Vous êtes sur la page 1sur 304

92/80( 

Nombre de pages : 304

Mise jours 21 mai 2001 Rvision : 0.860

Ce document peut tre tlcharg son dernier indice ladresse suivante : http://coursducnam.free.fr/
Pour tous commentaires sur ce support de cours contacter nous sur : coursducnam@free.fr
CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Il est autoris de copier, distribuer et/ou modifier ce document


suivant les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License)
Version 1.1 ou plus rcente de la Fondation de logiciel libre (Free Software Foundation) ;
avec les sections invariantes qui sont liste avec leurs titres,
et avec les textes des pages de garde et pages de fin de ce document.
Une copie de cette licence est inclue dans ce document la section "GNU
Free Documentation License".
Pour plus dinformations, consulter ladresse : http://www/gnu.org/copyleft/fdl.html

RESEAUX Page 2
CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Table de mises jours

Version Date Commentaires


0.1 29/03/2001 Dbut de rdaction du support de cours.
0.603 02/05/2001 Premire version exploitable mais non complte du support.
0.714 15/05/2001 Ajout dun chapitre sur la Messagerie et LDAP.
0.729 16/05/2001 Ajout dun exemple de configuration de LDAP avec LINUX.
0.757 18/05/2001 Ajout dun chapitre sur ladministration des rseaux.
0.791 20/05/2001 Ajout de la mise en uvre dun serveur de messagerie.
Diverses corrections pour SMTP et LDAP.
Ajout de SNMP avec LINUX.
0.848 21/05/2001 Ajout dun chapitre sur le routage
0.860 22/05/2001 Ajout du logiciel SCOTTY pour SNMP

RESEAUX (volume 2) Table de mises jours Page 3


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Sommaire

1. COURS : INTRODUCTION AUX RESEAUX ................... 16

1.1. / CONCEPTS GENERAUX.............................................................................................................................................. 17


1.1.1. / INTRODUCTIONS.................................................................................................................................................. 17
1.1.2. / LA NORMALISATION ............................................................................................................................................ 17
1.1.3. / POURQUOI UN MODELE EN COUCHES ? ........................................................................................................ 17
1.1.4. / LES ORGANISMES DE NORMALISATION ........................................................................................................... 18
1.1.4.1. / Synoptique ..................................................................................................................................................... 18
1.1.4.2. / Les organismes de normalisation internationaux et franais ......................................................................... 18
1.1.4.3. / Les organismes de normalisation amricains................................................................................................. 19
1.1.5. / LE MODELE OSI.................................................................................................................................................... 19
1.1.5.1. / LES 7 COUCHES DU MODELE ................................................................................................................. 19
1.1.5.2. / LE SCHEMA DE LA COMMUNICATION................................................................................................. 20
1.1.5.3. / LA COUCHE APPLICATION...................................................................................................................... 20
1.1.5.3.1. / Introduction............................................................................................................................................... 20
1.1.5.3.2. / FTAM (File Transfer, Access and management) ...................................................................................... 21
1.1.5.3.2.1. / Definition.............................................................................................................................................. 21
1.1.5.3.2.2. / Fonctionnalits et services .................................................................................................................... 22
1.1.5.3.2.2.1. / Le rgime FTAM........................................................................................................................... 22
1.1.5.3.2.2.2. / Units fonctionnelles ..................................................................................................................... 22
1.1.5.3.2.2.3. / Notions de classe de service .......................................................................................................... 22
1.1.5.3.2.2.4. / Les primitives ................................................................................................................................ 22
1.1.5.3.3. / LA MESSAGERIE X400 et SMTP .......................................................................................................... 22
1.1.5.3.3.1. / Dfinitions ............................................................................................................................................ 22
1.1.5.3.3.2. / Le modle fonctionnel X.400 ............................................................................................................... 23
1.1.5.4. / LA COUCHE PRESENTATION .................................................................................................................. 24
1.1.5.4.1. / Dfinition .................................................................................................................................................. 24
1.1.5.4.2. / ASN1 8824 : Le langage de reprsentation des donnes .......................................................................... 25
1.1.5.4.3. / BER : le Basic encoding Rules ................................................................................................................. 25
1.1.5.5. / COUCHE SESSION...................................................................................................................................... 25
1.1.5.6. / LES COUCHES INTERMEDIAIRES : LES COUCHES TRANSPORT ET RESEAUX ........................... 26
1.1.5.6.1. / LA COUCHE TRANSPORT.................................................................................................................... 26
1.1.5.6.1.1. / TRANSPORT OSI ............................................................................................................................... 27
1.1.5.6.1.2. / Les protocoles TCP/UDP ..................................................................................................................... 27
1.1.5.6.1.2.1. / UDP : User Datagram Protocol ..................................................................................................... 27
1.1.5.6.1.2.2. / TCP : Transmission Control Protocol............................................................................................ 27
1.1.5.6.2. / LA COUCHE RESEAU ........................................................................................................................... 27
1.1.5.6.2.1. / Prsentation .......................................................................................................................................... 27
1.1.5.6.2.2. / Conversion des adresses logiques en adresse physique ........................................................................ 28
1.1.5.6.2.3. / LES ADRESSES IP.............................................................................................................................. 29
1.1.5.7. / LA COUCHE LIAISON................................................................................................................................ 29
1.1.5.7.1. / Prsentation............................................................................................................................................... 29
1.1.5.7.2. / LA COUCHE 2 DE lIEEE....................................................................................................................... 29
1.1.5.7.3. / La sous couche LLC ................................................................................................................................. 30
1.1.5.7.4. / LA SOUS COUCHE MAC....................................................................................................................... 30
1.1.5.7.4.1. / Prsentation .......................................................................................................................................... 30
1.1.5.8. / LA COUCHE PHYSIQUE ............................................................................................................................ 30
1.1.5.8.1. / Prsentation............................................................................................................................................... 30
1.1.5.8.2. / Concepts de base....................................................................................................................................... 31
1.1.5.8.2.1. / Dfinitions ............................................................................................................................................ 31
1.1.5.8.2.2. / Les Liaisons sries et liaisons parallles............................................................................................... 31
1.1.5.8.2.3. / Transmission synchrone ou asynchrone ............................................................................................... 31

RESEAUX (volume 2) SOMMAIRE Page 4


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.8.2.4. / Mode de liaison entre un metteur et un rcepteur ............................................................................... 32


1.1.5.8.3. / La topologie .............................................................................................................................................. 33
1.1.5.8.4. / La transmission du signal.......................................................................................................................... 34
1.1.5.8.4.1. / Prsentation .......................................................................................................................................... 34
1.1.5.8.4.2. / La transmission du signal en bande de base ......................................................................................... 34
1.1.5.8.4.3. / La transmission du signal en Large Bande ........................................................................................... 35
1.2. / LES RESEAUX LOCAUX............................................................................................................................................. 37
1.2.1. / Introduction............................................................................................................................................................. 37
1.2.1.1. / Dfinition....................................................................................................................................................... 37
1.2.1.2. / Caractristiques.............................................................................................................................................. 37
1.2.2. / LA SOUS COUCHE MAC....................................................................................................................................... 37
1.2.2.1. / Prsentation.................................................................................................................................................... 37
1.2.2.2. / Terminologie.................................................................................................................................................. 38
1.2.2.3. / Principe de fonctionnement ........................................................................................................................... 38
1.2.2.4. / LA TRAME MAC ......................................................................................................................................... 38
1.2.2.5. / La gestion des collisions ................................................................................................................................ 39
1.2.2.5.1. / Les diffrents cas ...................................................................................................................................... 39
1.2.2.5.2. / Mcanisme gnral ................................................................................................................................... 39
1.2.2.5.3. / Le Round Trip Delay et taille de la trame ................................................................................................. 40
1.2.2.6. / Les paramtres de base .................................................................................................................................. 40
1.2.3. / LE TOKEN RING .................................................................................................................................................... 40
1.2.3.1.1. / Introduction............................................................................................................................................... 40
1.2.3.1.2. / Mcanisme gnral ................................................................................................................................... 41
1.2.4. / LA COUCHE PHYSIQUE ETHERNET .................................................................................................................. 41
1.2.4.1. / Les fonctions.................................................................................................................................................. 41
1.2.4.2. / Synoptique des composants ........................................................................................................................... 42
1.2.4.3. / Les principaux mdias sur ETHERNET........................................................................................................ 42
1.2.4.4. / Le 10 BASE 5 ................................................................................................................................................ 43
1.2.4.4.1. / Gnralits ................................................................................................................................................ 43
1.2.4.4.2. / Caractristiques......................................................................................................................................... 43
1.2.4.4.3. / Usages ....................................................................................................................................................... 43
1.2.4.5. / Le 10 base 2 ................................................................................................................................................... 43
1.2.4.5.1. / Gnralits ................................................................................................................................................ 43
1.2.4.5.2. / Le cblage ................................................................................................................................................. 44
1.2.4.6. / Le 10 base T................................................................................................................................................... 45
1.2.4.7. / LEthernet rapide : le 100 Base T (802.3u) ................................................................................................... 45
1.2.4.8. / ETHERNET : Tableau rcapitulatif............................................................................................................... 46
1.2.5. / Autre rseau local : 100bVG AnyLan ..................................................................................................................... 46
1.2.6. / Le cblage ............................................................................................................................................................... 46
1.2.7. / LES PROTOCOLES ASSOCIES AUX RESEAUX LOCAUX .................................................................................. 47
1.2.7.1. / Introduction.................................................................................................................................................... 47
1.2.7.2. / Le protocole NETBIOS (Network Basic Input/Output System).................................................................... 47
1.2.7.2.1. / Caractristiques......................................................................................................................................... 47
1.2.7.2.2. / Terminologies ........................................................................................................................................... 47
1.2.7.3. / Larchitecture NETBIOS............................................................................................................................... 48
1.2.7.3.1. / Synoptique gnral.................................................................................................................................... 48
1.2.7.3.2. / Usages ....................................................................................................................................................... 48
1.2.7.4. / Larchitecture IPX/SPX................................................................................................................................. 49
1.2.7.4.1. / Gnralits ................................................................................................................................................ 49
1.2.7.4.2. / Architecture gnrale ................................................................................................................................ 49
1.2.7.4.3. / Concepts gnraux .................................................................................................................................... 49
1.2.7.4.3.1. / Format gnral du paquet IPX .............................................................................................................. 49
1.2.7.4.3.2. / Architecture des serveurs...................................................................................................................... 50
1.2.7.5. / Larchitecture TCP/IP.................................................................................................................................... 50
1.2.7.5.1. / Gnralits ................................................................................................................................................ 50
1.2.7.5.2. / Le datagramme IP ..................................................................................................................................... 51
1.2.7.5.3. / Le protocole UDP ..................................................................................................................................... 51
1.2.7.5.4. / Le protocole TCP ...................................................................................................................................... 52
1.2.7.6. / Mise en oeuvre de ladressage ....................................................................................................................... 52
1.2.7.7. / Le routage ...................................................................................................................................................... 53
1.2.7.7.1. / Gnralits ................................................................................................................................................ 53

RESEAUX (volume 2) SOMMAIRE Page 5


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.7.7.2. / Caractristiques......................................................................................................................................... 53
1.3. / LINTERCONNEXION DES RESEAUX LOCAUX .................................................................................................... 54
1.3.1. / Le rpteur .............................................................................................................................................................. 54
1.3.1.1. / Dfinition....................................................................................................................................................... 54
1.3.1.2. / Les fonctions.................................................................................................................................................. 54
1.3.1.3. / Les types de rpteurs.................................................................................................................................... 54
1.3.1.3.1. / Les rpteur 2 ports................................................................................................................................... 54
1.3.1.3.2. / Les rpteurs multiports ou hubs .............................................................................................................. 54
1.3.1.3.3. / Rpteurs empilables ( stackables ) ...................................................................................................... 55
1.3.1.3.4. / Les rpteurs 100MB/S............................................................................................................................. 55
1.3.1.3.4.1. / Prsentation .......................................................................................................................................... 55
1.3.1.3.4.2. / Contraintes gographiques.................................................................................................................... 55
1.3.2. / Le pont..................................................................................................................................................................... 56
1.3.2.1. / Dfinition....................................................................................................................................................... 56
1.3.2.2. / Les mcanismes mise en uvre des ponts ..................................................................................................... 56
1.3.2.2.1. / Lauto-apprentissage ................................................................................................................................. 56
1.3.2.2.2. / Le Spanning Tree (Bas sur la norme 802.1D) ......................................................................................... 57
1.3.3. / Le switch.................................................................................................................................................................. 57
1.3.3.1. / Dfinition....................................................................................................................................................... 57
1.3.3.2. / Fonction dauto ngociation et Full Duplex .................................................................................................. 58
1.3.3.2.1. / Le Full Duplex .......................................................................................................................................... 58
1.3.3.2.2. / Auto-ngociation....................................................................................................................................... 58
1.3.3.3. / Les VLAN (Virtual Lan Area Newtwork) ..................................................................................................... 58
1.3.4. / Le routeur................................................................................................................................................................ 58
1.3.4.1. / Dfinition....................................................................................................................................................... 58
1.3.4.2. / Mcanisme de routage dun paquet ............................................................................................................... 59
1.3.4.3. / La dtermination du chemin .......................................................................................................................... 59
1.3.4.3.1. / Le routage statique .................................................................................................................................... 59
1.3.4.3.2. / Le routage dynamique............................................................................................................................... 60
1.3.4.4. / Exemple de Routeur : les routeurs dagences ................................................................................................ 60
1.3.5. / Le Firewall .............................................................................................................................................................. 60
1.3.6. / Interconnexion LAN-WAN....................................................................................................................................... 61
1.3.6.1. / Introduction.................................................................................................................................................... 61
1.3.6.2. / Les quipements dinterconnexion ................................................................................................................ 61
1.3.6.3. / Les liaisons WAN - X.25............................................................................................................................... 62
1.3.6.4. / Les liaisons WAN loues............................................................................................................................... 62
1.3.6.5. / Les liaisons WAN - RNIS ............................................................................................................................. 62
1.4. / LES RESEAUX DE TELECOMMUNICATION........................................................................................................... 63
1.4.1. / Le protocole X.25 .................................................................................................................................................... 63
1.4.1.1. / Prsentation.................................................................................................................................................... 63
1.4.1.2. / LA RECOMMANDATION X.25 ................................................................................................................. 63
1.4.1.3. / Le Niveau 1 du protocole X.25...................................................................................................................... 64
1.4.1.4. / Le Niveau 2 du protocole X.25...................................................................................................................... 64
1.4.1.5. / Le Niveau 3 du protocole X.25...................................................................................................................... 66
1.4.1.5.1. / Prsentation............................................................................................................................................... 66
1.4.1.5.2. / La notion de circuit virtuel et de voie logique........................................................................................... 66
1.4.1.5.3. / Etablissement dun circuit virtuel ............................................................................................................. 67
1.4.2. / LE RESEAU RTC (Rseau commutation de circuits)........................................................................................... 67
1.4.3. / LE RESEAU NUMERIS (RNIS)............................................................................................................................... 69
1.4.3.1. / Prsentation.................................................................................................................................................... 69
1.4.3.2. / Les applications du Numris.......................................................................................................................... 69
1.4.3.2.1. / ACCES DE BASE T0............................................................................................................................... 69
1.4.3.2.2. / ACCES PRIMAIRE T2 ............................................................................................................................ 69
1.4.3.2.3. / Application typique pour un FAI .............................................................................................................. 70
1.4.3.3. / Les points de rfrences................................................................................................................................. 70
1.4.3.4. / Le protocole D ............................................................................................................................................... 71
1.4.4. / Le protocole PPP (Point to Point Protocol) ........................................................................................................... 72
1.4.4.1. / Prsentation.................................................................................................................................................... 72
1.4.4.2. / Les protocoles dauthentification................................................................................................................... 72
1.4.4.2.1. /PAP (Password Authentication Protocol) .................................................................................................. 72
1.4.4.2.2. / CHAP (Challenge-Handshake Authentication Protocol) .......................................................................... 73

RESEAUX (volume 2) SOMMAIRE Page 6


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.4.3. / Exemple dapplication de PPP....................................................................................................................... 74


1.5. / LES RESEAUX HAUTS DEBITS ................................................................................................................................. 75
1.5.1. / Le relais de trames - Frame Relay .......................................................................................................................... 75
1.5.1.1. / Introduction.................................................................................................................................................... 75
1.5.1.2. / Normalisation ................................................................................................................................................ 76
1.5.1.3. / Prsentation de couches 1 et 2 ....................................................................................................................... 76
1.5.1.4. / Format des trames du Noyau ......................................................................................................................... 77
1.5.1.4.1. / Prsentation............................................................................................................................................... 77
1.5.1.4.2. / Le champ adresse ...................................................................................................................................... 77
1.5.1.5. / Fonctionnement gnral ladressage DLCI................................................................................................. 78
1.5.1.6. / Le traitement des erreurs................................................................................................................................ 79
1.5.1.7. / Le contrle dadmission................................................................................................................................. 79
1.5.1.8. / Le traitement des trames en excs. ................................................................................................................ 80
1.5.1.9. / Le contrle de congestion .............................................................................................................................. 81
1.5.1.10. / Le protocole CLLM (Consolided Link Layer Management)......................................................................... 81
1.5.1.11. / Le protocole LMI (Local Management Interface) ......................................................................................... 82
1.5.1.12. / Etablissement dun CVC (Circuit Virtuel Commut) .................................................................................... 83
1.5.1.13. / Lencapsulation.............................................................................................................................................. 84
1.5.1.13.1. / Gnralits ................................................................................................................................................ 84
1.5.1.13.2. / Lencapsulation X.25 ................................................................................................................................ 84
1.5.1.13.3. / Lencapsulation multi-protocoles.............................................................................................................. 85
1.5.1.14. / Exemple de routage IP avec Frame Relay ..................................................................................................... 86
1.5.2. / ATM - Asynchronous Transfer Mode ...................................................................................................................... 86
1.5.2.1. / Prsentation.................................................................................................................................................... 86
1.5.2.2. / Architecture gnrale..................................................................................................................................... 87
1.5.2.3. / La cellule ATM.............................................................................................................................................. 88
1.5.2.4. / Lavis I.432.................................................................................................................................................... 88
1.5.2.4.1. / Prsentation............................................................................................................................................... 88
1.5.2.4.2. / La couche ATM ........................................................................................................................................ 89
1.5.2.4.2.1. / Prsentation .......................................................................................................................................... 89
1.5.2.4.2.2. / Fonctionnalits...................................................................................................................................... 90
1.5.2.4.3. / La couche AAL - ATM Adaptation Layer................................................................................................ 90
1.5.2.4.3.1. / Prsentation .......................................................................................................................................... 90
1.5.2.4.3.2. / Les services .......................................................................................................................................... 91
1.5.2.4.3.3. / Le service AAL 5 ................................................................................................................................. 91
1.6. / CONCEPTS DARCHITECTURE CLIENT-SERVEUR .............................................................................................. 93
1.6.1. / L'interface socket..................................................................................................................................................... 93
1.6.1.1. / Gnralits ..................................................................................................................................................... 93
1.6.1.2. / Caractristiques.............................................................................................................................................. 93
1.6.1.3. / Linterface socket ct client ......................................................................................................................... 94
1.6.1.4. / L'interface socket ct serveur....................................................................................................................... 95
1.6.1.5. / La primitive socket de l'interface socket ..................................................................................................... 95
1.6.1.6. / La primitive bind de l'interface socket ........................................................................................................ 96
1.6.1.7. / La primitive listen de l'interface socket....................................................................................................... 97
1.6.1.8. / La primitive accept de l'interface socket ..................................................................................................... 97
1.6.1.9. / La primitive connect de l'interface socket ................................................................................................... 97
1.6.1.10. / Les primitives Send et Recv de l'interface socket..................................................................................... 98
1.6.1.11. / Les primitives SendTo et RecvFrom de l'interface socket........................................................................ 99
1.6.1.12. / Le synoptique UDP........................................................................................................................................ 99
1.6.1.13. / Le synoptique TCP ...................................................................................................................................... 100
1.6.2. / L'interface TLI - Transport Level Interface........................................................................................................... 100
1.6.2.1. / Gnralits ................................................................................................................................................... 100
1.6.2.2. / Les appels de procdures distantes .............................................................................................................. 100
1.6.2.2.1. / Gnralits .............................................................................................................................................. 100
1.6.2.2.2. / Architecture............................................................................................................................................. 101
1.6.2.2.3. / Localisation des services......................................................................................................................... 102
1.6.2.2.4. / La smantique des appels........................................................................................................................ 103
1.6.2.3. / NFS - Network File System......................................................................................................................... 103
1.6.2.3.1. / Gnralits .............................................................................................................................................. 103
1.6.2.3.2. / Architecture............................................................................................................................................. 103
1.6.2.3.3. / Les mcanismes de communication........................................................................................................ 104

RESEAUX (volume 2) SOMMAIRE Page 7


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7. / TCP/IP........................................................................................................................................................................... 105


1.7.1. / La Couche Rseau IP - Internet Protocol ............................................................................................................. 105
1.7.1.1. / Prsentation.................................................................................................................................................. 105
1.7.1.2. / Ladressage IP ............................................................................................................................................. 105
1.7.1.3. / Le protocole ARP - (RFC 826).................................................................................................................... 106
1.7.1.4. / Le protocole Reverse ARP (RARP) - RFC 903........................................................................................... 106
1.7.1.5. / L'adresse IP.................................................................................................................................................. 106
1.7.1.6. / Les classes dadresses.................................................................................................................................. 107
1.7.1.7. / Mnmonique pour lidentification des adresses IP ...................................................................................... 108
1.7.1.8. / Les valeurs particulires dans une adresse IP. ............................................................................................. 108
1.7.1.9. / Les masques................................................................................................................................................. 109
1.7.1.10. / Les sous rseaux .......................................................................................................................................... 109
1.7.1.10.1. / Prsentation............................................................................................................................................. 109
1.7.1.10.2. / Exemple .................................................................................................................................................. 109
1.7.1.10.3. / Mthodes................................................................................................................................................. 110
1.7.1.10.4. / Importance du masque ............................................................................................................................ 111
1.7.1.11. / Le Datagramme IP ....................................................................................................................................... 111
1.7.1.12. / Identification des protocoles vhiculs par IP - RFC 1060.......................................................................... 113
1.7.2. / Le Contrle d'acheminement et messages de services - ICMP (RFC 791) ........................................................... 113
1.7.2.1. / Prsentation.................................................................................................................................................. 113
1.7.2.2. / Les messages ICMP..................................................................................................................................... 114
1.7.2.2.1. / Introduction............................................................................................................................................. 114
1.7.2.2.2. / Dtails des messages ICMP .................................................................................................................... 114
1.7.2.2.2.1. / Le message "destinataire non accessible"........................................................................................... 114
1.7.2.2.2.2. / Le message de demande et rponse dcho. ....................................................................................... 115
1.7.2.2.2.3. / Le message "Dure de vie coule".................................................................................................... 116
1.7.2.2.2.4. / Le message d'erreur de paramtre....................................................................................................... 116
1.7.2.2.2.5. / Le message de contrle de flux........................................................................................................... 116
1.7.2.2.2.6. / Le message de redirection .................................................................................................................. 116
1.7.2.2.2.7. / Le message de demande de synchronisation dhorloge ...................................................................... 117
1.7.3. / Le routage des datagrammes ................................................................................................................................ 117
1.7.3.1. / Prsentation.................................................................................................................................................. 117
1.7.3.2. / Les tables de routage.................................................................................................................................... 117
1.7.3.3. / Les algorithmes de routage .......................................................................................................................... 118
1.7.4. / Le protocole UDP - User Datagram Protocol - (RFC: 768) ................................................................................ 118
1.7.5. / Le protocole TCP - Transmission Control Protocol - (RFC 793)......................................................................... 118
1.7.5.1. / Prsentation.................................................................................................................................................. 118
1.7.5.2. / Fonctionnalits............................................................................................................................................. 119
1.7.5.3. / L'entte TCP ................................................................................................................................................ 120
1.7.5.4. / Etablissement de la connexion TCP............................................................................................................. 121
1.7.5.5. / La gestion des accuss de rception............................................................................................................. 122
1.7.5.6. / Les applications de TCP .............................................................................................................................. 122
1.8. / CONCEPTION DUN PLAN DADRESSAGE........................................................................................................... 125
1.8.1. / LE PLAN DADRESSAGE .................................................................................................................................... 125
1.8.1.1. / Prsentation.................................................................................................................................................. 125
1.8.1.2. / Les diffrents types dadressages................................................................................................................. 125
1.8.1.2.1. / Ladressage officiel................................................................................................................................. 125
1.8.1.2.2. / Ladressage privatif................................................................................................................................. 125
1.8.1.2.3. / Ladressage priv : RFC 1918................................................................................................................. 125
1.8.2. / La RFC 1918 ......................................................................................................................................................... 125
1.8.3. / Le paramtrage gnral dun plan dadressage ................................................................................................... 126
1.8.3.1. / Introduction.................................................................................................................................................. 126
1.8.3.2. / Le paramtrage de ladresse IP et du masque .............................................................................................. 126
1.8.3.3. / Le paramtrage des routes ........................................................................................................................... 127
1.8.3.4. / Le Paramtrage de la rsolution de nom...................................................................................................... 127
1.8.3.5. / Exemple de paramtrage.............................................................................................................................. 128
1.8.4. / Le paramtrage dun plan dadressage sur les postes de travail.......................................................................... 129
1.8.4.1. / Le paramtrage dun poste Windows 9x...................................................................................................... 129
1.8.4.1.1. / Configuration de ladresse IP et du masque............................................................................................ 129
1.8.4.1.2. / Vrification du paramtrage de ladresse IP et du masque ..................................................................... 129
1.8.4.1.3. / La configuration des routes..................................................................................................................... 130

RESEAUX (volume 2) SOMMAIRE Page 8


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.8.4.1.4. / La vrification des routes ........................................................................................................................ 131


1.8.4.1.5. / La rsolution de noms ............................................................................................................................. 131
1.8.4.2. / Le paramtrage dune station LINUX ......................................................................................................... 132
1.8.4.2.1. / Configuration de ladresse IP et du masque............................................................................................ 132
1.8.4.2.2. / La configuration des routes..................................................................................................................... 134
1.8.4.2.3. / La vrification des routes ........................................................................................................................ 136
1.8.4.2.4. / La rsolution de noms ............................................................................................................................. 136
1.8.4.2.5. / Synthse des fichiers systmes................................................................................................................ 138
1.8.4.3. / Le paramtrage dune station Windows NT ................................................................................................ 138
1.8.4.3.1. / Configuration de ladresse IP et du masque............................................................................................ 138
1.8.4.3.2. / La configuration des routes..................................................................................................................... 139
1.8.4.3.3. / La rsolution de noms ............................................................................................................................. 140
1.9. / LA RESOLUTION DE NOM - DNS............................................................................................................................ 141
1.9.1. / Introduction........................................................................................................................................................... 141
1.9.2. / Prsentation .......................................................................................................................................................... 141
1.9.3. / Lespace de nomage .............................................................................................................................................. 142
1.9.4. / Les noms................................................................................................................................................................ 142
1.9.5. / Les domaines ......................................................................................................................................................... 143
1.9.6. / Dlgation ............................................................................................................................................................. 143
1.9.7. / Les domaines et les zones...................................................................................................................................... 144
1.9.8. / Les domaines de niveau suprieur ........................................................................................................................ 145
1.9.9. / La rsolution de nom............................................................................................................................................. 145
1.9.10. / La rsolution inverse ............................................................................................................................................. 146
1.9.11. / Les mcanismes de rsolution ............................................................................................................................... 147
1.9.11.1. / Exemple ....................................................................................................................................................... 147
1.9.11.2. / Les types dinterrogation ............................................................................................................................. 147
1.9.11.3. / La mmoire cache........................................................................................................................................ 147
1.9.11.4. / La dure de vie (TTL Time To Live)........................................................................................................ 148
1.9.12. / Larchitecture logicielle du DNS........................................................................................................................... 148
1.9.12.1. / Prsentation.................................................................................................................................................. 148
1.9.12.2. / Les serveurs de noms................................................................................................................................... 148
1.9.12.2.1. / Prsentation............................................................................................................................................. 148
1.9.12.2.2. / La mise jour des serveurs ..................................................................................................................... 149
1.9.12.2.3. / Le resolver .............................................................................................................................................. 149
1.9.12.2.4. / Les serveurs racine.................................................................................................................................. 149
1.9.12.2.5. / Lenregistrement des ressources ............................................................................................................. 149
1.9.12.2.5.1. / Introduction ...................................................................................................................................... 149
1.9.12.2.5.2. / Le champs SOA Start Of Authority............................................................................................... 150
1.9.12.2.5.3. / Le champs NS Name Server.......................................................................................................... 150
1.9.12.2.5.4. / Le champs A Adresser................................................................................................................... 151
1.9.12.2.5.5. / Le champs CNAME - Canonical NAME (alias) .............................................................................. 151
1.9.12.2.5.6. / Le champs PTR - PoinTeR ............................................................................................................... 151
1.9.12.2.5.7. / Lenregistrement MX ....................................................................................................................... 152
1.9.12.3. / Les donnes mise en cache sur les serveurs racines .................................................................................... 152
1.9.12.4. /Les domaines virtuels ................................................................................................................................... 153
1.9.13. / La mise en uvre dun DNS .................................................................................................................................. 153
1.9.13.1. / Gnralits ................................................................................................................................................... 153
1.9.13.2. / Le serveur de nom de domaine sous LINUX : BIND .................................................................................. 153
1.9.13.3. / La scurit des serveurs DNS ...................................................................................................................... 153
1.9.13.4. / Exemple de fichier de configuration............................................................................................................ 154
1.9.13.5. / Exemple de fichier de donnes .................................................................................................................... 155
1.9.13.6. / Exemple de fichier de rsolution inverse ..................................................................................................... 155
1.9.13.7. / Exemple de fichier local. ............................................................................................................................. 156
1.9.13.8. / Exemple de fichier de configuration du serveur secondaire ........................................................................ 156
1.9.13.9. / La configuration de BIND sous LINUX...................................................................................................... 156
1.10. / LES RESEAUX ET LA SECURITE ........................................................................................................................ 162
1.10.1. / Les services de scurit en matire de protection des donnes............................................................................. 162
1.10.1.1. / Introduction.................................................................................................................................................. 162
1.10.1.2. / Le chiffrement ............................................................................................................................................. 162
1.10.1.2.1. / Gnralits .............................................................................................................................................. 162
1.10.1.2.2. / Le chiffrement cl secrte .................................................................................................................... 162

RESEAUX (volume 2) SOMMAIRE Page 9


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.1.2.3. / Le chiffrement cl publique ................................................................................................................. 163


1.10.1.2.4. / Les fonctions de hachage ........................................................................................................................ 165
1.10.1.2.4.1. / Introduction ...................................................................................................................................... 165
1.10.1.2.4.2. / Principe............................................................................................................................................. 165
1.10.1.2.4.3. / Les fonctions de scellement et de signature...................................................................................... 166
1.10.1.2.5. / Utilisation des algorithmes asymtriques................................................................................................ 166
1.10.1.2.6. / Le problme de la gestion des cls.......................................................................................................... 167
1.10.1.2.7. / La gestion des cls secrtes..................................................................................................................... 168
1.10.1.2.8. / La gestion des cls publiques.................................................................................................................. 169
1.10.1.2.8.1. / Introduction ...................................................................................................................................... 169
1.10.1.2.8.2. / Le concept des certificats.................................................................................................................. 169
1.10.1.2.8.3. / Les certificats X509.......................................................................................................................... 169
1.10.1.2.8.4. / Le principe des certificats ................................................................................................................. 170
1.10.2. / La scurisation des changes dans TCP/IP .......................................................................................................... 170
1.10.2.1. / Applications des algorithmes de chiffrement dans TCP/IP ......................................................................... 170
1.10.2.1.1. / La scurisation des couches Applicatives ............................................................................................... 170
1.10.2.1.1.1. /Le protocole S-MIME........................................................................................................................ 170
1.10.2.1.1.2. / Le protocole PGP (Pretty Good Privacy).......................................................................................... 171
1.10.2.1.1.3. / Le protocole S-HTTP ....................................................................................................................... 171
1.10.2.1.2. La scurisation de la couche Transport ..................................................................................................... 171
1.10.2.1.2.1. / Introduction ...................................................................................................................................... 171
1.10.2.1.2.2. / SSL Secure Socket Layer .............................................................................................................. 171
1.10.2.1.2.3. / SSH Secure SHell .......................................................................................................................... 173
1.10.2.1.2.4. / Les Socks.......................................................................................................................................... 174
1.10.2.1.3. / La scurisation de couche IP- IPSEC...................................................................................................... 174
1.10.2.1.3.1. / Introduction ...................................................................................................................................... 174
1.10.2.1.3.2. / Les RFC pour IPSEC........................................................................................................................ 174
1.10.2.1.3.3. / Les protocoles AH et ESP ................................................................................................................ 175
1.10.2.1.3.4. / Les AS Association of Security ..................................................................................................... 175
1.10.2.1.3.5. / Les modes de fonctionnement .......................................................................................................... 175
1.10.2.1.3.6. / Exemple dutilisation de IPSEC ....................................................................................................... 178
1.10.2.1.3.7. / La gestion des cls ............................................................................................................................ 179
1.10.2.1.3.8. / La PKI (Public Infrastructure Key)................................................................................................... 180
1.10.3. / La scurit des accs............................................................................................................................................. 180
1.10.3.1. / Lidentification et lauthentification ............................................................................................................ 180
1.10.3.2. / Les filtres rseaux ........................................................................................................................................ 181
1.10.3.2.1. / Introduction............................................................................................................................................. 181
1.10.3.2.2. / Le filtrage au niveau Transport ............................................................................................................... 182
1.10.3.2.3. / Les filtres applicatifs (PROXY).............................................................................................................. 183
1.10.3.2.3.1. / Introduction ...................................................................................................................................... 183
1.10.3.2.3.2. / Le filtrage applicatif sous LINUX : SQUID..................................................................................... 184
1.10.3.2.4. / Les passerelles ........................................................................................................................................ 187
1.10.3.2.4.1. / Rappels ............................................................................................................................................. 187
1.10.3.2.4.2. / Les architectures ............................................................................................................................... 188
1.10.3.2.4.2.1. / Larchitecture avec un filtre applicatif FIREWALL.................................................................. 188
1.10.3.2.4.2.2. / Architecture scurise avec une zone dmilitarise (DMZ) ...................................................... 189
1.10.3.2.4.2.3. / Les rgles applicables aux flux dans les architectures avec DMZ ............................................. 189
1.10.3.3. / Les accs distants......................................................................................................................................... 190
1.10.3.3.1. / Introduction............................................................................................................................................. 190
1.10.3.3.2. / La scurisation de laccs distant ............................................................................................................ 190
1.10.3.3.3. / Les accs distant du type TACAS........................................................................................................... 191
1.10.3.3.4. / Les accs distant du type TACAS+ ........................................................................................................ 191
1.10.3.3.5. / Les accs distant du type RADIUS ......................................................................................................... 192
1.10.3.3.6. / Les limites des architectures d'accs distant ........................................................................................... 192
1.10.3.3.7. / Le tunneling PPP..................................................................................................................................... 193
1.10.3.3.8. / Le protocole L2F (Layer 2 Forwarding) ................................................................................................. 193
1.10.3.3.9. / Le protocole PPTP (Point to Point Tunneling Protocol) ......................................................................... 193
1.10.3.3.10. / Le protocole L2TP (Layer 2 Tunneling Protocol) ................................................................................. 194
1.10.4. / La prvention des attaques.................................................................................................................................... 194
1.10.4.1. / Introduction.................................................................................................................................................. 194
1.10.4.2. / Les attaques ICMP....................................................................................................................................... 195

RESEAUX (volume 2) SOMMAIRE Page 10


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.4.3. / Les attaques par Balayage de Port ............................................................................................................... 195


1.10.4.4. / Les attaques par reconnaissance des systmes............................................................................................. 196
1.10.4.4.1. / La comparaison de signature................................................................................................................... 196
1.10.4.4.2. / Le TELNET ............................................................................................................................................ 197
1.10.4.4.3. / Synthse sur la recherche dinformation ................................................................................................. 198
1.10.4.5. / Les attaques par Deni de Service ................................................................................................................. 198
1.10.4.5.1. / Lattaque de DNS.................................................................................................................................... 198
1.10.4.5.2. / Lattaque par saturation des ressources................................................................................................... 198
1.10.4.5.3. / Lattaque par TCP-SYN.......................................................................................................................... 199
1.10.4.5.4. / Lattaque par SMURF............................................................................................................................. 199
1.10.4.5.5. / Lattaque par fragmentation IP ............................................................................................................... 199
1.10.4.5.6. / Autres types dattaques ........................................................................................................................... 199
1.10.4.6. / Les attaques daccs..................................................................................................................................... 200
1.10.4.6.1. / Lattaque TCP ......................................................................................................................................... 200
1.10.4.6.2. / Lattaque par dbordement (systmes UNIX)......................................................................................... 200
1.10.4.6.3. / Lattaque par force brute et attaque par dictionnaire............................................................................... 201
1.10.4.6.4. / Lingnierie sociale................................................................................................................................. 201
1.10.4.7. / Les parades globales .................................................................................................................................... 201
1.10.5. / Mise en uvre pratique de la scurisation des accs............................................................................................ 202
1.10.5.1. / Introduction.................................................................................................................................................. 202
1.10.5.2. / La mise en uvre du FIREWALL............................................................................................................... 202
1.10.5.3. / Les services dsactiver.............................................................................................................................. 203
1.10.5.4. / Exemple dune architecture fortement cloisonne ....................................................................................... 204
1.10.5.5. / Le PIX Private Internet Exchange ............................................................................................................ 204
1.10.5.5.1. / Prsentation............................................................................................................................................. 204
1.10.5.5.2. / Exemple darchitecture ........................................................................................................................... 204
1.10.5.5.3. / Les commandes du PIX .......................................................................................................................... 205
1.10.5.5.4. / La tolrance de panne du PIX et le failover ............................................................................................ 205
1.10.5.5.5. / La scurisation du PIX............................................................................................................................ 207
1.10.5.5.6. / Les autorisations et la translation dadresses sur un PIX ........................................................................ 208
1.10.5.6. / La scurisation avec LINUX ....................................................................................................................... 210
1.10.5.6.1. / Le Pare-Feu du noyau LINUX................................................................................................................ 210
1.10.5.6.1.1. / LINUX version 2.2.x ........................................................................................................................ 210
1.10.5.6.1.2. / LINUX version 2.4.x ........................................................................................................................ 211
1.10.5.6.2. / La dtermination des services dmarrer ............................................................................................... 213
1.10.5.6.3. / Le firewall LINUX IPchains................................................................................................................... 213
1.10.5.6.3.1. / Prsentation ...................................................................................................................................... 213
1.10.5.6.3.2. / La mise en place des rgles de filtrage ............................................................................................. 214
1.10.5.6.3.3. / La syntaxe d'IPchains ....................................................................................................................... 214
1.10.5.6.3.4. / La scurisation vis vis du spoofing ................................................................................................ 215
1.10.5.6.3.5. / Laccs un service situ l'extrieur.............................................................................................. 215
1.10.5.6.3.6. / Laccs un service interne depuis l'extrieur ................................................................................. 215
1.10.5.6.4. / La Surveillance des fichiers logs............................................................................................................. 216
1.11. / LA MESSAGERIE ................................................................................................................................................... 218
1.11.1. / Prsentation .......................................................................................................................................................... 218
1.11.2. / SMTP - Simple Mail Transfer Protocol................................................................................................................. 219
1.11.2.1. / La RFC 821.................................................................................................................................................. 219
1.11.2.2. / L'mission de courrier.................................................................................................................................. 219
1.11.2.2.1. / Prsentation............................................................................................................................................. 219
1.11.2.2.2. / Exemples................................................................................................................................................. 220
1.11.2.3. / Les autres fonctionnalits ............................................................................................................................ 221
1.11.2.3.1. / Louverture et la fermeture d'une session ............................................................................................... 221
1.11.2.3.2. / La vrification d'une boite et expansion de liste ..................................................................................... 221
1.11.2.3.3. / Lmission et le postage.......................................................................................................................... 222
1.11.2.3.4. / Le relais de message. .............................................................................................................................. 222
1.11.2.4. / Rsum des commandes SMTP................................................................................................................... 222
1.11.2.5. / Le format des messages - RFC 822 ............................................................................................................. 223
1.11.2.6. / Le format des adresses - RFC 822 ............................................................................................................... 223
1.11.2.7. / SMTP et DNS .............................................................................................................................................. 224
1.11.2.7.1. / Presentation............................................................................................................................................. 224
1.11.2.7.2. / Exemple d'architecture............................................................................................................................ 225

RESEAUX (volume 2) SOMMAIRE Page 11


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.2.8. / Les limitations de SMTP ............................................................................................................................. 226


1.11.2.9. / Rcapitulatif des pour SMTP....................................................................................................................... 226
1.11.3. / MIME: Multipurpose Internet Mail Extensions .................................................................................................... 227
1.11.3.1. / Prsentation.................................................................................................................................................. 227
1.11.3.2. / Les types de message MIME ....................................................................................................................... 227
1.11.3.3. / Les types dencodage................................................................................................................................... 228
1.11.3.4. / Exemples ..................................................................................................................................................... 229
1.11.4. / ESMTP - Extended SMTP ..................................................................................................................................... 230
1.11.4.1. / Prsentation.................................................................................................................................................. 230
1.11.4.2. / Commandes optionnelles de SMTP............................................................................................................. 230
1.11.4.3. / Transport des messages contenant des caractres 8 bits .............................................................................. 231
1.11.4.4. / Le transport de binaires ou de gros messages .............................................................................................. 231
1.11.4.5. / Lmission des messages en attente............................................................................................................. 231
1.11.4.6. / Accus de remise DSN (Delivery Status Notifications). ............................................................................. 232
1.11.4.7. / La dclaration de la taille des messages....................................................................................................... 232
1.11.4.8. / Les commandes la file............................................................................................................................... 232
1.11.4.9. / La reprise de transactions interrompues....................................................................................................... 233
1.11.5. / Les problmes lis au courrier lectronique ......................................................................................................... 233
1.11.5.1. / Introduction.................................................................................................................................................. 233
1.11.5.2. / Le SPAM ..................................................................................................................................................... 234
1.11.5.2.1. / Prsentation............................................................................................................................................. 234
1.11.5.2.2. / Le SPAM : comment ragir ?.................................................................................................................. 234
1.11.5.2.3. / Le filtrage des SPAMS ........................................................................................................................... 235
1.11.5.3. / La protection anti-virus................................................................................................................................ 235
1.11.6. / La lecture hors ligne POP3 et IMAP4................................................................................................................ 236
1.11.6.1. / Introduction.................................................................................................................................................. 236
1.11.6.2. / POP - POST OFFICE PROTOCOL ............................................................................................................ 236
1.11.6.2.1. / Prsentation............................................................................................................................................. 236
1.11.6.2.2. / Les commandes POP3 ............................................................................................................................ 238
1.11.6.2.2.1. / Les commandes d'authentification (Etat autorisation) ...................................................................... 238
1.11.6.2.2.2. / Les commandes de manipulation des messages (Etat transaction) ................................................... 238
1.11.6.2.2.3. / Les commandes de consultation (Etat transaction)........................................................................... 239
1.11.6.2.2.4. / Les autres commandes ...................................................................................................................... 239
1.11.6.3. / IMAP - Internet Message Access Protocol. ................................................................................................. 239
1.11.7. / La mise en uvre dun serveur de messagerie ...................................................................................................... 240
1.11.7.1. / Introduction.................................................................................................................................................. 240
1.11.7.2. / Le domaine de la messagerie ....................................................................................................................... 241
1.11.7.3. / La configuration des serveurs de mesagerie ................................................................................................ 242
1.11.7.4. / Les rgles de scurit................................................................................................................................... 245
1.12. / LANNUAIRE LDAP - LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL .................................................. 246
1.12.1. / Introduction........................................................................................................................................................... 246
1.12.2. / Le protocole de communication ............................................................................................................................ 246
1.12.3. / Le modle de donnes............................................................................................................................................ 247
1.12.3.1. / Prsentation.................................................................................................................................................. 247
1.12.3.2. / Les classes et les attributs ............................................................................................................................ 247
1.12.3.2.1. / Les attributs............................................................................................................................................. 247
1.12.3.2.2. / Les classes............................................................................................................................................... 248
1.12.3.2.3. / Exemple de classe d'objet ....................................................................................................................... 248
1.12.3.3. / Les modles de nommage............................................................................................................................ 249
1.12.3.3.1. / Prsentation............................................................................................................................................. 249
1.12.3.3.2. / Le Directory Information Tree - DIT...................................................................................................... 249
1.12.3.3.3. / Le nommage RDN et DN........................................................................................................................ 250
1.12.3.3.4. / Les alias .................................................................................................................................................. 250
1.12.3.3.5. / Le referral................................................................................................................................................ 250
1.12.3.4. / Le modle fonctionnel ................................................................................................................................. 251
1.12.3.4.1. / Prsentation............................................................................................................................................. 251
1.12.3.4.2. / Les oprations d'authentification et de contrle ...................................................................................... 251
1.12.3.4.3. / Les oprations d'interrogation ................................................................................................................. 251
1.12.3.4.4. / Les paramtres des oprations d'interrogation ........................................................................................ 252
1.12.3.4.5. / Les oprations de modifications.............................................................................................................. 253
1.12.3.5. / Le modle de scurit .................................................................................................................................. 254

RESEAUX (volume 2) SOMMAIRE Page 12


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.3.5.1. / Prsentation............................................................................................................................................. 254


