui /
Non
****
Oui Oui
Facilit d'installation
Prix de revient
PC ou matriel
supplmentaire (en plus du
switch rseau)
Non Non **
Oui /
Non ***
Oui Oui
* Suivant modles ou configuration.
** Les logiciels de types proxy peuvent travailler et partager la connexion
*** Certains routeurs intgrent un petit firewall non paramtrable et un modem ADSL.
**** Quelques routeurs acceptent cette solution NON scurise.

Linternet rapide et permanant

La fibre optique
Elle n'a jamais autant t la mode, mais qu'est-ce exactement ? Et
quoi sert-elle ? Pour aller vite, c'est un fil de verre, entour d'une gaine rflchissante . Sa
proprit principale est de servir de tuyau dans lequel on peut faire circuler de la lumire.
En plus de servir construire tout un tas de gadgets amusants, on peut lui trouver quelques
applications plus technologiques, allant de l'endoscopie au transfert de donnes numriques.
Vous l'aurez devin, c'est plutt cet aspect l qui va nous intresser.
Bien entendu, dans ce domaine d'application, la fibre optique se met ressembler
furieusement n'importe quel cble lectrique et perd beaucoup de son aspect potique. (C'est
galement le cas pour l'endoscope).
Pourquoi donc essayer de transporter de l'information numrique
de cette manire ? Qu'est-ce qu'on y gagne ?
Autant de questions qui trouveront, je l'espre, des rponses dans les pages qui suivent. Je
vous rassure tout de suite, il n'est pas question de se lancer dans de brillantes dmonstrations
appuyes par de vastes calculs, mais simplement d'essayer d'expliquer le principe.
La lumire
Eclairons notre lanterne
La thorie de la lumire est une thorie particulirement obscure. Nous allons passer
beaucoup de temps utiliser de faux modles pour expliquer des phnomnes vrais , dans
la mesure o l'on peut les vrifier par la pratique.
Onde ou Photon ?
Pour expliquer certaines observations, il faut que la lumire soit une onde. Pour en expliquer
d'autres, il faut qu'elle soit un flux de particules. Qu' cela ne tienne, nous nous en sortirons
quand mme, la mauvaise foi n'ayant jamais touff un scientifique. Louis de Broglie (Fr.,
1892-1987) a avanc en 1924 que les corpuscules de matire taient accompagns d'une onde,
ce qui, en quelque sorte, rsout le problme de faon assez lgante.
Mais comment la lumire ?
Nous allons utiliser un modle d'atome (faux), celui de Bohr. En fait, il n'est pas tout fait
faux, mais il n'est pas juste non plus; a ne fait rien, il permet d'expliquer l'mission de la
lumire d'une manire tout fait acceptable.

1. Bohr explique que, dans un atome, les lectrons tournent autour du noyau selon des
orbites bien dfinies. Ce n'est pas tout fait juste, mais presque. C'est en tout cas
suffisant comme prcision pour notre propos.
2. Lorsque l'on excite les lectrons, par exemple en les chauffant, ces lectrons
rcuprent de l'nergie. Ce surcroit d'nergie les fait passer sur une orbite suprieure.
3. Comme la situation est instable, ils finissent par revenir sur leur orbite normale en
restituant l'nergie qu'ils avaient emprunte. Cette restitution d'nergie se fait sous
forme d'mission de lumire.
On dit que l'lectron franchit des niveaux d'nergie. C'est grce cette particularit de la
physique atomique que Thomas Edison est devenu clbre. Dans une ampoule lectrique, les
atomes du filament, chauffs par effet Joule au passage du courant lectrique, montent des
niveaux d'nergie suprieurs et mettent de la lumire chaque fois qu'ils redescendent sur un
niveau infrieur.
Le problme, en ces temps d'cologie, d'nergie non nuclaire mais renouvelable, de
rchauffement atmosphrique, c'est que la quantit d'nergie fournie pour chauffer le filament
est normment plus importante que l'nergie lumineuse rcupre. Le rendement est de
l'ordre de 2% en moyenne pour une ampoule incandescente filament de tungstne. D'o
l'ide lumineuse d'en interdire la vente partir de 2010. La bougie alors ? 0,04% de
rendement Le tube fluorescent ? Autour de 15% de rendement. C'est nettement mieux, mais
c'est aussi nettement plus polluant chimiquement et lectromagntiquement parlant. Le
meilleur rendement est actuellement obtenu avec de la vapeur de sodium en basse pression :
27%. Certes, c'est un peu orang comme lumire. Le mieux serait de se passer de lumire ; a
se faisait trs bien l'poque des cavernes. Mais ne sortons pas du sujet
Blanche ou colore ?
Lorsqu'un lectron redescend sur une couche infrieure, il met une lumire
monochromatique. La couleur dpend du niveau d'nergie descendu. La lumire apparat
blanche parce qu'il y a beaucoup de niveaux d'nergie diffrents mis en uvre et qu'il y a
donc beaucoup de radiations de couleurs diffrentes qui sont mises. Leur somme donne une
lumire blanche. Nous sommes ici en synthse additive et la somme de toutes les couleurs
donne du blanc.
Dans le cas de corps simples comme le non, il n'y a que deux niveaux d'nergie et donc une
seule couleur, dans l'orange.
Avec l'argon aussi, il n'y a que deux niveaux. Manque de chance, ici, la lumire n'est pas
visible, elle est situe dans l'ultra violet. C'est pour cette raison que dans les tubes
fluorescents, il y a de la poussire (trs polluante) dpose sur la face interne du tube. Vous ne
comprenez pas ? C'est pas grave, nous ne sommes pas ici pour expliquer le fonctionnement du
tube fluo. (Allez, je vais vous le dire quand mme ; l'nergie lumineuse non visible mise par
l'argon excite son tour les atomes de cette poussire qui, eux, vont mettre de la lumire
visible. Suivant la nature de cette poussire, la lumire sera plutt froide , tirant sur le bleu;
ou chaude tirant sur le jaune-rouge. La temprature d'une lumire se mesure en
Kelvins, par analogie au rayonnement lumineux d'un corps noir chauff une certaine
temprature).
Observez le spectre

La lumire visible s'tend de l'infrarouge l'ultraviolet, bornes non comprises. Bien entendu,
ici, nous considrons que la lumire est une onde.
(1 nanomtre = 10
-9
mtre = 1/1 000 000 de millimtre)
Si vous vous sentez plus l'aise avec les frquences, la lumire visible s'tend de 4 x 10
14

8 x 10
14
Hz (400 000 GHz 800 000 GHz).
Et quelle vitesse...
On a coutume de dire 300 000 Km/s C'est bien entendu faux, a dpend du milieu dans lequel
la lumire se propage. Ceci dit, les variations de vitesse restent minimes; elles peuvent tout de
mme apporter certaines perturbations suivant les conditions d'utilisation. Ce dtail a son
importance dans le cas de la fibre optique.
Dans quelle direction...
On a aussi coutume de dire qu'elle se propage en ligne droite. Vous l'avez devin, ceci est
galement faux la plupart du temps. Ce n'est vrai qu' la condition que le milieu dans lequel
elle se propage soit homogne et isotrope, ce qui est rarement le cas. La preuve que c'est faux:
les mirages existent.
Maintenant que toutes ces fausses bases sont donnes, passons l'tape suivante.
Le changement de milieu
Que fait la lumire lorsqu'elle rencontre un obstacle ?
Elle le traverse.
Elle est rflchie par cet obstacle.
Elle est absorbe par cet obstacle.
Elle subit une combinaison de ces trois possibilits.
Imaginons que le bleu soit de l'air et le jaune du
verre. Un rayon de lumire qui vient de l'air vers le verre selon un angle d'incidence donn va
:
Se rflchir et retourner dans l'air, c'est le rayon rflchi (sinon, les vitres de vos
voisins ne vous blouiraient jamais en rflchissant le soleil) ;
pntrer dans le verre (sinon vous ne verriez rien travers vos vitres, ni travers celles
de vos voisins) en subissant une dviation de trajectoire, (cette dviation ayant lieu
deux fois, une vitre a gnralement 2 faces, elle n'est pas remarquable dans la plupart
des cas, mais si l'on plonge un bton dans de l'eau, ne semble-t-il pas se plier
brutalement au passage dans l'eau ?) ;
perdre un peu d'nergie dans l'aventure (sinon, les vitres ne chaufferaient pas au
soleil).
Le bilan nergtique doit tre nul, savoir que l'nergie rflchie plus l'nergie rfracte
(transmise) plus l'nergie absorbe galent l'nergie incidente. (Loi de la conservation de
l'nergie, sans laquelle le monde serait bien plus chaotique que ce qu'il n'est dj).
Le rapport entre l'nergie rflchie et l'nergie transmise varie en fonction de l'angle
d'incidence. Il existe un angle critique Alors, a dpend de la faon dont on le mesure. S'il
est mesur comme indiqu sur le schma, lorsque cet angle devient infrieur l'angle critique,
il n'y a plus de rayon rfract et, aux pertes par absorption prs, la totalit du rayon incident
est rflchie. Ceci va tre trs important pour la suite.
L'angle de dviation entre le rayon incident et le rayon rfract dpend de plusieurs choses.
De la nature du dioptre (sparation entre les milieux); autrement dit, dpend des deux
milieux considrs.
Le plus souvent, dpend galement de la longueur d'onde de la lumire incidente.
Sinon, les arcs-en-ciel n'existeraient pas. Si les milieux ne sont pas dispersifs, alors il
n'y a pas d'arc-en-ciel. Mais la plupart des milieux le sont (ceci aussi va d'ailleurs nous
poser des problmes).
C'est cohrent ou a ne l'est pas ?
Le plus souvent, a ne l'est pas. Mais qu'est-ce que a veut dire ? La lumire normale ,
celle que l'on utilise habituellement (avec nos ampoules incandescence, bientt interdites),
n'est pas cohrente. Les petits trains d'ondes lumineuses mis par les lectrons qui descendent
les niveaux d'nergie, le sont n'importe quand, de faon alatoire. Il n'y a aucune cohrence
dans la forme des ondes lumineuses, constitues d'une somme de petits trains d'ondes de
mme frquence, mais mis avec une phase alatoire. On ne peut donc pas observer une belle
sinusode, comme on sait les faire en lectricit par exemple. Ici, la thorie du photon arrange
bien, c'est plus facile de parler d'un flux de particules que d'une onde sinusodale constitue de
petits morceaux qui ne sont pas en phase.
De ce ct l, le laser est bien intressant parce qu'il fournit une lumire cohrente, ce qui lui
donne des proprits particulires que l'on ne va pas numrer ici, mais dont on va relever
quelques particularits:
La lumire laser peut tre considre comme une onde part entire, c'est une
mission continue.
La lumire laser peut tre concentre sur un faisceau trs fin et se propager non pas
selon un cne, mais selon un cylindre.
La lumire laser est parfaitement monochromatique.
La lumire laser peut transporter beaucoup d'nergie.
Ceci nous suffira largement pour la suite.

La fibre optique
Pourquoi faire ?
Pour faire un tuyau dans lequel on peut faire passer de la lumire.
Nous avons vu que la lumire avait une certaine tendance se propager en ligne droite. Pour
transporter de l'information d'un point quelconque vers un autre point quelconque, ce n'est pas
trs pratique; un tuyau, c'est mieux, a peut prendre des virages.
Comment faire ?
Dans un premier temps, faisons simple. Une lumire incohrente et pas forcment
monochromatique, dans une fibre construite sans trop de prcautions.
Le principe de base, c'est le coup du dioptre. la fibre de verre va tre gaine d'un autre
matriau tel que le dioptre ainsi form soit avantageux pour nos besoins, savoir:
Un angle critique le plus grand possible (tel que nous l'avons dfini dans la page
prcdente), ceci afin de supprimer autant que possible tout rayon diffract.
Des absorptions d'nergie les plus minimes possibles lors de la rflexion sur le dioptre.

Je vous entends me dire : Oui, et dans les virages ? Parce que c'est bien le but, prendre des
virages. Dans les virages, c'est l'angle d'incidence qui va tre malmen. Il faut s'arranger pour
ne pas passer l'angle critique. Naturellement, tel que c'est dessin ici, il y aura forcment des
rayons qui arriveront dans le virage avec un angle trop grand et il y aura donc un rayon
diffract, perdu pour tout le monde.
Personne n'a jamais dit que les fibres optiques transmettaient la lumire sans pertes ! Et ce
n'est d'ailleurs pas la seule source de pertes.
Il serait possible de faire des calculs pour dfinir, en fonction du rayon de courbure, du
diamtre de la fibre et de l'indice de rfraction, les pertes d'nergie lumineuse Nous n'allons
pas le faire, mais en regardant le schma ci dessus, on comprend bien que plus de diamtre du
cur de la fibre sera petit, plus on minimisera les risques d'un angle d'incidence trop grand.
D'un autre ct, ce sera plus dlicat de faire passer dans cette fibre une quantit de lumire
donne. C'est le mme problme que dans un tuyau de plombier, dbit constant (m
3
/s), plus
le diamtre sera petit, plus il faudra augmenter la pression.
Les problmes qui arrivent...
Le premier arriv attend l'autre
Ce n'est pas la peine de faire des calculs compliqus pour voir sur l'illustration que les divers
rayons qui vont pntrer dans la fibre vont suivre des chemins diffrents, plus ou moins longs
suivant le nombre de rflexions subies. Comme ils vont tous la mme vitesse (du moins
pour une longueur d'onde donne), ils ne vont pas tous arriver l'autre bout en mme temps.
De plus, nous pouvons assister des phnomnes d'interfrences.
Un Kilomtre pied...
La nature du verre
1)
et celle du dioptre font qu'il y a des pertes dans la fibre. Pertes dues la
turbidit du verre et pertes dues aux rflexions. Il ne faudra pas s'attendre ce que la longueur
utile d'une fibre optique soit infinie.
La lumire se disperse
Le verre et ses quivalents sont des milieux dispersifs. La vitesse de propagation va varier en
fonction de la longueur d'onde. Si l'on introduit une lumire qui n'est pas monochromatique,
on va rcuprer en sortie plusieurs lumires diffrentes et a ne va pas aider reconstituer
le signal.
Au final...
Tous ces inconvnients vont imposer des limites d'utilisation:
Une bande passante maximale. Si l'on envoie des impulsions lumineuses, elles
seront rcupres avec une certaine distorsion et si cette distorsion devient trop
grande, on ne pourra plus reconstituer l'information. Nous comprendrons mieux cet
effet sur les illustrations qui suivent.
Une longueur maximale. Il est assez comprhensible que, plus la fibre va tre longue,
plus ces perturbations vont tre observes. Pour une performance attendue, il y aura
une longueur maximale dfinie, en fonction des technologies utilises.
Les parades
Il va falloir construire des fibres capable de limiter le plus possible ces problmes.
La fibre multi mode
Dans cette famille, nous trouvons deux sous catgories:
La fibre saut d'indice.

C'est la plus ordinaire . Le cur a un relatif gros diamtre, par rapport la longueur d'onde
de la lumire (de l'ordre du m dans l'infrarouge). Tous les inconvnients vus plus haut se
manifestent ici. Observez l'allure de l'impulsion de sortie, compare celle de l'impulsion
d'entre. Ce sont bien entendu des informations non quantitatives.
La fibre gradient d'indice

Ici, deux amliorations sont apportes:
1. Le diamtre du cur est de deux quatre fois plus petit.
2. Le cur est constitu de couches successives, indice de rfraction de plus en plus
grand. Ainsi, un rayon lumineux qui ne suit pas l'axe central de la fibre est ramen
en douceur dans le droit chemin.
Comme vous pouvez l'observer, les rsultats sont dj de meilleure qualit.
La fibre mono mode

C'est le top . Le diamtre du cur est trs petit, les angles d'incidence le sont donc aussi.
Les rsultats sont excellents, mais, compte tenu de la faible section de cette fibre, seul la
lumire laser est ici exploitable. Il n'y a pas de miracle, c'est la solution la meilleure, mais
aussi la plus onreuse.
Illustrations extraites du site: www.httr.ups-tlse.fr/pedagogie/cours/fibre/fotheori.htm. Site
que je vous invite par ailleurs visiter si vous souhaitez en savoir plus sur ce domaine. (Et
sur d'autres domaines aussi).
Quelques questions habituelles
La fibre optique coute-t-elle cher ?
Non. Par rapport au cble en cuivre, elle aurait mme tendance couter moins cher, surtout
avec l'envole du prix des mtaux. En revanche, la connectique et les convertisseurs d'nergie
lectrique/lumineuse et rciproquement placer aux extrmits coutent cher, trs cher mme,
suivant les technologies mises en uvre.
La fibre optique est-elle bidirectionnelle ?
Oui. Cependant, on ne l'utilise souvent que dans un seul sens, pour simplifier les
convertisseurs placs aux extrmits. Si l'on souhaite exploiter une fibre optique dans les deux
sens, il faudra:
- Utiliser des longueurs d'onde diffrentes pour chaque sens.
- Utiliser des extrmits capables de capter de la lumire pour la convertir en lectricit ET
mettre de la lumire en fonction d'un signal lectrique. C'est ralisable, mais a a un cout.
Peut-on passer plusieurs informations diffrentes dans la mme fibre et les rcuprer l'autre bout
intactes ?
Oui, il y a mme deux mthodes pour le faire:
- Si l'on utilise plusieurs longueurs d'ondes lumineuses. L aussi, il y a une incidence sur la
complexit des quipements aux extrmits. C'est du multiplexage spatial, rapprocher du
large bande sur le cuivre ou la HF.
- On peut galement faire du multiplexage temporel.
Ces techniques seront vues plus loin dans ce chapitre.
Quels sont les principaux avantages de la fibre optique ?
- La fibre optique est totalement insensible aux rayonnements lectromagntiques dans
lesquels nous baignons.
- L'attnuation du signal est infrieure celle d'un conducteur lectrique et les distances
couvertes sans ncessit d'installer des amplificateurs sont bien plus grandes.
- La bande passante est gnralement bien suprieure celle que l'on peut obtenir avec un
cble lectrique.
La fibre optique est-elle fragile ?
Pas particulirement. C'est la connectique qui peut l'tre. Le seul problme, c'est le rayon de
courbure minimum qui la rend assez peu souple d'emploi pour les installations volantes .
Quelles performances peut-on en attendre ?
D'une grosse centaine de Mga bits par seconde, comparable ce que l'on sait faire avec du
cuivre, au record actuel ( l'heure o ces lignes sont crites) dtenu par Alcatel:10,2 Tbit/s (10
200 Gbit/s), sur une distance de 100 kilomtres. Un autre record: 3 Tbit/s (3 000 Gbit/s), sur
une distance record de 7 300 kilomtres
Si la fibre a autant de qualits, pourquoi ne l'utilise-t-on pas plus ?
Je vous le demande. Notez que l'on commence en parler srieusement, au moins dans les
zones forte concentration urbaine.
1)
verre ou toute autre matire transparente fera l'affaire
Mthodes
Mais comment font-ils ?
Dans le principe, les mthodes sont simples. Ce qui l'est moins, c'est de matriser les
technologies ncessaires. Mais pour comprendre le fondement, prenons un cas simple .
La paire tlphonique
Tout le monde connat ces deux bouts de fil de cuivre qui permettent de brancher un
tlphone ? Voyons dj ce que l'on peut faire avec.
Bande passante du signal
Dans le cas du transport de tlphonie analogique, nous allons vhiculer sur cette paire de
cuivre un signal lectrique analogique (dont la forme d'onde est analogue celle du signal
acoustique), dont la bande passante va de quelques Hertz 4 KHz. Tout simplement parce que
c'est largement suffisant pour garder un message vocal comprhensible. On a coutume de dire
que l'homme est en mesure d'entendre des sons entre 20 Hz et 20 KHz. C'est une
approximation, bien entendu. Cette bande passante couvre l'ensemble des frquences
audibles. Si l'homme pouvait, avec ses seules cordes vocales couvrir un aussi large spectre, ce
serait amusant Un chanteur lyrique est capable de couvrir peine un peu moins de trois
octaves (d'une frquence 8x cette frquence).
Bande passante du cble tlphonique
Si par ailleurs, on essaye d'valuer la bande passante de la paire tlphonique, on arrive
gnralement faire passer des frquences allant jusqu'au Giga Hertz sur une longueur
moyenne , entendons par l, la longueur moyenne qui relie un abonn son centre de
distribution. En pratique, c'est un peu plus complexe.
Consquence directe
Il y a un formidable gaspillage de moyens. On sous utilise abominablement les ressources
d'une structure existante. Pourquoi ? Parce qu'utiliser 100% des ressources de cette paire
torsade impose de mettre en uvre des technologies complexes, donc chres, et qu'il faut les
rentabiliser.
xDSL
Aujourd'hui, tout le monde court aprs les moyens de transports d'information numrique,
connexion l'internet oblige. Les technologies deviennent rentables et on les exploite. Ici, la
solution consiste utiliser des frquences situes au dessus de 4 KHz, pour qu'elles
n'interfrent pas avec la tlphonie, et de les moduler pour leur faire transporter de
l'information. Voyez le chapitre sur la bande passante pour plus de dtails sur ces techniques.
La moralit est que l'on peut obtenir une connexion Internet haut dbit (ADSL) qui va
passer par la ligne tlphonique, sans perturber la tlphonie, le tout pour un prix acceptable,
simplement en optimisant les ressources d'une installation existante.
La fibre optique
Sur la fibre optique, on va essayer aussi de trouver des technologies, qui, pour une qualit de
fibre donne, vont chercher optimiser le flux d'informations dans cette fibre. En effet, la
fibre optique, mme la plus rudimentaire (saut d'indice) dispose d'une bande passante au
moins gale celle que l'on peut esprer d'une paire torsade. Les fibres de type gradient
d'indice sont dj beaucoup plus performantes. Quant aux fibres mono mode, elles disposent
d'une bande passante incomparable.
Il existe grosso modo deux mthodes:
Multiplexage temporel
L encore, prenons un cas simple.

D'un ct, nous avons quatre lignes faible dbit A, B, C et D, disons, 640 Kbits/s. De l'autre
ct, nous avons une fibre optique qui pourrait passer facilement 100 fois plus Autrement
dit, alors que la ligne A par exemple, va mettre une seconde dverser 640 Kbits, la fibre
optique va faire passer ces 640 Kbits en 1/100 de seconde, et va attendre 99/100 de seconde le
paquet suivant en provenance de la ligne A.
Ici l'on va tout simplement utiliser un multiplexeur temporel, qui va accumuler des paquets de
donnes provenant des lignes A, B, C et D et les passer squentiellement sur la fibre optique.
Dit autrement, vous avez quatre petites routes, o les voitures roulent pare-chocs contre pare-
chocs. Ces quatre routes dbouchent sur une autoroute 10 voies. Les routes sont satures,
mais l'autoroute peut encore accepter beaucoup d'autres voitures.
Ce type de multiplexage s'appelle TDM (Time Division Multiplexing).
Dans cette approche, nous utilisons une fibre optique avec une seule source lumineuse. C'est
peut-tre dommage, parce que cette fibre, l'image d'un cble de cuivre, peut faire passer
plusieurs frquences (longueurs d'ondes), donc plusieurs couleurs.
Multiplexage spatial
Sitt dit, sitt fait. Nous allons utiliser plusieurs lasers de couleurs diffrentes. Ces faisceaux
lasers pourront voyager dans la fibre et tre rcuprs individuellement l'autre bout, grce
de simples filtres optiques.

Une fibre optique peut facilement transporter des longueurs d'ondes comprises entre 1 530 nm
et 1 565 nm, nous sommes dans l'infrarouge (l'illustration fait apparaitre des couleurs pour la
comprhension) et sur de la fibre mono mode. 35 nm d'cart, a ne parait pas beaucoup. Oui,
mais comme on sait sparer deux ondes lumineuses si la diffrence de longueur d'onde est de
0,8 nm et mme 0,4 nm, alors, on peut passer dans la mme fibre de 43 87 lumires
diffrentes. Cette mthode s'appelle: DWDM (Dense Wavelength Division Multiplexing). Si
l'on considre que l'on peut passer sans problmes 2,5 Gbist/s sur chaque canal
Avec cette mthode, il est mme possible d'utiliser certains canaux dans un sens et d'autres
canaux dans l'autre, ce qui permet de faire du full duplex avec une seule fibre.
Encore plus fort :
Paris, le 21 mars 2001 - Alcatel, (Paris: CGEP.PA, NYSE: ALA), leader mondial des
rseaux optiques intelligents, a tabli deux nouveaux records du monde pour des
transmissions DWDM multi-Trabits. Le Groupe a d'une part franchi la barre mythique des
10 Tbit/s (10 000 Gbit/s), tablissant le record mondial absolu de capacit de transmission sur
une fibre optique. Alcatel a d'autre part ralis une transmission record de 3 Tbit/s (3 000
Gbit/s) sur une distance transocanique de 7 300 kilomtres. (Source Alcatel)
Mais...
Cette technique emploie:
De la fibre mono mode
une (des) source(s) lumineuse(s) laser, ce qui est obligatoire avec ce type de fibre.
La fibre mono mode a un diamtre de l'ordre de 10 m (1/100 de millimtre). Ce n'est pas
bien gros et on devine que les technologies ncessaires pour enfiler un rayon laser dans
cette fibre ne sont pas simples. A fortiori s'il faut en faire passer plusieurs. Et il faut aussi
rcuprer les signaux l'autre bout.
En d'autres termes, les performances de cette technologie n'ont d'gal que son prix. Tout le
problme consiste donc choisir la technologie la mieux approprie ses besoins prsents et
futurs, pour ne pas se retrouver avec un rseau
Ruineux parce que la technologie utilise, trop chre, ne peut tre rentabilise.
Ruineux parce que la technologie utilise, trop peu performante pour une raison de
prix, ne pourra pas assurer l'invitable croissance ultrieure, autrement qu'en
multipliant les quipements de bout en bout du rseau.
Les sources lumineuses
Le plus souvent, ce sont des diodes lectroluminescentes. Il en existe de
toutes sortes. Il en existe mme qui sont capables d'mettre un faisceau laser.
Ces dispositifs ne sont pas normes, tmoin l'illustration ci dessous. L'allumette donne
l'chelle.

Les capteurs de lumire
Les capteurs ne sont pas plus gros, ce sont des photodiodes, diodes sensibles la lumire, qui
permettent assez simplement de convertir une variation d'intensit lumineuse en variation de
courant lectrique.
Conclusion
La fibre optique reprsente assurment le meilleur moyen actuel pour transporter de trs hauts
dbits d'informations numriques, et les besoins dans ce domaine vont probablement
augmenter trs fortement dans un avenir proche. Il est vraisemblable que la demande
concernant un simple accs Internet, d'ici quelques annes, sera identique ce que l'on attend
aujourd'hui d'un rseau local (100 Mbits/s au moins). Dans ces conditions, le panorama de
l'information aura compltement chang. La tlphonie, la radio, la tlvision et les transferts
de donnes informatiques seront assurs par la mme connexion, les interpntrations de
ces divers moyens d'informations seront beaucoup plus grands, c'est du moins un scnario tout
fait raliste.
Les locations de films vido, les chaines de tlvision ddies la cinmatographie et la vente
de CD Audio seront sans doute les premires activits remises en question.
Avec des dbits quivalents ceux d'un rseau local, l'internet va voluer considrablement.
Au choix, suivant les groupes de pression et les intrts conomiques mis en jeu, vers :
un internet de plus en plus peer to peer o le contenu va refluer vers la priphrie
du rseau, ce qui serait dans le droit fil de la philosophie initiale de l'internet, mais irait
l'encontre de bien des intrts conomiques en place ;
un internet de plus en plus minitelis , o petit petit, le contrle de l'information
qui circule sera remis entre les mains d'entits spcialises vers le cur du rseau, la
priphrie du rseau ne devenant plus que consommatrice, comme nous l'avons connu
avec le Minitel, exception nationale dont la France fut trs fire, mais qui n'a jamais
russi convaincre quiconque en dehors de nos frontires.
Note: La conclusion peut certes paraitre hors sujet (encore que, pour quelles raisons nos
oprateurs marchent-ils vitesse aussi force vers des dbits toujours plus grands ?), mais elle
mrite tout de mme que l'on y rflchisse.
Bande passante
Le transport d'information par modulation d'une porteuse n'est pas un phnomne nouveau
Il est l'origine de la radio. L'mission la plus rudimentaire que l'on puisse raliser, le morse,
est une modulation de porteuse en tout o rien.
Toujours utilise dans le domaine de la radio communication, avec des frquences de
porteuses de plus en plus leves, la modulation de porteuse est aussi employe dans la
communication numrique par cble, au sens gnral du terme cble (la ligne tlphonique en
faisant partie, avec les solutions xDSL).
Nous allons ici nous intresser la fourniture d'accs l'Internet par le cble et au transport de
l'information sur ce cble, dans sa partie cuivre, c'est dire entre les centres de distribution et
les abonns, le transport entre les ttes de rseau et les centres de distribution se faisant par
fibre optique. Nous verrons aussi comment ADSL fonctionne sur un support qui n'est
absolument pas prvu pour a l'origine.
Nous allons tudier :
1. Quelques principes de base de la modulation.
2. D'autres principes plus volus, qui permettent d'optimiser la bande passante utile d'un
canal de communication.
3. Une tentative d'explication des spcificits du cble concernant les bandes passantes
descendante et remontante
4. La mme chose, mais pour l'ADSL
Principes de base
Les fondements de la modulation
Dans cette partie, nous allons voir les mthodes lmentaires qui permettent de transporter un
signal sur une porteuse, ce qui reprsente la moiti du travail de tout MoDem qui se respecte.
(MoDem est une contraction de Modulateur-Dmodulateur).
La modulation permet de bricoler une porteuse pour qu'elle puisse transporter une
information. C'est la partie mission des donnes.
La dmodulation consiste quant elle rcuprer l'information utile en supprimant la
porteuse.

La modulation d'amplitude
Position du problme
Nous disposons d'un oscillateur capable de gnrer un signal sinusodal une
frquence de 123 MHz (au hasard). Ce signal est appel porteuse .
Par ailleurs, nous disposons d'un autre oscillateur, galement capable de gnrer un
signal sinusodal une frquence de 3 MHz (toujours au hasard). Ce signal est appel
modulation .
Enfin, nous avons un tas de silicium capable d'effectuer le produit (au sens
mathmatique) de ces deux signaux.
Voici graphiquement la reprsentation dans le temps de ce qui vient d'tre dit:

Constatations
La porteuse est tordue par l'opration. On voit clairement que son enveloppe a la forme du
signal modulant que l'on a appel modulation. En voyant le rsultat, on comprend bien
pourquoi cette mthode est appele modulation d'amplitude, mais on comprend moins
pourquoi faire cette cuisine.
Pourquoi faire, alors ?
Suivant le domaine d'application, le but recherch est lgrement diffrent.
En radio communications
Les signaux lectriques, lorsqu'ils atteignent des frquences leves, acquirent des proprits
lectromagntiques qui leur permettent de se propager dans le vide et dans l'atmosphre, ce
que ne sait pas faire un signal lectrique de basse frquence (les signaux lectriques, images
de frquences audibles par exemple, entre 20Hz et 20 KHz). Il devient alors possible de
transporter de la musique autrement que dans des fils lectriques. Pratique, en voiture par
exemple
Bien entendu, un autre tas de silicium est capable l'autre bout d'effectuer l'opration inverse:
la dmodulation pour jeter la porteuse qui ne sert plus et rcuprer la modulation. C'est le
rle des rcepteurs radio.
Ce principe est naturellement utilis aussi pour la tlvision, le tlphone cellulaire etc.
En communication sur des cbles
Ici, l'objectif est un peu diffrent. Les signaux lectriques savent se propager dans un milieu
conducteur. Mais suivez-moi bien.
Sur un cble bien conu, il est possible de faire passer un signal lectrique compris entre le
courant continu (0Hz) et des frquences assez leves (disons 1GHz, un milliard de Hz, dans
le cas d'un cble coaxial construit dans ce but). Si l'on utilise ce cble pour passer des signaux
acoustiques (entre 20 Hz et 20KHz), c'est un peu comme si l'on construisait une autoroute 6
voies pour y faire passer des vlos en file indienne.
Si en revanche, on utilise des porteuses modules, judicieusement places pour pouvoir les
isoler les unes des autres la rception avec des filtres (on sait bien le faire), on va pouvoir
faire passer plusieurs signaux sur le mme cble sans les mlanger! (multiplexage spatial).
C'est bien ce qu'il se produit sur LE cble (rseau cbl, celui de France Tlcom Cble par
exemple), puisque l'on y retrouve plusieurs chanes de tlvision, la radio, Les connexions
Internet et il reste encore un peu de place.
Dans le cas de l'ADSL, nous y reviendrons plus loin, le multiplexage spatial est galement
utilis.
Le spectre de l'onde module
Un certain FOURIER (Joseph FOURIER, 1768-1830) Physicien franais a dmontr qu'un
signal priodique de forme quelconque peut toujours tre dcompos en la somme de signaux
sinusodaux, selon une srie dite de Fourier . Ces signaux sinusodaux sont appels
harmoniques . Il n'est pas question de s'amuser ici faire des calculs, juste de comprendre ce
que c'est qu'un spectre .
Un spectre de Fourier reprsente sur une chelle de frquence, pour un signal priodique
donn, la distribution des harmoniques ainsi que leur amplitude.
Dans le cas simple d'une porteuse sinusodale module en Amplitude par un autre signal
sinusodal, le calcul reste simple, mais nous ne le ferons pas quand mme. Ceux qui ont
encore quelques souvenirs de lyce se rappelleront peut-tre qu'un produit de sinus fait
apparatre les cosinus de la somme et de la diffrence des angles. (Mais un cosinus peut se
transformer en sinus).
Nous prenons donc une machine calculer un peu perfectionne et nous lui demandons de
faire le travail notre place:

Celle qui a fait ce calcul est TRES perfectionne et EXTREMEMENT chre
Sur ce spectre calcul, on voit bien une composante 123 MHz et deux autres, l'une 120
MHz (123-3) et l'autre 126 MHz (123+3).
Dans ce cas prcis, si l'on construit un filtre ne laissant passer que les frquences comprises
entre 110 MHz et 130 MHz, toute l'information passera et l'on pourra recommencer
l'opration avec un autre signal en dehors de la plage de ce filtre, pour passer un signal
diffrent du prcdent, sans que ceux-ci se mlangent.
Ici, nous avons une largeur de canal de 6 MHz (126-120)
Notions connexes: BLD, BLU...
C'est dommage de ne pas en parler ici, mme si a ne sert pas en ce qui nous concerne (du
moins, ma connaissance). Vous pouvez passer ce paragraphe, o profiter de l'occasion pour,
peut-tre, augmenter votre culture technologique.
Dans le spectre ci-dessus, que peut-on remarquer ?
Les deux raies 120 et 126 MHz ont rigoureusement la mme amplitude,
l'information contenue dans chacune de ces raies est elle aussi rigoureusement
identique. Si le signal modulant tait un signal plus complexe, (nous en verrons un
exemple plus loin) nous observerions une parfaite symtrie des deux distributions de
raies de part et d'autre de la porteuse. Ces deux informations sont donc redondantes.
La raie de la porteuse a une grosse amplitude et n'apporte aucune information sur la
forme du signal modulant. Dans la pratique, son seul but est d'indiquer la frquence de
la porteuse.
Dans le cas o nous devons crer une onde lectromagntique partir de cette
porteuse module, il va nous falloir de l'nergie pour la faire porter loin. Un
amplificateur de puissance qui va consommer des watts lectriques et restituer:
o des watts HF pour l'onde lectromagntique (un peu)
o des watts thermiques (beaucoup), cause du rendement, toujours assez
largement infrieur 100%
Partant de ces observations, que pourrait-on conclure ?
L'nergie consomme l'mission va se rpartir dans:
o La raie de la porteuse (nergie perdue, il n'y a pas d'information l dedans,
hormis celle de sa frquence, qu'il faut tout de mme connatre pour pouvoir
dmoduler correctement).
o les deux bandes latrales, mais elles sont symtriques et une seule pourrait
suffire, puisqu'elles contiennent toutes les deux les mmes informations.
Donc
Bande Latrale Double
On va liminer la raie de la porteuse et n'mettre que les bandes latrales. On va gagner ainsi
en efficacit puisque l'nergie dissipe mettre la raie de la porteuse ne sera justement plus
dissipe La frquence de la porteuse reste facile retrouver, puisqu'elle se situe au milieu
du spectre.
Bande Latrale Unique
Plus fort, on bloque la porteuse ET une bande latrale. L'nergie utilise par l'amplificateur va
tre concentre sur la seule partie qui contient vraiment l'information. Le seul dtail technique
qui reste rsoudre est de savoir retrouver la frquence de la porteuse, pour pouvoir
dmoduler.
Mais alors...
Pourquoi ne pas y avoir pens plus tt ? On y gagne
trs largement en rendement, pour une puissance lectrique consomme, nous aurons
une nergie plus importante dans la partie signifiante du signal ;
En largeur de canal aussi puisqu'il n'y passe plus qu'une bande latrale sans porteuse.
Donc la largeur devient plus de deux fois infrieure ce qu'il tait ncessaire avant
d'adopter cette technique.
Pour y avoir pens, on y a pens, on l'a mme fait, tous les radio amateurs vous le diront. Il
n'y a qu'un seul petit problme, c'est qu' la rception, on ne peut plus reconstituer le signal
utile avec un dmodulateur simple. Pour y arriver, il va falloir d'abord reconstruire tout ce qui
manque
La raie correspondant la porteuse ;
La bande latrale qu'on a ventuellement supprime, dans le cas de la BLU.
Bien entendu, c'est faisable, au prix d'un rcepteur qui devient plus complexe. Dans le cas de
la BLD, c'est encore assez simple, il suffit de reconstruire la raie de la porteuse au milieu du
spectre du signal reu. Dans le cas de la BLU, c'est beaucoup plus compliqu.
La BLU est une technique trs rpandue sur les metteurs mobiles qui doivent, avec peu
d'nergie, disposer d'une longue porte. (Radio de bord sur des voiliers par exemple). En
gnral, on est assez loin des normes HIFI .
Cette mthode, utilise en graphie (mission radio en morse) a permis avec des
quipements trs rudimentaires les premires liaisons radio l'chelle mondiale.
Conclusions
Dans cette page, nous avons vu:
Le principe de modulation d'une porteuse en amplitude.
La notion de spectre d'un signal.
La notion de largeur de canal.
Le multiplexage spatial.
Mais nous ne voyons pas encore quoi a peut nous servir. Imaginons maintenant que la
porteuse 123 MHz soit :
1. Module avec un signal 3 Mhz pour signifier 1
2. Pas module du tout pour signifier 0
Pour pouvoir avoir des chances de reconstruire correctement l'information l'arrive, il faudra
moduler au moins sur une demi priode du signal modulant. On pourra donc envoyer les bits
au rythme du double de la frquence du signal modulant, soit 6Mbits/seconde. Ca vous parait
beaucoup? Pourtant c'est du gaspillage! On devrait arriver dans un canal aussi large
passer au moins 10 fois plus.
Pour l'instant, avec la mthode que nous avons vue, le seul moyen d'augmenter la bande
passante, c'est d'augmenter la frquence du signal modulant (sans dpasser la limite thorique
de la moiti de la frquence de la porteuse. Mais la lumire de ce que nous avons vu, si nous
multiplions par deux la frquence de la modulation, nous multiplions galement par deux la
largeur du canal
Comme la technique de la BLU n'est pas utilisable ici, Il va falloir trouver autre chose
Du sinus au carr
La modulation sinusodale, c'est bien pour la radio, moins pour le numrique o l'on manipule
des 0 et des 1 . Il est alors plus simple de moduler avec un signal rectangulaire:

Cette mthode est bien connue des tlgraphistes, o un 1 (porteuse) = un point ou un trait
et un 0 (pas de porteuse) correspond un silence. Mme dans le cas de virtuoses du
morse, la frquence moyenne du signal modulant est trs faible, ce qui conduit une largeur
de canal drisoire. Mais voyons tout de mme les choses d'un peu plus prs
Spectre d'un signal carr
Un signal carr, selon FOURIER, se dcompose en une somme de sinus de frquences de plus
en plus leves (multiples de la frquence dite fondamentale , gale celle du signal carr
lui-mme). Voici le spectre d'un signal carr de 3 MHz:

Regardons maintenant le spectre de notre porteuse de 123 MHz module avec ce signal:

Comme on pouvait s'y attendre, on retrouve le spectre du signal carr plac de part et d'autre
de la porteuse. La largeur du canal devient beaucoup plus importante cause des
harmoniques. Fort heureusement, il n'est pas utile de les laisser toutes passer pour tre capable
la rception de restituer notre information. Si l'on doit juste se contenter de dtecter la
prsence ou non de la porteuse, il suffira mme de ne laisser passer que la fondamentale, se
ramenant ainsi une modulation sinusodale, comme on l'a vu plus haut.
Conclusions
Par rapport au premier exemple de la porteuse module par un sinus, il n'y a pas beaucoup
d'amliorations, on a mme ajout les harmoniques qui, si l'on doit les rcuprer, ncessitent
d'augmenter la largeur du canal. Mais le signal modulant est facile fabriquer.
Remarque importante
Nous avons toujours utilis des signaux de modulation priodiques. Ce ne sera plus le cas
lorsque nous aurons passer des donnes. Ceci induit quelques ennuis:
L'analyse de Fourier ne fonctionne QUE sur des signaux priodiques. Nous pouvons
cependant crer artificiellement un spectre dans une unit de temps en admettant que
le signal modulant observ dans cette unit de temps constitue une priode d'un signal
rcurrent. Mais d'une unit de temps la suivante, ce signal aura chang de forme, si
bien que le spectre galement. Les outils de mesure nous montreront alors une sorte de
spectre moyen beaucoup plus flou que ce que nous montrent les exemples
prcdents. Ceci n'est pas grave et n'entame pas les rflexions faites jusqu'ici.
Un autre moyen...
Jusqu'ici, nous avons vu la modulation d'une porteuse en faisant varier son amplitude. Il existe
un autre moyen beaucoup employ dans la transmission numrique: la modulation de phase:

Dans cet exemple, l'chelle de temps a t trs dilate pour bien voir ce qu'il se passe. La
porteuse subit une rotation de phase de 180 au changement d'tat du signal modulant, ce qui
revient multiplier la porteuse par -1 sur un niveau 0 par exemple. Ce type de
modulation peut galement s'analyser par Fourier (bien que le calcul soit considrablement
plus compliqu, mais on s'en fout, c'est la machine puissante et chre qui le fait):

Remarquez ici qu'il n'y a plus une seule raie de grande amplitude, mais deux, 120 MHz et
126 Mhz, avec une porteuse toujours 123 MHz et une modulation 3 MHz.
Conclusion
Ici aussi, on pourra reconstituer l'information en ne conservant que ces deux raies, ce qui nous
fait toujours un canal de l'ordre de 6 MHz
On n'a encore rien gagn, si ce n'est que l'on connat une nouvelle mthode de modulation.
D'autres modulations sont galement possibles :
La modulation par sauts de phase. Mme technique que vue plus haut, mais les
dphasages peuvent tre d'un angle infrieur.
La modulation en frquence, o le frquence de la porteuse est modifie par le signal
modulant. Cette mthode est peu utilise pour la transmission de donnes numriques.
Principes volus
Rcapitulons
Nous avons vu principalement deux types de modulation:
La modulation d'amplitude, qui ne touche pas la frquence de la porteuse, juste son
amplitude.
La modulation de phase, qui ne touche pas l'amplitude de la porteuse, juste sa
phase.
Eh bien, la solution vient d'tre donne, il suffit de combiner les deux types de modulation
pour augmenter le rendement
Et puis, on va mme aller plus loin:
Plutt que de moduler l'amplitude sur deux niveaux, pourquoi pas sur n ?
Plutt que de moduler la phase par pas de 180 , ce qui ne donne que deux
possibilits, pourquoi ne pas le faire par pas de 90, ce qui en donnerait 4 ?
Mais que va-t-on y gagner exactement?
On est justement l pour le voir
Dfinitions PRIMORDIALES...
Il est grand temps maintenant de tordre le cou une confusion prsente dans bien des esprits:
Il y a normalement une ENORME diffrence entre un bit et un baud.
Le Bit
C'est une valeur binaire (Binary Digit). Un bit = 0 ou Un bit=1. Il est impossible d'aller plus
loin.
Le symbole
Encore appel cellule . Nous avons vu qu'il fallait dfinir une dure minimale de
modulation de la porteuse, pour pouvoir reconstruire le signal la rception. Typiquement :
Une demi priode du signal modulant.
Dans la pratique, le nombre de symboles que l'on peut faire passer par unit de temps influe
directement sur la largeur du canal.
Le Baud
The number of discrete signal events per second in a data transmission
(Dfinition officielle.)
Un Baud est donc une unit de vitesse, parler de bauds/seconde n'a aucun sens . Lorsque l'on
module une porteuse, on le fait avec une modulation d'une valeur donne pendant un temps
donn. Exemple:
Je module une porteuse 123 MHz avec un signal plat, pendant 0,15 S (micro seconde, 0.15
x10
-6
seconde). Ce signal plat peut prendre 4 valeurs: 0,25 ou 0,5 ou 0,75 ou encore 1.
Toutes les 0,15 S (i.e. toutes les 150 nS), je change la valeur du signal plat. Je construis des
symboles (ie. cellules) qui contiennent 2 bits! Pourquoi?
4=2
2
autrement dit, on peut dfinir quatre valeurs diffrentes avec 2 bits:
Taux de modulation 0,25 0,5 0,75 1
Equivalent binaire 00 01 10 11
Voici ce que a donne en simulation:

Si l'on s'y prend bien en choisissant judicieusement la dure de la cellule, le spectre de la
porteuse module entrera dans la largeur du canal que l'on s'est donne, et on y gagnera quand
mme en densit d'information transporte.
La vitesse en Bauds reprsente la quantit de ces cellules que l'on peut transporter par
seconde. Dans notre exemple, 1/150.10
-9
(les cellules font 150 nS) soit environ 6 mgabauds.
Comme on transporte 2 bits par cellule, on est environ 12 mgabits/seconde.
Un baud n'est donc pas forcment gal 1 bit/seconde, il ne l'est mme quasiment
jamais et un modem V90 ou V92 56 kb/s n'est certes pas un modem 56 000 bauds. Il est
clairement impossible d'obtenir une largeur de canal de seulement 4 KHz en passant 56
000 symboles par seconde.
Vous l'avez compris, le jeu va maintenant consister enfiler le plus grand nombre possible de
bits dans un seul symbole
Les modulations hybrides
Amplitude
Rien n'interdit, donc, de moduler une porteuse la fois en amplitude et en phase. Nous avons
une porteuse que nous modulons en amplitude, seulement avec deux niveaux:
Taux de modulation 0,5 1
Equivalent binaire 0 1
Bien entendu, avec cette mthode, nous ne transportons qu'un seul bit la fois, chaque cellule
ne contient qu'un bit.
Amplitude + phase
Maintenant, nous allons en plus moduler en phase. Le dphasage sera nul ou gal 180
Taux de modulation 0,5 0,5 1 1
Dphasage 0 180 0 180
Equivalent binaire 00 01 10 11
Pour chaque niveau d'amplitude, nous avons deux cas possibles. Au total, a nous en fait 4.
Cette fois-ci, nous transportons 2 bits la fois dans chaque cellule. Nous avons augment le
nombre de bits pas seconde sans augmenter le nombre de cellules pas seconde (bauds), donc
nous amliorons le dbit de donnes sans augmenter la largeur du canal.
Porteuses en quadrature
Une astuce d'lectronicien, un peu droutante, mais efficace quand mme. Nous allons utiliser
maintenant non pas une, mais deux porteuses rigoureusement de mme frquence. Elles sont
dphases de 90
Ce qui est droutant, c'est que lorsque l'on additionne deux porteuses de frquence f
0
en
quadrature, on obtient une seule porteuse, toujours de frquence f
0
:

Mais rassurez-vous, les lectroniciens ont plus d'un tour dans leur sac et savent parfaitement
reconstituer les deux porteuses initiales partir de la rsultante.
L'avantage de cette mthode est que la porteuse rsultante n'a pas chang de frquence, mais
comme les deux sous-porteuses en quadrature vont tre modules indpendamment l'une
de l'autre, nous pourrons transporter deux fois plus d'informations par cellule.
Dans le cas le plus simple, nous allons provisoirement abandonner la modulation en
amplitude pour ne garder que la modulation de phase.
Phase de la premire sous porteuse 0 0 180 180
Phase de la seconde sous porteuse 0 180 0 180
Equivalent binaire 00 01 10 11
Cette faon de faire permet une reprsentation graphique dans un plan :
Chaque axe reprsente une sous porteuse. La partie
positive de l'axe reprsente un dphasage nul. La partie ngative de l'axe reprsente un
dphasage de pi (180)
Par rapport ce que nous venons de voir, nous ne gagnons rien de plus qu'une mthode
supplmentaire, puisque le nombre de bits pas cellule demeure inchang. Cette mthode de
modulation s'appelle QPSK (Quadrature Phase Shift Keying).
Avant d'aller plus loin...
Cette mthode de modulation est d'une solidit
toute preuve. En effet, le dcodage la rception va se borner dtecter dans quel quadrant
se situe le point.
Or, si la reprsentation graphique que nous venons de voir (appele : Constellation) est d'une
nettet quasi parfaite, voici ce que a donne dans la ralit, avec les perturbations apportes
par le bruit :
Dans la pratique, le point va se situer quelque part dans le nuage, dcal de sa position
thorique par le bruit lectronique. La surface du nuage sera d'autant plus grande que le
rapport signal/bruit est faible, autrement dit, que le bruit est important par rapport au signal.
La modulation QPSK permet de reconstruire l'information, mme en prsence d'un bruit
important.
Cette modulation nous sera utile dans la suite, puisque les modems cble l'utilisent pour la
voie remontante (upload).
QAM 16
Quadrature Amplitude Modulation. Nous
l'utilisons ici avec 16 tats, simplement en introduisant deux niveaux de modulation
d'amplitude, au lieu d'un seul.
Pour chaque porteuse, nous reprenons le tableau dj vu :
Taux de modulation 0,5 0,5 1 1
Dphasage 0 180 0 180
Equivalent binaire possible 00 01 10 11
Mais, grce aux deux sous porteuses en quadrature, nous allons cette fois-ci transporter 4 bits
par cellule, donc 2
4
tats possibles soit 16 tats.
Remarque importante :
Nous avons augment le nombre de points de la constellation, mais pas la largeur du canal
d'mission, puisque le nombre de symboles mis par seconde (bauds) n'a pas chang. Dans la
pratique, nous augmentons le dbit sans augmentation de bande passante, mais au prix d'une
relative fragilit du signal. En effet, les points de la constellation tant plus rapprochs, ils
seront plus difficiles dcoder en cas de bruitage de la ligne.
De plus en plus compliqu

Une autre faon de reprsenter la constellation consiste utiliser un modle vectoriel, qui est
un outil mathmatique plus adapt, parce que dans un repre polaire, il est reprsent par un
module (longueur) et un argument (angle). Comme nous avons ici deux porteuses en
quadrature, nous aurons un point de fonctionnement qui sera dfini par un vecteur gal la
somme de deux vecteurs en quadrature.