1.12.3.5.2. / Le contrle d'accs .................................................................................................................................. 254
1.12.3.6. / Le modle de duplication............................................................................................................................. 254
1.12.4. / LDIF - LDAP Data Interchange Format............................................................................................................... 255
1.12.4.1. / Presentation.................................................................................................................................................. 255
1.12.4.2. / Les oprations de modification.................................................................................................................... 255
1.12.5. / Configurer un serveur LDAP sous LINUX OpenLDAP ..................................................................................... 256
1.12.5.1. / Prsentation.................................................................................................................................................. 256
1.12.5.2. / La configuration du serveur ......................................................................................................................... 256
1.12.5.3. / Ajout des donnes au serveur LDAP ........................................................................................................... 258
1.12.5.4. / Exemples de recherche dans la base LDAP................................................................................................. 260
1.12.6. / Les avantages de LDAP ........................................................................................................................................ 260
1.12.7. / Exemples d'applications de LDAP ........................................................................................................................ 260
1.12.7.1. / LDAP : Une source unique pour lauthentification ..................................................................................... 260
1.12.7.2. / La gestion de compte avec LDAP ............................................................................................................... 261
1.12.7.3. / La gestion des prfrences avec LDAP ....................................................................................................... 261
1.12.7.4. / La gestion des informations personnelles sur le WEB avec LDAP ............................................................. 261
1.13. / LADMINISTRATION DES RESEAUX................................................................................................................. 262
1.13.1. / Les concepts de ladministration........................................................................................................................... 262
1.13.2. / Ladministration selon OSI ................................................................................................................................... 262
1.13.2.1. / Introduction.................................................................................................................................................. 262
1.13.2.2. / Le modle informationnel OSI - Management Information Model ISO 10165-1 ....................................... 263
1.13.2.3. / Le modle organisationnel ISO 10040......................................................................................................... 263
1.13.2.4. / Le modle fonctionnel ISO 10164-XX........................................................................................................ 264
1.13.2.5. / Le modle de communication CMIS ISO 9595 / CMIP ISO 9596.............................................................. 264
1.13.2.6. / Le modle architectural ISO 7498-4............................................................................................................ 265
1.13.3. / Le modle dadministration du monde TCP/IP : SNMP ....................................................................................... 265
1.13.3.1. / Architecture gnrale................................................................................................................................... 265
1.13.3.2. / SNMP Simple Network Management Protocol ........................................................................................... 266
1.13.3.3. / Le modle de communication SNMP V1 RFC 1157................................................................................... 266
1.13.3.4. / Le modle de communication SNMP V2 (RFC 1448) ................................................................................ 267
1.13.3.5. / Le modle informationnel SMI - Structure of Management Information.................................................... 268
1.13.3.6. / Les extensions de la MIB............................................................................................................................. 268
1.13.3.7. / Exemples de requtes SNMP....................................................................................................................... 269
1.13.4. / La gestion des fautes ............................................................................................................................................. 269
1.13.4.1. / Prsentation.................................................................................................................................................. 269
1.13.4.2. / Les fonctionnalits classiques dune plate-forme dadministration ............................................................. 270
1.13.5. / Ladministration SNMP sous LINUX .................................................................................................................... 271
1.13.5.1. / SNMP sur LINUX ....................................................................................................................................... 271
1.13.5.2. / MRTG - Multi Router Traffic Grapher........................................................................................................ 272
1.13.5.3. / Les outils dadministration de reseaux SCOTTY ........................................................................................ 274
1.14. / LE ROUTAGE.......................................................................................................................................................... 275
1.14.1. / Introduction au routage......................................................................................................................................... 275
1.14.2. / Le routage Statique ............................................................................................................................................... 275
1.14.2.1. / Prsentation.................................................................................................................................................. 275
1.14.2.2. / Lajout de route............................................................................................................................................ 275
1.14.3. / Le routage dynamique........................................................................................................................................... 275
1.14.3.1. / Les protocoles de routage ............................................................................................................................ 275
1.14.3.2. / Les systmes autonomes .............................................................................................................................. 276
1.14.3.3. / Le routage intrieur...................................................................................................................................... 276
1.14.3.3.1. / Introduction............................................................................................................................................. 276
1.14.3.3.2. / Le routage interrieur par vecteur de distance .......................................................................................... 277
1.14.3.3.3. / Le protocole RIP - Routing Information Protocol (UNIX) ..................................................................... 277
1.14.3.3.3.1. / Prsentation ...................................................................................................................................... 277
1.14.3.3.3.2. / Mcanismes gnraux de RIP........................................................................................................... 277
1.14.3.3.3.3. / Lalgorithme de clivage dhorizon.................................................................................................... 278
1.14.3.3.3.4. / La mise jour anticipe et le maintien dtat des routes .................................................................. 278
1.14.3.3.3.5. / Activation du protocole RIP sous LINUX........................................................................................ 279
1.14.3.3.3.6. / Les limitations de RIP ...................................................................................................................... 280
1.14.3.3.4. / Le protocole IGRP- Internal Gateway Routing Protocol (CISCO) ......................................................... 280
1.14.3.3.4.1. / Prsentation ...................................................................................................................................... 280

RESEAUX (volume 2) SOMMAIRE Page 13


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.3.3.4.2. / Exemple ............................................................................................................................................ 280


1.14.3.3.4.3. / Lempoisonnement de route ............................................................................................................. 281
1.14.3.3.5. / Le protocole EIGRP - Enhanced IGRP (CISCO) ................................................................................... 281
1.14.3.3.6. / Le protocole tat de liens OSPF - Open Shortest Path First................................................................. 281
1.14.4. / La configuration des routeurs CISCO................................................................................................................... 282
1.14.4.1. / Introduction.................................................................................................................................................. 282
1.14.4.2. / Prise en main................................................................................................................................................ 282
1.14.4.3. / Lutilitaire SETUP....................................................................................................................................... 282
1.14.4.4. / La configuration via tftp .............................................................................................................................. 283
1.14.4.5. / La sauvegarde d'une configuration via tftp .................................................................................................. 283
1.14.4.6. / La restauration d'une configuration via tftp ................................................................................................. 284
1.14.4.7. / Les diffrents types de mmoire dun routeur CISCO................................................................................. 284
1.14.4.8. / Les types de commandes ............................................................................................................................. 284
1.14.4.9. / Les diffrents modes dutilisation................................................................................................................ 284
1.14.4.10. / La configuration d'une interface Ethernet.................................................................................................... 285
1.14.4.11. / La configuration d'une interface Srie transfix ............................................................................................ 285
1.14.4.12. / La configuration d'une interface Srie X.25 ................................................................................................ 286
1.14.4.13. La configuration d'une interface Srie frame-relay........................................................................................ 287
1.14.4.13.1. / Exemple 1 .............................................................................................................................................. 287
1.14.4.13.2. / Exemple 2 .............................................................................................................................................. 287

2. TRAVAUX DIRIGES ....................................................................................... 289

2.1. / EXERCICE 1 : ETUDE DE CAS POUR LINTERCONNEXION DES RESEAUX .......................................................................... 290
2.1.1. / Enonc : ................................................................................................................................................................ 290
2.1.2. / Corrig .................................................................................................................................................................. 290
2.2. / EXERCICE 2 : QUESTIONS DE COURS ET PROBLEMES ...................................................................................................... 291
2.2.1. / Enonc : ................................................................................................................................................................ 291
2.2.1.1. / Question de cours ........................................................................................................................................ 291
2.2.1.2. / Problmes .................................................................................................................................................... 291
2.2.2. / Corrig .................................................................................................................................................................. 291
2.2.2.1. / Question de cours ........................................................................................................................................ 291
2.2.2.2. / Problmes .................................................................................................................................................... 293
2.3. / EXERCICE 3 : ETUDE DE CAS POUR LE ROUTAGE STATIQUE ............................................................................................ 294
2.3.1. / Enonc : ................................................................................................................................................................ 294
2.3.2. / Corrig .................................................................................................................................................................. 294

3. BIBLIOGRAPHIE .................................................................................................... 295

3.1. / RESEAUX LOCAUX ......................................................................................................................................................... 296


3.2. / RESEAUX HAUTS DEBITS................................................................................................................................................ 296
3.3. / POUR LES LINUXIENS ..................................................................................................................................................... 296
3.4. / ADMINISTRATION DE RESEAUX ...................................................................................................................................... 296
3.5. / SYSTEMES UNIX ........................................................................................................................................................... 297
3.6. / ROUTEUR CISCO........................................................................................................................................................... 297
3.7. / QUELQUES URLS ........................................................................................................................................................... 297

4. INDEX ....................................................................................................................................................... 298

5. LEXIQUE ......................................................................................................................................... 300

6. LICENCE DE DOCUMENTATION LIBRE ..................................................................................................................... 303

RESEAUX (volume 2) SOMMAIRE Page 14


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) SOMMAIRE Page 15


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1. COURS : Introduction aux Rseaux

RESEAUX (volume 2) COURS Page 16


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1. / CONCEPTS GENERAUX


1.1.1. / INTRODUCTIONS

Le concept des rseaux introduit deux questions : pourquoi des rseaux et pourquoi des normes ?

Les rseaux sont issus de la ncessit de communication entre les machines. Les normes sont
ncessaires pour librer lutilisateur des mcanismes de communication spcifiques chaque
constructeur.

1.1.2. / LA NORMALISATION

Les besoins des utilisateurs sont des Communications entre systmes htrognes.

A cet tat de fait il existe une rponse normalise : lOSI de lorganisme de normalisation ISO. Cest
une description fonctionnelle des tches de communication dcoupe en 7 couches.

Une autre rponse est TCP/IP.

1.1.3. / POURQUOI UN MODELE EN COUCHES ?

Cest le principe de dcomposer les tches pour mieux les apprhender. Ci dessous un exemple de
communication dans une entreprise :

RESEAUX (volume 2) COURS Page 17


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.4. / LES ORGANISMES DE NORMALISATION

1.1.4.1./ Synoptique

1.1.4.2./ Les organismes de normalisation internationaux et franais

; ISO (International Standard of organisation)

Organisation non gouvernementale


Normalise tous les domaines techniques sauf lectricit, lectrotechnique et lectronique
(CEI)
Norme International ou IS (aprs WD,DP,DIS)

; UIT (Union internationale des Tlcommunications)

Organisation intergouvernementale dont dpend lUIT-T (ex - CCITT)


UIT-T : communication sur cble

; UIT-T

Publie de recommandations tous les 4 ans (blue book)


Srie V concerne la tlphonie et les modems (V24)
Srie X concerne les rseaux (X.400)
Srie S le RNIS (bus S0)
Srie T tlcopie, vidotex

; ECMA (European Computer Manufacturer Association)

Regroupe des constructeurs europens ou non de matriel informatique

; AFNOR (Association Franaise de normalisation)

Sige lISO
Produits de normes (Z67-130)

RESEAUX (volume 2) COURS Page 18


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.4.3./ Les organismes de normalisation amricains

; ANSI (American Standard institute)

Homologue de lAFNOR
C Ansi
X3T9.5

; EIA (Electronic Industries Association)

Association professionnelle
Recommended Standard (RS 232, RS 422)

; IEEE (Institute of Electrical and Electronics Engineers)

Domaine des rseaux locaux


802.1 dcrit la gestion et linterconnexion des rseaux ainsi que les relations entre les autres
normes
802.2 dcrit la couche liaison de donnes (LLC)
802.3 dcrit les rseaux avec une topologie en bus et une mthode daccs alatoire
CSMA/CD. Il sagit des rseaux Ethernet.
802.4 dcrit les rseaux avec une topologie en bus et une mthode daccs jeton (Token
Bus).
802.5 dcrit les rseaux avec une topologie en anneau et une mthode daccs jeton (Token
Ring).
802.6 rseau mtropolitain MAN.

1.1.5. / LE MODELE OSI

1.1.5.1./ LES 7 COUCHES DU MODELE

RESEAUX (volume 2) COURS Page 19


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.2./ LE SCHEMA DE LA COMMUNICATION

Le modle OSI introduit les termes suivants :

PROTOCOLE : Cest une communication entre systmes homologues distants.


SERVICE : Cest une communication entre systmes adjacents au travers de S.A.P ou Service
Access Point.

1.1.5.3./ LA COUCHE APPLICATION

1.1.5.3.1./ Introduction

Cest la partie du rseau accessible par lutilisateur.

Ces grandes fonctions sont :

Le transfert de fichier :
FTAM (ISO 8571).
FTP mais aussi NFS.

La connexion distance ou mulation de terminal :


VT (ISO 9040 et 9041).
Telnet.

LExcution de commandes distance :


JTM (ISO 8831 et 8832).
Remote Command.

La messagerie Electronique :
X.400 (UIT-T, ISO 10021 1-7).
SMTP (Mail).

Lannuaire :
X.500.
LDAP mais aussi DNS.

RESEAUX (volume 2) COURS Page 20


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.3.2./ FTAM (File Transfer, Access and management)

1.1.5.3.2.1./ Definition

Il a t dfini par la Norme ISO 8571 en 1987. Il est compos de 4 parties :

Concepts gnraux et dfinitions de base.


Dfinition du systme de fichiers virtuels.
Dfinition du service de fichiers.
Dfinition du protocole.

Il introduit les notions importantes suivantes :

Le systme de fichier virtuel.


Le rgime FTAM.

Cest un systme de fichier virtuel qui permet de rendre transparent le transfert de fichiers par rapport
au protocole de gestion de fichiers. Ces caractristiques sont :

Les divers modes dutilisation.


Les diffrentes descriptions de stockage.
Mthode daccs aux fichiers rels.

Cest aussi une notion de fichier virtuel qui est dcrit par :

Un nom non ambigu.


Des attributs de fichiers.
Un contenu exprim en unit de donnes (FADU).

Les attributs de fichier dont les suivants :

Les attributs descriptifs (comptabilit, historique) et actions ralisables sur les fichiers.
Attributs actifs (attributs du fichier utilis).
Attributs courants (identit, localisation de lutilisateur).

RESEAUX (volume 2) COURS Page 21


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.3.2.2./ Fonctionnalits et services

1.1.5.3.2.2.1./ Le rgime FTAM

Rgime proprement dit (association).


Rgime de slection de fichier (slection, cration).
Rgime ouvert de fichier (ouverture).
Rgime de transfert.

1.1.5.3.2.2.2./ Units fonctionnelles

U1 Noyau.
U2 Lecture.
U3 Ecriture.
U4 Accs au fichier
U5 Gestion rduite de fichier (cration, suppression de fichiers).
U6 Gestion tendue de fichier (U5+ modification dattributs).
U7 groupement.
U8 Verrouillage de FADU.
U9 Reprise.
U10 Redmarrage de transfert de donns.

1.1.5.3.2.2.3./ Notions de classe de service

Classe de transfert.
Classe daccs.
Classe de gestion (gre et contrle le fichier virtuel).
Classe de transfert et gestion.
Classe sans contrainte.

1.1.5.3.2.2.4./ Les primitives

Primitives daccs (F-OPEN, F-READ, F-CLOSE).


Primitives de Transfert (F-GET-FILE et F-PUT-FILE).

1.1.5.3.3./ LA MESSAGERIE X400 et SMTP

1.1.5.3.3.1./ Dfinitions

Les objectifs de la messagerie sont :

Permettre les asynchronismes.


Rutilisation des messages.
Destinataires multiples.

RESEAUX (volume 2) COURS Page 22


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Crer une messagerie nest pas si complexe. Cela reprsente peu dintrt si elle ne peut pas
communiquer avec dautres.

Les recommandations X.400 sont les suivantes :

CCITT (UIT-T).
ISO 10021 1-7 ou MOTIS.
Modle fonctionnel et les services dun STM (X400).
Informations ncessaires leur ralisation (X.401,408,409,410,411,420,430).

Dans le monde Internet on trouve SMTP.

1.1.5.3.3.2./ Le modle fonctionnel X.400

) X.400 dfinit le concept suivants :

Un modle de traitement de message (MHS ou Message handling systems).


Des services de messagerie personnelle (IPM ou InterPersonnal Messaging).
Des services de transfert de messages.

RESEAUX (volume 2) COURS Page 23


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le MTS :

Il est compos de MTA (Message Transfert Agent).


Charg de lacheminement du courrier (routage).
Service de transfert, facilits darchivage et suivi du courrier.
Pas dinterprtation, ni daltration du contenu.
En parallle du monde TCP/IP : Serveurs de messageries.

) Le MHS est constitu du MTS et de lUser Agent.

) Les agents Utilisateurs :

Utilisent les services de transfert via des procdures de soumission ou de livraison.


X.411 (MHS : Message Transfer Layer).

) Les Messages :

Corps de message (texte, graphique, voix) et entte


X420 (MHS: IPM User Agent Layer)
X408 (MHS :Encoded information type conversion rules)

1.1.5.4./ LA COUCHE PRESENTATION

1.1.5.4.1./ Dfinition

Cest la couche qui a en charge la reprsentation des donnes. En effet lorsque la communication a t
ralise, il faut au niveau du traitement sassurer que les octets et la structuration de ceux-ci (syntaxe)
ont bien la mme signification pour les entits qui communiquent.

Cette couche respecte une norme : ASN.1 (ISO 8824 et ISO8825).

RESEAUX (volume 2) COURS Page 24


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.4.2./ ASN1 8824 : Le langage de reprsentation des donnes

) Objectifs :

Une notation formelle.


La structuration de linformation est diffrente du langage de programmation.
Spcification des donnes indpendamment des langages informatiques et de leur
reprsentation physique.
Conu pour toutes sorte d'applications communicantes.

) Type de base :

les entiers (INTEGER).


les boolens (BOOLEAN).
les chanes de caractres (IA5String, UniversalString...).
les chanes de bits (BIT STRING).
etc

) Structuration des types :

des structures (SEQUENCE).


des listes (SEQUENCE OF).
un choix de types (CHOICE).

) Pour chaque type on a des contraintes de sous-typage permettent de restreindre l'ensemble des
valeurs qui constitue son domaine. Ils sont divis en 4 parties (depuis 1994) :

Spcification de la notation de base.


Spcification des objets informationnels.
Spcification des contraintes.
Para mtrisation de spcifications ASN.1.

1.1.5.4.3./ BER : le Basic encoding Rules

La BER dfinit des rgles de codage des donnes qui seront transmises. Elle dfinit le codage :

De lensemble des types de base ou structur.


Sous forme TLV.
Avec 3 reprsentations de la longueur (courte, longue, non dfini).

1.1.5.5./ COUCHE SESSION

Cest la couche qui sintresse la communication proprement dite. Elle tablit une communication
avec son homologue distante et synchronise cette communication. Son fonctionnement est le suivant :

RESEAUX (volume 2) COURS Page 25


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Ouverture dune communication

Communication (change de donnes)

Fermeture de connexion

La synchronisation : Elle permet de structurer la communication entre lmetteur et le rcepteur en


jalonnant la communication avec des points de synchronisation.

Communication dans le temps

Affranchissement de la couche Transport. Ex : Bourrage imprimante.

1.1.5.6./ LES COUCHES INTERMEDIAIRES : LES COUCHES TRANSPORT ET RESEAUX

) Ce sont elles qui ont en charge dacheminer linformation entre les systmes distants. Pour cela,
elles doivent :

Dterminer un chemin entre lmetteur et le rcepteur.


Garantir la fiabilit de ce chemin.

) Caractristiques :

Ce sont des couches qui sont peu ou jamais vu de lutilisateur.


Elle sont connu de ladministrateur rseau.

1.1.5.6.1./ LA COUCHE TRANSPORT

Elle a un rle capital dans le processus de communication. Elle permet lacheminement de bout en
bout de linformation entre lmetteur et le rcepteur. Elle est Indpendante par rapport aux couches
infrieures

Service de transmission pour la couche 5

RESEAUX (volume 2) COURS Page 26


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Elle fonctionne suivant deux modes :

. Le mode connect.
. Le mode non connect.

1.1.5.6.1.1./ TRANSPORT OSI

Elle est constitue de 5 Classes de service numrotes de 0 5 :

) Classe 0 : base sur rseau rput sans erreur. fragmentation et r assemblage des messages
classe de base.

) Classe 1 : service identique Classe 0 + reprise de connexion sur erreur signale par la
couche 3.

) Classe 2 : base sur rseau rput sans erreur. Service identique Classe 0 + Multiplexage de
connexions transport sur rseau. Contrle de flux.

) Classe 3 : Services Classe 1 + Classe 2.

) Classe 4 : classe la plus complte. Reprise sur erreur non signale et gestion de plusieurs
connexions rseaux pour une mme connexion transport

1.1.5.6.1.2./ Les protocoles TCP/UDP

1.1.5.6.1.2.1./ UDP : User Datagram Protocol

Cest Protocole de communication sans connexion. Il est non fiable car il ny a pas de moyen de savoir
si les donnes ont bien t mises.

1.1.5.6.1.2.2./ TCP : Transmission Control Protocol

) Il fonctionne en mode connect : TCP utilise les numros de port pour raliser une connexion.

Une connexion = (adresse ip, numro de port source),


(adresse ip, numro de port destination).

) La fiabilit : utilisation d'accus de rception.

) La gestion du contrle de flux.

1.1.5.6.2./ LA COUCHE RESEAU

1.1.5.6.2.1./ Prsentation

La couche 3 a pour rle essentiel de dterminer le chemin optimal qui mme de lmetteur au
rcepteur. Il y a deux modes possibles :

RESEAUX (volume 2) COURS Page 27


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le mode connect.
) Le mode non connect.

Mode connect circuit virtuel chemin unique

Mode non connect : datagrammes (paquets)

Les fonction de la couche 3 sont les suivantes :

) Le routage :

RIP : Route Information Protocol.


OSPF : Open Shortest Path First.

) La rsolution des problmes de congestion.


) La gestion des adresses.
) La gestion des diffrences entre rseau.

1.1.5.6.2.2./ Conversion des adresses logiques en adresse physique

Cette conversion est ncessaire car les adressage des machines connectes au rseau indpendant des
adresses physiques.

Il y a deux raisons cela :

. La Connaissance exhaustive des adresses physiques des machines avec lesquelles elle doit
communiquer.
. Le Problme du changement d'adresse physique d'une machine.

RESEAUX (volume 2) COURS Page 28


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.6.2.3./ LES ADRESSES IP

) Adresse de classe A : le premier octet doit tre infrieur ou gal 127. Le premier octet est
l'adresse du rseau et les trois suivants l'adresse de la machine (partie hte).

) Adresse de classe B : le premier octet doit tre compris entre 128 et 191. Les deux premiers
octets reprsentent l'adresse du rseau et les deux derniers l'adresse de la machine (partie
hte).

) Adresse de classe C : le premier octet doit tre compris entre 192 et 223. Les trois premiers
octets reprsentent l'adresse du rseau et le dernier l'adresse de la machine.

1.1.5.7./ LA COUCHE LIAISON

1.1.5.7.1./ Prsentation

Elle permet la transmission correcte bits bits de linformation. Elle est responsable de
lacheminement sans erreur de blocs dinfo sur le support de transmission (mdia). Elle offre des
mcanismes de dtection et de correction des erreurs.

Elle implmente plusieurs protocoles de niveau 2 : SDLC, HDLC, LLC.

) HDLC est normalis par lISO (LAP-B pour X.25-2)


) LLC est normalis par lIEEE et est utilis dans les rseaux locaux.

1.1.5.7.2./ LA COUCHE 2 DE lIEEE

La couche 2 du modle IEEE introduit un dcoupage de la couche liaison en deux par rapport la
norme OSI. Il sagit des couches LLC (Logical Link Control) et MAC (Medium Access Control).

) La sous-couche haute LLC assure lindpendance par rapport au problme daccs au mdia.

) La sous-couche MAC couche basse rsout les problmes daccs au mdia. Elle prend en
quelque sorte en charge la communication avec la couche physique.

) Le rseau local couvre une partie due la couche physique et une partie de la couche liaison
(MAC).

) Un rseau correspond un type daccs un mdia.

RESEAUX (volume 2) COURS Page 29


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.7.3./ La sous couche LLC

Cest la partie haute de la couche liaison. Son Interface est homogne par rapport la couche 3. Elle
prsente un affranchissement par rapport au problme daccs. Elle est constitue de 3 Classes :

) LLC 1 : cest un service sans connexion et sans acquittement. Il est Utilis par ETHERNET

) LLC2 : cest un service avec connexion et acquittement. Lorsquune connexion est tablie les
paquets sont numrots.

) LLC3 : cest un service sans connexion et avec acquittement. Il est peu utilis. Chaque trame
envoye est acquitte.

1.1.5.7.4./ LA SOUS COUCHE MAC

1.1.5.7.4.1./ Prsentation

Elle a pour but de grer les accs au rseau. Elle identifie qui met, comment et quand. Cette fonction
est ncessaire pour dfinir des critres pour accorder les temps de parole. Chaque carte rseau est
identifie par une adresse physique. Toute trame mise comporte ladresse de lmetteur et du
rcepteur.

Les solutions normalises par IEEE sont :

) Anneau jeton.
) Bus jeton.
) CSMA/CD.

1.1.5.8./ LA COUCHE PHYSIQUE

1.1.5.8.1./ Prsentation

Elle a trait tout ce qui concerne la connexion physique dun quipement sur le rseau ainsi qu la
constitution des signaux lectriques. Elle dfinit :

) La connectique tel que le raccordement de lquipement sur le mdia.


) La forme des signaux et le codage utilis.
) Le mdia lui-mme.

Elle introduit les notions importantes suivantes :

) La topologie.
) La transmission du signal.
) Le mdia.

RESEAUX (volume 2) COURS Page 30


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.8.2./ Concepts de base

1.1.5.8.2.1./ Dfinitions

Le systme source dfini les:

) ETTD (Equipement Terminal de Traitement de Donnes).


) DTE en anglais (Data Equipment Terminal).

Ladaptateur au rseaux dfini les :

) ETCD (Equipement Terminal de Circuit de Donnes).


) DCE (Data Communication Equipment) en anglais.
) Modem pour la transmission analogique partir dun signal numrique. (Modulateur).
) ERBDB (Emetteur Rcepteur en Bande De Base) pour la transmission numrique
(Transcodeur).
) On appelle jonction la partie qui relie lETTD et ETCD.

1.1.5.8.2.2./ Les Liaisons sries et liaisons parallles

Sur une liaison parallle, les bits dun mme caractre sont transmis en mme temps sur plusieurs fils
diffrents. Sur une liaison srie, ils sont transmis les uns la suite des autres. La liaison parallle est
plus rapide, plus chre, plus encombrante (plus de fils), et trs mauvaise sur de longues distance (le
dphasage entre les diffrents signaux du mme cble entrane souvent une dsynchronisation).

La transmission srie est donc utilise pour les distances longues (suprieures quelques mtres).

1.1.5.8.2.3./ Transmission synchrone ou asynchrone

Deux faons de transmettre le signal afin quil soit correctement interprt par le rcepteur.

En mode asynchrone :

) Les signaux sont transmis nimporte quand.


) Pas dhorloge entre la source et la destination.
) Les bits Start et Stop encadrent le caractre transmis.

RESEAUX (volume 2) COURS Page 31


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

En mode synchrone :

) Un fil particulier transporte le signal dhorloge.


) Les bits des diffrents caractres sont transmis directement les uns la suite des autres
chaque priode dhorloge.

1.1.5.8.2.4./ Mode de liaison entre un metteur et un rcepteur

Il existe trois mode de liaison qui sont les suivants :

Le Mode simplex :

) La transmission ne peut se faire que de A vers B.


) Exemple : radio, tlvision.

Le Mode semi-duplex :

) Half Duplex.
) La transmission peut se faire dans les deux sens, mais simultanment.
) Exemple : CB, talkie-walkie).

RESEAUX (volume 2) COURS Page 32


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le Mode duplex intgral :

) Full Duplex.
) La transmission se fait dans les deux sens simultanment.
) Exemple : le tlphone.

1.1.5.8.3./ La topologie

Cest la description de lorganisation du rseau et de la rpartition physique des quipements. Il existe


3 grands types de topologie qui sont :

En BUS :

En Etoile :

En Anneau :

RESEAUX (volume 2) COURS Page 33


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.1.5.8.4./ La transmission du signal

1.1.5.8.4.1./ Prsentation

Les Signaux qui sont vhiculs sur le rseau sont diffrents des signaux issus des stations. Cet tat de
fait est du a des problmes de synchronisation entre stations, des problmes de reconnaissance du
signal, et des problmes dattnuation du signal.

On en dduit la notion de Brouilleur :

) Srie de bits identiques difficiles interprter par le rcepteur.


) Multiplie les transitions de 0 et 1.

Il existe 2 possibilits de transmissions :

) Le codage en Bande de Base :

. Signaux carrs.
. Deux niveaux de tensions.
. Distance relativement courte.
. Rseaux locaux.

) Le codage en Large Bande :

. Modulateur.
. Utilisation dune frquence de base (porteuse).
. Frquence relativement faible (signal peu attnu).

1.1.5.8.4.2./ La transmission du signal en bande de base

Elle utilise plusieurs types de codage :

Le codage NRZ (No Return to Zero) :

) Trs proche du binaire.


) +V reprsenter un 1 V pour reprsenter un zro.
) la composante continue du signal est nulle.

Le codage NRZI (NRZ Inverted) :

) inverse le signal si le bit transmettre est 0.


) Evite un signal continu lors dune longue succession de 0.

Le codage Manchester :

) une inversion du signal systmatique au milieu de la priode dhorloge.


) impossibilit davoir un signal continue.
) front montant 0.
) front descendant 1.

RESEAUX (volume 2) COURS Page 34


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le codage Manchester diffrentiel :

) prsence dune transition 0.


) absence de transition 1.
) signal sans polarit.

Le Multiplexage temporel

1.1.5.8.4.3./ La transmission du signal en Large Bande

Un modulateur gnre des sinusodes. 3 paramtres caractrisent une sinusode :

) La frquence.
) Lamplitude.
) La phase.

Pour coder une information, on peut jouer sur ces trois paramtres.

La Modulation damplitude :

) La plus traditionnelle.
) Lamplitude varie selon les bits transmettre.
) Radio ondes courtes.

La Modulation de phase : trs employ avec les modems.

La Modulation de frquence :

) Changement de frquence lors de changement de bits.


) Avec ou sans rupture de phase.

RESEAUX (volume 2) COURS Page 35


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le Multiplexage frquentiel :

) Plusieurs signaux sur le mdia.


) Autant de canaux.
) Frequencing Division Multiplexing.

RESEAUX (volume 2) COURS Page 36


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2. / LES RESEAUX LOCAUX


1.2.1. / Introduction

1.2.1.1./ Dfinition

Les rseaux LAN (Local Area Network) ou RLE (Rseau Local d'Entreprise), sont des infrastructures
de communications qui relient des quipements informatiques et permettent de partager des ressources
communes. La distance qui spare les quipements informatiques est limite quelques centaines de
mtres.

1.2.1.2./ Caractristiques

Le cblage constitue l'infrastructure physique. Il peut tre constitu dune paire tlphonique, dun
cble coaxial, ou une de la Fibre optique.

La mthode d'accs au rseau dcrit lorganisation de la communication entre les stations (ordre, temps
de parole, organisation des messages) et dpend troitement de la topologie

1.2.2. / LA SOUS COUCHE MAC

1.2.2.1./ Prsentation

Elle a pour but de grer les accs au rseau. Elle permet de dfinir qui met, comment et quand.
Cette sous couche est ncessaire car sur un rseau, la prsence de plusieurs stations informatiques
ncessit de dfinir des critres pour accorder les temps de parole.

Les solutions normalises par IEEE sont :

. Les anneau jeton.


. Les bus jeton.
. Les DPA.
. Les CSMA/CD.

La sous couche MAC a pour caractristiques :

. Didentifier chaque carte rseaux de chaque stations par une adresse physique.
. De dfinir toute les trames mise afin quelles comportent ladresse de lmetteur et du
rcepteur.

RESEAUX (volume 2) COURS Page 37


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.2.2./ Terminologie

ETHERNET : le nom a t dpos par XEROX. Il est issu du systme amricain ALOHA qui a t
dvelopp dans les annes 70 Hawa.

CSMA/CD : Cest la technique daccs utilise pour cette sous-couche.

802.3 : Cest la norme qui spcifie les rseaux en bus et la technique daccs sur ces rseaux.

1.2.2.3./ Principe de fonctionnement

Cest une topologie de rseaux en bus avec une gestion des collisions dont le principe dmission est le
suivant :

c Diffusion du signal.
d Ecoute du signal par lensemble des stations.
e Synchronisation sur le prambule des trames MAC.
f Lecture de ladresse MAC Destination.
g Ladresse Destination correspond : MAC rcupre les bits et les transmet LLC. Si ladresse
de destination ne correspond pas alors la trame est ignore.

1.2.2.4./ LA TRAME MAC

Elle est compose :

. Dun prambule qui permet la synchronisation entre les stations.


. De ladresse MAC (ETHERNET) destinataire.
. De ladresse MAC de lexpditeur.
. Des donnes de la couche suprieure.
. Dune zone de contrle (FCS).

64 Bits de synchronisation

10101010
10101010

10101010
1010101
Adresse Ethernet de destination (6)
Adresse Ethernet dmission (6)
Longueur des donnes transmises (2)
DONNEES
De 46
A
1500 octets
Frame Check Sequence (4)

RESEAUX (volume 2) COURS Page 38


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.2.5./ La gestion des collisions

1.2.2.5.1./ Les diffrents cas

3 cas diffrents peuvent apparatre :

1) Le rseau est silencieux : la station A met.

2) Le rseau est occup : la station A met.

3) Le rseau est silencieux : les stations A et B mettent

1.2.2.5.2./ Mcanisme gnral

La dtection dune collision est ralise en trois temps :

c La dtection de la collision par le tranceiver qui en informe la station mettrice.


d Lmission de bits de renforcement de collisions par les stations en causes. Les autres stations
reoivent ces bits de renforcement.
e Larrt de toute mission avec une attente pendant un temps alatoire. Puis nimporte quelle
station peut r-mettre.

RESEAUX (volume 2) COURS Page 39


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.2.5.3./ Le Round Trip Delay et taille de la trame

La station A situe une extrmit du rseau met. La station B situe lautre extrmit du rseau
met son tour. 2 cas peuvent se prsenter :

1er cas : la station A reoit linformation de collision pendant quelle est en train dmettre. Elle est
sre dtre implique dans la collision.

2me cas : la station A reoit linformation aprs quelle a cess dmettre. La collision la concerne-t-
elle ? Impossible dterminer.

En fait, Le premier cas est le bon.

Le Round Trip Delay cest le temps ncessaire la propagation dune trame dun bout lautre du
rseau la propagation en retour dun signal de collision la concernant. Il est gal 498,9 bits times.

Consquences :

. La trame doit avoir une taille minimale telle que son temps dmission soit suprieur 498,9
bits times.
. La taille minimale est de 512 bits (puissance de 2 immdiatement suprieure 498,9 bits
times).

1.2.2.6./ Les paramtres de base

La taille du rseau : 4 rpteurs maxi entre deux stations.


Le round trip delay : 512 bits times.
La taille du JAM : 32 bits.
En cas de collision successives : 16 r-missions de la trame.
Intervalles de temps de r-mission : de 512 bits times 5 millisecondes.
La taille dune trame Ethernet : doit rester minimale.
Le dlai inter-trames : 96 bits Times (9,6 micro secondes 10 Mbits/s).
Nombre dadresses maximum sur un mme rseau : 1024.
Dbit : 10 ou 100 Mbits/s

1.2.3. / LE TOKEN RING

1.2.3.1.1./ Introduction

La norme IEEE 802.5 spcifie un rseau local en boucle. Cest le reseaux en Token Ring. Chaque
station est relie sa suivante et sa prcdente par un support unidirectionnel comme prsent dans
le synoptique suivant :

RESEAUX (volume 2) COURS Page 40


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le droit la parole est matrialis par un jeton. Le temps au bout duquel une station finit par avoir le
droit de parler est dtermin en fonction du nombre de stations et la longueur du cble. Cest une
mthode daccs dterministe.

1.2.3.1.2./ Mcanisme gnral

Le droit d'mettre est matrialis par une trame particulire " le jeton ou Token ". Le jeton circule en
permanence sur le rseau. Une station qui reoit le jeton peut mettre une ou plusieurs trames (station
matre). Si elle n'a rien mettre, elle se contente de rpter le jeton (station rpteur).

Chaque station du rseau rpte ainsi le jeton ou le message mis par la station matre, il n'y a pas de
mmorisation du message, un bit reu est immdiatement retransmit. Le temps allou une station
pour la rptition d'un bit correspond un temps bit (Possibilit de modifier bit bit le message).

Chaque station provoque ainsi un temps bit de retard dans la diffusion du message. Notons que le jeton
n'a nullement besoin de contenir l'adresse d'un destinataire, le destinataire est la station qui suit
physiquement celle qui le dtient (technique du jeton non adress).

1.2.4. / LA COUCHE PHYSIQUE ETHERNET

1.2.4.1./ Les fonctions

. Cest une couche qui ralise le codage du signal.

. Elle permet le raccordement dune station au mdia.

. Elle dfinie le mdia du rseaux et sa topologie.

RESEAUX (volume 2) COURS Page 41


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.4.2./ Synoptique des composants

PLS : Physical Link Signaling. Couplage logique et fonctionnel entre MAU et couche 2 (codage des
signaux).
AUI : Attachment Unit Interface
MAU : Medium Attachment Unit. Cest le tranceiver.

1.2.4.3./ Les principaux mdias sur ETHERNET

802.3 couvre la couche 1 physique et une partie de la couche 2 (sous couche MAC). La couche 1
spcifie pour chaque type de mdia les caractristiques physiques et contraintes dinstallation.

Dans 802.3, un nom est attribu pour chaque type de mdia. Il est de la forme DD CCC MM

. DD : Dbit de transmission.
. CCC : Technique de codage des signaux Bande de base (Base) ou Large Bande (Broad).
. MM : Distance maximum ou type de mdia.

Exemple :

10Base 5 = 10Mb/s, bande de base, segments de 500mtres.


10Base 2 = 10Mb/s, bande de base, segments de 200mtres.
10base T = 10Mb/s, bande de base, paire torsade.
100Base T = 100Mb/s, bande de base, paire torsade.

RESEAUX (volume 2) COURS Page 42


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.4.4./ Le 10 BASE 5

1.2.4.4.1./ Gnralits

Cest une liaison de 10 Mbits/S en bande de base sur cble coaxial d'une longueur maximale par
segment de 500 mtres.

1.2.4.4.2./ Caractristiques

Les caractristiques sont les suivantes :

. Impdance de 50 2 .
. Longueur maximum dun segment est de 500 m.
. 4 Rpteurs maxi (5 segments).
. Cble de couleur Jaune.
. 2,5 Mtres en 2 tranceivers.
. 100 tranceivers par segment.

1.2.4.4.3./ Usages

. Tous les usages lis des environnements perturbs par des impulsions lectromagntiques.
. Tous les usages necessitant une confidentialit des changes (pas de rayonnement du cble
coaxial).
. Tous les usages o lon est pas limit par la rigidit du cble.

1.2.4.5./ Le 10 base 2

1.2.4.5.1./ Gnralits

Cest une liaison de type coaxial fin 10 Mbits/s en bande de base d'une longueur maximale par
segment de 200 mtres. La version conomique sappel le Thin Ethernet

RESEAUX (volume 2) COURS Page 43


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Limpdance du cble est de 50 2 .


La longueur maximum dun segment est de 185 mtres.
Le Cble de couleur noire.
La distance entre 2 station est de 0,5 mtres.
Il y a 30 stations par segment.

1.2.4.5.2./ Le cblage

Il existe plusieurs types de cbles dont :

. Le Cblage volant

. Le Pr-cablage BNC

. Le Pr-cblage avec prises auto-shunt

RESEAUX (volume 2) COURS Page 44


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.4.6./ Le 10 base T

Cest une liaison 10 Mbits/s sur paire torsade. Elle est conue pour sadapter aux cbles en paires
tlphoniques. Elle nest pas spcifique Ethernet ( linverse de 10BASE5 et 10BASE2). Elle
ncessite une topologie physique en toile.

Cette liaison dfinie plusieurs niveaux de performances en fonction de la qualit du cble. Il y a en tout
5 Catgories qui sont :

. Catgories 1 et 2. Cbles pour voix et transmission de donnes faible vitesse (ex : RS232
9600 bauds sur 15 mtres).
. Catgorie 3. cbles pour voix et donnes avec des spcifications jusqu 16 Mhz. (ex : Ethernet
10Mbits/s).
. Catgorie 4. cble faibles pertes pour voix et donnes avec des spcifications jusqu' 20 MHZ
pour un usage 16Mbits/s (ex : token ring).
. Catgorie 5. Cble faibles pertes et frquences leves avec des spcifications jusqu 100
MHZ. (ex : 100BASE TX).

1.2.4.7./ LEthernet rapide : le 100 Base T (802.3u)

Le protocole 100b T se dcline en trois supports selon le support utilis :

. Le 100 bTX qui fonctionne sur 2 paires dun cble catgorie 5 ou 150 ohms (STP, Shielded
Twisted Pair).

. La 100 bFX qui fonctionne sur un cble fibre optique multimode.

. Le 100 bT4 qui fonctionne sur 4 paires dun cble catgorie 3 avec :

- Une paire en mission (1 et 2).


- Une paire en rception (3 et 6).
- 2 paires bi-directionnelles (4,5 et 7,8).

Le protocole 100bT permet lAuto-ngotiation sur les hubs. Ce sont les fonctions Link Detection
(signal fast link pulse) et Ordre de ngociation qui fonctionnent sur du :

. 100Base-TX (Full duplex).


. 100Base-T4.
. 100base-TX.
. 10baseT (Full duplex).
. 10baseT.

RESEAUX (volume 2) COURS Page 45


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.4.8./ ETHERNET : Tableau rcapitulatif

1.2.5. / Autre rseau local : 100bVG AnyLan

Ce nest pas un rseau ETHERNET proprement parl Il ne repose ni sur le CSMA/CD ni sur la
technique du round robin. Il supporte cependant les trames 802.3 et 802.5.

Il utilise un concentrateur 100bVG. Il fonctionne laide dune mthode dinterrogation DPAM. Cest
un protocole dterministe propre aux transferts des flux isochrones (voix, vido).

1.2.6. / Le cblage

Pour les locaux techniques tel quun Local Nodal (salle des machines par exemple) ou LTE (Local
technique dtage), on utilise des LTE irrigus par des rocades.

Le cheminement du cble est ralis par des cheminements principaux (Rocades et distribution) ou des
cheminement de bureau.

RESEAUX (volume 2) COURS Page 46


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les cheminement principaux permettent une bonne protection mcanique (chemin de Cbles) et
lectromagntique. Il ralise une sparation courant fort/ courant faible. On utilise des cbles FTP
catgorie 5. Les cheminement de bureau sont ralis par des goulotte via des faux plafond, des faux
plancher (> 30 cm du sol), et des cble UTP.

1.2.7. / LES PROTOCOLES ASSOCIES AUX RESEAUX LOCAUX

1.2.7.1./ Introduction

Les standards qui normalisent les rseaux locaux sintressent aux couches 1 et 2 du modle OSI. Ils
dfinissent les caractristiques physiques (signaux, mdia, topologie) et la technique daccs au rseau.

Lutilisation dapplications rseaux sur ces rseaux locaux ncessite la mise en oeuvre de protocoles
intermdiaires de niveau 3 et 4 et de niveau applicatif. Ce sont les protocoles associs aux rseaux
locaux.

On trouve essentiellement :

. Netbios/Netbeui.
. IPX/SPX.
. TCP/IP.
. UDP.
. Decnet.
. Appletalk.

Ce chapitre prsentera lintgration dans les rseaux locaux des quatre premiers protocoles.

1.2.7.2./ Le protocole NETBIOS (Network Basic Input/Output System)

1.2.7.2.1./ Caractristiques

Comme son nom lindique il sagit dun protocole simple qui a t conu par IBM pour des rseaux de
petite taille, repris par Microsoft. Il prsente de trs graves imperfections. Il est cependant
incontournable car il est utilis pour les rseaux Microsoft et il est install en natif. Il est gnralement
utilis pour le partage de ressources (fichiers, imprimantes, CD-ROM).

1.2.7.2.2./ Terminologies

NetBios : Cest le protocole initial reposant sur un jeu de 18 commandes. Avec le temps, Netbios
dsigne aujourdhui le jeu de commande, cest dire linterface daccs au protocole.

NetbEUI : "NetBIOS Extended User Interface". Cest un ensemble tendu des commandes Netbios. Il
dsigne aujourdhui le protocole de transport.

NBT : "NetBIOS sur TCP/IP". Cest le protocole autorisant les applications crites avec l'API
NetBIOS, s'excuter au dessus des couches TCP/IP. Exemple : NET commande, NBTSTAT.

RESEAUX (volume 2) COURS Page 47


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.7.3./ Larchitecture NETBIOS

1.2.7.3.1./ Synoptique gnral

1.2.7.3.2./ Usages

Le protocole NETBIOS peut donc tre utilis au dessus de :

. NETBEUI (activation de NETBIOS sur la carte rseau).


. TCP/IP.
. IPX/SPX.

NETBIOS a t conu pour des rseaux de petites tailles. Chaque station est identifie par un nom et
maintient une table de correspondance Nom/MAC Adress. Il ny a pas dadressage de routage

Il existe de nombreux problmes pour les timers NETBIOS qui sont courts, non paramtrables, et peu
compatibles avec les routeurs.

Lutilisation dIPX/SPX ou TCP/IP est largement prfrable pour des rseaux locaux de taille
importante. Par exemple, pour un logiciel dinventaire sur un inter-rseau, on prfrera un programme
reposant sur une architecture client/serveur TCP/IP plutt que sur NETBIOS.

RESEAUX (volume 2) COURS Page 48


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.7.4./ Larchitecture IPX/SPX

1.2.7.4.1./ Gnralits

IPX/SPX (Inter Paquet eXchange / Sequence Paquet eXchange) est un protocole associs aux serveurs
netware pour lesquels il a t dvelopp. Il est inspir de XNS (Xerox Network Systems).
Larchitecture IPX/SPX regroupe le protocole IPX qui est de niveau 3 et le protocole SPX qui est de
niveau 4.