Si l'on reprend l'exemple de la modulation QAM 16, nous aurons par axe, donc par porteuse,
deux vecteurs d'argument 0 et de modules reprsentant le taux de modulation d'amplitude
utilis et deux autres vecteurs de mme module, mais d'argument gal 180. Comme les
porteuses sont en quadrature, nous obtenons ceci, dessin pour un seul quadrant. Bien
entendu, la reprsentation complte reconstitue exactement la constellation vue plus haut. Au
bout du compte, nous pouvons mme oublier la reprsentation quadratique et raisonner sur
une seule porteuse, qui sera module avec une amplitude (module du vecteur, sa longueur) et
une phase (argument du vecteur, son angle) calcule par cette mthode.
La rpartition des valeurs de symboles sur la constellation ne se fait pas au hasard, elle est
normalement prvue pour optimiser la rception, lorsque la constellation a t abme par le
bruit. Le choix judicieux de cette rpartition se fait au moyen d'algorithmes complexes, qui
sortent largement du cadre de cet expos, surtout destin expliquer qualitativement comment
se fait le transport de donnes.
Des algorithmes plus ou moins compliqus permettent de dfinir des constellations contenant
de plus en plus de points, c'est dire de plus en plus de bits dans chaque symbole. Ainsi, nous
utiliserons des modulations de type :
QAM 64 (2
6
), 6 bits par symbole. QAM 128 (2
7
), 7 bits par symbole

Gardons prsent l'esprit que ces manuvres ont comme consquences :
D'augmenter le dbit en bits par seconde sans augmenter pour autant la largeur du
canal de communication.
De diminuer l'immunit au bruit du signal modul.
Conclusions
Les protocoles de transmission de donnes comportent toujours des algorithmes de correction
d'erreur et des algorithmes de rcupration en cas d'erreur (rptition de l'mission des
donnes), mais plus il y aura d'erreurs, plus on perdra de temps, si bien que vouloir passer trop
d'informations la fois peut aboutir une perte de temps. (Problme bien connu sur les
modems RTC).
En gnral, les modems sont prvus pour pouvoir se replier sur des modes de modulation
disposant de constellations moins denses, plus faciles dmoduler en cas de bruit. Le dbit
diminue, mais le taux d'erreurs aussi.
Les divers types de modulations que nous avons vus ne sont que des exemples. Le principe
reste cependant toujours le mme, savoir:
Construire des algorithmes qui permettent de passer le plus d'informations possible
dans une largeur de canal donne (le plus possible de bits par symbole, avec le nombre
maximum de symboles par seconde que l'on peut utiliser sans dborder du canal).
Prvoir des solutions de repli lorsque la qualit du signal en rception se dtriore
cause du bruit lectronique.
Ces rgles sont bien connues des constructeurs de modems RTC, nous verrons galement
qu'elles sont applicables aussi bien pour les modems cble que les modems DSL.
Modems cble
Avertissement
Les valeurs indiques ici sont des ordres de grandeur. Elles ne sont pas les valeurs exactes
utilises par les divers quipements. Ce que l'on a appel les rseaux cbls mtropolitains
ont fortement volu depuis qu'il n'y a plus qu'un seul oprateur en France. Nous sommes
encore pour l'instant dans une priode d'volution. Ces rseaux, initialement conus pour
distribuer des signaux de tlvision analogique, ont subi une premire mutation dans la
dernire dcennie du sicle dernier, afin de s'adapter la distribution de connexions
l'internet. Aujourd'hui (24 juillet 2008 15h 52), ces rseaux sont en cours d'unification et
s'orientent vers un rseau entirement (ou quasi entirement) en fibre optique (FFTH).
Alors qu'au dbut du sicle actuel il y avait d'normes diffrences entre la distribution de
l'internet par les rseaux cbls d'une part et la boucle locale (ADSL) d'autre part,
l'volution vers les trs hauts dbits et la fibre optique amne des architectures de plus en
plus similaires, et destines apporter les mmes services avec les mmes performances.
Retour au pass
(Nous sommes la fin du 20
me
et au tout dbut du 21
me
sicle)
Nous l'avons vu, la bande passante descendante (download) est dpendante:
De la largeur du canal.
Du mode de modulation.
La largeur de notre canal descendant impose une modulation environ 6 MBauds (6 millions
de symboles par seconde).
Pour la voie montante, c'est un peu plus compliqu et a dpend des technologies utilises :
Le Com21 utilise une largeur de canal de 1,8 MHz, ce qui donne environ 1,2 Mbauds.
La norme Eurodocsis, plus souple, permet plusieurs largeurs de canaux : 200, 400,
800, 1 600 ou 3 200 KHz., ce qui donne, dans le meilleur des cas, environ 2,5
Mbauds.
En ce qui concerne les modes de modulation, il y a galement des diffrences entre la
technologie Com21 et la norme Eurodocsis :
Com21 (Premier modem mis en production par France Telecom Cble en 1998) :
o Downstream : QAM 64 (6 bits par symbole).
o Upstream : QPSK (2 bits par symbole).
Eurodocsis (volution technologique en 2002) :
o Downstream : QAM 64 ou QAM 128 (6 ou 7 bits par symbole).
o Upstream : QPSK ou QAM 16 (2 ou 4 bits par symbole).
Finalement, dans le cas le plus favorable, nous obtenons les dbits suivants :
Com21 :
o Downstream : 6 MBauds 6 bits par baud, soit 36 Mbits par seconde.
o Upstream : 1,2 Mbauds 2 bits par baud, soit 2,4 Mbits par seconde.
Eurodocsis :
o Downstream : 6 Mbauds 7 bits par baud, soit 42 Mbits par seconde.
o Upstream : 2,5 Mbauds 4 bits par baud, soit 10 Mbits/seconde, soit quatre
fois plus que le Com21 (mais attention, dans le meilleur des cas).
Rappelons que ces chiffres sont des ordres de grandeur. On constate clairement l'avance
technologique que procure Eurodocsis, puisque, dans le meilleur des cas, sans toucher
l'infrastructure du rseau cbl, le dbit montant peut atteindre celui d'un rseau local
10BaseT.
Pourquoi tout de mme ces limitations sur l'upstream ?
Il y a plusieurs raisons. Parmi les plus videntes a priori :
Le cble n'a pas t conu pour tre interactif, entendez par l que les voies montantes
n'taient pas prvues au dpart. Il a donc fallu bricoler un systme pour ajouter ces
voies montantes. Cette opration n'tant pas si simple qu'elle en a l'air, Principalement
cause de l'attnuation d'un signal lectrique circulant dans un conducteur (nous
verrons cela un peu plus bas).
Du ct optique du rseau, la situation tait la mme, les voies montantes n'taient pas
prvues. Une considrable remise niveau de la partie fibre optique a donc galement
t ncessaire ;
la bande passante totale du cble est exploite en grande partie par les services de
tlvision analogique, avec des frquences de porteuses qui devaient rester
compatibles avec les rcepteurs TV, pour ne pas ncessiter de couteux changeurs de
frquences chez les clients. Actuellement, le dveloppement des chaines numriques
imposant un dcodeur apporte plus de souplesse dans l'exploitation de la bande
passante du cble, mais tant un signal lectrique, donc produisant des rayonnements
lectromagntiques, certaines plages de frquence rserves ne peuvent tre exploites
;
le surf et le tlchargement, oprations de base de l'internaute d'hier,
s'accommodent parfaitement d'une voie montante plus restreinte, ces oprations tant
toutes deux des descentes d'informations des serveurs vers les clients. Ne remontent
que les requtes et les signaux d'acquittement des connexions TCP. L'internet allant
dans le sens d'un rseau local, o les stations utilisent les serveurs pour y stocker des
donnes (Flux montant important), le surf sera de moins en moins la seule activit des
internautes.
Le dveloppement de la norme Eurodocsis va permettre de rduire l'cart des dbits entre
voies descendantes et montantes, mais le systme restera fondamentalement asymtrique.
A quoi a ressemble ?
Pour les utilisateurs d'quipements
de type Com21, malheureusement .
Imaginons une autoroute qui aurait une file dans un sens (upload) et 11 files dans l'autre
(download). Dans le cas normal , surf et tlchargement FTP, La situation est peu prs
quilibre puisque le rapport donnes reues / donnes envoyes est environ gal 10.
Pour les utilisateurs d'quipements Eurodocsis, la situation est moins catastrophique, puisque,
dans le meilleur des cas, la largeur de la voie montante n'est plus que le quart de celle de
la voie descendante.
Et alors ?
Un rapport de 10 entre voies descendante et montante est parfaitement inadapt aux
volutions de l'Internet. A la rigueur, un rapport de 4 est-il actuellement acceptable. C'est
d'ailleurs celui qui est propos pour les accs haut dbit actuels :
512 Kbps en descente.
128 kpps en monte.
Eurodocsis permet d'ailleurs de conserver ce rapport l'chelle du rseau lui-mme, ce qui
n'tait pas le cas avec la solution Com21. Avec cette nouvelle norme, les possibilits sont
largement tendues, d'autant qu'elle prvoit de grer beaucoup plus finement le trafic
transitant par le modem.
Les problmes techniques de la voie montante
Les canaux Internet
Ces canaux sont placs dans la partie infrieure du spectre du cble. La voie descendante aux
alentours de 123 MHz, les voies montantes autour des 23 MHz (au moins pour Marseille; ces
frquences peuvent tre dcales sur d'autres sites).
Problme grave: les basses frquences (entre 5MHz et 30 MHz) sont soumises beaucoup
de perturbations. Les plus connues sont:
la C.B. dans la bande des 27 MHz
Les tlphones sans fil (pas les cellulaires, les tlphones d'intrieur) vers les 26 MHz
Les ondes courtes entre 10 MHz et 18 MHz
Sans parler des diverses perturbations domestiques. C'est pour ces raisons que les voies
montantes sont actuellement modules en phase uniquement (modulation QPSK), en QAM 16
dans le meilleur des cas. La modulation QPSK qui ne permet de passer que 2 bits par
symbole est plus facile dcoder en prsence de bruit, qui se traduit gnralement par une
modulation parasite, mais en amplitude principalement, et pas au niveau de la phase.
L'attnuation en ligne
Il se trouve qu'un signal s'attnue lors de son transport dans un conducteur (aussi bien un
signal lectrique dans du cuivre qu'un signal lumineux dans une fibre optique). Il faut donc
placer des amplificateurs le long de la ligne:

Le problme, c'est qu'un ampli, a a une entre et une sortie et qu'on ne peut videmment pas
les inverser
Pour crer des voies montantes dans la partie cuivre, il a donc fallu compliquer un peu le
problme:

On n'est pas ici pour faire de l'lectronique, mais il est ais de comprendre que la mise
niveau ne s'est faite ni simplement, ni gratuitement.
Prsent et avenir
La solution passe par une rorganisation du rseau. Tout le rseau cbl n'est pas constitu de
cuivre. Aprs tre pass par diverses tapes plus ou moins contradictoires, l'architecture
actuelle consiste en un savant mlange de fibre optique et de cuivre.
Voici, schmatiss l'extrme, quelques cas de figure possibles :

Le centre fonctionnel de l'oprateur est reli par des gros tuyaux l'internet d'une part, et
tout moyen qui lui permet de rcuprer les chaines de tlvision.
Il distribue par de la fibre optique tout ceci des centres de distribution. Il peut bien entendu y
avoir plusieurs niveaux dans cette desserte.
A la dernire tape de la ramification, le signal va tre vhicule sur du cuivre (de moins en
moins) ou de la fibre (de plus en plus), vers des rpartiteurs, gnralement placs aux pieds
des immeubles. Les clients sont relis au rpartiteur par du cuivre (encore trs
majoritairement pour l'instant) ou de la fibre (encore peu, mais a viendra).
Une autre mthode peut tre de relier directement chaque client au centre de distribution le
plus proche par une fibre ddie (architecture similaire la boucle locale tlphonique). Cette
mthode ne semble pas avoir t adopte par notre cblo oprateur.
Notez que l'architecture volue de telle manire que cblo oprateur et oprateurs de
tlcommunications finiront par disposer de rseaux tout fait similaires. La grande
diffrence qu'il existait entre cble et boucle locale va petit petit disparaitre totalement, avec
l'extension de la fibre optique.
Modems ADSL
Les technologies xDSL utilisent la boucle locale de tlphonie fixe.
Axiomes de base
Soit une formidable pelote de paires de cuivre destine raccorder l'immense majorit des
habitants d'une ville donne au rseau tlphonique. Que faire de ce fatras de cbles, lorsque
les possibilits d'expansion deviennent quasi nulles, le taux de pntration atteignant plus de
90%, pire, lorsque la tlphonie mobile fait rgresser ce taux de pntration ?
Reconvertir ce machin en rseau d'accs Internet haut dbit bien sr ! Comment ne pas y
avoir pens plus tt ?
Tous simplement, parce que techniquement, c'est une prouesse assez phnomnale. Le pire,
c'est que a fonctionne plutt bien
Il est intressant de constater que le transfert de donnes numriques par le rseau
tlphonique commut a toujours t du domaine du bidouillage . Nous allons voir qu'
xDSL ne droge pas cette rgle.
La paire de cuivre PTT
Autour des annes 1960, La tlphonie franaise est dans un tat affligeant (le clbre sketch
du regrett Fernand RAYNAUD : le 22 Asnires en est une illustration humoristique,
mais il n'y a pas rellement de quoi rire). Le gouvernement dcide alors de remdier cette
situation peu flatteuse pour la France. Des efforts considrables sont entrepris pour construire
un rseau tlphonique exemplaire. Aujourd'hui une infime minorit de franais ne dispose
pas encore du tlphone. Mais ce n'est qu'un rseau tlphonique, surtout dans la boucle
locale . (Sur les grosses artres, le rseau de type ATM est quant lui capable de vhiculer
indiffremment tout type de donnes numriques. La tlphonie elle mme, analogique sur la
boucle locale, est d'ailleurs transporte de manire numrique sur le rseau ATM).
Caractristiques gnrales
Chaque client est raccord un central en point point par l'intermdiaire d'une paire de fils
de cuivre. Cette paire de cuivre est destine faire passer une boucle de courant qui sera
module en amplitude par le signal vocal, en mode analogique (le rseau ISDN, appel
NUMERIS en France est autre chose. Il est conu nativement pour transporter des donnes
numriques sur la boucle locale, mme s'il s'agit de tlphonie. Compltement incompatible
avec l' ADSL, du moins dans son implmentation France Tlcom
1)
, nous n'en dirons pas plus
ici).
Le signal vocal s'accommode d'une bande passante assez faible. En gros, de 400 Hz 4 KHz.
Les modems RTC vont dployer des trsors d'ingniosit pour arriver passer des dbits
thoriques allant jusqu' 56 Kbps dans un canal aussi troit.
Cependant, il est envisageable de faire voyager sur ce fil des signaux d'une frquence
suprieure. Jusqu'o peut-on aller ? Toute la question est l. Ca dpend de beaucoup de
paramtres :
La qualit de la paire de cuivre.
La qualit des divers raccordements faits entre le central et le client
La longueur de la paire de cuivre.
Quoi qu'il en soit, on arrivera toujours monter plus haut que 4 KHz. L'ide est d'exploiter
cette rserve pour y passer un signal modul, qui ne se mlangera pas avec la bande
tlphonique.
DSL en gnral
Digital Subscriber Line. Disons que c'est un ensemble de moyens normaliss pour transporter
de l'information numrique sur une ligne tlphonique classique . ADSL (le A voulant dire
Asymmetrical ), n'est qu'un sous ensemble de DSL. Pour tre tout fait prcis, l'enjeu est
de transporter le maximum de densit d'informations numriques sur la boucle locale,
jusqu'au point d'entre du rseau ATM, sans toucher au systme tlphonique en place.
Les diverses technologies DSL ne fonctionnent pas toutes de la faon qui va tre dcrite par la
suite. Nous ne nous intresserons ici qu'au cas particulier de l'ADSL.
Une modulation complique
La technologie ADSL utilise un systme de modulation appel DMT (Discrete Multi Tone).
Disons que le principe consiste construire des canaux de 4 KHz de large, placs les uns
ct des autres, jusqu'au bout de la bande passante de la paire de cuivre. La technologie
annonce 1,1MHz pour une ligne ne dpassant pas 5,5 Km de long (ce qui fait fort peu, les
lignes ne se tirant pas en ligne droite). Le problme principal est que la paire de cuivre utilise
pour construire la boucle locale n'a absolument pas t prvue pour monter en frquence et
qu'elle introduit une forte attnuation du signal en fonction de sa longueur.

La technologie ADSL de dernire gnration permet de monter plus haut en frquence ( 2
MHz si tout va bien), mais arrive ses limites.
Mise en place du systme
Le premier canal est utilis par la tlphonie analogique. Appel POTS (Plain Old Telephone
Service), il constitue l'usage normal de la ligne tlphonique.
Une sorte de no man's land est rserve entre 4 KHz et 20 KHz, de manire pouvoir
facilement isoler le POTS de tout ce qui va se passer au dessus. Le fameux splitter , filtre
placer sur chaque prise tlphonique, est l pour sparer les deux services.
Entre 20 KHz et 200 KHz, on trouve les canaux qui serviront l'mission des donnes.
Entre 200 KHz et 1,1 MHz, nous avons les canaux rservs la rception des donnes.
Chaque canal est modul par une mthode QAM.
L'artifice sublime
Il faut maintenant exploiter au mieux ces canaux :
Chaque canal sera exploit avec une constellation adapte au bruit rencontr sur le
canal. Ainsi, certains canaux pourront fournir un dbit important, tandis que d'autres
en fourniront trs peu, voire pas du tout. Cette mthode flexible permet d'exploiter au
mieux la ligne mme dans un milieu hostile.
Une rpartition spatiale des donnes sera effectue sur l'ensemble des canaux
concerns. Autrement dit, le flux de donnes sera dcoup en tranche, chaque tranche
tant achemine par un canal diffrent.
Si dans la thorie, on peut aller assez loin en matire de dbit, la sagesse veut, pour un lien
ADSL, que l'on ne garantisse pas plus, sur une ligne de 5,5 Km de longueur maximum, que :
1,5 Mbps en voie descendante.
512 Kbps en voie montante.
On le voit clairement, mme si l'Internet haut dbit par l'ADSL fait aujourd'hui bonne
figure, le systme reste un moyen technologiquement trs sophistiqu, pour exploiter au
mieux une installation existante, inadapte la transmission haut dbit, sans avoir y toucher.
Prsent et avenir
Aujourd'hui, il y a environ deux fois plus de canaux dans le meilleur des cas, et la tlvision
est distribue par le mme chemin. La nature humaine dictant que l'homme en veut toujours
plus, les technologies DSL ont leur avenir derrire elles. Les oprateurs investissent
massivement dans des rseaux en fibre optique, parfois dans la plus grande anarchie, mais
nous n'en sommes encore (le 24 juillet 2008 16h 54) qu'au tout dbut. La fibre optique
jusque chez l'abonn sera l'aboutissement invitable.
1)
Il faut tout de mme savoir que l'utilisation des technologies DSL sur une ligne ISDN n'est
pas impossible. Pour des raisons qu'il faut demander France Tlcom, les lignes
tlphoniques numriques (NUMERIS en France, qui ne sont que l'adaptation de la norme
ISDN), n'ont pas t mises la porte de la clientle rsidentielle. Il en rsulte que seules les
entreprises ayant de forts besoins en ressources tlphoniques sont passes cette
technologie. Dans d'autres pays o la technologie ISDN a t plus dmocratise qu'en France,
comme en Allemagne avec Deutsche Telekom, des solutions ont t dveloppes. Sans entrer
dans les dtails du fonctionnement ISDN, disons que ce systme utilise une bande de base
jusqu' 80 KHz. Le reste n'tant pas exploit, il est parfaitement possible d'y placer des sous-
canaux utilisables par DSL, comme nous le verrons plus loin.

Le codage des caractres
Peut-tre trouvez-vous vident qu'une machine informatique soit capable de grer
efficacement vos donnes, quelles qu'elles soient, y compris le texte ?
Avez-vous pens un seul instant que, pour puissant qu'il soit, votre merveilleux ordinateur n'a
qu'un doigt pour compter ?
Et pourtant, a marche. Nous allons voir comment.
Par la mme occasion, nous verrons aussi pourquoi, quelquefois, il y a des petites curiosits
dans l'affichage du texte, principalement sur les lettres accentues et certains symboles.
Le codage des donnes
S'il est assez naturel de transformer un nombre humain (en base 10) dans n'importe quelle
autre base de calcul, y compris la base 2 (et rciproquement), c'est un peu plus compliqu de
coder en binaire les symboles d'criture.
Pourquoi ?
Parce qu'il n'y a pas rellement d'algorithme mathmatique pour le faire et qu'il faudra donc
travailler sur des conventions. Vous savez ce que valent les conventions, elles sont adoptes
jusqu' ce qu'elles ne le soient plus. De plus, les limites d'une convention sont bien connues :
une convention est attache un contexte. Lorsque le contexte change, la convention
doit tre modifie. Un exemple simple dans le domaine qui nous intresse ici :
l'adoption par la Communaut Europenne du symbole de sa monnaie unique, l'euro.
Changement de contexte, ce symbole doit tre ajout la liste des symboles d'criture
utilise dans tous les pays de l'UE ;
une convention doit satisfaire toutes les parties concernes. Les dites parties cherchant
chacune faire prvaloir leur point de vue, les conventions sont gnralement
adoptes trop tard.
Nous allons ici essayer de passer en revue les principales conventions adoptes pour le codage
des symboles d'criture, en ayant l'esprit que nous sommes dans un contexte mondial, avec
plusieurs langues, plusieurs alphabets et, pour compliquer encore le problme, plusieurs
systmes d'information.
l'Ecriture
Pourquoi crire ?
La question peut paraitre stupide, tant l'crit demeure un moyen
primordial dans nos civilisations pour la communication. Tmoin ces quelques pages. Le
problme principal vient, nous le savons, de la multitude de langues utilises de part le
monde, multitude qui utilise elle mme une multitude de symboles dans sa forme crite. Si
l'alphabet latin reste probablement le plus utilis, notons dj la grande quantit de symboles
altrs par des accentuations et autres contractions comme le fameux e dans l'o ().
L'alphabet latin reste, mme avec toutes les altrations qu'on lui connat, largement insuffisant
pour permettre l'criture de toutes les langues telles que le grec, l'hbreu, l'arabe, le russe et
sans parler encore des langues asiatiques
Comment crire ?
Nous parlons d'informatique ; ici, pas de crayons. Les outils qui permettent d'afficher du texte
sont principalement de deux sortes :
Les imprimantes
Nous pouvons les classer en deux grandes catgories :
les imprimantes dont le ou les jeux de caractres sont forms mcaniquement. Mme
si elles n'ont plus cours aujourd'hui, elles ont t parmi les premires. Depuis les
anctres utilisant un jeu de marteaux comme les machines crire mcaniques,
jusqu'aux marguerites (une galette en matriau souple, constitue de ptales,
chacun portant un caractre) en passant par les imprimantes boule dont IBM tait le
champion.
Dans tous ces cas, les symboles sont gravs sur un support mcanique et l'impression
se fait par impact sur un ruban encreur intercal entre l'outil de frappe et le papier ;
les imprimantes dont les jeux de caractres sont forms partir d'une matrice de
points. Depuis les antiques imprimantes aiguilles jusqu'au laser en passant par le jet
d'encre, le principe consiste dessiner les caractres par impression de points.
L'imprimante dispose alors de tables qui contiennent une reprsentation bitmap de
l'ensemble des caractres, ces tables pouvant tre embarques dans la mmoire de
l'imprimante ou tlcharges la demande.
Dans tous les cas, l'imprimante reoit un code numrique crit sur un octet (parfois plusieurs)
et dduit de ce code le caractre qu'elle doit imprimer.
Les crans
Qu'ils soient tube cathodique, cristaux liquides ou mme plasma, le principe est similaire
aux imprimantes matrices de points.
La mthode globale d'impression
S'il s'agit d'un procd d'impression mcanique type marguerite ou boule, un code va
permettre de placer l'organe mcanique la bonne place pour imprimer le caractre souhait.
Un changement de forme de caractres implique un changement de l'organe mcanique.
S'il s'agit d'un systme matrice de points, chaque caractre est dessin dans une table et le
systme n'a qu' aller chercher le bon dessin. Bien entendu, ce systme est plus souple et
propose gnralement plusieurs typographies.
Nous n'entrerons pas trop dans les dtails du pilotage d'une imprimante, mais en gnral, un
langage particulier (PCL, PostScript) permet d'expliquer l'imprimante ce qu'elle a faire
(police de caractres utiliser, taille, format du papier utiliser), en plus de lui envoyer les
donnes imprimer.
Pour les crans, c'est l'interface graphique avec son driver , mais aussi le systme
d'exploitation lui-mme qui se chargent de ce travail. Ce qu'il est important de comprendre,
c'est qu'en ce qui concerne le contenu du message imprimer, il doit exister un code qui
dfinisse parfaitement l'ensemble des caractres de l'alphabet d'une (ou de plusieurs) langue(s)
donne(s). Ce code, dans le cas de systmes communicants, comme c'est le cas sur l'Internet,
doit tre adopt par toutes les parties qui dcident de communiquer entre elles ; faute de quoi,
il apparaitra des aberrations dans les textes affichs.
L'objectif de ce chapitre est d'essayer de clarifier autant que possible l'ensemble des
procdures mises en uvre pour parvenir communiquer par l'crit de faon satisfaisante.
Le code ASCII
Au dbut tait le texte
Nous n'avons pas le choix, nous devons adopter une convention qui associera un nombre un
symbole d'criture, puisque nous disposons de machines qui ne savent manipuler que des
nombres. Nous crerons ainsi une table d'quivalence entre des valeurs numriques et des
symboles d'criture. Toutes les parties qui communiqueront entre elles en adoptant la mme
convention arriveront donc, en principe, se comprendre.
Figurez-vous que
l'informatique n'a pas toujours t aussi complique. Voici un exemple de terminal
informatique fort courant une certaine poque . Cette magnifique bestiole, appele tltype
du nom de l'entreprise qui la fabriquait (Les plus jeunes ne peuvent pas connaitre, la
machine date de 1967), servait dialoguer avec un ordinateur, par le truchement d'une liaison
srie RS232, que nous connaissons toujours, mme si ses jours sont dsormais compts. En
ces temps reculs de l'informatique, le tube cathodique n'tait pas un priphrique courant. On
utilisait volontiers la place une imprimante, le plus souvent boule ou marguerite. Cette
machine disposait par ailleurs d'un lecteur/perforateur de ruban en papier (trou/pas trou >
1/0). Mais pour intressantes qu'elles soient, ces considrations archologiques nous cartent
de notre sujet initial
La liaison RS232 prvoit de transmettre en srie (bit par bit) un mot de 8 bits en utilisant le bit
de poids le plus fort (bit 7) comme bit de parit, pour effectuer un contrle de validit de la
donne. Le principe est simple : dans un octet, le bit de parit est ajust de manire ce que le
nombre de 1 soit toujours pair (ou impair, a dpend de la convention adopte).
Dans ce cas de figure, il n'y a que 7 bits (b0 b6) qui sont significatifs d'une donne, le
dernier bit servant juste ajuster la parit.
7 bits pour un caractre
L' American Standard Code for Information Interchange (ASCII) s'est donc ingni
coder chaque caractre d'une machine crire sous la forme d'une combinaison de 7 bits. En
dcimal, nous obtenons des valeurs comprises entre 0 et 127.
Comme la base binaire (0 ou 1), si elle est trs commode pour un calculateur lectronique,
l'est beaucoup moins pour le cerveau humain, nous allons utiliser une autre base qui, si elle
n'est gure plus parlante , offre tout de mme l'avantage d'aboutir une criture beaucoup
plus compacte. Cette base devra tre une puissance de 2, la plus courante tant la base
hexadcimale, parce que chaque digit hexadcimal va reprsenter une combinaison de 4
bits :
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
0 1 2 3 4 5 6 7 8 9 A B C D E F
Mais il est aussi possible d'utiliser de l'octal, sur trois bits.
Pourquoi pas la base 10 laquelle nous sommes habitus depuis notre plus tendre enfance ?
Parce que, malheureusement, 10 n'est pas une puissance de 2 et qu'un digit dcimal ne
reprsente donc pas toutes les combinaisons que l'on peut faire avec un groupe de n bits. 4
c'est trop (hexadcimal) et 3 c'est pas assez (octal). Plus mathmatiquement, on ne peut pas
trouver de valeur entire de n telle que 10=2
n
. Essayez donc de rsoudre n=Log(10)/Log(2).
Certains ont mis en uvre un codage appel BCD (Binary Coded Decimal). Le principe est
simple : chaque digit dcimal (de 0 9) est cod sur un quartet. Certaines combinaisons de
bits sont donc impossibles.
9 va donner 1001
10 donnera 0001 0000 et non pas 1010
Mais revenons notre code ASCII ; 7 bits sont-ils suffisants ? Oui et non
D'abord, dans une machine crire, il n'y a pas que des caractres imprimables. Il y a aussi
des caractres de contrle , comme le saut de ligne, le retour-charriot, le saut de page, la
tabulation, le retour arrire Tous ces caractres doivent aussi tre cods pour que
l'ordinateur puisse efficacement piloter une imprimante.
De plus, pour transmettre convenablement un texte, il faudra quelques smaphores pour
indiquer par exemple quand commence le texte, quand il finit
Enfin, suivant les langues, mme lorsqu'elles exploitent l'alphabet latin, certaines lettres sont
altres diffremment. L'anglais n'utilise pas d'accents mais la plupart des autres langues les
exploitent plus ou moins parcimonieusement.
Au final, si 7 bits suffisent gnralement pour une langue donne, ventuellement en faisant
l'impasse sur certains symboles peu usits comme [ ou ], nous ne pourrons pas coder
l'ensemble des caractres ncessaires pour la totalit des langues utilisant l'alphabet latin.
La norme iso-646 dfinit un code ASCII sur 7 bits. Ce code, parfaitement adapt l'anglais
US, l'est moins pour les autres langues. Nous assistons donc la cration d'une multitude de
dialectes ASCII , o certains caractres sont remplacs par d'autres suivant les besoins
locaux. Les lecteurs les plus anciens se rappelleront peut-tre des configurations
hasardeuses de certaines imprimantes pour arriver ce qu'elles impriment un franais
lisible
Les
caractres sur fond bleu sont les caractres non imprimables. Pour bien lire le tableau, il faut
construire le code hexadcimal en prenant d'abord le digit de la ligne, puis le digit de la
colonne. Par exemple, la lettre n a pour code hexadcimal 6E.
Comme vous le constatez, il n'y a aucune lettre accentue dans ce codage. Ce dernier a donc
t joyeusement localis pour satisfaire aux exigences des divers pays utilisant l'alphabet
latin. Cette situation aboutit rapidement une impasse, les fichiers ainsi construits n'tant plus
exportables dans d'autres pays. De plus, vous constaterez aisment que l'ajout de caractres
supplmentaires (le , le , le etc.) implique obligatoirement la suppression
d'autres caractres (le [ , le ] , le # etc.). Ceux qui ont quelques notions de
programmation comprendront quel point c'est facile d'crire du code avec un jeu de
caractres amput de ces symboles. Dans la pratique, les programmeurs taient condamns
utiliser un clavier US.
Pour un bit de plus
Avec les avances de la technique, le huitime bit qui servait pour le contrle de parit,
contrle rendu de plus en plus inutile, va tre utilis pour coder plus de caractres. Deux fois
plus, finalement.
Ainsi, le codage iso-latin-1 , galement connu sous le nom de iso-8859-1 propose peu
prs le codage suivant

Comme vous pouvez le constater ici :
les codes ASCII de 0 7F (127 en dcimal) demeurent inchangs ;
les codes suprieurs (ceux qui ont le bit 7 1) reprsentent quelques symboles
supplmentaires, ainsi qu'une panoplie de lettres accentues qui satisfont aux
exigences des langues de l'Europe de l'Ouest.
Pourquoi peu prs ? Le codage ci dessus est une interprtation de la norme iso-8859-1
par notre ami Microsoft qui a un peu bricol pour ajouter quelques symboles de plus, dont
celui de l'euro La consquence en est qu'une fois de plus, Windows n'est compatible
qu'avec lui-mme. Fort heureusement, nous verrons qu'il demeure possible d'adopter un
codage plus officiel avec les applications communicantes, mais avec des limites. Notez que si
l'on peut reprocher Microsoft de ne pas suivre les normes, il faut aussi reprocher aux normes
d'tres imparfaites et assez peu ractives.
Pour ajouter la complexit, la norme iso-8859 dfinit pas moins de 15 versions diffrentes,
pour satisfaire tous les besoins mondiaux. A titre d'information, la norme iso-8859-15
devrait pouvoir tre utilise pour l'Europe de l'Ouest avec plus de bonheur que l'iso-8859-
1.
Finalement, ce bit de plus ne fait que dplacer le problme sans toutefois l'liminer, nous ne
disposons toujours pas d'un systme normalis universel.
Les as de la confusion
Croyez-vous que la situation est suffisamment confuse comme a ? Vous vous trompez !
D'autres choses existent, souvent venant de chez IBM.
EBCDIC
Je me contenterai de vous citer la dfinition issue du jargon franais :
Extended Binary Coded Decimal I nterchange Code.
Jeu de caractres utilis sur des dinosaures d'IBM. Il existe en 6 versions parfaitement
incompatibles entre elles, et il y manque pas mal de points de ponctuation absolument
ncessaires dans beaucoup de langages modernes (les caractres manquants varient de plus
d'une version l'autre) IBM est accus d'en avoir fait une tactique de contrle des
utilisateurs. ( Jargon File 3.0.0).
Il existe quelques moulinettes capables de convertir tant bien que mal des fichiers cods
sous cette forme en fichiers ASCII.
Bien que l'EBCDIC soit aujourd'hui tout fait confidentiel, puisqu'il ne concerne que les
vieilles machines IBM, il faut en tenir compte pour les changes de donnes inter plateformes,
jusqu' extinction totale de la race (nous ne devons plus en tre trs loin).
Pages de codes 437 et 850
Lorsque IBM a cr le PC (Personal Computer, faut-il le rappeler ?), des jeux de caractres
ont t crs sur 8 bits, spcifiquement pour ces machines. Ci-dessous la page de code 437
(CP437). Attention, ce tableau se lit dans l'autre sens, le quartet de poids faible est celui de la
ligne et le quartet de poids fort est celui de la colonne.

Tous les petits grigris partir du code B0 taient destins faire de l'art ASCII tendu. De
jolies interfaces pseudo graphiques sur des terminaux en mode texte.
Si cette page de code est compatible avec l'ASCII US 7 bits (iso-646) il n'en est rien pour le
reste, avec aucune iso-8859. Cette situation a t assez pnalisante, aux dbuts de Windows,
o l'on devait souvent jongler avec les fichiers issus d'applications DOS et Windows.
Reconstruire la tour de Babel
Et si l'on construisait une table de codage sur 16 bits et pourquoi pas mme 32 bits ? L, on
aurait de la place pour entrer dans une seule et unique table tous les symboles que l'espce
humaine a pu inventer
Rassurez-vous, on y a dj pens, ceci s'appelle l'UNICODE et le projet fait mme l'objet
d'une normalisation, iso-10646-1.
Pourquoi faire, me direz-vous ? Avons-nous besoin de manipuler dans un mme document
tous les symboles d'criture que ce monde a invent ?
Il y a au moins deux bonnes raisons qui militent en faveur d'UNICODE :
si tout le monde utilise UNICODE, il n'y a plus de problmes, tout le monde peut
crire dans sa langue maternelle en utilisant la mme convention ;
les pauvres gens qui font de la traduction de documents d'une langue dans une autre
n'auront plus jongler en permanence avec les divers iso-8859 pour rdiger leur
travail.
Cependant UNICODE utilis brutalement aboutirait un quadruplement du volume pour un
document donn, chaque caractre tant dsormais encod sur 32 bits et non plus 8, le tout
avec probablement plein de zros et quelques octets constants dans chaque document. Une
solution ce petit problme s'appelle UTF-8. Notez que pour nous, europens, qui utilisons
l'alphabet latin, UTF-8 ne sera pas trop pnalisant en termes de volume de donnes. Pour
d'autres, chinois ou japonais par exemple, le problme sera diffrent.
Cette normalisation, bien que complexe, est en voie de devenir l'usage courant. Ce n'est pas
encore le cas partout, et comme ce codage n'est compatible avec les autres que sur les 127
premiers symboles (ASCII), nous n'avons pas encore fini de voir des choses comme De la
difficult avre du bon amnagement des caractres dans l'encodage
numrique fleurir dans nos e-mails et sur certaines pages du web.
La raison ? Le texte a t encod en UTF-8 et, pour une raison quelconque, a t interprt
par le client comme de l'iso-8859-1. Notez que l'inverse peut aussi se produire et reste aussi
inesthtique.
Conclusion provisoire
Comme vous le voyez, nous sommes encore loin de disposer d'un systme de codage efficace
des divers symboles utiliss dans le monde pour communiquer. La situation parait dj assez
dsesprante, sinon dsespre, mais rassurez-vous, nous n'avons pas encore tout vu. Notons
tout de mme que :
les dernires moutures de MS Windows (Vista, Seven) semblent vouloir se conformer
UTF-8 ;
la plupart des distributions GNU/Linux sont configures par dfaut pour utiliser UTF-
8 ;
les browsers modernes savent afficher correctement du code UTF-8 pour peu qu'ils
soient informs correctement qu'ils reoivent un tel codage.
Dans ces conditions, le pire est peut-tre dj derrire nous ? Pour autant, nous ne sommes
pas encore sortis de ce bourbier.
Note :
Les passionns de la chose trouveront ici beaucoup de dtails sur les divers codages existants.
Autres astuces
Code toujours, tu m'intresses
Par une remarquable tendance la perversit de l'esprit humain, certains protocoles
applicatifs (SMTP par exemple) ont t conu avec comme axiome de dpart qu'ils ne
devraient transporter que du texte, alors qu'il est clair qu'ils n'auraient transporter que des
valeurs numriques binaires, puisqu'un systme numrique ne sait finalement faire que cela.
D'ailleurs, le premier besoin qui s'est fait sentir, c'est de pouvoir attacher aux e-mails des
fichiers qui sont tout, sauf du texte pur.
Pourquoi le parti-pris du texte ?
A cause des caractres de contrle ! C'est trs pratique de disposer de caractres spciaux qui
permettent, comme leur nom l'indique, de contrler le flux de donnes. Avec le codage
ASCII, nous avons vu qu'il en existait pas mal, mme si nous ne sommes pas entrs dans le
dtail de leur signification.
De plus, nous n'avons pas parl du codage des valeurs numriques. Si un nombre entier ne
pose pas trop de problmes (1, 2 octets ou plus, ventuellement, encore que reste savoir dans
quel ordre on va les passer), les nombres rels, cods sous la forme mantisse / exposant sont
un rel casse-tte. Un exemple faux mais qui fait comprendre : Le nombre 1 245 389 789
726 986 425 ne va pas s'utiliser ainsi, on va d'abord l'crire, par exemple sous la forme
1245,389789726986425 10
15
. On s'attachera alors stocker en mmoire ce rel sous une
forme approche en utilisant systmatiquement, disons trois octets. Sa partie entire, 1245
dans l'exemple, sera code sur deux octets et la puissance de 10, 15 dans l'exemple, sur un
octet.
Cet exemple n'a pas de ralit, mais le principe est peu prs juste. Suivant les plateformes et
les langages de programmation, nous aurons nos rels stocks sur 4, 6 ou 8 octets, avec plus
ou moins de prcision sur la mantisse, ou plus ou moins d'espace sur la puissance de 10,
suivant la nature des calculs raliser (aviez-vous pens que la notion d'infini ne peut tre
gre par un calculateur ?). Au final, il est souvent plus simple de communiquer des valeurs
numriques un tiers sous leur forme ASCII (telles qu'on peut les afficher ou les imprimer,
avec des symboles d'criture, donc), plutt que telles qu'elles sont stockes en mmoire.
La consquence ?
Ces protocoles ne peuvent pas simplement transfrer des donnes numriques, puisqu'un octet
est priori considr comme l'image d'un caractre et non comme une donne numrique en
elle mme. Ainsi, si vous voulez transfrer un fichier qui contient une reprsentation bitmap
d'une image, comme un fichier jpeg, png ou gif, par exemple, vous ne pouvez pas
considrer que c'est du texte, puisque priori, chaque octet peut prendre n'importe quelle
valeur, y compris celle d'un caractre de contrle. Vous connaissez beaucoup de pages Web
sans aucune image dedans ? Vous n'avez jamais envoy un e-mail avec une image en pice
jointe ?
La conclusion est qu'il a fallu trouver une astuce pour transporter des donnes purement
numriques sur un protocole qui n'est pas prvu pour a.
Codage tous les tages
Le jeu va consister maintenant coder une donne purement numrique sous une forme
alphabtique, elle-mme code sur des valeurs numriques, pour qu'elle puisse tre
transporte sur un systme qui ne connat que des 0 et des 1.
Tordu, n'est-ce pas ?
Oui, mais comment faire autrement ? Les rvolutions, c'est bien, mais on ne peut pas en faire
tous les jours, sinon, c'est le chaos permanent. Vous allez voir que les solutions apportes sont
certes parfois tordues, mais astucieuses et surtout efficaces.
Comme il est clair, la lueur de ce que nous avons vu jusqu'ici, que la seule convention qui
soit peu prs universellement accepte et correctement transporte par les protocoles
applicatifs est la norme iso-646 (US-ASCII), il faudra trouver des conventions de
codage pour convertir un octet en un ensemble de caractres sur 7 bits.
C'est parti pour la grande cuisine.
Le codage quoted printable
Ce codage est principalement employ pour transformer un texte crit avec un codage sur 8
bits en un texte qui ne contiendra que des caractres codables sur 7 bits. Vous allez voir
comme c'est simple :
D'abord, il faut savoir sur quel codage 8 bits on va s'appuyer, en gnral, pour nous, iso-8859-
1.
Ensuite, nous allons utiliser un code d'chappement (c'est une technique assez courante,
nous la rencontrons souvent en informatique). Ici, le caractre d'chappement est le signe =.
Ce signe signifie que les deux caractres qui vont le suivre reprsenteront le code
hexadcimal d'un caractre et non le caractre lui-mme. Bien entendu, il faudra aussi coder
le caractre d'chappement.
Un petit exemple vaudra bien mieux qu'un long discours
le dont le code 8 bits est E9, sera cod sur trois caractres de 7 bits de la faon
suivante : =E9
De la mme faon, le sera cod =E8.
le donnera =E7
le donnera =E0
Comme le = revt une signification particulire : C'est le code d'chappement, il sera
lui-mme cod en =3D.
L'expression et l sera donc transmise sous la forme =E7=E0 et l=E0
Ainsi, nous transporterons nos donnes uniquement sous la forme de caractres US-ASCII (7
bits), mme s'ils ncessitent 8 bits pour tre dfinis. En effet, les caractres =, E, et 0 ont tous
des codes ASCII sur 7 bits.
Astucieux non ?
Bien entendu, il vaut mieux le savoir pour dcoder correctement le message. Cette mthode
est utilise principalement pour les e-mails. En voici un exemple :
Return-Path:
...
From: "Christian Caleca"
To:
Subject: quoted
Date: Tue, 5 Nov 2002 10:51:34 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset= "iso-8859-1"
Content-Transfer-Encoding: quoted-printable
...
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

=E7=E0 et l=E0
Notez que l'on parle ici de MIME, en indiquant, la nature du contenu (text/plain), le jeu de
caractres utilis (iso-8859-1) et le mode d'encodage : quoted-printable. Nous y reviendrons
plus tard.
Remarque
Aujourd'hui, la plupart des relais de messagerie utilisent ESMTP, qui est capable de
transporter du texte sur 8 bits (ISO8859-1 et mme UTF-8). Cependant, ceci n'est possible
que dans le corps du message et pas dans l'en-tte. Comme le sujet (Subject:) se trouve dans
l'en-tte, il ne faudrait pas crire de sujets en utilisant autre chose que des codes sur 7 bits.
Pour permettre l'internaute d'user des accents dans les sujets, ceux-ci sont alors encods en
quoted printable par les clients de messagerie (MUA), avec des rsultats plus ou moins
heureux.
Le codage Base64
Plus gnralement, ce codage permettra de passer non seulement du texte cod sur 8 bits, mais
aussi tout type de donnes constitues d'octets. Voyons d'abord avec du texte.
L aussi, il faudra commencer par indiquer en quel code est crit le texte initial. Pour nous,
toujours iso-8859-1.
Trois caractres de 8 bits (24 bits au total) sont dcoups sous la forme de 4 paquets de 6 bits
(toujours 24 bits au total). Chaque valeur sur 6 bits, comprise donc entre 0 et 3F en
hexadcimal, sera symbolise par un caractre prsent, et avec le mme code, dans toutes les
versions de code ASCII et EBCDIC. La table d'quivalence est celle qui suit. Remarquez que
les caractres choisis sont tous cods sur 7 bits en US-ASCII, mais que la valeur qu'ils
reprsentent n'est pas leur code ASCII
dec hex car. dec hex car. dec hex car. dec hex car.
0 0 A

16 10 Q

32 20 g

48 30 w
1 1 B

17 11 R

33 21 h

49 31 x
2 2 C

18 12 S

34 22 i

50 32 y
3 3 D

19 13 T

35 23 j

51 33 z
4 4 E

20 14 U

36 24 k

52 34 0
5 5 F

21 15 V

37 25 l

53 35 1
6 6 G

22 16 W

38 26 m

54 36 2
7 7 H

23 17 X

39 27 n

55 37 3
8 8 I

24 18 Y

40 28 o

56 38 4
9 9 J

25 19 Z

41 29 p

57 39 5
10 A K

26 1A a

42 2A q

58 3A 6
11 B L

27 1B b

43 2B r

59 3B 7
12 C M

28 1C c

44 2C s

60 3C 8
13 D N

29 1D d

45 2D t

61 3D 9
14 E O

30 1E e

46 2E u

62 3E +
15 F P

31 1F f

47 2F v

63 3F /
Comme cette explication doit paratre fumeuse plus d'un (moi-mme, plus je la relis, plus je
la trouve fumeuse), l encore, prenons un exemple. Soit coder le texte extrmement simple :
012
Ce texte est destin tre crit avec un codage iso-8859-1.
caractre initial 0 1 2
Code ASCII hexa 30 31 32
Code ASCII binaire 00110000 00110001 00110010
Bien. nous avons donc la suite de 24 bits suivante : 001100000011000100110010. Nous
allons maintenant la couper en quatre morceaux de 6 bits :
les valeurs sur 6 bits 001100 000011 000100 110010
Equivalent hexadcimal 0C 03 04 32
Caractre quivalent en Base64 M D E y
Et voil. 012 donne, une fois cod en Base 64 MDEy. Constatez comme c'est simple.
Constatez surtout que ces caractres seront transcrits en US-ASCII, donc sur 7 bits.
Pour dcoder, il suffit de le faire dans l'autre sens.
Refaisons la manip avec un e-mail cod en Base64 :
Return-Path:
...
From: "Christian Caleca"
To:
Subject: Base 64 (1)
Date: Tue, 5 Nov 2002 11:07:11 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset= "iso-8859-1"
Content-Transfer-Encoding: base64
...
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

MDEy
Et voil le travail.
Ca, c'est une dmo commerciale , c'est dire, qui ne montre que ce qui est facile et qui
marche bien. Vos messages contiennent tous un nombre de caractres qui est un exact
multiple de 3 ?
Dans ce cas (nombre de caractres qui n'est pas un multiple de 3) , le systme de codage va
remplir le trou avec un caractre spcial, qui ne sera pas interprt l'arrive. Ce caractre
est le signe =
Voyons ce que a donne si le texte initial ne contient plus que le seul caractre 0.
Le premier groupe de 6 octets sera toujours le mme : 001100 qui donne M
Le second sera : 00 (complt avec des 0, donc : 000000) qui donne A
Comme il faut 24 bits quand mme, on ajoutera deux fois le caractre =
Au total, on aura MA==
Vrification par l'e-mail :
Return-Path:
...
From: Christian Caleca
To:
Subject: base 64 (3)
Date: Tue, 5 Nov 2002 11:18:06 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset= iso-8859-1
Content-Transfer-Encoding: base64
...
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

MA==
CQFD.
Nous verrons que ce codage base64, qui permet de transformer tout octet en un quivalent
ASCII, permettra par exemple de coder des pices jointes de types divers dans les e-mails.
Et les autres...
uuencode
Bien entendu, d'autres conventions existent, mais n'appartiennent pas aux systme MIME. Par
exemple UUENCODE, assez proche de Base64, mais antrieur, utilis sur plateformes Unix.
BinHex
Un codage propritaire, cr dans le monde Macintosh pour les mmes raisons
Vous le voyez, les astuces ne manquent pas pour utiliser exclusivement de l'ASCII 7 bits dans
le transport de n'importe quelle donne.
Conclusions
En plus du codage des caractres dans des tables de 7 , 8 ou plus, il faut donc ajouter des
systmes qui vont s'efforcer de reprsenter tout type de donne sous forme de texte 7 bits.
Ceci nous amne naturellement parler de MIME
Dans le HTML
Les pieds dans la toile
Bien que pour HTTP, protocole apte transmettre des flux d'octets sans considrer que ce
sont forcment des caractres, bon nombre de problmes sont rsoudre.
Le langage HTML (Hyper Text Markup Language), lui aussi, propose des mthodes
particulires pour traiter les caractres non US-ASCII. Il rgne d'ailleurs dans ce domaine la
plus grande confusion.
Avec la version 3.2 du HTML, il n'y avait normalement pas d'autre possibilit que de passer
par un transcodage du type signes nomms . Depuis le version 4.0 de HTML, il est
thoriquement possible de dfinir dans l'en-tte du document quel jeu de caractres est utilis.
Comme HTML est probablement le lieu o les normes sont le moins respectes, il convient
tout de mme de rester prudent. Car, croyez-vous que le fait de pouvoir utiliser UTF-8, ISO-
8859-1, ISO-8859-15 ou autre, simplement en annonant la chose dans l'en-tte HTML ?
Voyons ceci
Dans la page que nous avons sous les yeux, il est crit :
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
...
</head>
En voyant ceci, notre browser va comprendre qu'il faut utiliser UTF-8 et, normalement, il
n'y a pas de problme, la condition bien entendu que le texte qui a t introduit dans ce wiki
soit bien encod en UTF-8.
Mais en cas de dsaccord entre la saisie et l'affichage, la phrase :
Nous avons t abuss par le systme
Pourrait devenir ceci :
Nous avons t abuss par le systme
Nettement moins lisible n'est-ce pas ? Dans cet exemple, le texte a t encod en UTF-8 et
dcod en ISO-8859-1. Il s'agit bien sr d'une manipulation pour faire apparaitre ceci. Mais
forcez donc votre navigateur afficher cette page en ISO-8859-1
Normalement, avec des choses comme les WIKI, le problme ne se rencontre pas, sauf dans
certains cas tordus
Si nous utilisons les signes nomms , nous pouvons garantir plus d'interoprabilit, au prix
d'un code source HTML nettement moins lisible.
Les signes nomms
Le principe est simple :
Un caractre d'chappement : Le &,
un nom pour le caractre non US-ASCII
un dlimiteur de fin de codage : le ;
Un simple exemple, juste pour illustrer. Le devrait se coder dans le source HTML :
&;eacute;
Vous trouverez beaucoup plus de dtails sur les signes nomms ainsi que sur beaucoup
d'autres points du HTML sur le trs instructif site SELFHTML.
Il existe une table de signes nomms dfinie dans HTML 3.2 . HTML 4.0 dfinit des ajouts
cette table, bien que, thoriquement, une balise d'en-tte du type :
<meta http-equiv= "Content-Type" content= "text/html; charset=iso-8859-1">
devrait elle seule permettre l'emploi de tous les symboles dfinis par iso-8859-1 (version 4.0
uniquement).
Une manipulation amusante
FrontPage 2000, (un diteur HTML de Microsoft), ne s'embarrassait pas de considrations
complexes, annonait un charset=windows-1252 dans ses en-ttes et ne code aucun de ces
symboles de faon particulire, mme pas l'euro.
D'autres diteurs, comme DreamWeaver (de Macromedia) ou Golive (d'Adobe) sont plus
orthodoxes et, non seulement annonceront un charset=iso-8869-1 , mais encore utiliseront
les signes nomms pour les caractres non US.
L'exemple qui suit est bricol directement dans le source HTML. La mme ligne sera
code selon diverses faons :
Caractres codage



(sans codage) FrontPage 2000


&eacute; &egrave; &ccedil; &ugrave; &agrave; &ecirc;
&euro;
DreamWeaver 4


&eacute; &egrave; &ccedil; &ugrave; &agrave; &ecirc;
&#x20AC;
Golive 5
Normalement, il y a de grandes chances que vous voyez tout a correctement. Maintenant, si
vous utilisez Internet Explorer, allez dans Affichage , puis Codage et changez le
codage par dfaut. L, vous risquez de voir les limites de FrontPage qui n'utilise pas
systmatiquement les signes nomms, mme si en thorie, HTML 4.0 devrait le permettre.
Ceux qui n'utilisent pas IE doivent avoir quelque part une fonction quivalente, pour changer
l'affichage par dfaut.
Notez la curieuse faon de coder le symbole de l'euro par Golive 5 : &#x20AC; . C'est tout
simplement sa valeur numrique, en hexadcimal, dans la normalisation unicode
Que penser de tout a ?
Il serait possible de pousser encore plus loin les investigations, et de supprimer dans l'en-tte
de chaque page la dfinition du charset , a ne changerait trs probablement rien au
rsultat final.
Vous le voyez, nous sommes ici dans le flou artistique . Au bout du compte, mme en
HTML 4.0, il semble de bon ton d'utiliser tout de mme systmatiquement les signes
nomms, mme si l'on peut s'en passer le plus souvent
Conclusions
Si vous n'avez pas encore attrap le vertige, vous ne l'attraperez plus. Sinon, essayons de
consolider un peu nos positions.
Les faits
Les systmes numriques ne savent traiter que des informations binaires, donc
numriques.
Les protocoles applicatifs, le plus souvent, ont besoin de transporter du texte.
Le texte est destin tre lu, donc crit, et n'est pas constitu d'une collection de
valeurs numriques, mais d'une collection de symboles graphiques : Un alphabet
Il n'y a pas qu'un seul alphabet au monde.
Les protocoles applicatifs peuvent avoir aussi changer des donnes qui ne sont pas
du texte (une image, du son, une vido).
Les solutions
Coder sur 7 bits un jeu de caractres minimal (US-ASCII), mais il n'y a pas que
l'amricain dans le monde, et 128 valeurs ne suffisent pas pour des langues riches en
lettres accentues.
Coder sur 8 bits, mais a ne suffit pas non plus pour toutes les langues possibles.
Coder en UTF-8.
Le bricolage
Le bricolage le plus propre consiste utiliser un jeu de caractres minimal et de coder les
caractres supplmentaires par une combinaison identifiable des caractres de base. C'est cette
solution qui est le plus souvent mise en uvre, et elle donne finalement les meilleurs rsultats.
Codage quoted-printable (e-mails, imprimantes)
Codage Base64 (e-mails, fichiers pouvant contenir autre chose que du texte pur)
Signes nomms (HTML). Vous trouverez par exemple ici la liste des signes nomms
utilisables en HTML 3.2 et en HTML 4. De mme, la source sur le site du W3C.