1.2.7.4.2./ Architecture gnrale

1.2.7.4.3./ Concepts gnraux

1.2.7.4.3.1./ Format gnral du paquet IPX

RESEAUX (volume 2) COURS Page 49


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Ladresse IPX est un numro de rseau sur 4 octets avec Numro de nud (Mac Adress).

Exemple :

01AABB00 pour le numro de rseau


00 : 0A : 1F : 2C : 32 : 45 pour le numro de nud

1.2.7.4.3.2./ Architecture des serveurs

Un serveur Netware dispose dune adresse rseau interne et externe. Les serveurs connects sur le
mme segment ont la mme adresse rseau externe. L adresse rseau dune stations est attribue par le
serveur sur laquelle elle se connecte (initialisation shell netware).
L architecture Netware repose sur le concept de diffusion. Le serveur publie rgulirement les
services quil offre sous forme de paquet SAP (Service Advertissement Protocol). Le routage entre
rseaux est assur par le protocole RIP/IPX qui fait lui aussi lobjet dune diffusion rgulire.
La diffusion (SAP,RIP) gnre un trafic non ngligeable. Les rseaux Netware sont bien adapts aux
rseaux locaux mais pas aux liaisons distantes (WAN).

1.2.7.5./ Larchitecture TCP/IP

1.2.7.5.1./ Gnralits

TCP/IP (Transmission Control Protocol / Internet Protocol) est issu du projet DARPA du Dod (1979)
Son synoptique est le suivant :

RESEAUX (volume 2) COURS Page 50


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le protocole la base dInternet TCP/IP est le plus utilis aujourdhui dans lentreprise pour la gestion
des rseaux locaux..

1.2.7.5.2./ Le datagramme IP

Le format de la trame est la suivante :

N Version : Numro de version de protocole IP utilis.


Longueur d'en-tte : Exprime en nombre de mots de 32 bits.
Type de service : Dfinit la priorit.
Longueur : Longueur totale du datagramme <= 65535 octets.
Identification : Identifie un segment du datagramme en cas de segmentation de celui-ci.
Dure de vie : Valeur fournit par la station mettrice et dcrmente par chaque passerelle
traverse.
Protocole : Protocole de niveau suprieur vhicul par le datagramme (TCP,UDP).

1.2.7.5.3./ Le protocole UDP

Le protocole UDP (User Datagram Protocol) est un protocole de communication sans connexion. Il est
non fiable car il ny a aucun moyen de savoir si les donnes ont bien t mises.

Len tte du paquet UDP est la suivante :

RESEAUX (volume 2) COURS Page 51


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.2.7.5.4./ Le protocole TCP

Le protocole TCP (Transmission Control Protocol) est un protocole fiable qui utilise un procd
d'accus de rception avec un contrle de Flux de donne. Son entte est la suivante :

Numro de squence : identifie l'ordre des segments transmis.


Accus de rception : numro d'octet suivant attendu par le rcepteur.
Bits de code fentre : nb d'octets que la machine distante peut recevoir.

1.2.7.6./ Mise en oeuvre de ladressage

Ladressage rseau doit permettre de dfinir un adressage indpendant de ladressage physique.

Avec larchitecture NETBIOS on ne peut pas faire dadressage.

Avec larchitecture TCP/IP, ladressage IP est :

. Statique ou dynamique.
. Attribue linterface.
. Multiple sur une mme interface.
. Multiple pour plusieurs rseaux IP sur le mme rseau physique.

RESEAUX (volume 2) COURS Page 52


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Avec larchitecture IPX/SPX ladressage est ralis avec :

. Ladresse du nud qui est ladresse MAC.


. Ladresse rseau qui est attribue lors de lattachement de la station au serveur.

1.2.7.7./ Le routage

1.2.7.7.1./ Gnralits

Il permet dacheminer la trafic de A en B en dterminant un (le meilleur) chemin pour aller de A B.


Il repose sur les tables de routage qui peuvent tre mise jour de 2 faon diffrentes :

. Routage statique : cest une gestion exhaustive par ladministrateur des tables de routage par
des commandes manuelles (ajout ou retrait de routes).

. Routage dynamique : cest un protocole de routage qui met jour dynamiquement les tables de
routage par des changes entre routeur et en utilisant diffrents types de protocoles.

1.2.7.7.2./ Caractristiques

Lobjectif du routage est de maintenir les tables de routages dans un tat cohrent (panne, arrt,
reconfiguration). Pour ce faire 2 actions permette de mettre en uvre cette maintenance :

. La transmission des infos de routage aux autres routeurs (routing update).


. La rception et intgration des informations de routage.

On utilise des protocoles dit vecteur de distance ou a tat de liens qui permettent la dfinition
dun mtrique (nombre de sauts par exemple). Avec larchitecture TCP/IP cest le protocole RIP, et
avec larchitecture IPX/SPX cest le protocole RIP-IPX.

RESEAUX (volume 2) COURS Page 53


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3. / LINTERCONNEXION DES RESEAUX LOCAUX


1.3.1. / Le rpteur

1.3.1.1./ Dfinition

Le rpteur ne doit pas tre confondu avec le pont. Il connecte deux segments du mme rseau et il
intervient au dessus de la couche physique.

Il excute une Incursion dans la couche 2 en effectuant la gestion des collisions et en reconstituant le
prambule entre deux segments. Il autorise la conversion de mdia sur au moins deux interfaces
Ethernet (AUI, BNC,TP). Les hubs sont des rpteurs multiports

1.3.1.2./ Les fonctions

Le rpteur des fonctions qui sont relatives la retransmission du signal et son fonctionnement
dans le rseau. Il effectue une rgnration du signal car le signal subit une attnuation et une
distorsion. De plus la r-mission vite laccumulation des distorsions et lattnuation du signal. Il
ralise galement la restauration du prambule.

Incursion dans la couche MAC

La gestion des collisions est ralise avec le Bit JAM. Il permet galement une isolation des ports
dfectueux grce au partitionnement.

1.3.1.3./ Les types de rpteurs

1.3.1.3.1./ Les rpteur 2 ports

Cest historiquement les premiers rpteurs. Ils permettent lextension du rseau en ajoutant un
segment. Ils sont constitu des ports AUI/AUI, AUI/BNC, AUI/RJ45.

1.3.1.3.2./ Les rpteurs multiports ou hubs

Ils offre les fonctionnalits du rpteur sur chacun de leurs ports. Ils grent une topologie en toile. Le
rseau est alors structur autour dun local de brassage (LN ou LTE).

RESEAUX (volume 2) COURS Page 54


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3.1.3.3./ Rpteurs empilables ( stackables )

Les hubs sont cascads grce un cble spcial (bus). Ils fonctionne comme un seul rpteur vis vis
de la norme 802.3. On peut chaner de 4 une dizaine de rpteurs selon les constructeurs. Ils
permettent daccrotre le nombre de ports disponibles sans modifier le rseau.

1.3.1.3.4./ Les rpteurs 100MB/S

1.3.1.3.4.1./ Prsentation

Le rle identique aux rpteurs 10 MB/S. Ils sont conu essentiellement pour la paire torsade et un
moins degr pour la Fibre Optique. Les fonctions similaires un rpteur classique : rgnration du
signal, gestion des collisions, et isolation des ports dfectueux. Ils ralise en plus la fonction Jabber.

Attention : il ny a pas avec ce type de rpteur de rgnration du prambule.

Ont trouve les rpteur 100MB suivant 2 classes :

) Les rpteurs de classe I : ils grent simultanment les mdias 100 Base X et 100 Base T4. Ils
effectuent le codage associ.

) Les rpteurs de classe II : ils grent un seul type de codage parmi le 100 Base X (PT et FO)
avec 4B/5B ou le 100 Base T4 avec 8B6T.

1.3.1.3.4.2./ Contraintes gographiques

Rpteur de classe I

Rpteur de classe II

Le dpassement de ces limites se ralise en utilisant des Hubs empilables et des switch.

RESEAUX (volume 2) COURS Page 55


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3.2. / Le pont

1.3.2.1./ Dfinition

Il Interconnecte deux rseaux gnralement de mme type. Il intervient au niveau de la couche MAC.

Il dlimite deux rseaux physiques par le filtrage des trames et le filtrages des collisions (domaine de
collision). Lutilisation des ponts est le seul moyen dtendre un rseau ayant un diamtre gal 4
rpteurs.

Le pont effectue le dcodage de la trame Ethernet et permet linterconnexion rseau Ethernet et Token
Ring (cas particulier des ponts transactionnels) Cette interconnexion peut tre locale ou distante.

1.3.2.2./ Les mcanismes mise en uvre des ponts

1.3.2.2.1./ Lauto-apprentissage

Le pont ralise un apprentissage des adresses en ralisant le filtrage des trafics locaux et le filtrage de
toutes les trames.

Mcanismes qui sont mis en uvre sont les suivants :

) Le pont travaille sur les adresses et le champ FCS.


) Il met jour une table dadresses associes aux ports.
) Les tables sont mises jour au fur et mesure des connexions des stations sur le rseau.
) Une adresse de destination dune trame MAC connu sur le port qui la reoit bloque la trame.
) Une adresse de destination connue sur un autre port permet la transmission de la trame.
) Pour une adresse inconnue le pont ralise la retransmission sur autres ports.
) Lors de Broadcast on ralise une inondation des ports sauf pour les ponts configurables
(paramtrable).

RESEAUX (volume 2) COURS Page 56


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3.2.2.2./ Le Spanning Tree (Bas sur la norme 802.1D)

Ces un protocole permettant de dfinir des chemins de secours en autorisant des boucles (ponts
redondants).

Les mcanismes de mise en uvre sont les suivants :

) Le protocole de communication entre les ponts est BPDU.


) On ralise la dtermination dun pont matre.
) On effectue une association dun cot chaque pont.
) on dtermination un chemin pour un cot minimal.
) Enfin ralise lmission rgulire des paquets BPDU.

1.3.3. / Le switch

1.3.3.1./ Dfinition

RESEAUX (volume 2) COURS Page 57


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le switch intervient au dessus de la couche MAC. En gnral, le switch plus de port quun pont
classique. Les ports sont hauts dbits. Le pont ralise un filtrage positif :

) Si le destinataire connu sur un des ports peut mettre une transmission sur ce port
(comportement du pont).

) Si le destinataire inconnu du switch, il y a transmission sur le rseau fdrateur. Si la trame


vient du rseau fdrateur, il y a blocage par le switch.

1.3.3.2./ Fonction dauto ngociation et Full Duplex

1.3.3.2.1./ Le Full Duplex

Il y a mission et rception en simultane. Il ny a pas de collision entre paires dmission et de


rception. Ce mode fonctionne uniquement avec les switch (niveau 2). Les dbits sont doubls.

1.3.3.2.2./ Auto-ngociation

Ce mode est identique au rpteur 100 Base T, mais gestion se ralise en Full Duplex. Il y a
affranchissement du domaine de collision qui introduit la notion de VLAN.

1.3.3.3./ Les VLAN (Virtual Lan Area Newtwork)

Cest la cration de rseaux locaux logiques indpendants du ou des rseaux physiques. Ils rpondent
aux besoins suivants :

) Cloisonner des utilisateurs dans des groupes.


) Limiter les domaines de broadcast.
) Mieux grer les multicast.

Les groupes peuvent tre constitus au niveau suivants :

) Les ports.
) Les adresses MAC (Multicast inclus).
) Les adresses IP.

La visibilit inter-VLAN effectue via des routeurs et des ports multi-vlan.

1.3.4. / Le routeur

1.3.4.1./ Dfinition

Il intervient au niveau 3 du modle OSI. Il travaille sur les adresses logiques et non physiques comme
le pont. Il utilise des multi-Protocoles (IP, TCP/IP, Appletalk, mais pas NETBEUI) ainsi que des
multi-interfaces (Ethernet, Token Ring mais aussi X.25, RNIS, Frame relay)

RESEAUX (volume 2) COURS Page 58


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Son usage est issu de la ncessit de dfinir un adressage logique diffrent entre les rseaux. Il peut
grer des inter-rseaux important (plus de dix). Il permet une limitation des broadcasts IP (ARP).

1.3.4.2./ Mcanisme de routage dun paquet

Emission dun paquet IP de A vers B

En A, la trame IP contient l@ip B comme destinataire et l@ip A comme metteur. La trame Ethernet
contient l@ MAC 1 comme destinataire et l@MAC A comme metteur. Le paquet est transmis au
routeur pour tre achemin vers B.

En B, la trame IP contient l@ip B comme destinataire et l@ip A comme metteur. La trame Ethernet
contient l@ MAC B comme destinataire et l@MAC 2 comme metteur. Le paquet est transmis au
routeur pour tre achemin vers B.

1.3.4.3./ La dtermination du chemin

1.3.4.3.1./ Le routage statique


Il est dfini par ladministrateur. Il ncessite de connatre lexhaustivit des rseaux et il est valables
pour des inter-rseaux ou des rseaux privs entirement matriss. Il introduit la notion de route par
dfaut.

RESEAUX (volume 2) COURS Page 59


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3.4.3.2./ Le routage dynamique

Il repose sur deux grands types de protocoles :

) Vecteur de distance (RIP).


) Etat de liens (OSPF).

Il est valables pour de trs grands rseaux, des rseaux publics, ou des rseaux privs conus avec des
chemins multiples. Il introduit la notion de temps de convergence.

1.3.4.4./ Exemple de Routeur : les routeurs dagences

Il rpond trois grands types de besoins de communication :

) Partage d'un accs internet.


) Accueil de stations distantes.
) Fdration des rseaux distants.

Le but des routeurs dagence est de simuler vis vis des quipements rseaux une connexion
permanente et raliser des lien la demande. Un routeurs d'agence intgre :

) Une interface RNIS.


) Une interface ethernet pour la connexion LAN.

Ces fonctions sont :

) Travailler au niveau 3 de l'OSI.


) Interfacer les reseaux LAN et WAN.
) Raliser une agrgation dynamique des canaux.
) Compresser les trames.
) Permettre lauthentification.

1.3.5. / Le Firewall

Cest un quipement de raccordement scuris lInternet.

RESEAUX (volume 2) COURS Page 60


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Il fonctionne partir des principes suivants :

) Filtrage des adresses (accs aux machines).


) Filtrages des ports (accs aux services).
) Translation dadresses (de port aussi).
) Notion de zone dmilitaris (DMZ).

1.3.6. / Interconnexion LAN-WAN

1.3.6.1./ Introduction

Soit deux rseaux gographiquement espac suivant le synoptique donn ci-dessous :

Les matriels dinterconnexion sont les suivants :

) Matriel qui ralise la connexion du rseau local la liaison WAN.


) Le pont.
) Le routeur.

La liaison WAN reprsente le rseau de transport entre les deux rseaux locaux avec la mise en uvre
des protocoles X.25, RNIS, Liaison Loue, Frame Relay, ou Internet avec VPN.

1.3.6.2./ Les quipements dinterconnexion

Les ponts : linterconnexion ncessite deux ponts pour assurer la communication. Chaque pont
prsente une interface LAN et une interface WAN. Elle introduit la notion de demi-pont (les deux
ponts forment un pont logique ). Elle utilise deux domaines de collision diffrents pour un mme
rseau logique (mme rseau IP).

Les routeurs : Ils ont une architecture identique au pont. Linterconnexion gre deux domaines de
collision diffrents mais aussi deux rseaux IP diffrents.

RESEAUX (volume 2) COURS Page 61


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.3.6.3./ Les liaisons WAN - X.25

Elles utilisent les rseau Transpac. La tarification essentiellement base sur le trafic. Le trafic scuris
car privatif. Elle utilise des essentiellement Routeurs.

1.3.6.4./ Les liaisons WAN loues

Les offres oprateur : France Tlcom jusqu aujourdhui. Elle gre la connexion point point avec
une bande passante importante. La tarification est indpendante du trafic et peut utilis des routeurs ou
des ponts. Le trafic est scuris car privatif.

1.3.6.5./ Les liaisons WAN - RNIS

Loprateur principal est France Tlcom. Elle est utilis comme liaison de secours avec une bande
passante de 64 ou 128 Ko (agrgation des canaux). La tarification est la dure (Attention aux cots).
Elle est gr essentiellement via des Routeurs. Le trafic scuris car privatif.

RESEAUX (volume 2) COURS Page 62


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4. / LES RESEAUX DE TELECOMMUNICATION


1.4.1. / Le protocole X.25

1.4.1.1./ Prsentation

Ce protocole a t adopt en 1976 par le CCITT. Il est issu des rseaux commutation de paquets. Il a
t propos par quatre organismes :

) PTT.
) Postes britanniques.
) TCTS.
) Telenet Communication Corps.

Ce protocole couvre les 3 premires couches du modle OSI. Il est actuellement sur le dclin.

1.4.1.2./ LA RECOMMANDATION X.25

Elle spcifie en premier lieu un protocole dinterface entre un ETTD et un ETCD. X.25 ne spcifie pas
un rseau commutation de paquet mais prcise linterface daccs au rseau. Il dfinit les changes
entre un ETTD et un nud du rseau (ETCD).

Il est constitu de trois niveaux :

) niveau 1. X.21 ou X.21bis, interface physique V24 souvent utilise.


) niveau 2. HDLC en mode quilibr. LAP-B.
) niveau 3. X.25-3.

X.25 est avant tout une interface locale.

RESEAUX (volume 2) COURS Page 63


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.1.3./ Le Niveau 1 du protocole X.25

X.21 Dfinit le protocole physique entre ETTD et ETCD. Il spcifie en particulier :

) Les caractristiques physiques.


) Les caractristiques lectriques
) La transmission par des bits de synchro
) La procdure point point en mode full duplex

Lavis V.24 cest :

) Un connecteur 25 broches.
) Chaque broche est numrote de 1 24.
) A chaque broche correspond un signal particulier.

Le signaux les plus usits sont les suivants :

1.4.1.4./ Le Niveau 2 du protocole X.25

Il prsente deux modes de fonctionnement :

) Mode non quilibr (1 matre, plusieurs secondaires).


) Mode quilibr (2 stations primaires).

X.25-2 cest du HDLC quilibr ou LAP-B. Le Format de la trame HDLC est le suivant :

Fanion de 5 bits 01111110. Insertion dun bit zro pour toute suite

Adresse sous utilis en mode quilibr


11000000 commande de A vers B
10000000 commande de B vers A

RESEAUX (volume 2) COURS Page 64


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Contrle Indique le type de trame et ventuellement le N de la trame


Protocole indique le protocole vhicul. Ex : IP = 0021.
Donnes Limit 1500 Octets

Les diffrents types de trames sont les suivants :

) trame dInformation (transfert des donnes)


) trame de Supervision (freiner les dbits, demande de rptition ou accus rception)
) trame non numrote (U) : dfinit le mode de rponse dune station, initialisation,
dconnexion.

La Description des trois types de trames est la suivante :

N(S) = numro de la trame I envoye.


N(R) = numro du prochain paquet attendu.
S = bits de supervision.
M = bits de modification.
P/F = bits poll/final.

La TRAME I transporte les informations de la couche suprieure. On y trouve :

)N(S) le numro de la trame.


)N(R) prochaine trame attendue par lmetteur : acquittement positif des trames N(R)1, N(R)-
2.
) Variable V(S) qui est le numro de la trame modulo 8.

La TRAME S est constitue des lments suivants :

) trame RR : 1 0 0 0 P/F N(R) annulation dune trame RNR et acquittement positif des
trames jusqu N(R).

) trame REJ : 1 0 0 1 P/F N(R) rejet dune trame sur rupture de squence.

) trame RNR : 1 0 10 P/F N(R) le rcepteur indique lmetteur quil nest plus prt
recevoir. Il y a destruction de toutes les trames reues aprs le RNR et reprise sur RR ou REJ.

RESEAUX (volume 2) COURS Page 65


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.1.5./ Le Niveau 3 du protocole X.25

1.4.1.5.1./ Prsentation

X.25 utilise un numro de voie logique pour identifier la connexion dun ETTD un ETCD. 4095
voies logiques sont potentiellement utilisables sur une mme liaison physique. La liaison de bout en
bout entre deux ETTD sappelle un circuit virtuel.

Il existe quatre mthodes dimplmentation :

) Circuits permanents.
) Circuits commuts.
) Slection rapide (transfert de donnes dans le paquet dappel).
) Slection rapide avec fermeture immdiate.

Format du paquet est le suivant :

1.4.1.5.2./ La notion de circuit virtuel et de voie logique

Un circuit virtuel, une fois tabli, permet de considrer la connexion entre 2 DTE comme une liaison
directe (abstraction du rseau de transport) de la mme manire qu'une liaison tlphonique usuelle.

Le CVC ou Circuit Virtuel Commut : mise en relation de 2 DTE sur demande en tablissant un lien.
De la part des DTE, cette liaison a les caractristiques d'une ligne priv non partag (c'est le but),
mme si physiquement, les liaisons utilises sont partages.

Le CVP Circuit Virtuel Permanent : la relation est maintenue en permanence (vite le cot
d'tablissement de connexion mais alourdit la facture auprs du fournisseur).

RESEAUX (volume 2) COURS Page 66


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.1.5.3./ Etablissement dun circuit virtuel

L'tablissement dun CV se fait de bout en bout par l'envoi d'un paquet d'appel (call request). L'ETCD
destinataire peut refuser la connexion en envoyant une demande de libration (clear request). L'ETCD
destinataire peut l'accepter en envoyant un paquet de communication accepte (call accepted).

1.4.2. / LE RESEAU RTC (Rseau commutation de circuits)

Ce rseau a t ouvert la transmission de donnes en 1964. Il est structur de la manire suivante :

Ct abonn :

) Desserte locale = Ligne tlphonique qui le relie au rseau.


) Mdia : paire tlphonique en cuivre.
) Transmission analogique.

Ct oprateur :

) Autocommutateurs.
) Mdia : cuivre, fibre optique, voie hertzienne.
) Transmission : essentiellement numrique.

RESEAUX (volume 2) COURS Page 67


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Son usage est le suivant :

) Liaison point point.


) Accs Internet.

Ces avantages :

) Facile mettre en oeuvre.


) Bande passante suffisante pour les petits transferts de fichiers.
) Pas de location de LS, ni d'installation de ligne RNIS.
) Faible cot d'installation.

Les modems :

) Assure le raccordement au rseau (ETCD)


) Avis V34, V34+, V90

Les Connexion sont non permanente et utilise le protocole de niveau II PPP. Exemple dapplication :
tlmaintenance distance.

Une connexion point point

Connexion lInternet

RESEAUX (volume 2) COURS Page 68


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.3. / LE RESEAU NUMERIS (RNIS)

1.4.3.1./ Prsentation

Le rseau Numris est constitu de deux lments distincts :

) Le rseau oprateur.
) La partie privative extension du rseau chez le client.

Il existe deux types daccs au niveau de la partie privative :

) Laccs de base T0 constitu de deux canaux 64 Kbps et dun canal de signalisation


16Kbps.
) Laccs primaire ou T2 constitu de 30 canaux 64 Kbps et dun canal de signalisations 64
Kbps.

Les terminologie sont :

) Canaux de donnes = canaux B.


) Canal de signalisation = canal D.
) Accs de base = 2B+D.
) Accs primaire = 30B+D.

Les usages :

) Tlphonie.
) Tlcopie.
) Transfert de donnes.

1.4.3.2./ Les applications du Numris

1.4.3.2.1./ ACCES DE BASE T0

Ils permettent deux connexions simultanes. Les exemples dapplications sont les suivants :

) Une tlphonie, une donnes (accs un site distant).


) Deux connexions deux sites distants diffrents.
) Une connexion un seul site distant en agrgeant les canaux.

1.4.3.2.2./ ACCES PRIMAIRE T2

RESEAUX (volume 2) COURS Page 69


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.3.2.3./ Application typique pour un FAI

1.4.3.3./ Les points de rfrences

Ils dfinissent des interfaces et des limites de responsabilits entre oprateur et client. Il existe
plusieurs type de point de rfrences :

) Point R (rate) : interface entre un quipement non RNIS et un adaptateur


) Point S (system) : limite entre systme utilisateur et systme rseau. Prise RJ45 sur laquelle se
connecte lquipement.
) Point T (Terminal) : limite de responsabilit de loprateur.
) Point U (User) : Interface entre la TNR et le commutateur de rattachement.

RESEAUX (volume 2) COURS Page 70


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les terminologies sont les suivantes :

) TNR : Terminaison Numrique de Rseau.


) TNA : Terminaison Numrique dAbonn.
) TNL : Terminaison Numrique de Ligne.

1.4.3.4./ Le protocole D

Cest le protocole de signalisation entre lquipement de lutilisateur et le commutateur de France


Tlcom. Il est Transmis par le canal D, le canal de signalisation. Il utilise plusieurs protocoles. Il
couvre les trois niveaux du modle OSI.

La couche physique dcrit la mthode daccs au bus et la structure des trames physiques. Elle est
diffrente pour laccs de base et laccs primaire.

La couche Liaison est une liaison point point entre quipement et TNR. Elle est driv de HDLC.

La couche Rseau supporte les messages changs entre lquipement et le commutateur de France
Tlcom.

RESEAUX (volume 2) COURS Page 71


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.4.4. / Le protocole PPP (Point to Point Protocol)

1.4.4.1./ Prsentation

Il est issu de la norme RFC 1661. Ces fonctionnalits sont les suivantes :

) utilisation sur des liaisons point point autres que srie (SLIP).
) Transport de protocoles de niveau 3.
) Compression den-ttes IP et TCP pour augmenter le dbit de la liaison.
) gestion d'un contrle d'accs au rseau par authentification.
) Gestion des codes interprtables par les modems.

Le protocole PPP est classiquement utilis par les FAI. Il est utilis gnralement sur des liaisons RTC
ou RNIS. Il repose sur 3 composants :

) HDLC pour lencapsulation des datagrammes.


) LCP (Link Control Protocol).
) NCP (Network Protocol).

PPP utilise la structure des trames HDLC qui est la suivante :

Fanion 01111110.
Adresse non utilis. Prend la valeur 11111111.
Contrle Contient la squence binaire 00000011. Demande de transmission
de donnes utilisateur dans une trame non ordonne.
Protocole Indique le protocole vhicul. Ex : IP = 0021.
Donnes Limit 1500 Octets.
FCS Champ de contrle de trame.

Le protocole LCP dfinit les changes ncessaire la gestion des liaisons. Il supporte trois types de
trames : tablissement, supervision, et terminaison.

Le protocole NCP existe en autant de versions que de protocoles rseau transports. Il ncessite une
ngociation des paramtres de configuration et des services optionnels.

1.4.4.2./ Les protocoles dauthentification

1.4.4.2.1./PAP (Password Authentication Protocol)

Il utilise une mthode dauthentification simple et en deux temps ( two way handshake) lors de la
connexion. Il existe 3 types de trames PAP.

RESEAUX (volume 2) COURS Page 72


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le code du type peut avoir les significations suivantes :

1. Requte dauthentification.
2. Acquittement positif.
3. Acquittement ngatif.

Le contenu de la requte dauthentification est :

1.4.4.2.2./ CHAP (Challenge-Handshake Authentication Protocol)

Cest un protocole qui est plus scuris que PAP lors de la connexion mais aussi aprs celle-ci. Il
existe 4 types de trames CHAP.

Le code du type peut avoir les significations suivantes :

1. Challenge
2. Rponse
3. Succs
4. Echec

La rponse seffectue sur un Mot De Passe secret partag par le client et le serveur. Les tapes de
connexion sont les suivantes :

RESEAUX (volume 2) COURS Page 73


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1. Envoi par le serveur du challenge (ID, nombre alatoire, nom dhte)


2. Calcul dune valeur avec ces lments au moyen dun fonction de hachage non rversible par
le client au moyen de la cl secrte.
3. Envoi de la rponse au serveur (ID crypt, nombre alatoire, nom dhte, valeur)
4. Vrification de la valeur calcule et calcul identique parle serveur.
5. Acquittement succs ou erreur par le serveur.

1.4.4.3./ Exemple dapplication de PPP

1) Le modem du client appelle le numro de tlphone du fournisseur et la connexion


tlphonique s'tablit si l'un au moins de ses modems est libre.
2) Ngociation de la configuration et de la qualit de la liaison (phases LCP)
3) Phase identification/authentification (PAP ou CHAP).
4) Ngociation de la configuration rseau (NCP) ouverture de session.
5) Libration de la connexion.

RESEAUX (volume 2) COURS Page 74


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5. / LES RESEAUX HAUTS DEBITS


1.5.1. / Le relais de trames - Frame Relay

1.5.1.1./ Introduction

Le relais de trames (Frame Relay) est une volution simplificatrice de la commutation par paquets
X.25. Les principes sont identiques sans assurer lintgrit des donnes et le contrle de flux car les
structures de transport de linformation sont plus fiables.

Le relais de trames nutilise que la couche 2 du modle OSI. Les paquets sont transports de nud en
nud dans les trames, et il ny a pas de mcanismes de reprise au niveau 3.

Cette structure de rseau hauts dbits t mise au point car la qualit des supports de transmission
cest considrablement amlior. Lintroduction des fibres optiques rduit considrablement le taux
derreur. Elle permet des reprises de transmissions uniquement de bout en bout. La plupart des
contrles raliss par X.25 deviennent alors inutile.

En effet, lors de la cration de X.25, le structure de transport taient considres comme non fiables.
Avec Frame Relay, on envoie les rsultats de contrle derreurs et de flux aux extrmits dune
connexion. Il ny a pas de contrle de flux au tapes intermdiaires.

Frame Relay est idal pour les flux isochrones du type multimdia (vido et audio). Le taux derreur de
Frame Relay est de 1/10-8 fois mois que X.25. Frame Relay transport les informations rapidement
(600Mbits/s) avec fiabilit

Le rseau est constitu d'un ensemble de nuds interconnects par un maillage quelconque. Les
interconnexions sont des voies haut dbit travaillant en mode connect. Il existe deux types de
circuits virtuels :

) les circuits virtuels permanents (PVC) tablis par l'oprateur lors de l'abonnement.
) Les circuits virtuels commuts (SVC) tablis sur linitiative de l'usager.

UNI : User to Network Interface.


NNI : Network to Network Interface.

RESEAUX (volume 2) COURS Page 75


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.1.2./ Normalisation

Le Relais de Trames nest pas un protocole de rseau mais un standard qui dfinit linterface au rseau.
Il est Bas sur les recommandations I.122 de lITU-T dnomm "Framework for Providing Additional
Packet Mode Services".

Ce document dcrit les services orients paquets sur RNIS, utilisant les formats et spcifications de
niveau liaison LAPD (Q.921). Seules les fonctions de composition de trames de LAPD sont utilises
par le relais de trames. Aux Etats-Unis, linterface daccs est standardise par le comit T1S1 sous le
standard ANSI T1.606, T1.617 et T1.618. En Europe, les standards sont I.233, Q.922, Q.933.

Les donnes sont transfres dans des trames de type HDLC. La couche 2 a t divis en deux sous-
couches :

) La sous-couche noyau (Core).


) La sous-couche EOP Element Of Procdure (optionnel ADLC par exemple).

1.5.1.3./ Prsentation de couches 1 et 2

La couche 1 assure la transparence binaire. Linterface nest pas prcise par la norme (plusieurs
disponibles).

La couche 2 est dfini par le synoptique ci dessous :

Core

Remarque : la sous-couche EOP est facultative et laisser au choix de lutilisateur.

RESEAUX (volume 2) COURS Page 76


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.1.4./ Format des trames du Noyau

1.5.1.4.1./ Prsentation

Linformation transporter sur le rseau est encapsule et restitue lautre bout. La trame de type
HDLC est drive de LAP-D.

Format d'une trame Frame Relay

La trame Frame Relay est constitue des lments suivants :

Fanion : squence 01111110.


DCLI (Data Link Connexion Identifier) : identificateur de lien virtuel (adresse).
FECN (Forward Explicit Congestion Notification) : indique une congestion en amont.
BECN (Backward Explicit Congestion Notification) : indique une congestion en aval.
C/R (Command / Response) : bit non utilis.
DE (Discard Eligibility) : indique les trames dtruire lors de
congestion.
EA (Extended Address) : bit indiquant une extension de ladressage.
FCS (Frame Check Sequence) Clef de contrle.

1.5.1.4.2./ Le champ adresse

Champ Adresse tendu est dfini par le synoptique suivant :

Data Link
Connectio
n
Identifier :
@ 1, 2, ou
3 octects

RESEAUX (volume 2) COURS Page 77


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les valeurs du DLCI pour ladressage de base peuvent tre les suivantes :

1.5.1.5./ Fonctionnement gnral ladressage DLCI

Dans Frame Relay, il existe un numro de circuit virtuel entre lutilisateur et le rseau. Il a une
signification locale qui est identique au NVL de X.25.

Les mcanismes sont les suivants :

) Rseau fait la liaison entre DCLI de dpart et darriv.


) Chaque Nud possde une table de commutation.

RESEAUX (volume 2) COURS Page 78


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.1.6./ Le traitement des erreurs

On rappel que le traitement des erreurs nest pas effectu dans le rseau au niveau des extrmits
(metteur et rcepteur). Chaque commutateur vrifie lintgrit de la trame par :

) Dlimitation de la trame.
) Validation du DLCI.
) Contrle derreur (FCS).

En cas derreur , la trame nest pas transmise lintermdiaire suivant. Il y a destruction. Le rcepteur
verra quil manque une trame. Il ritrera la demande de celle-ci.

1.5.1.7./ Le contrle dadmission

Cest une simplification du protocole. Il y a suppression de tout contrle de flux. On en dduit des
problmes de congestion du rseau et plus prcisment des problme de traitement des donnes en
entre et en sortie des intermdiaires (Avec X.25, cela introduit des problmes de saturation car on
effectue beaucoup de contrle). Pour les rsoudre on met en uvre :

) Des mcanismes de contrle dadmission.


) Des mcanismes de signalisation ( bit ECN, Explicit Congestion Notification) [ctrl de flux].

Le mcanisme dadmission introduit les notions suivantes :

) Le CIR (Committed Information Rate) : le dbit moyen garanti par le rseau. La capacit du
lien est ajout dans la somme des CIR (statistiques toujours fourni par le prestataire). La
valeur est situe entre le dbit crte et le dbit moyen sur la dure d'une connexion.

) LEIR (Excess Information Rate) : cest la bande passante disponible en plus pour les crtes
dinformation transmettrent.

) Le Tc (Committed Rate Measurement Interval) : cest le temps de reference pour calculer le


debit.

) Committed Burst Size, Bc. : cest le nombre maximum de bits pouvant tre transmis pendant
l'intervalle de temps T. On a : Bc = T * CIR.

) Excess Burst Size, Be. Nombre maximum de bits que le rseau peut transmettre en excs
pendant l'intervalle T.

La bande passante en Frame Relay peut tre reprsent comme le synoptique donn ci-aprs :

RESEAUX (volume 2) COURS Page 79


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001
Bande passante

CIR EIR EIR CIR

(dynamique (dynamique (statique)


(statiqu ) )

USER 1 USER 2

DE = 0
DE = 1
(discard
Eligibility)

1.5.1.8./ Le traitement des trames en excs.

Bande
passante

Le rseau de relais de trames surveille si le flux de trafic de l'utilisateur respecte son contrat. En cas de
dbit excessif, le rseau peut rduire le dbit et rejeter des informations de trames. Cest lutilisation du
bit DE (Discard Eligibility).

Si la Quantit de donnes transmettre < Bc Trames transmises alors bit DE = 0.

Si Bc Trames transmises < Quantit de donnes transmettre (Bc + Be) bit DE = 1.On transmet
volume thorique dans un premier temps. Les trames en excs sont dtruites si un nud de transition
est proche ou si on est en situation de saturation. Cela induit des problmes de retransmission des
trames que lon rsous par lutilisation de mcanismes de contrle de congestion.

RESEAUX (volume 2) COURS Page 80


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.1.9./ Le contrle de congestion

Il permet de garantir une bonne qualit de service pour tous les usagers du rseau. Le contrle de
congestion repose sur les bits FECN et BECN qui font office de signalisation. Il sont vhicul dans la
bande avec les donnes transmettre.

Le Bits FECN (Forward Explicit Cogestion Notification) :

) Il est envoy dans la direction de la congestion.


) Un noeud en congestion positionne le bit FECN.
) Les noeuds en aval sont informs.

Le Bits BECN (Backward Explicit Cogestion Notification) :

) Il est utilis dans le sens inverse de la congestion.


) Son principe est dalerter les metteurs quils causent ou contribuent la congestion.

Ces bits passe 1 lors dune congestion pour indiquer ltat de la transmission et quil faut ralentir
lmission de donnes. On utilise alors la rponse du rcepteur pour prvenir lmetteur. Ce principe
pose les limites suivantes :

) Linformation de congestion est vhicul dans les trames de donnes.


) La remonte de linformation de congestion ne se fait que si le rcepteur de linfo faire
remonter.
) Elle est inquitable car mme les quipements non responsables de la congestion sont
inviter ralentir leurs missions.

Pour rsoudre ces problmes, on utilise des protocoles de signalisation qui sont hors bande.

1.5.1.10./ Le protocole CLLM (Consolided Link Layer Management)

Cest un Mcanisme optionnel qui est vhicul hors bande passante. Il est valable entre les nuds du
rseau. Ce protocole permet aux nuds en tat de congestion den avertir ses voisins ainsi que la
source de la congestion. Pour ce faire on utilise le DLCI 1023 (spar du flux de donnes) ou des bits
ECN. Le message contient une liste de DLCI et demande implicitement au(x) propritaires du DLCI
de suspendre la transmission.

RESEAUX (volume 2) COURS Page 81


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le format du message CLLM est le suivant (format DLCI 2 octets) :

1.5.1.11./ Le protocole LMI (Local Management Interface)

Le protocole LMI est une signalisation complte spare du transport de donnes. Cest une adaptation
de la signalisation Q.931 du RNIS. Cest un service optionnel, qui utilise le DLCI 0, disponible
uniquement au niveau de linterface utilisateur (UNI). Il nest valable quentre lmetteur et le
rcepteur au niveau du premier intermdiaire (nud).

Il informe lusager de ltat du rseau et de la configuration. En particulier, il notifie laddition, la


suppression, ltat et la disponibilit dun PVC, et met en oeuvre un mcanisme dinterrogation au
niveau physique et des PVC.

Frame Relay

Emeteur LMI CLLM CLLM LMI Rcepteur

Optionnel Optionnel
NMI

RESEAUX (volume 2) COURS Page 82


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le format de la trame LMI est le suivant :

1.5.1.12./ Etablissement dun CVC (Circuit Virtuel Commut)

Les messages dtablissement Circuit Virtuel sont achemins sur le DLCI 0. Ils Contiennent les
paramtres de la liaison demande. Voici un synoptique reprsentant les mcanismes gnraux :

(Connection)

(Dialogue)

(Dconnection)

RESEAUX (volume 2) COURS Page 83


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.1.13./ Lencapsulation

1.5.1.13.1./ Gnralits

Le relais de trames assure le transport de protocoles divers (X.25, TCP/IP) en temps que trame de
niveau 2. Pour ce faire il utilise lencapsulation ou tunneling dont larchitecture gnrale est donne ci-
dessous :

Lencapsulation est normalis par :

) Encapsulation X.25 ANSI/TI.617 Annexe G.

) Multi-protocole RFC 1490.

1.5.1.13.2./ Lencapsulation X.25

Elle permet le transport de X.25 dans le relais de trames. La trame LAP-B est directement encapsule
dans la trame FR.

RESEAUX (volume 2) COURS Page 84


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Lencapsulation de la trame LAP-B est donne dans le synoptique qui suit :

1.5.1.13.3./ Lencapsulation multi-protocoles

Cette technique utilise la trame non numrot de LAP-D comme le montre le synoptique ci-dessous :

RESEAUX (volume 2) COURS Page 85


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les champs sont les suivants :

) PAD : Utilis pour lalignement. Prend la valeur 0x00.


) Contrle : Valeur 0x03.
) NLPID : identifie le protocole encapsul.

1.5.1.14./ Exemple de routage IP avec Frame Relay

Soit lexemple darchitecture rseau donne ci-dessous :

Linterface srie du routeur 1 S0 est divise en deux. A chacune de ces sous-interfaces correspond
un rseau dinterconnexion. Il est possible de router les rseaux 2 et 3 partir de cette seule interface.

Une autre utilisation consisterai router de faon compartimente deux flux diffrents entre deux
rseaux.

1.5.2. / ATM - Asynchronous Transfer Mode

1.5.2.1./ Prsentation

Il pousse plus loin le concept propos par Frame Relay. La commutation est ralis au niveau matriel
(commutation de niveau 1) en utilisant des cellules de tailles rduites et des cellules de tailles fixes afin
de rduire les temps de latence.

La structure gnrale de la cellule ATM est constitu de 48 octets de donnes avec 5 octets d'entte. Le
temps de traverse est trs faibles (10 microsecondes) se qui le rend trs adapte des dbits de
commutation trs levs (1 10 Gb/s).

On peut donc utilis ATM avec des interfaces de dbits trs varis de 2 155 Mb/s, et dans lavenir
622 Mb/s voir 1,2 Gb/s. Il permettra le transport des flux multimdias.

RESEAUX (volume 2) COURS Page 86


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.2.2./ Architecture gnrale

Cest un modle en 3 couches comme le montre le synoptique ci-dessous :

AAL :
Adaptation
Layer

La couche Physique assure ladaptation et la transmission des cellules sur le support physique. La
couche ATM effectue le contrle derreur, la commutation et le multiplexage des cellules.

Les normes qui sont utilises sont :

) AAL : avis I.362 et I.363.


) ATM : avis I.361.
) PHY : avis I.432.

La conception de ATM est similaire avec celle de Frame Relay comme le montre le synoptique
suivant :

RESEAUX (volume 2) COURS Page 87


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.2.3./ La cellule ATM

La taille de la cellule ATM est de 53 octets (5 pour lentte). Le format de lentte est le suivant :

5 octets

La signification des champs est la suivante :

) GFC (Generic Flow Control).


) VCI (Virtual Channel Identifier) : Voie virtuelle.
) VPI (Virtual Path Identifier) : Reprsente les chemins virtuels au sein dun commutateur
ATM.
) PTI (Payload Type Identifier) avec :
Bit 1 : il indique si cellule de donnes de contrle ou utilisateurs.
Bit 2 : Si donnes utilisateurs, sert la gestion des congestions (bit EFCI).
Bit 3 : 1 il indique que les donnes transporte des donnes dadministration (OAM).
Pour Bit 1 est 1 avec Bit 3 est 0 alors on est en mode de cellule dadministration
sinon avec Bit 3 1 on fait du contrle de congestion en backward.

) CLP (Cell Loss Priority) : 1 il indique que la cellule pourra tre ignore en cas de
congestion. Il est utilis lors du bourrage de donnes dans les trames.
) HEC : champ utilis par la couche TC (sous-couche physique) pour la dtection et
lautocorrection simple.

1.5.2.4./ Lavis I.432

1.5.2.4.1./ Prsentation

La couche physique fournit la couche ATM un service de transport de cellules Elles est divise en
deux sous-couche :

codage

RESEAUX (volume 2) COURS Page 88


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La couche PMD permet la transmission des bits sur le support (adaptation au support) et une
synchronisation dhorloge.

La couche TC (Transmission Convergence) permet ladaptation des dbits (ajout de cellules vides qui
constitue un bourrage car il ny a pas de fanion de dbut et de fin), la gestion des en-ttes des cellules,
et le contrle des erreurs (champ HEC). Elle permet aussi et ladaptation des cellules aux trames de
support de transmission parmi :

) SDH (Synchronous Digital Hierarchy).


) PDH (Plesiochronous Digital Hierarchy).
) Le mode cellule (ATM 25 et ATM 100).

1.5.2.4.2./ La couche ATM

1.5.2.4.2.1./ Prsentation

ATM est un mode connect. Il existe deux niveaux de connexion qui sont :

) Circuits virtuels (VC ou Virtual Channel).


) Conduits virtuels (VP ou Virtual Path) Assimilable un faisceau de VC multiplex.

Le Virtual Path est un concepts de multiplexage permettant de faciliter la mise en oeuvre et la


performance des commutateurs.

Commutateur/Brasseur Brasseur

La connexion peut tre permanente (tablie l'avance) ou commute (tablie la demande). Les
fonctionnalits sont les suivantes :

) Acheminement des cellules.


) Ajout et retrait des enttes ATM.
) Contrle de flux.
) Adaptation des dbits.
) Contrle dadmission.

Le brassage est un dispositif trs rapide permettant la copie en direct des informations du Chemin
Virtuel dentre vers le Chemin Virtuel de sortie. La commutation permet le transfert dun Circuit
Virtuel dentre vers un Circuit virtuel de sortie. Ce processus est plus lent que le brassage.

RESEAUX (volume 2) COURS Page 89


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.2.4.2.2./ Fonctionnalits

Le contrle de dbit la source permet :

) La gestion de lUPC (User Parameter Control).


) Le contrle du trafic par rapport au contrat de service.
) Le contrle de la conformit du trafic pendant la transmission.
) Le marquage des cellules (CLP 1) lors dun trafic excdentaire.
) La destruction des cellules lors dun trafic excdentaire avec congestion.

Le contrle de congestion permet :

) La gestion du bit EFCI.


) Un fonctionnement similaire au mcanisme EFCN du Frame Relay.
) Un retour en mission de cellules RM (Ressource Management).
) Lmission des cellules RM vers les usagers par les commutateurs pour leur demander de
rduire le dbit et de les informer du dbit disponible.

Le contrle dadmission permet :

) La gestion du CAC (Connection Admission Call).


) La dfinition dun certain niveau de service (QoS).
) La gestion de lefficient si UPC.
) La mise en uvre de 5 classes de services dfinies dans lATM Forum.