MIME
MIME. C'est quoi ?
Multipurpose Internet Mail Extension. Comme son nom l'indique, c'est une suite d'extensions
pour permettre, principalement aux e-mails, de transporter autre chose que du texte, savoir,
du son, des images, de la vido Autant de choses pour lesquelles la messagerie n'est priori
pas faite.
Ces extensions servent galement sur le web, lorsque l'on utilise HTTP pour transporter autre
chose que du texte (ce qui est souvent le cas). Voyez le chapitre HTTP ce propos.
MIME rassemble deux choses distinctes :
Une description normalise d'un type de document (non texte pur).
Le mode de codage employ pour le transporter.
L'IANA maintient une liste des MIME Media Types.
MIME et SMTP
C'est ici que MIME prend toute son importance. En effet, en plus de pouvoir dfinir des types
de documents, il peut aussi dfinir des types d'encodages, comme Base64 ou Quoted-
Printable.
Exemple
Un exemple significatif. Il reprendra ce que nous avons eu l'occasion de voir par ailleurs.
Le message contient le texte :
juste un texte lgrement accentu...
suivi d'une image gif.
cod Quoted-Printable , suivi d'une image gif en pice jointe. Voici le message tel qu'il est
reu :
Return-Path: <christian.caleca@epikoi.net>
...
From: "Christian Caleca" <christian.caleca@epikoi.net>
To: <christian.caleca@epikoi.net>
Subject: demo MIME
Date: Sat, 9 Nov 2002 11:29:09 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;

On est averti qu'il y aura plusieurs morceaux de type diffrents...

boundary="----=_NextPart_000_0044_01C287E3.38B13A20"

Avec un sparateur bien dfini, que l'on ne peut confondre avec un plan de
fraises des bois.

X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

This is a multi-part message in MIME format.

------=_NextPart_000_0044_01C287E3.38B13A20
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

La partie texte, code quoted-printable ...

juste un texte l=E9g=E8rement accentu=E9...
suivi d'une image gif.

Voil qui est fait. L'image, maintenant :
------=_NextPart_000_0044_01C287E3.38B13A20
Content-Type: application/octet-stream;
name="moineau1.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="moineau1.gif"

Difficile d'tre plus prcis :
type :flux d'octets
nom : moineau1.gif
codage : Base64...
Suit maintenant le fichier binaire converti en base64 :

R0lGODlhcgH8APf/AP//////zP//mf//Zv//M///AP/M///MzP/Mmf/MZv/MM//MAP+Z//+ZzP+
Z
...
...
...
GZACDvqwAvWAOgEBADs=

------=_NextPart_000_0044_01C287E3.38B13A20--
Comme prvu, ce message contient bien deux parties :
Du texte pur, cod en Quoted-Printable,
une image gif, code en Base64
L'image, dans Outlook Express, va apparaitre sous le texte, spare par un filet horizontal.
Autre exemple
Plus moderne, avec Thunderbird, un message cod en UTF-8, avec en plus un dans le sujet :
Return-Path: <christian.caleca@epikoi.net>
...
Message-ID: <4A5071E0.7080308@epikoi.net>
Date: Sun, 05 Jul 2009 11:26:56 +0200
From: Christian Caleca <christian.caleca@epikoi.net>
User-Agent: Thunderbird 2.0.0.22 (X11/20090608)
MIME-Version: 1.0
To: Christian Caleca <christian.caleca@epikoi.net>
Subject: Objet =?UTF-8?B?YWNjZW50dcOp?=

Observez la sale tte que prend ls "Subject:", juste parce qu'il y a
un accent dedans.
Le texte de l'objet tant tout simplement :
Objet accentu

Content-Type: multipart/mixed;
boundary="------------000609020506050905050804"

This is a multi-part message in MIME format.
--------------000609020506050905050804
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit

Et texte utilisant des symboles spciaux confis UTF-8
- le copyright :
- le trade mark :
Le tout suivi d'une image gif

--------------000609020506050905050804
Content-Type: image/png;
name="logogrenouille.png"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
filename="logogrenouille.png"

iVBORw0KGgoAAAANSUhEUgAAABkAAAAZCAYAAADE6YVjAAAABHNCSVQICAgIfAhkiAAAAAlw
...
DH5ZAZkYjPyIry4bVPWnSb2mgoyCKiTCKSnh3tA6xJgPQTdgA0OQ/Q5lmEEdplpVO6Y0Gn9A
UwXwkkTpkzA+Vq56JMY/wI7p7P8P7DhAtpxfH8cAAAAASUVORK5CYII=
--------------000609020506050905050804--
Il y a ici plusieurs choses intressantes noter :
l'abominable pirouette utilise cause de l'unique lettre accentue dans l'objet ;
le texte du message est annonc comme tant cod en UTF-8, et il n'y a effectivement
aucun artifice employ sur les caractres spciaux, pas de quoted-printable ni de
bases64 ici ;
dans la partie image , la directive MIME Content-Disposition: inline;
indique que l'image doit tre affiche dans le corps du message (inline) et non comme
une pice jointe.
Note pour les e-mails
Selon toute logique, le codage Base64 devrait pouvoir tre universellement exploit dans la
messagerie, puis qu'il permet coup sr de transporter correctement le message cod (sur 7
bits) et dfinit compltement la table de codage ASCII quelque soit l'alphabet utilis par
l'auteur. Cependant ESMTP prvoit de transporter tout type d'encodage sur 8 bits. Associe
MIME, cette fonctionnalit permet, pour du texte, de ne plus avoir utiliser de conversion 8
bits > 7 bits. Encore faut-il que le destinataire dispose d'un MUA capable de grer de tels
messages.
Au final, nous pouvons observer tout un tas d'attitudes plus ou moins originales et plus ou
moins logiques, dans la faon qu'ont les divers MUA de grer les caractres non US-ASCII et
les pices jointes.
La mode tant aux e-mails en html, nous pouvons trouver assez souvent
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset="windows-1252"
Content-Transfer-Encoding: quoted-printable
(inutile de prciser l'origine du MUA responsable).
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Iso-8859-1 est encod en quoted-printable
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Ici, c'est UTF-8 qui est utilis, mais encod galement en quoted-printable
Content-Transfer-Encoding: binary
Content-Type: text/plain;
charset="iso-8859-1"
Ici, c'est plus simple, de l'iso-8859-1 sans encodage particulier
Je n'ai pas d'exemple sous la main, mais il est bien sr tout fait possible de faire :
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: base64
Vous le voyez, arriver lire correctement un message d'apparence tout fait anodine peut
ncessiter de passer par d'normes usines gaz.
MIME et HTTP
Nous en avons dj un exemple dans le chapitre HTTP, pour transporter une image gif dans
une page html. Mais dans ce cas, il n'y a pas de codage (type Base64 ou quoted-printable), les
octets sont brutalement transports par le protocole. MIME sert juste dfinir le type de
document.
Voici juste un exemple, o HTTP va transporter un document MS Word. La manipulation est
faite avec Internet Explorer 6 et Mozilla 1.1 sur une plateforme Windows disposant de MS
Word. Un sniffeur regarde ce qu'il se passe au niveau HTTP.
Comme vous pouvez le constater, cet exemple est dj ancien, mais bien que les outils soient
dsormais obsoltes, la dmonstration reste valable.
Avec Internet Explorer 6
Frame 4 (387 on wire, 387 captured)
...
Internet Protocol, Src Addr: 192.168.0.10, Dst Addr: 192.168.0.253
...
Hypertext Transfer Protocol
GET /odj.doc HTTP/1.1\r\n
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-powerpoint, application/vnd.ms-excel,
application/msword, */*\r\n

Nous le savons, IE6 accepte explicitement les fichiers au format MS
Office si ce dernier est install.

Accept-Language: fr\r\n
Accept-Encoding: gzip, deflate\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\r\n
Host: linux.maison.mrs\r\n
Connection: Keep-Alive\r\n
\r\n
Frame 6 (1514 on wire, 1514 captured)
...
Internet Protocol, Src Addr: 192.168.0.253, Dst Addr: 192.168.0.10
...
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Date: Sat, 09 Nov 2002 09:32:41 GMT\r\n
Server: Apache-AdvancedExtranetServer/1.3.26 (Mandrake Linux/6.1mdk)
auth_ldap/1.6.0 mod_ssl/2.8.10 OpenSSL/0.9.6g PHP/4.2.3\r\n
Last-Modified: Thu, 06 Jul 2000 15:07:29 GMT\r\n
ETag: "57d5a-7800-3964a0b1"\r\n
Accept-Ranges: bytes\r\n
Content-Length: 30720\r\n
Keep-Alive: timeout=15, max=100\r\n
Connection: Keep-Alive\r\n
Content-Type: application/msword\r\n
\r\n

Apache connait le type MIME msword et signale le type de contenu, puis,
commence envoyer les donnes.

Data (1067 bytes)
0000 d0 cf 11 e0 a1 b1 1a e1 00 00 00 00 00 00 00 00 ................
0010 00 00 00 00 00 00 00 00 3e 00 03 00 fe ff 09 00 ........>.......
...
Les octets surligns montrent l'vidence que HTTP transporte sur 8
bits
Une fois la rception termine, Internet Explorer va afficher directement le document, en
utilisant MS Word comme plug-in .
Avec Mozilla 1.1
Frame 6 (534 on wire, 534 captured)
...
Internet Protocol, Src Addr: 192.168.0.10, Dst Addr: 192.168.0.253
...
Hypertext Transfer Protocol
GET /odj.doc HTTP/1.1\r\n
Host: linux.maison.mrs\r\n
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.1)
Gecko/20020826\r\n
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,video/x-
mng,image/png,image/jpeg,image/gif;q=0.2,
text/css,*/*;q=0.1\r\n

Mozilla ne connat pas quant lui les formats Microsoft.
Il accepte cependant tout type de document (*/*).

Accept-Language: fr-fr, en-us;q=0.66, en;q=0.33\r\n
Accept-Encoding: gzip, deflate, compress;q=0.9\r\n
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66\r\n

Plus respectueux de HTTP, il indique les jeux de caractres qu'il
prfre
iso-8859-1 (latin-1) d'abord, utf-8 (unicode) ensuite, * (n'importe
quoi) enfin.

Keep-Alive: 300\r\n
Connection: keep-alive\r\n
\r\n
Frame 8 (1514 on wire, 1514 captured)
...
Internet Protocol, Src Addr: 192.168.0.253, Dst Addr: 192.168.0.10
...
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Date: Sat, 09 Nov 2002 09:35:06 GMT\r\n
Server: Apache-AdvancedExtranetServer/1.3.26 (Mandrake Linux/6.1mdk)
auth_ldap/1.6.0 mod_ssl/2.8.10 OpenSSL/0.9.6g PHP/4.2.3\r\n
Last-Modified: Thu, 06 Jul 2000 15:07:29 GMT\r\n
ETag: "57d5a-7800-3964a0b1"\r\n
Accept-Ranges: bytes\r\n
Content-Length: 30720\r\n
Keep-Alive: timeout=15, max=100\r\n
Connection: Keep-Alive\r\n
Content-Type: application/msword\r\n
\r\n

Data (1067 bytes)
0000 d0 cf 11 e0 a1 b1 1a e1 00 00 00 00 00 00 00 00 ................
0010 00 00 00 00 00 00 00 00 3e 00 03 00 fe ff 09 00 ........>.......
Rien de chang de ce ct l. Mozilla, une fois le fichier reu proposera de l'enregistrer ou de
l'afficher en dmarrant MS Word, comme une application spare.
Anecdotes diverses
Il est souvent d'usage d'attribuer un suffixe correspondant un type de fichier donn. Les
images au format jpeg sont par exemple suffixes par .jpg ou encore .jpeg ou .jpe. Il
peut tre intressant de dduite le type MIME du suffixe d'un fichier.
Ainsi, sur une distribution GNU/Linux (ici Ubuntu 9.04, mais aussi Debian
et sans doutes ses autres drives), il existe un fichier /etc/mime.types'' cr
dans ce but. En voici le contenu :
###########################################################################
####
#
# MIME-TYPES and the extensions that represent them
#
# This file is part of the "mime-support" package. Please send email (not
a
# bug report) to mime-support@packages.debian.org if you would like new
types
# and/or extensions to be added.
#
# The reason that all types are managed by the mime-support package
instead
# allowing individual packages to install types in much the same way as
they
# add entries in to the mailcap file is so these types can be referenced
by
# other programs (such as a web server) even if the specific support
package
# for that type is not installed.
#
# Users can add their own types if they wish by creating a ".mime.types"
# file in their home directory. Definitions included there will take
# precedence over those listed here.
#
# Note: Compression schemes like "gzip", "bzip", and "compress" are not
# actually "mime-types". They are "encodings" and hence must _not_ have
# entries in this file to map their extensions. The "mime-type" of an
# encoded file refers to the type of data that has been encoded, not the
# type of encoding.
#
###########################################################################
####


application/activemessage
application/andrew-inset ez
application/annodex anx
application/applefile
application/atom+xml atom
application/atomcat+xml atomcat
application/atomserv+xml atomsrv
application/atomicmail
application/batch-SMTP
application/beep+xml
application/bbolin lin
application/cals-1840
application/cap cap pcap
application/commonground
application/cu-seeme cu
application/cybercash
application/davmount+xml davmount
application/dca-rft
application/dec-dx
application/docbook+xml
application/dsptype tsp
application/dvcs
application/ecmascript es
application/edi-consent
application/edi-x12
application/edifact
application/eshop
application/font-tdpfr
application/futuresplash spl
application/ghostview
application/hta hta
application/http
application/hyperstudio
application/iges
application/index
application/index.cmd
application/index.obj
application/index.response
application/index.vnd
application/iotp
application/ipp
application/isup
application/java-archive jar
application/java-serialized-object ser
application/java-vm class
application/javascript js
application/m3g m3g
application/mac-binhex40 hqx
application/mac-compactpro cpt
application/macwriteii
application/marc
application/mathematica nb nbp
application/ms-tnef
application/msaccess mdb
application/msword doc dot
application/news-message-id
application/news-transmission
application/ocsp-request
application/ocsp-response
application/octet-stream bin
application/oda oda
application/ogg ogx
application/parityfec
application/pdf pdf
application/pgp-encrypted
application/pgp-keys key
application/pgp-signature pgp
application/pics-rules prf
application/pkcs10
application/pkcs7-mime
application/pkcs7-signature
application/pkix-cert
application/pkix-crl
application/pkixcmp
application/postscript ps ai eps espi epsf eps2
eps3
application/prs.alvestrand.titrax-sheet
application/prs.cww
application/prs.nprend
application/qsig
application/rar rar
application/rdf+xml rdf
application/remote-printing
application/riscos
application/rss+xml rss
application/rtf rtf
application/sdp
application/set-payment
application/set-payment-initiation
application/set-registration
application/set-registration-initiation
application/sgml
application/sgml-open-catalog
application/sieve
application/slate
application/smil smi smil
application/timestamp-query
application/timestamp-reply
application/vemmi
application/whoispp-query
application/whoispp-response
application/wita
application/x400-bp
application/xhtml+xml xhtml xht
application/xml xml xsl xsd
application/xml-dtd
application/xml-external-parsed-entity
application/xspf+xml xspf
application/zip zip
application/vnd.3M.Post-it-Notes
application/vnd.accpac.simply.aso
application/vnd.accpac.simply.imp
application/vnd.acucobol
application/vnd.aether.imp
application/vnd.anser-web-certificate-issue-initiation
application/vnd.anser-web-funds-transfer-initiation
application/vnd.audiograph
application/vnd.bmi
application/vnd.businessobjects
application/vnd.canon-cpdl
application/vnd.canon-lips
application/vnd.cinderella cdy
application/vnd.claymore
application/vnd.commerce-battelle
application/vnd.commonspace
application/vnd.comsocaller
application/vnd.contact.cmsg
application/vnd.cosmocaller
application/vnd.ctc-posml
application/vnd.cups-postscript
application/vnd.cups-raster
application/vnd.cups-raw
application/vnd.cybank
application/vnd.dna
application/vnd.dpgraph
application/vnd.dxr
application/vnd.ecdis-update
application/vnd.ecowin.chart
application/vnd.ecowin.filerequest
application/vnd.ecowin.fileupdate
application/vnd.ecowin.series
application/vnd.ecowin.seriesrequest
application/vnd.ecowin.seriesupdate
application/vnd.enliven
application/vnd.epson.esf
application/vnd.epson.msf
application/vnd.epson.quickanime
application/vnd.epson.salt
application/vnd.epson.ssf
application/vnd.ericsson.quickcall
application/vnd.eudora.data
application/vnd.fdf
application/vnd.ffsns
application/vnd.flographit
application/vnd.framemaker
application/vnd.fsc.weblaunch
application/vnd.fujitsu.oasys
application/vnd.fujitsu.oasys2
application/vnd.fujitsu.oasys3
application/vnd.fujitsu.oasysgp
application/vnd.fujitsu.oasysprs
application/vnd.fujixerox.ddd
application/vnd.fujixerox.docuworks
application/vnd.fujixerox.docuworks.binder
application/vnd.fut-misnet
application/vnd.google-earth.kml+xml kml
application/vnd.google-earth.kmz kmz
application/vnd.grafeq
application/vnd.groove-account
application/vnd.groove-identity-message
application/vnd.groove-injector
application/vnd.groove-tool-message
application/vnd.groove-tool-template
application/vnd.groove-vcard
application/vnd.hhe.lesson-player
application/vnd.hp-HPGL
application/vnd.hp-PCL
application/vnd.hp-PCLXL
application/vnd.hp-hpid
application/vnd.hp-hps
application/vnd.httphone
application/vnd.hzn-3d-crossword
application/vnd.ibm.MiniPay
application/vnd.ibm.afplinedata
application/vnd.ibm.modcap
application/vnd.informix-visionary
application/vnd.intercon.formnet
application/vnd.intertrust.digibox
application/vnd.intertrust.nncp
application/vnd.intu.qbo
application/vnd.intu.qfx
application/vnd.irepository.package+xml
application/vnd.is-xpr
application/vnd.japannet-directory-service
application/vnd.japannet-jpnstore-wakeup
application/vnd.japannet-payment-wakeup
application/vnd.japannet-registration
application/vnd.japannet-registration-wakeup
application/vnd.japannet-setstore-wakeup
application/vnd.japannet-verification
application/vnd.japannet-verification-wakeup
application/vnd.koan
application/vnd.lotus-1-2-3
application/vnd.lotus-approach
application/vnd.lotus-freelance
application/vnd.lotus-notes
application/vnd.lotus-organizer
application/vnd.lotus-screencam
application/vnd.lotus-wordpro
application/vnd.mcd
application/vnd.mediastation.cdkey
application/vnd.meridian-slingshot
application/vnd.mif
application/vnd.minisoft-hp3000-save
application/vnd.mitsubishi.misty-guard.trustweb
application/vnd.mobius.daf
application/vnd.mobius.dis
application/vnd.mobius.msl
application/vnd.mobius.plc
application/vnd.mobius.txf
application/vnd.motorola.flexsuite
application/vnd.motorola.flexsuite.adsi
application/vnd.motorola.flexsuite.fis
application/vnd.motorola.flexsuite.gotap
application/vnd.motorola.flexsuite.kmr
application/vnd.motorola.flexsuite.ttc
application/vnd.motorola.flexsuite.wem
application/vnd.mozilla.xul+xml xul
application/vnd.ms-artgalry
application/vnd.ms-asf
application/vnd.ms-excel xls xlb xlt
application/vnd.ms-lrm
application/vnd.ms-pki.seccat cat
application/vnd.ms-pki.stl stl
application/vnd.ms-powerpoint ppt pps
application/vnd.ms-project
application/vnd.ms-tnef
application/vnd.ms-works
application/vnd.mseq
application/vnd.msign
application/vnd.music-niff
application/vnd.musician
application/vnd.netfpx
application/vnd.noblenet-directory
application/vnd.noblenet-sealer
application/vnd.noblenet-web
application/vnd.novadigm.EDM
application/vnd.novadigm.EDX
application/vnd.novadigm.EXT
application/vnd.oasis.opendocument.chart odc
application/vnd.oasis.opendocument.database odb
application/vnd.oasis.opendocument.formula odf
application/vnd.oasis.opendocument.graphics odg
application/vnd.oasis.opendocument.graphics-template otg
application/vnd.oasis.opendocument.image odi
application/vnd.oasis.opendocument.presentation odp
application/vnd.oasis.opendocument.presentation-template otp
application/vnd.oasis.opendocument.spreadsheet ods
application/vnd.oasis.opendocument.spreadsheet-template ots
application/vnd.oasis.opendocument.text odt
application/vnd.oasis.opendocument.text-master odm
application/vnd.oasis.opendocument.text-template ott
application/vnd.oasis.opendocument.text-web oth
application/vnd.osa.netdeploy
application/vnd.palm
application/vnd.pg.format
application/vnd.pg.osasli
application/vnd.powerbuilder6
application/vnd.powerbuilder6-s
application/vnd.powerbuilder7
application/vnd.powerbuilder7-s
application/vnd.powerbuilder75
application/vnd.powerbuilder75-s
application/vnd.previewsystems.box
application/vnd.publishare-delta-tree
application/vnd.pvi.ptid1
application/vnd.pwg-xhtml-print+xml
application/vnd.rapid
application/vnd.rim.cod cod
application/vnd.s3sms
application/vnd.seemail
application/vnd.shana.informed.formdata
application/vnd.shana.informed.formtemplate
application/vnd.shana.informed.interchange
application/vnd.shana.informed.package
application/vnd.smaf mmf
application/vnd.sss-cod
application/vnd.sss-dtf
application/vnd.sss-ntf
application/vnd.stardivision.calc sdc
application/vnd.stardivision.chart sds
application/vnd.stardivision.draw sda
application/vnd.stardivision.impress sdd
application/vnd.stardivision.math sdf
application/vnd.stardivision.writer sdw
application/vnd.stardivision.writer-global sgl
application/vnd.street-stream
application/vnd.sun.xml.calc sxc
application/vnd.sun.xml.calc.template stc
application/vnd.sun.xml.draw sxd
application/vnd.sun.xml.draw.template std
application/vnd.sun.xml.impress sxi
application/vnd.sun.xml.impress.template sti
application/vnd.sun.xml.math sxm
application/vnd.sun.xml.writer sxw
application/vnd.sun.xml.writer.global sxg
application/vnd.sun.xml.writer.template stw
application/vnd.svd
application/vnd.swiftview-ics
application/vnd.symbian.install sis
application/vnd.triscape.mxs
application/vnd.trueapp
application/vnd.truedoc
application/vnd.tve-trigger
application/vnd.ufdl
application/vnd.uplanet.alert
application/vnd.uplanet.alert-wbxml
application/vnd.uplanet.bearer-choice
application/vnd.uplanet.bearer-choice-wbxml
application/vnd.uplanet.cacheop
application/vnd.uplanet.cacheop-wbxml
application/vnd.uplanet.channel
application/vnd.uplanet.channel-wbxml
application/vnd.uplanet.list
application/vnd.uplanet.list-wbxml
application/vnd.uplanet.listcmd
application/vnd.uplanet.listcmd-wbxml
application/vnd.uplanet.signal
application/vnd.vcx
application/vnd.vectorworks
application/vnd.vidsoft.vidconference
application/vnd.visio vsd
application/vnd.vividence.scriptfile
application/vnd.wap.sic
application/vnd.wap.slc
application/vnd.wap.wbxml wbxml
application/vnd.wap.wmlc wmlc
application/vnd.wap.wmlscriptc wmlsc
application/vnd.webturbo
application/vnd.wordperfect wpd
application/vnd.wordperfect5.1 wp5
application/vnd.wrq-hp3000-labelled
application/vnd.wt.stf
application/vnd.xara
application/vnd.xfdl
application/vnd.yellowriver-custom-menu
application/x-123 wk
application/x-7z-compressed 7z
application/x-abiword abw
application/x-apple-diskimage dmg
application/x-bcpio bcpio
application/x-bittorrent torrent
application/x-cab cab
application/x-cbr cbr
application/x-cbz cbz
application/x-cdf cdf cda
application/x-cdlink vcd
application/x-chess-pgn pgn
application/x-core
application/x-cpio cpio
application/x-csh csh
application/x-debian-package deb udeb
application/x-director dcr dir dxr
application/x-dms dms
application/x-doom wad
application/x-dvi dvi
application/x-httpd-eruby rhtml
application/x-executable
application/x-font pfa pfb gsf pcf pcf.Z
application/x-freemind mm
application/x-futuresplash spl
application/x-gnumeric gnumeric
application/x-go-sgf sgf
application/x-graphing-calculator gcf
application/x-gtar gtar tgz taz
application/x-hdf hdf
application/x-httpd-php phtml pht php
application/x-httpd-php-source phps
application/x-httpd-php3 php3
application/x-httpd-php3-preprocessed php3p
application/x-httpd-php4 php4
application/x-ica ica
application/x-info info
application/x-internet-signup ins isp
application/x-iphone iii
application/x-iso9660-image iso
application/x-jam jam
application/x-java-applet
application/x-java-bean
application/x-java-jnlp-file jnlp
application/x-jmol jmz
application/x-kchart chrt
application/x-kdelnk
application/x-killustrator kil
application/x-koan skp skd skt skm
application/x-kpresenter kpr kpt
application/x-kspread ksp
application/x-kword kwd kwt
application/x-latex latex
application/x-lha lha
application/x-lyx lyx
application/x-lzh lzh
application/x-lzx lzx
application/x-maker frm maker frame fm fb book
fbdoc
application/x-mif mif
application/x-ms-wmd wmd
application/x-ms-wmz wmz
application/x-msdos-program com exe bat dll
application/x-msi msi
application/x-netcdf nc
application/x-ns-proxy-autoconfig pac dat
application/x-nwc nwc
application/x-object o
application/x-oz-application oza
application/x-pkcs7-certreqresp p7r
application/x-pkcs7-crl crl
application/x-python-code pyc pyo
application/x-qgis qgs shp shx
application/x-quicktimeplayer qtl
application/x-redhat-package-manager rpm
application/x-ruby rb
application/x-rx
application/x-sh sh
application/x-shar shar
application/x-shellscript
application/x-shockwave-flash swf swfl
application/x-stuffit sit sitx
application/x-sv4cpio sv4cpio
application/x-sv4crc sv4crc
application/x-tar tar
application/x-tcl tcl
application/x-tex-gf gf
application/x-tex-pk pk
application/x-texinfo texinfo texi
application/x-trash ~ % bak old sik
application/x-troff t tr roff
application/x-troff-man man
application/x-troff-me me
application/x-troff-ms ms
application/x-ustar ustar
application/x-videolan
application/x-wais-source src
application/x-wingz wz
application/x-x509-ca-cert crt
application/x-xcf xcf
application/x-xfig fig
application/x-xpinstall xpi

audio/32kadpcm
audio/3gpp
audio/amr amr
audio/amr-wb awb
audio/amr amr
audio/amr-wb awb
audio/annodex axa
audio/basic au snd
audio/flac flac
audio/g.722.1
audio/l16
audio/midi mid midi kar
audio/mp4a-latm
audio/mpa-robust
audio/mpeg mpga mpega mp2 mp3 m4a
audio/mpegurl m3u
audio/ogg oga ogg spx
audio/parityfec
audio/prs.sid sid
audio/telephone-event
audio/tone
audio/vnd.cisco.nse
audio/vnd.cns.anp1
audio/vnd.cns.inf1
audio/vnd.digital-winds
audio/vnd.everad.plj
audio/vnd.lucent.voice
audio/vnd.nortel.vbk
audio/vnd.nuera.ecelp4800
audio/vnd.nuera.ecelp7470
audio/vnd.nuera.ecelp9600
audio/vnd.octel.sbc
audio/vnd.qcelp
audio/vnd.rhetorex.32kadpcm
audio/vnd.vmx.cvsd
audio/x-aiff aif aiff aifc
audio/x-gsm gsm
audio/x-mpegurl m3u
audio/x-ms-wma wma
audio/x-ms-wax wax
audio/x-pn-realaudio-plugin
audio/x-pn-realaudio ra rm ram
audio/x-realaudio ra
audio/x-scpls pls
audio/x-sd2 sd2
audio/x-wav wav

chemical/x-alchemy alc
chemical/x-cache cac cache
chemical/x-cache-csf csf
chemical/x-cactvs-binary cbin cascii ctab
chemical/x-cdx cdx
chemical/x-cerius cer
chemical/x-chem3d c3d
chemical/x-chemdraw chm
chemical/x-cif cif
chemical/x-cmdf cmdf
chemical/x-cml cml
chemical/x-compass cpa
chemical/x-crossfire bsd
chemical/x-csml csml csm
chemical/x-ctx ctx
chemical/x-cxf cxf cef
#chemical/x-daylight-smiles smi
chemical/x-embl-dl-nucleotide emb embl
chemical/x-galactic-spc spc
chemical/x-gamess-input inp gam gamin
chemical/x-gaussian-checkpoint fch fchk
chemical/x-gaussian-cube cub
chemical/x-gaussian-input gau gjc gjf
chemical/x-gaussian-log gal
chemical/x-gcg8-sequence gcg
chemical/x-genbank gen
chemical/x-hin hin
chemical/x-isostar istr ist
chemical/x-jcamp-dx jdx dx
chemical/x-kinemage kin
chemical/x-macmolecule mcm
chemical/x-macromodel-input mmd mmod
chemical/x-mdl-molfile mol
chemical/x-mdl-rdfile rd
chemical/x-mdl-rxnfile rxn
chemical/x-mdl-sdfile sd sdf
chemical/x-mdl-tgf tgf
#chemical/x-mif mif
chemical/x-mmcif mcif
chemical/x-mol2 mol2
chemical/x-molconn-Z b
chemical/x-mopac-graph gpt
chemical/x-mopac-input mop mopcrt mpc zmt
chemical/x-mopac-out moo
chemical/x-mopac-vib mvb
chemical/x-ncbi-asn1 asn
chemical/x-ncbi-asn1-ascii prt ent
chemical/x-ncbi-asn1-binary val aso
chemical/x-ncbi-asn1-spec asn
chemical/x-pdb pdb ent
chemical/x-rosdal ros
chemical/x-swissprot sw
chemical/x-vamas-iso14976 vms
chemical/x-vmd vmd
chemical/x-xtel xtel
chemical/x-xyz xyz

image/cgm
image/g3fax
image/gif gif
image/ief ief
image/jpeg jpeg jpg jpe
image/naplps
image/pcx pcx
image/png png
image/prs.btif
image/prs.pti
image/svg+xml svg svgz
image/tiff tiff tif
image/vnd.cns.inf2
image/vnd.djvu djvu djv
image/vnd.dwg
image/vnd.dxf
image/vnd.fastbidsheet
image/vnd.fpx
image/vnd.fst
image/vnd.fujixerox.edmics-mmr
image/vnd.fujixerox.edmics-rlc
image/vnd.mix
image/vnd.net-fpx
image/vnd.svf
image/vnd.wap.wbmp wbmp
image/vnd.xiff
image/x-cmu-raster ras
image/x-coreldraw cdr
image/x-coreldrawpattern pat
image/x-coreldrawtemplate cdt
image/x-corelphotopaint cpt
image/x-icon ico
image/x-jg art
image/x-jng jng
image/x-ms-bmp bmp
image/x-photoshop psd
image/x-portable-anymap pnm
image/x-portable-bitmap pbm
image/x-portable-graymap pgm
image/x-portable-pixmap ppm
image/x-rgb rgb
image/x-xbitmap xbm
image/x-xpixmap xpm
image/x-xwindowdump xwd

inode/chardevice
inode/blockdevice
inode/directory-locked
inode/directory
inode/fifo
inode/socket

message/delivery-status
message/disposition-notification
message/external-body
message/http
message/s-http
message/news
message/partial
message/rfc822 eml

model/iges igs iges
model/mesh msh mesh silo
model/vnd.dwf
model/vnd.flatland.3dml
model/vnd.gdl
model/vnd.gs-gdl
model/vnd.gtw
model/vnd.mts
model/vnd.vtu
model/vrml wrl vrml

multipart/alternative
multipart/appledouble
multipart/byteranges
multipart/digest
multipart/encrypted
multipart/form-data
multipart/header-set
multipart/mixed
multipart/parallel
multipart/related
multipart/report
multipart/signed
multipart/voice-message

text/calendar ics icz
text/css css
text/csv csv
text/directory
text/english
text/enriched
text/h323 323
text/html html htm shtml
text/iuls uls
text/mathml mml
text/parityfec
text/plain asc txt text pot brf
text/prs.lines.tag
text/rfc822-headers
text/richtext rtx
text/rtf
text/scriptlet sct wsc
text/t140
text/texmacs tm ts
text/tab-separated-values tsv
text/uri-list
text/vnd.abc
text/vnd.curl
text/vnd.DMClientScript
text/vnd.flatland.3dml
text/vnd.fly
text/vnd.fmi.flexstor
text/vnd.in3d.3dml
text/vnd.in3d.spot
text/vnd.IPTC.NewsML
text/vnd.IPTC.NITF
text/vnd.latex-z
text/vnd.motorola.reflex
text/vnd.ms-mediapackage
text/vnd.sun.j2me.app-descriptor jad
text/vnd.wap.si
text/vnd.wap.sl
text/vnd.wap.wml wml
text/vnd.wap.wmlscript wmls
text/x-bibtex bib
text/x-boo boo
text/x-c++hdr h++ hpp hxx hh
text/x-c++src c++ cpp cxx cc
text/x-chdr h
text/x-component htc
text/x-crontab
text/x-csh csh
text/x-csrc c
text/x-dsrc d
text/x-diff diff patch
text/x-haskell hs
text/x-java java
text/x-literate-haskell lhs
text/x-makefile
text/x-moc moc
text/x-pascal p pas
text/x-pcs-gcd gcd
text/x-perl pl pm
text/x-python py
text/x-scala scala
text/x-server-parsed-html
text/x-setext etx
text/x-sh sh
text/x-tcl tcl tk
text/x-tex tex ltx sty cls
text/x-vcalendar vcs
text/x-vcard vcf

video/3gpp 3gp
video/annodex axv
video/dl dl
video/dv dif dv
video/fli fli
video/gl gl
video/mpeg mpeg mpg mpe
video/mp4 mp4
video/quicktime qt mov
video/mp4v-es
video/ogg ogv
video/parityfec
video/pointer
video/vnd.fvt
video/vnd.motorola.video
video/vnd.motorola.videop
video/vnd.mpegurl mxu
video/vnd.mts
video/vnd.nokia.interleaved-multimedia
video/vnd.vivo
video/x-flv flv
video/x-la-asf lsf lsx
video/x-mng mng
video/x-ms-asf asf asx
video/x-ms-wm wm
video/x-ms-wmv wmv
video/x-ms-wmx wmx
video/x-ms-wvx wvx
video/x-msvideo avi
video/x-sgi-movie movie
video/x-matroska mpv

x-conference/x-cooltalk ice

x-epoc/x-sisx-app sisx
x-world/x-vrml vrm vrml wrl
Conclusions
Ce chapitre vous aura, je l'espre, aid mieux comprendre :
Comment le Net arrive tout de mme plutt bien se sortir lgamment du pige
permanent que prsente le transport de donnes au niveau mondial,
certains messages que vos navigateurs web peuvent vous envoyer lorsque vous visitez
des sites trangers,
pourquoi certains mails que vous pouvez recevoir peuvent tre illisibles, et, peut-tre,
comment y remdier,
les prcautions qu'il faut prendre pour avoir de bonnes chances d'envoyer des e-mails
lisibles par le plus grand nombre
TCP/IP(v4)
Dans le chapitre prcdent, nous avons eu l'occasion de voir comment un rseau est construit
et quels protocoles de bas niveau (niveau 1 du modle OSI) sont employs pour transporter
ses donnes brutes sur le rseau.
Le rseau Ethernet est le plus employ (Avec ATM pour les oprateurs Tlcoms). Ici, nous
allons nous intresser au protocole situ juste au dessus, du moins au plus utilis d'entre eux:
TCP/IP. Ce protocole est en effet omniprsent sur le Net.
Une bonne comprhension de TCP/IP est ncessaire si l'on souhaite d'une part savoir
comment les donnes transitent sur les rseaux et, d'autre part, ne pas tre trop perdu dans les
rgles sanitaires qui permettent de mettre nos machines connectes le plus possible l'abri
des agressions. Il existe plusieurs outils de protection (Firewalls en anglo saxon), mais ces
outils n'ont qu'un effet psychologique, le plus souvent nfaste d'ailleurs, si l'on n'a aucune
comptence pour les paramtrer de faon efficace. Le problme de la scurit est abord dans
un autre chapitre sur ce site.
Au programme :
les adresses logiques de l'Internet Protocol (couche 3 du modle OSI)
Les modes connect (TCP) et non connect (UDP) (couche 4 du modle OSI)
Les protocoles applicatifs (HTTP, FTP, SMTP, POP etc.) (couche 7 du modle OSI)
Les protocoles
C'est quoi un protocole?
Essayons d'en donner une dfinition satisfaisante
C'est un mode opratoire qui doit tre commun tous les lments qui dsirent communiquer
entre eux. Il n'y a pas de communication possible sans avoir recours un protocole. Bien
entendu, le protocole doit tre adapt au type de communication que l'on souhaite mettre en
uvre
Nous passons notre vie utiliser des protocoles, heureusement sans en tre conscients la
plupart du temps.
Rappel
Le modle OSI dfinit sept couches. TCP/IP est bas sur le modle DOD, qui ne comporte
que quatre couches, mais en cohrence avec le modle OSI.

Les principaux protocoles rencontrs sur un rseau
TCP/IP
Organisation hirarchique

Nous trouvons ici les protocoles
applicatifs. Ce sont des protocoles de
haut niveau, destins permettre le
dialogue entre applications serveurs et
clientes. HTTP, FTP, POP et SMTP
sont loin d'tre les seuls. Ce sont
cependant ceux que les internautes
utilisent le plus souvent. Parmi l'un des
plus dangereux, il y a TELNET qui
permet de piloter une machine
distance.

Ici, ce sont les protocoles orients
transport de donnes. UDP est dit sans
connexion et TCP est dit avec
connexion . Nous verrons plus loin ce
que ceci veut dire. Ces protocoles
permettent ceux de la couche 4 de
transporter leurs donnes de faon
fiable.

Ce sont ici des protocoles de haut
niveau de la couche rseau. IP permet le
routage des informations entre rseaux,
c'est ici que l'adresse IP est utilise.
ICMP est un protocole de contrle il
met disposition des outils de dpistage
d'erreur et de signalisation. C'est un
protocole important qui mrite que l'on
s'y arrte. Nous en reparlerons plus en
dtail.

Protocole de plus bas niveau sur le
rseau, il assure la bonne gestion du
mdium (dtection de collisions) et
permet l'acheminement des informations
entre metteur et destinataire au niveau
des adresses MAC. IP s'appuie dessus
bien videment.
Ethernet
Le vocable Ethernet est souvent employ contre sens. Peut-tre n'est-il pas inutile
de prciser un peu, mme si, pour l'utilisateur (qui travaille sur la couche suprieure), ce
qu'il se passe sur la couche 1 n'a pas beaucoup de rpercussions.
Le mot Ethernet fait rfrence au support de propagation des informations utilis.
Historiquement, de trois types (mais d'autres peuvent tre utiliss):
Coaxial pais
Coaxial fin (RG58)
Paire torsade.
Pour tre tout fait prcis, la norme qui dcrit les rseaux de type Ethernet qui sont utiliss
sur la majorit des rseaux locaux est la norme IEEE 802.3
Cette norme dcrit dans le dtail le fonctionnement du rseau sur les supports cits
prcdemment. Elle dfinit entre autre, le protocole d'mission de donnes utilis: le
CSMA/CD persistant 1 (qui n'est pas le plus performant).
Remarque fine...
Les rseaux France Tlcom ne sont pas des rseaux IEEE 802.3, mais des rseaux ATM
(Asynchronous Transfer Mode). Le rseau ATM a t dvelopp dans l'optique d'un transport
de donnes de natures diverses (voix, vido, informatique). ATM est capable de grer
finement le partage des ressources d'une dorsale.
Bien que cette technologie soit pas mal controverse, c'est tout de mme elle qui est utilise
par notre oprateur historique (et d'autres galement). Cependant, les trames IEEE 802.3
peuvent tre encapsules sur de l'ATM, TCP/IP peut s'appuyer sur ATM, si bien que nous
autres, utilisateurs, voyons tout de mme un rseau classique de l'Internet. En fait, le
Com21 est connect sur un rseau ATM via le cble.

IP
Internet Protocol.
C'est le protocole dont on parle le plus, il est en effet directement impliqu dans la
configuration rseau de l'hte. C'est lui qui, en fonction de l'adresse IP du destinataire
acheminera l'information sur la bonne route.
Les considrations relatives la topologie d'une adresse IP sont vues un peu plus loin
dans ce chapitre.
Les concepts du routage sont vus dans le chapitre suivant sur ce site.
ICMP
Internet Control Message Protocol.
En termes de scurit, ce protocole fait peur beaucoup de monde (parfois juste titre
d'ailleurs), il est cependant fondamental pour le bon fonctionnement de l'Internet. C'est grce
ce protocole que les anomalies de fonctionnement peuvent tre signales l'metteur, afin
qu'il puisse essayer d'y remdier.
ICMP gnre des messages de types diffrents, selon la nature du problme traiter:
Valeur Nom Description
0 Rponse d'cho Rien de plus que la rponse un PING
3
Destination
inaccessible
C'est un message intressant, parce qu'il permet celui qui le reoit
d'tre inform que l'hte avec lequel il veut communiquer n'est pas
accessible. Ca peut souvent viter une application de rester
plante attendre une rponse qui ne viendra pas.
4
Etranglement
de la source
Principalement utiliss par les routeurs, ce signal permet d'expliquer
un hte qui parle un peu trop qu'il faut qu'il se taise, parce qu'il
inonde la file d'attente.
5
Redirection
ncessaire
Information utile pour la mise jour des tables de routage.
8
Demande
d'cho
C'est la question pose un hte par la commande PING.
11 TTL Expir
Un paquet est toujours mis avec une dure de vie. Cette dure de
vie est dcrmente chaque nud qui traite le paquet (d'une dure
minimum d'une seconde, ou du temps qu'a mis la paquet traverser
le nud). Si le paquet arrive en fin de vie, il est jet et un message
ICPM de type 11 est envoy l'metteur. Cette proprit est utilise
dans la commande tracert (traceroute sur Linux) pour calculer les
temps d'accs sur les diverses passerelles du chemin parcouru.
12
Problme de
paramtre
Ce message indique qu'il y a une erreur dans le champ d'en-tte du
paquet. Ce problme ne peut normalement arriver que dans le cas
d'un bug du logiciel.
13
Requte
d'horodatage
Assez similaire la requte d'cho, avec en plus le marquage de
l'heure Ce type d'cho permet de connatre l'heure d'arrive de la
requte et l'heure de dpart de la rponse sur l'hte cible.
14
Rponse de
d'horodatage.
17
Requte de
masque
d'adresse
Ces messages sont utiliss pour effectuer des tests au sein d'un rseau
ou d'un sous-rseau.
18
Rponse de
masque
d'adresse.

Les protocoles de la couche transport permettent, comme l'indique le nom de la couche, de
mettre disposition des niveaux suprieurs des outils de transport de donnes fiables.
Il existe deux modes de transfert:
Le mode connect (TCP)
Dans ce mode, il se met en place un processus de handshake (poigne de main) entre le
client et le serveur. Ce processus permet d'tablir un dialogue propos du transfert de
donnes. Il y a des accuss rception, des demandes d'mission etc. qui permettent aux
applications de savoir exactement o en est le processus de transfert de donnes.
Ce protocole est trs robuste et permet un transfert de donnes dans de bonnes conditions.
Voir les dtails plus loin dans ce chapitre.
Le handshake est un concept fondamental dans un protocole de dialogue robuste. En
gros, a veut dire: Chaque fois que tu envoies un message son destinataire, assure-toi
qu'il l'a reu et compris
La lettre recommande avec accus de rception est un bon exemple de mode connect. Si
l'metteur reoit l'accus rception, alors il est certain que sa lettre est arrive destination.
Le mode non connect (UDP)
C'est un mode simple, de type on envoie les donnes et on espre qu'elles arriveront . Il n'y
a pas de connexion , au sens o on l'a vu pour le mode connect. En revanche, il est
possible de mettre en place un processus d'acquittement.
Ce mode est utilis, par exemple, pour les requtes DNS. Il offre l'avantage d'tre moins
gourmand en ressources, mais ne peut tre efficace pour un transfert de fichiers et en gnral,
pour les transferts de donnes volumineuses.
L aussi, vous aurez plus de dtails un peu plus loin sur ce site.
Dans ce mode, il n'y a pas de handshake . Une lettre simple et ici un bon exemple.
L'metteur ne reoit priori aucune confirmation de rception.
Les protocoles d'application sont des protocoles de haut niveau, adapts aux besoins
d'applications spcifiques. Ils s'appuient sur UDP et TCP pour permettre le transfert
d'informations entre une application serveur et ses applications clientes.
Il en existe un grand nombre, nous allons effectuer un rapide tour d'horizon de ceux qui sont
le plus souvent utiliss.
HTTP
Hyper Text Transfert Protocol Ce protocole est utilis pour la navigation web
entre un serveur HTTP et un butineur. Le protocole assure (normalement) qu'un
client comme Internet Explorer ou Netscape Communicator peut envoyer des
requtes et recevoir les rponses de serveurs HTTP comme APACHE ou Internet
Information Server sans problmes particuliers. Les ennuis viennent du fait que les
clients supportent bien souvent des extensions propritaires du protocole. Ces
extensions sont d'ailleurs la plupart du temps entrines dans les versions
successives du protocole, c'est comme a que tout volue.
FTP
File Transfert Protocol Protocole qui permet d'assurer le transfert de fichiers de
faon indpendante des spcificits des NOS (Network Operatind System, pour
mmoire). Ainsi, un client FTP sous Windows peut tlcharger un fichier depuis un
serveur UNIX
SMTP
Simple Mail Transfert Protocol Le protocole qui permet d'acheminer le courrier
depuis le serveur SMTP de l'metteur, jusqu'au serveur SMTP du destinataire, qui
le classe dans les Botes aux lettres de ses clients. (Dcrit en dtail par ailleurs dans
ce site).
POP3
Post Office Protocol version 3. Le protocole qui permet au client de relever
distance le courrier class dans sa bote aux lettres. Egalement dtaill par ailleurs
sur ce site.
I MAP4
I nteractive Mail Access Protocol version 4 Normalement, ce protocole devrait
prendre la place de POP3. Certains fournisseurs srieux, comme FREE
l'implmentent dj. Contrairement POP3 qui ne permet une gestion des messages
qu'une fois qu'ils sont rapatris localement, IMAP propose des fonctionnalits plus
fines.
NNTP
Network News Transfert Protocol Trs proche de SMTP, ce protocole est employ
par les forums usenet. Bien que l'usage des forums NNTP n'entre que tardivement
dans les murs des internautes dbutants, ce moyen de communication offre des
avantages incomparables par rapport aux listes de diffusion par exemple.
TELNET
C'est le couteau suisse du travail distance. En fait, un client TELNET est une
console en mode texte, capable de se connecter sur la plupart des serveurs, comme
POP3 ou SMTP. Il devient alors possible d'envoyer et de lire des messages, si l'on
connait les commandes inhrentes aux protocoles SMTP et POP3. Un serveur
TELNET permet cependant des choses bien plus puissantes et dangereuses
puisqu'il devient possible de prendre distance le contrle d'un hte. C'est un outil
qui permet l'administration distante d'une machine, du moment que l'on est capable
d'ouvrir une session et d'acqurir les droits de super utilisateur .
Il en existe bien entendu beaucoup d'autres, il n'est pas, encore une fois, question ici de
rfrencer tous les protocoles applicatifs de la cration.
L'adresse IP
Avant de commencer
Il est bon de savoir qu'il existe une adresse MAC (Media Access Control), crite
normalement en dur dans la ROM de l'interface rseau et donc thoriquement
ineffaable et infalsifiable (mais ce n'est que la thorie, tous les pirates vous le diront). Cette
adresse est rpute unique et dcide par le constructeur de la carte. Elle est la seule adresse
exploite au niveau 2 pour l'identification des htes qui dialoguent. Cette mthode ne
permettant pas l'interconnexion de rseaux, il va tre ncessaire d'ajouter dans la couche
suprieure (niveau 3), une adresse logique qui sera attribue par l'administrateur du rseau, en
coordination avec les organismes chargs de grer l'attribution de ces adresses. Dans le cas
qui nous intresse ici, il s'agit de l'adresse IP.
Dfinition d'une adresse IP
Internet Protocol
Il existe dj sur le Net une multitude de pages qui traitent du sujet, a ne fait rien, mettons en
une de plus
Dans sa version 4, IP dfinit une adresse sur 4 octets. Une partie dfinit l'adresse du rseau
(NetID ou SubnetID suivant le cas), l'autre partie dfinit l'adresse de l'hte dans le rseau
(HostID). La taille relative de chaque partie varie suivant le masque de (sous) rseau.
Les classes d'adresses
Bien que cette faon de faire soit dsormais obsolte (nous verrons plus loin pourquoi), il
reste intressant de l'tudier, pour mieux comprendre la notion de masque de sous-rseau.
Topologie
Hormis la classe D multicast, destine faire de la diffusion d'information pour plusieurs
htes simultanment, il existe trois classes d'adresses IP:
Comme vous le voyez, la classe A permet de crer peu de rseaux, mais avec beaucoup
d'htes dans chaque rseau, La classe C faisant l'inverse.
tendue de chaque classe
Comment fait-on pour savoir quelle classe appartient une adresse ? Il y a deux mthodes
pour le savoir:
La triviale, qui consiste apprendre par cur le tableau.
La subtile, qui consiste retenir la rgle, qui est logique.
Voici donc la rgle:
La classe est dfinie par les bits les plus lourds (les plus gauche)
Le bit le moins signifiant pour la classe est toujours un 0
Les autres sont tous 1
La classe A est signale par un seul bit, donc obligatoirement un 0
La classe B par deux bits, donc 1 0
La classe C par trois bits, donc 1 1 0
La classe D (multicast) par 4 bits donc 1 1 1 0

Il existe mme une classe E, dont les bits les plus lourds sont 11110, qui est rserve un
usage ultrieur .
Si l'on arrive retenir la dfinition ou son image, a devient facile de retrouver l'tendue de
chaque classe:
Class Premire adresse Dernire adresse
A 0.0.0.1 127.255.255.254
B 128.0.0.1 191.255.255.254
C 192.0.0.1 223.255.255.254
D 224.0.0.1 239.255.255.254
A ce stade, nous pourrions penser qu'il peut y avoir, par exemple, 128 rseaux de classe A,
avec la possibilit d'avoir 16 777 216 htes dans chaque rseau. C'est bien entendu, un peu
plus compliqu que .
Il y a dj quelques adresses que l'on ne peut pas attribuer un hte:
L'adresse d'hte =0 (exemple: 192.168.1.0 dans une classe C)
Par convention, l'adresse IP dont la partie hte est nulle est rserve l'identification
du rseau.
L'adresse d'hte avec tous ses bits 1 (exemple: 192.168.1.255)
Par convention, cette adresse signifie que tous les htes du rseau 192.168.1.0 sont
concerns (Adresse de broadcast).
Les rseaux privs
Et ce n'est pas tout. Nous savons qu'une adresse Internet doit tre unique dans un inter rseau.
Cette considration, qui ne posait pas trop de problmes pour des rseaux d'entreprise coups
du reste du monde, devient trs restrictive l'chelle de l'Internet o chaque adresse IP doit
tre unique l'chelle plantaire. Ceci reprsente une contrainte norme, et qui fait que la
pnurie d'adresses IP est une catastrophe annonce bien plus certaine que celle du bug de l'an
2000. (Rassurez-vous, le prochain protocole IP v6 prvoit de la marge, il faudra juste tout r
apprendre).
Pour permettre aux entreprises de construire leur rseau priv, il a donc t rserv dans
chaque classe A, B et C des adresses de rseaux qui ne sont jamais attribues sur l'Internet
(RFC 1918). Tout paquet de donnes contenant une adresse appartenant ces rseaux doit
tre limin par le premier routeur tablissant une connexion avec l'Internet.
Ces rseaux privs sont:
Classe Rseaux privs Identification
A 10.0.0.0 Pour les rseaux privs
A 127.0.0.0 Pour l'interface de boucle locale (1)
B 169.254.0.0 169.254.255.255 Pour l'auto-configuration en rseau local (2)
B 172.16.0.0 172.31.0.0 Pour les rseaux privs
C 192.168.0.0 192.168.255.0 Pour les rseaux privs
(1) L'adresse qui correspond localhost . Cette adresse locale est ncessaire au
fonctionnement de la pile IP.
(2) Systme zeroconf qui permet une allocation dynamique d'adresse IP sur le lien local
(IPV4LL).
Le masque de sous rseau
Le masque de sous-rseau a une importance que peu d'utilisateurs connaissent, elle est
pourtant fondamentale. C'est un ensemble de 4 octets destin isoler:
Soit l'adresse de rseau (NetID ou SubnetID) en effectuant un ET logique bit bit
entre l'adresse IP et le masque.
Soit l'adresse de l'hte (HostID) en effectuant un ET logique bit bit entre l'adresse IP
et le complment du masque (!masque).
Les masques de sous-rseau par dfaut sont, suivant les classes d'adresses:
Classe Masque par dfaut Nbe d'octets pour l'hte
A 255.0.0.0 3
B 255.255.0.0 2
C 255.255.255.0 1
Par dfaut, un masque de sous rseau englobe donc la totalit de la classe.
Mais pourquoi sous rseau ?
Le principe en est simple: Imaginons que nous disposions d'une classe B. Nous disposons
donc de deux octets pour les adresses d'htes, soit 65 534 htes possibles (les adresses x.x.0.0
et x.x.255.255 sont rserves). Ca ferait tout de mme beaucoup de machines sur le mme
rseau. En pareil cas, il est bien prfrable d'organiser son rseau logique en plusieurs sous
rseaux, connects entre eux par des routeurs.
Si par exemple, bien qu'tant en classe B, on choisit comme masque de sous rseau
255.255.255.0, nous obtiendrons 256 sous rseaux de 254 htes chacun dans le mme
rseau. Mais il est possible de dfinir des masques plus subtils.
Deux htes, bien qu'appartenant au mme rseau logique, s'ils sont placs dans des sous
rseaux logiques diffrents, ne pourront communiquer entre eux que par l'intermdiaire d'un
routeur. Cette solution est trs commode pour des rseaux d'entreprise constitus de rseaux
locaux distants et mme pour des rseaux locaux comportant plusieurs centaines d'htes.
Le modle CIDR
Cette faon de faire aboutit malheureusement un formidable gaspillage d'adresses IP dans la
mesure o, la belle poque, une entreprise pouvait se voir attribuer une classe complte et
n'en utiliser qu'une partie.
Avec ce modle (Classless Inter-Domain Routing), la notion de classe n'existe plus, si ce n'est
pour les classes rserves l'usage priv. Les adresses sont dsormais distribues par bloc,
sans tenir compte de leur classe originelle.
L'IANA distribue donc dsormais des blocs d'adresses contigus, dlimites par un masque,
toujours de 32 bits, dont les x bits de gauche sont 1 et les autres 0. Dans ce modle, un
bloc d'adresse se dfinit ainsi :
adresse.de.base/x
A titre d'exemple, la classe C 192.168.0.0 avec un masque 255.255.255.0 s'crirait :
192.168.0.0/24
Ici, nous avons toujours deux adresses remarquables :
192.168.0.0 qui symbolise tout le bloc ;
192.168.0.255 qui est l'adresse de broadcast pour ce bloc.
La souplesse de cette mthode CIDR rside dans le fait que l'on peut dfinir dsormais un
bloc comme ceci :
192.168.0.0/26
Il existe sur toute bonne distribution GNU/Linux un utilitaire nomm ipcalc qui va nous
dcortiquer ce bloc :
~$ ipcalc 192.168.0.0/26
Address: 192.168.0.0 11000000.10101000.00000000.00 000000
Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000
Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111
=>
Network: 192.168.0.0/26 11000000.10101000.00000000.00 000000
HostMin: 192.168.0.1 11000000.10101000.00000000.00 000001
HostMax: 192.168.0.62 11000000.10101000.00000000.00 111110
Broadcast: 192.168.0.63 11000000.10101000.00000000.00 111111
Hosts/Net: 62 Class C, Private Internet
Notez l'inhabituelle adresse de broadcast pour ce bloc. Nous avons donc ici la possibilit
d'adresser 62 nuds, et l'tendue totales des adresses utilises (rseau et broadcast compris)
est :
192.168.0.0 - 192.168.0.63
Voyons le bloc suivant qui pourrait tre tout naturellement :
192.168.0.64/26
:~$ ipcalc 192.168.0.64/26
Address: 192.168.0.64 11000000.10101000.00000000.01 000000
Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000
Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111
=>
Network: 192.168.0.64/26 11000000.10101000.00000000.01 000000
HostMin: 192.168.0.65 11000000.10101000.00000000.01 000001
HostMax: 192.168.0.126 11000000.10101000.00000000.01 111110
Broadcast: 192.168.0.127 11000000.10101000.00000000.01 111111
Hosts/Net: 62 Class C, Private Internet
Un autre exemple
Sur un rseau priv, nous pourrions prendre les deux classes C 192.168.0.0 et 192.168.1.0. En
utilisant un masque de type 255.255.254.0, ceci nous permettra de runir les deux classes C au
sein d'un mme rseau logique.
En notation CIRD : 192.168.0.0/23
~$ ipcalc 192.168.0.0/23
Address: 192.168.0.0 11000000.10101000.0000000 0.00000000
Netmask: 255.255.254.0 = 23 11111111.11111111.1111111 0.00000000
Wildcard: 0.0.1.255 00000000.00000000.0000000 1.11111111
=&gt;
Network: 192.168.0.0/23 11000000.10101000.0000000 0.00000000
HostMin: 192.168.0.1 11000000.10101000.0000000 0.00000001
HostMax: 192.168.1.254 11000000.10101000.0000000 1.11111110
Broadcast: 192.168.1.255 11000000.10101000.0000000 1.11111111
Hosts/Net: 510 Class C, Private Internet
a fonctionne Avec quelques restrictions cependant, sur les anciens systmes. Certaines
vieilles piles IP (Windows 95 par exemple) risquent de ne pas accepter les adresses
192.168.0.255 et 192.168.1.0 comme adresses d'htes valides (elles devraient tre rserves
dans un rseau normal, nous l'avons vu, mais dans le cas d'un bloc constitu comme celui
de l'exemple, il est logiquement possible de les utiliser).
Un exemple vrai de configuration
Cet exemple appartient dsormais au pass, du temps d'un fournisseur d'accs aujourd'hui
disparu.
Un client se connecte et rcupre l'adresse 62.161.99.115. C'est une adresse de classe A. Nous
allons essayer de voir toutes les informations que l'on peut en tirer, au niveau du rseau.
whois nous dit:
whois -h whois.geektools.com 62.161.99.115 ...
Query: 62.161.99.115
Registry: whois.ripe.net
Results:
% Rights restricted by copyright. See http://www.ripe.net/ripencc/pub-
services/db/copyright.html
inetnum: 62.161.96.0 - 62.161.120.255
...
Cette adresse appartient donc au bloc 62.161.96.0 - 62.161.120.255, qui est une portion du
rseau de classe A 62.0.0.0.
Voyons maintenant les informations donnes par le DHCP. (Exemple sous Linux avec
PUMP)
Device eth0
IP: 62.161.99.115
Netmask: 255.255.248.0
Broadcast: 62.161.103.255
Network: 62.161.96.0
Boot server 62.161.120.11
Next server 62.161.120.11
Gateway: 62.161.96.1
...
Nameservers: 62.161.120.11
Renewal time: Thu Feb 1 10:17:57 2001
Expiration time: Thu Feb 1 10:25:27 2001
Le masque de sous rseau est ici aussi inhabituel
~$ ipcalc 62.161.96.0 255.255.248.0
Address: 62.161.96.0 00111110.10100001.01100 000.00000000
Netmask: 255.255.248.0 = 21 11111111.11111111.11111 000.00000000
Wildcard: 0.0.7.255 00000000.00000000.00000 111.11111111
=>
Network: 62.161.96.0/21 00111110.10100001.01100 000.00000000
HostMin: 62.161.96.1 00111110.10100001.01100 000.00000001
HostMax: 62.161.103.254 00111110.10100001.01100 111.11111110
Broadcast: 62.161.103.255 00111110.10100001.01100 111.11111111
Hosts/Net: 2046 Class A
Exercices...
A quel sous rseau appartient l'adresse 62.161.99.115 (SubnetID)?
Adresse IP
0011 1110 . 1010 0001 . 0110 0011 . 0111
0011
Masque de sous rseau:
1111 1111 . 1111 1111 . 1111 1000 . 0000
0000
Adresse du sous-rseau: (ET
logique)
0011 1110 . 1010 0001 . 0110 0000 . 0000
0000
donc en dcimal:
62.161.96.0
L'opration consiste simplement en un ET logique bit bit entre l'adresse et le masque. Mais
on avait dj la rponse en consultant les informations du client DHCP
Quelle est la partie de l'adresse qui concerne l'hte (HostID)?
Adresse IP
0011 1110 . 1010 0001 . 0110 0011 . 0111
0011
Masque de sous rseau: (complment
logique)
0000 0000 . 0000 0000 . 0000 0111 . 1111
1111
HostID: (ET logique)
0000 0000 . 0000 0000 . 0000 0011 . 0111
0011
donc en dcimal:
0.0.3.115
L'opration consiste ici en un ET logique entre l'adresse et le complment du masque. Bien
entendu, HostID + SubnetID doit reconstituer l'adresse IP, ce qui est bien le cas:
(62.161.96.0) + (0.0.3.115) = 62.161.99.115
Quelle est la plus petite adresse possible dans ce sous rseau?
SubnetID+1=62.161.96.1 .
Qui est d'ailleurs l'adresse de la passerelle (c'est un choix de FTCI, pas une obligation.
Toute adresse dans le mme sous rseau aurait aussi bien fait l'affaire)..
Quelle est la plus grande adresse possible dans ce sous rseau?
C'est SubnetID+!SubnetMask-1
Pourquoi?
!SubnetMask-1 correspond la plus grande HostID possible dans ce sous rseau,
!SubnetMask correspondant l'adresse de l'hte de broadcast
SubnetID:
0011 1110 . 1010 0001 . 0110 0000 . 0000 000
Masque de sous rseau-1:
0000 0000 . 0000 0000 . 0000 0111 . 1111 1110
Plus grande adresse possible: (+)
0011 1110 . 1010 0001 . 0110 0111 . 1111 1110
donc en dcimal:
62.161.103.254
L'opration est une somme binaire. Le rsultat tait prvisible, une fois encore, en regardant
les informations du client DHCP. En effet; l'adresse de broadcast pour le sous rseau tudi
est 62.161.103.255 (HostID avec tous les bits 1).
C'est bien, n'est-ce pas, de pouvoir donner une explication rationnelle tous ces paramtres IP
plus ou moins obscurs premire vue
Les sockets
Une oreille dans chaque port
Adresse, port et socket
Imaginons la situation suivante (frquente sur des petits rseaux):
Un seul serveur (entendez par l une machine) hberge plusieurs services bien connus des
internautes:
Un serveur web (HTTP)
Un serveur de fichiers (FTP)
Un serveur de messagerie (SMTP et POP3)
Tous ces services cohabitent donc sur un hte disposant d'une seule adresse IP, disons
62.161.120.45 (pour fixer les ides) et fonctionnent sans problmes. Vous tes-vous pos la
question de savoir par quel prodige tout ne se mlange pas? Comment se fait-il que le
navigateur du client qui invoque l'URL http://62.161.120.45/default.html voit bien
arriver la page demande, alors que le client qui se connecte sur le serveur POP 62.161.120.45
va pouvoir y rcuprer son courrier?
Plus fort encore, pendant qu'un client consulte la page
http://62.161.120.45/default.html, un autre consulte
http://62.161.120.45/sommaire.html. Et chaque client reoit bien la page qu'il
demande
Grce aux ports! Les ports sont des numros d'identification qui permettent de spcifier le
service concern. Ce numro de port est crit sur 2 octets, ce qui donne 65535 ports possibles
(parce que le port 0 n'est, ma connaissance, pas utilis).
La combinaison adresse IP:numro de port constitue ce que l'on appelle une socket
(qui veut dire peu prs connecteur en anglais).
Une socket identifie pleinement le service qui est concern sur une machine donne.
Le serveur et le client
Les serveurs ont une fonction particulire: Ils doivent envoyer des informations pertinentes
aux clients qui en rclament. Comme un serveur ne convient pas d'un rendez-vous avec le
client, il doit rester attentif en permanence pour ne pas risquer de rater une question. Pour ce
faire, on y installe des daemons, petits programmes qui tournent en tche de fond et qui
coutent continuellement sur un numro de port donn. Il y a des conventions pour attribuer
ces ports sur des services connus, par exemple le port 80 pour HTTP, le port 110 pour POP3,
le port 21 pour FTP. Il faut qu'il y ait des conventions de ce genre pour que les clients puissent
atteindre ces services.
Lorsque l'on crit http://62.161.120.45, on ne spcifie pas de port; sous-entendu, il s'agit
du port 80 parce que l'on invoque un service HTTP. Il serait possible d'crire:
http://62.161.120.45:80 Ici, on spcifie le port. Certaines protections triviales consistent
justement forcer un service ne pas employer le port standard. Un administrateur pourrait
dcider de mettre son serveur HTTP l'coute du port 88. Dans ce cas, si l'utilisateur n'est pas
au courant de cette particularit, il ne pourra pas accder ce serveur (sauf s'il dispose d'un
scanner de ports et qu'il dcouvre la supercherie).

En revanche, le client qui met la requte ne dispose pas de port d'coute attitr. Ce n'est pas
un serveur, c'est un client; il n'a donc rien couter d'autre que les rponses ses questions. Il
faut donc, lorsqu'il envoie sa requte, qu'il spcifie sur quel port il va couter la rponse, de
manire ce que le serveur puisse construire un socket efficace pour ladite rponse.
Vous tes-vous demand par quel miracle, si vous ouvrez deux fois votre navigateur pour
afficher deux pages diffrentes sur le mme serveur, les informations ne se mlangent pas?
C'est parce que les deux sessions du navigateur indiquent des ports de rponse diffrents!
C'est le NOS du client qui choisit les ports de rponse en fonction de ceux qui sont
disponibles sur la machine.

Un port d'coute est une porte ouverte
Lorsqu'un port est ouvert l'coute sur un service serveur, c'est une porte ouverte par laquelle
un intrus peut entrer.
Ce dtail nous mne directement aux problmes de scurit et d'intrusions. Mais ne
mlangeons pas tout, cette affaire est traite ailleurs sur ce site.
Quelques infos supplmentaires
NAT, PAT et autres mascarades
Nous y reviendrons plus loin dans le chapitre consacr au routage, mais tant qu'on est dans les
ports, autant dire quelques mots de ces techniques.
NAT (Network Address Translation) est une facult dont dispose un routeur, de
modifier les adresses IP des metteurs lors du passage des datagrammes entre deux
rseaux. Ca ne nous intresse pas directement ici.
PAT (Port Access Translation) est une fonction qui permet de changer au passage le
numro de port dans le datagramme. Ca peut paratre tordu, mais il existe une foule
d'applications possibles pour cette proprit.
MASQUERADE, qui est un mlange des deux (NAT, PAT) est une fonction trs
intressante pour connecter tout un rseau local construit sur une classe IP prive
l'Internet. La passerelle utilisera son IP publique (ct Internet) pour faire du NAT sur
les adresses prives du rseau local et fera galement du PAT pour savoir qui il
faudra transmettre les rponses.
o Le principe de fonctionnement et la faon de construire une telle passerelle
sont dcrits dans la chapitre MASQUERADE, ailleurs sur ce site.
Mode connect
La connexion TCP
Le mode connect de TCP n'est pas d'une grande simplicit. Il est conu pour tre robuste et
tient compte des possibilits et des risques des grands rseaux maills, savoir:
Les paquets peuvent circuler de la source vers la cible par des chemins diffrents (dans
ce cas, ils arrivent sur la cible dans le dsordre),
Il peut s'en perdre en route,
Certains paquets peuvent arriver corrompus
etc..
TCP en revanche ne prend hlas pas en compte, ou trs peu, les problmes de piratage.
L'exemple est pris sur mon rseau local, mais le principe reste rigoureusement le mme sur
l'Internet. La manipulation sur le rseau local m'vite d'avoir faire un filtrage plus ou moins
pnible.
La squence en gros
No. Time Source Destination Proto Info
1 0.000000 00:20:18:b9:49:37 ff:ff:ff:ff:ff:ff ARP Who has
192.168.0.250? Tell 192.168.0.10
2 0.000277 00:20:18:61:90:e3 00:20:18:b9:49:37 ARP 192.168.0.250 is
at 00:20:18:61:90:e3
3 0.000474 chris.maison.mrs gateway1.maison.mrs TCP 1927 > pop3 [SYN]
4 0.000885 gateway1.maison.mrs chris.maison.mrs TCP pop3 > 1927 [SYN,
ACK]
5 0.001111 chris.maison.mrs gateway1.maison.mrs TCP 1927 > pop3 [ACK]
6 0.049836 gateway1.maison.mrs chris.maison.mrs POP Response: +OK
7 0.050586 chris.maison.mrs gateway1.maison.mrs POP Request: USER
chris
8 0.050998 gateway1.maison.mrs chris.maison.mrs TCP pop3 > 1927 [ACK]
9 0.051511 gateway1.maison.mrs chris.maison.mrs POP Response: +OK
10 0.051979 chris.maison.mrs gateway1.maison.mrs POP Request: PASS
babaorum
11 0.060769 gateway1.maison.mrs chris.maison.mrs TCP pop3 > 1927 [ACK]
12 0.159888 gateway1.maison.mrs chris.maison.mrs POP Response: +OK
Mailbox open, 0 messages
13 0.160799 chris.maison.mrs gateway1.maison.mrs POP Request: STAT
14 0.161552 gateway1.maison.mrs chris.maison.mrs POP Response: +OK 0 0
15 0.162801 chris.maison.mrs gateway1.maison.mrs POP Request: QUIT
16 0.167987 gateway1.maison.mrs chris.maison.mrs POP Response: +OK
Sayonara
17 0.168562 chris.maison.mrs gateway1.maison.mrs TCP 1927 > pop3 [FIN,
ACK]
18 0.168957 gateway1.maison.mrs chris.maison.mrs TCP pop3 > 1927 [ACK]
19 0.169465 gateway1.maison.mrs chris.maison.mrs TCP pop3 > 1927 [FIN,
ACK]
20 0.169698 chris.maison.mrs gateway1.maison.mrs TCP 1927 > pop3 [ACK]
Pas moins de 20 trames, pour constater qu'il n'y a pas de nouveau courrier!
TCP en dtail
Un petit coup d'ARP...
Les squences 1 et 2 ne sont pas inintressantes, bien que ne faisant pas directement partie du
protocole TCP. C'est de l'ARP, a vient de la couche basse d'Ethernet,
Trame 1:
Mon poste n'a pas en mmoire la correspondance MAC Address / IP pour le serveur. Il
pose donc la question sur un broadcast ARP:
A qui appartient l'adresse IP 192.168.0.250 (le serveur)? rpondez 192.168.0.10
(mon poste).
Trame 2:
Le serveur rpond:
192.168.0.250 la MAC Address:00:20:18:61:90:e3
Si, sans trop attendre, je lance la commande ARP sur mon poste, voici le rsultat:
E:\> arp -a

Interface : 192.168.0.10 on Interface 0x4000003
Adresse Internet Adresse physique Type
192.168.0.250 00-20-18-61-90-e3 dynamique**
Au bout d'un certain temps sans servir, cette ligne sera efface de la mmoire. Rappelons
qu' l'intrieur d'un rseau, la couche d'accs physique (la plus basse du modle DOD) utilise
exclusivement les adresses MAC
Et la connexion TCP
Etablissement de la connexion
Accrochez-vous, c'est un peu compliqu :)
Il faut d'abord savoir que les connexions TCP mettent en uvre deux pointeurs de 32 bits,
respectivement appels:
Sequence number
Acknowledgment number
Ces deux pointeurs permettent le suivi des paquets:
L'accus rception pour la source pour chaque paquet mis.
La remise en ordre des paquets reus sur la cible.
D'autres pointeurs permettent galement de fiabiliser la connexion, comme le checksum.
Nous n'allons pas rentrer dans tous les dtails, d'autres sites sur l'Internet le font dj trs bien.
Le point particulier des numros de squence et d'acquittement va en revanche tre regard de
prs, parce qu'il est utilis pour une attaque particulirement redoutable: le spoofing .
Par ailleurs, un ensemble de flags (drapeaux, bits significatifs d'un tat particulier) permet
de donner des informations sur la nature du paquet.
Voyons ce que les livres disent:
L'tablissement d'une connexion se fait en trois temps:

1 2 3
Le client envoie une squence de
synchronisation, avec un numro de
Le serveur rpond par une
acceptation dans laquelle
Le client acquitte la rponse
en envoyant:
squence. Le Flag SYN est
positionn
il renvoie:
- un numro
d'acquittement gal au
numro de squence qu'il
a reu+1
- un numro de squence
les flags SYN et ACK
sont positionns.
- un numro d'acquittement
gal au numro de squence
envoy par le serveur +1
- un numro de squence
gal au numro
d'acquittement envoy par le
serveur
Mais voyons cela sur l'exemple::
Frame 3 (62 on wire, 62 captured)
Arrival Time: Oct 12, 2000 11:19:15.3756
Time delta from previous packet: 0.000197 seconds
Frame Number: 3
Packet Length: 62 bytes
Capture Length: 62 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
*** //Au niveau Ethernet, nous trouvons les deux adresses MAC
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 48
Identification: 0x7624
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
*** C'est bien un protocole TCP
Header checksum: 0x024f (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
*** Le port du client (l'metteur de cette trame)
Destination port: pop3 (110)
*** Le port de destination (110 pour POP3)
Sequence number: 3662573346
*** Et un numro de squence ( mmoriser pour la suite).
Header length: 28 bytes
Flags: 0x0002 (SYN)
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
*** C'est bien une requte SYN
.... ...0 = Fin: Not set
Window size: 16384
Checksum: 0x6f64
Options: (8 bytes)
Maximum segment size: 1460 bytes
NOP
NOP
SACK permitted
La seconde doit tre la rponse du serveur POP. Normalement, c'est un ACK
(Acknowledgment, Acceptation de la synchronisation du client, suivi d'une demande de
synchronisation du numro de squence du serveur), c'est ce que disent les livres. Voyons a :
Frame 4 (62 on wire, 62 captured)
Arrival Time: Oct 12, 2000 11:19:15.3760
Time delta from previous packet: 0.000411 seconds
Frame Number: 4
Packet Length: 62 bytes
Capture Length: 62 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37) *** Le client
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3) *** Le serveur
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 48
Identification: 0x088a
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafe9 (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
*** Le serveur continue sur le port 110
Destination port: 1927 (1927)
*** Et rpond bien sur le port ouvert par le client
Sequence number: 4089248825
*** Le numro de squence propos par le serveur
Acknowledgement number: 3662573347
*** Rappelez-vous, le n de squence du client tait 3662573346
*** Le numro d'acquittement est 3662573346 + 1
Header length: 28 bytes
Flags: 0x0012 (SYN, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
*** Nous avons bien un acquittement de la part du serveur
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
*** Et une demande de synchronisation (sur le numro de squence
4089248825)
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x41e4
Options: (8 bytes)
Maximum segment size: 1460 bytes
NOP
NOP
SACK permitted
Ici, nous devrions trouver un acquittement du client sur le numro de squence 4089248825
Frame 5 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.3762
Time delta from previous packet: 0.000226 seconds
Frame Number: 5
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
*** C'est bien le client qui rpond au serveur
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x7625
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x0256 (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
*** Les ports ne sont toujours pas changs
Sequence number: 3662573347
*** souvenez-vous: Acknowledgement number: 3662573347
Acknowledgement number: 4089248826
*** comme tout l'heure, 4089248825 + 1
Header length: 20 bytes
Flags: 0x0010 (ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
*** Il n'y a bien qu'un acquittement.
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17520
Checksum: 0xa7b0
C'est bien comme dans les livres (ouf!)
La transmission des donnes
Que disent les livres? Ils disent que maintenant, les changes de donnes vont se faire.
Le flag PUSH sert signaler TCP qu'il doit transmettre les donnes reues aux
couches suprieures.
Chaque paquet aura:
o Pour numro d'acquittement le numro de squence du dernier paquet reu,
augment du nombre d'octets de donnes qu'il contenait.
o Pour numro de squence le numro d'acquittement du dernier paquet reu
Sur le protocole POP3, c'est le serveur qui va envoyer un message de bienvenue. La trame qui
suit doit donc provenir du serveur, elle doit contenir:
Un acquittement du numro de squence de la trame prcdente:3662573347, puisque
la trame 5 ne contenant pas de donnes.
Un numro de squence gal au numro d'acquittement de la trame
prcdente:4089248826
Frame 6 (103 on wire, 103 captured)
Arrival Time: Oct 12, 2000 11:19:15.4249
Time delta from previous packet: 0.048725 seconds
Frame Number: 6
Packet Length: 103 bytes
Capture Length: 103 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 89
Identification: 0x088b
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafbf (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
*** C'est bien le serveur qui rpond.
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248826
Acknowledgement number: 3662573347
*** Nous partons bien sur les numros de squence et d'acquittement
dfinis
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
*** L'acquittement au paquet prcdent est donn
.... 1... = Push: Set
*** Il va y avoir des donnes...
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0xa343
Post Office Protocol
Response: +OK
Response Arg: POP3 gateway1.maison.mrs v7.64 server ready
*** Et voil les donnes.
Pour le moment, tout se passe encore conformment aux critures. Voyons la suite.
Le paquet prcdent contient les donnes:
+OK POP3 gateway1.maison.mrs v7.64 server ready
Ceci nous fait 47 octets (Il ne faut pas oublier de compter les espaces, ce sont des caractres
comme les autres). Il ne faut pas oublier non plus qu'une ligne de texte se termine par les
caractres CR (retour la ligne) et LF (saut de ligne), ce qui nous fait deux caractres de plus,
soit au total 49 octets.
Normalement:
Le numro d'acquittement du prochain paquet devrait donc tre
4089248826+49=4089248875 (squence + 49)
Le numro de squence devrait tre 3662573347
Le client doit maintenant envoyer son login. Nous devrions donc trouver un PUSH et un ACK
.
Frame 7 (66 on wire, 66 captured)
Arrival Time: Oct 12, 2000 11:19:15.4257
Time delta from previous packet: 0.000750 seconds
Frame Number: 7
Packet Length: 66 bytes
Capture Length: 66 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 52
Identification: 0x7626
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x0249 (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
*** C'est bien le client qui s'adresse au serveur
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573347
*** Oui, c'est l'Acknowledgment number du paquet prcdent
Acknowledgement number: 4089248875
*** OUI!!! C'est le Sequence number du paquet prcdent augment de 49
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
*** voici l'ACK...
.... 1... = Push: Set
*** et voil le PUSH, donc il y aura des donnes
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17471
Checksum: 0x0da4
Post Office Protocol
Request: USER
Request Arg: chris
*** Ce sont les donnes.
Tout s'est pass comme prvu.
Bien. Comme nous connaissons par cur le protocole POP, nous savons que le serveur va
envoyer la rponse +OK et une invite communiquer le mot de passe.
Nous devrions trouver:
Un ACK et un PUSH,
Un Sequence number gal l'Acknowledgment number du paquet prcdent
Un Acknowledgment number gal au Sequence number du paquet prcdent +12
(comptez les octets de donnes du paquet prcdent)..
Frame 8 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.4261
Time delta from previous packet: 0.000412 seconds
Frame Number: 8
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x088c
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafef (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
*** C'est bien le serveur qui rpond.
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248875
Acknowledgement number: 3662573359 =3662573347+12. Toujours normal, 12
octets de donnes dans le paquet prcdent.
Header length: 20 bytes
Flags: 0x0010 (ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
*** Voici ACK...
.... 0... = Push: Not set
*** Mais il n'y a pas de PUSH, donc pas de donnes?
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x6e6b
Ben non, il n'y a pas eu de donnes. Comme on est parfaitement certain que le serveur doit en
envoyer (parce que l'on connat le protocole POP3 par cur), c'est que c'est encore le serveur
qui va parler
Frame 9 (95 on wire, 95 captured)
Arrival Time: Oct 12, 2000 11:19:15.4266
Time delta from previous packet: 0.000513 seconds
Frame Number: 9
Packet Length: 95 bytes
Capture Length: 95 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 81
Identification: 0x088d
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafc5 (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
*** Oui, c'est encore le serveur
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248875
Acknowledgement number: 3662573359
*** Et les numros sont identiques au paquet prcdent (normal, pas de
donnes dans le paquet prcdent)
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
*** Ce coup-ci, il y a des donnes.
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x6428
Post Office Protocol
Response: +OK
Response Arg: User name accepted, password please
*** Les voil!
Et voil. Le client va envoyer son mot de passe, le dialogue continue.
Frame 10 (68 on wire, 68 captured)
Arrival Time: Oct 12, 2000 11:19:15.4271
Time delta from previous packet: 0.000468 seconds
Frame Number: 10
Packet Length: 68 bytes
Capture Length: 68 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 54
Identification: 0x7627
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x0246 (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)

*** C'est bien le client
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573359
*** = Acknowledgement number prcdent
Acknowledgement number: 4089248916
*** = Sequence number prcdent augment de 41, nous avons compris le
principe
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
*** Il va y avoir des donnes.
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17430
Checksum: 0x8f50
Post Office Protocol
Request: PASS
Request Arg: epikoi

*** M**** alors! le mot de passe circule en clair !
rassurez-vous, ce n'est pas le bon que vous lisez :-)
Mais le mot de passe circule vraiment en clair. Stupfiant non?//**

Bien. Il ne reste plus que 10 trames regarder mais maintenant, a va devenir monotone. Je
vous laisse les analyser tout seul. Je vous conseille tout de mme les trames 17, 18 19 et 20
qui servent fermer proprement la connexion. C'est une procdure importante qui permet au
serveur d'oublier cette connexion.
Frame 11 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.4359
Time delta from previous packet: 0.008790 seconds
Frame Number: 11
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x088e
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafed (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248916
Acknowledgement number: 3662573373
Header length: 20 bytes
Flags: 0x0010 (ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x6e34

Frame 12 (84 on wire, 84 captured)
Arrival Time: Oct 12, 2000 11:19:15.5350
Time delta from previous packet: 0.099119 seconds
Frame Number: 12
Packet Length: 84 bytes
Capture Length: 84 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 70
Identification: 0x088f
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafce (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248916
Acknowledgement number: 3662573373
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x8064
Post Office Protocol
Response: +OK
Response Arg: Mailbox open, 0 messages

Frame 13 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5359
Time delta from previous packet: 0.000911 seconds
Frame Number: 13
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 46
Identification: 0x7628
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x024d (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573373
Acknowledgement number: 4089248946
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17400
Checksum: 0x05d6
Post Office Protocol
Request: STAT

Frame 14 (63 on wire, 63 captured)
Arrival Time: Oct 12, 2000 11:19:15.5366
Time delta from previous packet: 0.000753 seconds
Frame Number: 14
Packet Length: 63 bytes
Capture Length: 63 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 49
Identification: 0x0890
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafe2 (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248946
Acknowledgement number: 3662573379
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x8d62
Post Office Protocol
Response: +OK
Response Arg: 0 0

Frame 15 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5379
Time delta from previous packet: 0.001249 seconds
Frame Number: 15
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 46
Identification: 0x7629
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x024c (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573379
Acknowledgement number: 4089248955
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17391
Checksum: 0xffce
Post Office Protocol
Request: QUIT

Frame 16 (68 on wire, 68 captured)
Arrival Time: Oct 12, 2000 11:19:15.5431
Time delta from previous packet: 0.005186 seconds
Frame Number: 16
Packet Length: 68 bytes
Capture Length: 68 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 54
Identification: 0x0891
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafdc (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248955
Acknowledgement number: 3662573385
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x3cde
Post Office Protocol
Response: +OK
Response Arg: Sayonara

Frame 17 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5437
Time delta from previous packet: 0.000575 seconds
Frame Number: 17
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x762a
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x0251 (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573385
Acknowledgement number: 4089248969
Header length: 20 bytes
Flags: 0x0011 (FIN, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...1 = Fin: Set
Window size: 17377
Checksum: 0xa789

Frame 18 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5441
Time delta from previous packet: 0.000395 seconds
Frame Number: 18
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x0892
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafe9 (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248969
Acknowledgement number: 3662573386
Header length: 20 bytes
Flags: 0x0010 (ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 32120
Checksum: 0x6df2

Frame 19 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5446
Time delta from previous packet: 0.000508 seconds
Frame Number: 19
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x0893
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0xafe8 (correct)
Source: gateway1.maison.mrs (192.168.0.250)
Destination: chris.maison.mrs (192.168.0.10)
Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 1927 (1927)
Source port: pop3 (110)
Destination port: 1927 (1927)
Sequence number: 4089248969
Acknowledgement number: 3662573386
Header length: 20 bytes
Flags: 0x0011 (FIN, ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...1 = Fin: Set
Window size: 32120
Checksum: 0x6df1

Frame 20 (60 on wire, 60 captured)
Arrival Time: Oct 12, 2000 11:19:15.5448
Time delta from previous packet: 0.000233 seconds
Frame Number: 20
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (00:20:18:b9:49:37)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Currently Unused: 0
Total Length: 40
Identification: 0x762b
Flags: 0x04
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x0250 (correct)
Source: chris.maison.mrs (192.168.0.10)
Destination: gateway1.maison.mrs (192.168.0.250)
Transmission Control Protocol, Src Port: 1927 (1927), Dst Port: pop3 (110)
Source port: 1927 (1927)
Destination port: pop3 (110)
Sequence number: 3662573386
Acknowledgement number: 4089248970
Header length: 20 bytes
Flags: 0x0010 (ACK)
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17377
Checksum: 0xa788
Ce qu'il est intressant d'tudier, c'est le mcanisme des numros de squence et
d'acquittement. Parce que celui qui va tre capable de prdire la squence de ces numros, s'il
dispose d'outils qui savent bricoler les trames, pourra se faire passer pour un autre dans un
dialogue TCP existant. C'est ce qu'on appelle le spoofing, mthode de piratage dlicate
mais dangereuse.
Mode non connect
Protocole UDP
User Datagram Protocol. Ici, la discussion se fait sans trop de prcautions. Le principe est le
suivant:
Celui qui doit parler s'adresse son interlocuteur, la plupart du temps en posant une
question, directement, sans vrifier que l'interlocuteur est prsent et peut rpondre.
Si la rponse ne vient pas, l'initiateur dcidera de la stratgie appliquer. En gnral, il
n'y a pas trop de solutions:
o Rpter la question au mme interlocuteur
o Rpter la question un autre interlocuteur (C'est le cas par exemple des
rsolutions de noms)
o Abandonner et arrter le dialogue.
Parmi les usages les plus connus du mode sans connexion (UDP), notons:
La rsolution des noms ou la rsolution inverse des adresses (DNS)
La recherche d'une adresse IP dynamique (DHCP)
La plupart des jeux en rseau.
En gnral, partout o le paquet de donnes transmettre peut tenir dans un seul datagramme.
A titre d'exemple, nous allons regarder a sur quelque chose de nouveau: le protocole NTP
(Network Time Protocol). C'est un protocole applicatif qui permet un hte de synchroniser
son horloge sur un serveur de temps.
L'exemple est pris sous linux par la commande:
#ntpdate ntp0.oleane.net
Comme d'habitude, le sniffer ne perd rien de la conversation
No. Source Destination Protocol Info
16 193.248.36.34 ntp0.oleane.net NTP NTP
17 ntp0.oleane.net 193.248.36.34 NTP NTP
18 193.248.36.34 ntp0.oleane.net NTP NTP
19 ntp0.oleane.net 193.248.36.34 NTP NTP
20 193.248.36.34 ntp0.oleane.net NTP NTP
21 ntp0.oleane.net 193.248.36.34 NTP NTP
22 193.248.36.34 ntp0.oleane.net NTP NTP
23 ntp0.oleane.net 193.248.36.34 NTP NTP
A premire vue, nous constatons un dialogue entre le client (193.248.36.34) et le serveur
ntp0.oleane.net.
L'objectif est ici, non pas de dcortiquer le protocole NTP, encore que ce ne soit pas sans
intrt, mais d'observer un dialogue UDP. Voyons donc le dtail:
Le surlignage jaune reprsente le protocole, la source et la destination, le sur lignage bleu
reprsente les donnes transmises, dans l'organisation dcrite par le protocole NTP
Frame 16 (86 on wire, 86 captured)
...
Protocol: UDP (0x11)
Header checksum: 0x40a6 (correct)
Source: Mix-Marseille-107-1-34.abo.wanadoo.fr (193.248.36.34)
Destination: ntp0.oleane.net (194.2.0.28)
User Datagram Protocol
Source port: ntp (123)
Destination port: ntp (123)
Length: 56
Checksum: 0x5b48
Network Time Protocol
Flags: DB
11.. .... = Leap Indicator: alarm condition (clock not
synchronized)
..01 1... = Version number: NTP Version 3
.... .011 = Mode: client
Peer Clock Stratum: unspecified or unavailable (0)
Peer Pooling Interval: 4 (16 sec)
Peer Clock Precision: 0,015625 sec
Root Delay: 1,0000 sec
Clock Dispersion: 1,0000 sec
Reference Clock ID: Unindentified reference source ''
Reference Clock Update Time: NULL
Originate Time Stamp: NULL
Receive Time Stamp: NULL
Transmit Time Stamp: 2001-06-13 12:36:30,1227 UTC

Frame 17 (76 on wire, 76 captured)
...
Protocol: UDP (0x11)
Header checksum: 0xa111 (correct)
Source: ntp0.oleane.net (194.2.0.28)
Destination: Mix-Marseille-107-1-34.abo.wanadoo.fr (193.248.36.34)
User Datagram Protocol
Source port: ntp (123)
Destination port: ntp (123)
Length: 56
Checksum: 0xa367
Network Time Protocol
Flags: 1C
00.. .... = Leap Indicator: no warning
..01 1... = Version number: NTP Version 3
.... .100 = Mode: server
Peer Clock Stratum: secondary reference (2)
Peer Pooling Interval: 4 (16 sec)
Peer Clock Precision: 0,000004 sec
Root Delay: 0,0130 sec
Clock Dispersion: 0,1491 sec
Reference Clock ID: 49.110.238.145
Reference Clock Update Time: 2001-06-13 12:33:43,8840 UTC
Originate Time Stamp: 2001-06-13 12:36:30,1227 UTC
Receive Time Stamp: 2001-06-13 12:35:18,4244 UTC
Transmit Time Stamp: 2001-06-13 12:35:18,4246 UTC

Frame 18 (86 on wire, 86 captured)
...
Protocol: UDP (0x11)
Header checksum: 0x40a5 (correct)
Source: Mix-Marseille-107-1-34.abo.wanadoo.fr (193.248.36.34)
Destination: ntp0.oleane.net (194.2.0.28)
User Datagram Protocol
Source port: ntp (123)
Destination port: ntp (123)
Length: 56
Checksum: 0x5a96
Network Time Protocol
Flags: DB
11.. .... = Leap Indicator: alarm condition (clock not
synchronized)
..01 1... = Version number: NTP Version 3
.... .011 = Mode: client
Peer Clock Stratum: unspecified or unavailable (0)
Peer Pooling Interval: 4 (16 sec)
Peer Clock Precision: 0,015625 sec
Root Delay: 1,0000 sec
Clock Dispersion: 1,0000 sec
Reference Clock ID: Unindentified reference source ''
Reference Clock Update Time: NULL
Originate Time Stamp: NULL
Receive Time Stamp: NULL
Transmit Time Stamp: 2001-06-13 12:36:30,1879 UTC