1.5.2.4.3./ La couche AAL - ATM Adaptation Layer

1.5.2.4.3.1./ Prsentation

Cest une interface daccs la couche ATM pour les quipements. Elle est divise en deux sous
couche :

La sous-couche SAR (Segmentation an Reassembly) permet de faire linterface avec la couche ATM,
la segmentation des PDU en cellules, et lassemblage des cellules en PDU.

La sous-couche CS (Convergence sublayer) est divise en 5 classes de services (AAL 1 5) qui sont
dfinies par le synoptique suivant :

RESEAUX (volume 2) COURS Page 90


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.5.2.4.3.2./ Les services

AAL1 permet :

) Le trafic dbit constant (Constant Bit Rate).


) Le transport de la voix et de la vido sur RLD (rseaux locaux distants).
) La synchronisation des horloges.
) La Compensation des dispersions de temps.
) Le Squencement des cellules.

AAL2 permet :

) Le trafic dbit variable (Variable Bit Rate).


) La gestion de cellules partiellement vide.
) Le transport de la voix et de la vido compresse.
) La mise en uvre dapplications en temps rel.

AAL3/4 permet le transport de donnes Primes.

AAL5 permet :

) Une simplification de AAL3/4.


) La mise en uvre de nouvelle spcification introduites par lATM Forum.
) Linterconnexion des RLE (rseaux locaux dentreprise).

1.5.2.4.3.3./ Le service AAL 5


Le service ALL5 ralise ladaptation pour le transfert de donnes a travers des rseaux locaux
dentreprise tel que :

) IP sur ATM.
) Emulation LAN.

RESEAUX (volume 2) COURS Page 91


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Son fonctionnement gnral est le suivant :

La sous-couche de convergence ajoute un bloc de remplissage si ncessaire et un suffixe de 8 octets


la trame. La sous couche SAR fragmente la PDU CS. La couche ATM constitue les cellules.

RESEAUX (volume 2) COURS Page 92


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.6. / CONCEPTS DARCHITECTURE CLIENT-SERVEUR


1.6.1. / L'interface socket

1.6.1.1./ Gnralits

Distribue pour la premire fois avec BSD 4.2 d'UNIX cest linterface de programmation de TCP/IP.
Elle offre un mcanisme gnral de communication entre processus et elle est disponible sous forme
d'une API.

L'API Socket fournit un ensemble de primitives qui masque les mcanismes de la couche transport et
permet d'accder au rseau comme un fichier (Exemple NFS sous UNIX Network Files System).

1.6.1.2./ Caractristiques

Elle permet la programmation d'application client-serveur. Son architecture est la suivante :

Le client et le serveur peuvent tre sur la mme machine. Les sockets reposent sur des tampons en
mission et rception. La lecture sur un tampon vide et l'criture sur un tampon plein sont bloquante.
L'envoi de donnes express est possible.

Une socket est dfinie par :

) Son domaine qui spcifie le format des adresses et les protocoles supports.
) Son type qui dfinit les proprits de la communication.
) Le protocole de transport.

Les domaines sont :

) AF_UNIX : communication locale au systme.


) AF_INET : communication entre deux systmes.
) Les autres : AF_NS, AF_CCITT, AF_SNA, AF_DECNET, et AF_APPLETALK.

RESEAUX (volume 2) COURS Page 93


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les types disponibles sont :

) SOCK_DGRAM :
. Mode non connect.
. Assure la dlimitation des messages.
. Correspond UDP pour le domaine Internet.

) SOCK_STREAM :
. Mode connect.
. Fiabilit de la transmission (pas de perte de donnes).
. Garantie de l'ordre des donnes.
. Non-duplication des donnes.
. Correspond TCP dans le domaine Internet.

) SOCK_RAW :
. Fournit l'accs des protocoles de plus bas niveau (ex : IP).
. Sert implanter de nouveau protocole.

) SOCK_SEQPACKET :
. Accs aux protocoles autres que TCP (ex : XEROX NS).
. Echange de donnes squentielles et structures.

Le protocole est li au domaine et au type de socket (voir ci-dessous). Un exemple li au domaine est
AF_INET.

IPPROTO_TCP SOCK_STREAM.
IPPROTO_UDP SOCK_DGRAM.
IPPROTO_ICMP SOCK_RAW.

1.6.1.3./ Linterface socket ct client

Le synoptique gnral est le suivant :

RESEAUX (volume 2) COURS Page 94


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.6.1.4./ L'interface socket ct serveur

Le fonctionnement gnral est donn par lorganigramme suivant :

1.6.1.5./ La primitive socket de l'interface socket

La primitive socket (en laguage C voir fichier dentte /lib/include/socket.h sous UNIX) permet la
cration de la socket. Elle associe l'intrieur d'un processus un descripteur similaire celui d'un
fichier qui renvoie vers une structure de donnes interne.

RESEAUX (volume 2) COURS Page 95


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Une fois la socket cre, elle peut :

) Attendre une connexion d'un client socket passive.


) Etablir une connexion vers un serveur socket active.

La forme gnrale de la primitive est la suivante :

#include <socket.h>

int socket
(
int domaine, /* AF_UNIX, AF_INET, etc */
int type, /* SOCK_STREAM, SOCK_DGRAM,etc */
int protocole /* 0 par defaut */
)

Exemple : cration d'un socket TCP. La primitive close permet la suppression de la socket.

Main()
{
int s = socket (AF_INET, SOCK_STREAM, 0);
close (s);
}

1.6.1.6./ La primitive bind de l'interface socket

Elle associe une adresse une socket pralablement cre. Cette dernire est ncessaire pour le serveur
mais facultative pour les clients. En mode connect, l'adresse est attribue la connexion, et en mode
non connect, utile si le client reoit des donnes. La forme gnrale de la primitive est la suivante :

#include <socket.h>

int bind
(
int sock , /* descripteur de socket */
struct sockaddr *p_adr , /* pointeur sur l'adresse */
int lg /* longueur de l'adresse */
)

La structure adresse est dfinie comme suit :

struct sockaddr_un pour AFUNIX


struct sockaddr_in pour AF_INET
struct sockaddr_in
{
u_short sin_family; /* domaine d'adresses */
u_short sin_port; /* numro de port */
u_long sin_addr; /* adresse IP */
char sin_zero[8]; /* inutilis */
};

RESEAUX (volume 2) COURS Page 96


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Exemple :

Main ()
{
s = socket ( AF_INET, SOCK_STREAM, 0);
bind ( s, p_adr, lg);
}

1.6.1.7./ La primitive listen de l'interface socket

Elle permet un serveur de prciser au systme qu'il ouvre le service Les connexions sont donc
acceptables et uniquement valable en mode SOCK_STREAM (mode connect). La forme gnrale de
la primitive est la suivante :

#include <socket.h>

int listen
(
int sock, /* socket */
int nb /* nombre de connexions pendantes */
)

1.6.1.8./ La primitive accept de l'interface socket

Elle est ralise ct serveur (connexion passive). Elle permet au serveur de se mettre en attente d'une
nouvelle connexion. L'appel est bloquant et la connexion est considre tablie aprs l'accept. Elle
renvoie une nouvelle rfrence de socket. La forme gnrale de la primitive est la suivante :

#include <socket.h>

int accept
(
int sock, /* socket d'coute*/
struct sockaddr * p_adr, /* adresse du client */
int * p_lg /* longueur de l'adresse */
)

1.6.1.9./ La primitive connect de l'interface socket

Elle permet au client de raliser la connexion au serveur (connexion active). L'adresse du serveur doit
tre spcifie et l'adresse du client est attribue automatiquement. En mode connect, elle autorise
l'utilisation des primitives READ, WRITE, SEND, et RECV. La forme gnrale de la primitive est la
suivante :

RESEAUX (volume 2) COURS Page 97


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

#include <socket.h>

int connect
(
int sock, /* socket d'coute*/
struct sockaddr * p_adr, /* adresse du serveur */
int lg /* longueur de l'adresse */
)

1.6.1.10./ Les primitives Send et Recv de l'interface socket

Ce sont des primitives d'changes des donnes. Pour l'mission on a :

) La primitive write :

#include <socket.h>

int write
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
);

) La primitive send : elle est plus spcifique et permet l'usage des donnes urgentes.

#include <socket.h>

int send
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
int option ;
);

Pour la rception on a :

) La primitive read :

#include <socket.h>

int read
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
);

RESEAUX (volume 2) COURS Page 98


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) La primitive Recv : elle est plus spcifique et permet l'usage des donnes urgentes.

int recv
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
int option ;
);

1.6.1.11./ Les primitives SendTo et RecvFrom de l'interface socket

Elles assure l'change de donnes dans le mode non connect. Il est ncessaire de prciser l'adresse du
destinataire dans la primitive sendto et l'adresse de l'metteur dans la primitive recvfrom. La forme
gnrale des primitives est la suivante :

int sendto
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
int option ;
struct sockaddr * p_adr ; /* adresse destinataire*/
int lg_adr ; /* longueur de l'adresse */
);

int Recvfrom
(
int sock ; /* Descripteur de socket */
char * p_msg ; /* adresse du message envoyer */
int lg ; /* longueur du message */
int option ;
struct sockaddr * p_adr ; /* adresse destinataire*/
int *p_lg_adr ; /* longueur de l'adresse */
);

1.6.1.12./ Le synoptique UDP

RESEAUX (volume 2) COURS Page 99


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.6.1.13./ Le synoptique TCP

1.6.2. / L'interface TLI - Transport Level Interface

1.6.2.1./ Gnralits

Elle a t propos en 1986 par AT&T avec Unix system 5 v3. Cest une interface de niveau Transport
utilisable aussi bien au-dessus de transport OSI que de TCP/IP. Elle repose sur le mcanisme des
streams dvelopps par AT&T. Elle est plus riche fonctionnellement que l'interface socket (prise en
comte de transport OSI notamment). L'interface sockets est disponible sous TLI.

1.6.2.2./ Les appels de procdures distantes

1.6.2.2.1./ Gnralits

Les APD sont un modle d'application rseau. Elle assimilent les requtes d'un client des appels de
procdure. Un appel de procdure distante se traduit par un passage des paramtres de l'appel la
procdure distante, et l'attente de la rponse par le client.

RESEAUX (volume 2) COURS Page 100


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les APD sont indpendantes de la couche Transport. Elles masquent au programmeur les dtails de
l'interface avec le rseau. Elles sparent totalement l'application de la communication.

Le synoptique d'un appel de procdure est le suivant :

1.6.2.2.2./ Architecture

Les RPC (Remote Procedure Call) de Sun offre une interface pour l'appel de procdures distantes. Le
mcanisme gnral du RPC est le suivant :

Sa situation dans les couches par rapport au modle OSI est la suivante :

RESEAUX (volume 2) COURS Page 101


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le RPC introduit la notion d'adaptateur ou STUB. Il existe un client et un serveur : le client STUB
simule la procdure locale pour le client et le serveur STUB rcupre les requtes du client pour
excuter la procdure avec les arguments reus et renvoyer le rsultat.

Larchitecture est la suivante :

1.6.2.2.3./ Localisation des services

Un service RPC est dfini comme un ensemble de procdures. Chaque procdure RPC est identifie de
manire unique par :

) Un numro de programme.
) Un numro de version.
) Un numro de procdure.

La localisation des services permet au client de localiser les services. Le service doit tre
pralablement dclar sur le serveur. La localisation est ralise par le processus portmap sur le
serveur

Le processus portmap est dfini par le synoptique donn ci-dessous :

RESEAUX (volume 2) COURS Page 102


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.6.2.2.4./ La smantique des appels

Pour les appels idempotent, une procdure appele plusieurs fois gnre le mme rsultat comme par
exemple le calcul de la somme de deux entiers.

Pour les appels au plus une fois, la procdure ne peut tre excute qu'une fois comme par exemple la
destruction d'un fichier. Ce mcanisme n'est pas propre aux RPC mais TCP.

1.6.2.3./ NFS - Network File System

1.6.2.3.1./ Gnralits

Il fournit un mcanisme qui tend le SGF d'une machine plusieurs autres via le rseau. Ce procd a
t propos par Sun en 1984 et repose sur les mcanismes RPC.

Larchitecture gnrale de NFS est la suivante :

Une machine peut tre client ou serveur. Un client peut importer de systmes de fichiers de diffrents
serveurs et un serveur est accessible de plusieurs clients.

1.6.2.3.2./ Architecture

NFS utilise :

) RPC pour les changes entre clients et serveurs.


) XDR pour la reprsentation des donnes.

NFS est un protocole sans tat. Le serveur n'a pas de trace des actions du client On en dduit une
simplicit du redmarrage. Cependant cela ncessite une mise jour des fichiers chaque criture
(lenteur). NFS prsente galement des problmes sur le verrouillage.

Les protocoles mis en uvre par NFS sont donns dans le synoptique qui suit :

RESEAUX (volume 2) COURS Page 103


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.6.2.3.3./ Les mcanismes de communication

La communication entre le client et le serveur se fait au travers de diffrents services (dmons) qui
sont les suivants :

) Opration de montage : ralise par mountd.


) Oprations sur les fichiers : ralises par nfsd.
) Oprations de gestion des accs : lockd et statd.

Voici un exemple d'une commande mount sur un client :

Le RPC gre :

) La vrification de la prsence du service demand.


) La transmission de la requte au serveur.
) L'appel de la procdure distante.
) L'envoi du rsultat vers le client (File handle).

Pour vrifier la prsence des services sur une machine UNIX on utilise la commande rpcinfo comme
ci-dessous :

# rpcinfo p Svr1

100000 2 tcp 111 rpcbind


100005 2 tcp 635 mountd
100003 2 udp 2049 nfs

RESEAUX (volume 2) COURS Page 104


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7. / TCP/IP
1.7.1. / La Couche Rseau IP - Internet Protocol

1.7.1.1./ Prsentation

La couche IP permet d'associer une adresse logique (adresse IP) l'adresse physique et d'identifier de
faon unique une machine sur le rseau en lui attribuant une adresse IP. Elle permet de grer et de
diffuser facilement les adresses sur le rseau, de fragmenter et rassembler les paquets, et dacheminer
les datagrammes au travers de diffrents rseaux.

Le synoptique de la couche IP est le suivant :

1.7.1.2./ Ladressage IP

IP fournit un mcanisme dadressage qui lui est propre. Cet adressage des machines connectes au
rseau devient indpendant des adresses physiques.

Il y a deux raisons cet tat de fait :

) On na pas de connaissance exhaustive des adresses physiques des machines qui doivent
communiquer.
) On saffranchi du problme du changement d'adresse physique d'une machine lors du
changement de ladaptateur rseau.

RESEAUX (volume 2) COURS Page 105


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cela pose un problme car la communication entre machines ne peut s'effectuer qu' travers de
l'interface physique. Des mcanismes de conversion des adresses IP en adresses physiques sont alors
ncessaire.

1.7.1.3./ Le protocole ARP - (RFC 826)

On associe l'adresse IP logique et l'adresse physique (MAC) de la carte. Sur un rseau physique, les
stations communiquent entre elles avec leur adresse MAC. La couche IP ne travaille quavec des
adresses IP. Il faut alors associer adresse IP et adresse MAC. Cest le rle du protocole ARP.

Le principe est le suivant : le protocole ARP met en uvre une table de correspondance adresse
IP/adresse MAC qui est mise jour au moment des besoins.

Les mcanismes mis en oeuvre sont les suivants :

) A veut changer avec B. A consulte alors sa table ARP.

) Si ladresse IP B est connu dans la table. La communication se fait avec les couples
@IP/@MAC de stations A et B.

) Si ladresse IP B nest connu dans la table, A diffuse sur l'ensemble du rseau une trame au
moyen de l'adresse de diffusion. Cette trame contient sa propre @IP et sa propre @MAC.

) B rpond A en renvoyant son adresse physique et son adresse IP.

) A met jour sa table ARP. La communication peut se faire entre les deux stations.

1.7.1.4./ Le protocole Reverse ARP (RARP) - RFC 903

Ladresse IP dune machine est stock par le systme dexploitation de la station sur une mmoire de
masse. Comment peut on grer les stations sans disque ?

RARP est un mcanisme permettant la station d'obtenir son adresse IP depuis le rseau. Le protocole
de bas niveau appel Reverse Adress Resolution Protocol permet d'obtenir son adresse IP partir de
l'adresse physique qui lui est associe. Un serveur RARP sur le rseau physique fournit les adresses IP
associes aux adresses physiques des stations du rseau.

1.7.1.5./ L'adresse IP

L'adresse IP est cod sur 4 octets (32 bits) et se prsente sous la forme d'une suite de quatre chiffres
dcimaux spares par des points. Par exemple : 137.22.56.89.

Une adresse IP se dcompose en fait en deux parties :

) La partie rseau : elle identifie le rseau sur lequel se trouve la station.


) La partie hte : elle identifie le numro de la station sur le rseau.

RESEAUX (volume 2) COURS Page 106


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La rpartition des quatre octets entre la partie rseau et hte dtermine la classe dadresse. Il existe
trois classes dadresses qui sont :

) La classe A. Le 1er octet dsigne le rseau les trois suivants lhte.


) La classe B. les 2 premiers octets dsignent le rseau les deux suivants lhte.
) La classe C. les trois premiers octets dsignent le rseau, le dernier lhte.

1.7.1.6./ Les classes dadresses

Les 3 premiers bits permettent didentifier la classe dadresse. On a :

) L'adresse de classe A :

. Le premier bits vaut 0.


. Les 7 bits suivants identifient le rseau.
. Les 24 suivants (c'est dire les 3 derniers octets) identifient l'adresse de la machine.

On obtient 27 c'est dire 128 rseaux et 224 htes soit plusieurs millions de machines.

) L'adresse de classe B :

. Les deux premiers bits valent 10.


. Les 14 suivants identifient le rseau.
. Les 16 derniers (c'est dire les deux derniers octets) identifient l'adresse de la machine.

On obtient 215 cest dire plusieurs milliers de rseaux et 216 htes soit plusieurs milliers de machines
pour chacun de ces rseaux.

) L'adresse de classe C :

. Les trois premiers bits valent 110.


. Les 21 bits suivants identifient le rseau
. Les 8derniers (c'est dire le dernier octets) identifient l'adresse de la machine.

On obtient plusieurs millions de rseaux et moins de 28 (256) machines.

RESEAUX (volume 2) COURS Page 107


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.1.7./ Mnmonique pour lidentification des adresses IP

Il existe un moyen simple pour identifier une adresse IP.

Pour une adresse de classe A : le premier octet doit tre infrieur ou gal 127. Le premier octet est
l'adresse du rseau et les trois suivants l'adresse de la machine (partie hte).

Pour une adresse de classe B : le premier octet doit tre compris entre 128 et 191. Les deux premiers
octets reprsentent l'adresse du rseau et les deux derniers l'adresse de la machine (partie hte).

Pour une adresse de classe C : le premier octet doit tre compris entre 192 et 223. Les trois premiers
octets reprsentent l'adresse du rseau et le dernier l'adresse de la machine.

La correspondance entre valeur du premier octet et classe d'adresse est rsume ci-dessous :

Correspondance entre Classe et Adresse IP

Remarque : On parle souvent par abus de langage (et cela est fait dans ce document) d'adresse de la
machine. En fait l'adresse IP est attribue une interface rseau utilise par une machine. Ainsi une
machine (c'est le cas des passerelles) peuvent avoir plusieurs interfaces et donc plusieurs adresses IP.

1.7.1.8./ Les valeurs particulires dans une adresse IP.

Certaines valeurs prises par dans une adresse IP ont une signification particulire. L'ensemble de ces
diffrentes valeurs est rsum ci-aprs :

) Valeurs particulires du premier octet :

. Valeur 0 : Valeur d'acheminement par dfaut.


. Valeur 127 : Boucle locale.
. Valeur > 223 : rserve.

) Valeurs particulires de la partie Hte :

. La valeur 0 indique le rseau


. La valeur 255 : c'est le broadcast

RESEAUX (volume 2) COURS Page 108


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Exemple : L'ensemble des bits de la partie hte positionns 1 indique l'adresse de diffusion. Cette
adresse (encore appele broadcast) permet de joindre l'ensemble des stations connectes au rseau.

Ainsi un message envoye l'adresse 195.83.252.255 (respectivement 175.32.255.255) est transmis


simultanment l'ensemble des stations connectes au rseau 195.83.252 (respectivement 175.32).

1.7.1.9./ Les masques

Un masque est une valeur qui applique une valeur V (de mme grandeur) par un ET ou un OU
logique permet de dduire une signification de cette valeur V.

Le masque rseau d'une classe correspond au positionnement 1 de tous les bits des octets constituants
la partie rseau. Ainsi :

) Le masque de la classe A sera 255.0.0.0


) Le masque de la classe B sera 255.255.0.0
) Le masque de la classe C sera 255.255.255.0

L'application d'un masque permet de dduire la partie rseau. Par exemple : 172.30.16.2 & 255.255.0.0
donne 172.30.0.0. Le masque est utilis par la couche IP dune station pour dterminer le rseau de
destination dun paquet envoyer.

L'utilisation de masque est surtout intressante lorsqu'on souhaite crer des sous-rseaux. Cette usage
particulier est dcrit dans le paragraphe suivant.

1.7.1.10./ Les sous rseaux

1.7.1.10.1./ Prsentation

Un sous-rseau correspond l'utilisation des bits de la partie hte pour identifier le rseau. On peut
donc crer des sous-rseaux partir de classe A, B et C. Cette pratique est gnralement connue sous
le nom de subnet d'un rseau.

Cela permet le dcoupage dun adresse rseau en plusieurs adresses de sous-rseaux. Les motivations
de cette technique peuvent tre nombreuses :

) Administrative (sparation logique des rseaux, dlgation dadministration, etc.).


) Technique (rseaux locaux diffrents, limitation du domaine de diffusion, etc. ).
) Scurit.

1.7.1.10.2./ Exemple

Considrons le rseau de classe B d'adresse 172.30.0.0. Il peut tre utile de subdiviser ce rseau en
deux parties gales. Combien de bits doit on consommer pour crer les deux sous-rseaux ?

RESEAUX (volume 2) COURS Page 109


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Consommation dun bit : ce cas nest pas trait correctement par tous les quipements.

) Consommations de deux bits :

1.7.1.10.3./ Mthodes

Si on veut N sous-rseaux, le nombre de bits ncessaires Nb pour coder N+1 nous donnent le masque
et le nombre total de sous-rseaux. Le nombre de sous rseaux crs est gal 2*Nb2. Le masque
doit avoir tous les bits de la partie rseau 1.

Exemple :

Pour 2 sous rseaux : 2+1 = 3 = 11 en binaire. Il faut donc 2 bits. Le nombre de sous-rseaux : 2*22
= 2. Le masque est alors : 1100 0000 ou 192 en dcimal.

Pour 3 sous rseaux : 3+1 = 4 = 100 en binaire. Il faut donc 3 bits. Le nombre de sous-rseaux : 2*32
= 6. Le masque est alors : 1110 0000 ou 224 en dcimal.

Pour 8 sous rseaux : 8+1 = 9 = 1001 en binaire. Il faut donc 4 bits. Le nombre de sous-rseaux : 2*4
2 = 14. Le masque est alors : 1111 0000 ou 240 en dcimal.

Pour avoir le nombre de sous-rseaux en fonction du masque on a :

) V la valeur du masque.
) N Le nombre de bits ncessaire coder V en binaire.
) Nb de sous rseaux = 2N-2.

Exemple : soit un masque de 224 qui vaut en binaire 111 0 0000 do 23 2 = 6. Soit 6 sous-rseaux.

Tableau rcapitulatif :

RESEAUX (volume 2) COURS Page 110


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.1.10.4./ Importance du masque

Considrons les deux adresses suivantes :

172.30.16.20
172.30.18.20

Ces deux adresse sont elles sur le mme rseau ? On peut formuler deux rponses :

) Ce sont des adresses de classe B. Elles sont donc sur le mme rseau : 172.30.0.0 (masque
255.255.0.0).

) Cela dpend du masque de sous-rseau.

Pour un masque de 255.255.254.0 on obtient :

172.30.16.20 & 255.255.254.0 172.30.16.0


172.30.18.20 & 255.255.254.0 172.30.18.0

Les deux adresses IP sont sur deux rseaux diffrents.

Pour un masque de 255.255.240.0 on obtient :

172.30.16.20 & 255.255.240.0 172.30.16.0


172.30.18.20 & 255.255.240.0 172.30.16.0

Les deux adresses IP sont sur le mme rseau 172.30.16.0.

1.7.1.11./ Le Datagramme IP

Cest le format d'en-tte Internet dont la structure est la suivante :

RESEAUX (volume 2) COURS Page 111


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les champs sont les suivants :

) N Version : sur 4 bits, cest le numro de version de protocole IP utilis.

) Longueur d'en-tte : sur 4 bits elle est exprime en nombre de mots de 32 bits >= 5.

) Type de service : sur 8 bits, il dfinit la priorit comme suit :

. Bits 0-2 : Priorit.


. Bit 3 : 0 = Retard standard, 1 = Retard faible.
. Bits 4 : 0 = Dbit standard, 1 = Haut dbit.
. Bits 5 : 0 = Taux d'erreur standard 1 = Taux d'erreur faible.
. Bit 6-7 : Rserv.

) Longueur du datagramme : sur 16 bits. La longueur totale du datagramme est infrieure ou


gale 65535 octets.

) Identification : Identifie un segment du datagramme en cas de segmentation de celui-ci.

) Drapeau : 3 bits

Bit 0: rserv, doit tre laiss zro.


Bit 1: (AF) 0 = Fragmentation possible, 1 = Non fractionnable.
Bit 2: (DF) 0 = Dernier fragment, 1 = Fragment intermdiaire.

) Dplacement : 13 bits. Ce champ indique le dcalage du premier octet du fragment par


rapport au datagramme complet. Cette position relative est mesure en blocs de 8 octets (64
bits). Le dcalage du premier fragment vaut zro.

) Dure de vie : 8 bits. Cette valeur fournit par la station mettrice et dcrmente par chaque
passerelle traverse. Si ce champ prend la valeur 0 le datagramme doit tre dtruit.

) Protocole : indique le protocole de niveau suprieur vhicul dans les donnes du


datagramme. Les diffrentes valeurs admises pour divers protocoles sont liste dans la RFC
"Assigned Numbers" .

) Checksum d'en-tte : 16 bits est un checksum calcul sur l'en-tte uniquement. Il est vrifi
et recalcul en chaque point du rseau o l'en-tte est rinterprte.

) Adresse source : 32 bits est l'adresse Internet de la source.

) Adresse destination : 32 bits est ladresse Internet du destinataire.

) Options : variable.

RESEAUX (volume 2) COURS Page 112


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.1.12./ Identification des protocoles vhiculs par IP - RFC 1060

Lidentification est paramtre dans les fichier :

) /etc/protocols sous LINUX ou UNIX.


) C:\windows\protocol sous Windows.

Un exemple de paramtrage est le suivant :

#
# Ce fichier contient les protocoles Internet tels qu'ils sont dfinis
# dans le document officiel RFC 1060 (Assigned Numbers).
#
# Format :
#
#<nom de protocole> <numro assign> [alias...] [#<commentaire>]

ip 0 IP # Protocole Internet
icmp 1 ICMP # Protocole Internet de contrle de message
ggp 3 GGP # Protocole passerelle-passerelle
tcp 6 TCP # Protocole de contrle de transmission
egp 8 EGP # Protocole de passerelle externe
pup 12 PUP # Protocole de paquet universel PARC
udp 17 UDP # Protocole de datagramme utilisateur
hmp 20 HMP # Protocole de surveillance d'hte
xns-idp 22 XNS-IDP # IDP Xerox NS
rdp 27 RDP # Protocole de "datagramme fiable"
rvd 66 RVD # Disque virtuel distant MIT

1.7.2. / Le Contrle d'acheminement et messages de services - ICMP (RFC 791)

1.7.2.1./ Prsentation

ICMP ou Internet Control Message Protocol permet le contrle de flux et la dtection des destinations
inaccessibles. Il permet la redirection des acheminements vers chemins autre que initial par
vrification de la prsence de la machine cible.

ICMP s'appuie sur le support de base fourni par IP comme s'il s'agissait d'un protocole d'une couche
suprieure. Il fait cependant partie intgrante du protocole IP : il est implment dans chaque module
IP.

Le but dICMP est de dtecter lapparition de cas derreur dans IP, pas de le rendre fiable. Le protocole
repose sur un ensemble de messages qui ne sont pas rmis en rponse un message ICMP.

RESEAUX (volume 2) COURS Page 113


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.2.2./ Les messages ICMP

1.7.2.2.1./ Introduction

Les messages ICMP sont vhiculs dans la partie donnes du datagramme IP. Le type de protocole
vaut 1.

Le premier octet de la section de donnes est le champ de type ICMP. Sa valeur dtermine le format du
reste des donnes. Les types de message ICMP sont les suivants :

1.7.2.2.2./ Dtails des messages ICMP

1.7.2.2.2.1./ Le message "destinataire non accessible"

Les champs ICMP sont les suivants :

) Type = 3
) Code : il peut avoir les valeurs donnes dans le tableau qui suit.

RESEAUX (volume 2) COURS Page 114


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.2.2.2.2./ Le message de demande et rponse dcho.

Les champs ICMP sont les suivants :

) Type = 8 (cho) ou 0 (rponse cho).


) Code : 0
) Identificateur : Si code = 0, valeur associant l'cho et la rponse l'cho, peut tre nul.
) Numro de squence : Si le code = 0, valeur associant l'cho et sa rponse, peut tre nul.

Le message dcho et de rponse dcho est le message utilis par la commande ping.

Exemple :

#ping 127.0.0.1

Envoi d'une requte 'ping' sur 127.0.0.1 avec 32 octets de donnes :

Rponse de 127.0.0.1 : octets=32 temps<10 ms TTL=128


Rponse de 127.0.0.1 : octets=32 temps<10 ms TTL=128
Rponse de 127.0.0.1 : octets=32 temps<10 ms TTL=128
Rponse de 127.0.0.1 : octets=32 temps<10 ms TTL=128

Statistiques Ping pour 127.0.0.1 :


Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en milli-secondes :
minimum = 0ms, maximum = 0ms, moyenne = 0ms

RESEAUX (volume 2) COURS Page 115


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.2.2.2.3./ Le message "Dure de vie coule"

Les champs ICMP sont les suivants :

) Type = 11.
) Code : il peut avoir les valeurs donnes dans le tableau qui suit.

1.7.2.2.2.4./ Le message d'erreur de paramtre

Les champs ICMP sont les suivants :

) Type : 12
) Code : si gal 0 alors lerreur est indiqu par le pointeur.
) Pointeur : identifie loctet ou lerreur a t detecte.

1.7.2.2.2.5./ Le message de contrle de flux

Les champs ICMP sont les suivants :

) Type = 4.
) Code = 0

1.7.2.2.2.6./ Le message de redirection

Ce message peut tre envoy par une machine une autre pour lui demander doptimiser sa table de
routage.

RESEAUX (volume 2) COURS Page 116


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les champs ICMP sont les suivants :

)Type = 5.
)Adresse IP du routeur : identifie le routeur vers lequel le trafic doit tre redirig.
) Code : il peut avoir les valeurs donnes dans le tableau qui suit.

1.7.2.2.2.7./ Le message de demande de synchronisation dhorloge

Ce message est utilise par des applications qui doivent se synchroniser.

Les champs ICMP sont les suivants :

) Type : 13 (demande) ou 14 (rponse).

1.7.3. / Le routage des datagrammes

1.7.3.1./ Prsentation

Le routage est le processus qui achemine les datagrammes IP vers le destinataire lorsque celui-ci nest
pas sur le mme rseau que lmetteur. Il est la base de linternet car sans lui TCP/IP serait limit au
seul rseau physique. Le routage est assur par les routeurs ou les passerelles. Un datagramme va
transiter de routeur en routeur jusqu ce quun dentre eux le dlivre au destinataire. Le chemin
parcouru est le rsultat du processus de routage. Le processus de routage est assur par les stations qui
dterminent si le datagramme doit tre dlivr sur le rseau sur lequel elles sont connectes ou sil doit
tre transmis un routeur qui se chargera de son acheminement. Il est aussi assur par le routeur qui
effectue le choix de routage vers dautres routeurs ou des rseaux sur lequel il est directement connect
afin dacheminer le datagramme vers son destinataire.

1.7.3.2./ Les tables de routage

Un routeur ne connat pas le chemin complet pour atteindre la destination. Les tables de routage IP
indiquent gnralement les adresses rseaux. La table de routage contient des couples (Destination,
adresse du prochain Passerelle).

La Destination est une adresse de rseau ou dhte et la passerelle correspond au prochain saut dans le
cheminement vers le rseau destinataire.

RESEAUX (volume 2) COURS Page 117


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.3.3./ Les algorithmes de routage

Si ladresse IP de destination correspond une adresse de rseau directement accessible alors il y a


envoi du datagramme vers le destinataire sur linterface approprie.

Si ladresse IP correspond une adresse de rseau ou dhte renseigne dans la table de routage (route
spcifique ou route par dfaut) alors le datagramme est envoy selon les informations contenues dans
la table de routage.

Si ladresse IP ne correspond aucun rseau connu alors il y a erreur.

Aprs excution de lalgorithme de routage, IP transmet le datagramme via linterface vers lequel le
datagramme doit tre achemin. Le datagramme non modifi est alors achemin avec la MAC adresse
de linterface via laquelle il est envoy la passerelle suivante ou son destinataire.

Si le datagramme est achemin vers une autre passerelle, il est nouveau gr de la mme manire, et
ainsi de suite jusqu sa destination finale.

1.7.4. / Le protocole UDP - User Datagram Protocol - (RFC: 768)

Ce protocole de communication est sans connexion. Il est non fiable car il ny a pas moyen de savoir si
les donnes ont bien t mises.

Lentte du paquet UDP est la suivante :

Les champs sont les suivants :

) Longueur du paquet : en octets.


) Champ de contrle : non obligatoire. Tient compte des adresses ip source et destinataire.

Son utilisation permet une conomie de la connexion et des accuss de rception. La couche
application doit gre elle-mme un service daccuss de rception.

1.7.5. / Le protocole TCP - Transmission Control Protocol - (RFC 793)

1.7.5.1./ Prsentation

Ce protocole fournit service de communication de processus processus Cest un protocole de


communication de matre matre en mode connect. TCP utilise les numro de port pour raliser une
connexion :

Une connexion = (adresse ip, numro de port source), (adresse ip, numro de port destination)

RESEAUX (volume 2) COURS Page 118


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cest un protocole qui est fiable car il fait usage d'un accus de rception.

Ces fonctions principales sont :

) Le transfert de donnes de base.

) La correction d'erreur.

) Le contrle de flux.

) Le multiplexage.

) La gestion de connexions.

) La priorit et la scurit.

1.7.5.2./ Fonctionnalits

Les fonctionnalits du protocole TCP sont les suivantes :

) Le transfert de donnes de base : Cest le transfert dun flux continu de donnes entre deux
machines. Il y a segmentation du flux en paquets ou datagrammes. La fonction Push
accessible lutilisateur permet de forcer la transmission.

) La correction d'erreur : cest une gestion des donnes perdues, errones, dupliques, ou
arrives dans le dsordre. Elle dispose de deux fonctionnalits qui sont la gestion des numros
de squence pour lmission daccus de rception (ACK), et le calcul dun cheksum.

) Le contrle de flux : il permet au destinataire de contrler le volume des donnes envoys par
lmetteur. Il est mis en oeuvre par une information de fentre (nb doctets que peut envoyer
lmetteur) transmise dans chaque accus de rception.

) Le multiplexage : il permet plusieurs processus dune mme machine de communiquer


simultanment. Il repose sur la notion de socket [(Adresse IP, port) = une extrmit de
connexion ou socket] qui peut entrer en jeu dans plusieurs connexions.

) La gestion de connexions : elle est rendu ncessaire par les fonctionnalits de gestion de
contrle de flux et de fiabilit. Une connexion est identifie de faon unique : [(Adresse IP A,
Port A), (Adresse IP B, Port B)]. Il y a tablissement dune connexion avant lchange de
donnes.

) La priorit et la scurit : Cest un mcanisme indiquant le degr de scurit et la priorit des


communications. TCP permet cependant de ne pas traiter ce besoin.

RESEAUX (volume 2) COURS Page 119


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.5.3./ L'entte TCP

Le format de lentte TCP est le suivant :

La description des champs est la suivante :

) Numro de squence : sur 32 bits, il est initialis lors de la connexion et identifie l'ordre des
segments transmis. Si le bit SYN est positionn il reprsente le numro de squence initial (le
premier octet pour numro ISN+1), sinon il reprsente le numro du premier octet par
rapport au dbut de la transmission

) Accus de rception : sur 32 bits, si le bit ACK est positionn il est gal au numro de
squence du prochain octet attendu.

) Longueur dentte : sur 4 bits, cest la taille de l'en-tte TCP exprime en multiple 32 bits.
Elle indique l ou commence les donnes.

) Rserv : 6 bits rservs pour usage futur. Initialis 0.

) Bits de contrle : 6 bits (de gauche droite) dont les significations sont donnes ci-dessous.

. URG: Pointeur de donnes urgentes significatif.


. ACK: Accus de rception significatif.
. PSH: Fonction Push.
. RST: Rinitialisation de la connexion.
. SYN: Synchronisation des numros de squence.
. FIN: Fin de transmission.

) Fentre : sur 16 bits, cest le nombre d'octets que la machine distante peut recevoir. Elle est
relative la position marque dans l'accus de rception.

) Checksum : sur 16 bits, il prend en compte les adresses IP metteur et destinataire.

RESEAUX (volume 2) COURS Page 120


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Pointeur de donnes urgentes : sur 16 bits, si le bit URG est positionn il fournit la position
d'une donne urgente en donnant son dcalage par rapport au numro de squence.

) Options : variable. Ce champ sert en particulier changer la taille maximale dun segment.
Cette taille est classiquement calcule pour que la longueur dun datagramme corresponde au
MTU du rseau (bourrage).

1.7.5.4./ Etablissement de la connexion TCP

TCP tablit une connexion logique entre deux entits distantes. La connexion est tablie par un
mcanisme de poigne de main encore appel three-way handshake

Le mcanisme est le suivant :

) 1) lhte A initie une connexion avec B en indiquant quil utilisera un numro de squence
initial de 320.

) 2) Lhte B rpond A en envoyant son propre numro de squence initial (100) en acquittant
le numro de squence de A (321).

) 3) Lhte A acquitte le numro de squence de lhte B (101).

RESEAUX (volume 2) COURS Page 121


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.7.5.5./ La gestion des accuss de rception

Le schma gnral est le suivant :

TCP conserve en mmoire les octets mis et non acquitts. Si au bout dun certain temps, laccus de
rception nest pas reu, les octets sont r-mis.

Afin damliorer les performances, TCP nattend pas davoir reu laccus de rception dun flot pour
mettre le suivant.

1.7.5.6./ Les applications de TCP

La principale application de ce protocole est le dialogue avec la couche TCP au travers des N de port

Exemple : On trouvera ci-dessous une petite application crite en langage PERL pour ltablissement
dune connexion simple entre un client (console) et un serveur (daffichage).

RESEAUX (volume 2) COURS Page 122


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le serveur (daffichage) :

#!./perl

$pat = 'S n C4 x8';


$inet = 2; Initialisation de la
$this = pack($pat,$inet,2345, 0,0,0,0); connection
select(NS);
$| = 1;
select(stdout);

if (socket(S,2,1,6))
{print &quot;socket ok\n&quot;}
else
{die $!;}

if (bind(S,$this))
{print &quot;bind ok\n&quot;;}
else
{die $!;}

if (listen(S,5))
{print &quot;listen ok\n&quot; ;}
else
{die $!;}

for (;;)
{
print &quot;Listening again\n&quot;
if ($addr = accept(NS,S)) Ecoute
{print &quot;accept ok\n&quot;;}
else
{die $!;}
}

@cnx = unpack($pat,$addr);
$, = ' ';
print @cnx; Connections OK
print &quot;\n&quot;
print &quot;pret a recevoir \n&quot; ;

while (1)
{
if (recv (NS,$buffer,100,0)) Affichage des caractres
{print $buffer; } mis par le client
else
{die ;}
}

RESEAUX (volume 2) COURS Page 123


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le client (console) :

#!./perl

sub GetLine
{
print &quot;=&gt;&quot;;
$Pcar = &lt;STDIN&gt; ;
return $Pcar ;
}

$pat = 'S n C4 x8';


$inet = 2;
$test = 2345;

$SIG{'INT'} = 'dokill';
$this = pack($pat,$inet,0, 172, 30, 24, 100);
$that = pack($pat,$inet,$test, 127, 0, 0, 1);

if (socket(S,2,1,6))
{print &quot;socket ok\n&quot;;}
else
{die $!;}
Initialisation de la
if (bind(S,$this)) connections
{print &quot;bind ok\n&quot;;}
else
{ die $!; }

if (connect(S,$that))
{print &quot;connect ok\n&quot;;}
else
{die $!;}

while (1)
{
Envoie vers le serveur des
$Buffer = GetLine ;
caractres taps au clavier
send (S,$Buffer,0);
}

close (S);

RESEAUX (volume 2) COURS Page 124


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.8. / CONCEPTION DUN PLAN DADRESSAGE


1.8.1. / LE PLAN DADRESSAGE

1.8.1.1./ Prsentation

Un plan dadressage est la description de(s) adresse(s) IP et masque(s) affect au(x) rseau(x) dune
entreprise. Il prcise le routage entre les diffrents rseaux et il est dduit de larchitecture logique du
rseau. Il prend en compte :

) Lorganisation fonctionnelle et spatiale de lentreprise. Par exemple un rseau affects des


divisions ou des agences.
) Des contraintes techniques.

1.8.1.2./ Les diffrents types dadressages

1.8.1.2.1./ Ladressage officiel

Cest lutilisation pour un rseau de ladresse publique fournit par le NIC. Dune faon gnral il est
viter car il vaut mieux utiliser la translation dadresse ou les serveur proxy.

1.8.1.2.2./ Ladressage privatif

Cest lutilisation pour un rseau des adresses publiques existantes sur Internet. Cette technique est
utilisable si on ne sort pas sur Internet . Il vaut mieux prfrer ladressage priv RFC 1918.

1.8.1.2.3./ Ladressage priv : RFC 1918

Cest lutilisation pour un rseau des plages dadresses comprises dans les classes A,B,C rserves.
Elles sont non routables sur lInternet. Ces trois plages dadresses sont les suivantes :

) De 10.0.0.0 10.255.255.255.
) De 172.16.0.0 172.31.255.255.
) De 192.168.0.0 192.168.255.255.

1.8.2. / La RFC 1918

Cette norme t rendu ncessaire pour les raisons suivantes :

) La gnralisation de lutilisation Intra-entreprise des technologies TCP/IP.


) La pnurie des adresses IP d au succs dInternet.
) La charge des tables de routages pour les FAI.

Lobjectif de la RFC 1918 est daugmenter la dure de vie dIPV4.

RESEAUX (volume 2) COURS Page 125


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les solutions mises en uvre pour rsoudre ce problme sont les suivantes :

) Dfinition de plages dadresses privs utilisables par toutes les entreprises.


) Chaque entreprise peut dfinir un plan dadressage interne reposant sur ces plages.

Les limites sont :

) Linterconnexion de deux entreprises ayant chacune son propre plan dadressage.


) La translation dadresses.

1.8.3. / Le paramtrage gnral dun plan dadressage

1.8.3.1./ Introduction

En rgle gnrale, pour configurer un plan dadressage sur les postes de travail dun rseau
dentreprise, on doit effectuer les oprations suivantes :

) Paramtrer ladresse IP et le masque.


) Paramtrer les routes.
) Paramtrer la rsolution de nom.

1.8.3.2./ Le paramtrage de ladresse IP et du masque

Ce paramtrage est ncessaire et suffisant pour permettre la communication IP sur un rseau unique
non ouvert.

La configuration dfinit ladresse du poste et celle du rseau. Par dfaut le masque est celui de la
classe.

Lensemble des stations doivent tre sur le mme rseau IP. Une machine peut avoir plusieurs
adresses IP :

) Plusieurs adresses IP dfinies sur la mme interface rseau (alias).


) Plusieurs interfaces rseau. La machine est une passerelle entre au moins deux rseaux.

Une rgle fondamentale : deux machines ne peuvent avoir la mme adresse IP. Il y a alors un
conflit dadresses.

RESEAUX (volume 2) COURS Page 126


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.8.3.3./ Le paramtrage des routes

Il permet la communication inter-rseau.

Passerelle
ou
GateWay

Une route prcise :

) Ladresse de destination (hte ou un rseau).


) Ladresse de la passerelle (routeur) pour atteindre cette destination.

Exemple :

Destination Masque Passerelle

192.168.2.0 255.255.255.0 192.168.1.245

Chaque station sur le rseau doit prciser la ou les routes utiliser. Les routes peuvent tre statiques
(Windows) ou dynamiques (Unix : dmon Gated avec le protocole RIP). La route par dfaut prcise
un routeur auquel sera envoys tous les paquets qui ne sont pas destination du rseau. Il existe aussi
des routes dites spcialises.

1.8.3.4./ Le Paramtrage de la rsolution de nom

Ce paramtrage permet lutilisation des noms au lieu des adresses IP (alias).

Exemple :

# telnet SVR1

au lieu de :

# telnet 192.168.10.20

ou encore :

# ping SVR1.sous-dom.ex-cnam.fr

RESEAUX (volume 2) COURS Page 127


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La rsolution locale (hosts) est appel le carnet dadresses personnel. La station dispose de sa propre
table de conversion dans un fichier hosts.

Avec la rsolution DNS minitel, la station consulte un serveur pour associer des noms des
adresses IP. Cest lutilisation de NIS ou de DNS.

1.8.3.5./ Exemple de paramtrage

RESEAUX (volume 2) COURS Page 128


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les caractristiques sont les suivantes :

) Rseau en adressage RFC 1918 : 192.168.2.0.


) Passerelle par dfaut ouverte sur linternet (FIREWALL).
) Rseau distant 192.168.10.0 accessible via TRANSPAC (route spcialise).