Frame 19 (76 on wire, 76 captured)
...
Protocol: UDP (0x11)
Header checksum: 0xa10d (correct)
Source: ntp0.oleane.net (194.2.0.28)
Destination: Mix-Marseille-107-1-34.abo.wanadoo.fr (193.248.36.34)
User Datagram Protocol
Source port: ntp (123)
Destination port: ntp (123)
Length: 56
Checksum: 0x66a1
Network Time Protocol
Flags: 1C
00.. .... = Leap Indicator: no warning
..01 1... = Version number: NTP Version 3
.... .100 = Mode: server
Peer Clock Stratum: secondary reference (2)
Peer Pooling Interval: 4 (16 sec)
Peer Clock Precision: 0,000004 sec
Root Delay: 0,0130 sec
Clock Dispersion: 0,1491 sec
Reference Clock ID: 49.110.238.145
Reference Clock Update Time: 2001-06-13 12:33:43,8840 UTC
Originate Time Stamp: 2001-06-13 12:36:30,1879 UTC
Receive Time Stamp: 2001-06-13 12:35:18,5105 UTC
Transmit Time Stamp: 2001-06-13 12:35:18,5106 UTC
Etc
Ce n'est pas ncessaire de voir la suite pour montrer ce qui est important ici. Contrairement
ce qui a t vu en mode connect avec TCP:
Toute la partie synchronisation entre l'hte et le client n'existe pas ici.
Le client pose tout de suite sa question, en fait, ce n'est pas vraiment une question,
le client se contente de dire:
alarm condition (clock not synchronized)
Suivi de quelques indicateurs nuls et de la date UTC dont il dispose.
Le serveur rpond simplement en envoyant son heure UTC et quelques autres
paramtres destins informer sur la prcision de la date qu'il donne.
Ce dialogue va s'arrter lorsque le client estimera qu'il dispose de toutes les
informations ncessaires pour synchroniser son horloge dans de bonnes conditions. (Je
vous laisse tudier le protocole NTP en dtail, si a vous intresse).
Notez que le dialogue s'arrte sans signalisation particulire, ce qui n'est pas le cas en
mode connect o le signal FIN doit tre envoy et confirm.
Notez galement que les informations transmettre sont entirement contenues dans
un seul datagramme. Dans un tel cas, le protocole UDP est tout fait acceptable et
plus lger que le mode connect.
Vous pouvez trouver d'autres exemples de dialogue UDP dans les paragraphes DNS et DHCP
sur ce site.
IP v6
Pourquoi IPv6 ?
IP v4 montre ses limites devant l'accroissement norme de la demande d'adresses sur l'internet
:
Le gaspillage d'adresses induit par la notion de classes a dj t en partie rsolu avec
CIDR, mais ne rpond pas l'accroissement prvisible de la demande ;
l'historique de la distribution des adresses a cr une parcellisation des blocs
d'adressages qui contraint les routeurs avaler des tables de routage interminables, ce
qui ralentit leurs performances et ncessite des ressources matrielles sans cesse
croissantes.
Alors qu'aujourd'hui, en France, environ 50% des foyers sont connects et disposent d'une
seule adresse IPv4, l'avenir laisse imaginer qu'un jour plus ou moins proche, chaque foyer
disposera de plusieurs dizaines d'objets potentiellement connectables l'internet et que les
technologies palliatives telles que NAT ne rpondront plus au besoin.
Les pays mergeants sont de plus en plus demandeurs, non seulement de ressources
nergtiques fossiles, mais aussi d'adresses IP. Pour l'nergie fossile, le problme est dlicat.
Il l'est aussi pour les adresses IP, mais un protocole est plus facile et surtout plus rapide
laborer que du ptrole, du gaz ou du charbon.
Une recherche de solution a t initie en 1990 et a dbouch en 1994 sur le choix d'IPv6. Ce
n'est donc pas proprement parler une nouveaut, bien que ce protocole soit encore en phase
d'exprimentation.
Comment IPv6 ?
Nous allons nous donner comme objectif de raliser un rseau local connect l'internet,
utilisant IPv6 tel que mis disposition par le fournisseur Free. D'autres solutions sont
possibles bien sr.
Ce rseau local est constitu de postes de travail quips de GNU/Linux (Ubuntu Hardy
Heron , Debian Etch ou Lenny ). Une passerelle (Debian Etch) assure le routage NAT
en IPv4 vers l'internet via une FreeBox dont les fonctions de routeur ne sont pas actives.
Nous aurions pu bien videmment choisir l'option de la simplicit, en utilisant tout bonnement
les fonctions de routeur IPv4 de la Freebox, mais o aurait t le plaisir ?
L'objectif est d'arriver ce que chaque station du LAN puisse disposer d'une adresse IPv6
publique et que donc, chaque station puisse accder et tre jointe directement par d'autres
nuds de l'internet.
Comme nous sommes encore loin de disposer d'un internet full IPv6 , il nous faudra
fonctionner en mode hybride, IPv4 avec NAT et IPv6.
Caractristiques gnrales
Il n'est pas ici question de faire un cours complet sur IPv6. Il existe un excellent ouvrage
intitul IPv6 Thorie et Pratique publi et mis en ligne par les ditions O'Reilly. Nous
nous contenterons du strict minimum pour pouvoir pratiquer.
La longueur
Une adresse v6 est crite sur 128 bits, comparer aux 32 bits d'IP v4. Pour donner un ordre de
grandeur la louche , alors que IP v4 fournir environ 4 milliards d'adresses (2 32, soit
environ 4 x 10
9
), IP v6 peut en fournir plus d'un quadrillion de fois autant (2 128 soit environ
3 x 10
38
), permettant ainsi de distribuer un peu plus d'un trilliard d'adresses par mtre carr
Bien sr ces chiffres ne veulent pas dire grand chose, si ce n'est que l'humanit devrait tre
l'abri d'une pnurie d'adresses pour quelques temps.
Nous verrons que comme chaque fois que l'homme a la sensation de disposer d'une
ressource profusion, il s'empresse de la gaspiller. Mais tout de mme l'opulence est telle
qu'elle dpasse les capacits de gaspillage humain.
Le format d'criture
Il n'est plus question ici d'utiliser une criture similaire celle qui est habituellement
employe pour IP v4.
L'criture est dsormais faite en hexadcimal ;
les mots sont constitus de 16 bits ;
ils sont spars par un : .
Exemple :
2a01:05d8:52f3:500d:021b:fcff:fe71:1486
Vous le voyez, c'est quand mme moins lisible que l'IP v4.
Simplifications
Pour simplifier l'criture, dans chaque mot, il est possible d'omettre les zros non
significatifs ( gauche). Ainsi, notre exemple prcdent peut s'crire :
2a01:5d8:52f3:500d:21b:fcff:fe71:1486
Bien sr, il peut se faire que l'on ait des adresses contenant des mots entiers gaux 0, comme
par exemple :
2a01:05d8:52f3:500d:0000:0000:0000:0001
Dans un tel cas, nous pouvons bien sr simplifier comme suit :
2a01:5d8:52f3:500d:0:0:0:1
ce qui n'est dj pas si mal, mais nous pouvons aller encore plus loin en remplaant une srie
de mots nuls par :: . Ceci nous donne :
2a01:5d8:52f3:500d::1
Pour des raisons assez videntes, ce dernier type de simplification ne peut tre utilis qu'une
seule fois dans l'adresse. Si nous crivions :
2a01::12::1
seriez-vous capables de dire combien il y a de mots nuls dans la premire simplification et
combien il en reste dans la seconde ?
Exercice inverse : nous avons l'adresse (trs simplifie)
2a01:5d8::1
Comme nous savons qu'il doit y avoir 8 mots au total et qu'il n'y en a que 3 de significatifs,
c'est qu'il y en a 5 qui sont nuls :
2a01:5d8:0:0:0:0:0:1
et donc finalement :
2a01:05d8:0000:0000:0000:0000:0000:0001
sans aucune simplification.
Prfixe et jeton
Comme pour IP v4, une adresse v6 donne deux informations :
un identifiant de rseau (prfixe) ;
un identifiant de nud dans le rseau (jeton).
Le prfixe est constitu d'un certain nombre de bits de masque, en partant du poids le plus
fort, exactement comme en notation CIDR avec IP v4. Ainsi, l'adresse note
2a01:5d8:52f3:500d:21b:fcff:fe71:1486/64 indique que les 64 premiers bits seront
communs tous les nuds qui sont dans le mme rseau IP. Autrement dit :
2a01:5d8:52f3:500d::/64 est l'adresse du rseau ;
21b:fcff:fe71:1486 (le jeton) est reprsentatif du nud dans ce rseau.
Notez que dans cet exemple, qui n'est pas du tout imaginaire, l'administrateur dispose de 64
bits pour identifier les machines de son rseau, ce qui fait quand mme pas mal de nuds
adressables.
Adressage(s) d'un nud
Avec IP v4, attribuer plusieurs adresses IP un mme nud n'est pas courant. C'est en
revanche tout fait banal avec IP v6. Cette dmarche pourra vous paraitre curieuse, mais c'est
parce que vous ne savez pas encore tout de ce merveilleux protocole
Porte des adresses
Nous disposerons d'adresses dont la porte est plus ou moins grande, en fonction des besoins.
Scope link
La porte lien local permet aux nuds connects au mme rseau physique de
communiquer entre eux. Ces adresses ne doivent pas passer les routeurs. La porte est
similaire celle des adresses MAC sur le rseau Ethernet.
Quelque soit le rseau sur lequel nous nous trouvons, chaque nud disposera d'une adresse de
porte locale dans le rseau FE80::/10 (premier gaspillage, calculez le nombre de nuds
possibles). Ainsi, l'adresse fe80::21b:11ff:fe52:bfab est une adresse de type lien
local .
Scope Global
La porte globale, en revanche, est une adresse qui permettra de communiquer avec tout nud
situ sur l'internet. C'est l'quivalent d'une adresse publique IP v4 Ces adresses doivent
tre routes partout dans le monde.
Et pour les grands rseaux d'entreprise ?
La notion d'adresse prive telle qu'utilise en IP v4 a disparu des RFC IP v6. Ces adresses
ne sont par dfinition pas routables sur l'internet, mais permettent de structurer de gros
rseaux d'entreprise, sans ncessiter de connectivit l'internet. Le RFC 4193 (Unique Local
IPv6 Unicast Addresses). Si vous tes dans ce cas
Particularits
Auto-configuration
Il y a de nombreuses nouveauts dans IPv6, dont une qui n'est certes pas conome elle non
plus, mais qui permet une configuration assez simple des nuds du rseau.
Avec IPv4, nous ne connaissons que deux moyens vraiment exploitables pour disposer d'une
configuration IP valide :
la configuration entirement manuelle ;
la configuration automatique via DHCP.
Certes, il existe un ersatz d'auto-configuration, mais qui n'est utilisable que sur un petit rseau,
sans passerelle vers l'extrieur.
IPv6 propose un moyen d'auto-configuration efficace, mais gourmand, encore appel
configuration sans tat . Le jeton va tre cr automatiquement, le plus souvent partir
de l'adresse MAC de l'interface configurer. Cette mthode ncessite d'absorber 64 bits sur
les 128 disponibles (encore un gaspillage).
L'IEEE a dfini un identificateur global 64 bits (format EUI-64). Les adaptateurs Ethernet
disposent d'une adresse MAC code sur 48 bits. L'IETF a fourni un algorithme de conversion
qui permet de passer d'un identifiant MAC un identifiant EUI-64

Exemple
Nous disposons de l'adresse MAC :
00:1B:11:52:BF:AB
l'identifiant constructeur est : 1B:11
le numro de srie est : 52:BF:AB
Ceci nous donnera en octets :
02:1b:11:ff:fe:52:bf:ab
Et en mots de 16 bits comme il sied une adresse IP v6 BCBG :
21b:11ff:fe52:bfab
Nous pouvons donc tout de suite construire une adresse de type lien local en ajoutant le
prfixe idoine :
fe80::21b:11ff:fe52:bfab
Vrification
~$ ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:1B:11:52:BF:AB
inet adr:192.168.10.47 Bcast:192.168.10.255
Masque:255.255.255.0
adr inet6: fe80::21b:11ff:fe52:bfab/64 Scope:Lien
...
Le prfixe utilis ici est spcifique au lien local. Si nous disposons d'un prfixe distribu par
notre fournisseur d'accs, nous pourrons aussi construire une adresse de type globale :
~$ ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:1B:11:52:BF:AB
inet adr:192.168.10.47 Bcast:192.168.10.255
Masque:255.255.255.0
adr inet6: 2a01:5d8:52f3:500d:21b:11ff:fe52:bfab/64 Scope:Global
adr inet6: fe80::21b:11ff:fe52:bfab/64 Scope:Lien
Notez que :
le prfixe distribu par notre fournisseur d'accs est ici : 2a01:5d8:52f3:500d::/64 ;
le jeton est rigoureusement le mme sur les deux adresses IPv6.
Confidentialit
Cette mthode peut prsenter une atteinte la vie prive. En effet, l'adresse MAC est en
quelque sorte une signature. Il devient donc possible de tracer une machine sur un rseau
(ordinateur portable en particulier). Le RFC3041 propose une mthode alternative partir
d'un tirage alatoire.
Configuration dtermine
Il reste possible cependant de faire appel des mthodes plus connues en IPv4 :
une configuration manuelle, fort peu intressante en IPv6, sauf dans certains cas trs
particuliers ;
une configuration de type DHCP qui, l'heure o je rdige ces lignes, n'a pas encore
fait la preuve de sa relle utilit. Il n'existe ce jour que peu d'implmentations
compltes de DHCPv6, comme dcrit dans le RFC3315.
Ce type de configuration est appel configuration avec tat .
Dure de vie d'une adresse
IPv6 est conu pour un adressage dynamique des nuds. L'exprience montre avec IP v4 que
l'adressage statique s'avre trop contraignent dans bien des cas. IP v6 prvoit donc qu'un nud
puisse changer d'adresse IP, mme s'il reste connect 24/7 l'internet. Ceci est rendu possible
par :
la possibilit d'attribuer plusieurs adresses IP la mme interface ;
la dfinition d'un mode d'obsolescence progressif d'une adresse.
Pour anticiper un peu sur la suite, voici un exemple :
~# ip -6 addr ls dev eth0
1: eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500
inet6 2a01:e35:2e52:9840:220:18ff:fe2d:d291/64 scope global dynamic
valid_lft 86331sec preferred_lft 86331sec
inet6 2a01:5d8:52e5:2984:220:18ff:fe2d:d291/64 scope global deprecated
dynamic
valid_lft 86331sec preferred_lft -69sec
...
Comme nous le voyons ici, eth0 dispose de deux adresses de scope global. Elles disposent
toutes deux de deux paramtres :
valid_lft (dure de vie de validit) ;
preferred_lft (dure de vie de prfrence).
L'adresse 2a01:5d8:52e5:2984:220:18ff:fe2d:d291 est affuble d'un valid_lft positif, mais
d'un preferred_lft ngatif, ce qui confre cette adresse des proprits spciales :
elle est toujours valide (valid_lft positif) ;
elle est deprecated (preferred_lft ngatif).
Autrement dit, cet hte, lorsqu'il va initier une nouvelle connexion IP n'utilisera pas cette
adresse, mais l'autre : 2a01:e35:2e52:9840:220:18ff:fe2d:d291. En revanche, l'adresse
dprcie pourra continuer a tre utilise sur les connexions dj en cours.
Nous comprendrons mieux comment ces choses se passent lorsque nous tudierons la faon
d'obtenir une adresse globale sans tat.
ICMP et ARP
Nous sommes en IPv6, mais en dessous, il y a toujours Ethernet (du moins sur notre LAN).
ARP permet, avec IPv4, d'obtenir l'adresse MAC laquelle il faut envoyer l'information,
suivant l'adresse IP du destinataire.
Ce mcanisme doit bien sr exister aussi en IPv6, mais il est pris en charge par ICMP et ARP
n'existe plus. Nous verrons comment un peu plus loin.
Le lien local
Nous allons sans tarder effectuer une premire manipulation. Pour l'instant, nous ne disposons
que de deux htes, connects entre eux par un simple HUB, sans aucune passerelle vers
l'internet. L'un des deux htes est dj dmarr et configur en IP v6. Il dispose d'un sniffeur
(l'incontournable Wireshark).
L'objectif est de contrler ce qu'il se passe lorsque le second hte est mis en service. Cet hte
dispose d'une interface dont l'adresse MAC est :
00:0d:88:37:73:e9
Voyons d'abord l'ensemble des trames captures :
No. Time Source Destination Protocol
Info
1 0.000000 :: ff02::1:ff37:73e9 ICMPv6
Neighbor solicitation
2 0.999924 fe80::20d:88ff:fe37:73e9 ff02::2 ICMPv6
Router solicitation
3 4.999740 fe80::20d:88ff:fe37:73e9 ff02::2 ICMPv6
Router solicitation
4 8.999580 fe80::20d:88ff:fe37:73e9 ff02::2 ICMPv6
Router solicitation
Il y a plusieurs choses dire ici.
Neighbor solicitation
L'hte qui dmarre cherche auto-configurer son lien local, en utilisant le principe vu plus
haut. Il va donc pralablement s'assurer que l'adresse IP qu'il compte exploiter n'est pas dj
utilise.
Pour ce faire, il exploite une nouvelle fonctionnalit d'ICMP qui est appele Neighbor
discovery (Dcouverte du voisinage).
L'adresse source est ici non spcifie (::, rapprocher en IP v4 de l'adresse 0.0.0.0) ;
l'adresse de destination est intressante : ff02::1:ff37:73e9. Il s'agit d'une adresse de
diffusion (multicast) dont nous tudierons le dtail plus loin.
Il n'y a pas de rponse ce message, ce qui veut dire que l'adresse convoite n'est pas en
usage sur le lien local. Notre hte adopte donc l'adresse :
fe80::20d:88ff:fe37:73e9
construite comme nous l'avons vu plus haut.
Viennent ensuite trois messages de type Router solicitation (dcouverte de routeurs) qui
restent sans rponse, ce qui est rassurant, puisqu'il n'y en a pas sur notre rseau embryonnaire.
Voyons plus en dtail la premire trame :
Frame 1 (78 bytes on wire, 78 bytes captured)
...
Ethernet II, Src: D-Link_37:73:e9 (00:0d:88:37:73:e9), Dst: IPv6-Neighbor-
Discovery_ff:37:73:e9 (33:33:ff:37:73:e9)
Destination: IPv6-Neighbor-Discovery_ff:37:73:e9 (33:33:ff:37:73:e9)
Address: IPv6-Neighbor-Discovery_ff:37:73:e9 (33:33:ff:37:73:e9)
.... ...1 .... .... .... .... = IG bit: Group address
(multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered
address (this is NOT the factory default)
Source: D-Link_37:73:e9 (00:0d:88:37:73:e9)
Address: D-Link_37:73:e9 (00:0d:88:37:73:e9)
.... ...0 .... .... .... .... = IG bit: Individual address
(unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address
(factory default)
Type: IPv6 (0x86dd)
Internet Protocol Version 6
0110 .... = Version: 6
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 24
Next header: ICMPv6 (0x3a)
Hop limit: 255
Source: :: (::)
Destination: ff02::1:ff37:73e9 (ff02::1:ff37:73e9)
Internet Control Message Protocol v6
Type: 135 (Neighbor solicitation)
Code: 0
Checksum: 0x0ad9 [correct]
Target: fe80::20d:88ff:fe37:73e9 (fe80::20d:88ff:fe37:73e9)
La source (l'hte qui cherche s'auto-configurer avec l'IPv6 fe80::20d:88ff:fe37:73e9)
dispose de l'adresse MAC 00:0d:88:37:73:e9 et envoie un message ICMP de type: 135
(Neighbor solicitation) sur une adresse de broadcast IPv6 ff02::1:ff37:73e9, ce qui
correspond une adresse MAC multicast de la forme 33:33:ff:37:73:e9.
Si d'aventure, un autre hte disposait d'une adresse MAC dont les 3 derniers octets seraient
37:73:e9, ce dernier rpondrait la sollicitation en envoyant son adresse IPv6 ainsi que son
adresse MAC complte. Dans le cas o l'adresse IPv6 serait identique celle convoite par
notre poste qui dmarre, il y aurait alors conflit et l'auto-configuration ne pourrait se faire.
Neighbor advertisement
Vous aimeriez ben savoir ce qu'il se passerait si, par un hasard extraordinaire, l'adresse
construite partir de l'adresse MAC tait dj en service sur le lien ? Rien de plus simple !
Faisons la manip. Nous allons exploiter la possibilit du multi-adressage d'un nud pour
attribuer la machine espion l'adresse convoite par le nouvel arrivant.
Sur la machine munie du Wireshark (la commande ip -6 fonctionne avec IP v6
exactement comme la commande ip le fait avec IP v4) :
# ip -6 addr add fe80::20d:88ff:fe37:73e9/64 dev eth0
Vrification :
# ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:10:B5:40:B7:04
adr inet6: fe80::210:b5ff:fe40:b704/64 Scope:Lien
adr inet6: fe80::20d:88ff:fe37:73e9/64 Scope:Lien
...
Voyons maintenant le dmarrage de notre cobaye :
No. Time Source Destination Protocol
Info
1 0.000000 :: ff02::1:ff37:73e9 ICMPv6
Neighbor solicitation
2 0.000077 fe80::20d:88ff:fe37:73e9 ff02::1 ICMPv6
Neighbor advertisement
Si la premire trame est identique au cas prcdent, nous observons ici une rponse
Neighbor advertisement de fe80::20d:88ff:fe37:73e9 (l'adresse que nous avons
manuellement ajoute notre espion). Le processus s'arrte l, il n'y a pas de dcouverte de
routeurs et pour cause, notre cobaye n'a pu auto-configurer son interface.
Voyons le dtail de la trame 2 :
Frame 2 (86 bytes on wire, 86 bytes captured)
...
Ethernet II, Src: AcctonTe_40:b7:04 (00:10:b5:40:b7:04), Dst: IPv6-
Neighbor-Discovery_00:00:00:01 (33:33:00:00:00:01)
Destination: IPv6-Neighbor-Discovery_00:00:00:01 (33:33:00:00:00:01)
Address: IPv6-Neighbor-Discovery_00:00:00:01 (33:33:00:00:00:01)
.... ...1 .... .... .... .... = IG bit: Group address
(multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered
address (this is NOT the factory default)
Source: AcctonTe_40:b7:04 (00:10:b5:40:b7:04)
Address: AcctonTe_40:b7:04 (00:10:b5:40:b7:04)
.... ...0 .... .... .... .... = IG bit: Individual address
(unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address
(factory default)
Type: IPv6 (0x86dd)
Internet Protocol Version 6
0110 .... = Version: 6
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 32
Next header: ICMPv6 (0x3a)
Hop limit: 255
Source: fe80::20d:88ff:fe37:73e9 (fe80::20d:88ff:fe37:73e9)
Destination: ff02::1 (ff02::1)
Internet Control Message Protocol v6
Type: 136 (Neighbor advertisement)
Code: 0
Checksum: 0x72ec [correct]
Flags: 0xa0000000
1... .... .... .... .... .... .... .... = Router
.0.. .... .... .... .... .... .... .... = Not adverted
..1. .... .... .... .... .... .... .... = Override
Target: fe80::20d:88ff:fe37:73e9 (fe80::20d:88ff:fe37:73e9)
ICMPv6 Option (Target link-layer address)
Type: Target link-layer address (2)
Length: 8
Link-layer address: 00:10:b5:40:b7:04
Notre espion signale par un message ICMP de type 136 que l'adresse IPv6
fe80::20d:88ff:fe37:73e9 est attache l'interface dont l'adresse MAC est
00:10:b5:40:b7:04. Ce message est envoy tous les htes du rseau (ff02::1, ce qui
correspond l'adresse MAC multicast 33:33:00:00:00:01). Notre postulant l'adresse IPv6
fe80::20d:88ff:fe37:73e9 en est donc inform.
Voyons l'tat de la configuration IP v6 du cobaye :
2: eth0: mtu 1500 qlen 1000
inet6 fe80::20d:88ff:fe37:73e9/64 scope link tentative
valid_lft forever preferred_lft forever
Le scope link que nous observions tout l'heure s'est transform en scope link tentative
. Autrement dit, cette adresse ne sera pas exploitable, l'hte n'est pas configur.
Moralit : En cas de duplication d'adresse, le processus d'auto-configuration montre ses
limites. Dans un tel cas, nous devrons rsoudre manuellement le conflit.
Notez aussi au passage que tout ceci ressemble furieusement ce que fait ARP en IPv4. Mais
ici, c'est de l'ICMP.
Avec deux interfaces
A priori, il n'y a pas de problmes, dans la mesure o la construction de l'adresse se fait
partir de l'adresse MAC. Nous devrions trouver deux adresses IPv6 diffrentes :
eth0 Link encap:Ethernet HWaddr 00:10:b5:40:b7:04
adr inet6: fe80::210:b5ff:fe40:b704/64 Scope:Lien
...

eth1 Link encap:Ethernet HWaddr 00:0c:6e:63:e6:ed
inet adr:192.168.10.30 Bcast:192.168.10.255
Masque:255.255.255.0
adr inet6: fe80::20c:6eff:fe63:e6ed/64 Scope:Lien
...
C'est bien, c'est comme on avait prvu
Et les routes ?
Il y a plusieurs faons d'afficher les routes IPv6, dont la classique commande route , avec
quelques amnagements :
~# route -A inet6
Table de routage IPv6 du noyau
Destination Next Hop Flag Met Ref Use
If
::1/128 :: Un 0 1 4
lo
fe80::/128 :: Un 0 2 0
lo
fe80::/128 :: Un 0 2 0
lo
fe80::20c:6eff:fe63:e6ed/128 :: Un 0 1 0
lo
fe80::210:b5ff:fe40:b704/128 :: Un 0 1 0
lo
fe80::/64 :: U 256 0 0
eth1
fe80::/64 :: U 256 0 0
eth0
ff00::/8 :: U 256 0 0
eth1
ff00::/8 :: U 256 0 0
eth0
::/0 :: !n -1 1 1
lo
Pour l'instant contentons-nous de noter ceci : la route pour fe080::/64 peut passer aussi bien
par eth0 que par eth1
Un petit ping...
Nous avons sur un mme lien local deux nuds auto-configurs en IPv6 :
l'un dispose de l'adresse fe80::20c:6eff:fe63:e6ed ;
l'autre de l'adresse fe80::21b:11ff:fe52:bfab (sur eth0).
Depuis ce dernier nud, nous tentons un ping (ipv6) sur fe80::20c:6eff:fe63:e6ed :
~$ ping6 -c4 fe80::20c:6eff:fe63:e6ed
connect: Invalid argument
Pourquoi tant de haine ?
Vous pensez bien que que la remarque pralable sur les routes n'a pas t faite par hasard.
Avec les adresses de type lien local, il faut prciser sur quelle interface nous dsirons
travailler. La commande ping6 propose diverses syntaxes. La plus courte est sans doute :
ping 6 <adresse de la cible>%ethx
Voyons ceci :
:~$ ping6 -c4 fe80::20c:6eff:fe63:e6ed%eth0
PING fe80::20c:6eff:fe63:e6ed%eth0(fe80::20c:6eff:fe63:e6ed) 56 data bytes
64 bytes from fe80::20c:6eff:fe63:e6ed: icmp_seq=1 ttl=64 time=3.54 ms
64 bytes from fe80::20c:6eff:fe63:e6ed: icmp_seq=2 ttl=64 time=0.121 ms
64 bytes from fe80::20c:6eff:fe63:e6ed: icmp_seq=3 ttl=64 time=0.123 ms
64 bytes from fe80::20c:6eff:fe63:e6ed: icmp_seq=4 ttl=64 time=0.120 ms

--- fe80::20c:6eff:fe63:e6ed%eth0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.120/0.976/3.543/1.482 ms
Nettement plus efficace. Nous verrons plus loin que cette limitation n'intervient pas avec des
adresses de type global.
Hello World
Fort de ces quelques observations, nous allons maintenant connecter une station directement
sur notre Freebox, configure pour fonctionner en IPv6.
Configuration
Cette machine, une Debian lenny (testing, l'heure o ces lignes sont crites), dispose
d'une interface eth0 configure en IPv4 DHCP. Nous aurons donc aussi une connectivit
IPv4, ce qui pour l'instant est ncessaire, si nous voulons accder la plupart des ressources
de l'internet. En effet, peu de sites proposent actuellement une connectivit IPv6.
Nous dmarrons cette machine et :

~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:1b:11:52:bf:ab
inet adr:82.243.80.13 Bcast:82.243.80.255 Masque:255.255.255.0
adr inet6: 2a01:5d8:52f3:500d:21b:11ff:fe52:bfab/64 Scope:Global
adr inet6: fe80::21b:11ff:fe52:bfab/64 Scope:Lien
...
Nous observons deux adresses IPv6 :
fe80::21b:11ff:fe52:bfab/64 qui correspond au lien local, comme nous l'avons vu
;
2a01:5d8:52f3:500d:21b:11ff:fe52:bfab/64 qui est une adresse globale, fournie
par notre oprateur.
Anatomie de l'adresse globale
Dj, nous pouvons observer que le jeton (partie reprsentative du nud) est le mme pour les
adresses globale et lien local. C'est normal, elles sont toutes les deux auto-configures de la
mme manire.
Adresse de Free auto-configure ?
Oui, vous ne rvez pas, en IPv6 Free vous octroie 2
64
adresses publiques. Votre rseau local
sera donc entirement intgr l'internet (avec tous les risques que cela comprend). Plus
besoin de NAT, donc. Lorsque notre tlvision, notre rfrigrateur, notre lave linge, notre lave
vaisselle, notre four chaleur tournante, notre conglateur etc. seront connects l'internet, ce
qui nous permettra, via notre tlphone/pda/baladeur-mp3 de recevoir toutes les alertes
lectro-mnagres o que nous soyons dans le vaste monde, nous n'aurons pas de problmes
de pnurie d'adresses IP.
En fait, en IPv6, votre fournisseur ne vous procurera non plus une adresse IP, mais un bloc
d'adresses IP. Actuellement au moins un /64, pour permettre l'auto-configuration. Autrement
dit, votre fournisseur vous alloue un prfixe.
En IPv4, en revanche, vous ne disposerez toujours que d'une seule adresse IP publique, bien
sr.
Le prfixe Free
Dans l'exemple, ce prfixe est :
2a01:5d8:52f3:500d::/64
Il est construit de la manire suivante :
2a01:5d8::/32 qui est un prfixe fourni Free pour l'ensemble de ses besoins ;
les 32 bits suivants ne sont rien d'autre que votre adresse IPv4. Ici 52f3:500d peut
s'crire en hexadcimal 0x52.0xf3.0x50.0x0d, ce qui donne 82.243.80.13 en
dcimal, conformment ce qui a t observ plus haut avec la commande ifconfig.
Au final le prfixe que Free vous alloue est entirement votre usage, exception faite d'une
adresse particulire qui, comme nous le verrons plus bas, est celle de la passerelle par dfaut.
Il en faut aussi une en IPv6, bien entendu. Cette adresse est conventionnellement : <votre
prfixe>::1. Ainsi, dans l'exemple, ce sera 2a01:5d8:52f3:500d::1.
~$ ping6 -c 4 2a01:5d8:52f3:500d::1
PING 2a01:5d8:52f3:500d::1(2a01:5d8:52f3:500d::1) 56 data bytes
64 bytes from 2a01:5d8:52f3:500d::1: icmp_seq=1 ttl=64 time=6.38 ms
64 bytes from 2a01:5d8:52f3:500d::1: icmp_seq=2 ttl=64 time=0.666 ms
64 bytes from 2a01:5d8:52f3:500d::1: icmp_seq=3 ttl=64 time=0.657 ms
64 bytes from 2a01:5d8:52f3:500d::1: icmp_seq=4 ttl=64 time=0.662 ms

--- 2a01:5d8:52f3:500d::1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.657/2.092/6.386/2.479 ms
Ah tiens, nous n'avons pas eu besoin ici de spcifier le nom de l'interface dans la commande
ping ?
Non, car la table des routes dit :
~$ route -A inet6

Table de routage IPv6 du noyau
Destination Next Hop Flag
Met Ref Use If
::1/128 :: Un
0 1 25 lo
2a01:5d8:52f3:500d:21b:11ff:fe52:bfab/128 :: Un
0 1 3080 lo
2a01:5d8:52f3:500d::/64 :: UAe
256 0 17 eth0
fe80::21b:11ff:fe52:bfab/128 :: Un
0 1 10 lo
fe80::/64 :: U
256 0 0 eth0
ff00::/8 :: U
256 0 0 eth0
::/0 fe80::207:cbff:fe1f:f5a UGDAe
1024 0 1 eth0
::/0 :: !n
-1 1 1 lo
Il n'y a donc aucune ambigut sur le chemin prendre.
Notons, puisque nous y sommes, la route par dfaut :
::/0 fe80::207:cbff:fe1f:f5a UGDAe
1024 0 1 eth0
o l'adresse IP de la passerelle est une adresse de type lien local.
Et ARP dans tout a ?
Nous l'avons dj dit, ARP n'existe plus, mais la pile IPv6 doit tout de mme conserver une
table d'quivalence entre adresses IPv6 et adresses MAC.
La commande arp en version 6 n'existe pas, mais la commande ip permet d'afficher le
voisinage, aussi bien en IPv4 qu'en IPv6.
~# ping6 -c 1 fe80::207:cbff:fe1f:f5a%eth0
PING fe80::207:cbff:fe1f:f5a%eth0(fe80::207:cbff:fe1f:f5a) 56 data bytes
64 bytes from fe80::207:cbff:fe1f:f5a: icmp_seq=1 ttl=64 time=1.55 ms

--- fe80::207:cbff:fe1f:f5a%eth0 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.557/1.557/1.557/0.000 ms

~# ip -6 neigh show dev eth0
fe80::207:cbff:fe1f:f5a lladdr 00:07:cb:1f:0f:5a router REACHABLE
Notre passerelle par dfaut dispose d'une adresse lien local auto-configure, son adresse MAC
est 00:07:cb:1f:0f:5a. Profitons de l'occasion pour vrifier que l'adresse globale
2a01:5d8:52f3:500d::1 correspond bien notre passerelle par dfaut.
Un ping sur cette adresse :
~# ping6 -c 1 2a01:5d8:52f3:500d::1
PING 2a01:5d8:52f3:500d::1(2a01:5d8:52f3:500d::1) 56 data bytes
64 bytes from 2a01:5d8:52f3:500d::1: icmp_seq=1 ttl=64 time=5.39 ms
...
Un ping sur l'adresse lien local de la passerelle :
~$ ping6 -c 1 fe80::207:cbff:fe1f:f5a%eth0
PING fe80::207:cbff:fe1f:f5a%eth0(fe80::207:cbff:fe1f:f5a) 56 data bytes
64 bytes from fe80::207:cbff:fe1f:f5a: icmp_seq=1 ttl=64 time=0.646 ms
...
Enfin, nous affichons le voisinage :
~$ ip -6 neigh show dev eth0
fe80::207:cbff:fe1f:f5a lladdr 00:07:cb:1f:0f:5a router REACHABLE
2a01:5d8:52f3:500d::1 lladdr 00:07:cb:1f:0f:5a router REACHABLE
La mme adresse MAC 00:07:cb:1f:0f:5a correspond bien aux deux adresses IPv6. A titre
purement informatif, faisons quelque chose d'quivalent en IPv4 :
~# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
82.243.80.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
0.0.0.0 82.243.80.254 0.0.0.0 UG 0 0 0
eth0

~# ping -c 1 82.243.80.254
PING 82.243.80.254 (82.243.80.254) 56(84) bytes of data.
64 bytes from 82.243.80.254: icmp_seq=1 ttl=64 time=36.8 ms
...

~# arp -an
? (82.243.80.254) at 00:07:CB:1F:0F:5A [ether] on eth0
Nous remarquons que, en IPv4 comme en IPv6, l'adresse MAC de la passerelle par dfaut est
toujours la mme
DNS, DHCP ???
Nous sommes dj assez rompus aux protocoles de l'internet. Mme si nous ne les
manipulons qu'au travers d'IPv4, nous ne somme plus des newbies , nous savons que la
configuration IP n'est pas miraculeuse, que nous avons besoin, en plus d'une adresse IP, de
quelques renseignements supplmentaires pour pouvoir exploiter les ressources de l'internet :
une adresse de passerelle par dfaut ;
au moins une adresse de DNS pour rsoudre les noms en adresses IP.
Avec IPv4, ces informations nous sont communiques par le fournisseur d'accs de faon
automatique. Par DHCP si le processus de connexion est assimil une connexion sur un
rseau local (cas de Free), ou par PPP(oE) lors de l'identification RADIUS. mais qu'en est-il
en IPv6 ?
DHCP
Il existe bien un RFC dcrivant un protocole DHCPv6, mais il reste pour l'heure (o ces
lignes sont crites) exprimental. Nous avons vu que le mcanisme d'auto-configuration tait
privilgi pour l'obtention de son adresse IP. Ici, donc, foin de DHCP. Mais alors, comment
notre machine a-t-elle fait pour dcouvrir l'adresse de la passerelle par dfaut ? car nous avons
vu sur la page prcdente que cette adresse tait bien connue.
Auto-configuration, soit. Mais comment notre systme fait-il pour connatre le prfixe que
nous attribue notre fournisseur d'accs ?
DNS
Disposons-nous d'une adresse de DNS IPv6 ? Et d'abord, comment fonctionne DNS en IPv6 ?
Rsolution des noms
Il y a dj longtemps que les DNS (Bind en particulier) savent diffuser leurs clients aussi
bien des adresses IPv4 que des adresses IPv6, pour un nom d'hte donn. Exemple :
~# host www.kame.net
www.kame.net has address 203.178.141.194
www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085
Pour ne pas trop vous donner le vertige, n'entrons pas de suite dans les dtails de la manip.
Disons simplement pour l'instant qu'il est possible de :
demander un DNS l'adresse IPv6 d'un hte en l'interrogeant sur son IPv4 ;
demander un DNS l'adresse IPv4 d'un hte en l'interrogeant sur son adresse IPv6 (si
le DNS dispose d'une adresse IPv6 bien sr).
En ralit, un DNS dispose :
du champ A pour enregistrer l'IPv4 correspondant un nom d'hte ;
du champ AAAA pour enregistrer l'IPv6 correspondant un nom d'hte.
Si le DNS en question dispose d'une adresse IPv4 et d'une adresse IPv6, les clients pourront
l'interroger en IPv4 comme en IPv6 pour obtenir le champ A comme le champ AAAA pour
un hte donn.
Autrement dit, un DNS est capable de fournir des adresses IPv4 comme IPv6 pourvu qu'il les
connaisse et ce, qu'il soit interrog aussi bien par une requte IPv4 qu'une requte IPv6.
Les DNS de Free
Comment connatre les adresses IP (v4 comme v6) des DNS que Free met la disposition de
ses clients ?
Les adresses IPv4 sont assez simples retrouver, puisqu'elles figurent dans les informations
fournies par DHCP, que nous trouvons sur notre Debian dans
/var/lib/dhcp/dhclient.eth0.leases :
lease {
interface "eth0";
...
option domain-name-servers 212.27.54.252,212.27.53.252;
...
}
Nous avons donc deux DNS identifis par leur IPv4:
212.27.54.252 ;
212.27.53.252.
Les adresses IPv6 sont elles aussi assez simples trouver si l'on sait comment faire, mais pour
l'instant, nous ne savons pas encore. Il vous faudra donc vous contenter de me croire sur
parole :
2a01:5d8:e0ff::2 ;
2a01:5d8:e0ff::1.
Nous allons interroger ces DNS en mode IPv4 et en mode IPv6 propos de www.kame.net et
comparer les rsultats :
~$ host -4 www.kame.net 212.27.54.252
Using domain server:
Name: 212.27.54.252
Address: 212.27.54.252#53
Aliases:

www.kame.net has address 203.178.141.194
www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085


~$ host -6 www.kame.net 2a01:5d8:e0ff::2
Using domain server:
Name: 2a01:5d8:e0ff::2
Address: 2a01:5d8:e0ff::2#53
Aliases:

www.kame.net has address 203.178.141.194
www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085
Quel que soit le serveur interrog, en mode IPv4 comme en mode IPv6, nous obtenons bien
les adresses IPv4 et IPv6 de la cible.
Bon. Mais comment notre systme fait-il pour connatre la ou les adresses de DNS que notre
fournisseur nous procure ?
A la dcouverte du monde IPv6
Il existe une trousse outils nomme ndisc6 (IPv6 diagnostic tools for Linux and BSD),
facile installer sur Debian, Ubuntu et drives par un aptitude install ndisc6. Bien
entendu, les autres distributions rcentes proposent galement cette trousse, qui contient
quatre outils de base.
Dans un premier temps, nous nous contenterons d'utiliser ces outils, sans trop savoir comment
ils fonctionnent, juste pour voir les informations que l'on peut en tirer.
ndisc6
Permet de lancer une dcouverte des voisins . Comparable la commande arping du
monde IPv4. Utilisons cet outil pour scruter notre passerelle par dfaut. Commenons par son
adresse de type lien local, telle que nous l'avons dcouverte avec la commande route -A
inet6 :
:~$ ndisc6 fe80::207:cbff:fe1f:f5a eth0
Solicitation de fe80::207:cbff:fe1f:f5a (fe80::207:cbff:fe1f:f5a) sur
eth0...
Adresse cible de lien : 00:07:CB:1F:0F:5A
de fe80::207:cbff:fe1f:f5a
~$ ndisc6 2a01:5d8:52f3:500d::1 eth0
Solicitation de 2a01:5d8:52f3:500d::1 (2a01:5d8:52f3:500d::1) sur eth0...
Adresse cible de lien : 00:07:CB:1F:0F:5A
de 2a01:5d8:52f3:500d::1
Ne nous ternisons pas sur cet outil qui pour l'instant ne nous apprend rien de bien nouveau.
En gros, un ping6 suivi d'un ip -6 neigh show nous en apprend tout autant.
rdisc6
Cet outil est magique. Voyons tout de suite ce qu'il est capable de nous apprendre :
~$ rdisc6 eth0
Solicitation de ff02::2 (ff02::2) sur eth0...

Limite de saut (TTL) : 64 ( 0x40)
Conf. d'adresse par DHCP : Non
Autres rglages par DHCP : Non
Prfrence du routeur : moyen
Dure de vie du routeur : 1800 (0x00000708) secondes
Temps d'atteinte : non indiqu (0x00000000)
Temps de retransmission : non indiqu (0x00000000)
Prfixe : 2a01:5d8:52f3:500d::/64
Dure de validit : 86400 (0x00015180) secondes
Dure de prfrence : 86400 (0x00015180) secondes
Recursive DNS server : 2a01:5d8:e0ff::2
Recursive DNS server : 2a01:5d8:e0ff::1
DNS servers lifetime : 600 (0x00000258) secondes
MTU : 1480 octets (valide)
Adresse source de lien : 00:07:CB:1F:0F:5A
de fe80::207:cbff:fe1f:f5a
L, nous sommes servis. Nous apprenons que :
il n'y a pas de DHCP dans le coup ;
le prfixe qui nous est attribu est bien 2a01:5d8:52f3:500d::/64 ;
les dures de validit et de prfrence sont identiques et de 86400 secondes (24
heures) ;
les DNS proposs sont 2a01:5d8:e0ff::2 et 2a01:5d8:e0ff::1 ;
le routeur (passerelle par dfaut) est fe80::207:cbff:fe1f:f5a.
Nous sentons bien ici qu'il faudra approfondir cette question. Nous avons rcupr toutes les
informations ncessaires, comme nous l'aurions fait en IPv4 par DHCP, mais ici, ce n'est pas
DHCP. Alors, qu'est-ce que c'est ?
De plus, que reprsente cette adresse ff02::2 qui semble tre la source de toutes ces
informations ?
tcptraceroute6
Comme son nom l'indique, cette commande est quivalente au tcptraceroute du monde
IPv4 :
:~$ tcptraceroute6 www.kame.net
traceroute vers orange.kame.net (2001:200:0:8002:203:47ff:fea5:3085) de
2a01:5d8:52f3:500d:21b:11ff:fe52:bfab, port 80, du port 56328, 30 sauts
max, 60 octet/paquet
1 2a01:5d8:52f3:500d::1 (2a01:5d8:52f3:500d::1) 0.586 ms 0.493 ms
0.514 ms
2 2a01:5d8:e000:9d1::4 (2a01:5d8:e000:9d1::4) 48.728 ms 48.941 ms
48.161 ms
3 2a01:5d8:e000:9d1::fe (2a01:5d8:e000:9d1::fe) 50.412 ms 49.901 ms *
...
22 lo0.alaxala1.k2.wide.ad.jp (2001:200:0:4800::7800:1) 342.425 ms
342.790 ms 339.848 ms
23 orange.kame.net (2001:200:0:8002:203:47ff:fea5:3085) 343.017 ms
[ouvert] 342.494 ms 338.770 ms
Comme vous le constatez, il n'y a rien de fondamentalement nouveau, si ce n'est que nous
voluons dans un monde IPv6.
le hop 1 nous confirme une fois encore l'adresse IP (globale) de notre passerelle
par dfaut ;
le hop 22 nous apprend que la cible www.kame.net se situe au japon et que son
port 80 est ouvert.
traceroute6
Nous n'allons pas nous intresser cette commande, qui est quivalente au traceroute du
monde IPv4 et qui ne nous apprendra rien de plus ici.
Les questions
Le lecteur attentif aura pu constater que cette page pose beaucoup de question, mais n'apporte
gure de rponses sur les mcanismes mis en uvre, signe vident qu'il y a encore de la
lecture en perspective
Si nous avons appris qu'il existe un mcanisme qui remplace DHCP, nous ne savons toujours
pas exactement lequel. Ami lecteur, ne rate surtout pas la page suivante, qui va enfin
commencer rpondre ces questions.
ICMPv6, multicast, ndp...
ICMPv6
Ce protocole, qui ressemble beaucoup l'ICMP du monde IPv4, a t enrichi de nouveaux
messages, c'est lui qui sert vhiculer les informations de configuration, dans le cas qui nous
intresse. En effet, nous n'allons maintenant plus tarder voir que ce sont des messages ICMP
qui contiennent les questions et les rponses que nous avons obtenues avec l'outil rdisc6,
exactement de la mme manire que lors du dmarrage de la pile IPv6 sur une interface
rseau.
Multicast
IPv6 cherche par tous les moyens viter la diffusion (broadcast), en prfrant adopter des
solutions multicast . Nous allons dcouvrir que certaines adresses multicast sont dfinies
pour rpondre des requtes bien prcises, et que les quipements du rseau qui sont senss
disposer des rponses ces requtes coutent sur ces adresses multicast.
Ainsi :
ff02::2 est une adresse multicast destine recevoir des requtes du type router
discovery (Sollicitation d'un routeur) . Tous les routeurs accessibles dans le voisinage
le seront par cette adresse multicast. C'est ce que fait notre commande rdisc6 sur la
page prcdente ;
ff02::1 est une autre adresse multicast, qui sert dans l'autre sens. Toutes les stations
d'un rseau doivent tre capables d'couter sur cette adresse ce que les routeurs ont
leur dire.
NDP
Neighbor Discovery Protocol (dcouverte des voisins) . Ce protocole permet aux nuds
d'un rsau de dcouvrir leur voisinage. Pour ce qui nous intresse principalement ici, c'est
grce lui qu'une station qui dmarre dcouvre les routeurs qui lui sont accessibles et que
ceux-ci lui communiquent les paramtres ncessaires sa configuration IPv6. Car vous l'avez
devin, ce sont les routeurs qui transmettent ces informations que nous avons mises en
vidence grce rdisc6.
NDP utilise des messages ICMPv6 et les adresses multicast ff02::1 et ff02::2.
Capture du protocole
Nous allons lancer notre wireshark favori l'coute d'ICMPv6 sur eth0 et refaire un rdisc6
eth0 pour voir
No. Time Source Destination Protocol
Info
1 0.000000 fe80::21b:11ff:fe52:bfab ff02::2 ICMPv6
Router solicitation
2 0.004925 fe80::207:cbff:fe1f:f5a ff02::1 ICMPv6
Router advertisement
1. Notre station (fe80::21b:11ff:fe52:bfab) envoie un Router solicitation
(sollicitation de routeurs) sur l'adresse multicast ff02::2 ;
1. Notre routeur (fe80::207:cbff:fe1f:f5a, la passerelle par dfaut) rpond un
Router advertisement (annonce de routeur) sur l'adresse multicast ff02::1.
Analyse de l'change
La question
Elle est assez simple, nous allons tronquer un peu le dtail, pour ne garder que ce qu'il y a de
plus intressant :
Frame 1 (62 bytes on wire, 62 bytes captured)
...
Ethernet II, Src: 00:1b:11:52:bf:ab (00:1b:11:52:bf:ab), Dst:
33:33:00:00:00:02 (33:33:00:00:00:02)
Destination: 33:33:00:00:00:02 (33:33:00:00:00:02)
Address: 33:33:00:00:00:02 (33:33:00:00:00:02)
.... ...1 .... .... .... .... = IG bit: Group address
(multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered
address (this is NOT the factory default)
Source: 00:1b:11:52:bf:ab (00:1b:11:52:bf:ab)
Address: 00:1b:11:52:bf:ab (00:1b:11:52:bf:ab)
.... ...0 .... .... .... .... = IG bit: Individual address
(unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address
(factory default)
Type: IPv6 (0x86dd)
Internet Protocol Version 6
...
Source: fe80::21b:11ff:fe52:bfab (fe80::21b:11ff:fe52:bfab)
Destination: ff02::2 (ff02::2)
Internet Control Message Protocol v6
Type: 133 (Router solicitation)
Code: 0
Checksum: 0xab1e [correct]
Notez, sur la couche Ethernet, les adresses multicast utilises.
Pour le reste, nous dcouvrons bien sur ICMPv6 un message de type 133 (Router solicitation).
La rponse
a va tre un peu plus copieux ici.
Frame 2 (158 bytes on wire, 158 bytes captured)
...
Ethernet II, Src: 00:07:cb:1f:0f:5a (00:07:cb:1f:0f:5a), Dst:
33:33:00:00:00:01 (33:33:00:00:00:01)
Destination: 33:33:00:00:00:01 (33:33:00:00:00:01)
Address: 33:33:00:00:00:01 (33:33:00:00:00:01)
.... ...1 .... .... .... .... = IG bit: Group address
(multicast/broadcast)
.... ..1. .... .... .... .... = LG bit: Locally administered
address (this is NOT the factory default)
Source: 00:07:cb:1f:0f:5a (00:07:cb:1f:0f:5a)
Address: 00:07:cb:1f:0f:5a (00:07:cb:1f:0f:5a)
.... ...0 .... .... .... .... = IG bit: Individual address
(unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address
(factory default)
Type: IPv6 (0x86dd)
Internet Protocol Version 6
...
Source: fe80::207:cbff:fe1f:f5a (fe80::207:cbff:fe1f:f5a)
Destination: ff02::1 (ff02::1)
Internet Control Message Protocol v6
Type: 134 (Router advertisement)
Code: 0
Checksum: 0xfc50 [correct]
Cur hop limit: 64
Flags: 0x00
0... .... = Not managed
.0.. .... = Not other
..0. .... = Not Home Agent
...0 0... = Router preference: Medium
Router lifetime: 1800
Reachable time: 0
Retrans timer: 0

ICMPv6 Option (Prefix information)
Type: Prefix information (3)
Length: 32
Prefix length: 64
Flags: 0xc0
1... .... = Onlink
.1.. .... = Auto
..0. .... = Not router address
...0 .... = Not site prefix
Valid lifetime: 86400
Preferred lifetime: 86400
Prefix: 2a01:5d8:52f3:500d::

ICMPv6 Option (Recursive DNS Server)
Type: Recursive DNS Server (25)
Length: 40
Reserved
Lifetime: 600
Recursive DNS Servers: 2a01:5d8:e0ff::2 (2a01:5d8:e0ff::2)
Recursive DNS Servers: 2a01:5d8:e0ff::1 (2a01:5d8:e0ff::1)

ICMPv6 Option (MTU)
Type: MTU (5)
Length: 8
MTU: 1480

ICMPv6 Option (Source link-layer address)
Type: Source link-layer address (1)
Length: 8
Link-layer address: 00:07:cb:1f:0f:5a
Tout est dit dans un seul paquet ICMP. Notez que ce message Neighbor advertisement est
priodiquement mis par les routeurs, mme s'il n' pas t sollicit par un nud du rseau., ce
qui permet si ncessaire de reconfigurer dynamiquement les htes.
IPv6 global sur son LAN
Tout ceci est bien amusant, mais comment exploiter au mieux ce monde IPv6 sur son LAN,
car IPv6 ne se suffit pas lui-mme pour l'instant. Les ressources IPv6 sont encore rares sur le
vaste internet, et l'usage d'IPv4 est encore le plus souvent ncessaire ;
1. Comment les choses peuvent-elles se passer si l'on fait cohabiter sur le mme hte une
pile IPv4 et une pile IPv6 ?
1. Je n'ai qu'une IPv4 publique et 2
64
IPv6 globales. Comment grer a sur mon LAN ?
1. Je voudrais bien utiliser l'auto-configuration. Je n'ai donc pas besoin de DHCPv6 ?
1. Mais si j'ai bien compris, il faut 64 bits pour le jeton si je veux faire de l'auto-
configuration. Comme le prfixe fourni par Free et un prfixe de 64 bits, 64+64=128,
je ne peux donc pas crer de sous-rsaux, malgr mes 2
64
adresses possibles ?
1. Si je ne peux crer de sous-rseaux, je ne peux utiliser un routeur IPv6 entre ma
Freebox et mon LAN ?
Voil beaucoup de questions auxquelles il faudra rpondre pour rsoudre le problme.
IPv4 et IPv6 ensemble
C'est tout fait possible. Depuis dj pas mal de temps GNU/Linux installe par dfaut les
deux piles, et c'est IPv6 qui est prioritaire. Nous pourrons vrifier que, dans le cas o une
ressource de l'internet dispose d'une adresse IPv6 et d'une adresse IPv4, c'est IPv6 qui sera
employ.
Maintenant, il reste le problme qu'en IPv4, je n'ai qu'une seule adresse publique ma
disposition pour tout mon LAN et je dois donc obligatoirement faire du NAT. Je sais faire
depuis longtemps, ce n'est pas un problme pour moi, un routeur NAT avec IPTables, je
matrise parfaitement. En revanche, j'ai bien compris que mes configurations IPv6 vont se
faire partir des informations que le routeur IPv6 (dont je n'ai pas du tout la marise)
m'envoie via des messages ICMPv6. Un switch ? pourquoi pas, mais alors, adieu IPv4 qui
a besoin d'un routeur.
Il faudrait que mon machin deux pattes que je place entre ma Freebox et le switch de
mon LAN agisse comme un routeur NAT pour IPv4 et soit transparent pour IPv6. Un petit
dessin ?