1.8.4. / Le paramtrage dun plan dadressage sur les postes de travail

1.8.4.1./ Le paramtrage dun poste Windows 9x

1.8.4.1.1./ Configuration de ladresse IP et du masque

Laccs aux proprits TCP/IP du poste de travail sous Windows 9x seffectue en ouvrant le panneau
de configuration puis double-cliquer sur l'icne rseau ou en slectionnant les proprits de licne
voisinage rseau par le menu flottant disponible avec le bouton droit de la souris.

La configuration de ladresse IP seffectue par longlet Adresse IP. On a 2 possibilits : lutilisation


dun serveur DHCP ou spcifier une adresse IP manuellement.

1.8.4.1.2./ Vrification du paramtrage de ladresse IP et du masque

Une vrification peut tre ralise par la commande ipconfig :

C:\WINDOWS>ipconfig

RESEAUX (volume 2) COURS Page 129


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Adresse IP. : 192.168.2.20


Masque de sous-rseau : 255.255.255.0
Passerelle par dfaut : 192.168.2.245
Ipconfig /ALL permet dobtenir des informations supplmentaires

Ou par son quivalent en mode fentr par la commande winipcfg :

C:\WINDOWS> winipcfg

1.8.4.1.3./ La configuration des routes

La configuration de la passerelle par dfaut se trouve dans longlet passerelle.

RESEAUX (volume 2) COURS Page 130


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Lajout de routes additionnelles sffectue avec avec la commande route. La syntaxe est la suivante :

route add destination Netmask masque_passerelle Metric mtrique

Exemple :

C:\WINDOWS\route add 192.168.10.0 Netmask 255.255.255.0 192.168.2.245 Metric 3.

La mtrique permet de privilgier une route par rapport une autre

1.8.4.1.4./ La vrification des routes

) La commande Netstat : Elle affiche les routes dfinies sur la station.

Exemple :

C:\WINDOWS>netstat PRINT

Table de routage
Itinraires actifs :
Adresse rseau Masque rseau Adr. Passerelle Adr. interface Mtrique
0.0.0.0 0.0.0.0 192.168.1.45 192.168.1.2 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 1
192.168.10.0 255.255.255.0 192.168.1.245 192.168.1.2 1

) La commande tracert : Elle fournit dynamiquement la liste des passerelles empruntes pour
atteindre lhte de destination.

Exemple :

C:\WINDOWS>tracert 192.168.10.20

Dtermination de l'itinraire vers 192.168.10.20 avec un maximum de 30 sauts :


1 2 ms 1 ms 1 ms 192.168.1.245
2 157 ms 158 ms 161 ms 10.10.1.2
3 183 ms 172 ms 179 ms 192.168.10.20

Itinraire dtermin.

1.8.4.1.5./ La rsolution de noms

Pour la rsolution locale, les entres sont en relatif ou complte dans le fichier c:\windows\hosts

Exemple :

172.30.18.37 Host1
172.30.18.37 Host2.essai.fr

RESEAUX (volume 2) COURS Page 131


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour la rsolution distante, la rsolution de nom seffectue dans lordre suivant : les donnes du
fichier host en local dabords, puis les donnes sur le serveur DNS. Pour savoir si une rsolution de
nom est locale ou distante on utilise la commande ping comme suit :

C:\WINDOWS\ping servA pinging servA [195.10.16.3] rsolution locale.


C:\WINDOWS\ping servA pinging servA.ex-cnam.fr [195.10.16.3] rsolution distante.

Nota : linverse de Windows, sur les systmes UNIX les priorits et lordre des rsolutions de nom
sont configurables.

Exemples :

) Un ping ServA partir de la machine host1 excute une demande de rsolution de


servA.sous-dom.ex-cnam.fr. La requte DNS est envoy au serveur 192.168.2.100. Sil ny a
pas de rponse la requte est envoye au serveur 192.168.2.101. Si la rponse est ngative on
recherche alors servA.ex-cnam.fr.

) Un ping www.bull.net partir de la machine host1 demande une rsolution de


www.bull.net. La requte DNS est envoy au serveur 192.168.2.100. Si lentre est dans le
cache du serveur on a alors une rponse, sinon la requte est renvoy au serveur de domaine
suprieur (fr).

1.8.4.2./ Le paramtrage dune station LINUX

Sous LINUX pour lensemble des opration, loprateur dispose la fois des commande en mode
console et dune interface graphique sous X-Windows. Les copies dcran qui sont prsent ici sont
issues dune distribution LINUX MANDRAKE et de lutilitaire LinuxConf. Ce dernier est accessible
dans le menu K/Configurations/Rseaux de lenvironnement de bureau KDE.

1.8.4.2.1./ Configuration de ladresse IP et du masque

Avec lutilitaire LinuxConf, on obtien les boites de dialogue suivantes :

RESEAUX (volume 2) COURS Page 132


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

En mode console, on ralise cette fonction au moyen de la commande ifconfig :

#ifconfig interface adresse-IP

) Activation de linterface locale (loopback) puis vrification :

# ifconfig lo 127.0.0.1
# ifconfig lo
lo Lien encap : Boucle locale
inet adr : 127.0.0.1 Masque : 255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
Paquets Reus : 0 erreurs : 0 jets : 0 dbordements : 0
Paquets transmis : 0 erreurs : 0 jets : 0 dbordements : 0

# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.0 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.0 ms
^C
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

) Configuration de linterface ethernet puis vrification :

# ifconfig eth0 192.168.2.20


# ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:50:DA:36:3D:6E
inet adr: 192.168.2.20 Bcast:192.168.2.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Paquets Reus : 0 erreurs : 0 jets : 0 dbordements : 0
Paquets transmis : 0 erreurs : 0 jets : 0 dbordements : 0
Interruption : 5 Adresse de base : 0xe400

# ping 192.168.2.20
PING 192.168.2.20 (192.168.2.20): 56 data bytes
64 bytes from 192.168.2.20: icmp_seq=0 ttl=255 time=0.0 ms
64 bytes from 192.168.2.20: icmp_seq=1 ttl=255 time=0.0 ms
^C
--- 192.168.2.20 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

) Ajout dun alias :

# ifconfig eth0 :1 192.168.2.21

RESEAUX (volume 2) COURS Page 133


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour ajouter un alias avec LinuxConf on utilise la boite de dialogue suivante :

Un alias permet de faire rpondre sur le rseau une interface avec plusieurs adresses IP.

) Configuration gnrale de linterface :

#ifconfig <interface> [Inet] <@ip> [netmask <masque>] [broadcast <@broadcast>]

Exemple :

#ifconfig eth0 inet 192.168.2.1 netmask 255.255.255.0 broadcast 192.268.2.255

Le nom des interfaces diffre en fonction des systmes UNIX :

Interface locale : lo0 ou lo.


Interface Ethernet diffrent selon les constructeurs :

LINUX eth0
Sun, Solaris le0
AIX en0
Digital ln0
HP-Unix lan0

1.8.4.2.2./ La configuration des routes

Avec LinuxConf, on utilise les boites de dialogue suivantes :

RESEAUX (volume 2) COURS Page 134


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

En mode console, la configuration est ralise au moyen de la commande route. La syntaxe est la
suivante :

) Ajout :

route add {-host|-net} [netmask masque] [gw passerelle] [metric Mtrique]

) Retrait :

route del {-host|-net} Cible [gw passerelle] [metric Mtrique]

Pour la configuration de la route par dfaut on effectue les opration suivantes :

) Ajout :

# route add -net 0.0.0.0 gw 192.168.2.45

) Vrification :

# netstat rn

Table de routage IP du noyau


Destination Passerelle Genmask Indic MSS Fentre irtt Iface
192.168.2.20 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.45 0.0.0.0 UG 0 0 0 eth0

Pour la configuration dune route spcialise on effectue les opration suivantes :

) Ajout :

# route add -net 192.168.10.0 mask 255.255.255.0 gw 192.168.2.245

RESEAUX (volume 2) COURS Page 135


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Vrification :

# netstat -rn

Table de routage IP du noyau


Destination Passerelle Genmask Indic MSS Fentre irtt Iface
192.168.2.20 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
192.168.10.0 192.168.2.245 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 192.168.2.45 0.0.0.0 UG 0 0 0 eth0

Nota : la colonne Indic (indication) prsente ltat de linterface :

U : UP Actif.
H : Host interface maitre.
G : Gateway interface passerelle.

1.8.4.2.3./ La vrification des routes

Avec LinuxConf on retrouve ces information dans la configuration des adresses IP et des masques.

En mode console, on utilise la commande Netstat. Elle affiche les routes dfinies sur la station.

Exemple :

# netstat -rn
Tables de routage
Destination/Groups Gateway Flags Refs Use If PMTU Exp

Arborescence de la route pour la famille de protocoles 2 (Internet):


Default 172.24.20.245 UG 50 2224310 en0 - -
1/8 1.0.0.1 U 4 3262 en1 - -
127/8 127.0.0.1 U 7 95945 lo0 - -
172.24.20/23 172.24.20.2 U 21 11605438 en0 - -
194.32.200/24 172.24.20.246 UGD 138 148347 en0 - -

Nota : la colonne Flags (drapeau) prsente ltat de linterface :

U : UP Actif.
D : Dynamic interface en routage dynamique.
G : Gateway interface passerelle.

La commande traceroute fournit dynamiquement la liste des passerelles empruntes pour atteindre
lhte de destination.

1.8.4.2.4./ La rsolution de noms

Avec LinuxConf, on utilise les boites de dialogue suivantes :

RESEAUX (volume 2) COURS Page 136


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour la rsolution locale, les entres sont dans le fichier /etc/hosts

# cat /etc/hosts
192.168.2.20 host1.ex-cnam.fr host1
192.168.2.245 r1.sous-dom.ex-cnam.fr r1
192.168.2.2 svr1.sous-dom.ex-cnam.fr svr1

Pour la rsolution distante, le fichier /etc/resolv.conf prcise le domaine, lordre de recherche des
serveurs DNS, et lordre de recherche des domaines.

Exemple :

# cat resolv.conf
domain ex-cnam.fr
search sous-dom.ex-cnam.fr ex-cnam.fr
nameserver 172.30.16.22
nameserver 172.30.16.21

RESEAUX (volume 2) COURS Page 137


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour configurer lordre de rsolution, il faut savoir que :

) hosts et DNS peuvent tre utiliss simultanment.


) On a la possibilit de prciser si la rsolution se fait en recherchant dans le fichier hosts puis
dans le DNS ou dans le DNS, puis dans le fichier hosts.

Exemples :

Fichier /etc/host.conf sous LINUX :

# cat /etc/host.conf
hosts=local,bind

Fichier /etc/svc.conf sous Digital Unix :

# cat /etc/svc.conf
hosts=local,bind

Fichier /etc/netsvc.conf sous AIX :

# cat /etc/netsvc.conf
order hosts,bind

1.8.4.2.5./ Synthse des fichiers systmes

Pour la rsolution locale : /etc/hosts


Pour la rsolution DNS: /etc/resolv.conf
Pour lordre de rsolution (local, distant) : /etc/hosts.conf (LINUX)
/etc/svc.conf (Digital)
/etc/netsvc.conf (AIX)

Les fichiers systmes importants pour le dmarrage du rseau :

/etc/rc.d/init.d/network (LINUX)
/etc/init.d/network ou /etc/init.d/tcp (System 5)
/etc/rc.net (AIX)

1.8.4.3./ Le paramtrage dune station Windows NT

1.8.4.3.1./ Configuration de ladresse IP et du masque

On accde aux proprits TCP/IP par un clic du bouton droit de la souris sur licne du voisinage
rseau ou par le menu Dmarrer/paramtres/panneau de configuration/Rseau.

RESEAUX (volume 2) COURS Page 138


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.8.4.3.2./ La configuration des routes

On accde la configuration des route par le bouton avanc de longlet adresse IP.

RESEAUX (volume 2) COURS Page 139


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.8.4.3.3./ La rsolution de noms

Pour la rsolution locale, les entres sont dans les fichiers

C:\WINNT\SYSTEM\hosts
C:\WINNT\SYSTEM\lmhosts

Pour la rsolution distante, la boite de dialogue est la suivante :

RESEAUX (volume 2) COURS Page 140


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9. / LA RESOLUTION DE NOM - DNS


1.9.1. / Introduction

LInternet est constitu de dizaines de milliers de rseaux et de millions de machines. Laccs aux
machines se fait par leur adresse IP et il est impossible aux humains de manipuler les adresses (IP) des
machines auxquelles ils veulent accder via leur interface rseau.

Le systme DNS permet didentifier de faon unique une machine par son nom. Celui ci est compos
du nom dhte et du nom du rseau sur lequel elle se trouve. Par exemple : www.insee.fr

Le systme est mis en oeuvre par une base de donnes distribue au niveau mondial. Les noms sont
grs par un organisme mondial le NIC et par des organismes dlgus comme lAFNIC en France.

1.9.2. / Prsentation

Le DNS a t conu par Paul Mockapetris partir des RFC882 et RFC883. Les spcifications actuelles
sont les RFC1033 et RFC1034.

Il est bas sur le modle client / serveur :

) Le DNS est une immense base de donnes distribue.


) Des serveurs grent des portions de la base de donnes.
) La base de donnes est accessible avec un mcanisme dinterrogation client-serveur.

Le DNS offre les mcanismes de rplication qui permettent une bonne fiabilit, et les mcanismes de
caches qui augmentent la performance du systme.

Exemple : connexion via un navigateur lURL http://www.insee.fr

RESEAUX (volume 2) COURS Page 141


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le navigateur demande la traduction du nom www.insee.fr en adresse IP auprs du serveur DNS


local : cest la rsolution de nom. Le DNS local interroge ventuellement dautres serveurs de nom

Le serveur de nom retourne ladresse IP au navigateur (194.254.38.80) puis ce dernier se connecte au


serveur (httpd) comme si ladresse IP avait t spcifie directement dans lURL du navigateur.

1.9.3. / Lespace de nomage

Cest une organisation similaire un systme de gestion de fichiers. Un exemple de structure est donn
ci dessous :

Chaque nud est identifi (index) par un nom. La racine porte le nom vide . Un nud est le point
de dpart dun nouveau sous-arbre et chaque sous arbre reprsente une partie de la base de donne.

Les noms constituent un chemin dans un arbre invers. La profondeur est limite 127 niveaux. Les
feuilles de l'arbre reprsentent en gnral les htes.

1.9.4. / Les noms

Chaque nud ou feuille est identifi par un nom sans ".". La taille maximum d'un nom est de 63
caractres majuscules et minuscules non significatives. Il ny a pas de rgle sur les noms eux-mmes.

Un nom complet est la squence de noms qui va du nud (feuille) jusqu' la racine. La lecture se fait
de gauche droite avec ajout d'un point entre deux noms.

La partie la plus significative se situe gauche comme lindique la figure ci dessous :

+ spcifique - spcifique

Mac1.personnel.exemple.fr

Un nom absolu est appel Full Qualified Domain Name. Les nuds ou feuilles d'un mme parent
doivent tre uniques.

RESEAUX (volume 2) COURS Page 142


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.5. / Les domaines

Un domaine est un sous-arbre de lespace nom de domaine. Un nom de domaine est la squence des
noms depuis le nud jusqu la racine comme lindique la figure suivante :

Le domaine contient soit :

) Des nuds : sous-domaines


) Des feuilles : gnralement des htes

1.9.6. / Dlgation

Le systme DNS est un systme de bases de donnes rparti au niveau international. Cette rpartition
est permise grce la dlgation de domaine.

Tout domaine est rattach une organisation qui constitue une autorit administrative. Une
organisation peut :

) Dcouper son domaine en sous-domaines.


) Dlguer les sous-domaines dautres organisations.

Ces organisations dlgues peuvent :

) Dcouper leur sous-domaine en sous-domaines.


) Dlguer les sous-domaines d'autres organisations.

Le domaine de l'organisation qui dlgue s'appelle le domaine parent. Il contient des pointeurs vers
les sous-domaines dlgus. Attention, il est possible de crer des sous-domaines sans pour autant
dlguer.

RESEAUX (volume 2) COURS Page 143


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Un exemple de dlgation peut tre le suivant :

L'organisation responsable du domaine fr dlgue la gestion de domaines dans le domaine fr d'autres


organisations (ex : insee, gov). L'organisation responsable du domaine gov dlgue des
administrations la gestion de sous-domaines (ex : quipement, ducation, intrieur).

1.9.7. / Les domaines et les zones

Les informations relatives au domaine sont stockes par des serveurs de noms. Dans un environnement
dlgu, il existe plusieurs serveurs de noms qui grent des zones de domaines. Les serveurs qui grent
les donnes d'une zone ont l'autorit sur cette zone.

La diffrence entre zone et domaines est la suivante : une zone contient des machines et un domaine
contient plusieurs zones. De plus, une zone contient les noms contenus dans le domaine l'exclusion
de ceux grs dans les sous-domaines dlgus.

RESEAUX (volume 2) COURS Page 144


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.8. / Les domaines de niveau suprieur

Les domaines de l'espace de nommage sont classs par niveau (Level). On distingue principalement les
domaines de niveau suprieur ou Top Level Domain (TLD). Les autres domaines dont appels
domaines de niveau n. Initialement, 7 TLD ont t dfinis la racine :

com organisations commerciales : cisco.com


edu organisations universitaires : mit.edu, berkeley.edu
gov organisations gouvernementales : nsf.gov, nasa.gov
mil organisations militaires : army.mil
net organisations rseau Internet : worldnet.net
org organisations non commerciales : eff.org
int organisations internationales : nato.int

Il existe aussi le cas particulier du domaine arpa. Il est utilis lors du passage du hosts.txt vers DNS. Il
est rserv aujourd'hui la rsolution de nom inverse.

Les domaines de niveau suprieur sont aujourd'hui complts par d'autres et appels Generic Top
Level Domain (gTLD). Afin de prendre en compte le succs de l'internet il y a eu cration de
nouveaux domaines et des dclarations de gTLD gographiques (Pays).

Les organisations nationales ont un nom abrg sur deux caractres respectant la norme ISO 3166. Par
exemple : fr, ad, uk, it, cu, us, au, ca, de, etcDes divisions en sous-domaines peuvent exister dans
certains pays comme edu.au, com.au, ou co.uk, ac.uk, etc Il ny a pas de division en France.

Certaines organisations nationales peuvent tre gres administrativement par un consortium : le RIPE

1.9.9. / La rsolution de nom

Elle consiste obtenir l'adresse IP partir du nom. Dans chaque zone, il existe des serveurs de noms
qui ont autorit sur celle-ci. Un serveur de nom qui a autorit sur cette zone connat l'ensemble des
correspondances Nom/adresse IP pour cette zone.

Le ou les serveurs de nom d'une zone sont accessibles partir de leur adresse IP. Ils sont
potentiellement consultables de n'importe quel point de l'internet.

RESEAUX (volume 2) COURS Page 145


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.10./ La rsolution inverse

Le DNS est organis pour obtenir une adresse IP partir d'un nom. La rsolution inverse consiste
raliser le contraire. Cette fonction existe car il permet de faciliter la comprhension des humains
(fichiers de traces) et permet la mise en uvre de systme de scurit (fichiers .rhosts).

Un premier principe de fonctionnement de la rsolution inverse est bas sur la recherche exhaustive
dans l'espace de nommage. Cependant, lutilisation des adresses comme des noms donne de meilleur
rsultats surtout si on les organise dans un domaine particulier. Cest le domaine in-addr.arpa.

Dans ce domaine, les noms des nuds correspondent aux octets de ladresse IP en ordre inverse. Le
domaine in-addr.arpa a potentiellement 256 sous-domaines avec 3 niveaux de sous-domaines. Chacun
de ces sous-domaines a 256 sous-domaines dont le 4me niveau assure la correspondance adresse IP /
NOM.

Le nom de domaine associ la rsolution inverse est not selon ladresse IP inverse. La rsolution
dun nom de domaine se fait de droite gauche. Par exemple :

+ spcifique - spcifique

83.252.83.195.in-addr.arpa

Nota : sous LINUX les commande whois adresse IP ou nslookup adresse IP permettent de connatre
lalias internet dun domaine.

RESEAUX (volume 2) COURS Page 146


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.11./ Les mcanismes de rsolution

1.9.11.1./ Exemple

Pour illustrer les mcanismes de rsolution on prendra lexemple ci dessous :

Les machines sont relies entre elles dans un mme domaine logiquement et non par adressage.

1.9.11.2./ Les types dinterrogation

Il existe deux types d'interrogation : rcursive ou itrative .

L interrogation rcursive oblige le serveur fournir une rponse (ngative ou positive) et le resolver
ou client de base utilise ce type de requte.

Linterrogation itrative oblige le serveur rpondre du mieux qu'il peut avec ce qu'il sait. S'il ne
connat pas la rponse, il fournit des informations susceptibles d'aider le demandeur dans sa recherche.

1.9.11.3./ La mmoire cache

Cest un mcanisme qui amliore les performances du DNS. Un serveur qui a reu une requte
rcursive effectue un grand nombre d'interrogations. Il apprend et mmorise l'adresse des serveurs
ayant autorit sur une zone et l'adresse IP des htes recherchs.

Une bonne mise en oeuvre d'un cache ngatif peut tre ralis avec bind 4.9

RESEAUX (volume 2) COURS Page 147


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.11.4./ La dure de vie (TTL Time To Live)

Il est ncessaire pour des raisons de cohrence de ne pas conserver ternellement les informations
caches. L'administrateur d'une zone fournit une TTL qui indique chaque serveur la dure de
conservation dans le cache des donnes. Le choix d'une TTL est un compromis entre cohrence et
performance.

1.9.12./ Larchitecture logicielle du DNS

1.9.12.1./ Prsentation

L'architecture logicielle du DNS repose sur 3 grands composants qui sont :

) Le resolver : Cest un ensemble de routines logicielles (librairie) qui interroge les serveurs de
noms. Le resolver n'est pas un processus distinct.

) Le serveur de nom : il gre les donnes d'un segment dans lespace nom de domaine. Il
excute un processus particulier rpondant aux questions de conversion nom / adresse IP.

) Les enregistrements de ressources : les donnes associes au nom sont contenues dans des
enregistrements de ressources (Resource Records ou RR). Les enregistrements de ressources
sont grs par les serveurs de nom.

1.9.12.2./ Les serveurs de noms

1.9.12.2.1./ Prsentation

Les serveurs de nom enregistrent les donnes propres une partie de lespace nom de domaine dans
une zone. Il autorit administrative sur cette zone. Un serveur de nom peut avoir autorit sur
plusieurs zones. Une zone contient toutes les informations dun domaine sauf celles qui sont
dlgues.

Il existe 3 types de serveurs de noms :

) Le serveur de nom primaire : il gre la base de donnes de la zone dont il a lautorit


administrative.

) Le serveur de nom secondaire : l'instar du serveur primaire, il a l'autorit sur la zone et


obtient les donnes de la zone via un autre serveur (primaire ou secondaire) de nom qui a
lautorit sur cette zone. Il interroge priodiquement le serveur de nom et met jour les
donnes partir de celui-ci (transfert de zone). Les serveurs de nom secondaires peuvent tre
prcises en premier dans l'ordre de recherche pour les resolvers.

) Le serveur cache : Il n'a autorit sur aucun domaine et met en oeuvre la seule fonction de
cache.

On met en oeuvre gnralement un serveur primaire et gnralement plusieurs secondaires pour faire
de la redondance. Un serveur de nom peut tre primaire pour une ou plusieurs zones, secondaire pour
dautre(s) et cache.

RESEAUX (volume 2) COURS Page 148


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.12.2.2./ La mise jour des serveurs

Les fichiers de base de donnes du DNS (les fichiers de zone) sont dots d'un numro de version.
Chaque fois que l'administrateur modifie des donnes de la zone, il modifie des fichiers grs sur le
serveur primaire en incrmentant un numro de version.

Le serveur secondaire interroge rgulirement le serveur matre (mcanisme de polling) sur ce numro
de version. L'interrogation se fait selon un temps de rafrachissement de zone "Refresh Time" et porte
sur la valeur de ce numro de version qui est compar avec celui dont dispose le serveur secondaire.

Si le numro de version augment, le serveur secondaire initie un transfert de zone. En absence de


rponse, le serveur secondaire r-interroge le serveur matre au bout d'un temps paramtrable ("Retry
Time").

En cas d'indisponibilit prolong du serveur matre, le serveur secondaire continue ses tentatives
jusqu' expiration de la validit des enregistrements de son fichier de zone ('Expire Time').

1.9.12.2.3./ Le resolver

Les resolvers sont les processus clients qui interrogent les serveurs de nom. Ils contactent un ou des
serveurs de noms dont la ou les adresses IP sont configurs sur le poste client. Ils interprte les
rponses et retourne l'adresse IP au logiciel appelant.

Le serveur de nom interroge ventuellement dautres serveurs de nom s'il na pas autorit sur la zone
requise ou sil ne dispose pas des informations dans son cache. Le serveur de nom peut ventuellement
interroger un serveur racine.

1.9.12.2.4./ Les serveurs racine

Les serveurs racine connaissent les serveurs de nom ayant autorit sur tous les TLD. Ils connaissent au
moins les serveurs de noms pouvant rsoudre le premier niveau (.net, .edu, .fr, etc.). L'difice du
systme DNS repose sur ces serveurs racine. Il y a une ncessit de redondance : actuellement il existe
17 serveurs racines.

Les serveurs racines sont parpills sur la plante. Chaque serveur reoit plusieurs dizaines de milliers
de requtes par heures.

1.9.12.2.5./ Lenregistrement des ressources

1.9.12.2.5.1./ Introduction

Les enregistrements de ressources sont contenus dans des fichiers grs par le serveur de nom. On
trouve principalement :

) Un fichier de configuration (sous LINUX : /etc/named.conf).


) Un fichier de donnes (sous LINUX : /etc/named.data).
) Un fichier de rsolution inverse (sous LINUX : /etc/named.rev).
) Un fichier cache (sous LINUX : /etc/named.boot).
) Un fichier local.

RESEAUX (volume 2) COURS Page 149


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les types denregistrements sont les suivants :

SOA Start Of Authority dcrit lautorit administrative.


NS Name Server liste de serveurs de noms.
A Adresse correspondance nom adresse.
PTR PoinTeR correspondance adresse nom.
CNAME Canonical NAME alias.
TXT TeXTe commentaires.
HINFO Hosts INFO info sur le matriel ou logiciel.

1.9.12.2.5.2./ Le champs SOA Start Of Authority

Il spcifie que ce serveur de nom a autorit sur le domaine (meilleure source d'information sur celui-ci)
Il donne le premier enregistrement de chacun des fichiers DNS et il dfinit des caractristiques de
gestion du domaine. Par exemple :

;
; domaine exemple.fr.
;
@ IN SOA dns1.exemple.fr. hosmaster.exemple.fr.
(
100 ; serial number
3600 ; refresh
600 ; retry
86400 ; expire
3600 ; minimum TTL
)

Le premier nom aprs SOA est le nom du serveur matre primaire. Le nom suivant est l'adresse de
l'administrateur du domaine (ici : hostmaster@exemple.fr)

1.9.12.2.5.3./ Le champs NS Name Server

Les champs NS suivent gnralement le champ SOA. Ils prcisent les serveurs de noms qui ont
autorit sur le domaine. Par exemple :

;
; Zone NS records
;
exemple.fr IN NS dns1.exemple.fr
exemple.fr IN NS dns2.exemple.fr

Dans l'exemple ci-dessus les serveurs de nom sont implants sur les htes dns1 et dns2.
dns2.exemple.fr permet dinformer le serveur secondaire des changements sur le serveur primaire.

RESEAUX (volume 2) COURS Page 150


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.12.2.5.4./ Le champs A Adresser

Ce champs associe le nom l'adresse IP. Par exemple :

dns1.exemple.fr. IN A 193.243.10.201
dns2.exemple.fr. IN A 193.243.10.202
dijon.exemple.fr. IN A 193.243.10.1
nantes.exemple.fr. IN A 193.243.10.2
lyon.exemple.fr. IN A 193.243.10.3
rose.exemple.fr. IN A 193.243.10.73
lys.exemple.fr. IN A 193.243.10.74
;
; Hte multi-domicili
;
roblochon.exemple.fr. IN A 195.276.11.23
roblochon.exemple.fr. IN A 193.243.10.75

Un autre exemple :

$ORIGIN exemple.fr.
loopback IN A 127.0.0.1
dns1 IN A 193.243.10.201

1.9.12.2.5.5./ Le champs CNAME - Canonical NAME (alias)

Ce champs permet de crer des synonymes. Par exemple :

;
; Alias
;
glaieul.exemple.fr. IN CNAME nantes.exemple.fr.
www IN CNAME nantes.exemple.fr.
ftp IN CNAME nantes.exemple.fr.

On utilise ce champs lorsque plusieurs applications sont sur la mme machine ou pour nommer des
applications plutt que la machine qui les supporte. Cette technique permet de dplacer l'application
sur une autre machine sans se soucier des postes clients.

1.9.12.2.5.6./ Le champs PTR - PoinTeR

Ce champs est prsents uniquement dans le fichier reverse. Par exemple :

201.243.193 IN PTR dns1.exemple.fr.


202.10.243.193 IN PTR dns2.exemple.fr.
1.10.243.193 IN PTR dijon.exemple.fr.
@IP 2.10.243.193 IN PTR nantes.exemple.fr.
inverses 3.10.243.193 IN PTR lyon.exemple.fr.
73.10.243.193 IN PTR rose.exemple.fr.
74.10.243.193 IN PTR lys.exemple.fr.

RESEAUX (volume 2) COURS Page 151


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.12.2.5.7./ Lenregistrement MX

Cest le Mail eXchanger. Il permet d'adresser les mails sur la base du nom de domaine plutt que sur
ladresse du ou des serveurs de messagerie. Les adresses sont dans le domaine et ne sont pas relatives
un serveur de messagerie. Par exemple, au lieu davoir pierre.dupont@smtp.exemple.fr on a
pierre.dupont@exemple.fr.

L'metteur n'a pas connatre la machine serveur de messagerie. La messagerie peut tre dplacer vers
un autre serveur avec un nom diffrent sans consquence pour le client. Il permet la gestion de
plusieurs serveurs de mail avec priorit dans lordre de consultation des serveurs.

Les enregistrements MX sont consults par les mailers (SMTP client).

Exemple :

exemple.fr IN MX 1 smtp1.exemple.fr
exemple.fr IN MX 2 smtp2.exemple.fr

Ordre de priorit dans le


cas dune indisponibilit
dun serveur SMTP.

1.9.12.3./ Les donnes mise en cache sur les serveurs racines

Un exemple de contenu du cache sur un serveur racine est le suivant :

;
; Cache file:
;
. IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. IN A 198.41.0.4
. IN NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. IN A 128.9.0.107
. IN NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. IN A 192.33.4.12
. IN NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. IN A 128.8.10.90
. IN NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. IN A 192.203.230.10
. IN NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. IN A 39.13.229.241
. IN NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. IN A 192.112.36.4
. IN NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. IN A 128.63.2.53
. IN NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. IN A 192.36.148.17

RESEAUX (volume 2) COURS Page 152


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.12.4. /Les domaines virtuels

Une machine peut grer plusieurs domaines (zones) sur un mme serveur DNS. Lorsque ces domaines
sont associs des adresses faisant dj partie dun autre domaine, ils sont dits virtuels.

1.9.13./ La mise en uvre dun DNS

1.9.13.1./ Gnralits

Les caractristiques de la plate-forme serveur de nom sont les suivantes :

) Pour un serveur LINUX avec le logiciel BIND, un 486 suffit !


) Une plate-forme UNIX ou NT.
) Mmoire minimum 16 MB.
) Doit tre oprationnelle 24/24 h.

Les fichiers paramtrer sont les suivants :

) Fichier de configuration.
) Fichier de correspondance nom/adresse IP.
) Fichier de correspondance inverse.
) Vrifier les configuration diffrente entre version BIND 4.9 et 8.2.

Pour la mise en oeuvre du service de nom il faut :

) Sur les stations clientes : spcifier l'adresse IP d'un ou plusieurs serveurs de nom et
ventuellement leur domaine.
) Sur la machine serveur de nom : 127.0.0.1.
) Sous LINUX : crer le fichier /etc/resolv.conf.
) Sous WINNT et WIN9x : configurer les proprits TCP/IP.

1.9.13.2./ Le serveur de nom de domaine sous LINUX : BIND

BIND (Berkeley Internet Name Domain) est une implmentation des protocoles DNS (domain
Name System). Le logiciel BIND inclus un serveur DNS (named) dont le rle est de rsoudre les noms
dhtes en leur adresses IP, ainsi quune Interface de programmation permettant le contrle du serveur
par des applications.

Le serveur DNS BIND peut tre utilis sur des stations de travail pour faire office de cache de nom
dhte, mais il est gnralement utilis sur des serveurs ddis pour la rsolution de nom sur un rseau
local.

1.9.13.3./ La scurit des serveurs DNS

Pour les version de BIND :

) BIND 4 : utiliser la dernire version 4.8.7.


) BIND 8 : partir de la version 8.1.2.

RESEAUX (volume 2) COURS Page 153


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour les contrles des requtes il faut utiliser les structure allow query de Bind 8. Par exemple :

Options
{
Allow query { 193.291.10/24; 172.30.64/23; };
};

Les contrles de transfert de zones permettent de nautoriser que les serveurs secondaires raliser le
transfert de zone. Par exemple :

Zone "exemple.fr"
{
Type master
File "named.data"
Allow-transfer { 193.243.10.202; }
};

Dans tous les cas, il faut interdire lexcution de BIND par un utilisateur non privilgi.

1.9.13.4./ Exemple de fichier de configuration

Le fichier de configuration utilis par BIND 8.X est /etc/named.conf au lieu de /etc/named.boot. La
localisation des autres fichiers DNS est prcise dans ce fichier. Par exemple :

RESEAUX (volume 2) COURS Page 154


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.13.5./ Exemple de fichier de donnes

Cest le fichier /etc/named.data. Par exemple :

1.9.13.6./ Exemple de fichier de rsolution inverse

Cest le fichier /etc/named.rev. Par exemple :

RESEAUX (volume 2) COURS Page 155


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.9.13.7./ Exemple de fichier local.

1.9.13.8./ Exemple de fichier de configuration du serveur secondaire

Cest le fichier /etc/named/exemple2.fr.conf qui est dfini dans le fichier /etc/named.conf par la
directive include. Par exemple :

1.9.13.9./ La configuration de BIND sous LINUX

Sous LINUX et un grand nombre dUNIX commerciaux, le logiciel WEBMIN permet de configurer
pratiquement toutes les fonctionnalits du systme en tant que poste de travail ou de serveur. Ce
logiciel est une implmentation WEB dune interface de configuration via un butineur avec un accs
scurit.

RESEAUX (volume 2) COURS Page 156


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cette politique de configuration via le rseau, permet une maintenance distance sans interface
propritaire et sans un serveur X-WINDOWS. On peut donc configurer un serveur fonctionnant en
mode texte laide dune interface WEB trs intuitive. Ce type de serveur ne disposant pas dinterface
graphique en local dispose alors dun nombre de ressources systmes plus importantes pour la
ralisation des tches ddies au serveur.

Cependant, le logiciel WEBMIN ncessite la mise en uvre dun serveur WEB du type Apache qui
peut dans certain cas poser des problmes de scurit. En effet, cela ncessite louverture de ports
supplmentaires sur lextrieur.

Parmi les nombreuses possibilits du logiciel WEBMIN, la configuration dun serveur DNS
fonctionnant sous BIND 4 ou BIND 8 est possible, comme le montre les copies dcran qui suivent.

RESEAUX (volume 2) COURS Page 157


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 158


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 159


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 160


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 161


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10. / LES RESEAUX ET LA SECURITE


1.10.1./ Les services de scurit en matire de protection des donnes

1.10.1.1./ Introduction

En matire d'change de donnes, il existe 3 services qui visent assurer la confidentialit des
donnes, l'intgrit des donnes, et l'authentification des donnes ou des intervenants.

La confidentialit assure que seules les personnes autorises peuvent prendre connaissance des
donnes changes. De plus elle protge contre l'analyse du trafic.

L'intgrit assure que seules les personnes autorises peuvent modifier les donnes changes. Il
existe deux types d'intgrit qui sont :

) En mode connect : permet de dtecter la perte de paquet.


) En mode non connect : permet de dtecter les modifications sur un paquet, mais pas sur
l'ordre de ceux-ci.

L'authentification d'un tiers vise s'assurer de l'identit de celui-ci. Lauthentification de la source de


donnes permet de vrifier que les donnes ont bien t mises par l'metteur.

1.10.1.2./ Le chiffrement

1.10.1.2.1./ Gnralits

Le chiffrement ou cryptographie consiste coder un message en clair en un message indchiffrable.


Seule la connaissance d'un secret permet le dcodage du message. Les mcanismes d'intgrit, de
confidentialit et d'authentification repose sur le chiffrement.

Il existe deux grandes catgories de chiffrement qui sont :

) Le chiffrement cl secrte.
) Le chiffrement cl publique et prive.

1.10.1.2.2./ Le chiffrement cl secrte

Il permet le chiffrement grce une mme cl partage par l'metteur et le rcepteur. Il est exploit
depuis plusieurs annes.

Il existe diffrents algorithmes qui sont :

) DES : Data Encryption : le standard le plus connu.


) 3DES.
) RC4, RC5 : utilis sur Internet.
) IDEA.

Cest algorithmes permettent la mises en oeuvre facile et performance. Cependant, les changes des
cls doit se faire pralablement de faon scurise. Les algorithmes cls secrtes sont utiliss pour
garantir la confidentialit des donnes.

RESEAUX (volume 2) COURS Page 162


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le mcanisme est le suivant :

) A et B se mettent d'accord sur un mme algorithme et une mme cl secrte.


) A envoie le message B en utilisant l'algorithme et la cl choisis en commun.
) B dcode en utilisant la mme cl.

Remarque : en cas d'interception, la confidentialit du message repose sur le chiffrement (algorithme +


cl). Celui-ci doit donc rester secret (particulirement pour la cl) et tre suffisamment performant
pour rendre impossible ou extrmement coteux le dchiffrement du message.

Lalgorithme DES ou Data Encryption Standard est l'algorithme le plus utilis. Il opre sur des blocs
de donnes de 64 octets. La cl est de 64 bits dont 8 bits sont de la parit.

Lalgorithme 3DES est conu pour rendre encore plus difficile une attaque en force. Cest un
algorithme qui crypte, dcrypte, puis crypte. Il peut tre utilis avec une, deux ou trois cls. La cl est
lquivalent DES modulo le temps de traitement.

Lalgorithme RC-4 ou River Cipher 4 a t dvelopp par Ron Rivest. Il a t commercialis par la
RSA Data Scurity. Il repose sur une cl de 128 bits.

Lalgorithme IDEA ou International Data Encryption Algorithm a t conu pour remplacer DES. Il
travaille sur des blocs de 64 bits. La cl est de 128 bits.

1.10.1.2.3./ Le chiffrement cl publique

Il repose sur un couple de cls complmentaires l'une de l'autre. Une des cls est considr comme
publique, l'autre est considre comme prive.

La connaissance de la cl publique ne doit pas permettre de retrouver la cl prive. L'algorithme est


asymtrique. On peut utiliser l'une ou l'autre cl pour chiffre ou dchiffrer.

L'usage normal consiste chiffrer avec la cl publique du rcepteur. Seul celui-ci peut dchiffrer le
message avec sa cl prive.

Les algorithmes asymtriques sont utiliss pour l'intgrit et la confidentialit des donnes et
l'authentification et la non-rpudiation de l'metteur.

Le mcanisme est le suivant :

RESEAUX (volume 2) COURS Page 163


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) A et B crent chacun un couple de cls publique/prives.


) A et B changent leur cl publique.
) A envoie un message B en le cryptant avec le cl publique de B.
) B dcrypte le message reu avec sa cl prive.
) B envoie un message A en utilisant la cl publique de A.
) A dcrypte le message reu avec sa cl prive.

Remarque : la confidentialit de messages est assure car seul le rcepteur du message la facult de
le dchiffrer avec sa cl prive. L'intgrit est elle aussi prserve car la modification d'un message
ncessiterait le dcodage de celui-ci

Cependant, comment se prmunir d'une usurpation d'identit de A ou de B. Face ce problme on


applique des principes dauthentification et de non-rpudiation de l'metteur qui fonctionne comme
suit :

) A et B crent chacun un couple de cls publiques/prives.


) A et B changent leur cl publique.
) A envoie un message B en utilisant sa cl prive.
) B le dcode en utilisant la cl publique de A.
) B rpond en utilisant son tour sa cl prive.
)A dcode le message en utilisant la cl publique de B.

Remarques : L'change est authentifi car seul A et B connaissent leur cl prive. La non-rpudiation
est garantie car ni A ni B ne peuvent nier avoir participer l'change si leur cl n'a pas t
compromise.

RESEAUX (volume 2) COURS Page 164


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Lalgorithme cl publique est RSA ( Ron Rivest, Adi Shamir et Leonard Adleman). Cest le plus
Utilis. La cl est de 512 bits ou plus. Il est lent et peu utilisable pour les cls de sessions.

Les cls prives sont gnralement utilises pour chiffrer les changes de donnes. Elles constituent les
cls de sessions. Les algorithmes cl publiques sont eux utiliss pour changer les cls de sessions.

1.10.1.2.4./ Les fonctions de hachage

1.10.1.2.4.1./ Introduction

L'utilisation de fonctions de hachage sert ajouter un message un complment calcul partir de ce


message avec l'aide d'un algorithme et d'une cl de chiffrement. L'objectif est de s'assurer qu'un tiers
n'a pu ni fabriquer, ni altrer le message.

Le principe dune fonction de hachage est de recevoir en entre un message de longueur alatoire et
produit en sortie un code de taille fixe. Les fonctions de hachage sont utilises pour apposer un sceau
au message (scellement) et pour signer un message.

Les critres d'un algorithme de hachage sont :

)La cohrence : le mme message doit produire le mme rsultat.


)Lunicit : deux messages diffrents ne peuvent produire le mme rsultat.
) La non-rversibilit : il n'est pas possible de retrouver le message initial avec le code.

1.10.1.2.4.2./ Principe

Le mcanisme est le suivant :

1/ A crit un message et le soumet une fonction de hachage non rversible.


2/ A transmet le message en y ajoutant ce rsultat qui constitue une empreinte ou condens de
message.
3/ B reoit le message et le spare de l'empreinte. Il soumet le message la mme fonction de
hachage utilise par A.
4/ Si le rsultat est identique, B est sr que le message n'a pas t modifi ou altr en cours de
route.

RESEAUX (volume 2) COURS Page 165


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les algorithmes utiliss sont :

) MD4 Message Digest 4.


) MD5 Message Digest 5.
) SHA Secure Hash Algorithm.

1.10.1.2.4.3./ Les fonctions de scellement et de signature

Le scellement consiste coder avec un cl secrte le hash code gnr.

La signature consiste coder avec une cl prive le hash-code.

Les organigrammes fonctionnels de ces deux fonctions sont les suivants :

Le scellement La signature

1.10.1.2.5./ Utilisation des algorithmes asymtriques

Les objectifs des algorithmes asymtriques est de mettre en uvre :

RESEAUX (volume 2) COURS Page 166


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) La confidentialit :

) Lauthentification :

) La confidentialit et lauthentification :

1.10.1.2.6./ Le problme de la gestion des cls

La non-divulgation de la cl priv ou secrte est essentielle la scurit des changes. Les problmes
poss sont les suivants :

RESEAUX (volume 2) COURS Page 167


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) La cration des cls.


) La distribution des cls de faon scurise (changes initial).
) La gestion des cls compromises.

Cela ncessite la mise en oeuvre d'une gestion des cls. Cest une approche diffrente pour le
chiffrement symtrique et asymtrique.

1.10.1.2.7./ La gestion des cls secrtes

Pour la gestion des cls secrtes il existe trois approches :

) La gestion manuelle des cls.


) Le modle de distribution centralis qui s'appuie sur un tiers appel Centre de Distribution des
cls ou KDC (Key Distribution Center) qui distribue les cls de sessions et avec qui une cl
secrte est partage pralablement.

) Le modle de distribution distribu ou algorithme de Diffie-Hellman. Il a t invente en


1956 par DIFFIE et HELLMAN et il permet de gnrer un secret partag entre deux entits
sans que celles-ci ne partagent une information au pralable. Le mcanisme est le suivant :

p et q
ALICE BOB

Secret (a) B=pb mod (q) A=pa mod (q) (b) Secret
A=pa mod (q) B=pb mod (q)
Ba mod (q) pab mod (q)
pab mod (q)

c Alice envoie Bob deux grands nombres p et q. ces deux entiers sont publics.
d Alice choisit un grand nombre entier a, qu'elle garde secret et calcule la valeur A= pa mod
(q).
e Bob choisit un grand nombre entier b, qu'il garde secret et calcule la valeur B = pb mod (q).
f Alice et Bob change A et B.
g Alice calcule KAB = Ba mod (q), Bob calcule KBA = Ab mod (q). On a KAB = KBA = pab
mod (q).

RESEAUX (volume 2) COURS Page 168


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Une personne qui espionne la communication connat p, q, pa mod (q) et pb mod (q) mais ne peut pas
dduire pab mod (q).

Pour cela, il lui faudrait connatre a ou b qu'il ne peut dduire que de A ou B.

Cependant, l'Algorithme de Diffie Hellman est vulnrable l'attaque de l'intercepteur ou Man in The
Middle (MITM). En effet, un espion se positionne entre les deux entits et intercepte leurs changes. Il
procde un change de cls avec chaque entits.

A la fin de l'change Diffie Hellman, chaque entit utilise une cl diffrente connu de l'espion. Les
changes se font ensuite au travers de ce dernier qui dchiffre d'un ct et re-chiffre de l'autre.

La parade cette mise en chec consiste authentifier les valeurs publiques changes initialement au
moyen d'un certificat par exemple. Cependant, on perd un des gros avantages de Diffie-Hellman de
pouvoir partager un secret sans aucune information pralable de l'interlocuteur.

1.10.1.2.8./ La gestion des cls publiques

1.10.1.2.8.1./ Introduction

Le problme pos par les cls publiques est le suivant : comment tre sr de l'identit d'un propritaire
d'une cl publique ?

Il existe deux approches ce problme :

) Contact facial (rencontre, tlphone, etc.), lorsque le nombre de cls est petit.
) Concept de certificat, lorsque le nombre de cls devient trop important.

1.10.1.2.8.2./ Le concept des certificats

L objectif est de garantir la validit de l association entre une cl publique et le propritaire de cette
cl publique. Cette garantie doit tre vrifiable et elle doit mettre disposition l'ensemble des cls sans
courir le risque de compromission.

Le problme est ramen la connaissance des cls publiques de tiers certificateur (moins nombreux
que l'ensemble des cls publiques). Le certificateur va dlivrer un certificat tel que un message sign
avec sa cl prive.

Ce certificat est une garantie qu'apporte le certificateur sur la validit de l'association entre
lassociation de la cl publique et de l' entit certifie. Cependant, elle implique une confiance dans le
tiers certificateur (Notorit).

1.10.1.2.8.3./ Les certificats X509

Le standard X509 (ISO 9498-8) est normalis par l'ISO et l'ITU (International Telecommunications
Union). Il permet de fournir des cls publiques scurises en certifiant l'association cl publique -
propritaire de la cl.

RESEAUX (volume 2) COURS Page 169


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cette certification est ralise par un tiers de confiance : le Certification Authority (CA), qui signe le
certificat. Un certificat X.509 est une chane d'octets cods en ASN.1. Il contient :

) Le numro de version (1988, 1993 ou 1993 avec extensions).


) Le numro de srie du certificat (identificateur unique).
) La priode de validit.
) Le Nom de l'utilisateur.
) Les informations sur la cl publique (identificateur et type d'algorithme utilis).
) Les extensions (ex : nom X.400, ...).
) Le nom X.500 du de l'metteur du certificat (CA).
) La signature du CA.

Chaque application qui requiert un certificat doit vrifier la signature sur le certificat en utilisant la cl
publique du CA avant d'utiliser la cl.

1.10.1.2.8.4./ Le principe des certificats

L'utilisateur A dclare auprs d'une autorit de certification (CA) sa cl publique (PA). La CA remet
un certificat de sa cl C(PA) en chiffrant la cl publique de A avec sa clef prive d'autorit de
certification.

Lors d'un change avec B, A transmet en plus du message sa cl publique, chiffre avec sa clef secrte,
ainsi que son Certificat C(PA). B qui connat la cl publique de l'organisme de certification, effectue
les oprations suivantes :

) Dchiffrement du certificat, et obtention alors la cl publique de A (PA).


) Utilisation de cette cl pour dchiffrer le cryptogramme.
) Authentification de A s'il retrouve la mme cl publique dans le cryptogramme.

Une connexion peut tre tablie avec l'autorit de certification pour vrifier si le certificat est toujours
valide. La CA tient disposition des listes de rvocation pour les certificats qui ne sont plus valides
(organismes n'existant plus, compromission des cls, etc).

Les navigateurs Internet du march sont livrs avec la connaissance intgre des cls publiques d'une
dizaine d'organismes certificateurs.

1.10.2./ La scurisation des changes dans TCP/IP

1.10.2.1./ Applications des algorithmes de chiffrement dans TCP/IP

1.10.2.1.1./ La scurisation des couches Applicatives

1.10.2.1.1.1./Le protocole S-MIME

MIME Multipurpose Internet Mail Extension est destin dpasser les limites inhrentes SMTP. S-
MIME propose une version scurise de MIME qui dispose des services d'authentification par
signature et de chiffrement. La signature est ralise par le chiffrage avec la cl prive de l'metteur
(RSA) d'un condens de message cr par MD5 ou SHA-1. Les algorithmes de chiffrement RSA, DES,
RC2 ou 4 son utilisables.

RESEAUX (volume 2) COURS Page 170


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.2.1.1.2./ Le protocole PGP (Pretty Good Privacy)

La signature est ralise partir d'un condens de message calcul par MD5 et chiffr avec RSA.
IDEA est utilis pour le chiffrement des donns et RSA est utilis pour l'change de la cl secrte
IDEA.

1.10.2.1.1.3./ Le protocole S-HTTP

Cest lextension scurise du protocole HTTP qui ne doit pas tre confondu avec HTTPS. Il a t
dvelopp par l'association CommerceNet. Il nest pratiquement pas utilis (SSL y est prfr).

1.10.2.1.2.La scurisation de la couche Transport

1.10.2.1.2.1./ Introduction

Les protocoles de scurisation de la couche Transport sont implments au-dessus de celle-ci. Les
protocoles de scurisation au dessus de la couche Transport sont les suivants :

) SSL (Secure Socket Layer).


) SSH (Secure SHell).
) SOCKS (proxy scuris).

PGP HTTPS
communication
S-MIME
SMTP
SMTP
SSL bout en bout
TCP
TCP
IPSEC
acheminement IP
IP

LIAISON LIAISON

PHYSIQUE PHYSIQUE

1.10.2.1.2.2./ SSL Secure Socket Layer

SSL a t dvelopp par Netscape et intgr son navigateur. La version actuelle est la V3. Il est en
cours de standardisation l IETF (Internet Engineering Task Force) au sein du groupe Transport
Layer Security (TLS). Il fournit un mcanisme pour scuriser les changes entre le niveau application
(HTTP, SMTP, FTP) et TCP/IP.

RESEAUX (volume 2) COURS Page 171


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

SSL offre les services de scurit dauthentification, d'intgrit, et de confidentialit. SSL est constitu
des trois lments suivants :

) Un protocole de dialogue initial ou Handshake Protocol.


) Un protocole d'enregistrement ou Record Protocol.
) Un protocole d'alerte.

Le protocole de dialogue initial est charg de l'authentification des intervenants. Il ngocie les
paramtres de chiffrement utiliser entre le serveur et le client (protocoles, version, cl).

Le protocole d'enregistrement fragmente les donnes de la couche applicative en blocs, compresse


ventuellement ceux ci, ajoute un code d'authentification de message (MAC), puis crypte le rsultat et
le transmet.

RESEAUX (volume 2) COURS Page 172


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le processus de dialogue initial est le suivant :

Le client se connecte sur le serveur SSL (port 443) et demande au serveur de s'identifier. Le serveur
rpond au client en lui renvoyant son certificat et optionnellement le serveur peut demander
l'authentification du client (fonction peu implmente).

Lorsque le client reoit le certificat, il vrifie son contenu et extrait la cl publique du serveur. Le
client et le serveur gnrent alors les cls de sessions comme suit :

) Le client envoie une pr-cl au serveur qu'il chiffre avec la cl publique de ce dernier.
) Le serveur dcode cette pr-cl avec sa cl prive.
) Le client et le serveur effectuent les mme actions pour calculer les cls de sessions.

Le client envoie au serveur un message pour lui spcifier que la phase de ngociation est termine. Le
serveur fait de mme. La phase initiale est termine.

Les avantages du protocole SSL sont les suivants :

)
Authentification du serveur garantie par l'usage de certificats et d'algorithme cl publique.
)
Fiabilit de la connexion. L'intgrit des messages changs est assure par l'ajout de code
d'authentification des messages (MAC) calcul l'aide de fonction de hachage non rversible
telle que SHA ou MD5.
)
Confidentialit de la connexion. Elle est assure par un chiffrement cl symtrique ngoci
au cours de la phase de dialogue initial. Le chiffrement peut tre DES ou RC4.

Ces avantages en font un protocole particulirement bien adapt pour les changes sur le WEB C'est le
protocole utilis pour les transactions scurises sur le Net.

1.10.2.1.2.3./ SSH Secure SHell

SSH fournit une protection sur un rseau non scuris. Il a t introduit dans les environnements UNIX
pour offrir des mcanismes de scurit pour :

) Les connexions distance.


) Le transfert de fichiers.
) La re-direction des sessions X Windows.
) La re-direction des ports TCP.

RESEAUX (volume 2) COURS Page 173


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les services de scurit offerts par SSH sont les suivants :

) Lauthentification du serveur et client par cl publique.


) Le chiffrement des donnes changes (IDEA, DES, RC4).
) La compression optionnelle des donnes changes.

1.10.2.1.2.4./ Les Socks

Les socks sont un moyen de faire passer les communications travers une machine proxy qui joue le
rle de relais. Les socks sont composs d'un serveur SOCKS (port 1080) et d'une API attaque par le
client.

Le serveur SOCKS contrle l'adresse IP de la machine et le port d'origine, la machine et le port de


destination. Il fait un contrle priori pour autoriser ou non la connexion.

1.10.2.1.3./ La scurisation de couche IP- IPSEC

1.10.2.1.3.1./ Introduction

IPsec regroupe un ensemble de mcanismes conu pour protger le trafic au niveau de IP (IPv4 et
IPv6). Il a t conu pour apporter des solutions de scurit qui n'existe pas dans IPv4 en attendant
IPv6.

IPsec offre les mcanismes de scurit suivants :

) La confidentialit : confidentialit des donnes et protection partielle contre l'analyse du


trafic.
) Lintgrit des donnes.
) Authentification de la source des donnes.
) Protection contre le rejeu.

IPsec peut tre peru comme une extension "scurit" de IP. Il est la base de la constitution des
Rseaux Privs Virtuels (RPV ou VPN).

1.10.2.1.3.2./ Les RFC pour IPSEC

IPsec a t conu par un groupe de travail de l'IETF du mme nom. Une premire version des RFC ont
t publi en 1995 sans gestion de cl. La deuxime version qui intgre entre autre la gestion des cls a
t publie en 1998. Les RFC disponibles sont les suivantes :

) La RFC 2401 dfinit l'architecture de Ipsec.


) La RFC 2402 dfinit le protocole AH (Authentication Header) qui prcise les mcanismes
ncessaires pour fournir une authentification sans cryptage des donnes.
) La RFC 2403 dfinit le protocole ESP(Encapsulation Security Payload) qui prcise les
mcanismes ncessaires pour chiffrer les donnes.
) La RFC 2408 dfinit le protocole ISAKMP (Internet Security Association and Key
Management Protocol) qui fournit un cadre pour la gestion des cls.

RESEAUX (volume 2) COURS Page 174


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.2.1.3.3./ Les protocoles AH et ESP

Pour scuriser les changes au niveau IP, IPsec propose les protocoles AH et ESP qui s'ajoutent au
traitement IP en ajoutant des informations protocolaires.

LAuthentication Header (AH) assure l'authentification de la source et l'intgrit des donnes. Le


principe de AH est d'ajouter au datagramme IP une information permettant la rception de vrifier les
donnes reues. Il a t conu pour les pays ou le chiffrement est interdit.

LEncapsulating Security Payload (ESP) assure la confidentialit des donnes mais aussi
l'authentification. Le principe d'ESP est de gnrer un nouveau datagramme dans lequel les donnes
voir mme l'entte IP sont crypts. ESP est typiquement conu pour crer des VPN.

1.10.2.1.3.4./ Les AS Association of Security

AH ou ESP reposent sur des techniques de cryptographie et ncessitent donc l'change de paramtres
en deux ou plusieurs entits. Pour raliser cet change de paramtres, IPsec introduit la notion
d'association de scurit ou SA.

Une association de scurit est tablie entre deux entits qui souhaitent changer des donnes. Elle va
dfinir la faon dont les deux entits vont dialoguer pour communiquer en toute scurit. Une SA
prcise les lments suivants :

) L'algorithme de chiffrement.
) L'algorithme d'authentification.
) La cl de session partage.

Une SA est identifie de faon unique par :

) L'adresse de destination des paquets IP.


) Le protocole de scurit utilis (AH ou ESP).
) Un index des paramtres de scurit.

Une SA est unidirectionnelle. Il faut donc dfinir deux SA pour


tablir une connexion scurise entre deux entits.

Une base de donnes SAD (Security Association Database) est utilise pour grer les associations de
scurit active.

1.10.2.1.3.5./ Les modes de fonctionnement

Pour chacun des protocoles utiliss par IPsec (AH et ESP), il existe deux modes de fonctionnement :

) Le mode transport.
) Le mode tunnel.

RESEAUX (volume 2) COURS Page 175


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Dans le mode Transport, seuls les donnes du datagramme IP sont protges. Elles sont authentifies
avec AH (seules celles-ci servent calculer le MAC) et cryptes avec ESP. Ce mode est valable
uniquement pour les quipements terminaux.

@IP1 @IP2 @IPB @IPA

@IP dfinies
dans une DMZ

Zone de
cryptage

Dans le mode Tunnel, l'entte IP est protge. Elle est remplace par une nouvelle entte IP et
encapsule dans le nouveau datagramme IP gnr. Cette nouvelle entte IP sert transporter le
datagramme IP l'autre extrmit du tunnel ou l'entte originale est rtablie. La nouvelle entte IP
prcise la destination qui traite le paquet Ipsec. L'entte IP originale prcise la destination finale du
paquet. Ce mode est valable sur des quipements terminaux ou sur des passerelles de scurit.

Passerelle VPN Passerelle VPN

A B

DMZ (fiable) DMZ (fiable)

Tunnel utilisant
IPsec dans Internet
(non fiable).

Le codage des enttes dans le mode Transport est le suivant :

) Pour lentte d'authentification, la totalit du datagramme est authentifie l'exception des


champs variables de l'entte IP (TTL, Checksum, etc). Sa structure est la suivante :

RESEAUX (volume 2) COURS Page 176


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) La structure de lentte ESP est la suivante :

Le codage des enttes dans le mode tunnel est le suivant :

) Pour lentte d'authentification on a :

RESEAUX (volume 2) COURS Page 177


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Pour lentte ESP on a :

1.10.2.1.3.6./ Exemple dutilisation de IPSEC

IPsec peut tre utilis soit entre quipements terminaux soit entre passerelles de scurit (gateway to
gateway). Il existe trois configurations de base sont possibles :

) Le premier cas correspond la constitution d'un rseau priv virtuel.


) Le second cas correspond la connexion d'un poste nomade un rseau de confiance via
Internet.
) Le troisime cas correspond lui l'tablissement d'un lien scuris entre deux personnes
utilisant un rseau suppos peu fiable.

RESEAUX (volume 2) COURS Page 178


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.2.1.3.7./ La gestion des cls

La distribution des cls peut se faire manuellement ou automatiquement. Le mode manuel convient
une petite infrastructure ou peu susceptible d'voluer. La gestion automatique des cls repose sur
IKMP (Internet Key Management Protocol) appel aussi IKE (Internet Key Exchange).

IKE est en fait un protocole hybride qui associe des parties de trois autres protocoles qui sont :

) ISAKMP qui fournit un cadre gnrique d'change des cls.


) Oakley.
) SKEMI (Secur key exchange Mecanism for Internet).

Avant la phase d'tablissement de SA entre deux entits, IKE tablit une connexion scurise dans
laquelle sont changes les informations relatives aux SA.

Phase 1 : les deux entits tablissent un tunnel scuris. Ce tunnel est appel SA ISAKMP. Cette
phase se droule comme suit :

) ngociation des attributs du canal SA ISAKMP :

.Algorithme de cryptage.
.Algorithme de hachage.
.Mthode d'authentification.

) Authentification des parties.


) Calcul de la cl de session avec l'algorithme de Diffie-Hellman.

Phase 2 : ngociation des SA pour les protocoles AH ou ESP. On calcul une nouvelle cl de session
selon Diffie-Hellman qui est driv de la cl calcule lors de l'change IKE.

Exemple :

RESEAUX (volume 2) COURS Page 179


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.2.1.3.8./ La PKI (Public Infrastructure Key)

Cest une infrastructure de gestion de cls publiques est dcrite comme tant "l'ensemble des
quipements, des logiciels des personnes, des stratgies et procdures ncessaires la cration la
gestion, le stockage la distribution et la rvocation des certificats bass sur un chiffrement cl
publique".

Une PKI dfinit les 5 composantes suivantes :

) L'autorit de certification, CA (Certification Authority) qui mettent et rvoquent les


certificats.
) Les autorits d'enregistrement, RA (Register Authority) qui tablissent l'association entre cls
publiques et dtenteurs du certificat.
) Les dtenteurs de certificats qui peuvent signer des documents numriques.
) Les clients qui valident les signatures numriques.
) Les entrepts qui stockent les certificats et les listes de rvocation des certificats (CRL ou
Certificate Revocation List).

Les fonctions d'une PKI sont les suivantes :

) Lenregistrement.
) Linitialisation.
) La certification.
) La rcupration d'une paire de cls.
) La gnration des cls.
) La mise jour des cls.
) La co-certification.
) La rvocation.

1.10.3./ La scurit des accs

1.10.3.1./ Lidentification et lauthentification

Cest un mcanisme de base de la protection des systmes et des applications.

Lidentification permet :

) De dire qui suis-je ?.


) De donner le nom de compte, uid (user id).

Lauthentification permet :

) Donner des preuves.


) De spcifier un mot de passe.

Les tapes de gestion dune identification / authentification sont la cration, le blocage/dblocage, et la


suppression.

RESEAUX (volume 2) COURS Page 180


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les rgles de cration dun mot de passe sont les suivantes :

) Il doit avoir au moins 6 caractres (dont 2 numriques). Exemples :

. av2l6ty : bon.
. carole : plus que moyen.

) Il ne doit tre jamais crit ( minima, viter de le scotcher sous le clavier).

) Il doit tre souvent chang.

) Il doit fournir une rgle de cration aux utilisateurs.

UN GRAND NOMBRE D'INTRUSIONS REUSSIES ONT POUR


ORIGINE UN MOT DE PASSE TRIVIAL OU UN MOT DE
PASSE CONSTRUCTEUR POUR UN COMPTE SYSTEME.

1.10.3.2./ Les filtres rseaux

1.10.3.2.1./ Introduction

Une communication TCP/IP est caractrise par un quadruplet qui est constitu de ladresse IP
machine de la machine mettrice et de ladresse IP machine du destinataire. Lors dune transaction IP,
le port TCP/UDP du service metteur est quasiment toujours dynamique alors que le port TCP/UDP du
service destinateur est ngoci (Wellknown).

Le filtrage rseau repose sur le contrle des adresses IP. Elle peut tre ralise :

) Sur les adresses destinataires.

) Sur les adresses mettrices.

Le filtrage sur adresses destinataires permet de dcrire les adresses internes lentreprise auxquelles
on laisse accs depuis Internet. Exemples : les serveurs WEB, les serveurs de messagerie, les serveurs
DNS de l'entreprise, etc

Ce filtrage protge les serveurs auxquels l'entreprise peut accder en interne.

Le filtrage sur adresses mettrices permet de spcifier les postes de l'entreprise qui peuvent sortir sur
Internet. Il permet de dfinir des adresses privilgis en provenance de l'internet.

Les caractristiques du filtrage d'adresses sont les suivantes :

) Fiable si les contrles sont simples et peu sujets erreur dimplmentation.

) Efficace lorsque les machines internes accessibles de lextrieur sont en nombre faible.

) Insuffisant lorsque les connexions sont tablies l'origine de l'intrieur de l'entreprise.

RESEAUX (volume 2) COURS Page 181


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.2.2./ Le filtrage au niveau Transport

Le filtrage rseau peut ensuite sappuyer sur des informations de niveau plus lev. Les applications
les plus frquentes de ce type de restriction sont les contrles sur ports destinataires. Le numro de port
identifie une application dans une machine TCP/IP.

Les numros de port sont :

) dynamiques (et donc imprvisibles) pour les clients.

) statiques (donc prvisibles en gnral) pour les serveurs tel que :

. Le serveur telnet (port 23).

. Le serveur de messagerie (port 25).

. Le serveur Web (port 80).

. Le serveur FTP serveur (ports 20 et 21).

INTRANET
(domaine de confiance)

EXTRANET
(confiance limit)

INTERNET
(pas de
confiance)

Les ressources de lentreprise vue de lexterieur

On en dduit que le filtrage sera ralis sur les ports destinataires. En effet le filtrage sur les adresses et
sur les ports destinataires donne un contrle rigoureux des accs. On autorisera classiquement :

) L'accs au serveur DNS.

) Laccs au serveur WEB sur une machine donne.

) L' accs au serveur de messagerie (STMP)

RESEAUX (volume 2) COURS Page 182


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Rseaux INTRANET Point


interne lentreprise daccs :
Point daccs : FireWall
Routeur X25

DMZ : WEB, DNS, PROXY,


INTERNET
SMTP, etc

Point daccs : RTC ou RNIS


Service daccs
distant avec Rseaux EXTRANET
gestion des liste (postes nomades)
daccs (ACL)
Les points daccs critiques sur un rseau dentreprise

Les pare-feu (FIREWALL) du march mettent enfin en oeuvre une dernire forme de filtrage rseau
particulirement technique : le contrle sur le sens dtablissement des connexions TCP. Ce filtre
sappuie sur le fait que beaucoup dapplications mises en oeuvre dans les changes avec Internet
ncessitent ltablissement dune connexion de protocole TCP.

Par ailleurs, ltablissement de telles connexions est dissymtrique et il est possible dautoriser ou
dinterdire une telle connexion en fonction de son sens. Lusage principal de ce contrle est dinterdire
les connexions TCP destination des postes PC de lentreprise. Les serveurs accessibles de lextrieur
font lobjet dautorisations explicites de connexions entrantes en fonction de leurs adresses et de leurs
numros de ports.

En dehors de ces autorisations, toutes les adresses de lentreprise sont accessibles de lextrieur, mais
seulement si les connexions TCP sont tablies de lintrieur de lentreprise vers lextrieur ! Les postes
PC sont ainsi protgs de toute tentative de connexion TCP en provenance de Internet. Cette protection
est partielle car certaines applications nutilisent pas TCP et doivent faire lobjet dinterdictions
supplmentaires.

1.10.3.2.3./ Les filtres applicatifs (PROXY)

1.10.3.2.3.1./ Introduction

Le filtrage rseau consiste essentiellement contrler les paramtres techniques des flux IP et TCP
traversant la frontire de lentreprise, le filtrage applicatif consiste intervenir en coupure sur les
diffrents flux.

RESEAUX (volume 2) COURS Page 183


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le filtrage applicatif permet :

) Un contrle beaucoup plus fin sur les changes.


) La modification de ces changes (proxy web).

Cest un systme riche fonctionnellement mais qui introduit un certain nombre de contraintes qui sont :

) Un suivi rigoureux.
) Un cot d'exploitation.
) La dfinition dune maintenance qui suit une politique de scurit.
) Lexploitation rigoureuse des alertes, loggings, et statistiques.
) Un impact non ngligeable sur les performances.

Voici quelques exemples de filtres applicatifs :

Les filtres SMTP relais de messagerie permettent de faire un contrle de flux de messagerie (rgles
anti-spam), de supprimer toutes les commandes dangereuses (mode debug, interrogations dexistence,
etc.), de faire une analyse antivirale du contenu des messages, et de raliser des logging et des
statistiques.

Filtres FTP permettent le contrle de flux de transfert de fichiers par la suppression de toutes les
commandes dangereuses (mode debug, renommage de fichiers, etc.), de raliser des analyse antivirale
de contenu, et de gnrer des logging et des statistiques.

Filtres HTTP, galement appels proxy WEB, sont utiliss essentiellement pour les flux mis par les
postes PC de lentreprise vers INTERNET. Ils permettent la gestion de mmoire cache (attention au
problme de la confidentialit des informations ainsi conserves), lanalyse du contenu des pages
visites, et la ralisation de logging et de statistiques.

1.10.3.2.3.2./ Le filtrage applicatif sous LINUX : SQUID

Sous LINUX, cest le programme SQUID qui fait office de serveur PROXY. Il est driv du projet
Harvest de l'ARPA.

SQUID est un serveur trs performant de cache PROXY pour les clients Internet. Il supporte les
protocoles FTP, gopher et HTTP.

A la diffrence des logiciels de cache traditionnels, SQUID gre toutes les requtes TCP/ IP dun
rseau local en un seul processus non bloquant. SQUID conserve les Meta donnes suivantes :

) Les donnes mise dans la mmoire cache (RAM).

) Les recherches dans les caches DNS.

Ce programme supporte les recherches DNS non bloquantes et implante un cache ngatif des requtes
infructueuses. Pour la scurit, SQUID supporte SSL, les contrles d'accs et les requtes de logging
compltes.

RESEAUX (volume 2) COURS Page 184


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

En utilisant le protocole cache Internet, les caches SQUID peuvent tre organiss en une arborescence
ou un maillage afin d'conomiser encore la bande passante. SQUID consiste en un programme serveur
principal, un programme dnsserver pour les recherches DNS, un programme ftpget pour rcuprer
les donnes FTP , et enfin des outils de gestion trs complets.

Sous LINUX, on peut configurer le serveur PROXY SQUID via linterface dadministration Internet
WEBMIN (dj prsenter pour la configuration du serveur DNS BIND). Les copies dcran qui
suivent prsentent les principaux paramtres de SQUID.

RESEAUX (volume 2) COURS Page 185


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 186


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.2.4./ Les passerelles

1.10.3.2.4.1./ Rappels

On rappel que pour une entreprise, il y a ncessit de mettre en place un adressage efficace de son
rseau. Gnralement, l'entreprise dispose d'un plan d'adressage RFC 1918 pour son adressage interne
et d'une plage d'adresses officielles attribue par le NIC.

Les mcanismes mettre en uvre au niveau des serveurs, pour pouvoir tre visibles de l'extrieur,
sont des adressages officiels et la translation d'adresses statiques. Au niveau des postes de travail, pour
accder INTERNET, l'adressage officiel est impossible et la translation statique inenvisageable. (nb
@IP officielles << nb @IP total). On dispose pour ce faire de la translation dynamique d'adresses, de
la translation de port, et du passage par un filtre applicatif.

Les serveurs de lentreprise accessibles de lextrieur sont en nombre rduits. Ils peuvent disposent et
doivent disposer dune adresse fixe officielle. Cette adresse fixe garantit l'accessibilit et le contrle
L'adresse fixe peut tre directement affecte au serveur impact sur l'architecture ou obtenu par
translation statique d'adresse.

Les postes de lentreprise qui doivent accder lextrieur ne peuvent pas tre traits comme les
serveurs. Il existe trois solutions :

) La Translation dynamique dadresses qui permet laffectation des adresses officielles aux
postes au fur et mesure des connexions. Ces adresses sont piochs dans un pool et peuvent
tre r-affecte au pool aprs un certain temps dinactivit. Cependant nombre total de postes
connects simultanment est limit.

) La translation de port permet une adresse dtre affecte tous les postes qui sortent, la
distinction se faisant par l'attribution dynamique de numro de port. Le nombre de connexions
en sortie n'est plus brid.

) Le passage systmatique de tous les postes par proxy web dont la seule adresse est visible
lextrieur.

RESEAUX (volume 2) COURS Page 187


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.2.4.2./ Les architectures

1.10.3.2.4.2.1./ Larchitecture avec un filtre applicatif FIREWALL

Les architectures de type FIREWALL mettent en oeuvre un filtre rseau ( minima) et des filtres
applicatifs. Une architecture scurise simple est donne dans la figure suivante :

Le filtre rseau nautorise laccs qu'au serveur DNS et aux filtres applicatifs. Le FIREWALL
concentre l'ensemble de fonctionnalits ce qui peut poser quelques problmes lors dune panne. Une
variante de larchitecture scuris est la suivante :

La fiabilit de cette nouvelle architecture repose sur la configuration correcte des serveurs publics ainsi
que l'administration de ceux-ci et particulirement des mises jours rgulires de patchs de scurit.
La prise de contrle d'un serveur public reste possible. Un serveur en panne est directement sur le
rseau de l'entreprise.

RESEAUX (volume 2) COURS Page 188


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.2.4.2.2./ Architecture scurise avec une zone dmilitarise (DMZ)

Le concept de zone dmilitarise rpond au problme prcdent. Il consiste crer une zone en
premire ligne (la DMZ) ou on trouve le FIREWALL (qui la protge), les filtres applicatifs (relais
SMTP, proxy), le serveur DNS, et les serveurs publics. Une deuxime zone ou on trouve les serveurs
internes, et les postes de travail sera protg par un FIREWALL.

Remarque : aucun serveur interne ou poste de travail ne doit se trouver sur la DMZ. Les filtres
applicatifs PROXY doivent tre dans la DMZ.

1.10.3.2.4.2.3./ Les rgles applicables aux flux dans les architectures avec DMZ

La mise en oeuvre d'un DMZ contribue crer une architecture trois niveaux. On considre que :

) Du flux de niveau 1 vers le niveau 2 et 3 on ninterdit rien. Dans le cas d'un flux de niveau 1
vers le niveau 3, on pourra cependant interdire les sorties directes en passant par un proxy
web (en n'autorisant pas la translation d'adresses ou de ports).

) Du flux de niveau 2 vers le niveau 3, il ny a aucun flux interdire pour des raisons de
scurit.

) Du flux de niveau 2 vers niveau 1, on doit interdire tous les flux et n'ouvrir que le trafic des
serveurs webs en direction des bases de donnes (applications web). Il ne doivent tre ouvert
quavec prudence.

) Du flux de niveau 3 vers le niveau 2, on doit interdire tous les flux l'exception des flux vers
les serveurs publics (flux SMTP, WEB, DNS, etc).

) Du flux de niveau 3 vers niveau 1, ON INTERDIT TOUS !!!

RESEAUX (volume 2) COURS Page 189


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.3./ Les accs distants

1.10.3.3.1./ Introduction

Les techniques daccs distant n'ont que peu de points communs avec les concepts de FIREWALL. Le
FIREWALL vise connecter en scurit le rseau de l'entreprise Internet. L'accs distant vise
fournir un accs au rseau de l'entreprise des postes nomades via une connexion RTC ou numris.

Techniquement la connexion est ralis par un Serveur d'Accs Distant qui ralise l'interconnexion
entre le rseau local de l'entreprise et le rseau tlphonique. Du fait mme qu'il offre un accs au
rseau, l'accs distant doit tre scuris.

1.10.3.3.2./ La scurisation de laccs distant

La scurisation de l'accs distant peut-tre ralise au niveau du Service daccs distant (SAD). La
scurisation peut tre ralis aprs la phase d'tablissement de la connexion tlphonique sur :

) Un contrle de numro tlphonique dappelant.


) Un rappel automatique de lappelant (scurisant mais coteux).
) La mise en uvre dune Identification / authentification.
) La mise en uvre dune Identification / authentification faible (PAP).
) La mise en uvre dune authentification forte (CHAP).

La scurisation peut tre galement ralise au niveau du poste par une authentification forte mais cela
ncessite d'adapter le poste de travail.

La mise en oeuvre de plusieurs points d'accs impliquent l'installation de plusieurs serveurs. On en


dduit un problme de cohrence de la configuration des serveurs. Ce problme est rsolu par la
possibilit de contrler les accs distant partir d'un mme serveur central.

RESEAUX (volume 2) COURS Page 190


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Ces mcanismes sappuient sur des protocoles qui dportent le contrle daccs du SAD vers le
serveur central tels TACACS ou RADIUS. Ces serveurs assurent lidentification/authentification, la
ngociation de paramtres techniques (tailles de paquets, compression, etc), et laffectation
lappelant dune @IP. Larchitecture est la suivante :

1.10.3.3.3./ Les accs distant du type TACAS

TACACS (Terminal Access Controller Access Control System) a t introduit en 1984 et propos dans
la RFC 1492 par l'IETF. Le principe de base de ce protocole permet aux passerelles d'accs au rseau
(SAD, mais aussi routeur ou FIREWALL) de dporter une requte dauthentification dutilisateur
auprs d'un serveur de scurit central.

Pour la mise en oeuvre de ce protocole, le SAD reoit la demande d'authentification de l'utilisateur


distant, puis envoie une requte formate suivant la dfinition du protocole un serveur
dauthentification. Le serveur d'authentification consulte sa base dinformations de scurit et retourne
au SAD une rponse autorisant ou non la connexion de l'utilisateur distant.

Les changes entre le SAD et le serveur d'authentification reposent sur UDP. Des extensions ont t
introduites (XTACACS) pour supporter un ventail plus large de protocoles de connexion et intgrer
des fonctionnalits daudits. Il permettent aussi dautoriser la redondance des serveurs
dauthentification.

1.10.3.3.4./ Les accs distant du type TACAS+

TACACS+ est une extension non standard de TACACS. Elle a t dveloppe par CISCO et propose
partir de la version 10.3 de l'IOS CISCO. Les principales extensions sont :

) La capacit de distribuer les diffrentes fonctions sur plusieurs serveurs de scurit.


) L'utilisation du protocole TCP la place d'UDP, dans la dialogue passerelles/serveur
d'authentification.

RESEAUX (volume 2) COURS Page 191


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) La scurisation des changes par chiffrement entre les passerelles et le serveur


d'authentification.
) La possibilit de grer de faon centralise des passerelles htrognes.
) Le support des serveurs de scurit de type KERBEROS.
) La possibilit de grer des statistiques d'utilisation du rseau.

Lusage principal des serveurs TACACS ou TACACS + est la mise en uvre des serveur d'accs
distant PPP et les FIREWALL.

1.10.3.3.5./ Les accs distant du type RADIUS

Radius (Remote Authentication Dial In User Service) est un protocole issu des travaux communs
l'IETF/IAB. Il a t introduit en standard par la RFC 2058 puis complt par la RFC 2059 (audit).

Radius est le protocole utilis par le frontal de communication pour identifier/authentifier les distants
et rcuprer de manire scurise des informations auprs d'un serveur d'authentification. Il permet
donc chaque passerelle (Network Access Server - NAS) de s'identifier et de s'authentifier auprs du
serveur RADIUS puis de demander l'identification/authentification des accdants et de rcuprer des
informations sur les concernant.

On utilise RADUIS pour mettre en uvre des communication entre un serveur d'accs PPP distant de
type RTC avec un serveur de scurit ou entre un FIREWALL et un serveur de scurit.

Entre RADIUS et TACACS+, les services rendus sont similaires. RADIUS est galement de plus en
plus distribu sur les FIREWALL et les SAD. Il n'est pas propritaire l'inverse de TACACS+ et il
existe dans les distributions LINUX.

1.10.3.3.6./ Les limites des architectures d'accs distant

La solution base sur les SAD prsente une limite car on suppose que les postes nomades sont dans
une zone de taxation locale. Si les postes nomades sont trs loigns SAD les cots de communication
tlphonique deviennent prohibitifs.

Lide est de raccorder les postes nomades Internet via un FAI pour bnficier ainsi d'une taxation
locale et dutiliser Internet comme rseau de Transport. On ralise alors une authentification forte au
niveau du rseau de l'entreprise.

Les difficults de cette solution repose sur une identification / authentification ralise par le FAI qui
est faible et une ngociations de paramtres techniques qui reste inexistante. De plus, laffectation
dadresse de rseau est toujours de la responsabilit du FAI (ou ISP) et ladresse affecte nest jamais
contrle par lentreprise.

Lobligation de mettre une interconnexion complte entre lentreprise et Internet, mme avec pare-feu,
fait courir des risques inutiles compte tenu du besoin initialement exprim. Face ces difficults, il
existe plusieurs solutions reposant sur le concept de tunnel PPP :

) L2TP de lIETF.
) L2F de CISCO.
) PPTP de Microsoft.

RESEAUX (volume 2) COURS Page 192


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.3.7./ Le tunneling PPP

Avec le tunneling PPP, on laisse stablir les contrles et ngociations standard prvues par le FAI. On
ralise un tablissement de connexion avec le serveur daccs distant de lentreprise (et non avec les
serveurs applicatifs au travers dun pare-feu). On met en oeuvre sur cette connexion TCP/IP
lensemble des ngociations normalement excutes au dessus du rseau tlphonique dans le cas dun
serveur daccs distant tlphonique.

A ce point, le poste (ou lutilisateur) a donc bnfici dune deuxime identification / authentification a
priori forte (et sous le contrle de lentreprise), et de ngociations techniques au gr de lentreprise (et
non plus de lISP de raccordement). Enfin, on utilise la connexion Internet pour vhiculer (encapsul)
un flux identique celui vhicul au dessus de la connexion tlphonique dans le cas prcdent.

Ces techniques, malgr leur lourdeur (il arrive davoir du protocole IP transport dans du protocole
IP), sont probablement prometteuses en matire de fonctionnalits de dport daccs au dessus
dInternet. Leur succs dpendra de ladhsion des acteurs majeurs du march.

1.10.3.3.8./ Le protocole L2F (Layer 2 Forwarding)

L2F est un protocole dvelopp par CISCO qui fait lobjet dun draft IETF depuis dcembre 1996. Le
protocole L2Fpermet de connecter deux rseaux IP privs distants en dial-up via un rseau IP public.
Intgre dans les routeurs et les services daccs, cette technologie cre une sorte de chemin virtuel
(VPN : Virtual Private Network) au-dessus des rseaux publics.

Le protocole L2F fournit un tunneling permettant le transport de trames de niveau 2 (tels que HDLC,
SLIP, PPP) sur des protocoles de niveaux suprieurs (tels que IP). L2F utilise le port UDP 1701 et
lauthentification se fait avec PAP, CHAP.

Comme cette technique nutilise pas de chiffrement, son utilisation ne peut pas stendre au rseau
Internet. Il garde lavantage dune relative simplicit mais il est un protocole propritaire.

1.10.3.3.9./ Le protocole PPTP (Point to Point Tunneling Protocol)

Cest une extension du protocole PPP (Point to Point Protocol) dvelopp par le PPTP Forum. PPTP
encapsule le protocole PPP au travers des mcanismes GRE (generic routing encapsulation ; RFC 1701
et 1702). PPTP utilise les paquets de donnes et les paquets de contrle. Les paquets de donnes
contiennent les donnes utilisateurs qui doivent tre envoys sur le Wan et reus du Wan. Ces paquets
de donnes sont encapsuls dans des trames PPP elles-mme encapsules dans IP (GRE).

Les paquets de contrle sont utiliss pour la gestion et la signalisation. Ils sont transmis et reus au
travers dune connexion TCP. La scurit dans PPTP comprend :

) lauthentification (PAP, CHAP, MS-CHAP).


) lintgrit (MD4).
) la confidentialit (RC4).

Le protocole PPTP reste essentiellement implment dans les produits Windows. En juin 1996, une
convergence PPTP et L2F a t annonce. Il s'agit de L2TP.

RESEAUX (volume 2) COURS Page 193


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.3.3.10./ Le protocole L2TP (Layer 2 Tunneling Protocol)

L2TP est un protocole issu des annonces de Cisco et de Microsoft (juin 1996) concernant le
rapprochement de PPTP et L2F. Il est l'tat de draft IETF. L2TP comme PPTP a pour objectif de
permettre de crer un VPN au-dessus d'un ou de plusieurs rseaux WAN. Il permet d'encapsuler sur
Internet du protocole IP mais galement si ncessaire du protocole IPX ou NetBios.

Il rend transparent le rseau longue distance. L2TP utilise les mcanismes de scurit de PPP (CHAP).
Il permet la convergence entre PPTP et L2F mais il est uniquement disponible l'tat de draft.

1.10.4./ La prvention des attaques

1.10.4.1./ Introduction

La scurit exige de parler des failles de scurit pour s'en prmunir. Ce cours n'est pas une liste de
recettes pour attaquer des sites mais la description des principales attaques afin de mieux aider les
comprendre.

Classiquement, une attaque se fera selon un mme schma :

) Collecte d'information sur le site attaquer par ingnierie sociale, DNS, et WHOIS.

) Reprage des lieux par attaques de reconnaissance.

) Dtermination des vulnrabilits par attaques de reconnaissance.

) Attaques en dni de service ou Attaques d'accs : collecte d'informations, reprage des


lieux, dtermination des vulnrabilits, et effacement des traces.

Topologie du rseau

Reconnaissance
Version du systme et
par le pirate
des services applicatifs

Dtermination des
vulnrabilits

Attaques en Attaques de Attaques


Deni de service reconnaissance daccs

RESEAUX (volume 2) COURS Page 194


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.4.2./ Les attaques ICMP

Cest une attaque de reconnaissance avec un balayage d'une classe d'adresse par un script shell ou par
un utilitaire du style hping. Des requtes plus pousses peuvent tre mises en uvre sur le masque de
sous-rseau (type 17) pour fournir des informations sur la topologie du rseau. Lobjectif de ce type
dattaque est de dterminer les htes actifs ou la topologie dun rseau. Ce type dattaque est valable
pour des petits rseaux (classe C). Pour parer ce type dattaque, il existe des utilitaires de dtection
(scripts ou utilitaires du march), ou des sniffer. La mthode la plus radicale pour ce prmunir est le
blocage du trafic ICMP au niveau des FIREWALL.

1.10.4.3./ Les attaques par Balayage de Port

Cest une attaque de reconnaissance par balayage des ports TCP ou UDP des machines cibles qui
succde une reconnaissance ICMP. Pour ce faire, on utilise des Scripts Perl (socks !) ou de trs
nombreux utilitaires comme :

) Strobe (balayage TCP).


) Udp_scan (balayage UDP).
) Netcat (nc).
) Network Mapper (nmap le plus simple mettre en oeuvre).
) Nessus (Outils de diagnostique de scurit fonctionnant sous le principe du client/serveur).

Lobjectif de ce type dattaque est de dterminer des ports en veille et de reconnatre des quipements
ou des services applicatifs. Pour ce faire, elle utilise les techniques suivantes :

) Le Handshake TCP (SYN, SYN/ACK,ACK) avec connexion complte.


) Le TCP SYN (SYN, RST/ACK) qui est plus discret.
) Le TCP FIN ou NUL (RST pour port ferm).
) Le Balayage UDP.

Un scan des ports TCP avec lutilitaire nmap sous LINUX

RESEAUX (volume 2) COURS Page 195


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour ce prmunir de ce type dattaque, il faut mettre en uvre des utilitaires de dtection, la
dsactivation des services inutiles sur les serveurs (via les super dmons inetd ou xinetd sous
LINUX), et le blocage des ports au niveau des FIREWALL.

1.10.4.4./ Les attaques par reconnaissance des systmes

1.10.4.4.1./ La comparaison de signature

Cest une attaque de reconnaissance qui succde un balayage de port On test la pile IP et on compare
avec des signatures d'implmentation.

Il existe trois utilitaires :

) Network Mapper (nmap).


) Queso.
) Nessus

Lobjectif de ce type dattaque est de dterminer les versions des systmes dexploitation ou des
services applicatifs. En gnral, elle est le pralable une attaque d'accs. Pour ce faire, elle utilise les
techniques suivantes :

) Le Handshake TCP (SYN, SYN/ACK,ACK) avec connexion complte.


) Le TCP SYN (SYN, RST/ACK) qui est plus discret.
) Le TCP FIN ou NUL (RST pour port ferm).
) Le Balayage UDP.

nmap sous LINUX : un scan des ports UDP avec reconnaissance de la version de lOS

RESEAUX (volume 2) COURS Page 196


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour ce prmunir de ce type dattaque, il faut mettre en uvre des utilitaires de dtection, la
dsactivation des services inutiles sur les serveurs (via les super dmons inet ou xinet sous
LINUX), et le blocage des ports au niveau des FIREWALL. La mise jour des services applicatifs par
des patchs pour les serveurs ouverts l'Internet est ncessaire.

1.10.4.4.2./ Le TELNET

Le TELNET peut tre aussi une attaque de reconnaissance qui succde un balayage de port.
Lobjectif de ce type dattaque est de dterminer les versions des systmes dexploitation ou des
services applicatifs. En gnral, elle est le pralable une attaque d'accs.

Comme en tmoigne la copie dcran donne ci dessous, chaque systme avec le port TELNET ouvert
envoie une invite :

Evidement ceci est un mauvais exemple, car le systme t dlibrment non paramtr. En effet
linvite de connexion TELNET se configure dans le fichier /etc/issue.net. Lidal est de ne donner
quun logging brut sans information sur le systme.

On doit bloquer les ports au niveau des FIREWALL (LE TELNET NE DOIT JAMAIS ETRE
OUVERT SUR L'INTERNET) et crer une Access list sur les routeurs de l'inter-rseau.

RESEAUX (volume 2) COURS Page 197


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.4.4.3./ Synthse sur la recherche dinformation

Une synthse sur la recherche dinformation est la base des attaques d'accs ou de dni de service.

On recherche des informations publiques sur des DNS avec dig, nslookup, ou par RIPE avec
whois.

Pour la dcouverte dun rseau, les utilitaires traceroute, ping, hping, firewalk, filterrules, et
netcat son trs instructifs.

Pour dcouvrir les versions des systmes d'exploitation on utilise nmap et queso.

La dcouverte de services ouverts seffectue par les utilitaires strobe, nmap, et udp-scan.

Enfin les versions des logiciels et des services applicatifs sont reconnues par telnet et netcat.

1.10.4.5./ Les attaques par Deni de Service

1.10.4.5.1./ Lattaque de DNS

Cest une attaque qui fait suite une reconnaissance et qui cre une corruption de la zone cache (ou
data) du serveur DNS dun rseau. On paralyse ainsi lensemble du rseau local et des systmes
associs car le trafic est achemin vers des rseaux inexistants. Cest une attaque par dni de service ou
usurpation.

Cette attaque est ralis par une usurpation d'identit par un r acheminement du trafic. Pour ce faire
on exploite les failles de scurit des implmentations des protocoles et la rcursivit.

Pour ce prmunir de ce genre dattaque, il faut restreindre les requtes rseaux pour certaines zones
(allow-query) et faire un contrle du transfert de zone (allow-transfert). On utilise alors le demon bind
8.2. On appliquera galement des patchs de mises jour et on interdira la rcursivit (recursion no).