Le moyen simple pour que notre machin soit transparent au niveau IP est qu'il traite les
paquets sur la couche infrieure, savoir la couche Ethernet. Ce sont les ponts qui savent faire
ce genre de choses.
Nous avons de la chance, GNU/Linux sait parfaitement faire le pont et sait donc rsoudre
notre problme, la condition que nous soyons capables de lui expliquer qu'il ne doit le faire
que pour les trames Ethernet qui transportent de l'IPv6 et surtout pas de l'IPv4, il n'y aurait
plus de routage NAT IPv4 sinon. Nous verrons que GNU/Linux sait faire un pont intelligent.
IPv4 par routage NAT
Ce n'est pas une nouveaut. Nous disposons d'un rseau local, par exemple 192.168.0.0/24,
avec son DHCP, son DNS cache et son routeur NAT, qui dispose d'une interface dans notre
rseau local (par exemple 192.168.0.1) et une autre patte dans le rseau du fournisseur d'accs
(par exemple 82.243.80.13).
Pour que tout ceci fonctionne en harmonie, Netfilter fait du masquage d'adresse, il faut crire
plein de rgles IPtables bien senties, ce qui permet d'en profiter pour que notre routeur serve
aussi de pare-feu.
Si nous dsirons abriter un serveur dans notre LAN, qui soit visible depuis l'internet, c'est un
peu plus compliqu. Il faut faire sur le routeur du prerouting C'est--dire qu'il va falloir,
toujours avec Netfilter/IPTables, indiquer que les requtes entrant sur le routeur par le port qui
correspond au service que nous voulons exposer (par exemple le port 80 pour http) devra tre
redirig vers l'adresse IP locale de notre serveur sur le LAN. Il ne faut pas tre manchot de
l'iptables, mais a se fait assez bien.
Bien entendu, ce genre d'ouverture augmente considrablement les risques d'intrusion sur
votre LAN et il vaudrait mieux dans un tel cas disposer d'un routeur NAT trois pattes, avec
une DMZ pour y placer les machines exposes. Ceci complique encore un peu la
configuration Netfilter/IPTables, mais a reste toujours ralisable si l'on est un artiste du
filtrage.
Lorsque nous utilisons sur les stations de notre LAN des applications qui sont la fois client
et serveur (ceci peut arriver dans certains protocoles apparents au peer to peer ), la
configuration IPtables peut alors devenir la fois un casse-tte et une passoire.
Mais comme le haut dbit existe dj depuis le dbut du sicle, nous avons largement eu le
temps de nous familiariser avec toutes ces subtilits.
IPv6 par pontage Ethernet
De ceci, nous avons moins l'habitude et il convient peut-tre ici de faire un point sur cette
nouvelle situation.
Avantages
Toutes les stations de notre LAN vont avoir une adresse IPv6 publique. Plus besoin de NAT,
plus besoin de PREROUTING tout ceci est termin. Chacune de nos stations sera
dsormais directement accessible (sauf prcautions particulires) depuis l'internet.
Si nous disposons d'un nom de domaine, il sera relativement facile de configurer un DNS
capable de rsoudre publiquement les adresses de tous nos htes locaux. Nous allons enfin
pouvoir jouer comme les grands.
Inconvnients
Oui mais, et la scurit dans tout a ? Jouer comme les grands c'est bien, mais il faut en avoir
les comptences. La gestion de la scurit devra se faire plusieurs niveaux, chacun des htes
du rseau local (qui n'est par le fait plus du tout un rseau local, mais bel et bien un morceau
de l'internet) devra faire l'objet d'une attention toute particulire.
Iptables a son quivalent IPv6 et se nomme de faon originale : ip6tables, qui nous permettra
de raliser notre filtrage en IPv6, de faon tout fait analogue ce que nous savons faire en
IPv4.
Un pont avec GNU/Linux
Raliser une telle chose n'tant pas courante, nous allons dtailler quelque peu. La station que
nous avons connecte notre Freebox est maintenant munie de deux interfaces :
eth0 est sur la Freebox ;
eth1 est connecte un switch qui accueillera les htes de notre LAN .
C'est cette station qui va jouer le rle de machin .

Machin reoit pour eth0 une IPv4 et une IPv6 de la part de notre fournisseur :
~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
inet adr:82.243.80.13 Bcast:82.243.80.255 Masque:255.255.255.0
adr inet6: 2a01:5d8:52f3:500d:205:5dff:fedf:fe35/64 Scope:Global
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
...
C'est bien, mais dans un premier temps, nous voulons juste en faire un pont Ethernet tout
simple.
Les outils ncessaires
Nous sommes sur une Debian testing . Il nous faut les paquets :
bridge-utils.
Description : Utilities for configuring the Linux Ethernet bridge This package
contains utilities for configuring the Linux Ethernet bridge in Linux 2.4 or later. The
Linux Ethernet bridge can be used for connecting multiple Ethernet devices together.
The connecting is fully transparent: hosts connected to one Ethernet device see hosts
connected to the other Ethernet devices directly.
Le pont Ethernet de Linux peut tre utilis pour connecter plusieurs interfaces
Ethernet ensemble. La connexion est compltement transparente : les htes connects
une interface voient directement les htes connexts aux autres interfaces ;
ebtables.
Description : Ethernet bridge frame table administration Ebtables is used to set up,
maintain, and inspect the tables of Ethernet frame rules in the Linux kernel. It is
analogous to iptables, but operates at the MAC layer rather than the IP layer.
Ebtales est la couche Ethernet ce qu'iptables est la couche IP.
Un aptitude install bridge-utils ebtables fera l'affaire.
Construire le pont
Bon gros avertissement
Toute la manipulation qui suit est faite localement sur le machin. Si vous devez la faire
distance, voyez d'abord cette page de mise en garde sur les pertes de contrle IP. Vous voil
prvenus.
Pour bien comprendre quel point IP n'est pas ncessaire pour le bon fonctionnement d'un
pont Ethernet, nous allons nous passer de toute configuration IP.
~# ifdown eth0
Internet Systems Consortium DHCP Client V3.1.0
Copyright 2004-2007 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth0/00:05:5d:df:fe:35
Sending on LPF/eth0/00:05:5d:df:fe:35
Sending on Socket/fallback
DHCPRELEASE on eth0 to 82.243.80.254 port 67
Puis, nous activons eth0 et eth1, mais sans les configurer :
~# ifconfig eth0 up
~# ifconfig eth1 up
~# ifconfig

eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
eth1 Link encap:Ethernet HWaddr 00:05:5d:e1:f7:ac
adr inet6: fe80::205:5dff:fee1:f7ac/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
Nous n'avons sur nos deux interfaces qu'une adresse IPv6 de type lien local. Nous allons
maintenant utiliser brctl pour construire le pont :
~# brctl addbr br0
~# brctl addif br0 eth0
~# brctl addif br0 eth1

~# ts2b7:~# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.00055ddffe35 no eth0
eth1
Nous avons bien un pont br0. Un pont, a dispose au moins de deux bouts, ils sont ici eth0 et
eth1. Si tout se passe comme nous le souhaitons, les paquets ethernet devraient passer ce pont
selon les rgles en usage sur ce type d'quipement.
Nous allons maintenant activer ce pont :
ifconfig br0 up
Vrifions la configuration IP de tout ceci :
~# ifconfig
br0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth1 Link encap:Ethernet HWaddr 00:05:5d:e1:f7:ac
adr inet6: fe80::205:5dff:fee1:f7ac/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
Nous n'avons que des IPv6 lien local. Notez que br0 apparat comme une interface part
entire, avec l'adresse MAC de l'interface eth0. Pour qu'il n'y ait absolument aucune
ambigit dans cette manip, nous allons jusqu' supprimer ces adresses IPv6 locales :
~# ip -6 addr del fe80::205:5dff:fedf:fe35/64 dev br0
~# ip -6 addr del fe80::205:5dff:fedf:fe35/64 dev eth0
~# ip -6 addr del fe80::205:5dff:fee1:f7ac/64 dev eth1
Ce qui nous donne maintenant :
~# ifconfig
br0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth1 Link encap:Ethernet HWaddr 00:05:5d:e1:f7:ac
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
Plus aucune trace d'IP, v4 comme v6.
Passer le pont
Il suffit de passer le pont
C'est tout de suite l'aventure
Laisse-moi tenir ton jupon
J't'emmn' visiter la nature
Bref, nous dmarrons la station. Une station toute simple, avec une distribution Ubuntu des
familles. Sitt fini le dmarrage, empressons-nous de consulter la configuration rseau :
~$ ifconfig
eth0 Lien encap:Ethernet HWaddr 00:0C:6E:AD:B6:99
inet adr:82.243.80.13 Bcast:82.243.80.255 Masque:255.255.255.0
adr inet6: 2a01:5d8:52f3:500d:20c:6eff:fead:b699/64 Scope:Global
adr inet6: fe80::20c:6eff:fead:b699/64 Scope:Lien
...

Ca marche, nous avons notre IPv4 publique et aussi nos deux IPv6. Si nous avons une IPv4
publique sur eth0 c'est bien que la couche IPv4 de notre station n'a pas vu le machin
non ?
Voyons la table de routage IPv4 :
~$ route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
82.243.80.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
0.0.0.0 82.243.80.254 0.0.0.0 UG 100 0 0
eth0
a se confirme, pour IPv4, le machin n'intervient pas dans les routes.
Et les routes IPv6 ?
~$ route -A inet6
Table de routage IPv6 du noyau
Destination Next Hop
Flags Metric Ref Use Iface
::1/128 ::
U 0 4 1 lo
2a01:5d8:52f3:500d:20c:6eff:fead:b699/128 ::
U 0 152 1 lo
2a01:5d8:52f3:500d::/64 ::
UA 256 0 0 eth0
fe80::20c:6eff:fead:b699/128 ::
U 0 3 1 lo
fe80::/64 ::
U 256 0 0 eth0
ff00::/8 ::
U 256 0 0 eth0
::/0 fe80::207:cbff:fe1f:f5a
UGDA 1024 74 0 eth0
L encore, le machin n'est pas visible.
Un petit traceroute IPv4 vers www.kame.net ?
~$ sudo traceroute www.kame.net
traceroute to www.kame.net (203.178.141.194), 64 hops max, 40 byte packets
1 82.243.80.254 (82.243.80.254) 37 ms 37 ms 37 ms
2 213.228.20.254 (213.228.20.254) 44 ms * 37 ms
...
23 orange.kame.net (203.178.141.194) 308 ms 308 ms 308 ms
Le hop 1 est bien la passerelle par dfaut du fournisseur d'accs. Il n'y a plus de doutes
avoir pour IPv4.
Et pour ipV6 ?
~/.ssh$ sudo traceroute6 www.kame.net
traceroute to www.kame.net (2001:200:0:8002:203:47ff:fea5:3085) from
2a01:5d8:52f3:500d:20c:6eff:fead:b699, 30 hops max, 16 byte packets
1 2a01:5d8:52f3:500d::1 (2a01:5d8:52f3:500d::1) 1.549 ms 0.594 ms
0.575 ms
2 2a01:5d8:e000:9d1::4 (2a01:5d8:e000:9d1::4) 51.501 ms 48.268 ms
48.146 ms
...
24 orange.kame.net (2001:200:0:8002:203:47ff:fea5:3085) 336.759 ms
337.563 ms 336.053 ms
L encore, le hop 1 correspond bien la passerelle du fournisseur. Plus de doutes non plus
pour IPv6.
Nous avons rempli la premire partie du contrat, le Machin est compltement invisible,
aussi bien en IPv4 qu'en IPv6. L'est-il aussi au niveau Ethernet ? Des ponts, il y en a plein les
switch et ces derniers sont bien invisibles au niveau Ethernet. Vrifions tout de mme.
Vrifications de routine
Un 'tit coup de rdisc6 :
~$ rdisc6 eth0
Solicitation de ff02::2 (ff02::2) sur eth0...

Limite de saut (TTL) : 64 ( 0x40)
Conf. d'adresse par DHCP : Non
Autres rglages par DHCP : Non
Prfrence du routeur : moyen
Dure de vie du routeur : 1800 (0x00000708) secondes
Temps d'atteinte : non indiqu (0x00000000)
Temps de retransmission : non indiqu (0x00000000)
Prfixe : 2a01:5d8:52f3:500d::/64
Dure de validit : 86400 (0x00015180) secondes
Dure de prfrence : 86400 (0x00015180) secondes
Recursive DNS server : 2a01:5d8:e0ff::2
Recursive DNS server : 2a01:5d8:e0ff::1
DNS servers lifetime : 600 (0x00000258) secondes
MTU : 1480 octets (valide)
Adresse source de lien : 00:07:CB:1F:0F:5A
de fe80::207:cbff:fe1f:f5a
OK, le routeur IPv6 habituel.
~$ ping6 -c 3 fe80::207:cbff:fe1f:f5a%eth0
PING fe80::207:cbff:fe1f:f5a%eth0(fe80::207:cbff:fe1f:f5a) 56 data bytes
64 bytes from fe80::207:cbff:fe1f:f5a: icmp_seq=1 ttl=64 time=1.73 ms
64 bytes from fe80::207:cbff:fe1f:f5a: icmp_seq=2 ttl=64 time=0.701 ms
64 bytes from fe80::207:cbff:fe1f:f5a: icmp_seq=3 ttl=64 time=0.699 ms

--- fe80::207:cbff:fe1f:f5a%eth0 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.699/1.044/1.732/0.486 ms

~$ ip -6 neigh show
fe80::207:cbff:fe1f:f5a dev eth0 lladdr 00:07:cb:1f:0f:5a router DELAY
Le voisinage, c'est bien le routeur du fournisseur d'accs et pas notre pont, preuve que c'est un
pont
Couper les ponts IPv4
Nous allons maintenant raliser un pont qui ne fonctionnera que pour IPv6. Mais avant,
prenons quelques prcautions, car il n'y aura plus de connectivit IPv4 pour notre station de
travail.
DNS Free (IPv4) :
option domain-name-servers 212.27.54.252,212.27.53.252;
(information prise dans les logs du client dhcp).
Sur le machin
Commenons par couper le pont IPv4 au moyen d'ebtables :
~# ebtables -t broute -A BROUTING -p ! ipv6 -j DROP
A ce niveau, notre station de travail ne dispose plus d'IPv4. Il nous faut maintenant configurer
le machin en routeur NAT IPv4. C'est une formalit.
une IPv4 dynamique pour eth0
Bien que notre IPv4 soit fixe, la configuration est tout de mme rcupre par DHCP :
~# dhclient eth0
Internet Systems Consortium DHCP Client V3.1.0
Copyright 2004-2007 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth0/00:05:5d:df:fe:35
Sending on LPF/eth0/00:05:5d:df:fe:35
Sending on Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
DHCPOFFER from 82.243.80.254
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 82.243.80.254
bound to 82.243.80.13 -- renewal in 604800 seconds.
Une IPv4 fixe pour eth1
Nous allons nous faire un petit 192.168.254.0/24 pour changer un peu de la routine:
~# ip addr add 192.168.254.1/24 dev eth1
Un masquerade pour eth0
Nous faisons du NAT sur tout ce qui sort par eth0 :
~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Activer le routage
(Ne pas oublier ce dtail, si l'on souhaite garder sa chevelure intacte)
echo 1 > /proc/sys/net/ipv4/ip_forward
Vrifications
~# ifconfig
br0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
inet adr:82.243.80.13 Bcast:82.243.80.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...

eth1 Link encap:Ethernet HWaddr 00:05:5d:e1:f7:ac
inet adr:192.168.254.1 Bcast:0.0.0.0 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
...
Tout l'air normal.
~# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
82.243.80.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
0.0.0.0 82.243.80.254 0.0.0.0 UG 0 0 0
eth0
Tout l'air normal aussi. Notre routeur NAT IPv4 devrait tre oprationnel
Sur la station de travail
Commenons par dsactiver eth0
:~$ sudo ifdown eth0
Ractivation de eth0, mais sans configuration :
:~$ sudo ifconfig eth0 up
Ajout d'une adresse IPv4 compatible avec celle que nous avons mis sur eth1 du Machin :
~$ sudo ip addr add 192.168.254.2/24 dev eth0
Ajout d'une route par dfaut qui pointe sur Machin :
~$ sudo ip route add default via 192.168.254.1 dev eth0
Vrifications d'usage :
:~$ route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
0.0.0.0 192.168.254.1 0.0.0.0 UG 0 0 0
eth0
Si nous dsirons tre efficaces, il faut maintenant renseigner le systme sur les DNS
consulter pour la rsolution des noms. Editons /etc/resolv.conf pour qu'il ressemble ceci
:
~$ cat /etc/resolv.conf
nameserver 212.27.54.252
nameserver 212.27.53.252
Et voyons si a roule :
~$ ping -c 1 www.kame.net
PING www.kame.net (203.178.141.194) 56(84) bytes of data.
64 bytes from orange.kame.net (203.178.141.194): icmp_seq=1 ttl=43 time=313
ms

--- www.kame.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 313.359/313.359/313.359/0.000 ms


~$ ping6 -c 1 www.kame.net
PING www.kame.net(orange.kame.net) 56 data bytes
64 bytes from orange.kame.net: icmp_seq=1 ttl=47 time=340 ms

--- www.kame.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 340.627/340.627/340.627/0.000 ms
a roule. En IPv4 comme en IPv6, nous pouvons faire ping sur la tortue. Je vous laisse
vrifier par vous-mme, avec des traceroute biens sentis, que le Machin est vu comme
un routeur en IPv4 et comme rien du tout en IPv6.
Fignolage
Bien entendu, il reste quelques oprations cosmtiques raliser :
faire un peu de filtrage sanitaire en IPv4 sur le Machin ;
installer un DNS cache pour que nos clients du LAN n'aient pas connatre les DNS
du fournisseur d'accs ;
installer un DHCP sur le LAN pour que nos clients se configurent automatiquement en
IPv4 ;
et surtout, automatiser tout a pour que nous ne soyons pas oblig de ressortir nos
notes au prochain reboot du Machin.
Les trois premiers points, voil longtemps que nous savons faire. Voyons plutt comment
automatiser la configuration du Machin.
Automatiser le machin
La suite s'adresse principalement aux (heureux) utilisateurs de Debian et drives. En effet la
configuration du rseau est assez particulire sur ces distributions et trs diffrente de la faon
de faire sur les Red-Hat like ou autres Slackware / Gentoo / Suse like .
Debian utilise un fichier /etc/network/interfaces et plusieurs rpertoires contenant des
scripts excuter en pre-up, up, down et post-down . Le paquet bridge-utils a dj
install les scripts /etc/network/if-pre-up.d/bridge et /etc/network/if-post-
down.d/bridge aux-quels il est inutile et mme dconseill de toucher. Tout va pouvoir se
faire partir du fichier /etc/network/interfaces :
auto br0
iface br0 inet manual
bridge_ports eth0 eth1
bridge_maxwait 0
pre-up ebtables -t broute -A BROUTING -p ! ipv6 -j DROP
down ebtables -t broute -F

auto eth0
iface eth0 inet dhcp
up iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
down iptables -t nat -F

auto eth1
iface eth1 inet static
address 192.168.254.1
netmask 255.255.255.0
1. iface br0 inet manual indique que l'interface br0 sera configure par les scripts
ifupdown ;
2. bridge_ports eth0 eth1 et bridge_maxwait 0 sont des directives qui seront
utilises par ces scripts pour configurer le pont ;
3. pre-up ebtables -t broute -A BROUTING -p ! ipv6 -j DROP (fondamental)
permettra d'interdire le pont au trafic IPv4, lorsque le pont est activ ;
4. down ebtables -t broute -F remettra les choses plat en ce qui concerne les
tables du pont lorsque ce dernier est dsactiv.
Ce n'est pas dans mes habitudes, mais si vous souhaitez avoir plus d'informations sur les
directives de configuration des interfaces rseau sous Debian, je vous dirai man interfaces
(Lorsque l'on veut jouer avec IPv6, il faut savoir donner de sa personne).
En ce qui concerne l'interface eth0, la ligne up iptables -t nat -A POSTROUTING -o
eth0 -j MASQUERADE est tout fait minimaliste, nous sommes l pour vrifier que a
fonctionne. Dans la pratique, il faudra ici invoquer un script qui crive de vraies rgles de
filtrage IPv4.
De mme, il faudra ventuellement rflchir des rgles ebtables et IP6tables pour protger
au moins notre machin contre d'ventuelles attaques IPv6.
Quelques vrifications
Voyons la configuration IP des divers composants :
~# ifconfig
br0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
adr inet6: 2a01:5d8:52f3:500d:205:5dff:fedf:fe35/64 Scope:Global
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
...

eth0 Link encap:Ethernet HWaddr 00:05:5d:df:fe:35
inet adr::82.243.80.13 Bcast::82.243.80.255
Masque:255.255.255.0
adr inet6: fe80::205:5dff:fedf:fe35/64 Scope:Lien
...

eth1 Link encap:Ethernet HWaddr 00:05:5d:e1:f7:ac
inet adr:192.168.254.1 Bcast:192.168.254.255
Masque:255.255.255.0
adr inet6: fe80::205:5dff:fee1:f7ac/64 Scope:Lien
...
L'adresse globale IPv6 sur br0 n'est pas fondamentale si le machin ne doit pas lui-mme
accder l'internet par IPv6. Eth0 et eth1 disposent de leurs adresses IPv4 convenablement,
les adresses IPv6 sont totalement inutiles ici, mais ne sont pas gnantes.
Les routes IPv4 :
~# ip route ls
82.243.80.0/24 dev eth0 proto kernel scope link src 82.243.80.13
192.168.254.0/24 dev eth1 proto kernel scope link src 192.168.254.1
default via 82.243.80.254 dev eth0
Tout ceci est parfait. Les routes IPv6 maintenant :
~# ip -6 route ls
2a01:5d8:52f3:500d::/64 dev br0 proto kernel metric 256 expires 85974sec
mtu 1480 advmss 1420 hoplimit 4294967295
fe80::/64 dev eth0 metric 256 expires 21332903sec mtu 1500 advmss 1440
hoplimit 4294967295
fe80::/64 dev eth1 metric 256 expires 21332903sec mtu 1500 advmss 1440
hoplimit 4294967295
fe80::/64 dev br0 metric 256 expires 21332903sec mtu 1480 advmss 1420
hoplimit 4294967295
default via fe80::207:cbff:fe1f:f5a dev br0 proto kernel metric 1024
expires 1369sec mtu 1480 advmss 1440 hoplimit 64
Notez encore une fois que ceci n'est pas ncessaire si le machin ne doit pas lui-mme accder
l'internet en IPv6.
Vrification des ebtables :
~# ebtables -t broute -L
Bridge table: broute

Bridge chain: BROUTING, entries: 1, policy: ACCEPT
-p ! IPv6 -j DROP
C'est bon.
Et IPtables (IPv4) ?
~# iptables-save
# Generated by iptables-save v1.4.0 on Tue May 6 14:59:45 2008
*nat
:PREROUTING ACCEPT [738:380896]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [127:9544]
-A POSTROUTING -o eth0 -j MASQUERADE
Impeccable.
Attention toutefois, un ifdown br0 fera tomber toutes les interfaces et pas seulement br0. Il
faudrait sans doute tudier le script /etc/network/if-post-down.d/bridge du paquetage
bridge-utils ou crer un script /etc/network/if-down.d/bridge spcifique pour
amliorer ce comportement.
Le bridge et la couche IP
Dsagrments en perspective

Lorsque le pont est construit (entre eth0 et eth1 dans l'exemple), le flux des donnes est
directement chang, si ncessaire, entre eth0 et eth1 au niveau Ethernet, et donc l'insu
complet de la couche IP. Mme si eth0 et eth1 disposent d'une adresse IP, ces interfaces
ne remonteront plus les donnes qu'elles reoivent au niveau IP.
Autrement dit, si vous faites a distance en vous connectant sur la machine aussi bien par
eth0 que par eth1, sitt que le pont sera oprationnel, vous en perdrez le contrle sans
rmission.
Heureusement tout de mme, il existe des solutions pour rpondre ce dsagrment potentiel.
Et br0 ?
Lorsque nous crons un pont avec brctl addbr, le nom attribu ce pont (ici br0) apparait
comme un nud rseau auquel il est possible d'attribuer une adresse IP. br0 sera accessible
par IP. Tous ceux qui ont eu l'occasion d'avoir entre les mains un switch administrable savent
que ces dispositifs disposent d'une adresse IP qui permet leur administration par un moyen
plus sympathique que le terminal VT100 sur le port RS232.
Ce quoi il faut prendre garde
Nous accdons une machine distante, disons par eth0 pour fixer les ides. Nous voulons sur
cette machine configurer un pont dans lequel eth0 sera intgr.
Lorsque eth0 sera intgre au pont br0, nous perdrons instantanment et sans rmission la
connexion. Si la machine n'est pas physiquement accessible, nous sommes mal barrs.
Le moyen le plus simple est de disposer d'une interface supplmentaire, qui ne doit pas tre
intgre au pont et par laquelle nous pouvons accder la machine, mais ceci n'est bien
entendu pas toujours possible.
Solutions ?
Dans notre cas o le pont n'est destin qu'au trafic IPv6 et non IPv4, la premire prcaution
prendre est de s'assurer que la rgle ebtables -t broute -A BROUTING -p ! ipv6 -j
DROP est en place avant d'activer le pont.
Attribuer une adresse IPv6 au pont br0 aprs l'avoir cr mais avant de lui assigner les
interfaces Ethernet peut galement tre d'un grand secours.

IP et le Routage
Les rseaux informatiques ont ceci d'intressant: Ils couvrent des besoins aussi simples que la
connexion entre deux htes sur un rseau local que l'interconnexion de systmes l'chelle
plantaire.
Ici, nous allons nous intresser quelques aspects ncessaires une bonne comprhension de
ce qu'il se passe sur notre connexion Internet par le cble (nous verrons pourquoi cette
connexion diffre fondamentalement d'autres moyens comme l'ADSL, le RTC ou l' ISDN).
Vous trouverez dans cet expos:
Une dfinition de ce que sont les adresses MAC et IP.
Ce que sont les rseaux physiques et les rseaux logiques
Quels sont les composants d'interconnexion de rseaux les plus courants.
Comment les donnes circulent d'un rseau l'autre.
Une manipulation destine toucher du doigt les problmes du routage.
Physique/Logique
Qu'est-ce qu'une adresse MAC ?
Media Access Control
C'est une adresse crite en dur dans le firmware d'un quipement rseau, le plus
souvent une interface rseau.
Cette adresse est dfinie sur 6 octets.
Les trois premiers (les plus gauche) sont attribus au constructeur.
Les trois derniers sont spcifiques un quipement matriel donn.
Au total, une adresse MAC est sense tre unique au monde.
Son but est d'identifier sans aucune ambigit possible un nud sur un rseau. Elle est utilise
par le niveau 2 du modle OSI pour l'acheminement des donnes d'une source vers une cible.
Il faut bien comprendre que cette adresse est indispensable, parce qu'elle est la seule qui soit
dfinie la mise en route d'un systme, puisqu'elle rside dans une ROM. D'ailleurs, certains
protocoles rseaux simples se contentent de cette adresse pour fonctionner. NetBEUI en est
un exemple. De plus, au niveau 2 du modle OSI, c'est la seule adresse en mesure d'tre
utilise.
Toute autre adresse qui sera ajoute avec l'installation du systme sera une adresse plus
volue, destine grer les rseaux de faon logique, mais l'adresse MAC demeure
indispensable.
Avantages et inconvnients
Nous l'avons vu, le principal avantage est que cette adresse unique est disponible
immdiatement lors de la procdure de boot et qu'elle est alors la seule disponible, de
plus, c'est la seule qui soit utilisable dans les couches basses du rseau.
Son principal inconvnient est qu'elle est physiquement attache un hte. Pour en changer, il
faut changer d'interface (il y a des astuces pour qu'il en soit autrement, surtout avec Linux,
mais je ne vous les dvoilerai pas Un internaute politiquement correct n'a pas besoin de les
connaitre). De plus, la rpartition de ces adresses sur un rseau est faite de manire quasi
alatoire, il n'y a que le constructeur de l'interface qui maitrise cette adresse. Il est donc
impossible d'organiser cet adressage de manire logique.
Adresse IP
Nous n'allons pas revenir sur les dtails de cette adresse, abondamment traits dans le chapitre
prcdent. Cette adresse sera ici d'une importance fondamentale.
Mise en garde
Nous avons dit et redit que la couche 2 n'utilise que l' adresse MAC pour acheminer les
donnes. Au passage de la couche 3 (qui utilise une adresse logique, IP dans notre cas) la
couche 2 (et rciproquement), il faudra donc disposer d'une table d'quivalence entre les
adresses IP et les adresses MAC du rseau.
Rseau physique ou logique
Ici, nous allons faire abstraction du support choisi (autant que possible) et nous intresser la
faon de connecter les systmes entre eux.
Un rseau physique
Le principe
Voici un rseau physique:
Tous les htes sont connects entre eux au moyen du mme support de transport.
Tous les htes sont en mesure de communiquer entre eux directement, sans besoin
d'une quelconque passerelle.
Un rseau physique, c'est relativement facile comprendre. Vous prenez un HUB, vous y
connectez autant de postes que vous pouvez avec des cbles de cuivre en paire torsade et
vous avez construit un rseau physique.
Vous vous arrangez pour que tous les postes disposent du mme logiciel rseau, par exemple
WIndows avec le protocole NetBEUI et le tour est jou. Vous pouvez partager des ressources
entre les postes. Finalement, c'est assez simple. Oui mais, c'est parce que vos besoins sont
simples. Si vous voulez utiliser TCP/IP, il faudra alors dfinir des adresses IP pour chacune de
vos machines, adresses choisies dans le mme rseau logique (voir le chapitre TCP/IP) et
votre rseau fonctionnera aussi bien. Pourtant, NetBEUI n'introduit pas d'adresse logique.
Comment a marche
La question est trs complique, mais il est encore possible ici de donner une rponse simple
et satisfaisante pour l'instant:
Les informations qui transitent sur le rseau sont visibles par tous les htes du rseau.
Cependant, un systme d'adresse unique par hte (adresse MAC) permet au destinataire de se
reconnatre et de rcuprer l'information. Disons que dans un groupe de 5 personnes qui
vaquent chacunes leurs occupations, vous posez une question un membre du groupe. Tout
le groupe entend la question, mais celui qui elle est destine se reconnat et vous rpond.
Les autres entendent aussi la rponse, mais savent qu'ils ne sont pas concerns et ne
l'coutent pas. Notez que si vous tes capable d'analyser parfaitement tous les mcanismes
mis en oeuvre dans cet exemple, vous avez dj pratiquement tout compris sur les principes
des rseaux locaux.
Ca peut se compliquer...
Nous verrons, avec les passerelles, qu'un rseau physique peut tre un peu plus compliqu que
a. Les ponts, qui sont des passerelles travaillant au niveau 2 (Avec les adresses MAC)
permettent de connecter deux rseaux physiques pour qu'ils n'en fassent plus qu'un.
Un rseau logique
Le principe
La notion de rseau logique est dj un peu plus dlicate, parce qu'elle n'est pas directement
lie au cblage.
Il est peut-tre ncessaire de reprendre le modle thorique d'un OS rseau. A gauche, le
modle OSI en 7 couches, droite le modle DOD de TCP/IP, plus pragmatique. Nous allons
tout de mme utiliser le modle OSI qui dcompose mieux les diverses fonctions.

Pour l'tude des rseaux, ce sont surtout les trois premires couches OSI qui nous intressent.
Nous avons dj parl de la couche physique et de la couche liaison. Parler d'un rseau
physique, c'est parler d'un rseau en le regardant au niveau 2.
Un rseau logique en revanche fait intervenir la couche 3. Il existe toujours une adresse
unique par hte, mais cette adresse est logique, l'adresse IP en ce qui nous concerne, et cette
adresse est exploite par niveau 3
Comment a marche
Comme l'adresse utilise est fixe par une stratgie dfinie par l'architecte du rseau et non
par le hasard de la construction de la machine, il devient possible d'organiser les transferts de
donnes d'une manire optimale en fonction des besoins. Deux rseaux logiques ne pourront
communiquer entre eux que par l'intermdiaire d'un routeur, ce qui permet non seulement
d'optimiser les flux de donnes, mais encore d'assurer un minimum de scurit parce que l'on
va pouvoir effectuer un contrle d'accs au niveau de ces routeurs (fonctions de firewalls )
Il ne nous reste plus maintenant qu' regarder d'un peu plus prs les passerelles les plus
courantes.
Passerelles
C'est quoi, une passerelle ?
Nous allons dire que c'est un lment
qui permet d'inter-connecter plusieurs rseaux de manire permettre le passage de
l'information d'un rseau l'autre. Je n'ai volontairement pas prcis s'il s'agissait de rseaux
logiques ou physiques, parce que tout est possible dans ce domaine.
Les principales techniques
Nous n'allons pas parler de tous les types de passerelles que l'on peut rencontrer, il y en a
beaucoup trop. Nous allons regarder d'un peu plus prs deux types courants que sont les ponts
et les routeurs. Ils ne travaillent pas au mme niveau du modle OSI et ne servent pas tout
fait la mme chose, bien qu'ils soient tous les deux des lments d'interconnexion.
Comme nous avons vu qu'il existe deux adresses pour un nud donn: l'une matrielle
(adresse MAC) qui est utilise au niveau 2 et l'autre logicielle (IP le plus souvent) utilise au
niveau 3, nous pouvons nous attendre trouver des passerelles travaillant aux niveaux 2: Les
ponts, ou au niveau 3: Les routeurs.
Les ponts
Nous avons deux rseaux physiques Ethernet totalement disjoints. Ces deux rseau utilisent
TCP/IP et les htes disposent d'adresses IP dans la mme classe, avec le mme masque de
sous rseau. Cependant, il n'existe aucun doublon dans les adresses entre les deux rseaux.
Rseau A Rseau B
Adresses IP
192.168.0.1
192.168.0.50
Adresses IP
192.168.0.128
192.168.0.170
Masque de sous
rseau
255.255.255.0
Masque de sous
rseau
255.255.255.0
Nous dsirons raccorder ces deux rseaux physiques pour n'en faire plus q'un et nous allons le
faire avec un pont

Qu'est-ce qu'un pont ?

Description gnrale
Un pont dispose d'un pied dans chaque rseau. Il agit au niveau 2, sur la couche de liaison. Il
est capable de laisser passer les trames d'un rseau l'autre, mais ne le fait pas btement.
Un pont, aprs une priode d'apprentissage, sait reprer les adresses MAC des nuds de
chaque ct du pont. Il ne laissera passer d'un ct l'autre que les trames qui ont rellement
besoin de passer; si bien que le trafic sur chaque ct se trouve optimis, la condition bien
entendu que l'architecture gnrale ait t pense dans ce sens. Un pont est trs efficace si les
deux rseaux A et B communiquent peu entre eux. Si le rseau A utilise principalement les
services des serveurs du rseau B et rciproquement, le pont perd compltement son intrt,
autant le remplacer par un bout de cble.
Particularits
Un pont, travaillant au niveau 2, est indpendant des couches rseau suprieures. En
d'autres termes, un pont fonctionnera aussi bien avec TCP/IP qu'avec un protocole non
routable (pas d'adresses logiques) comme NetBEUI.
Il faut imprativement que les protocoles rseau soient les mmes de chaque ct du
pont, l'change se faisant au niveau des trames.
o Un pont ne pourra pas interconnecter un rseau Ethernet avec un rseau Token
Ring par exemple.
o Un pont ne pourra pas interconnecter deux rseaux Ethernet, l'un utilisant
TCP/IP et l'autre un autre protocole (IPX/SPX par exemple).
Deux rseaux physiques ponts apparaissent comme un seul rseau physique. Au
niveau de la couche rseau (et des couches suprieures), le pont est transparent. Ceci
est un dtail fondamental.
Le principe du pont est repris dans les switches, que l'on pourrait considrer comme des
HUBS volus.
Conclusion
Un pont est une passerelle particulire, que l'on utilise au sein d'un mme rseau physique,
pour optimiser le trafic des trames sur ce rseau.
Les routeurs
Nous avons ici aussi deux rseaux physiques Ethernet totalement disjoints. Ces deux rseau
utilisent TCP/IP mais les htes disposent d'adresses IP de rseau diffrentes (ou de mme
rseau, mais avec des masques de sous rseaux diffrents, ce qui introduirait la notion de sous
rseau logique.
Rseau A Rseau B
Adresses IP
192.168.0.1
192.168.0.50
Adresses IP
192.168.1.1
192.168.1.50
Masque de sous
rseau
255.255.255.0
Masque de sous
rseau
255.255.255.0
Nous dsirons raccorder ces deux rseaux physiques pour qu'ils puissent communiquer, nous
allons le faire avec un routeur.

Qu'est-ce qu'un routeur ?

Un routeur agit au niveau de la couche rseau, d'IP par exemple. Le rsultat peut paratre
similaire celui d'un pont, il n'en est rien.
Description gnrale
Le routeur lui aussi dispose d'un pied dans chaque rseau, mais son fonctionnement est plus
volu. Alors que le pont utilise les adresses MAC, le routeur utilise les adresses rseau (IP
en ce qui nous concerne).
Particularits
Les tables de routage ne sont pas construites par un simple apprentissage, comme dans
un pont, mais sont mises en place soit la main, soit automatiquement au moyen de
protocoles plus volus.
Les deux rseaux raccords restent deux rseaux physiques diffrents, les adresses
MAC d'un ct restent totalement inconnues de l'autre ct, ce qui n'est pas le cas du
pont. (Nous le comprendrons mieux avec les manips qui suivent).
Les rseaux A et B peuvent tre de nature diffrente.
Le protocole rseau (TCP/IP par exemple) doit tout de mme tre identique des deux
cts et doit tre routable (ce qui n'est pas ncessaire avec un pont).
Notez q'un routeur peut interconnecter plus que deux rseaux, il lui suffit de disposer d'un
pied dans chaque rseau interconnecter. (Des ponts multivoies existent cependant aussi).
D'autres solutions bases sur un principe comparable existent et permettent d'interconnecter
des rseaux ayant des protocoles diffrents, mais ce n'est pas l'objet de cet expos.
Conclusions
Un routeur permet de faire communiquer deux rseaux logiques diffrents. Nous verrons plus
loin ce que cela induit dans le transport des donnes. Si l'on interconnecte deux rseaux
physiques avec un routeur, il faudra absolument que ces deux rseaux physiques soient
galement des rseaux (ou sous rseaux) logiques diffrents (NetID diffrents). Un routeur
conservera la notion de rseaux physiques diffrents. C'est trs important, surtout lorsque l'on
utilise des dispositifs comme DHCP pour attribuer des adresses IP aux htes du rseau. Un
DHCP a une porte limite son rseau physique, autrement dit, un DHCP ne peut pas
fournir d'adresse un hte situ de l'autre ct d'un routeur.
Ah, mais alors, comment se fait-il que chez nous, cbls de Marseille, il n'existe qu'un seul
serveur DHCP (62.161.120.11) et qu'il y a pourtant au moins quatre rseaux logiques et qu'en
plus, le DHCP n'est dans aucun de ces rseaux?
C'est parce qu'il existe une exception cette rgle, si l'on utilise un agent de relais DHCP. Ce
dispositif permet, s'il est install sur un routeur, de distribuer des adresses IP sur les rseaux
inter-connects par ce routeur avec un seul DHCP situ sur l'un de ces rseaux; la condition
bien entendu, que ce DHCP dispose de plages d'adresses correspondant chacun de ces
rseaux, ce qui est le cas pour FTCI. Dans la pratique, l'agent de relais intercepte les
requtes des clients DHCP et les retransmet au(x) serveur(s) indiqu(s) dans sa configuration.
Vous trouverez plus de dtails sur le fonctionnement de DHCP dans le chapitre qui lui est
ddi dans ce site
Mais encore...
Il existe bien d'autres dispositifs capables par exemple d'interconnecter des rseaux utilisant
des supports diffrents (optique, cuivre), des protocoles de transport diffrents (Ethernet,
Token Ring) et mme des protocoles diffrents (TCP/IP, IPX/SPX). Nous n'en parlerons pas.
Le masquage d'adresse
En revanche, il existe une technique de passerelle intressante qui est le masquage d'adresse.
Cette technique est bien utile lorsque l'on souhaite interconnecter un rseau priv pour qu'il
devienne client d'un rseau public. (Client, parce que a fonctionne bien dans un sens,
beaucoup moins bien dans l'autre et nous allons vite comprendre pourquoi).
Ici, le routeur dispose d'une fonction particulire de changement d'adresse logique (IP). Le
principe en est dtaill dans le chapitre Partage de connexion internet . Disons simplement
ici que:
D'un ct, nous avons un rseau priv, avec des adresses IP prises dans un bloc
rserv cet effet, par exemple 192.168.0.0 Un routeur sur l'Internet qui voit passer
une telle adresse doit immdiatement mettre le paquet la poubelle, ces adresses sont
rserves un usage priv.
De l'autre ct nous avons une connexion l'Internet.
La passerelle entre les deux va disposer:
o D'une adresse prive du ct du rseau priv (par exemple 192.168.0.250)
o D'une adresse IP publique, attribue par le fournisseur d'accs (par exemple
213.56.56.250)
Cette passerelle va permettre un hte du rseau priv d'envoyer une requte un serveur de
l'Internet en mettant au passage son adresse publique la place de l'adresse prive du client.
Vu du dehors, on ne verra qu'un seul hte: la passerelle, c'est la raison pour laquelle ce type
d'interconnexion ne permet pas de placer des serveurs publics dans le rseau priv, sauf avec
des artifices pas toujours simples, voire impossible mettre en oeuvre, suivant le produit
utilis. (Linux 2.2.x le permet de faon assez complexe, Linux 2.4.x, avec IPTables, le permet
de faon beaucoup plus simple).
Cette solution est celle que j'utilise pour connecter mes 4 htes privs l'Internet et qui va
intervenir dans les manipulations que nous ferons plus loin, c'est la raison pour laquelle j'en
parle ici.
Hormis ce phnomne de changement d'adresse logique, tout va se passer comme avec un
vrai routeur.
Livraisons
La livraison des donnes
Voyons un peu les mcanismes mis en oeuvre pour le transport de donnes d'un hte un
autre.
Imaginons une application qui doive envoyer des donnes d'un hte A1 un hte A2. Nous
sommes ici sur la couche 7. Les donnes sont prtes tre envoyes, elles vont descendre les
diverses couches du systme. (Nous sommes sur un systme TCP/IP)
D'abord, il faudra rsoudre les noms en adresses IP.
Construire les sockets ncessaires l'tablissement de la connexion.
Plus bas encore, il va falloir trouver l'adresse physique des htes, parce que la couche
liaison (couche 2) ne sait utiliser que ce moyen.
A ce niveau, deux cas de figure peuvent se prsenter

La livraison directe
Les deux htes sont sur le mme rseau physique (et logique), c'est le cas le plus simple. La
source et la cible se trouvant sur le mme rseau, il suffit qu'il y ait quelque part une table de
correspondance entre adresse IP et adresse MAC. Cette table de correspondance est construite
localement, sur chaque hte au moyen du protocole ARP. Cette table ARP est visualisable
avec la commande arp -a
Exemple:
Je vrifie que la table ARP est bien vide.
Depuis mon poste pchris, je fais un ping sur gw1.
Je regarde nouveau l'tat de ma table ARP
E:\>arp -a
Aucune entre ARP trouve
E:\>ping gw1.maison.mrs
Envoi d'une requte 'ping' sur gw1.maison.mrs [192.168.0.250] avec 32
octets de
donnes :
Rponse de 192.168.0.250 : octets=32 temps&lt;10 ms TTL=255
Rponse de 192.168.0.250 : octets=32 temps&lt;10 ms TTL=255
Rponse de 192.168.0.250 : octets=32 temps&lt;10 ms TTL=255
Rponse de 192.168.0.250 : octets=32 temps&lt;10 ms TTL=255
Statistiques Ping pour 192.168.0.250:
Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en millisecondes :
minimum = 0ms, maximum = 0ms, moyenne = 0ms
E:\>arp -a
Interface : 192.168.0.10 on Interface 0x1000003
Adresse Internet Adresse physique Type
192.168.0.250 00-20-18-61-90-e3 dynamique
Et, bien entendu, mon sniffeur embusqu sur gw1 n'a rien perdu de l'change:
gw1 est enregistr sous gateway1.maison.mrs (gw1.maison.mrs est un alias)
pchris est enregistr sous pchris.maison.mrs
No. Source Destination Protocol Info
1 pchris.maison.mrs ff:ff:ff:ff:ff:ff ARP Who has
192.168.0.250? Tell 192.168.0.10
2 gateway1.maison.mrs pchris.maison.mrs ARP 192.168.0.250
is at 00:20:18:61:90:e3
3 pchris.maison.mrs gateway1.maison.mrs ICMP Echo (ping)
request
4 gateway1.maison.mrs pchris.maison.mrs ICMP Echo (ping)
reply
5 pchris.maison.mrs gateway1.maison.mrs ICMP Echo (ping)
request
6 gateway1.maison.mrs pchris.maison.mrs ICMP Echo (ping)
reply
7 pchris.maison.mrs gateway1.maison.mrs ICMP Echo (ping)
request
8 gateway1.maison.mrs pchris.maison.mrs ICMP Echo (ping)
reply
9 pchris.maison.mrs gateway1.maison.mrs ICMP Echo (ping)
request
10 gateway1.maison.mrs pchris.maison.mrs ICMP Echo (ping)
reply
11 gateway1.maison.mrs pchris.maison.mrs ARP Who has
192.168.0.10? Tell 192.168.0.250
12 pchris.maison.mrs gateway1.maison.mrs ARP 192.168.0.10
is at 00:20:18:b9:49:37
Remarquez:
Ligne 1 la requte ARP mise en broadcast (ff:ff:ff:ff:ff:ff) par mon poste de travail:
Qui a l'adresse 192.168.0.250 (gw1)? Dites-le 192.168.0.10 (pchris)
Ligne 2 la rponse ARP de gw1 pchris:
192.168.0.250 est 00:20:18:61:90:e3
Viennent ensuite les changes pour la commande ping et enfin (mais ce n'est pas
systmatique) gw1 qui recherche l'adresse MAC de pchris. Ce n'est pas une bonne ide
d'ailleurs, parce qu'il l'a dj. En effet, si l'on regarde le dtail de la trame 1:
Frame 1 (60 on wire, 60 captured)
Arrival Time: Feb 15, 2001 16:02:12.2750
Time delta from previous packet: 0.000000 seconds
Frame Number: 1
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Source: 00:20:18:b9:49:37 (pchris.maison.mrs)
Type: ARP (0x0806)
Trailer: 20202020202020202020202020202020...
Address Resolution Protocol (request)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (0x0001)
Sender hardware address: 00:20:18:b9:49:37
Sender protocol address: 192.168.0.10
Target hardware address: 00:00:00:00:00:00
Target protocol address: 192.168.0.250
On s'aperoit que l'adresse MAC de pchris est dj donne dedans. Et si a ne suffisait pas,
l'information se trouve galement dans la trame 2:
Frame 2 (60 on wire, 60 captured)
Arrival Time: Feb 15, 2001 16:02:12.2753
Time delta from previous packet: 0.000285 seconds
Frame Number: 2
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (pchris.maison.mrs)
Source: 00:20:18:61:90:e3 (gateway1.maison.mrs)
Type: ARP (0x0806)
Trailer: 769E8580000000010000000020454E45...
Address Resolution Protocol (reply)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: reply (0x0002)
Sender hardware address: 00:20:18:61:90:e3
Sender protocol address: 192.168.0.250
Target hardware address: 00:20:18:b9:49:37
Target protocol address: 192.168.0.10
La livraison indirecte
Cette fois-ci, le transfert de donnes doit passer par le routeur, parce que le destinataire est
dans un autre rseau logique. Prenons au hasard ftp.oleane.net:(195.25.12.28)
E:\>arp -a
Aucune entre ARP trouve
E:\&gt;ping 195.25.12.28
Envoi d'une requte 'ping' sur 195.25.12.28 avec 32 octets de donnes :
Rponse de 195.25.12.28 : octets=32 temps=30 ms TTL=245
Rponse de 195.25.12.28 : octets=32 temps=40 ms TTL=245
Rponse de 195.25.12.28 : octets=32 temps=30 ms TTL=245
Rponse de 195.25.12.28 : octets=32 temps=30 ms TTL=245
Statistiques Ping pour 195.25.12.28:
Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en millisecondes :
minimum = 30ms, maximum = 40ms, moyenne = 32ms
E:\>arp -a
Interface : 192.168.0.10 on Interface 0x1000003
Adresse Internet Adresse physique Type
192.168.0.250 00-20-18-61-90-e3 dynamique
Que s'est-il pass ?
No. Source Destination Protocol Info
1 pchris.maison.mrs ff:ff:ff:ff:ff:ff ARP Who has
192.168.0.250? Tell 192.168.0.10
2 gateway1.maison.mrs pchris.maison.mrs ARP 192.168.0.250
is at 00:20:18:61:90:e3
3 pchris.maison.mrs ftp.oleane.net ICMP Echo (ping)
request
4 ftp.oleane.net pchris.maison.mrs ICMP Echo (ping)
reply
5 pchris.maison.mrs ftp.oleane.net ICMP Echo (ping)
request
6 ftp.oleane.net pchris.maison.mrs ICMP Echo (ping)
reply
7 pchris.maison.mrs ftp.oleane.net ICMP Echo (ping)
request
8 ftp.oleane.net pchris.maison.mrs ICMP Echo (ping)
reply
9 pchris.maison.mrs ftp.oleane.net ICMP Echo (ping)
request
10 ftp.oleane.net pchris.maison.mrs ICMP Echo (ping)
reply
La requte ARP a port sur la passerelle par dfaut (gw1) parce que la couche 2 ne sait pas
franchir les routeurs, elle ne sait transporter l'information que sur un seul rseau physique.
Son travail se borne donc transporter l'information jusqu' la passerelle qui remontera la
trame jusqu'au niveau 3 (IP) pour la passer ensuite sur un autre rseau.
La table ARP d'un hte ne peut donc contenir que des adresses MAC d'htes ou de
passerelles situes sur le mme rseau physique.
Un peu plus loin, nous allons essayer de voir comment un paquet voyage en l'espionnant de
chaque ct d'une passerelle.
Manips
Objectif de la manipulation
Nous allons essayer de dcortiquer le mieux possible le fonctionnement du routage en
essayant d'ouvrir un dialogue avec un hte situ dans un autre rseau et en regardant au
moyen d'un sniffeur ce qu'il se passe, du moins notre porte.
Description de la manipulation
Il existe dans tous les systmes TCP/IP une commande qui s'appelle traceroute. Cette
commande a pour but de reprer toutes les passerelles franchies pour aller de son poste un
hte distant. En plus de dterminer les passerelles, elle indique, un peu la manire d'un ping,
le temps que met cette passerelle rpondre.
Cette commande, dans les systmes Windows, s'appelle tracert, sans doute cause d'une
vieille habitude de crer des noms de 8 caractres maximum. Sous Linux, elle s'appelle
traceroute. Les deux commandes donnent les mmes indications, celle de Linux tant un
peu plus puissante dans la mesure o elles est plus paramtrable.
Exemple :
Emploi de la commande tracert pour tudier le chemin emprunt pour aller de mon poste de
travail Marseille sur le serveur web de l'acadmie de Montpellier (a change un peu
d'Olane et ce n'est pas bien loin).
E:\>tracert www.ac-montpellier.fr

Dtermination de l'itinraire vers mtn.ac-montpellier.fr [193.48.169.69]
avec un maximum de 30 sauts :

1 <10 ms <10 ms <10 ms gw1.maison.mrs [192.168.0.250]
2 20 ms 20 ms 30 ms ca-ol-marseille-1-2.abo.wanadoo.fr [62.161.96.2]
3 20 ms 30 ms 30 ms 194.250.158.157
4 30 ms 20 ms * POS-6-0-0.NCMAR202.Marseille.raei.francetelecom.net
[194.51.171.41]
5 20 ms 21 ms 20 ms P0-7.ncmar302.Marseille.francetelecom.net
[193.252.101.78]
6 20 ms 20 ms 30 ms P0-2.nrlyo102.Lyon.francetelecom.net
[193.252.101.150]
7 30 ms 40 ms * P7-0.ntsta102.Paris.francetelecom.net
[193.251.126.98]
8 30 ms 30 ms 41 ms 193.251.126.26
9 30 ms 31 ms 20 ms P1-0.BOUBB1.Paris.opentransit.net [193.251.128.66]
10 30 ms 40 ms 20 ms nio-i.cssi.renater.fr [193.51.206.41]
11 40 ms 40 ms 40 ms nio-n1.cssi.renater.fr [193.51.206.9]
12 70 ms 60 ms 60 ms montpellier.cssi.renater.fr [195.220.99.166]
13 * 80 ms 220 ms NRCP-montpellier.cssi.renater.fr [195.220.99.174]
14 60 ms 50 ms 60 ms 193.50.61.110
15 60 ms 60 ms 60 ms 193.48.170.21
16 60 ms 60 ms 50 ms 193.48.168.72
17 60 ms 60 ms 70 ms 193.48.169.69

Itinraire dtermin.
Ce n'est pas bien loin, tout de mme 17 passerelles et il suffit de lire les noms pour
constater que l'on passe par Paris! (Heureusement qu'on ne fait pas a en voiture :).
Le rseau Renater est un rseau qui relie en France toutes les facults et les centres de
recherche. Visiblement, le passage du rseau France Tlcom au rseau renater se fait Paris.
Il n'empche que les paquets ne mettent qu'environ 70 ms pour faire l'aller-retour.
Comment a marche ?
La commande s'appuie sur le Time To Live d'un paquet de donnes. Ce TTL dispose
d'une valeur initiale, gnralement entre 15 et 30 secondes, et est dcrment chaque
passage de routeur. La dcrmentation chaque routeur est au moins d'une seconde, plus si le
paquet reste en file d'attente dans le routeur plus d'une seconde. Dans un tel cas, le TTL est
dcrment chaque seconde passe dans la file d'attente.
Si le TTL devient nul, le paquet est considr comme mort et est dtruit par le routeur.
L'metteur du paquet reoit un message ICMP Time-to-live exceeded pour le prvenir
(une des raisons pour laquelle il ne faut pas filtrer tout le trafic ICMP sur un firewall).
C'est cette proprit qui va servir dfinir la route. La cible envoie un premier paquet avec un
TTL de 1s. Ce paquet, en arrivant sur le premier routeur, va voir son TTL tomber 0, donc va
tre dtruit, et le routeur va en informer l'metteur au moyen d'un message ICMP TTL
expir . L'opration est effectue par dfaut trois fois (les trois indices de temps indiqus
dans la rponse), puis, un nouvel essai sera fait, avec cette fois-ci un TTL de 2 secondes.
Normalement, le paquet doit passer le premier routeur et tre dtruit par le second. Ainsi de
suite jusqu' arriver destination.
Les paquets envoys par la source peuvent tre des paquets UDP ou ICMP. La commande
traceroute de Linux envoie par dfaut des paquets UDP, mais la directive -I force
l'mission de paquets ICMP. Sous Windows, la commande tracert ne sait envoyer que des
paquets ICMP. Notez que l'envoi de paquets UDP peut parfois poser des problmes.
Comment les routeurs connaissent-ils les routes ?
L, je n'ai pas de routeur Internet sous la main pour vous montrer; cependant, le choix des
routes commence dj sur votre machine et la commande route permet d'administrer ces
routes. C'est le mme principe qui sera appliqu sur un routeur.
Voyons dj les routes connues par mon poste de travail sous Windows 2000:
E:\>route print
===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 20 18 b9 49 37 ...... Realtek RTL8029(AS) Ethernet Adapt
===========================================================================
===========================================================================
Itinraires actifs :
Destination rseau Masque rseau Adr. passerelle Adr. interface
Mtrique
0.0.0.0 0.0.0.0 192.168.0.250 192.168.0.10 1
(1)
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
(2)
192.168.0.0 255.255.255.0 192.168.0.10 192.168.0.10 1
(3)
192.168.0.10 255.255.255.255 127.0.0.1 127.0.0.1 1
(4)
192.168.0.255 255.255.255.255 192.168.0.10 192.168.0.10 1
(5)
224.0.0.0 224.0.0.0 192.168.0.10 192.168.0.10 1
(6)
255.255.255.255 255.255.255.255 192.168.0.10 192.168.0.10 1
(7)
Passerelle par dfaut : 192.168.0.250
(8)
===========================================================================
A premire vue, a semble plutt illisible, mais avec un peu d'habitude, on y arrive assez bien:
1. Destination 0.0.0.0
C'est la route que les paquets vont prendre lorsqu'ils n'on pas trouv un meilleur
chemin. En fait, c'est la route par dfaut, reprise la ligne 8.
C'est la ligne la plus intressante, parce qu'elle fait intervenir une adresse de passerelle
(192.168.0.250 c'est dire gw1) et une adresse d'interface (192.168.0.10) diffrentes.
Cette ligne veut dire en franais, Lorsqu'on ne sait pas par o il faut passer, on va
emprunter l'interface 192.168.0.10 pour joindre la passerelle 192.168.0.250. C'est elle
qui dcidera pour la suite du chemin.
2. Destination 127.0.0.0
C'est la boucle interne, celle qui permet l'hte de se parler lui mme.
3. Destination 192.168.0.0
C'est mon rseau local. Cette ligne indique que la passerelle est 192.168.0.10, de
mme que l'adresse de l'interface.
4. Pour atteindre 192.168.0.10, c'est dire moi-mme, il faudra utiliser 127.0.0.1
(adresse interne toujours la mme sur tous les htes quelque soit l'OS).
5. Pour raliser un broadcast sur mon rseau, il faudra utiliser 192.168.0.10
6. Si l'on souhaite faire du multicast, mme chose
7. Si l'on souhaite faire du broadcast tendu, encore la mme chose.
8. La passerelle par dfaut est indique de faon explicite.
Comme deux exemples valent mieux qu'un, nous allons maintenant voir la table de routage de
gw1, plus intressante parce que dedans, il y a deux interfaces rseau (l'une sur le rseau
local, l'autre sur le rseau FTCI).
Avant d'aller plus loin, rappelons que gw1 est connect l'Internet par eth0 dont l'adresse est
donne par le DHCP de FTCI (213.56.56.250 actuellement), ainsi que le masque de sous
rseau (255.255.248.0) et une passerelle par dfaut (213.56.56.1).
[root@gw1 /root]# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
192.168.0.0 * 255.255.255.0 U 0 0 0
eth1 (1)
213.56.56.0 * 255.255.248.0 U 0 0 0
eth0 (2)
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
(3)
default 213.56.56.1 0.0.0.0 UG 0 0 0
eth0 (4)
Curieusement, les informations paraissent beaucoup plus lisibles, alors que le routage devrait
tre plus compliqu.
1. Pour atteindre le rseau 192.168.0.0 (masque 255.255.255.0), il faut passer par
l'interface eth1
2. Pour atteindre le rseau 213.56.56.0 (masque 255.255.248.0), il faut passer par eth0
3. Pour atteindre le rseau 127.0.0.0, il faut passer par l'interface locale (127.0.0.1)
4. La route par dfaut, celle qu'il faut prendre lorsqu'on ne sait pas laquelle prendre, c'est
de joindre la passerelle 213.56.56.1 en passant par eth0
De ceci nous pouvons dj prvoir quelque chose: Les paquets qui partiront de mon poste de
travail vers un serveur quelconque de l'Internet passeront obligatoirement par 192.168.0.10
pour rejoindre 192.168.0.250. De l, ils passeront par eth0 (213.56.56.250) pour rejoindre
213.56.56.1 et c'est ce routeur qui dcidera de la suite. C'est obligatoire, a ne peut pas tre
autrement, ce sont les seules routes connues dans mon rayon d'action.
Comme vous avez tous suivi attentivement, vous avez pu constater que ce que je dis ici n'est
pas en accord avec ce que dit la commande tracert vers www.ac-montpellier.fr vue plus
haut. En effet, la deuxime passerelle rencontre n'est pas 213.56.56.1 comme on peut le
prvoir, mais 62.161.96.2 qui, en plus, n'est pas situe dans un rseau que gw1 sait atteindre
autrement qu'en passant par 213.56.56.1. Comment se fait-il qu'il n'y ait aucune trace de la
passerelle par dfaut attribue par le DHCP? Pour le savoir, demandez FTCI; j'ignore la
rponse.
Et pourtant, a passe
Et comment font les vrais routeurs ?
Ils font pareil, part que les tables sont souvent plus longues et que leurs mises jour se font
par l'intermdiaire de protocoles de dialogue entre routeurs, pour se tenir informs des
changements toujours possibles. Normalement a marche puisqu'il est tout de mme assez
rare d'tre confront de rels problmes de routage.
La suite
Maintenant que tout le dcor est plant, passons la manipulation proprement dite
Pour mieux comprendre la suite de cet expos, rappelons l'architecture sur laquelle tous les
tests vont tre faits:
Mon rseau local
Le rseau local est rellement constitu de 6 htes (gw1 et gw2 inclus). Tous les htes (gw1 et
gw2 exclus) fonctionnent sous diverses versions de Windows. pchris est mon poste de
travail habituel et fonctionne le plus souvent sous Windows 2000.

Connexion Internet
Il n'y a que les deux htes gw1 et gw2 qui sont connects directement l'Internet via un HUB
et le Com21. Les deux machines fonctionnent sous Linux (Mandrake 7.2 l'heure o ces
lignes ont t crites) et sont toutes les deux configures en passerelles / firewall
1)
.
gw1 est la passerelle officielle . Normalement, il n'y a que cette machine qui est en
service.
gw2 est plus exprimentale, cette machine n'est en service que lorsque je fais des
manipulations particulires, ce qui sera le cas ici.
Informations rseau
Lors des manipulations dcrites dans ce chapitre, les adresses rseau taient les suivantes:

eth0 eth1 Passerelle

MAC IP MAC IP MAC IP
gw1
00:20:AF:07:1A
:3D
213.56.56.
250
00:20:18:61:90
:E3
192.168.0.
250
00:00:OC:07:A
C:03
213.56.56.
1
gw2
00:20:AF:4A:66
:B7
195.6.103.
216
00:20:18:29:11
:31
192.168.0.
253
00:00:OC:07:A
C:03
195.6.96.1
pchr
is
00:20:18:B9:49:
37
192.168.0.
10
N/A N/A
00:20:18:61:90:E
3
192.168.0.
250
Attention! Regardez bien les informations sur les passerelles par dfaut pour gw1 et gw2:
Ct Internet, gw1 et gw2 ne sont pas dans les mmes rseaux logiques.
Leurs passerelles par dfaut sont bien dans leur rseau logique.
L'adresse MAC des deux passerelles par dfaut est la mme. Nous verrons un peu plus
loin cette particularit plus en dtail.
Ce qui veut dire que, bien que les deux htes gw1 et gw2 n'appartiennent pas au mmes
rseaux logiques (IP), ils sont malgr tout connectes sur le mme rseau physique (ce qui est
finalement tout fait normal). Cette conclusion est tire du fait que l'adresse MAC est la
mme pour les deux passerelles. En fait, il n'y a qu'une seule passerelle qui dispose de deux
adresses IP (Plus, en ralit, comme nous le verrons plus loin)
Vrification ultime
Nous avons peut-tre voir d'un peu plus prs la configuration de mon poste de travail:
pchris.
La commande ''ipconfig''
J'utilise Windows 2000. Ce serait la mme chose avec Windows NT 4, mais pas avec
WIndows 95, 98 ou Me; ces OS disposent en revanche de l'application winipgfg qui fait
rigoureusement la mme chose, mais en mode graphique.
E:\>ipconfig /all

Configuration IP de Windows 2000

Nom de l'hte . . . . . . . . . . : pchris
Suffixe DNS principal . . . . . . : maison.mrs
Type de noeud . . . . . . . . . . : Diffuser
Routage IP activ . . . . . . . . : Non
Proxy WINS activ . . . . . . . . : Non

Ethernet carte Connexion au rseau local:

Suffixe DNS spc. la connexion. :
Description . . . . . . . . . . . : Carte Realtek PCI Ethernet base
RTL8029(AS)
Adresse physique. . . . . . . . . : 00-20-18-B9-49-37
DHCP activ . . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.0.10
Masque de sous-rseau . . . . . . : 255.255.255.0
Passerelle par dfaut . . . . . . : 192.168.0.250
Serveurs DNS. . . . . . . . . . . : 192.168.0.250
C'est une configuration fixe. Il n'y a pas de DHCP sur mon rseau priv (pour 4 htes, ce
serait peut-tre excessif). Nous avons ici toutes les informations ncessaires au bon
fonctionnement de la pile IP:
Adresse MAC
Adresse IP
Masque de sous rseau
Passerelle par dfaut.
Mais c'est quoi, cette passerelle par dfaut ?
Mon poste de travail sait que tous les autres htes du rseau ont des adresses avec le mme
HostID 192.168.0.0 et qu'il peut leur envoyer directement les informations. En revanche,
pour tout hte qui dispose d'une adresse IP avec un HostID autre, il sait qu'il ne peut pas leur
envoyer d'informations directement. Dans ce cas, il lui faut un relais et ce relais, c'est
justement la passerelle par dfaut. Ici, la configuration est simple, il n'y a qu'un seul routeur.
Sur des rseaux plus complexes, il pourrait y avoir plusieurs routeurs, chacun tablissant une
passerelle vers des rseaux diffrents. La table de routage serait alors plus complique, une
simple passerelle par dfaut ne pouvant plus suffire.
Plus simplement, la couche 3 de mon OS, lorsqu'elle doit envoyer des informations un hte
qui n'est pas sur mon rseau, se contentera de les envoyer la passerelle par dfaut, soit
192.168.0.250 qui, elle, est directement accessible, puisqu'elle est dans le mme rseau
logique. C'est elle qui devra se charger de dfinir la suite de la route.
Une route simple
Nous allons voir de trs prs comment dterminer l'itinraire entre un client et le serveur FTP
ftp.oleane.net. Ce n'est pas trs difficile, nous savons maintenant qu' il existe une commande
exprs pour.
Cette fois-ci, nous allons utiliser tracert sur ftp.oleane.net.
Quelles informations obtient-on ?
L'exemple qui suit est ralis avec Windows 2000 depuis mon poste pchris
Dtermination de l'itinraire vers ftp.oleane.net [195.25.12.28] avec un
maximum de 30 sauts:
1 <10 ms <10 ms <10 ms gw1.maison.mrs [192.168.0.250]
2 20 ms 30 ms 20 ms ca-ol-marseille-1-2.abo.wanadoo.fr [62.161.96.2]
3 30 ms 10 ms 30 ms 194.250.158.162
4 30 ms 20 ms 30 ms 212.234.244.93
5 10 ms 30 ms 20 ms POS-6-0-
0.NCMAR201.Marseille.raei.francetelecom.net [194.51.171.37]
6 20 ms 30 ms 20 ms P0-2.nrlyo101.Lyon.francetelecom.net
[193.252.101.74]
7 30 ms 30 ms 40 ms P7-0.ntaub101.Aubervilliers.francetelecom.net
[193.251.126.226]
8 40 ms 30 ms 30 ms P9-0.nraub201.Aubervilliers.francetelecom.net
[193.251.126.165]
9 30 ms * 40 ms POS-2-0.ARCG1.Archives.raei.francetelecom.net
[194.51.159.234]
10 30 ms 40 ms 21 ms POS-1-0.GENG1.Archives.raei.francetelecom.net
[194.51.159.154]
11 40 ms 30 ms 40 ms ftp.oleane.net [195.25.12.28] Itinraire
dtermin.
Comme nous l'avons vu, la commande permet d'identifier tous les routeurs par lesquels on
passe pour arriver jusqu' la cible, avec le temps ncessaire pour atteindre chacun d'eux, un
peu comme le ferait un ping. Les toiles indiquent que le temps de rponse a t trop long ou
qu'il n'y a pas eu de rponse.
Comment a marche ?
Premire vrification
No. Source Destination
Proto Info
1 - Premire passerelle (la mienne). Nous voyons les trois pings et les
trois rponses ICMP
On passe du rseau 192.168.0.0 au rseau 213.56.56.0 (L'adresse indique
dans le tracert semble
ne pas tre la bonne, mais souvenez-vous que ce routeur a plusieurs
adresses IP
sur la mme interface)

583 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
584 gw1.maison.mrs pchris.maison.mrs ICMP
Time-to-live exceeded
585 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
586 gw1.maison.mrs pchris.maison.mrs ICMP
Time-to-live exceeded
587 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
588 gw1.maison.mrs pchris.maison.mrs ICMP
Time-to-live exceeded

2 - Seconde passerelle (ma passerelle par dfaut)
On passe du rseau 213.56.56.0 au rseau 194.250.158.0
610 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
611 ca-ol-marseille-1-2.abo.wanadoo.fr pchris.maison.mrs ICMP
Time-to-live exceeded
612 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
613 ca-ol-marseille-1-2.abo.wanadoo.fr pchris.maison.mrs ICMP
Time-to-live exceeded
614 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
615 ca-ol-marseille-1-2.abo.wanadoo.fr pchris.maison.mrs ICMP
Time-to-live exceeded

3 - Troisime passerelle du rseau 194.250.158.0 au rseau 194.51.171.0
637 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
638 194.250.158.162 pchris.maison.mrs ICMP
Time-to-live exceeded
639 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
640 194.250.158.162 pchris.maison.mrs ICMP
Time-to-live exceeded
641 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
642 194.250.158.162 pchris.maison.mrs ICMP
Time-to-live exceeded

4 - Et ainsi de suite jusqu' la destination...
744 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
745 212.234.244.93 pchris.maison.mrs ICMP
Time-to-live exceeded
746 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
747 212.234.244.93 pchris.maison.mrs ICMP
Time-to-live exceeded
748 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
749 212.234.244.93 pchris.maison.mrs ICMP
Time-to-live exceeded

5 -
842 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
843 POS-6-0-0.NCMAR201.Marseille.raei.francetel... pchris.maison.mrs ICMP
Time-to-live exceeded
844 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
845 POS-6-0-0.NCMAR201.Marseille.raei.francetel... pchris.maison.mrs ICMP
Time-to-live exceeded
846 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
847 POS-6-0-0.NCMAR201.Marseille.raei.francetel... pchris.maison.mrs ICMP
Time-to-live exceeded

...

9 - Notez ici la rponse qui a trop tard venir et considre comme
perdue
Elle se traduit dans la rponse de tracert par une astrisque
950 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
951 POS-2-0.ARCG1.Archives.raei.francetelecom.net pchris.maison.mrs ICMP
Time-to-live exceeded
952 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
1021 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
1022 POS-2-0.ARCG1.Archives.raei.francetelecom.net pchris.maison.mrs ICMP
Time-to-live exceeded

...

11 - Et enfin la cible...
1071 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
1072 ftp.oleane.net pchris.maison.mrs ICMP
Echo (ping) reply
1073 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
1074 ftp.oleane.net pchris.maison.mrs ICMP
Echo (ping) reply
1075 pchris.maison.mrs ftp.oleane.net ICMP
Echo (ping) request
1076 ftp.oleane.net pchris.maison.mrs ICMP
Echo (ping) reply
Ce premier aperu ne nous montre pas grand chose, finalement ; si ce n'est que la commande
tracert utilise des pings vers la cible et que ce sont tour tour les passerelles successives qui
rpondent par un TTL expir , jusqu' la cible qui rpond au ping.
Essayons tout de mme d'en savoir un peu plus
Nous allons regarder de plus prs le contenu de la premire trame mise:
Frame 583 (106 on wire, 106 captured)
Arrival Time: Jan 21, 2001 10:25:11.5597
Time delta from previous packet: 0.000000 seconds
Frame Number: 583
Packet Length: 106 bytes
Capture Length: 106 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
*** Adresse MAC de l'interface Eth1 de ma passerelle linux!
Source: 00:20:18:b9:49:37 (pchris.maison.mrs)
*** Adresse MAC de mon poste de travail
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 92
Identification: 0x3b7b
Flags: 0x00
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 1
*** Avec un TTL de 1 seconde (comme c'est dit dans les critures)
Protocol: ICMP (0x01)
Header checksum: 0xee3e (correct)
Source: pchris.maison.mrs (192.168.0.10)
*** Niveau IP la source est toujours mon poste de travail
Destination: ftp.oleane.net (195.25.12.28)
*** Niveau IP la destination est bien ftp.oleane.net
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xd0ff (correct)
Identifier: 0x0200
Sequence number: 25:00
Data (64 bytes)
...
Nous avons constat ici quelques dtails intressants:
Pour le premier ping, le TTL est bien fix une seconde.
Bien que la cible IP soit ftp.oleane.net, la cible Ethernet (Adresses MAC) est la
passerelle!
Mais voyons maintenant la premire rponse :
Frame 584 (154 on wire, 154 captured)
Arrival Time: Jan 21, 2001 10:25:11.5599
Time delta from previous packet: 0.000171 seconds
Frame Number: 584
Packet Length: 154 bytes
Capture Length: 154 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (pchris.maison.mrs)
*** oui, normal...
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
*** Et c'est ma passerelle qui rpond. C'est normal aussi, c'est elle
qui a tu le paquet en mettant son TTL 0
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN:
0x00)
1100 00.. = Differentiated Services Codepoint: Class Selector 6
(0x30)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 140
Identification: 0xfb43
Flags: 0x00
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 255
Protocol: ICMP (0x01)
Header checksum: 0x3d18 (correct)
Source: gw1.maison.mrs (192.168.0.250)
Destination: pchris.maison.mrs (192.168.0.10)
Internet Control Message Protocol
Type: 11 (Time-to-live exceeded)
Code: 0 (TTL equals 0 during transit)
*** Vous constaterez que l'on a ici toute l'explication du
fonctionnement.
Checksum: 0xf2ff (correct)
Avez-vous compris le principe? Nous n'allons pas toutes les faire, nous allons juste regarder
un dialogue un peu plus loin pour vrifier.
La trame 923 (ne vous tonnez pas des numros de trames, je n'tais pas le seul sur le rseau
lorsque j'ai rcupr la trace, il a fallu filtrer un peu). Cette trame correspond la premire
rponse du 8 routeur (P9-0.nraub201.Aubervilliers.francetelecom.net)
Frame 923 (106 on wire, 106 captured)
Arrival Time: Jan 21, 2001 10:25:27.9036
Time delta from previous packet: 0.965007 seconds
Frame Number: 923
Packet Length: 106 bytes
Capture Length: 106 bytes
Ethernet II
Destination: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
Source: 00:20:18:b9:49:37 (pchris.maison.mrs)
*** Bien entendu, rien n'a chang, au niveau MAC, la remarque faite
plus haut se re vrifie)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 92
Identification: 0x3c20
Flags: 0x00
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 8
*** Le TTL est ici de 8 (c'est normal, on cherche la 8 passerelle)
Protocol: ICMP (0x01)
Header checksum: 0xe699 (correct)
Source: pchris.maison.mrs (192.168.0.10)
Destination: ftp.oleane.net (195.25.12.28)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0xbbff (correct)
Identifier: 0x0200
Sequence number: 3a:00
Et la rponse du 8 routeur
Frame 924 (70 on wire, 70 captured)
Arrival Time: Jan 21, 2001 10:25:27.9379
Time delta from previous packet: 0.034276 seconds
Frame Number: 924
Packet Length: 70 bytes
Capture Length: 70 bytes
Ethernet II
Destination: 00:20:18:b9:49:37 (pchris.maison.mrs)
Source: 00:20:18:61:90:e3 (00:20:18:61:90:e3)
*** Et la source? C'est pas le 8 routeur, c'est toujours ma passerelle
moi!
*** (Nous sommes au niveau 2, au niveau Ethernet)
Type: IP (0x0800)
Internet Protocol
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 56
Identification: 0x0000
Flags: 0x00
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 249
Protocol: ICMP (0x01)
Header checksum: 0xc071 (correct)
Source: P9-0.nraub201.Aubervilliers.francetelecom.net (193.251.126.165)
*** Au niveau 3 (IP), c'est bien le routeur qui rpond
Destination: pchris.maison.mrs (192.168.0.10)
Internet Control Message Protocol
Type: 11 (Time-to-live exceeded)
Code: 0 (TTL equals 0 during transit)
Checksum: 0xec57 (correct)
Si je n'avais pas eu peur de vous fatiguer (ce qui, du reste, est peut-tre tout de mme le cas),
je vous aurai laiss la totalit de la trace pour vrifier que, quelque soit le routeur qui tue le
ping parce que son TTL a expir durant le transit, l'adresse MAC de la source que reoit mon
poste de travail est toujours celle de ma passerelle (le premier routeur que je rencontre sur le
chemin). Ceci confirme bien ce que nous avons dj vu propos de la couche 2.
De l'autre ct...
Nous avons vu en dtail le dialogue ICMP sur le rseau local. C'est bien, mais nous allons
faire mieux Un petit dessin :

Grce gw2, nous allons espionner les paquets ICMP qui traversent gw1 pour aller plus loin.
La premire salve, celle qui avait un TTL de 1 en partant de mon poste de travail, nous ne la
verrons pas au del de gw1, c'est normal, gw1 l'a tue. La premire que nous verrons passer,
c'est celle qui partait de pchris avec un TTL de 2.
Pour mieux suivre, nous comparons ces paquets avant passage de gw1 et aprs :
Envoi de l'cho.
Sur le rseau local
(entre pchris et gw1)
Sur la connexion Internet
(entre gw1 et la passerelle FAI)
Frame 610 (106 on wire, 106 captured)
...
Ethernet II
Destination: 00:20:18:61:90:e3
(eth1 sur gw1)
Source: 00:20:18:b9:49:37 (pchris)
*** notez bien au passage de gw1
le changement
d'adresses MAC source et
destination
...
Time to live: 2
...
Frame 32 (106 on wire, 106 captured)
...
Ethernet II
Destination: 00:00:0c:07:ac:03
(pass. FAI)
Source: 00:20:af:07:1a:3d (eth0
sur gw1)
...
...
...
Time to live: 1
*** Le TTL a t dcrmente par
gw1
Protocol: ICMP (0x01)
Header checksum: 0xed31 (correct)
Source: (192.168.0.10)
*** Attention l'IP...
Destination: ftp.oleane.net
(195.25.12.28)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
...
Sequence number: 28:00
...
Protocol: ICMP (0x01)
Header checksum: 0xa0b1
(correct)
Source: (213.56.56.250)
*** a, c'est le travail de "IP
Masquerade"
Destination: ftp.oleane.net
(195.25.12.28)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
...
Sequence number: 28:00
...
Plusieurs points sont retenir:
Au niveau Ethernet (niveau 2) les adresses MAC ont chang, elles correspondent
chaque fois l'metteur et au destinataire dans le rseau concern.
Le TTL du paquet a t dcrment au passage de gw1. Nous savons dj que, lorsque
ce paquet va arriver sur la passerelle FTCI, il va tre tu puisque son TTL va tomber
0 et que cette passerelle va nous renvoyer un message ICMP Time-to-live exceeded.
L'adresse IP a t modifie, mais ceci est d au masquage d'adresse introduit par gw1.
Si gw1 avait t un vrai routeur, il n'aurait pas agi au niveau de l'IP
Rception de la rponse
(asseyez-vous confortablement, il va y avoir des surprises)
Sur le rseau local
(entre pchris et gw1)
Sur la connexion Internet
(entre gw1 et la passerelle FTCI)
Frame 611 (70 on wire, 70 captured)
...
Ethernet II
Destination: 00:20:18:b9:49:37
*** (pchris.maison.mrs)

Source: 00:20:18:61:90:e3
*** (eth1 sur gw1)
Type: IP (0x0800)
Internet Protocol
...
Source: ca-ol-marseille-1-
2.abo.wanadoo.fr
(62.161.96.2)
Destination: pchris.maison.mrs
(192.168.0.10)
Internet Control Message Protocol
Type: 11 (Time-to-live
exceeded)
...
Frame 33 (70 on wire, 70 captured)
...
Ethernet II
Destination: 00:20:af:07:1a:3d
*** (ca-ol-marseille-9-
250.abo.wanadoo.fr)
*** (joli nom de gw1 sur le Net)
Source: 00:03:a0:83:0c:00
*** (ca-ol-marseille-25-
2.abo.wanadoo.fr)
Type: IP (0x0800)
Internet Protocol
...
Source: ca-ol-marseille-1-
2.abo.wanadoo.fr
(62.161.96.2)
Destination: ca-ol-marseille-9-
250.abo.wanadoo.fr
(213.56.56.250)
Internet Control Message Protocol
Type: 11 (Time-to-live exceeded)
...
Rappelons ici le rsultat de la commande tracert:
Dtermination de l'itinraire vers ftp.oleane.net [195.25.12.28] avec un
maximum de 30 sauts:
1 <10 ms <10 ms <10 ms gw1.maison.mrs [192.168.0.250]
2 20 ms 30 ms 20 ms ca-ol-marseille-1-2.abo.wanadoo.fr [62.161.96.2]
3 ....
Nous avions dj rencontr ce phnomne dans la prsentation de la commande tracert,
nous le retrouvons identique ici.
Dj, est-il normal que ce soit ca-ol-marseille-1-2.abo.wanadoo.fr (62.161.96.2) qui
me rponde, alors que ma passerelle par dfaut est ca-ol-marseille-9-1.abo.wanadoo.fr
(213.56.56.1) ? La seconde serait logique puisqu'elle est dans le mme rseau que gw1
ct public, mais ce n'est pas elle qui rpond. Nous pourrions penser que c'est une
astuce, il est possible en effet d'attribuer plusieurs adresses IP la mme interface
rseau, mais dans ce cas, l'adresse MAC devrait correspondre
Encore plus curieux, au niveau Ethernet, c'est 00:03:a0:83:0c:00 qui rpond (ca-ol-
marseille-25-2.abo.wanadoo.fr)
Rsumons-nous :
Sur un rseau simple , il y a une passerelle par dfaut, les paquets sortant vers un
autre rseau et entrant depuis un autre rseau passent par elle, une analyse de trame et
une tude de la table ARP le confirment.
Ici, tout se passe de faon plus complique:
o Les paquets sortant ne peuvent passer que par la passerelle par dfaut
paramtre par le serveur DHCP (ici 213.56.56.1, 00:00:0c:07:ac:03) Ce n'est
pas possible autrement, ma machine connecte au COm21 n'en connat pas
d'autres.
o Les paquets entrants, en revanche, arrivent par une autre passerelle:
00:03:a0:83:0c:00. Ce qui est encore plus curieux, c'est qu'au niveau IP elle est
annonce avec l'adresse 62.161.96.2, adresse situe dans un autre rseau
logique que le mien (213.56.56.0)
1)
En ces temps bnis, il tait possible en effet d'obtenir deux adresses IP publiques, ce qui a
permis cette manipulation, maintenant impossible
Conclusions
Que peut-on retenir de tout a ?
Le niveau Ethernet (niveau 2 OSI)
Ce niveau utilise les adresses MAC pour acheminer les paquets. Ici, il n'est pas possible de
sortir du rseau physique.
Pour y arriver, il faut des routeurs qui travaillent au niveau suprieur. Ces routeurs prennent
en charge l'acheminement des paquets inter rseaux en agissant en quelque sorte comme
destinataire par procuration (ou metteur par procuration), si bien que lorsqu'un paquet est
destination d'un autre rseau, au niveau 2, il est envoy au routeur.
Le niveau Internet Protocol (niveau 3 OSI)
A ce niveau plus volu, les paquets sont capables de passer d'un rseau l'autre en
empruntant des routes prdfinies en fonction des adresses rseau (NetID). C'est ce niveau
qu'un paquet sera directement transmis au destinataire si celui-ci est situ sur le mme rseau
logique (livraison directe) ou transmis une passerelle qui retransmettra plus loin (livraison
indirecte). De chaque ct d'un routeur, les adresses MAC changent, de manire ce que le
niveau Ethernet puisse fonctionner correctement l'intrieur des rseaux physiques
concerns.
Epilogue
J'espre que cette contribution vous aura permis d'un peu mieux comprendre comment sur
l'Internet les donnes circulent de part le monde avec quelques chances de ne pas se perdre.
Pour ceux qui ont mettre en place de tels systmes, il est fondamental de bien rflchir
l'tablissement des routes. Il n'est pas rare en effet sur des rseaux locaux constitus de
plusieurs sous rseau logiques, le tout connect l'Internet, d'avoir l'impression que tout se
passe bien, alors que des paquets devant aller d'un sous rseaux l'autre empruntent des
routes aberrantes, simplement parce que le routage entre les sous rseaux a t mal fait.
Pour l'utilisateur terminal, l'internaute classique , la route par dfaut indique par le DHCP
du fournisseur de services suffira dans l'immense majorit des cas, surtout s'il n'a aucun
rseau local, mais un minimum de connaissances sur le principe lui permettra de mieux cerner
d'ventuels dysfonctionnements et ventuellement d'y remdier sans penser que la
rinstallation de la couche IP est le seul remde possible.
Pour les plus curieux qui se lanceront dans diverses manipulations pour observer le routage,
sachez que vous risquez fort de rencontrer des situations difficilement explicables. Pour
reprendre une remarque qui m'a t faite sur le forum fr.comp.reseaux.ip : Avec IP, c'est
tous les jours carnaval .
Le meilleur pour la fin
Il est de bon ton, dans une oeuvre littraire o cinmatographique, d'adopter une conclusion
ouverte , c'est--dire qu'elle ne conclue pas. a permet au lecteur ou au spectateur de se
fabriquer la suite de l'histoire comme il en a envie. a peut aussi servir, vous l'aurez constat
maintes fois, permettre de produire une suite, pour ceux qui manqueraient d'imagination
(Alien 1, 2, 3, 4 ).
Je vous propose ici une conclusion de ce type
Nous avons vu des traceroutes partant de chez nous vers des htes distants. Nous n'avons pas,
et pour cause, essay de voir la route de l'hte distant vers chez nous. Pourquoi faire? Tout
simplement parce que rien n'oblige ce que les routes aller et retour soient les mmes !
Vous pouvez vous amuser avec un correspondant ou, plus simplement, avec des serveurs de
traceroute. Vous en trouverez quelques uns sur cette page. Prenons juste un exemple:
Dtermination de l'itinraire de chez moi vers www.belnet.be
[193.190.198.19]

1 gw1.maison.mrs 192.168.0.250
2 ca-ol-marseille-1-2.abo.wanadoo.fr 62.161.96.2
3 194.250.158.162 194.250.158.162
4 212.234.244.93 212.234.244.93
5 POS-6-0-0.NCMAR201.Marseille.raei.francetelecom.net 194.51.171.37
6 P0-7.ncmar301.Marseille.francetelecom.net 193.252.101.74
7 P5-1.nrlyo101.Lyon.francetelecom.net 193.252.101.146
8 P7-0.ntaub101.Aubervilliers.francetelecom.net 193.251.126.226
9 193.251.126.154 193.251.126.154
10 So-1-0-0.BAGBB4.Paris.opentransit.net 193.251.240.73
11 So-5-0-0.PASBB4.Paris.opentransit.net 193.251.240.57
12 P9-0.PASBB1.Paris.opentransit.net 193.251.240.54
13 So-1-0-3.TELBB1.Telehouse.opentransit.net 193.251.240.150
14 paris1.fr.eqip.net 195.206.65.141
15 paris5.fr.eqip.net 195.206.64.61
16 amsterdam11.nl.eqip.net 195.90.64.217
17 amsterdam51.nl.eqip.net 195.90.65.121
18 amsterdam9.nl.eqip.net 195.90.65.102
19 nl-aucs.nl.ten-155.net 212.1.194.1
20 ge.nl40.ten-155.net 212.1.193.146
21 nl-uk-2.uk40.ten-155.net 212.1.197.62
22 be-uk.be1.ten-155.net 212.1.197.14
23 pvc0-1005.c12008.brussels.belnet.net 212.1.192.122
24 g10-0-0.c7513.science.belnet.net 193.190.197.182
25 dalet.belnet.be 193.190.198.19

Itinraire dtermin.
Dtermination de l'itinraire de www.belnet.be [193.190.198.19] vers chez
moi [213.56.56.250] :

1 g0-1-0-1.c7513.science.belnet.net 193.190.198.16
2 g6-0.c12008.brussels.belnet.net 193.190.197.181
3 serial5-0.bru-icr-02.carrier1.net 212.4.203.1
4 fastethernet6-1.bru-bbr-01.carrier1.net 212.4.199.197
5 pos13-1.lon-bbr-02.carrier1.net 212.4.199.61
6 pos1-0.lon-bbr-01.carrier1.net 212.4.193.189
7 pos13-0.par-bbr-02.carrier1.net 212.4.211.134
8 serial1-1.par-ixr-01.carrier1.net 212.4.192.234
9 Oleane.parix.net 198.32.246.20
10 Raspail.GW.OLEANE.NET 194.2.3.10
11 POS-8-0.NRSTA102.Raspail.raei.francetelecom.net 194.51.159.53
12 P3-0.ntsta102.Paris.francetelecom.net 193.251.126.42
13 P9-0.nrlyo102.Lyon.francetelecom.net 193.251.126.97
14 P0-0.ncmar302.Marseille.francetelecom.net 193.252.101.149
15 P0-0-0.ncmar202.Marseille.francetelecom.net 193.252.101.77
16 POS-5-1-0.MAR4.Marseille.raei.francetelecom.net 194.51.171.42
17 194.250.158.158 194.250.158.158
18 ca-ol-marseille-9-250.abo.wanadoo.fr 213.56.56.250

Itinraire dtermin.
Ce n'est pas trs facile interprter, parce que, mme lorsqu'on passe le mme routeur dans
un sens ou dans l'autre, on ne le voit pas avec la mme adresse ni le mme nom, puisqu'on le
voit par l'interface par laquelle on entre. Il est clair cependant dans cet exemple que les
chemins ne sont pas les mmes l'aller et au retour, puisqu'il n'y a pas le mme nombre de
passerelles franchies.
Alors, rflchissez ceci: vous faites un traceroute. Les messages ICMP TTL Exceed qui
vous reviennent ne prennent pas forcment le mme chemin que le ping que vous avez
envoy. La dure indique sur la ligne correspond aux temps aller + retour. Comme les
chemins peuvent tre diffrents, que pouvez-vous conclure ? Rien, parce qu'un temps lev ne
met pas forcment en cause la passerelle qui a rpondu, mais peut tre une passerelle dont on
ignore tout et qui est situe quelque part sur le chemin de retour, mais pas sur le chemin de
l'aller.
Vertigineux non ?
Le routage, complments
Le routage est une notion pas forcment facile comprendre.
Ce court chapitre a pour but de donner quelques exemples supplmentaires qui aideront
comprendre, sur des cas concrets, ce qui est expliqu dans le chapitre IP et le Routage :
Un cas tout simple d'un routeur entre deux rseaux privs,
un routeur avec masquage d'adresse, destin permettre l'accs des clients d'un LAN
l'Internet, par une connexion permanente unique (partage de connexion Internet),
un montage un peu plus tordu, mlangeant les deux premiers cas, destin montrer
comment un paquet peut passer par des sens uniques, passer dans un sens mais pas
dans l'autre, emprunter des chemins de traverse
Une manip. trs simple
Dans cet exemple,
nous avons un cas extrmement simple :
Un rseau bleu, dont l'adresse IP est 192.168.0.0, avec le classique masque
255.255.255.0 ;
un rseau rouge, dont l'adresse IP est 192.168.1.0, mme masque ;
entre les deux, un routeur qui dispose donc deux deux adresses IP :
192.168.0.9 dans le rseau bleu
192.168.1.1 dans le rseau rouge. Ce routeur s'appelle Helios.
Dans le rseau bleu, Saturne, d'adresse IP 192.168.0.2, envoie un ping sur Neptune, qui se
trouve dans le rseau rouge avec l'IP 192.168.1.3.
Saturne
Machine sous Debian Woody.
Configuration rseau
saturne:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:E8:78:9A:1F
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2674831 errors:7 dropped:559 overruns:7 frame:0
TX packets:1880271 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2193374824 (2.0 GiB) TX bytes:932807313 (889.5 MiB)
Interrupt:10 Base address:0xa000

lo Link encap:Local Loopback...
Observez bien les deux adresses qui vont nous tre utiles par la suite :
HW addr :00:00:E8:78:9A:1F
inet addr:192.168.0.2
Configuration de routage
saturne:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.9 0.0.0.0 UG 0 0 0 eth0
Notez la route par dfaut : Il faut passer par eth0 et joindre le nud 192.168.0.9.
Neptune
Egalement sous Debian Woody.
Configuration rseau
neptune:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:A0:C9:E0:2B:7B
inet addr:192.168.1.3 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:527923 errors:0 dropped:0 overruns:0 frame:0
TX packets:422325 errors:0 dropped:0 overruns:0 carrier:0
collisions:21182 txqueuelen:100
RX bytes:269846768 (257.3 MiB) TX bytes:240923195 (229.7 MiB)
Interrupt:11 Base address:0x5000

lo Link encap:Local Loopback...
Observez bien ici aussi les deux adresses qui vont nous tre utiles par la suite :
HW addr : 00:A0:C9:E0:2B:7B
inet addr:192.168.1.3
Configuration de routage
neptune:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
Notez l encore la route par dfaut : Il faut passer par eth0 et joindre le nud 192.168.1.1.
Helios
Sous Mandrake 9.0.
L, a va tre un peu plus compliqu, il y a deux interfaces rseau :
[root@helios root]# ifconfig
eth0 Lien encap:Ethernet HWaddr 00:20:18:B9:49:37
inet adr:192.168.0.9 Bcast:192.168.0.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4338949 errors:0 dropped:0 overruns:0 frame:0
TX packets:4968746 errors:0 dropped:0 overruns:0 carrier:0
collisions:11750 lg file transmission:100
RX bytes:503746782 (480.4 Mb) TX bytes:547552476 (522.1 Mb)
Interruption:9 Adresse de base:0x5000

eth1 Lien encap:Ethernet HWaddr 00:20:AF:4A:66:00
inet adr:192.168.1.1 Bcast:192.168.1.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4403671 errors:0 dropped:0 overruns:0 frame:0
TX packets:3762159 errors:0 dropped:0 overruns:0 carrier:0
collisions:34316 lg file transmission:100
RX bytes:2763013200 (2635.0 Mb) TX bytes:2646670391 (2524.0 Mb)
Interruption:5 Adresse de base:0x210

lo Lien encap:Boucle locale...
Notons les adresses utiles pour chaque rseau :
HW addr :00:20:18:B9:49:37
inet adr:192.168.0.9
Pour le rseau 192.168.0.0
HWaddr 00:20:AF:4A:66:00
inet adr:192.168.1.1
Pour le rseau 192.168.1.0
Configuration de routage
[root@helios root]# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Notez que cette machine n'est qu'un routeur, son unique rle, simplifi l'extrme, est
d'interconnecter les deux rseaux 192.168.0.0 et 192.168.1.0
Aucune route par dfaut n'est indique ici.
Tout ce que nous observons, c'est que Helios sait que :
Pour aller dans le rseau bleu (192.168.0.0), il faut envoyer les paquets sur eth0,
pour aller dans le rseau rouge (192.168.1.0), il faut envoyer les paquets sur eth1
C'est bien, mais a ne suffit pas pour que Helios fonctionne comme un routeur. Nous avons un
peu besoin d'IPtables :
iptables -A FORWARD -j ACCEPT # c'est pas bien compliqu...
Il faut aussi s'assurer que l'on a autoris le noyau faire le routage :
echo 1 > /proc/sys/net/ipv4/ip_forward
Et a va router
saturne:~# ping -c 1 neptune
PING neptune.eme.org (192.168.1.3): 56 data bytes
64 bytes from 192.168.1.3: icmp_seq=0 ttl=254 time=1.2 ms

--- neptune.eme.org ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 1.2/1.2/1.2 ms
Si le ping passe, c'est que a route.
Juste pour le fun :
neptune:~# ping -c 1 saturne
PING saturne.eme.org (192.168.0.2): 56 data bytes
64 bytes from 192.168.0.2: icmp_seq=0 ttl=254 time=1.1 ms

--- saturne.eme.org ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 1.1/1.1/1.1 ms
Ca marche aussi dans l'autre sens.
Snif
On regarde tout a avec des sniffers, l'un sur le rseau bleu et l'autre sur le rseau rouge.
saturne:~# ping -c 1 neptune
Les traces qui suivent ont t expurges de ce qui nous est inutile ici.
Tout ce qu'il est important d'observer est surlign
Frame 1 ...
Ethernet II
Destination: 00:20:18:b9:49:37
Source: 00:00:e8:78:9a:1f
Type: IP (0x0800)
Internet Protocol, Src Addr:
saturne.eme.org

(192.168.0.2),
Frame 1 ...
Ethernet II
Destination: 00:a0:c9:e0:2b:7b
Source: 00:20:af:4a:66:00
Type: IP (0x0800)
Internet Protocol, Src Addr:
saturne.eme.org

(192.168.0.2),
Dst Addr:
neptune.eme.org

(192.168.1.3)
...
Time to live: 64
Protocol: ICMP (0x01)
...
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
...

Frame 2 ...
Ethernet II
Destination: 00:00:e8:78:9a:1f
Source: 00:20:18:b9:49:37
Type: IP (0x0800)
Internet Protocol, Src Addr:
neptune.eme.org

(192.168.1.3),
Dst Addr:
saturne.eme.org

(192.168.0.2)
...
Time to live: 254
Protocol: ICMP (0x01)
...
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Dst Addr:
neptune.eme.org

(192.168.1.3)
...
Time to live: 63
Protocol: ICMP (0x01)
...
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
...