1.10.4.5.2./ Lattaque par saturation des ressources

Cest une attaque par dni de service qui part du principe qu il est plus facile de paralyser l'accs un
rseau ou un systme que d'obtenir cet accs. On sature la bande passante et les ressources (ex : mail
massif) dun rseau

On paralysie alors le rseau ou les systmes associs. Pour ce faire l'attaquant doit disposer de plus de
bande passante que le rseau attaquer. Gnralement lattaquant mobilise de la bande passante au
travers de nombreux autres sites quil au pralable usurp. Lattaquant inondation alors un service par
des requtes valides et autorises.

Il existe peu de parade pour ce prmunir de ce genre dattaque. On ne peut que raliser une
surveillance du trafic et une surveillance de la consommation de ressource systmes.

RESEAUX (volume 2) COURS Page 198


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.4.5.3./ Lattaque par TCP-SYN

Cest une attaque par dni de service qui tablie des connexions pendantes ou semi-ouvertes (jamais
acquitts). On obtient alors une paralysie du systme.

Pour ce faire, on exploite les caractristiques du protocole TCP par inondation de paquets TCP SYN et
par mystification de l'adresse source.

Il nexiste pas de parade rellement satisfaisante. On peu limiter la dure d'une connexion semi-
ouverte (non satisfaisant) ou limiter le nombre de connexions et de connexions demi ouverte (Cisco
Pix). On peu mettre en uvre galement des outils de dtection.

1.10.4.5.4./ Lattaque par SMURF

Cest une attaque par dni de service qui envoi un ping sur une adresse de diffusion. On obtient alors
une paralysie du systme.

Pour ce faire, on exploite les caractristiques du protocole IP en envoyant un ping sur l'adresse de
broadcast du rseau et en faisant une mystification de l'adresse source.

Pour ce prmunir de ce genre dattaque, il faut bloquer laccs au broadcast du rseau au niveau des
systmes. Cette fonction existe par dfaut pour certains systme (ex : AIX 4.3). Cependant un blocage
au niveau du FIREWALL est prfrable.

1.10.4.5.5./ Lattaque par fragmentation IP

Cest une attaque par dni de service qui exploite des vulnrabilits sur le r assemblage de certaines
implmentations TCP/IP. On obtient alors une paralysie du systme.

Pour ce faire, on exploite les vulnrabilits en crant des chevauchement de paquets. On utilise les
programmes teardrop, newtear, ou syndrop.

Pour ce prmunir de ce genre dattaque, il faut appliquer des patchs systmes ou utiliser les dernires
versions des systmes dexploitation (LINUX)

1.10.4.5.6./ Autres types dattaques

On numrera quatre autres grandes techniques dattaques par deni de Service :

) Attaque du type Land : cest lenvoi d'un paquet avec une adresse IP et un numro de port
source et destinataire identique qui peut conduire une paralysie avec certains systmes. On
se prmunie de ce genre dattaque en ralisant un blocage au niveau du FIREWALL.

) Attaque du type SMTP : cest lenvoi de mails trs grand nombre (Spamming). On se
prmunie de ce genre dattaque en mettant en place des relais de messagerie avec des rgles
anti-spam.

RESEAUX (volume 2) COURS Page 199


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le ping de la mort : cest la fragmentation d'un paquet ICMP tel que pour le dernier
fragment on est (offset + taille) > 65535. On se prmunie de ce genre dattaque en effectuant
un blocage au niveau du FIREWALL.

) Attaques par dbordement de tampon : Cest une technique qui exploite les vulnrabilits
connues des systmes dexploitation. On se prmunie de ce genre dattaque en effectuant une
mise jour par des patchs systmes

Dans tous les cas lutilit d'un CERT est trs importante.

1.10.4.6./ Les attaques daccs

1.10.4.6.1./ Lattaque TCP

Cest une attaque daccs dont le mcanisme est le suivant :

L'attaquant initie une attaque de dni de service vers l'hte de confiance. Celui-ci est satur et est dans
l'incapacit de rpondre. Ensuite, l'attaquant initie une connexion vers le serveur (SYN) qui renvoie un
ACK SYN l'hte de confiance. L'attaquant attend un certain temps et s'assure que le serveur a bien
envoy le paquet ACK/SYN. L'attaquant, ayant prdit le numro de squence, il est capable d'envoyer
un paquet ACK qui tablie une connexion fictive !

Ce type dattaque fonctionne par prdiction de numro de squence et par spoofing IP

Pour ce prmunir de ce genre dattaque, il faut raliser un blocage au niveau du FIREWALL.

1.10.4.6.2./ Lattaque par dbordement (systmes UNIX)

Cest une attaque daccs qui consiste obtenir un dbordement de tampon afin d'excuter du code en
mode privilgi. Elle repose sur la connaissance de la programmation UNIX et elle consiste envoyer
au programme plus de donnes que l'espace mmoire qu'il a allou pour les recevoir.

RESEAUX (volume 2) COURS Page 200


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Il y a alors un envoi dans les donnes de dbordement d'un code adquat qui permettra la prise en main
du systme en mode ROOT. Cest sans doute une des attaques les plus dangereuses. Pour ce prmunir
de ce genre dattaque, il faut faire des mise jour des patchs de scurit et raliser un cloisonnement
des systmes.

1.10.4.6.3./ Lattaque par force brute et attaque par dictionnaire

Ce sont des attaques daccs qui consistent essayer des mots de passe ou les craquer. Elles reposent
sur la facilit des mots de passe des utilisateurs ou des mots de passe du type "usine". Elles reposent
galement sur lobtention du fichier /etc/passwd ou des fichiers de sauvegarde des mots de passe
cachs. Les services attaquables sont les suivants :

) telnet.
) ftp.
) https (SSL).
) LDAP.
) rlogin, rsh, etc

Gnralement, pour le dcodage des mots de passe on utilise un utilitaire du type crack.

Pour ce prmunir de ce genres dattaques, il faut sensibiliser les utilisateurs du systme pour adopter
des mots de passe hors du commun (mlange de chiffres et de lettres). On peut galement adopter une
bonne gestion des comptes utilisateurs en changeant les mots de passe rgulirement.

Pour les attaques de force brute, le cloisonnement des systmes et un blocage au niveau du
FIREWALL sont les meilleurs solutions de prvention.

1.10.4.6.4./ Lingnierie sociale

Cest une attaque daccs qui consiste demander un utilisateur son mot de passe pour s'introduire
sur un systme. Cest une technique facile mettre en uvre qui repose sur la "crdulit" de
l'utilisateur ou la force de conviction de l'attaquant. Elle est trs efficace.

Pour ce prmunir de ce genres dattaques, il faut sensibiliser les utilisateurs et adopter une bonne
gestion des comptes utilisateurs. On peut galement mettre en place un bon cloisonnement des
systmes.

1.10.4.7./ Les parades globales

On constate quil ny a pas de parades absolues. Cependant, on notera que dans un rseau, il existe
deux de points sensibles principaux qui sont les accs et les systmes ou les services applicatifs. Pour
une scurisation globale, il faut sorienter sur les trois axes suivants :

) La scurisation des accs distants et des accs Internet avec la mise en uvre dun
FIREWALL.
) La scurisation des systmes et des services applicatifs par une configuration stricte des
systmes dexploitation, une mises jours par des patchs de scurit, et une adhsion une
organisation du type CERT.
) La mise en place des outils de dtection d'intrusion du types fichiers logs, audits, et des outils
dit pro-actifs.

RESEAUX (volume 2) COURS Page 201


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Attention : lillusion de la scurit est le pire ennemie de la scurit. Le relchement ou le laxisme sont
proscrire. Lidal est la mise en place dune politique de scurit.

1.10.5./ Mise en uvre pratique de la scurisation des accs

1.10.5.1./ Introduction

Les attaques peuvent venir de l'accs distant et de l'Internet. Cela concerne la plupart des entreprises et
leur rseau local. La plupart des attaques peuvent tre bloques par le FIREWALL et une bonne
architecture conue autour de celui-ci. La neutralisation des autres attaques reposera sur :

) La bonne configuration des systmes.


) La bonne configuration du serveur DNS.
) La mise jour de patchs de scurit.
) La gestion efficace des comptes utilisateurs.
) L'organisation !!!

En priorit il faut mettre en oeuvre une architecture FIREWALL adapte au rseau local. Les solutions
sont les suivantes :

) NPF (Network Packet Filtering) sous LINUX 2.4.x.


) Ipchains sous LINUX 2.2.x avec ses interfaces graphiques kfirewall ou gfcc.
) Checkpoint.
) Pix (CISCO).
) Netwall (BULL).

1.10.5.2./ La mise en uvre du FIREWALL

La mise en oeuvre du FIREWALL doit tre prcde de la conception de l'architecture. Il existe des
architectures simples ou fortement cloisonnes avec des zones dmilitarises (DMZ).

De plus, la dfinition de la politique de scurit doit fournir des rgles gnrales sur les flux entre les
diffrents rseaux ainsi que des rgles particulires adaptes certains flux.

Les rgles gnrales pour la mise en uvre dun FIREWALL sont les suivantes :

) La mises en oeuvre est de scurit du FIREWALL lui-mme pour quil soit lui-mme protg
des attaques et pour assurer une tolrance de panne.

) La dsactivation des services inutiles pour une passerelle rseau afin dviter l'exposition
des brches potentielles.

) La limitation stricte de laccs telnet.

) La mises en uvre dune authentification par un serveur ddi.

Pour l'exploitation du FIREWALL, on ralisera un audit et une analyse des fichiers logs ainsi quune
surveillance pendant le fonctionnement.

RESEAUX (volume 2) COURS Page 202


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.5.3./ Les services dsactiver

Les services (ou dmons) prsentent des trous de scurit connus. Ils sont donc dangereux. On pourra
se rfrer au document de l'AUCERT "UNIX Computer Security Checklist".

La liste des principaux services problmes est la suivante :

Echo 7 TCP/UDP
Systat 11 TCP
Chargen 19 TCP/UDP
DNS 53 TCP Service de Nom de domaine.
tftpd 69 UDP Trivial FTP.
Finger 79 TCP
Link 87 TCP
pop-3 110 TCP Messagerie de type POP3.
sunrpc 111 TCP/UDP Service NFS.
snmp 161 UDP Management du rseaux par SNMP.
imap 143 et 220 TCP Messagerie de type IMAP.
rexec 512 TCP Remote execute (execution distance).
rlogin 513 TCP Remote Login (login distance).
rsh 514 TCP Remote shell (Shell distance).
printer 515 TCP Service dimpression lpd.
uucp 540 TCP

L'accs ces ports doit tre interdit et strictement rglement . Les ports spcifiques comme NFS
(2049 TCP/UDP) et X-Windows (6000-6063 TCP) doivent tre bloqu en l'accs externe.

Sous LINUX, pour configurer lactivation ou la dsactivation les dmons (services) on pourra utiliser
le logiciel LinuxConf.

RESEAUX (volume 2) COURS Page 203


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.5.4./ Exemple dune architecture fortement cloisonne

Soit le synoptique suivant :

Ressources
partager

L'infrastructure est compos de trois rseaux cloisonns par un FIREWALL qui sont :

) Le rseau interne qui est scuriser fortement.


) Le rseau DMZ o SAS.
) Le niveau 3 qui ralise linterconnexion du FIREWALL et du routeur frontal internet.

1.10.5.5./ Le PIX Private Internet Exchange

1.10.5.5.1./ Prsentation

Le PIX est un FIREWALL commercialis par CISCO. Il repose sur la notion d'interface auxquelles il
associe un poids de scurit ou le poids le plus petit reprsente le niveau de scurit le plus haut.
Chaque interface est nomme

1.10.5.5.2./ Exemple darchitecture

Ci dessous un exemple darchitecture utilisant le PIX :

RESEAUX (volume 2) COURS Page 204


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Par telnet partir dune console on dfini la configuration adapte :

pix(config)# nameif ethernet0 outside security0


pix(config)# nameif ethernet1 inside security100
pix(config)# interface ethernet0 auto
pix(config)# interface ethernet1 100full
pix(config)# ip address outside 192.168.2.201 255.255.255.0
pix(config)# ip address inside 192.168.1.201 255.255.250.0

Par dfaut tout le trafic d'un niveau suprieur vers un niveau infrieur sera autoris. Tout trafic d'un
niveau infrieur vers un niveau suprieur sera interdit. L'ajout de droit se fera au moyen dune
commande permit.

1.10.5.5.3./ Les commandes du PIX

En mode non privilgi les commandes sont les suivantes :

Commande Signification

enable Entre dans le mode privilgi ou modifie l'enable password.


pager Contrle la longueur de la page pour la pagination.
quit Sortie de mode privilgi.

En mode privilgi les commandes sont les suivantes :

Commande Signification

arp visualise ou change la table ARP ou la valeur timeout.


configure Configure partir du terminal, de la disquette ou de la mmoire.
debug active le debug des paquets IP ou ICMP.
disable sortie du mode privilgi.
enable Modifie l' enable password.
kill met fin une session telnet.
pager Contrle la longueur de la page pour la pagination.
passwd Change le mot de passe telnet.
ping teste la connectivit de base partir d'une interface vers @IP.
quit Sortie de mode privilgi.
reload Stoppe et relance le systme.
who montre les sessions d'administration active sur le PIX
write crit la configuration sur le rseau, l'cran, sur une disquette, en flash
memory ou efface la configuration (erase).

1.10.5.5.4./ La tolrance de panne du PIX et le failover

La redondance est rendue ncessaire car le FIREWALL joue un rle sensible et il est un maillon faible.
La redondance est mis en oeuvre par le mcanisme failover.

RESEAUX (volume 2) COURS Page 205


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Un PIX primaire dispose d'adresses primaires. Un second PIX secondaire dispose d'adresses failover.
Les deux PIX sont actifs sur le rseau (un actif, l'autre en standby). En cas de bascule, les PIX
changent les adresses MAC et les adresses IP.

Cette structure ne ncessite pas de mise jour des tables ARP sur les autres quipements rseaux.

Les mcanismes physiques sont une interface srie DB9 et cble ddi (failover). Le mcanisme
logiciel est la commande failover. Au niveau physique le cable failover se raccorde comme suit :

Pour mettre en uvre le failover au niveau logiciel, les commandes suivantes sont entrer sur l'unit
primaire :

) Activation du failover :

pix(config)# failover active

) Initialisation des adresses failover :

Commande : failover ip address <if_name> <ip_address>

Exemple : pix(config)# failover ip address inside 192.168.1.202


pix(config)# failover ip address outside 192.168.2.202

) Lecture de ltat du failover

pix# sh failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
This host : Primary - Active
Active time: 6390 (sec)
Interface outside (192.168.2.201): Normal
Interface inside (192.168.1.201): Normal
Other host : Secondary - Standby
Active time: 3360 (sec)
Interface outside (192.168.2.202): Normal
Interface inside (192.168.1.202): Normal

RESEAUX (volume 2) COURS Page 206


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Remarques : toute modification sur l'unit active est reporte sur l'unit en standby. De plus, les
modifications ne doivent pas tre ralises sur le PIX standby car en cas de bascule, l'ensemble des
connexions TCP est perdu.

1.10.5.5.5./ La scurisation du PIX

) Pour laccs telnet :

. L'accs telnet est autoris seulement partir de l'interface inside.

. Commande : [no] telnet local_ip [netmask]. Exemple : telnet 192.168.1.2.

. Initialisation du passwd : passwd.

) Pour la scurisation avec un serveur :

. Commande : [no] aaa authentication any|telnet console tacacs|radius radius-server [<if_name>]


host <local_ip>.

. Exemple : aaa authentication telnet console radius Radius-server inside host 192.168.1.100.

. Attention : l'authentification radius pour l'accs console peut entraner un deadlock.

Un exemple de scurisation dun PIX est la suivante :

(sas)

RESEAUX (volume 2) COURS Page 207


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour cet exemple, on ralise la configuration de base du PIX de la manire suivante :

nameif ethernet0 outside security0 Dclaration des interfaces et


nameif ethernet1 inside security100 du niveau de scurit associ.
nameif ethernet2 sas security50
failover
failover ip address outside 192.168.2.202 Activation du failover et
failover ip address inside 192.168.1.202 dclaration des adresses failover.
failover ip address sas 193.10.100.202
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto Dclaration adresses IP associes
ip address outside 192.168.2.202 255.255.255.0 aux interfaces.
ip address inside 192.168.1.202 255.255.254.0
ip address sas 193.10.100.202 255.255.255.0
telnet 192.168.1.111 255.255.255.255 Autorisation du telnet
telnet timeout 5

On pourra prvoir la configuration tendue suivante :

no rip outside passive


no rip outside default Dsactivation du RIP
no rip inside passive
no rip inside default
no rip sas passive
no rip sas default Pas d'activation de SNMP
no snmp-server location
no snmp-server contact
no snmp-server community Dclaration du serveur tftp pour la
tftp-server 192.168.1.110 pix-conf sauvegarde
mtu outside 1500
mtu inside 1500 Initialisation de la mtu pour
mtu sas 1500 les accs Ethernet

1.10.5.5.6./ Les autorisations et la translation dadresses sur un PIX

L'autorisation est ralise par la commande conduit qui s'applique obligatoirement une adresse
translat statiquement (static) ou dynamiquement (global). La translation d'adresse est obligatoire pour
passer d'une interface une autre.

La dfinition de la commande static est la suivante :

static [(internal_if_name, external_if_name)] <global_ip> <local_ip> [netmask <mask>]


[<max_conns> [<emb_limit> [<norandomseq>]]]

Exemples : static (sas,outside) 193.10.100.20 193.10.100.20 netmask 255.255.255.255 0


static (inside,sas) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 0 0

RESEAUX (volume 2) COURS Page 208


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La dfinition de la commande conduit est la suivante :

[no] conduit deny|permit <protocol> <g_ip> <g_mask> [<operator> <port> [<port>]] <f_ip>
<f_mask> [<operator> <port> [<port>]]

ou

conduit deny|permit icmp <g_ip> <g_mask> <f_ip> <f_mask> [<icmp_type>]

Exemples : conduit permit tcp host 193.10.100.25 eq smtp any


(Le port 25 est ouvert de lexterieur).

conduit permit tcp host 192.168.1.100 eq 3000 host 193.10.100.21


(Le service sur 132.168.1.100:3000est accessible uniquement par 193.10.100.21).

Un exemple darchitecture mettant en uvre les autorisations et la translation dadresse est le suivant :

La dfinition des translations et des autorisations pour cet exemple est donne ci dessous :

static (sas,outside) 193.10.100.25 193.10.100.25 netmask 255.255.255.255 0 0


static (sas,outside) 193.10.100.53 193.10.100.53 netmask 255.255.255.255 0 0
static (sas,outside) 193.10.100.80 193.10.100.80 netmask 255.255.255.255 0 0
static (inside,sas) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 0 0
conduit permit tcp host 193.10.100.25 eq smtp any
conduit permit tcp host 193.10.100.80 eq www any
conduit permit tcp host 192.10.100.53 eq dns any

RESEAUX (volume 2) COURS Page 209


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.5.6./ La scurisation avec LINUX

1.10.5.6.1./ Le Pare-Feu du noyau LINUX

1.10.5.6.1.1./ LINUX version 2.2.x

Le pare-feu du noyau LINUX 2.2.x est IPchains. Ces caractristiques sont les suivantes :

) Une commande Shell pour la configuration : ipchains.


) Des interfaces graphiques de configuration : kfirewall ou gfcc.

Le noyau LINUX 2.2.x contient en standard les fonctionnalits de filtrages et les fonctionnalits de
relayage des paquets IP. Il intgre galement toutes les fonctionnalits de IPsec et IPV6.

IPchains

Un extrait de la configuration du noyaux LINUX 2.2.x : Le filtrage rseaux.

Les distributions standards de LINUX ne sont pas configures de manire intgrer compltement la
scurit. Toutes les fonctionnalits concernant la scurit sont prsentes mais il est ncessaire de
paramtrer le systme en fonction de ces besoins linverse des FIREWALL ddis du march.
Cependant plusieurs distributions entirement scurises par dfaut commence voir le jour, et sont
ddies directement linstallation de serveurs ou de FIREWALL qui seront intgrs dans des rseaux
risques (ex : LINUX Mandrake Corporate Serveur).

RESEAUX (volume 2) COURS Page 210


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Dans tous les cas il est ncessaire de choisir une politique de scurit. Elle devra intgrer une
scurisation de laccs telnet et une dsactivation de tous les services (dmons) inutiles. Soit on
accepte tout les services par dfaut et on interdit les indsirables, ou on interdit tout par dfaut et on
autorise uniquement les services habilits (prfrable).

Linterface graphique kfirewall pour Ipchains sous LINUX

1.10.5.6.1.2./ LINUX version 2.4.x

Le pare-feu du noyau LINUX 2.4.x est NPF (Network Packet Filtering). Ces caractristiques sont les
suivantes :

) Un jeu de scripts de configuration en PERL: Bastille.


) Des interfaces graphiques : BastilleInteractive ou Mandrake Control Center.

Le noyau LINUX 2.4.x contient des fonctionnalits similaires au noyaux 2.2.x mais qui ont t encore
amliores dun point de vue de la scurit et des performances.

NPF

Un extrait de la configuration du noyaux LINUX 2.4.x : Les options rseaux.

RESEAUX (volume 2) COURS Page 211


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

On configure avec facilit le FIREWALL grce aux assistants graphiques comme celui prsent ci
dessous qui est issu de la distribution LINUX MANDRAKE et du programme Mandrake Contrle
Center.

RESEAUX (volume 2) COURS Page 212


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.5.6.2./ La dtermination des services dmarrer

Cest la premire tape de la scurisation du FIREWALL. Il faut raliser un examen de chaque service
sous l'angle de la scurit. En rgle gnrale, sous UNIX, on ne doit dmarrer que les services dont on
a rellement besoin et tout particulirement sur une machine connectes directement Internet.

Les services activer sont :

) crond.
)inetd (ou mieux xinetd).
)kerneld.
)keytable.
)network.
)random.
)syslog.
)local.

Les services examiner sont :

) httpd si on souhaite hberger un serveur Web.


) named pour un serveur DNS
) smtpd pour un relais de messagerie.

Il est prfrable de ne faire jouer au FIREWALL que son propre rle. Les services inutiles sont
proscrire. Tous les autres services (amd, autofs, bootparamd, smb, snmpd) ne doivent pas tre
dmarrer. En particulier pour les FIREWALL les services RPC du type NFS, NIS, gated, et routed
doivent tre imprativement dsactivs.

1.10.5.6.3./ Le firewall LINUX IPchains

1.10.5.6.3.1./ Prsentation

IPchains est une commande qui autorise la dfinition de rgles se scurit. Ces rgles sont bases sur
une interface rseau qui intgre les paramtres suivants :

) L'adresse IP source et destination.


) Les numros de port TCP ou UDP.
) Le drapeau d'tat de la connexion TCP.
) Le type de message ICMP.
) Le sens de transmission du paquet (entrant ou sortant).

Pour le filtrage au niveau paquet, les rgles sont un ensemble de listes d'acceptation et de rejet. Elles
dfinissent explicitement quels paquets seront autoriss ou non passer par l'interface rseau. Le
paquet peut tre rout, bloqu avec envoi de message la source, ou rejet.

Le filtrage doit tre ralise pour chaque interface sur ce qui entre et sort. Il existe deux classes de
numro de ports qui sont :

) Les ports rservs entre 0 et 1023


) Les ports non rservs entre 024 65535 sont dit unprivileged

RESEAUX (volume 2) COURS Page 213


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour le sens de l'tablissement de connexions, le FIREWALL doit accepter l'accs aux ports non
rservs lorsqu'il s'agit d'un retour de connexion (option -y dans Ipchains).

1.10.5.6.3.2./ La mise en place des rgles de filtrage

IPchains dfinit trois listes de rgles ou chanes de protection. Ces trois chanes sont appeles :

) input (entre).
) forward (transmission).
) output (sortie).

Ces chanes sont values dans l'ordre. La politique de scurit pour tout rejeter par dfaut est
privilgier. On utilisera les commandes suivantes :

) ipchains -P input DENY.


) ipchains -P output REJECT.
) ipchains -P forward REJECT.

1.10.5.6.3.3./ La syntaxe d'IPchains

Pour lajout ou retrait de rgles de scurit :

) ipchains A <rgles> ajout d'une rgle.


) ipchains D <rgles> retrait d'une rgle.

Pour la dfinition de l'interface laquelle s'applique la rgle :

) ipchains i <interface>.

Pour la politique de scurit par dfaut :

) ipchains P [inside|outside|forward] [ACCEPT|DENY|REJECT].

Pour la dfinition du type de protocole :

) ipchains -p [tcp | udp | icmp].

Pour la dfinition de la source du paquet :

) ipchains -s address[/mask] [port[:port]].

Pour la dfinition de la destination du paquet :

) ipchains -d address[/mask] [port[:port]]

RESEAUX (volume 2) COURS Page 214


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour les rgles de filtrage, afin de faciliter la lecture, on peut dfinir un certain nombre de constantes :

) OUTSIDE Le nom de l'interface ct externe (eth0).


) INSIDE Le nom de l'interface cot interne (eth1).
) IPADDR Adresse IP de l'interface externe.
) LOCAL_IPADDR Adresse IP de l'interface locale.
) LOOPBACK Adresse de rebouclage.
) LOCALNET Adresse du rseau interne. Ex: 192.168.1.0/24.
) ANY dsigne n'importe quelle adresse. Valeur : 0.0.0.0/0.
) UNPRIVPORTS ports utilisateurs. Valeur : 1024:65535.

1.10.5.6.3.4./ La scurisation vis vis du spoofing

Il est ncessaire de se prmunir du spoofing IP. Il faut donc rejeter tout paquet arrivant sur l'interface
externe avec une adresse locale par la commande suivante :

) ipchains -A input -i $OUTSIDE -s $IPADDR -l -j DENY.

Il y a sept types d'adresses que lon doit rejeter sur interface externe :

) La propre adresse externe du FIREWALL.


) Les adresses priv de classe A (10.0.0.0/8).
) Les adresses priv de classe B (172.16.0.0/12).
) Les adresses priv de classe C (192.168.0.0/16).
) Les adresses de multicast de classe D (224.0.0.0/5).
) Les adresses rserves de classe E (240.0.0.0/5).
) L'interface loopback (127.0.0.0/8).

1.10.5.6.3.5./ Laccs un service situ l'extrieur

Par exemple, pour laccs un serveur Web externe on utilisera les commandes suivantes :

ipchains -A output -i $OUTSIDE -p tcp -s $IPADDR $UNPRIVPORT -d $ANY 80 -j ACCEPT


ipchains -A input -i $OUTSIDE -p tcp ! -y -s $ANY 80 -d $IPADDR $UNPRIVPORT -j ACCEPT

La premire rgle autorise les requtes depuis le navigateur Web.


La seconde autorise les rponses en retour du serveur Web.

1.10.5.6.3.6./ Laccs un service interne depuis l'extrieur

Par exemple, pour laccs au serveur SMTP de l'entreprise on utilisera les commandes suivantes :

ipchains -A output -i $OUTSIDE-p tcp -s $ANY $UNPRIVPORT d $IPADDR 25 -j ACCEPT


ipchains -A input -i $OUTSIDE-p tcp ! -y -s $IPADDR 25 -d $ANY $UNPRIVPORT -j ACCEPT

La premire rgle autorise les requtes depuis le lecteur de mails.


La seconde autorise les rponses en retour du serveur de messagerie.

RESEAUX (volume 2) COURS Page 215


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.10.5.6.4./ La Surveillance des fichiers logs

Une fois le FIREWALL oprationnel il convient de surveiller son activit sur le rseau et du traitement
des fichiers de log fournis par le systme. Les chemins de ces fichiers se trouvent dans
/etc/syslog.conf.

Le fichier /etc/syslog.conf contient :

) /var/log/auth : les erreurs de login (mauvais mot de passe ou nom d'utilisateur).


) /var/log/secure : essais de connexions externes.
) /var/log/message : le plus important car il contient toutes les traces du FIREWALL et tous les
messages systme.

Sous LINUX, lutilitaire LinuxConf permet de consulter facilement tous les fichiers logs du systme.

RESEAUX (volume 2) COURS Page 216


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Enfin il convient de surveiller la sortie des nouvelles versions des programmes lorsqu'une brche de
scurit a t dcouverte. Avec la distribution LINUX MANDRAKE par exemple, lutilitaire
MandrakeUpdate permet de consulter et de tlcharger via Internet, les mises jours des logiciels
constituant le systme dexploitation suite la dcouverte des failles de scurit. Ces logiciels sont
disponibles sous forme de packages prs compils.

Lutilitaire de mises jours MandrakeUpdate sous LINUX MANDRAKE

RESEAUX (volume 2) COURS Page 217


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11. / LA MESSAGERIE
1.11.1./ Prsentation

La messagerie regroupe tous les services qui permettent la gestion du courrier lectronique. Elle se
compose de trois agents qui sont :

) Lagent utilisateur (user agent ou UA) qui est un programme utilisateur utilis pour
composer un message et pour l'envoyer l'agent de routage. Il existe de nombreux agent
utilisateur dont les principaux sont :

. Pour le mode console : mail, elm, mailtool, xmh, etc...


. Pour un client X : Netscape messenger, EUDORA, kmail, etc...

Lagent utilisateur kmail sous LINUX

) Lagent de routage qui reoit les messages et le cas chant fait appel un agent de transport
de message. On trouve de nombreux agent de routage dont sendmail (Unix et NT), Netscape
Server (UNIX et NT), et Exchange (NT).

) Lagent de transport de messages (mailer) qui reoit le message et sa direction et ralise son
acheminement. Parmit les plus utiliser on trouve SMTP, et UUCP.

Remarque : X400 utilise le terme agent de transfert de messages (MTA Messaging Transfert Agent)
qui dsigne aussi bien l'agent de routage que l'agent de transfert.

RESEAUX (volume 2) COURS Page 218


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.2./ SMTP - Simple Mail Transfer Protocol

1.11.2.1./ La RFC 821

Dans le monde TCP/IP, le protocole SMTP est issu de la RFC 821. Il offre un mcanisme de
transmission du courrier bti sur un modle client-serveur. L'metteur ouvre une communication bi-
directionnelle vers le rcepteur, l'metteur envoie de commandes au rcepteur, et le rcepteur rpond
par des rponses chaque commande.

Rcepteur

(UA) (MTA)

Remarque : les commandes et les rponses ne tiennent pas compte de la casse (indiffrence entre
majuscules et minuscules)

1.11.2.2./ L'mission de courrier

1.11.2.2.1./ Prsentation

Pour transmettre des messages, le protocole SMTP utilise deux notions :

) Le chemin inverse qui indique l'metteur du courrier.


) Le chemin direct qui indique le destinataire.

Ces deux chemins constituent l'en-tte SMTP. La casse doit tre respecte.

Un exemple de denvoie dun message entre deux correspondant (Joe et Nadia) est donn ci dessous.

JOE SVRL SVRA SVRB SVRC NADIA

Le chemin inverse :
Joe@SVRL
Le chemin inverse :
Le chemin direct : SVRA, Joe@SVRL
SVRA, SVRB, Nadia@SVRC
Le chemin direct :
SVRB, Nadia@SVRC

RESEAUX (volume 2) COURS Page 219


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La transmission d'un message se fait en trois tapes :

) Lidentification de l'metteur.
) La ngociation des rcipiendaires.
) Lenvoi du message.

La 1re tape est ralise par la commande MAIL. Sa syntaxe est la suivante :

Mail <SP> FROM: <Chemin inverse> <CRLF>

Elle indique au rcepteur une nouvelle transaction. Elle permet de prciser plusieurs botes aux lettres.
La rponse positive issue du serveur est 250 OK.

La 2me tape est ralise par la commande RCPT. Sa syntaxe est la suivante :

RCPT <SP> TO: <Chemin direct>

Elle indique les destinataires. La rponse positive issue du serveur est 250 OK.

La 3me tape est ralise par la commande DATA suivi du message DATA <CRLF>. La rponse
positive issue du serveur est 354 intermediate. Le message contient l'en-tte du message (To, Cc,
From, etc). Il est termin par un point (Squence <CRLF> .<CRLF>). La rponse positive issue du
serveur est 250 OK.

1.11.2.2.2./ Exemples

Ci dessous est donn le Schma du dialogue dun envoi de courrier de user1 user2, user3 et user4 sur
le domaine exemple.cnam.fr

R:220 mac1.exemple.cnam.fr ESMTP service


E:HELO
R: 250 mac1.exemple.cnam.fr
E : MAIL FROM : user1@exemple.cnam.fr
R : 250 OK
E : MAIL FROM : user2@exemple.cnam.fr
R : 250 OK
E : MAIL FROM : user3@exemple.cnam.fr
R : 250 OK
E : MAIL FROM : user3@exemple.cnam.fr
R : 550 No such user here
E : DATA
R: 354 Ok Send data ending with <CRLF>.<CRLF>
E: <en-tte du message>
R : ..
E: <corps du message>
R : ..
E : <CRLF> . <CRLF>
R: 250 OK
E : QUIT

RESEAUX (volume 2) COURS Page 220


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Ci dessous est donn un exemple denvoie de courrier sur le serveur SVRL par un telnet sur le port 25.

# telnet SRVL.domaine.fr l 25

Netscape Messenger service version 4.5.3 Linux Mandrake Corporate serveur 1.01 Invite du serveur
> HELO RFC 821
220 OK
> MAIL FROM. Joe@domaine.fr
250 OK On veut envoyer
> RCPT TO Nadia@domaine.fr un courrier
250 OK Identification du
> DATA destinataire
354 Ok Send data ending with <CRLF>.<CRLF>
>TO : Nadia@domaine.fr
>FROM : Joe@domaine.fr
Rdaction du
>SUBJECT : Le test dun mail par telnet message
>Ceci est un test de mail par telnet
><CRLF>.<CRLF>
250 OK
>quit

1.11.2.3./ Les autres fonctionnalits

1.11.2.3.1./ Louverture et la fermeture d'une session

Elle sont ralises avec les commandes HELO et QUIT. Par exemple :

220 mac1.exemple.cnam.fr ESMTP service


HELO
250 mac1.exemple.cnam.fr
<ECHANGE EMETTEUR-RECEPTEUR>
QUIT

1.11.2.3.2./ La vrification d'une boite et expansion de liste

La vrification de lexistence dune bote au lettre est ralise par la commande VRFY. Par exemple :

VRFY <chane de caractres>


VRFY chevalier_inexistant
251 User not local; will attempt delivery
VRFY italo.calvino
250 Italo Calvino <italo.calvino@exemple.cnam.fr>

Lextension dune liste denvoie (mailling) est ralis par la commande EXPN. Par exemple :

EXPN <chane de caractres>


EXPN liste-users
250 user1 <user1@exemple.cnam.fr>
250 user2 <user2@exemple.cnam.fr>
250 user3 <user3@exemple.cnam.fr>

RESEAUX (volume 2) COURS Page 221


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.2.3.3./ Lmission et le postage

L'envoi d'un message dans la BAL de l'utilisateur est appel le postage. L'envoi d'un message sur le
terminal de l'utilisateur est appel transfert. Trois commandes similaires MAIL sont pourvues :

Send. SEND <SP> FROM <chemin-inverse>


Send Or MaiL. SOML <SP> FROM <chemin-inverse>
Send And MaiL. SAML <SP> FROM <chemin-inverse>

1.11.2.3.4./ Le relais de message.

Un Agent Utilisateur peut dfinir de faon explicite la route directe utiliser pour lenvoie dun
message. La route directe utiliser peut tre de la forme :

) @MAC1,@MAC2:USER1@MAC3 reprsente la route.


) MAC1, MAC2,MAC3 sont des noms d'htes (machines).
) USER1@MAC3 est l'adresse de l'utilisateur.

Une route de la forme USER1@MAC3 est la fois une route et une adresse. Les mcanismes mis en
uvre sont les suivants :

) Lors de l'envoi du message, le premier hte mentionn dans la route inverse est l'metteur du
message. Le premier hte de la route directe est le serveur SMTP traitant le message.

) Lors d'un relais de message, le serveur SMTP examine le premier hte du chemin direct. Si ce
nom lui correspond, il l'efface du chemin direct. S'il ne lui correspond pas, le serveur SMTP
utilise cet hte comme destination suivante. Le serveur ajoute son nom d'hte dans le chemin
inverse.

) Lors de la livraison finale, le rcepteur SMTP insre la route inverse en dbut des donnes du
message (en-tte et corps du message) et insre des informations de marquage temporel.

1.11.2.4./ Rsum des commandes SMTP

Mot-cl Syntaxe Signification


Hello HELO Initie une session SMTP avec identification des parties
Mail MAIL Commence une nouvelle transaction et prcise l'origine du message (destination inverse)
Recipient RECIPIENT Prcise la destination du message
Data DATA Commence le dbut du message (en-tte + corps)
Send SEND Identique Mail mais le message est envoy un terminal
Send or Mail SEND OR MAIL Envoi du message sur le terminal ou dans la bote aux lettres
Send and Mail SEND ANS MAIL Envoi du message sur le terminal et dans la bote aux lettres
Reset RSET R-initialise une transaction
Verify VRFY Vrifie un utilisateur (bote ou adresse)
Expand EXPN Fournit le contenu d'une liste de diffusion
Help HELP Renvoie la liste des commandes
Noop NOOP Ne fait rien (maintient en fait un change entre 2 serveurs SMTP)
Turn TURN
Quit QUIT Termine la session SMTP

RESEAUX (volume 2) COURS Page 222


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.2.5./ Le format des messages - RFC 822

Dans le monde TCPI/IP, SMTP (RFC 821) spcifie le protocole de transmission du courrier. La RFC
822 prcise la structure des messages et des adresses. On a :

) La structure d'un message est constitu par :

. Une En-tte.
. Une ligne blanche.
. Un corps du message.
. Une suite de lignes termines par CR/LF.

) Le format des lignes d'en-tte est le suivant :

FROM: lexpditeur.
TO: le(s) destinataire(s).
CC: copie .
BCC: copie en aveugle.
REPLY-TO: ladresse de rponse.
ERROR-TO: ladresse en cas derreurs.
DATE: la date dexpdition.
RECEIVED : les informations de transferts.
MESSAGE-ID: lidentificateur unique de msg.
SUBJECT: le sujet.

1.11.2.6./ Le format des adresses - RFC 822

Ladresse lectronique identifie de manire unique chaque bote au lettres.

Les adresses globales qui sont les plus utilises peuvent tre dfinies par :

) Personne@Machine.Domaine
) Personne@Domaine

Exemples :

Jean.dupont@mac1.exemple.cnam.fr
Jean.dupont@exemple.cnam.fr

Les adresses littrales qui sont dconseiller sont du style Personne@Machine.Domaine. Par
exemple : jean@195.83.252.2

Les adresses avec routage explicite qui sont de moins en moins utilises en raison du SPAM peuvent
tre dfinies par :

) @domain1,@domain2:Jean@exemple.cnam.fr (RFC 822)


) Jean@exemple.cnam.fr%domain1%domain2 (RFC 1123)

RESEAUX (volume 2) COURS Page 223


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Remarques : Il ny a pas de diffrence entre minuscules et majuscules pour la partie distante mais en
thorie importante pour la partie locale ( de nombreux systmes ne la font pas.) il faut faire attention
aux caractres autorises (limitation par RFC du DNS)

Lors de la mise en place dun serveur de messagerie, par convention on doit mettre 2 adresses
particulires :

) postmaster qui est une bote au lettre obligatoire. Elle reoit tous les messages en erreur.

) abuse qui permet en cas de problme dusurpation du serveur de messagerie de recevoir les
messages de rclamation des destinataires de SPAM afin den tre inform.

1.11.2.7./ SMTP et DNS

1.11.2.7.1./ Presentation

SMTP utilise le DNS (Domain Name Service) et plus particulirement le champ MX (Mail eXchanger
voir 1.9.12.2.5.7). Le(s) champ(s) MX indique(nt) le(s) serveur(s) destinataire(s) des messages pour
le domaine considr.

Les diffrentes utilisations du champ MX sont :

) Prciser un ou des serveurs traitant les messages destination d'un domaine. Par Exemple :

mac1.exemple.cnam.fr in MX 10 exemple.cnam.fr
mac2.exemple.cnam.fr in MX 20 exemple.cnam.fr

Les messages destination de exemple.cnam.fr seront envoys d'abord mac1 puis ensuite
mac2.

) Centraliser la distribution du courrier. Un ou plusieurs serveurs sont utiliss comme relais


l'intrieur d'un mme domaine.

La RFC 974 dfinit le traitement des MX par SMTP. Entre autre, on a :

) L envoi d'un courrier de A vers B.

) A interroge le DNS et rcupre la liste des MX.

) Si la liste est vide, on a une connexion directe B, sinon on tri de la liste par priorit.

) Si A figure dans la liste, il y a suppression de tous les champs ayant une priorit infrieure ou
gale.

) Si la liste est vide, c'est une erreur.

) Sinon A tente d'ouvrir une connexion avec les serveurs de la liste par ordre de priorit.

RESEAUX (volume 2) COURS Page 224


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Domaine 1 Domaine 2
JOE NADIA
FW INTERNET FW
mac 1
SMTP DNS SMTP
MX :exemple.cnam.fr

Domaine 3
PAUL
Le 1er dialogue de FW
vrification de lexistance mac 2
du nom de domaine DNS SMTP
seffectue entre le SMTP
de lemeteur et les MX : exemple.cnam.fr
serveurs DNS

1.11.2.7.2./ Exemple d'architecture

Soit une architecture de messagerie compose de deux relais de messagerie (Relais1 et Relais2), d'un
serveur central (SVRC), et de trois autres serveurs SVR1, SVR2, SVR3.

Les relais de messagerie sont les seuls connus de l'Internet. SVRC, SVR1, SVR2, SVR3 grent chacun
une partie des botes au lettres de chaque domaine.

Domaine 1
INTERNET SNTP

SNTP Domaine 2
SNTP
Clients
locaux

Domaine 3
SNTP

RESEAUX (volume 2) COURS Page 225


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le serveur du DNS du domaine est configur comme suit :

Relais1.exemple.cnam.fr in MX 10 exemple.cnam.fr
Relais2.exemple.cnam.fr in MX 20 exemple.cnam.fr

Les serveurs Relais1 et Relais2 ne consultent pas les MX et acheminent les messages vers SVRC

1.11.2.8./ Les limitations de SMTP

La RFC 821 imposent d'avoir :

) Des messages sur 7 bits


) Un nom d'utilisateur < 64 caractres
) Un nom de domaine < 64 caractres
) Un nombre de destinataires < 100
) Des lignes < 1000 caractres

Pour rpondre ces limitations, il existe deux approches complmentaires qui sont :

) MIME (Multipurpose Internet Mail Extensions) qui est conforme la RFC 821 et qui permet
de crer des messages contenant des accents.

) Dfinition de ESMTP (Extended SMTP) qui est une extension au protocole SMTP. Cest une
volution compatible du protocole SMTP ( compatibilit avec les implmentations actuelles
ou venir).

1.11.2.9./ Rcapitulatif des pour SMTP


EXPEDITEUR

DESTINATAIRE
Entte
SUJET : -------------------------------
DESTINATAIRE
(chemin direct)
SMTP : ----------
RFC RFC 822
--------------------------------------------
821 --------------------------------------------
EXPEDITEUR --------------------------------------------
(chemin inverse) Corps --------------------------------------------
--------------------------------------------
--------------------------------------------
--------------------------------------------

Pices jointes Extention


MIME

Envoi : RFC 974

RESEAUX (volume 2) COURS Page 226


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.3./ MIME: Multipurpose Internet Mail Extensions

1.11.3.1./ Prsentation

L'extension MIME t crer en 1993 suivant la RFC 1521. Il pallie les inconvnients de la RFC 821.
Il permet une longueur des lignes illimit, un nouveaux jeux de caractres avec plusieurs polices et
fontes de caractres (text/enriched).

Avec MIME, un message peut contenir plusieurs "objets" tel que des "binaires" spcifiques certaines
applications ou des objets multi-mdia (images, son, vido, etc.).

La RFC 822 spcifie l'en-tte des courriers. Elle ne s'occupe pas du corps qui est du texte ASCII sur 7
bits. Lapproche propos par MIME s'intresse au contraire au corps du message en le structurant en
contenus (body-parts). Il prcise les diffrents types de contenus possibles et il standardise les
mthodes de transfert de donnes 8 bits. De plus, des lments sont ajouts l'en-tte dfini dans la
RFC 822.

En rsum MIME spcifie le type du message (texte, image, son, vido) ainsi que son codage.

1.11.3.2./ Les types de message MIME

Les types prsents ci dessous sont supports par MIME :

) Le type Text : deux sous-types et un paramtre (charset) sont supports qui sont les suivants :

. Text/plain : charset=iso-8859-1.
. Text/richtext (RFC 1563). Gestion des polices de caractres.

) Le type Image : deux sous-types aucun paramtre sont supports qui sont Image/gif et
Image/jpeg.

) Le type Audio : un seul sous-type sans paramtre est support. Cest Audio/basic (8 bits,
8000 Hz, simple canal).

) Le type Video : un seul sous-type sans paramtre est support. Cest Video/mpeg.

) Le type Application (octet-stream) : cest le sous-type le plus gnral. Il correspond un type


de donne pour une application externe comme par exemple un fichier word ou un fichier
postscript.

) Le type Message : Il sert encapsuler d'autres courriers (embedded). Il existe trois sous-types
dfinis qui sont :

. RFC 822
. Partial
. external-body (url, ftp, etc).

RESEAUX (volume 2) COURS Page 227


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le type multipart : Il spcifie qu'un message est constitu de plusieurs sous-messages. Le


paramtre boundary= spcifie une chane de caractres qui spare chaque sous-partie du
message. Chaque sous-partie est compose d'une en-tte miniature spcifiant nouveau un
type et un sous-type MIME. Il existe plusieurs sous-types qui sont :

. Multipart/mixed : les diffrents constituants sont indpendants.

. Multipart/alternative : L'affichage est laiss la diligence de l'UA.

. Multipart/digest : chaque constituant est lui-mme un mail.