Frame 2...
Ethernet II
Destination: 00:20:af:4a:66:00
Source: 00:a0:c9:e0:2b:7b
Type: IP (0x0800)
Internet Protocol, Src Addr:
neptune.eme.org

(192.168.1.3),
Dst Addr:
saturne.eme.org

(192.168.0.2)
...
Time to live: 255
Protocol: ICMP (0x01)
...
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Vous avez not les points fondamentaux :
Au niveau IP, les adresses source et destination sont les mmes des deux cts de
Helios,
au niveau Ethernet, il n'en va pas de mme :
o Dans la trame 1 (echo request) :
ct bleu :
l'adresse MAC source est bien celle de Saturne,
l'adresse MAC destination est celle du routeur Helios ct
bleu,
ct rouge :
l'adresse MAC source est celle du routeur Helios ct rouge,
l'adresse MAC destination est bien celle de Neptune,
o Dans la trame 2 (echo reply) :
ct rouge :
l'adresse MAC source est bien celle de Neptune,
l'adresse MAC destination est celle u routeur Helios ct
rouge,
ct bleu :
l'adresse MAC source est celle du routeur Helios ct bleu
l'adresse MAC de destination est bien celle de Saturne.
Autrement dit :
Lorsque Saturne doit envoyer son echo request Neptune :
o ICMP prpare son paquet et le refile IP (couche 3),
o IP constate que la cible n'est pas dans son rseau, cherche le routeur joindre
pour passer dans le rseau rouge. Il n'y a qu'une passerelle par dfaut :
192.168.0.9.
Advienne que pourra, on va lui envoyer le paquet, mais les adresses IP source
et destination ne sont pas modifies. En fait, IP va rechercher l'adresse MAC
d'Helios dans son rseau et trouve que 192.168.0.9 a pour adresse MAC
00:20:18:b9:49:37.
IP va donc dposer cette adresse de destination, avant de refiler le paquet la
couche 2
o Ethernet va donc, sans se poser de question grer ce paquet comme s'il
s'adressait Helios.
o Helios reoit ce paquet, le fait remonter jusqu'au niveau IP ct bleu
(192.168.0.0),
o l, la couche IP constate que Helios n'est pas le destinataire, puisque c'est
Neptune (192.168.1.3),
o Netfilter passe le paquer la couche IP rouge (192.168.1.0)
o La couche IP rouge va chercher l'adresse MAC de Neptune, puisqu'elle sait
que Neptune est dans le mme rseau qu'elle.
Et voil le travail.
Un peu de philosophie
Jouons avec traceroute :
saturne:~# traceroute -I -n neptune
traceroute to neptune.eme.org (192.168.1.3), 30 hops max, 38 byte packets
1 192.168.0.9 0.824 ms 0.741 ms 0.740 ms
2 192.168.1.3 1.246 ms 0.922 ms 0.968 ms
neptune:~# traceroute -I -n saturne
traceroute to saturne.eme.org (192.168.0.2), 30 hops max, 38 byte packets
1 192.168.1.1 0.902 ms 0.705 ms 0.675 ms
2 192.168.0.2 1.108 ms 1.033 ms 1.008 ms
Bien entendu, nous passons toujours par Helios au hop 1, quelque soit le sens du
traceroute, mais nous le voyons du ct bleu avec l'IP 192.168.0.9 et du ct rouge avec l'IP
192.168.1.1
a vous tonne ?
Routage avec MASQUERADE
Plus fort. Nous
reprenons ici le principe du routage entre un rseau local utilisant des adresses IP prives et
une connexion Internet, avec une vraie IP, une qui peut se promener de rseau en rseau
en dehors de notre microcosme.
Pour raliser la manipulation, nous ralisons quelque chose de trs similaire ce que nous
avons vu en page prcdente, seules les adresses MAC et IP changent, de mme que le nom
de la passerelle. Notre routeur cyclope, qui connecte nos rseaux 192.168.1.0 et 192.168.0.0
va, ici, raliser un masquage d'adresse pour 192.168.1.0.
Autrement dit :
192.168.1.0 joue le rle du rseau local,
192.168.0.0 joue le rle de l'Internet
Ici, cyclope ne va pas se comporter en routeur normal , il fera du masquage d'adresse de
tout ce qui vient du rseau 192.168.1.0 et sort par eth0.
Avec IPtables, nous utilisons la commande suivante :
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
192.168.1.2 envoie un ping sur 192.168.0.15 :
Ct rseau 192.168.1.0 (LAN) Ct rseau 192.168.0.0 (Pseudo Internet)
# Le ping...

Frame 1 ...
Ethernet II, Src: 00:80:c8:8e:89:b0,
Dst: 00:20:18:2c:0e:21
Destination: 00:20:18:2c:0e:21
(192.168.1.1)
Source: 00:80:c8:8e:89:b0
(192.168.1.2)
# Au niveau Ethernet (niveau 2)
# - La source est la vraie source
# - la destination devient le
routeur
# Jusque l, tout est normal.

Type: IP (0x0800)
Internet Protocol, Src Addr:
192.168.1.2
Dst Addr:
192.168.0.15
# Au niveau IP (niveau 3)
# - La source est la vraie source
# - la destination est la vraie
destination
# Assez banal, finalement...


Version: 4
...
Protocol: ICMP (0x01)
Header checksum: 0xb847 (correct)
Source: 192.168.1.2
Destination: 192.168.0.15
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
# Le ping...

Frame 1 ...
Ethernet II, Src: 00:20:af:4a:66:b7,
Dst: 00:05:5d:48:2b:84
Destination: 00:05:5d:48:2b:84
(192.168.0.15)
Source: 00:20:af:4a:66:b7
(192.168.0.16)
# Au niveau Ethernet (niveau 2)
# - La source devient le routeur
# - la destination est la vraie
destination
# Jusque l, tout est normal.

Type: IP (0x0800)
Internet Protocol, Src Addr:
192.168.0.16
Dst Addr:
192.168.0.15
# Au niveau IP (niveau 3)
# - La source devient le routeur
(192.168.0.16)
# - la destination reste la vraie
destination
# Il y a donc eu remplacement de
l'adresse
# de la source par celle du routeur
(MASQUERADE)...

Version: 4
...
Protocol: ICMP (0x01)
Header checksum: 0xba39 (correct)
Source: 192.168.0.16
Destination: 192.168.0.15
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
# Et la rponse...

Frame 2 ...
Ethernet II, Src: 00:20:18:2c:0e:21,
Dst: 00:80:c8:8e:89:b0
Destination: 00:80:c8:8e:89:b0
(192.168.1.2)
Source: 00:20:18:2c:0e:21
(192.168.1.1)

# Au niveau Ethernet, le routeur
rpond
# au client, c'est encore normal.

Type: IP (0x0800)
Internet Protocol, Src Addr:
192.168.0.15,
Dst Addr:
192.168.1.2

# Au niveau IP, de ce ct-ci, on a
# Et la rponse...

Frame 2 ...
Ethernet II, Src: 00:05:5d:48:2b:84,
Dst: 00:20:af:4a:66:b7
Destination: 00:20:af:4a:66:b7
(192.168.0.16)
Source: 00:05:5d:48:2b:84
(192.168.0.15)

# Au niveau Ethernet, le serveur
rpond au routeur
# L encore, c'est normal.

Type: IP (0x0800)
Internet Protocol, Src Addr:
192.168.0.15,
Dst Addr:
192.168.0.16

# Mais au niveau IP, le serveur
bien
# l'impression que le serveur a
rpondu directement
# au client, tout semble normal.
# En fait, MASQUERADE a bien fait son
travail.

Version: 4
...
Protocol: ICMP (0x01)
Header checksum: 0x25b4 (correct)
Source: 192.168.0.15
Destination: 192.168.1.2
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
rpond aussi
# au routeur. C'est logique, cause
de MASQUERADE,
# le serveur croit que c'est le
routeur qui
# a envoy le ping.

Version: 4
...
Protocol: ICMP (0x01)
Header checksum: 0x25a7 (correct)
Source: 192.168.0.15
Destination: 192.168.0.16
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
La morale de cette histoire est la suivante :
Du ct du LAN, nous avons l'impression d'utiliser un routeur normal , comme vu
en page prcdente,
du ct Internet, les clients du LAN sont masqus par le routeur. Ct Inet, tout
semble provenir du routeur lui-mme.
Ce n'est pas pour rien que l'on appelle cette technique : du masquage d'adresse
(MASQUERADE) !
Pour finir de mettre les points sur les i :
Dans un routage par masquage d'adresse :
au niveau 2 (Ethernet) :
o les requtes sont envoyes du client sur le routeur, puis du routeur sur le
serveur,
o les rponses sont envoyes du serveur sur le routeur, puis du routeur sur le
client.
au niveau 3 (IP) :
o les requtes semblent aller directement du client sur le serveur,(mais le routeur
remplace, au passage, l'adresse IP du client par la sienne)
o les rponses vont du serveur au routeur, puis du routeur au client, mais le client
a l'impression que la rponse lui parvient directement, parce que le routeur
change son adresse de destination par celle du client initial.
Dans un routage simple, c'est plus simple :
au niveau 2 (Ethernet) :
o les requtes sont envoyes du client sur le routeur, puis du routeur sur le
serveur,
o les rponses sont envoyes du serveur sur le routeur, puis du routeur sur le
client.
au niveau 3 (IP) :
o les requtes vont directement du client sur le serveur,
o les rponses vont directement du serveur au client.

Jouons un peu...
C'est lorsque l'on croit avoir tout bien
compris que l'on tombe parfois dans le panneau
Voyons un cas de figure un peu plus compliqu, mais intressant.
Dans ce cas, dj vu en page prcdente, gw2 reprsente un routeur avec masquage d'adresse,
de manire permettre aux htes du rseau 192.168.0.0 d'accder l'Internet. Les htes du
rseau 192.168.0.0 connaissent uniquement :
la route de leur propre rseau ;
une route par dfaut : 192.168.0.252.
Hormis le dtail de masquerade, gw2 agit comme un routeur tout fait ordinaire. Sa table de
routage est simple :
ca-marseille-14-119:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
80.8.136.1 0.0.0.0 255.255.255.255 UH 0 0 0
ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
0.0.0.0 80.8.136.1 0.0.0.0 UG 0 0 0
ppp0
Mais compliquons un petit peu l'architecture
Nous
rajoutons un second rseau , 192.168.1.0, interconnect au rseau 192.168.0.0 par une autre
passerelle, que nous appellerons cyclope. Ce routeur va fonctionner sans masquage d'adresse
(ce serait trop facile sinon).
Objectif de la manuvre.
Nous aimerions bien que les choses se passent de la manire suivante :
Le rseau jaune doit accder l'Internet,
le rseau jaune doit accder au rseau bleu,
le rseau bleu doit accder au rseau jaune, bien sr.
Facile, me direz-vous ? Peut-tre pas tant que a
De 192.168.1.0 vers INET
Il suffit d'indiquer aux htes du rseau jaune 192.168.1.1 comme passerelle par dfaut.
cyclope a une table de routage toujours trs simple :
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
Bon. un paquet part de 192.168.1.2 destination, par exemple, de 213.186.35.33.
L'metteur, sachant que le destinataire n'est pas dans le rseau jaune, va envoyer le
paquet sur cyclope,
cyclope, voyant que ce n'est pas pour lui, va chercher une route pour joindre le
destinataire. Malheureusement, il n'en connat pas. Ca va se terminer par un no route
to host ou un truc de ce genre.
Il nous faut donc modifier la configuration de cyclope, pour lui indiquer une route par dfaut,
qui pointera sur gw2 :
~# route add default gw 192.168.0.252 eth0

~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
0.0.0.0 192.168.0.252 0.0.0.0 UG 0 0 0
eth0
La route par dfaut de cyclope est place, il sait maintenant o envoyer les paquets qui ne
vont pas dans le rseau bleu (ni dans le rseau jaune, d'ailleurs).
Et rejouons le scnario
Re-bon. un paquet part de 192.168.1.2 destination, par exemple, de 213.186.35.33.
L'metteur, sachant que le destinataire n'est pas dans le rseau jaune, va envoyer le
paquet sur cyclope,
cyclope, voyant que ce n'est pas pour lui, va chercher une route pour joindre le
destinataire. N'en trouvant pas une explicite, il va envoyer le paquet gw2,
celui-ci, ne connaissant pas non plus de route explicite pour ce paquet, va l'envoyer
sa passerelle par dfaut, savoir 80.8.136.1 dans l'exemple.
C'est parti. Aprs, ce n'est plus de notre comptence, mais de celle de notre fournisseur
d'accs. Le paquet va arriver destination.
Mais pour le retour ?
Pour le retour, a va coincer, vous pensez bien Lorsque la rponse va arriver sur gw2, aprs
dmasquage de l'adresse du destinataire, il lui restera trouver une route qui mne
192.168.1.0 et elle n'en connat pas, donc, retour sur la passerelle par dfaut. Ca ne va pas trop
bien marcher. Il faut bricoler quelque chose sur gw2 :
~# route add -net 192.168.1.0 gw 192.168.0.16 netmask 255.255.255.0 eth1

~#route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
80.8.136.1 0.0.0.0 255.255.255.255 UH 0 0 0
ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
192.168.1.0 192.168.0.16 255.255.255.0 UG 0 0 0
eth1
0.0.0.0 80.8.136.1 0.0.0.0 UG 0 0 0
ppp0
En rajoutant
cette route, a ira mieux. gw2 enverra le paquet destination de 192.168.1.2 sur cyclope qui,
lui, saura joindre le destinataire.
Voil une bonne chose de faite. Notre rseau jaune est maintenant en mesure d'offrir ses
htes l'accs l'Internet.
De 192.168.1.0 vers 192.168.0.0 (et vice versa).
Ce serait trop beau que a marche du premier coup
Sur le rseau bleu, il y a deux passerelles. Si on ne le dit pas tous les htes du rseau bleu,
elles ne le dcouvriront pas toutes seules. Elles ne connaissent, faut-il le rappeler, qu'une route
par dfaut, qui pointe sur gw2, savoir 192.168.0.252.
Essayons quand mme, depuis 192.168.0.15, de faire un ping sur 192.168.1.2. Ca passera le
temps.
Envoi d'une requte 'ping' sur 192.168.1.1 avec 32 octets de donnes :

Rponse de 192.168.1.1 : octets=32 temps=1 ms TTL=255
Rponse de 192.168.1.1 : octets=32 temps<1ms TTL=255
Rponse de 192.168.1.1 : octets=32 temps<1ms TTL=255
Rponse de 192.168.1.1 : octets=32 temps<1ms TTL=255

Statistiques Ping pour 192.168.1.1:
Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 1ms, Moyenne = 0ms
Mince alors, a marche !!! Comment ce peut-ce ?
En faisant du ping pong.
ping
192.168.0.15 ne connat pas de route vers 192.168.1.2. Il envoie la balle sa passerelle
par dfaut 192.168.0.252 (gw2),
gw2, lui, connat une route vers le rseau 192.168.1.0, c'est cyclope (192.168.0.16). Il
lui passe la balle,
cyclope envoie 192.168.1.2.
pong

192.168.1.2 rpond. Ne sachant pas joindre 192.168.0.15, il envoie cyclope,
cyclope sait joindre directement 192.168.0.15, il connat la route vers ce rseau.
C'est une partie triangulaire, en quelque sorte.
Voici graphiquement ce que a donne, mais dans l'autre sens, ping en vert et pong en violet :
Bien entendu, nous pouvions aussi indiquer 192.168.0.15 la route directe pour aller dans le
rseau 192.168.1.0, mais ce n'est pas forcment facile faire de faon automatique (DHCP
par exemple).
Traceroutes
Pour finir de convaincre l'aimable assistance, voici des traceroutes dans les deux sens.
de 192.168.1.2 vers 192.168.0.15 :
~# traceroute -n 192.168.0.15
traceroute to 192.168.0.15 (192.168.0.15), 30 hops max, 38 byte packets
1 192.168.1.1 1.150 ms 1.601 ms 1.602 ms
2 192.168.0.15 1.618 ms 1.863 ms 1.932 ms
Comme prvu, 192.168.1.2 va joindre 192.168.0.15 en traversant le seul routeur 192.168.1.1
(cyclope, ct 192.168.1.0).
de 192.168.0.15 vers 192.168.1.2 :
~# traceroute -n 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 38 byte packets
1 192.168.0.252 1.209 ms 0.855 ms 0.839 ms
2 192.168.0.16 1.531 ms 0.728 ms 2.235 ms
3 192.168.1.2 1.702 ms 1.195 ms 1.184 ms
En revanche, pour atteindre 192.168.1.2, 192.168.0.15 passera d'abord par 192.168.0.252
(gw2) puis par 192.168.0.16 (cyclope, ct 192.168.0.0)
Conclusions.
Les routes aller et retour ne sont pas forcment les mmes,
des paquets peuvent trouver leur route dans un sens, mais pas dans l'autre,
sur des structures plus compliques, a peut marcher, mais pas forcment de manire
efficace. Avec un peu d'imagination, vous trouverez des cas o un paquet peut
beaucoup voyager dans votre inter rseau, pour arriver finalement sur la machine juste
ct. Attention donc, lorsque a marche du premier coup alors mme que ce n'tait
pas du tout vident, avant de s'merveiller, il vaut mieux essayer de comprendre
pourquoi.
Le routage slectif
Prsentation du chapitre
Nous abordons ici un sujet relativement inclassable, tant il fait appel de multiples outils.
L'objectif initial est de raliser un proxy transparent pour le protocole POP3. Un serveur
mandataire, destin intercepter le trafic POP3 au niveau applicatif pour y effectuer un
contrle antivirus, de faon tout fait transparente pour les utilisateurs.
Pour raliser cette opration, nous devons :
installer un serveur mandataire (P3Scan),
l'quiper d'un antivirus (Clamav),
identifier les flux TCP qui transportent POP3 (Netfilter),
les router vers le serveur mandataire par un systme de routage slectif (Iproute).
Le thme principal de cet expos est de raliser le routage slectif, en utilisant les services de
Netfilter et d'Iproute2. La solution de filtrage antivirus transparente est tout de mme ralise
de bout en bout, mais nous n'analyserons pas en profondeur toutes les possibilits offertes par
Clamav et P3scan.
Topologie
Ce dont nous disposons
Voici l'architecture sur laquelle nous allons monter ce systme :

Nous disposons d'un ou de plusieurs postes de travail, qui accdent l'internet via un routeur
NAT, faisant galement office de pare-feu.
La solution triviale serait d'installer notre proxy POP3 sur le routeur lui-mme, mais ce n'est
pas forcment une bonne solution, d'abord parce que nous verrons que Clamav consomme
normment de ressources, ensuite parce que ce routeur peut trs bien tre une boite noire
spcialise, sur laquelle nous ne pouvons rien installer.
La solution qui reste est donc d'ajouter sur notre rseau local une machine ddie au serveur
mandataire et l'antivirus. Nous trouverons bien un moyen d'y envoyer les flux POP3
destination d'htes de l'internet.
Cette architecture pourrait suffire, nous allons cependant faire plus riche en ajoutant encore
une nouvelle machine :

La passerelle miroir va tre configure comme un routeur, mais avec une seule patte. En
gros, tout flux sortant du ou des postes de travail vers l'internet sera dirig dessus, charge
pour ce miroir de re-diriger les flux :
directement sur le routeur NAT en temps normal,
sur le proxy P3scan pour les flux POP3.
Les chemins emprunts par les flux seront quelque chose de ce genre :
en temps normal pour les flux POP3


Rappelons qu'un serveur mandataire joue en quelque sorte le rle d'une passerelle, mais au
niveau de l'application et non au niveau IP. Le fait qu'il soit transparent va faire que :
le client du LAN va croire qu'il s'adresse directement au serveur cible (pop.free.fr par
exemple),
les requtes POP3 sont interceptes par le proxy, celui-ci les retransmettant pour son
propre compte au vrai serveur POP3.
les rponses du vrai serveur POP3 arrivent donc tout naturellement sur le proxy,
celui-ci effectue le filtrage antivirus sur les messages entrants,
les retransmet au client du LAN comme s'ils arrivaient directement du vrai serveur
POP3, si et seulement s'il n'y a pas eu de virus reconnu dans le message. Sinon, le
proxy enverra au client un message d'alerte la place du message original, qui sera
gard en quarantaine sur le serveur ou purement et simplement dtruit.
Le client, en temps normal n'y verra que du feu, n'aura pas besoin de la moindre modification
dans sa configuration. Tout se fait dans son dos.
L'intrt d'ajouter cette passerelle intermdiaire a un double avantage :
a permet de mieux comprendre comment le systme fonctionne,
a permettra d'ajouter facilement d'autres serveurs mandataires pour d'autres
protocoles comme FTP ou HTTP ou mme de permettre une rpartition de la charge
sur plusieurs serveurs, si le trafic est trs important.
Pratiquement, nous verrons, lorsque nous aurons bien compris le mcanisme, que la fonction
de routage intermdiaire dvolue cette machine peut tre reporte sur le mandataire POP3
lui-mme, si l'on veut faire plus simple.
Dans la suite de cet expos, la passerelle miroir et le proxy POP3 sont des machines Linux. Le
routeur NAT aussi, mais a n'a aucune importance dans la suite. Le ou les postes de travail
peuvent tre n'importe quoi, pourvu que ces n'importe quoi sachent exploiter un rseau
TCP/IP.
Le routeur NAT, qui permet in fine d'atteindre l'internet sera vu comme un simple routeur,
nous ne nous occuperons pas le moins du monde de sa configuration qui est suppose tre
dj oprationnelle. Si vous voulez plus de dtails sur la faon de raliser un tel routeur,
reportez-vous aux chapitres :
Partage de connexion pour le principe du NAT,
Netfilter et IPtables pour approfondir les rgles de filtrage de paquets,
La scurit pour mieux comprendre ce que l'on risque se connecter l'internet.
La distribution utilise est une Debian Sarge (avec un noyau 2.6.8), encore en statut testing
l'heure o ces lignes sont crites, mais qui finira bien un jour pas tre dclare stable la
place de la Woody vieillissante.
Iproute 2
Avertissement
Ce qui suit suppose comme acquis tout ce qui est dit dans les chapitres relatifs au routage :
IP et le Routage
Le routage, complments
Au bon vieux temps...
Tous les utilisateurs de GNU/Linux connaissent les commandes route et ifconfig. Bien
qu'elles soient toujours efficaces, les volutions des fonctions de routage des noyaux 2.4.x et
suprieurs ont fait qu'elles ne rendent plus compte que d'une partie des possibilits.
Pour exploiter au mieux les possibilits de routage des noyaux actuels, il faut installer le
paquetage iproute (iproute2 dans d'autres distributions, comme la Mandrake).
Iproute2, alli Netfilter, donne un couple capable de faire de grandes choses. Comme il faut
bien commencer par un bout , voyons d'abord en quoi iproute2 peut nous aider.
Prsentation rapide d'Iproute2
Les interfaces du rseau
Nous savons que la commande ifconfig nous montre les interfaces rseau en service sur
notre machine :
betelgeuse:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:20:18:2D:D2:91
inet addr:192.168.100.30 Bcast:192.168.100.255
Mask:255.255.255.0
inet6 addr: fe80::220:18ff:fe2d:d291/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19370201 errors:0 dropped:0 overruns:0 frame:0
TX packets:3279270 errors:0 dropped:0 overruns:0 carrier:0
collisions:150124 txqueuelen:1000
RX bytes:3979103861 (3.7 GiB) TX bytes:376345956 (358.9 MiB)
Interrupt:11 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 00:90:27:71:43:C7
inet addr:192.168.0.250 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::290:27ff:fe71:43c7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3129241 errors:0 dropped:0 overruns:0 frame:0
TX packets:3344387 errors:0 dropped:0 overruns:0 carrier:21
collisions:478776 txqueuelen:1000
RX bytes:317538639 (302.8 MiB) TX bytes:2507642937 (2.3 GiB)
Interrupt:11 Base address:0x7000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:28040 errors:0 dropped:0 overruns:0 frame:0
TX packets:28040 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3395473 (3.2 MiB) TX bytes:3395473 (3.2 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:80.8.154.12 P-t-P:80.8.128.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:6405 errors:0 dropped:0 overruns:0 frame:0
TX packets:4791 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:5209426 (4.9 MiB) TX bytes:662798 (647.2 KiB)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-
00-00-00
inet addr:192.168.18.2 P-t-P:192.168.18.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:685 errors:0 dropped:0 overruns:0 frame:0
TX packets:685 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:54460 (53.1 KiB) TX bytes:73640 (71.9 KiB)
Trs verbeux, nous avons pas mal d'informations sur les diverses interfaces. L'exemple est
pris sur une passerelle qui assure la connexion l'internet via un lien PPP, et qui prsente
galement un lien vers un tunnel Open VPN (tun1).
Iproute dispose d'une commande : ip suivie de plusieurs arguments. Utilisons ici ip addr :
betelgeuse:~# ip addr list
1: lo: &lt;LOOPBACK,UP&gt; mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: &lt;BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:20:18:2d:d2:91 brd ff:ff:ff:ff:ff:ff
inet 192.168.100.30/24 brd 192.168.100.255 scope global eth0
inet6 fe80::220:18ff:fe2d:d291/64 scope link
valid_lft forever preferred_lft forever
3: eth1: &lt;BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:90:27:71:43:c7 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.250/24 brd 192.168.0.255 scope global eth1
inet6 fe80::290:27ff:fe71:43c7/64 scope link
valid_lft forever preferred_lft forever
4: sit0: &lt;NOARP&gt; mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
254: ppp0: &lt;POINTOPOINT,MULTICAST,NOARP,UP&gt; mtu 1492 qdisc pfifo_fast
qlen 3
link/ppp
inet 80.8.154.12 peer 80.8.128.1/32 scope global ppp0
255: tun1: &lt;POINTOPOINT,MULTICAST,NOARP,UP&gt; mtu 1500 qdisc pfifo_fast
qlen 100
link/[65534]
inet 192.168.18.2 peer 192.168.18.1/32 scope global tun1
Je vous laisse passer du temps comparer les deux informations. Formules de manires
diffrentes (et pas forcment plus lisibles), ce sont, en partie, les mmes.
Nous avons aussi notre disposition les commandes :
ip link list, qui affiche la liste des interfaces :
betelgeuse:~# ip link list
1: lo: &lt;LOOPBACK,UP&gt; mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: &lt;BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:20:18:2d:d2:91 brd ff:ff:ff:ff:ff:ff
3: eth1: &lt;BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:90:27:71:43:c7 brd ff:ff:ff:ff:ff:ff
4: sit0: &lt;NOARP&gt; mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
913: ppp0: &lt;POINTOPOINT,MULTICAST,NOARP,UP&gt; mtu 1492 qdisc pfifo_fast
qlen 3
link/ppp
914: tun1: &lt;POINTOPOINT,MULTICAST,NOARP,UP&gt; mtu 1500 qdisc pfifo_fast
qlen 100
link/[65534]
ip neigh list, qui affiche la table ARP, un peu la manire de la commande arp -a :
betelgeuse:~# ip neigh list
2001:4f8:0:2::8 dev eth0 nud failed
192.168.0.13 dev eth1 lladdr 00:20:18:2f:d1:8c nud stale
192.168.0.12 dev eth1 lladdr 00:20:18:2f:0e:35 nud reachable
192.168.0.11 dev eth1 lladdr 00:20:18:2a:f5:ca nud reachable
192.168.0.67 dev eth1 lladdr 00:90:96:c4:d9:e0 nud stale
192.168.0.10 dev eth1 lladdr 00:05:5d:4a:f1:c8 nud reachable
192.168.0.64 dev eth1 lladdr 00:40:05:de:68:c3 nud stale
Les routes
Voyons maintenant la commande route :
betelgeuse:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.18.1 0.0.0.0 255.255.255.255 UH 0 0 0
tun1
80.8.128.1 0.0.0.0 255.255.255.255 UH 0 0 0
ppp0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0
eth1
172.16.0.0 192.168.18.1 255.255.0.0 UG 0 0 0
tun1
0.0.0.0 80.8.128.1 0.0.0.0 UG 0 0 0
ppp0
La commande ip, suivie de l'argument route, nous donne :
betelgeuse:~# ip route list
192.168.18.1 dev tun1 proto kernel scope link src 192.168.18.2
80.8.128.1 dev ppp0 proto kernel scope link src 80.8.154.12
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.30
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.250
172.16.0.0/16 via 192.168.25.1 dev tun1
default via 80.8.128.1 dev ppp0
Moins lisible, assurment. Mais plus riche en informations. Voyons a de plus prs.
Avec route, nous pensions qu'il n'y avait qu'une table de routage. En ralit, il y en a
plusieurs. Dans la terminologie iproute2, les tables sont exploites en fonction de rgles
(rules en anglais). Nous pouvons avoir un aperu d'un routage standard de la faon suivante :
betelgeuse:/etc/iproute2# ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
Tout ceci voudrait dire qu'il y a au moins trois tables de routage, local, main et default,
qui seraient auscultes pour router tous les paquets entrant dans le routeur, quelle que soit
leur provenance (from all) et dans l'ordre indiqu par l'index numrique plac juste avant
chaque rgle ?
Absolument, c'est bien comme a que a se passe.
Et donc, il serait possible, avec la commande ip, de voir ce qu'il y a dans chacune de ces
tables ?
Oui. Il suffit d'en prciser le nom :
betelgeuse:/etc/iproute2# ip route list table main
192.168.18.1 dev tun1 proto kernel scope link src 192.168.18.2
80.8.128.1 dev ppp0 proto kernel scope link src 80.8.154.12
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.30
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.250
172.16.0.0/16 via 192.168.25.1 dev tun1
default via 80.8.128.1 dev ppp0
C'est la mme que tout l'heure !
Oui, c'est la mme. Preuve que l'antique commande route ne nous dit pas tout, puisque avant
main, il y a local, et que cette table n'est pas vide du tout :
betelgeuse:/etc/iproute2# ip route list table local
broadcast 192.168.100.0 dev eth0 proto kernel scope link src
192.168.100.30
broadcast 192.168.0.255 dev eth1 proto kernel scope link src
192.168.0.250
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1
local 80.8.154.12 dev ppp0 proto kernel scope host src 80.8.154.12
local 192.168.0.250 dev eth1 proto kernel scope host src 192.168.0.250
local 192.168.18.2 dev tun1 proto kernel scope host src 192.168.18.2
broadcast 192.168.100.255 dev eth0 proto kernel scope link src
192.168.100.30
broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.250
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 192.168.100.30 dev eth0 proto kernel scope host src 192.168.100.30
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
Mais comme vous le voyez, cette table ne concerne que le routage local et les broadcasts ,
rien de bien palpitant. Quant la table default, elle est vide par dfaut.
Mais alors, il y aurait la possibilit de crer des tables qui ne seraient utilises que dans
certaines conditions ?
C'est une partie de l'intrt et de la puissance du modle Iproute2. Parce qu'en plus de a,
Iproute2 sait faire plein d'autres choses. Pour vous en convaincre, le mieux est de lire la
documentation officielle : Advanced Routing HOWTO, dont il existe une version en franais.
Il n'est bien entendu pas question ici de voir tout ce qu'il est possible de faire, l'objectif est
juste de pouvoir raliser un routage slectif en fonction d'un numro de port TCP.
Mise en place d'une rgle de routage
Dans ce qui suit, la machine qui va servir de passerelle miroir s'appelle saturne .
La liste des tables qui existent sur votre machine se trouve dans le fichier
/etc/iproute2/rt_tables. Vous ne pourrez pas crer de rgles (rules) associes une table
qui n'est pas rfrence dans ce fichier. Comme nous aurons besoin d'une table de routage
spcifique pour le protocole POP3, nous allons crer une entre supplmentaire dans ce
fichier qui, aprs modification, aura l'allure suivante :
saturne:~# cat /etc/iproute2/rt_tables
#
# reserved values
#

200 pop3
255 local
254 main
253 default
0 unspec
#
# local
#
1 inr.ruhep
Cette manipulation, en elle mme n'apporte rien aux rgles en vigueur :
saturne:~# ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
Si nous voulons ajouter une rgle, il faudra le dire explicitement de la faon suivante (prenez-
le comme une recette pour le moment) :
saturne:~# ip rule add fwmark 6e table pop3
Ceci a pour effet d'ajouter une rgle, que nous comprendrons mieux par la suite. Disons pour
le moment que, lorsqu'un paquet contient la marque 0x6e (valeur hexadcimale), il devra tre
rout en fonction des informations contenues dans la table de routage pop3.
saturne:~# ip rule list
0: from all lookup local
32765: from all fwmark 6e lookup pop3
32766: from all lookup main
32767: from all lookup default
Nous voyons effectivement apparaitre une ligne supplmentaire dans la liste des rgles.
Mais la table de routage pop3 est vide. Il faut la peupler un petit peu. En ralit, qu'avons-
nous besoin de faire, en fonction de la topologie donne ? Il nous suffit de dire que pour ces
paquets, la route par dfaut n'est pas 192.168.0.1, mais 192.168.0.3, adresse ip du serveur
mandataire. Faisons le :
ip route add default via 192.168.0.3 dev eth0 table pop3
Bien. Pour vrifier :
saturne:~# ip route list table pop3
default via 192.168.0.3 dev eth0
Et si nous regardons la table de routage principale :
saturne:~# ip route list table main
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.2
default via 192.168.0.1 dev eth0
Autrement dit, si tout se passe comme prvu, tous les paquets sortant du poste de travail (qui
est configur pour voir 192.168.0.2 comme passerelle par dfaut) seront aiguills vers
192.168.0.1 (la vraie passerelle vers l'internet), sauf les paquets marqus 6e, qui, eux, seront
aiguills vers 192.168.0.3 (le futur proxy transparent POP3).
Pour pouvoir vrifier si tout a fonctionne, il faut commencer par pouvoir marquer ces
paquets avec le label 6e, ce que nous n'avons pas encore fait.
Pour raliser cette opration, nous aurons recours Netfilter, avec IPtables.
Netfilter
Charcuter les datagrammes IP
Avertissement
Pour ce qui suit, il est fortement recommand de savoir ce que sont Netfilter et IPtables,
autrement dit d'avoir lu le chapitre Netfilter et IPtables .
La table mangle
Cette table, peu voque dans le chapitre indiqu ci-dessus, va nous servir ici. Son but est
justement de pouvoir placer des marques sur les paquets qui circulent. Elle dispose au moins
de la chane PREROUTING, celle qui nous intresse ici. Autrement dit, ce qui suit doit tre
ralisable avec tout noyau 2.4.x ou suprieur.
Nous devons en effet marquer les paquets avant le routage, puisque le routage va dpendre
justement de cette marque.
Que devons-nous faire exactement ?
Nous devons, sur la passerelle miroir, marquer avant routage les paquets qui contiennent un
port de destination gal 110 (en dcimal), le port par dfaut sur lequel coutent les serveurs
POP3 :
iptables -t mangle -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j MARK
--set-mark 0x6e
Pourquoi la marque 0x6e (le 0x signifie que l'on s'exprime en hexadcimal) ? En ralit, la
valeur n'a aucune importance, pourvu qu'on utilise la mme avec iproute2, lors de la cration
de la rgle de routage. 0x6e = 110, c'est juste un choix mnmotechnique.
A ce niveau nous avons sur notre passerelle miroir :
les paquets destination du port 110 qui sont marqus, avec iptables,
la table de routage spcifique cette marque qui est renseigne avec une route par
dfaut qui pointe sur le futur proxy POP3
Si cette passerelle est configure pour effectuer le routage (/proc/sys/net/ipv4 = 1), elle
devrait donc remplir son office.
Passons maintenant la machine destine recevoir le proxy. Pour l'instant, il y a juste un
systme install. Il n'est pas ncessaire qu'il soit configur pour router, mais pour tester ce que
nous avons fait jusqu'ici, ce sera utile.
Voyons son tat :
mercure:~# ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
mercure:~# ip route list
192.168.0.0/16 dev eth0 proto kernel scope link src 192.168.0.3
default via 192.168.0.1 dev eth0
Vous l'avez compris, sur la maquette, cette machine s'appelle mercure. Elle n'a aucune rgle
de routage particulire et donc, sa seule route par dfaut est 192.168.0.1, la vraie passerelle
vers l'internet.
Pour les besoins de la manip qui suit, nous activons le routage :
mercure:~# echo 1 > /proc/sys/net/ipv4/ip_forward
Et maintenant, nous avons besoin d'un outil un peu spcial. Un outil qui trace les routes, mais
qui le fait en utilisant TCP (et non UDP ou ICMP, comme le traceroute classique), sur un port
de son choix. Cet outil n'est bien sr pas install par dfaut, mais est disponible sur la Debian
Sarge, avec un apt-get install tcptraceroute.
Dans un premier temps, un tcptraceroute sur le port 80 de www.free.fr :
janus:~# tcptraceroute www.free.fr 80
Selected device eth0, address 192.168.0.4 for outgoing packets
Tracing the path to www.free.fr (213.228.0.42) on TCP port 80, 30 hops max
1 192.168.0.2 (192.168.0.2) 0.275 ms 0.136 ms 0.121 ms
2 192.168.0.1 (192.168.0.1) 0.769 ms
193.253.160.3 (193.253.160.3) 68.483 ms 59.903 ms
3 80.10.215.197 (80.10.215.197) 84.734 ms 58.070 ms 59.270 ms
4 pos6-0.nraub303.Aubervilliers.francetelecom.net (193.252.99.70)
216.432 ms 215.634 ms 216.115 ms
5 pos13-0.ntaub301.aubervilliers.francetelecom.net (193.252.161.82)
57.044 ms 55.925 ms 54.911 ms
6 pos0-0-0-0.noaub101.aubervilliers.francetelecom.net (193.252.103.85)
56.687 ms 56.202 ms 57.633 ms
7 193.252.161.98 (193.252.161.98) 58.090 ms 57.025 ms 57.829 ms
8 p19-6k-2-v806.routers.proxad.net (212.27.50.161) 56.652 ms 55.946 ms
56.285 ms
9 vlq-6k-2-v800.intf.routers.proxad.net (212.27.50.5) 58.152 ms 57.447
ms 57.984 ms
10 vlq-6k-1-po1.intf.routers.proxad.net (212.27.50.2) 57.969 ms 57.473
ms 60.456 ms
11 www1.free.fr (213.228.0.42) [open] 56.886 ms 58.319 ms 62.456 ms
Notez qu' l'aller, le paquet issu de notre machine de test (janus, sous Debian Sarge elle
aussi), passent par notre passerelle miroir 192.168.0.2, puis par le routeur NAT 192.168.0.1.
Voyons maintenant un tcptraceroute sur le port 110 de pop.free.fr :
janus:~# tcptraceroute pop.free.fr 110
Selected device eth0, address 192.168.0.4 for outgoing packets
Tracing the path to pop.free.fr (212.27.42.14) on TCP port 110, 30 hops max
1 192.168.0.2 (192.168.0.2) 0.285 ms 0.122 ms 0.119 ms
2 192.168.0.3 (192.168.0.3) 0.784 ms 0.229 ms 0.214 ms
3 192.168.0.1 (192.168.0.1) 0.847 ms 0.585 ms 0.578 ms
4 193.253.160.3 (193.253.160.3) 67.374 ms 58.665 ms
80.10.215.197 (80.10.215.197) 58.922 ms
5 pos1-0.nraub303.aubervilliers.francetelecom.net (193.252.103.170)
62.153 ms 63.039 ms 60.602 ms
6 pos13-0.ntaub301.aubervilliers.francetelecom.net (193.252.161.82)
59.383 ms 55.566 ms 57.070 ms
7 pos0-0-0-0.noaub101.aubervilliers.francetelecom.net (193.252.103.85)
57.811 ms 57.416 ms 59.551 ms
8 193.252.161.98 (193.252.161.98) 56.101 ms 56.321 ms 57.904 ms
9 p19-6k-2-v806.routers.proxad.net (212.27.50.161) 61.040 ms 55.864 ms
58.123 ms
10 vlq-6k-2-v800.intf.routers.proxad.net (212.27.50.5) 58.282 ms 58.115
ms 57.634 ms
11 vlq-6k-1-po1.intf.routers.proxad.net (212.27.50.2) 59.048 ms 58.657
ms 59.208 ms
12 pop4-q.free.fr (212.27.42.14) [open] 59.107 ms 58.373 ms 63.638 ms
Si le paquet issu de janus passe d'abord par la passerelle miroir 192.168.0.2, il est ensuite
dirig sur mercure, notre futur proxy POP3 dont l'adresse est 192.168.0.3. Comme celui-ci
n'est pas encore configur, mais qu'il a le routage activ, il transmet alors le paquet au routeur
NAT 192.168.0.1
Nous avons bien russi mettre en vidence que saturne, la passerelle miroir, effectue un
routage diffrent suivant que le trafic est du http (port 80) ou du POP3 (port 110).
Le proxy
Installation de Clamav
Clamav est un antivirus sous licence GPL, qui fonctionne sur le principe d'une base de
donnes de signatures, comme la plupart des antivirus commerciaux. Son installation ne pose
aucun problme particulier sur une Debian Sarge. Les scripts d'installation vous aideront
configurer correctement cet antivirus, en choisissant :
le miroir le plus proche pour les mises jour de la base de donne des virus connus,
le mode de mise jour, plusieurs modes possibles, dont un dmon qui vrifie
priodiquement auprs du serveur, la mise disposition d'une mise jour de la base.
Pensez installer tous les outils de dcompression ncessaires au bon fonctionnement de
l'antivirus sur les pices jointes compresses. Apt vous indiquera la liste des paquetages
supplmentaires suggrs et recommands, s'ils ne sont dj prsents.
Clamav semble tre un bon antivirus, dont le principal avantage est d'tre sous licence GPL et
le principal inconvnient, celui de consommer normment de ressources CPU. Il ne sait pas
radiquer un virus dans un document (ici, un e-mail). Tout ce qu'il sait faire, c'est identifier un
virus connu. Vous pourrez alors choisir de mettre le message en quarantaine ou de le dtruire,
mais c'est P3Scan qui se chargera de a.
Clamav tourne par dfaut sous le nom d'un utilisateur fictif : clamav, cr lors de l'installation
du paquetage.
Installation de P3Scan
P3Scan est le logiciel proxy. Il permet non seulement d'y greffer Clamav, ou d'autres antivirus
non libres, mais encore spamassassin, si vous souhaitez en profiter pour filtrer les spams.
Il s'installe aussi simplement que clamav avec les apt, mais il faudra ici revenir un petit peu
sur son fichier de configuration.
Pour que P3Scan fonctionne, il faut le configurer pour qu'il utilise au moins les services d'un
antivirus.
Voici l'allure du fichier de configuration :
mercure:~# cat /etc/p3scan/p3scan.conf | grep ^[^#]
pidfile = /var/run/p3scan/p3scan.pid
maxchilds = 10
ip = 0.0.0.0
port = 8110
user = p3scan
notifydir = /var/spool/p3scan/notify
virusdir = /var/spool/p3scan
justdelete
scannertype = basic
scanner = /usr/bin/clamscan --no-summary -i
virusregexp = .*: (.*) FOUND
template = /etc/p3scan/p3scan-fr.mail
subject = [virus] dans un message pour vous:
notify = Pour information, le message a t dtruit.
Le grep ^[^#] est une astuce qui permet d'liminer toutes les lignes de commentaire (qui
commencent par un #). Pour comprendre cette incantation, il faut comprendre la syntaxe des
expressions rgulires, c'est assez spcial
Vous pourrez, au choix, conserver en quarantaine les messages vrols (dans
/var/spool/p3scan) ou tout simplement les dtruire (directive justdelete)
La directive template dfinit le chemin d'accs au message type qui se substituera au
message infect. P3scan propose dans /etc/p3scan une liste de messages types en diffrentes
langues, que vous pouvez aisment personnaliser.
La ligne subject dfinit l'objet de ce message, qui sera complt par le nom du virus.
La ligne notify apparat dans le message si justdelete est actif.
Voici (par anticipation, parce que pour l'instant, a ne fonctionne pas encore), un exemple de
texte source d'un message reu (ici, avec l'option justdelete inactive) :
From - Sat Feb 05 14:29:34 2005
X-Account-Key: account2
X-UIDL: 1083005466.9058
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: &lt;webmaster@divx-overnet.com&gt;
Received: from mwinf1008.wanadoo.fr (mwinf1008.wanadoo.fr)
by mwinb0704 (SMTP Server) with LMTP; Sat, 05 Feb 2005 14:30:25
+0100
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf1008.wanadoo.fr (SMTP Server) with ESMTP id 56A2B6000384
for &lt;caleca.christian@free.fr&gt;; Sat, 5 Feb 2005 14:30:25
+0100 (CET)
Received: from free.fr (12.254.100-84.rev.gaoland.net [84.100.254.12])
by mwinf1008.free.fr (SMTP Server) with ESMTP id EC80B600038E
for &lt;caleca.christian@free.fr&gt;; Sat, 5 Feb 2005 14:30:17
+0100 (CET)
X-ME-UUID: 20050205133018968.EC80B600038E@mwinf1008.free.fr
From: webmaster@divx-overnet.com
To: caleca.christian@free.fr
Date: Sat, 05 Feb 2005 14:30:34 +0100
Subject: [Virus] dans un message pour vous: Worm.SomeFool.AA-2
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain;
charset="iso-8859-1"

Bonjour caleca.christian.
Ce corps de message a t gnr automatiquement par P3Scan, qui fonctionne
sur
la passerelle mercure pour scanner tous les courriels entrants.

Il remplace le corps du message contenant un VIRUS qui vous tait adress!
Ce message vous est envoy la place du courriel infect, .

==========
Nom du virus:
Worm.SomeFool.AA-2

Expditeur du courriel:
webmaster@divx-overnet.com

Envoy :
caleca.christian@free.fr

Date:
Sat, 05 Feb 2005 14:30:34 +0100

Object:
Information

Informations de connexion:
POP3 from 192.168.0.10:1395 to 193.252.22.90:110

Le fichier original du message est archiv sur le serveur sous le nom de :
/p3scan.ZzReH5
==============

--
P3Scan 2.1
par Jack S. Lai &lt;laitcg@cox.net&gt;
.
Que manque-t-il pour finir ?
Nous avons :
le routage slectif qui est oprationnel, nous l'avons test,
l'antivirus install,
le proxy p3scan galement install.
Mais
Il faut tout de mme rediriger les flux POP3 (port 110) entrants sur mercure vers le port du
proxy (8110 dans notre configuration). Il nous faudra donc crire quelque rgle iptables
bien sentie sur mercure.
Quelque chose du genre :
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp --dport
110 -j REDIRECT --to-ports 8110
Nous sommes en PREROUTING, donc sitt que le paquet TCP entre par eth0, s'il est
destination du port 110, il est redirig sur le port 8110, sans changer l'adresse IP du
destinataire (ce qui n'aurait pas t le cas avec une rgle utilisant le DNAT, condition
indispensable pour que P3Scan puisse savoir quel vrai serveur POP3 il doit s'adresser). Il
sera donc intercept par le proxy, condition que ce ne soit pas destination de l'une de nos
machines du LAN (c'est une prcaution, pas indispensable, du moins pour p3scan).
Le rsultat est assez amusant (et mme vertigineux) voir avec un tcptraceroute :
janus:~# tcptraceroute pop.wanadoo.fr 110
Selected device eth0, address 192.168.0.4 for outgoing packets
Tracing the path to pop.wanadoo.fr (193.252.22.68) on TCP port 110, 30 hops
max
1 192.168.0.2 (192.168.0.2) 0.282 ms 0.125 ms 0.118 ms
2 pop.wanadoo.fr (193.252.22.68) [open] 1.087 ms 0.231 ms 0.209 ms
Quand je vous disais que c'est amusant Le client, janus, qui fait un traceroute vers
pop.wanadoo.fr a l'impression qu'il a atteint sa cible au deuxime hop , c'est dire,
lorsqu'il atteint le proxy (mercure).
Fonctionnement
Ethereal va encore frapper, pour bien voir ce qu'il se passe au niveau de mercure, le proxy
POP3. Juste pour vrifier le fonctionnement du proxy, depuis janus, nous allons ouvrir une
session POP3 sur pop.free.fr, avec telnet, ce sera plus folklorique. Pendant ce temps, ethereal
rcuprera tout ce qui passe sur l'unique interface eth0 de la machine.
Voici l'intgralit du dialogue dans la console telnet :
janus:~# telnet pop.free.fr 110
Trying 212.27.42.11...
Connected to pop1-q.free.fr.
Escape character is '^]'.
+OK &lt;31488.1107616735@pop1-q.free.fr&gt;
user caleca.christian
+OK
pass haben_non
+OK
stat
+OK 1121 25539581
quit
+OK
Connection closed by foreign host.
Vraiment le strict minimum, juste pour voir comment a se passe au niveau de mercure.
No. Source Destination Protocol Info
1 192.168.0.4 212.27.42.12 TCP 33273 > pop3 [SYN] Seq=0
Ack=0
2 212.27.42.12 192.168.0.4 TCP pop3 > 33273 [SYN, ACK]
Seq=0 Ack=1
3 192.168.0.4 212.27.42.12 TCP 33273 > pop3 [ACK] Seq=1
Ack=1

# le client janus (192.168.0.4) a ouvert une connexion TCP avec ce qu'il
croit tre
# le serveur pop.free.fr (212.27.42.12). En ralit, il l'a ouverte avec
mercure (192.168.0.3)
# mais a ne se voit pas. C'est normal, c'est fait pour tre "transparent"

4 192.168.0.3 212.27.42.12 TCP 39232 > pop3 [SYN] Seq=0
Ack=0
5 212.27.42.12 192.168.0.3 TCP pop3 > 39232 [SYN, ACK]
Seq=0 Ack=1
6 192.168.0.3 212.27.42.12 TCP 39232 > pop3 [ACK] Seq=1
Ack=1

# A son tour, mercure (192.168.0.3) ouvre une connexion TCP avec le vrai
pop.free.fr.
# Cette fois-ci, il n'y a pas de tromperie.

7 212.27.42.12 192.168.0.3 POP Response: +OK
<14870.1107617952@pop2-q.free.fr>
8 192.168.0.3 212.27.42.12 TCP 39232 > pop3 [ACK] Seq=1
Ack=40

# Le vrai serveur pop.free.fr, croyant avoir affaire avec un vulgaire
client POP3
# envoie notre proxy la rponse +OK (voir le protocole pop3 pour plus
d'informations)

9 212.27.42.12 192.168.0.4 POP Response: +OK
<14870.1107617952@pop2-q.free.fr>
10 192.168.0.4 212.27.42.12 TCP 33273 >; pop3 [ACK] Seq=1
Ack=40

# notre proxy, qui se fait toujours passer pour le vrai pop.free.fr,
rpercute alors cette
# rponse notre client janus (192.168.0.4) qui continue croire qu'il
discute
# avec le vrai serveur POP3////

11 192.168.0.4 212.27.42.12 POP Request: user
caleca.christian
12 212.27.42.12 192.168.0.4 TCP pop3 > 33273 [ACK] Seq=40
Ack=24

# notre client, toujours bern, envoie alors le nom d'utilisateur, ce
qu'il croit
# toujours tre son serveur POP3 (alors qu'il s'agit bien sr de notre
proxy)

13 192.168.0.3 212.27.42.12 POP Request: user
caleca.christian
14 212.27.42.12 192.168.0.3 TCP pop3 > 39232 [ACK] Seq=40
Ack=24

# Et notre proxy (192.168.0.3) de rpter la chose au vrai serveur POP3
# qui continue croire qu'il discute avec son client.

15 212.27.42.12 192.168.0.3 POP R