. Multipart/parallel : les diffrents constituants sont prsents simultanment l'utilisateur.

. Multipart/related : les diffrents composants constituent un seul et mme document (RFC


2112).

1.11.3.3./ Les types dencodage

Lencodage est prcis dans le champ content-Transfer-Encoding de l'entte MIME. Il existe cinq
codages qui sont :

) Texte 7 bits, US-ASCII (RFC 821).

) Quoted-Printable : les caractre accentu remplac par une squence. Il faut prciser
l'alphabet utilis. Il est essentiellement utilis pour le texte.

) Base 64 : texte, image, son sur 24 bits dcoups en 4 caractres US-ASCII (jeu de caractres
= alphabet de 6 bits).

) 8 Bits : les lignes sont composes de caractres 8 bits. Il faut prciser l'alphabet (par exemple :
iso-latin1).

) Binary : flot binaire.

En rsum :

Codage Informations sur Code sur Transportable avec


7 bits 7 bits 7 bits SMTP
quoted-printable 8 bits 7 bits SMTP
base64 8 bits 7 bits SMTP
8bit 8 bits 8 bits ESMTP/8 bits
binary 8 bits 8 bits ESMTP/binaire

RESEAUX (volume 2) COURS Page 228


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.3.4./ Exemples

Entte SMTP

Entte du message RFC


822 extension MIME

Corps du message

Pices jointes

Entte SMTP

Entte du message RFC


822 extension MIME

Corps du message

RESEAUX (volume 2) COURS Page 229


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.4./ ESMTP - Extended SMTP

1.11.4.1./ Prsentation

L'ide de ESMTP est d'offrir des extensions SMTP en conservant la compatibilit avec SMTP. Il
ajoute les fonctionnalits nouvelles qui sont :

) Commandes optionnelles de SMTP.


) Transport des messages contenant des caractres 8 bits.
) Transport de binaires ou de gros messages.
) mission des messages en attente.
) Accus de remise.
) Dclaration de la taille des messages.
) Commandes la file.
) Reprise de transactions interrompues.
) Authentification du client.

La RFC 1651 dcrit un nouveau mot-clef : EHLO. Si le rcepteur reconnat ce mot-cl on a un


dialogue ESMTP qui sinitialise. Le rcepteur SMTP envoie alors l'metteur les commandes qu'il
accepte. Si le rcepteur ne le reconnat pas le dialogue se poursuit en SMTP.

Exemple :

EHLO exemple.cnam.fr
250-poste.exemple.cnam.fr
250-PIPELINING
250-HELP
250-EXPN
250-ETRN
250-DSN
250-SIZE 3145728
250-AUTH PLAIN LOGIN
250 AUTH=LOGIN

1.11.4.2./ Commandes optionnelles de SMTP

Elles sont Dfinies dans la RFC 1869. ESMTP fournit au client un moyen simple d'apprendre si le
serveur supporte les commandes optionnelles. Ces commandes sont :SEND, SOML, SAML, EXPN,
HELP et TURN.

Exemple : EHLO exemple.cnam.fr


250-poste.exemple.cnam.fr
250-PIPELINING
250-HELP
Commandes optionnelles acceptes par le serveur
250-EXPN
250-ETRN
250-DSN
250-SIZE 3145728
250-AUTH PLAIN LOGIN
250 AUTH=LOGIN

RESEAUX (volume 2) COURS Page 230


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.4.3./ Transport des messages contenant des caractres 8 bits

La RFC 1652 (qui remplace la RFC 1426) spcifie qu'un message contient des caractres 8 bits par
lajout d'un paramtre "body" la commande MAIL. La syntaxe est la suivante :

body-value ::= "7BIT" | "8BITMIME"


MAIL FROM: expditeur BODY= 8BITMIME
MAIL FROM: expditeur BODY= 7BIT

Si le premier relais propose l'extension 8BITMIME, il garantit par l que les messages arriveront
destination sans altration. Si le relais suivant ne propose pas l'option 8BITMIME, le message est
converti en quoted-printable ou en base64.

1.11.4.4./ Le transport de binaires ou de gros messages

Les extensions dfinies dans la RFC 1830 permettent le transport des messages binaires ou des gros
messages. L'expansion due la traduction en base64 et transparence point sont supprimes.

L'extension CHUNKING incluse la commande DAT par une ou plusieurs commandes BDAT.

Chaque commande BDAT prcise le nombre d'octets et les octets transmettre. La dernire
commande BDAT d'un message contient le paramtre LAST. La syntaxe est la suivante :

BDAT taille [ LAST ]

L'extension BINARYMIME requiert l'extension CHUNKING car elle utilise galement BDAT. Elle
ajoute un paramtre supplmentaire la commande MAIL :

MAIL FROM: expditeur BODY=BINARYMIME

Les valeurs 8BITMIME ou 7BIT peuvent galement tre spcifies. Le message est ensuite transmis
avec BDAT.

1.11.4.5./ Lmission des messages en attente

Cest la dfinition de l'extension ETRN, dans la RFC 1985. Elle est utilise par les sites qui n'ont pas
de connexion permanente l'Internet. Elle ncessite un relais de courrier connect lui aussi en
permanence pour la rception des messages pour les sites destinataires et le stockage des messages en
attendant une connexion des sites destinataires.

Lorsque le site destinataire se connecte, Il demande le traitement des messages en attente avec la
commande ETRN suivi du nom du site. Le serveur relais traite la file d'attente pour ce serveur.

RESEAUX (volume 2) COURS Page 231


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.4.6./ Accus de remise DSN (Delivery Status Notifications).

Il est dfinis dans les RFC 1891 1894. Cest un message informant l'metteur du dpt de son
message initial dans la bote aux lettres de son destinataire. Attention : il s'agit du dpt pas de la
lecture.

L'metteur peut choisir les conditions d'mission de l'accus :

) Aucun accus.
) Accus de russite, d'chec, ou de retard de remise.
) Accus contenant le message initial.
) Accuse contenant seulement l' en-tte du message initial.

Si le rcepteur prend en charge l'accus, il garantit l'mission d'un accus et il envoie un accus d'chec
si le rcepteur suivant ne supporte pas cette option.

Lajout de paramtres MAIL et RCPT la syntaxe suivante :

RCPT TO: destinataire NOTIFY=raison ORCPT=adresse


Raison = NEVER, SUCCESS, FAILURE et DELAY
Adresse contient l'adresse originale
MAIL FROM: expditeur RET=retour ENVID=identificateur

Le retour du destinataire est FULL ou HDRS. Le paramtre identificateur, est choisi par l'UA de
l'expditeur.

1.11.4.7./ La dclaration de la taille des messages

Elle est dfinit dans la RFC 1870. Cest le serveur ESMTP annonce la taille maximum des messages
qu'il admet. Le client quand a lui, annonce la taille du message afin de permettre au site rcepteur
d'accepter ou de refuser le message. Le serveur peut annoncer la taille maximum en ajoutant cette
valeur derrire l'annonce de l'extension SIZE. Comme pour 8BITMIME, le client peut annoncer la
taille du message en ajoutant un paramtre supplmentaire la commande comme suit :

MAIL de SMTP :
MAIL FROM : expditeur SIZE=taille

La rponse du serveur peut tre l'acceptation du message, le refus temporaire, ou le refus dfinitif.

1.11.4.8./ Les commandes la file

Le protocole SMTP est un protocole pas pas. Une requte donne lieu une rponse et la requte
suivante ne peut tre mise qu'aprs rception de la rponse.

Dans les liaisons grande latence, ce mode pas pas est pnalisant en terme de dbit. L'extension
PIPELINING, dfinie dans la RFC 2197, a pour but d'augmenter le dbit. Avec cet extension, le client
met plusieurs commandes sans attendre le rponse. Par exemple : le client pourra mettre la
commande MAIL, les commandes RCPT et la commande DATA dans la foule.

RESEAUX (volume 2) COURS Page 232


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.4.9./ La reprise de transactions interrompues

Lextension CHECKPOINT est dfinie dans la RFC 1845. Elle est particulirement intressante pour
les gros transferts. Elle consiste lajout d'un paramtre la commande MAIL :

MAIL FROM: expditeur TRANSID=<identificateur@client>

L'identificateur identifie le message sur le site client. Le paramtre TRANSID est spcifi lors de la
transaction originale. Si le transfert est interrompu, le client reprend l'identificateur original. Le serveur
envoie alors l'endroit dans le message o l'interruption s'est produite Le client transfre alors la fin du
message.

1.11.5./ Les problmes lis au courrier lectronique

1.11.5.1./ Introduction

Les principaux problmes li au courrier lectronique sont les suivants :

) Lauthentification : il n'existe pas de mcanisme d'authentification propre SMTP et le mot


de passe circule en clair avec POP 3. Les solutions sont une authentification avec LDAP
(malheureusement qui peut tre contourne) et les extensions MIME (RFC 2222).

) La confidentialit : les messages circulent en clair sur le rseau. Il existe deux solutions de
cryptographie qui sont PGP et S-MIME.

La configuration des options de scurit de Kmail sous LINUX

RESEAUX (volume 2) COURS Page 233


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le Spam et le relayage : cest un des plus gros problme du courrier lectronique. Les
solutions sont les suivantes :

. Une configuration correcte des serveurs pour viter le relayage.


. La mise en place de rgles anti-SPAMS.
. Une organisation mise en place auprs des utilisateurs (sensibilisation, procdures).

) Les virus : la messagerie est le principal vecteur de propagation des virus. Les solutions sont :

. Une sensibilisation des utilisateurs.


. Une protection des postes de travail.
. La mise en place de relais anti-virus (indispensable).

1.11.5.2./ Le SPAM

1.11.5.2.1./ Prsentation

Cest le courrier non sollicit qui est envoy de trs nombreuses personnes. La classification du
SPAM est la suivante :

) UBE (Unsollicited Bulk Email) : acronyme gnrique pour dsigner les SPAMS quel que soit
le sujet (commercial, publicit, chane, propagande, etc.).
) UCE (Unsollicited Commercial Email). Courriers commerciaux.
) MMF (Make Money Fast). Il s'agit des chanes (interdites en France).
) MLM (Multi-Level Marketing) : Systmes pyramidaux (interdits en France).

Une autre classification consiste distinguer les SPAMS selon qu'ils sont :

) Gnants : publicits essentiellement ?


) Illgaux : chanes, rvisionnisme, pdophilie, etc

Pour l'utilisateur le SPAM encombre les botes aux lettres (surtout avec un accs permanent Internet)
et il induit un cot de communication supplmentaire (pour une connexion par Modem). Il est
impratif de mettre en uvre des rgles de filtrage anti-SPAMS

Pour l'administrateur il rquisitionne de la bande passante et de loccupation sur les disques.

1.11.5.2.2./ Le SPAM : comment ragir ?

Reconnatre un SPAM est facile, mais reconnatre son auteur peut s'avrer plus dlicat car l'en-tte est
falsifiable et le site peut avoir t victime de relais.

Ce qu'il faut ne pas faire cest inonder de messages l'adresse indique dans le champ From car trs
souvent l'adresse est bidon ou appartient une victime.

Ce qu'il faut faire cest envoyer un message de protestation l'adresse abuse du site d'o provient le
message, puis de menacer de filtrer tous les messages en provenance du domaine, et de filtrer les
messages s'il n'y a pas de raction dans un dlai raisonnable (48 heures).

RESEAUX (volume 2) COURS Page 234


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

L'adresse abuse@site est utiliser pour dposer les plaintes. Il est prfrable de crer cette adresse sur
son propre site car cest un gage de bonne volont. Si cette adresse nexiste pas , on utilise alors
postmaster@site pour y dposer une mise en garde valable pendant 24h.

1.11.5.2.3./ Le filtrage des SPAMS

Le filtrage peut tre ralis au niveau de l'utilisateur ou au niveau du site.

Le Filtrage au niveau utilisateur consiste dfinir des filtres ou des listes noires locaux et envoyer
dans un dossier spcial des courriers filtrs. Il peut s'avrer rapidement complexe et difficile grer. Il
est peut efficace pour le serveur de courier local.

Filtrage au niveau du site permet :

) le filtrage des adresses individuelles ou de sites connus comme tant des spammeurs.
) Le filtrage temporaire des sites servant de relais.
) Le filtrage des adresses invalides.
) Le filtrages des adresses IP non valides (pas des rsolution inverse).
) Le filtrage des adresses IP qui ne sont pas autorises utiliser le domaine.

La mise en oeuvre des filtres passe par la mise en uvre de rgles anti-SPAMS tel que :

) Lanalyse des adresses IP et des serveurs DNS.


) Lanalyse des routes (MAIL, FROM, RCP TO) de lentte SMTP (RFC 821).
) Lanalyse des enttes RFC 822.

Les rgles de filtrage au niveau utilisateur paramtrables avec Kmail sous LINUX

1.11.5.3./ La protection anti-virus

La protection anti-virus consiste classiquement protger les postes de travail. Une telle vision est
restrictive dans un environnement ouvert sur Internet.

RESEAUX (volume 2) COURS Page 235


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Dans un tel environnement, il convient de protger :

) Les serveurs de communication : messagerie et proxy.


) Les serveurs de fichiers.
) Les postes de travail.

Une bonne approche consiste mettre en oeuvre la solution anti-virus dans l'ordre pr-cit. Elle
consiste pousser les virus du haut vers le bas. L'anti-virus messagerie sera install en tant que relais
de messagerie pour :

) Pour les messages en provenance de l'Internet (dclar comme MX).


) Pour les messages en provenance du domaine (serveur sortant).

De prfrence la solution retenu doit offrir des mcanismes de supervision et des mcanismes de
tlchargement automatique de signatures.

1.11.6./ La lecture hors ligne POP3 et IMAP4

1.11.6.1./ Introduction

SMTP a t conu pour des serveurs capables de recevoir et traiter le courrier pour des Agent
Utilisateur locaux. Il rpond au besoin de pouvoir lire des messages partir de postes de travail
dports.

Deux constats :

)
Les postes de travail n'ont pas ncessairement la capacit pour implanter un serveur SMTP.
)
Ils non pas de connexion permanente un rseau de type IP.

Les solutions mises en uvre sont :

) Un serveur SMTP qui fournit galement un service de dpt de courrier.


) Des postes de travail qui interrogent un service qui leur permet d'accder au dpt de courrier.

Dans ce cadre deux solutions ont t proposes dans le monde TCP/IP :

) POP3 (Post Office Protocol) : le protocole le plus rpandu.


) IMAP4 (Internet Message Access Protocol) : protocole plus rcent, plus complet et terme
devant remplacer POP3.

1.11.6.2./ POP - POST OFFICE PROTOCOL

1.11.6.2.1./ Prsentation

POP3 a t dfini dans la RFC 1939. Il propose un protocole de retrait de courrier simple dont les
mcanismes mises en uvre sont :

) Un serveur coute sur le port TCP 110.


) Le client se connecte sur ce serveur.
) Le serveur lui donne accs (ventuellement aprs authentification) bote.

RESEAUX (volume 2) COURS Page 236


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les options de configuration dun compte POP3


avec Kmail sous LINUX

Les caractristiques du mcanisme sont :

) La non gestion de la bote au lettres au niveau du serveur.


) Les messages lus sont gnralement effacs.

Larchitecture mises en uvre avec POP3 est la suivante :

Post office Protocol est bas sur un jeu de commandes et des rponses simples. Il est galement bas
sur des tats pour lesquels certaines commandes sont valides.

Les commandes sont des mot-cls indpendants de la casse. Les mot-cls sont forms de trois ou
quatre caractres et admettent des paramtres (40 caractres maxi).

Les rponses sont des mot-cls ventuellement suivi d'informations complmentaires. Deux mot-cls
important sont "+OK" pour une rponse positive et " -ERR" pour une rponse ngative. La fin d'une
rponse sur plusieurs ligne est marque par un point.

RESEAUX (volume 2) COURS Page 237


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les tats de Post Office Protocol sont :

) L'tat autorisation : tat atteint aprs que le client s'est connect.

) L'tat transaction : tat atteint aprs l'authentification du client.

) L'tat mise jour : tat obtenu aprs la rception de la commande QUIT.

1.11.6.2.2./ Les commandes POP3

1.11.6.2.2.1./ Les commandes d'authentification (Etat autorisation)

La commande user (associ la commande pass) identifie l'utilisateur. Sa syntaxe est USER nom.
Elle est donne uniquement dans l'tat autorisation ou aprs une commande user ou pass invalide.

La commande pass (associ la commande user) authentifie l'utilisateur. Sa syntaxe est PASS mot-
de-passe-en-clair. Elle est donn uniquement dans l'tat autorisation aprs une commande user valide.

Exemple :

C : USER dupond
S : -ERR pas de dupont connu
C : USER dupont
S : +OK dupont est connu (a c'est malin !)
C : PASS dupont1
S : +OK dupont 3 messages

La commande APOP identifie et authentifie l'utilisateur. Sa syntaxe est APOP user chane-de-
caractres o la chane de caractre est un digest de type MD5. Elle est donn uniquement dans l'tat
autorisation ou aprs un commande user ou pass invalide.

1.11.6.2.2.2./ Les commandes de manipulation des messages (Etat transaction)

La commande Stat donne le nombre et la taille globale de messages. Sa syntaxe est stat. Elle est
utilise seulement pendant les transactions.

La commande List donne la liste des messages et leur taille. Sa syntaxe est list [msg] o msg est le
numro de message spcifi (paramtre optionnel). Elle est utilise seulement pendant les transactions.

La commande Retr retire le message. Sa syntaxe est retr msg. Elle est utilise seulement pendant les
transactions.

La commande Dele dtruit le message. Sa syntaxe est dele msg. Elle est utilise seulement pendant
les transactions.

RESEAUX (volume 2) COURS Page 238


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Exemple :

C : STAT
S : +OK 2 2001
C : LIST
S : +OK 2 messages (2001 octets)
S : 1 1001
S : 2 1000
C : RETR 1
S : +OK 1001 octets
S : < envoie du message>
C : DELE 1
S : +OK message 1 deleted

1.11.6.2.2.3./ Les commandes de consultation (Etat transaction)

La commande top lit l'entte et les premire lignes du message. Sa syntaxe est top msg n. Elle est
utilise seulement pendant les transactions.

La commande uidl fournit l'identificateur du message. Sa syntaxe est uidl msg. Elle est utilise
seulement pendant les transactions.

1.11.6.2.2.4./ Les autres commandes

La commande rset efface l'effet des commandes delete prcdentes. Sa syntaxe est rset. Elle est
utilise seulement pendant les transactions.

La commande noop ne fait rien. Sa syntaxe est noop. Elle est utilise seulement pendant les
transactions.

La commande quit passe dans l'tat mise jour. Sa syntaxe est quit. Elle est utilise seulement
pendant les transactions.

1.11.6.3./ IMAP - Internet Message Access Protocol.

IMAP4 est dfini dans la RFC 2060 (La RFC 1730 tant obsolte). La RFC 2086 dfinit les droits
d'accs (ACL Access Control List) sur la bote et la RFC 2087 dfinit la gestion des quota.

Cest un vritable protocole de gestion du courrier entre le client et le serveur. Dans pop3, le client
rapatrie son courrier depuis le serveur. Avec IMAP, le client : gre son courrier en local et sur le
serveur.

Les mcanismes mise en uvre sont les suivants :

) Un serveur coute sur le port TCP 143.


) Le client se connecte sur ce serveur.
) Le serveur lui donne accs (ventuellement aprs authentification) bote.
) Le client consulte ses dossiers, rapatrie certains messages, ou des portions de message.

RESEAUX (volume 2) COURS Page 239


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La configuration IMAP avec Netscape sous LINUX

Les caractristiques du protocole sont les suivantes :

) Manipulation des drapeaux d'tat des messages (Lu, Supprim, Rpondu, ou dfinis par
l'utilisateur).

) Possibilit de stockage des messages et gestion des dossiers distant.

) Possibilit daccs et gestion de botes aux lettres multiples.

) Gestion des accs concurrentiel des botes aux lettres partages.

) Possibilit de ne rapatrier que certaines parties d'un message avec des enttes MIME (par
exemple le corps dun message sans les pices jointes).

1.11.7./ La mise en uvre dun serveur de messagerie

1.11.7.1./ Introduction

Le serveur de messagerie permet lenvoi des messages issus des postes utilisateurs pour des client en
interne ou en externe dun reseau local. Gnralement ces deux fonctionnalit sont spar par deux
serveurs indpendant :

)
Un serveur SMTP pour lenvoie de courier.
)
Un serveur de reception de courier (Relais).

En rgle gnrale, la messagerie est utilise pour lenvoie de message sur le reseau local mais surtout
sur Internet. Pour des raisons videntes de scurit, de nombreuses protections sont prendre sur les
serveurs denvoie et de reception du courier lectronique.

RESEAUX (volume 2) COURS Page 240


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour la mise en place de larchitecture de gestion du courier dans un rseau local, on procedera dans
lordre suivant :

)
La mise en place du domaine de messagerie.
)
La configuration des serveurs.
)
La mise en place de rgles de scurit.

1.11.7.2./ Le domaine de la messagerie

La gestion du domaine est gre par le serveur DNS local et par les serveur DNS mondiaux. Lors dun
envoi de message, les champs MX (Mail eXchanger) doivent tre conrrectement renseigns (exemple :
relais2.exemple.cnam.fr in MX 10 exemple.cnam.fr.

La premire tape dans la mise en place dune messagerie consiste en la bonne configuration dun
serveur DNS.

DNS
MONDIAL
3

SVR1 DNS1 DNS2 SVR2


2
SMTP SMTP

dom1 dom2
FW INTERNET FW
1
4

EXPEDITEUR RELAIS1 RELAIS2 5 DESTINATAIRE


SMTP SMTP

Les serveurs SVR1 et SVR2 ont pour fonction de grer lenvoi des messages vers le rseau local et
vers Internet. A linverse, les serveurs RELAIS1 et RELAIS2 receptionnent les messages en
provenance du rseau local et de Internet.

Les tapes denvoi dun mesage sont les suivantes :

1 : Lexpditeur lance la requette denvoie de courier au serveur SMTP SVR1.


2 : Le serveur SMTP interroge le serveur DNS pour identifier le nom de domaine du destinaire
(dom2).
3 : Le serveur DNS1 interroge le serveur DNS mondial. La rponse est retransmise au serveur
SVR1. Il sagit ici de ladresse IP du relais de messagerie RELAIS2.
4 : Le serveur SVR1 connat maintenant la location du domaine de destination. Il envoie le
message par Internet vers le serveur RELAIS2.
5 : Le serveur RELAIS2 reoie le message. Lorsque le destinataire consultera la boite au lettre, il
recevra le message.

RESEAUX (volume 2) COURS Page 241


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.7.3./ La configuration des serveurs de mesagerie

Pour le serveur denvoi des messages via SMTP, il faut utiliser un service (dmon) de messagerie. Il
en existe plusieurs comme :

) SendMail (UNIX LINUX : le plus utilis mais aussi le plus complexe).


) PostFix (SendMail allg pour LINUX : plus simple mettre en oeuvre).
) Netscape.
) Lotus Domino.

Sur le serveur SMTP, il faut crer les comptes utilisateurs qui pourront utiliser la messagerie.

Pour le service SendMail, les fichiers de configuration connatre sont :

) /etc/sendmail.conf qui contient la configuration du serveur SMTP comme le nom de


dommaine, les emplacements des botes aux lettres, et lemplacement de la bote denvoi des
courriers en attente.
)etc/aliases qui contient les alias des adresses email.
)var/spool/mail/user1[user2][user3][] qui contient les messages des utilisateurs.
)var/spool/mqueue qui contient les messages en attente dtre envoy.

Les adresses email des utilisateurs qui utiliseront les services de la messagerie sont dfinies partir de
lassociation des comptes users crs dans les serveurs et du nom de domaine indiqu SendMail.

Pour le serveur de reception des messages via SMTP, on pourra utiliser le service smtpd.

Sous LINUX, la configuration de SendMail peut tre faciment raliser avec le programme WEBMIN
comme lindique les copies dcran qui suivent.

RESEAUX (volume 2) COURS Page 242


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 243


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 244


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.11.7.4./ Les rgles de scurit

Dans larchitecture du dommaine, un firewall est necessaire pour protger des attaques daccs le
rseau local du monde exterieur et les serveurs. En plus, et vis vis de SMTP, il faut protger les
serveurs de courriers contre les SPAMS et les virus.

Les relais de messagerie permettent de sparer la reception de lmission du courrier qui est gre par
les serveurs SMTP. Cette technique permet de sparer les tches par et dappliquer plus facilement les
rgle anti SPAMS et danti-virus sur les courriers entrant. De plus si un serveurs ou un relais tombe,
lune des 2 fonctionnalits fonctionne encore.

Comme le danger vient de lexterieur du rseau local (Internet), le relais fait office de deuxime
FIREWALL ddi la reception du courrier. Tous les services non utile sur ce type de serveur doivent
tre arrts.

Enfin les relais et les serveurs SMTP doivent toujours tre dans la zone dmilitaris (DMZ) du rseau
local.

RESEAUX (volume 2) COURS Page 245


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12. / LANNUAIRE LDAP - LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL


1.12.1./ Introduction

LDAP pour Lightweight Directory Access Protocol est issu de X.500. Initialement LDAP tait un
protocole d'accs un annuaire X.500 avant que l'universit du Michigan n'en fasse un annuaire
standalone.

L'annuaire LDAP est une base de donne organise hirarchiquement qui recense des donnes sur des
objets qui peuvent tre des personnes, des serveurs, ou des imprimantes.

Il existe deux versions de LDAP : LDAPv2 et LDAPv3. Ce dernier devient un standard pour l'Internet
(RFC 2251). LDAP fournit les services suivants :

) Un protocole de communication utilisant un encodage.


) Un modle de donnes.
) Un modle de nommage.
) Un modle fonctionnel.
) Un modle de scurit.
) Un format d'change de donnes, le format LDIF.
) Un modle de duplication.

Les usages d'un service d'annuaire LDAP sont les suivants :

) Un service d'annuaire.
) Un service d'authentification pour la messagerie et pour les applications Internet/Intranet.

1.12.2./ Le protocole de communication

LDAP utilise principalement un protocole client/serveur dfini dans la RFC 2251. Il dfinit galement
des protocoles serveur/serveur pour le partage et la rplication d'annuaire.

Le client et le serveur changent des messages LDAP. Les messages LDAP sont cods sous une forme
simplifie de la norme BER ASN1.

Les requtes sont repres par un identifiant de requte (numro de squence). En cas de rponses
multiples, le client peut reprer les rponses sa requte.

RESEAUX (volume 2) COURS Page 246


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.3./ Le modle de donnes

1.12.3.1./ Prsentation

LDAP dfinit les informations stockes dans un annuaire et leurs reprsentations. Les informations
sont regroupes par objets. Un objet reprsente une abstraction du monde rel (ex: une personne, un
serveur).

Un annuaire est constitu d'un ensemble d'objets reprsents par des entres. Cet ensemble d'objets
constitue le schma. Une classe dobjet regroupe l'ensemble des objets fournissant les mmes donnes.

Une entre est constitues d'un ensemble de couples attributs valeurs d'attributs. Les attributs d'une
entre peuvent tre obligatoires ou optionnels.

Le synoptique du schma de l'annuaire est le suivant :

1.12.3.2./ Les classes et les attributs

1.12.3.2.1./ Les attributs

Rappel : le schma dcrit les classes d'objets, les attributs et leur syntaxe, cest dire, l'ensemble des
dfinitions relatives aux objets.

Les attributs sont caractriss par :

) Un nom qui l'identifie.


) Un Object Identifier (OID) qui l'identifie.
) Un drapeau qui donne sont tat mono ou multi-valu.
) Une syntaxe et des rgles de comparaison.
) Un format ou une limite de taille de valeur qui lui est associe.

Le nom doit tre unique dans l'annuaire. L'object Identifier est issu de X.500, il est aussi unique. Un
OID est une suite de nombres spars par des points et ils sont allous hirarchiquement. Par exemple
1.3.6.1.4.1.4203 OpenLDAP.

RESEAUX (volume 2) COURS Page 247


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Par dfaut, un attribut est multi-valu. Les attributs peuvent tre :

) Normaux (accessibles aux utilisateurs.)


) Oprationnels (utiliss par le serveur).

La syntaxe des attributs dfinie la reprsentation des valeurs des attributs (string, boolen) et la faon
dont les comparaisons sont ralises (ex: sensibilit la casse).

1.12.3.2.2./ Les classes

Toutes les entres de l'annuaire appartiennent une ou plusieurs classes d'objet (hritage). Une classe
d'objet possde un nom et un ensemble dattributs. Ces attributs peuvent tre obligatoires ou
optionnels. Les classes d'objets forment une hirarchie avec au sommet l'objet top.

Les noms de ces classes dobjet sont lists dans un type d'attribut multivalu spcial appel objectclass.
Une classe d'objet est caractrise par :

) Un nom de classe unique dans l'annuaire.


) Un identifiant de classe (OID) unique.
) Un ensemble d'attributs obligatoires gnralement petit.
) Un ensemble d'attributs optionnels gnralement plus grand.
) Un type qui peut prendre les valeurs structural, auxiliary ou abstract.

Le type de la classe est li la nature des attributs. La classe structurelle correspond aux objets de
bases manipuls dans l'annuaire (ex : les personnes). La classe auxiliaire dfinit des objets qui ajoute
des informations aux classes structurelles. La classe abstraite correspond des objets particuliers
comme top ou alias.

1.12.3.2.3./ Exemple de classe d'objet

RESEAUX (volume 2) COURS Page 248


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour dfinir le schma, il existe trois possibilits :

) Avec un fichier de configuration slapd.conf (Netscape par exemple).

) En ASN.1.

) Avec la syntaxe LDAP v3.

1.12.3.3./ Les modles de nommage

1.12.3.3.1./ Prsentation

Un modle de nommage dfinit l'organisation des donnes et la faon d'y accder. Il spcifie une
structure arborescente appele le Directory Information Tree (DIT) via laquelle on accde aux entres.
La hirarchie organisant les entres de l'annuaire est la diligence de l'organisation qui met en oeuvre
l'annuaire.

Une approche frquemment utilise, consiste classer les organisations par pays. Une autre approche
consiste organiser l'arbre suivant le nom de domaine de l'Internet. Le choix du nommage des entres
composant le DIT est trs important car il reflte lorganisation.

L'arbre est compos d'entres simples et d'alias. Avec LDAP v3, Les entres d'un annuaire peuvent
tre rparties entre plusieurs serveurs. Dans le cas d'un annuaire rparti, les entres d'un serveur sont
accessibles soit directement soit par des URL pointant sur un autre serveur.

1.12.3.3.2./ Le Directory Information Tree - DIT

Le DIT a plusieurs particularits. La premire est son absence de racine car la racine existante n'est pas
une entre, et par consquent aucune information n'y est stocke.

Tous les nuds du DIT sont des entres : ils contiennent des donnes. Dautre part, tous les nuds du
DIT peuvent avoir des entres filles.

Le DIT d'un annuaire rparti sur plusieurs serveurs est identique pour tous les clients qui le consultent
quel que soit le serveur partir duquel ils se connectent.

Exemple :

RESEAUX (volume 2) COURS Page 249


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.3.3.3./ Le nommage RDN et DN

Les entres dans l'arborescence sont identifies par le Relative Distinguished Name (RDN) ou le
Distinguished Name (DN).

Le RDN nomme l'entre elle-mme. Le DN la nomme de faon unique et la localise dans le DIT. Le
DN est form par la concatnation de tous les RDN jusqu' la racine.

Exemple :

cn=user1 a pour DN cn=user1,o=cnam,c=fr.

L'unicit du DN est garanti par le fait que tous les nuds fils d'un mme RDN sont distincts.

Les caractristiques d'un RDN sont les suivantes :

) Il est compos dun nom dattribut spar dune valeur par un gal.
) Il a la possibilit d'tre multivalu.

1.12.3.3.4./ Les alias

Les entres peuvent tre des entres simples ou des alias. Un alias est une entre pointant vers une
autre entre. L'entre pointe peut appartenir un annuaire sur un autre serveur ou le mme.

L'annuaire peut tre le mme ou bien un annuaire diffrent. L'utilisation des alias doit se faire avec
prudence car tous les serveurs LDAP ne les supportent pas. De plus il ont une incidence sur les
performances.

1.12.3.3.5./ Le referral

Il est possible de rpartir un annuaire sur plusieurs serveurs. Un client peut poser une requte au
serveur auquel il est rattach pour une entre situe sur un autre serveur. Dans ce cas, aprs la
vrification du DN par le serveur, celui-ci retourne au client un referral vers le serveur distant. Le
client doit alors contacter le serveur distant et lui poser la mme requte.

Un referral fournit les informations suivantes :

) Le nom du serveur contacter.


) Le numro de port du serveur.
) Le DN racine pour une recherche.

Exemple :

Un client connect un serveur A pose une requte sur l'entre ou=Eleves C B, ou = exemple,
o=cnam, c=fr qui est situe sur un serveur B.

Le serveur A dtecte que l'entre est situe sur le serveur C. Il renvoie au client le referral sur le
serveur C. on a alors : Ldap://svrc.cnam.fr:2389/ou=Eleves C B,ou=exemple,o=cnam,c=fr

RESEAUX (volume 2) COURS Page 250


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.3.4./ Le modle fonctionnel

1.12.3.4.1./ Prsentation

Il dcrit les oprations autorises sur un annuaire LDAP qui sont similaires aux oprations de
manipulation des fichiers sous UNIX (cp, mv, etc).

Il existe trois types doprations possibles :

) Les oprations d'authentification et de contrle.

) Les oprations d'interrogation pour lancer des recherches sur l'annuaire et rcuprer les
informations.

) Les oprations de mise jour dfinissant la faon de manipuler les entres de l'annuaire.

LDAP v3 ajoute une opration tendue pour rpondre de futurs besoins.

Un numro de squence est attribu chaque requte afin que le client puisse reconnatre les rponses.
A chaque opration, le serveur renvoie galement un acquittement.

1.12.3.4.2./ Les oprations d'authentification et de contrle

LDAP dfinit deux oprations d'authentification bind et unbind ainsi quune opration de contrle par
l'opration abandon.

L'opration Bind sert authentifier le client. Le client fournit un DN et un password. Aprs


vrification par le serveur, le client est autoris se connecter on non. L'authentification peut tre
scurise

Lopration unbind est utilise par le client pour se dconnecter du serveur. Le serveur termine toutes
les oprations en cours, puis ferme la connexion TCP.

Lopration abandon permet au client de demander au serveur l'arrt du traitement d'une opration. Le
client fournit l'ID du message de l'opration. Le serveur arrte alors lopration correspondante.

1.12.3.4.3./ Les oprations d'interrogation

LDAP offre deux oprations d'interrogation qui sont les oprations de recherche et de comparaison.

Lopration de recherche (search) offre une recherche multi-critres sur les entres de l'annuaire. Elle
simule la fonction de lecture (recherche limite une entre).

Lopration de comparaison (compare) vrifie qu'une entre contient une valeur d'attributs donne.

Les commandes search et compare admettent 8 paramtres qui sont donns dans le tableau suivant :

RESEAUX (volume 2) COURS Page 251


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Paramtre Signification
base object Entre partir de laquelle doit commencer la recherche
Scope la profondeur de la recherche
derefAliases si on suit les liens ou pas
size limit nombre de rponses limite
time limit temps maxi allou pour la recherche
search filter le filtre de recherche
attrOnly renvoie ou pas la valeur des attributs en plus de leur type
list of attributes la liste des attributs que l'on souhaite connatre

1.12.3.4.4./ Les paramtres des oprations d'interrogation

La profondeur de recherche peut prendre trois valeurs :

) Base : la recherche est limite l'entre dsigne.


) Onelevel : la recherche est limite aux enfants immdiats.
) Subtree : la recherche est limite l 'entre et son sous-arbre.

Nota : l'opration read correspond une recherche avec scope gal base.

L'expression de recherche est un ensemble de filtres. Il existe 6 types filtres qui sont :

) Le filtre d'galit.
) Le filtre de contenance.
) Le filtre d'approximation.
) Le filtre de comparaison.
) Le filtre de prsence.
) Le filtre extensible match (LDAP v3).

Les filtres peuvent tre combins par les oprateurs Et (&), Ou (|) et NOT (!). Le tableaux donne le
rcapitulatif des filtres :

RESEAUX (volume 2) COURS Page 252


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Approximation (sn~=Dupont)
Egalit (sn=Dupont)
Comparaison (sn>Dupont) , <= , >= , <
Prsence (sn=*)
Contenance (sn=Du*), (sn=*po*), (sn=nt*)

1.12.3.4.5./ Les oprations de modifications

Lopration d'ajout (Add) ajoute des entres dans l'annuaire. Le DN de l'entre et l'ensemble des
valeurs des attributs de la nouvelle entre. Les conditions respecter sont les suivantes :

) Le parent de la nouvelle entre doit dj exister dans l'annuaire.

) Il n'existe pas d'entre portant le mme nom.

) Le contrle d'accs doit autoriser cette opration d'ajout.

Lopration de suppression (Delete) supprime des entres dans l'annuaire. Il suffit d'indiquer le DN de
l'entre. Les conditions respecter sont les suivantes :

) L'entre effacer doit exister dans l'annuaire.

) Elle ne doit pas avoir d'enfants.

) Le contrle d'accs doit autoriser cette opration de suppression.

Lopration de modification d'attributs (modify) permet la mise jour des valeurs d'une entre. Les
modification peuvent tre des valeurs ajouter, supprimer, ou remplacer. Les conditions respecter
sont les suivantes :

) L'entre effacer doit exister dans l'annuaire.

) Elle ne doit pas avoir d'enfants.

) Le contrle d'accs doit autoriser cette opration de modification.

Lopration de renommage ou de modification du DN (Rename) sert renommer ou dplacer une


entre. Il faut indiquer le DN de l'entre, le nouveau RDN ou DN, et prciser si l'ancien RDN doit tre
effac ou pas. Les conditions respecter sont les suivantes :

) Lentre effacer doit exister dans l'annuaire.

) Elle ne doit pas avoir d'enfants.

) Le contrle d'accs autorise l'opration de renommage.

Remarque : le dplacement d'une entre est ralise par la recopie de l'entre dans sa nouvelle position
dans l'annuaire puis par la suppression de l'ancienne entre.

RESEAUX (volume 2) COURS Page 253


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.3.5./ Le modle de scurit

1.12.3.5.1./ Prsentation

Le modle de scurit assure la protection des accs illicites. Il couvre les aspects d'authentification
d'un client et le contrle d'accs aux donnes.

L'authentification d'un client peut tre scurise depuis LDAPv3. Ce dernier propose plusieurs choix
d'authentification qui sont :

) Anonymous authentication : pas d'authentification.


) Simple password : authentification avec mot de passe en clair.
) Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL ou
TLS. Ce choix est fait pour les annuaires ncessitant un niveau lev de scurit.
) Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le protocole
SSL (usage d'un certificat).
) SASL (Simple Authentication and Security Layer) : fournit lencryptage des donnes,
lauthentification et la signature des messages.

1.12.3.5.2./ Le contrle d'accs

Il restreint les accs aux donnes pour le client authentifi. Il fait usage de listes de contrle daccs ou
ACL (Access Control List). Il est intressant pour dfinir plusieurs niveaux de visibilit d'un annuaire.

Les ACL s'expriment avec des rgles sous la forme :

<target> <permission> <bind rule>

O : target est point d'entre de l'annuaire auquel s'applique la rgle.


permission permet ou refuse un type d'accs (read,write,search...).
bind rule identifie le bindDN utilis en connexion.

Les rgles peuvent s'appliquer tout ou partie de l'annuaire, ou des entres et des attributs
spcifiques. Par exemple, une liste de diffusion autorise son seul propritaire !

Les permissions peuvent tre appliques aux utilisateurs, aux groupes, etc

1.12.3.6./ Le modle de duplication

La duplication consiste recopier tout ou partie du contenu d'un annuaire sur un autre serveur. La
duplication est utilise pour :

) Mettre en oeuvre une architecture d'annuaires robuste.


) Raliser de l'quilibrage de charge entre serveurs.
) Rapprocher les serveurs des utilisateurs.
) Importer des portions d'annuaire.

RESEAUX (volume 2) COURS Page 254


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le service de duplication (replication service) met en jeu plusieurs serveurs qui sont les supplier
servers qui exportent les donnes, et les consumer servers qui les importent.

La replication agreement prcise :

)Quel serveur est le serveur supplier.


)Quels sont ses consumers.
) quelles sont les donnes changes.
) Qui est l'initiative de la replication (SIR ou CIR).

La rplication peut tre totale ou incrmentale. Il existe plusieurs stratgies de rplication qui sont :

) Single-master replication (un maitre, des esclaves en read-only).


) Multiple-master replication (plusieurs matres).
) En cascade (les consumer deviennent des supplier pour d'autres serveurs).

1.12.4./ LDIF - LDAP Data Interchange Format

1.12.4.1./ Presentation

Cest le format d'changes de donnes entre les annuaires LDAP. Cest un format de texte simple qui
reprsente les informations des entres de l'annuaire, et dfini des oprations de modifications. Il est
utilis pour exporter/importer le contenu d'un annuaire et raliser des modifications sur les donnes de
l'annuaire.

La reprsentation des informations est la suivante :

) Une entre au format LDIF est constitue dune partie representant le DN de l'entre et une
autre l'ensemble des attributs de l'entre.
) Le DN apparat sur la premire ligne.
) Les objectsclass sont lists ensuite.
) Viennent enfin les attributs ;

Exemple :

dn: cn=user1, o=cnam, c=fr


objectclass: top
objectclass: person
cn: user1
sn: user1
telephoneNumber: 04 42 30 20 89
mail: user1@cnam.fr

1.12.4.2./ Les oprations de modification

LDIF autorise les oprations de modification dfinies dans le modle fonctionnel. Le format dfinit
donc les oprations d'ajout, de suppression, de modification et de renommage d'une entre.

RESEAUX (volume 2) COURS Page 255


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Lajout avec LDIF suit la syntaxe suivante :

dn: <dn de l'entre>


changetype: add
<type dattribut>: <valeur>

La suppression avec LDIF suit la syntaxe suivante :

dn: <dn de l'entre>


changetype: delete

Exemple : suppression d'une entre

dn: cn=tintin,o=bd,c=fr
changetype: delete

La modification avec LDIF permet lajout, suppression, remplacement une ou plusieurs valeurs un
attribut. Elle suit la syntaxe suivante :

dn: <dn de l'entre>


changetype: modify
<type de modification>: <type d'attribut>
[<type d'"attribut>: <valeur>]

Le type de modification peut tre add, delete ou replace.

1.12.5./ Configurer un serveur LDAP sous LINUX OpenLDAP

1.12.5.1./ Prsentation

De nombreux serveurs LDAP sont disponibles sur le march aujourd'hui et ils fonctionneront
quasiment tous sous LINUX. Pour ce chapitre nous utiliserons OpenLDAP qui est disponible en
OpenSource.

1.12.5.2./ La configuration du serveur

Dans cet exemple, nous allons crer un rpertoire LDAP pour le domaine ldap.cnam.fr.

Le serveur principal LDAP dispose des fichiers de configuration slapd.conf et ldap.conf dans le
repertoire /etc/openldap. Les fichiers de configuration sont les suivants :

######### /etc/openldap/slapd.conf ###################################

include /etc/openldap/slapd.at.conf
include /etc/openldap/slapd.oc.conf
schemacheck off

RESEAUX (volume 2) COURS Page 256


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args

#######################################################################
# ldbm database definitions
#######################################################################

# ceci dtermine le type de base de donnes utiliser. Conserver ldbm


database ldbm

# suffixe ou rpertoire racine. C'est le noeud suprieur de votre rpertoire LDAP


suffix "o=ldap.cnam.fr"

# l'endroit o seront conserves les bases ldap


directory /var/lib/ldap

# le nom distinct du gestionnaire de rpertoire


rootdn "cn=Manager, o=ldap.cnam.fr"

# c'est une mauvaise ide de conserver le mot de passe en texte clair mais
# nous l'utiliserons ainsi au dbut pour nous familiariser LDAP
rootpw secret

Le fichier /etc/openldap/ldap.conf se trouve sur le client LDAP. Ce fichier est lu par des utilitaires
ldap tels que ldapdelete , ldapadd, etc

##########/etc/openldap/ldap.conf#########
#
# LDAP Defaults
#

# Voir ldap.conf(5) pour plus de dtails


# Ce fichier doit tre lisible par tout le monde.

# ceci dfinit le serveur ldap; vous pouvez utiliser un nom d'hte ou une adresse IP
host 127.0.0.1

# ceci reprsente le rpertoire racine partir duquel nous voulons commencer la recherche.
# nous utiliserons le nud suprieur dans notre configuration
# il n'est pas ncessaire d'utiliser le nud suprieur du rpertoire, par exemple
# nous pouvons choisir comme base = ou=users, o=ldap.cnam.fr
# si nous faisons ce choix toutes nos recherches commenceront partir de cette branche de
# l'arbre
base o=ldap.cnam.fr

Pour dmarrer le serveur LDAP les script est /etc/rc.d/init.d/ldap start pour un distribution
compatible LINUX REDHAT.

RESEAUX (volume 2) COURS Page 257


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.5.3./ Ajout des donnes au serveur LDAP

Le serveur LDAP en service prt recevoir des informations. La mthode standard pour fournir des
informations au serveur LDAP consiste crer un fichier LDIF (LDAP Directory Interchange Format).

Les rgles suivantes sont respecter :

) Les enregistrements/entres du fichier LDIF sont spars par une ligne vierge.
) Les espaces dans les valeurs sont trs importants."cnam" est diffrent de "cnam ".

Un exemple de fichier LDIF pour ldap.cnam.fr est donn ci-dessous :

1 dn: o=ldap.cnam.fr
2 o:ldap.cnam.fr
3 objectclass: top
4 objectclass: organization

6 dn: ou=editors, o=ldap.cnam.fr


7 ou: editors
8 objectclass: organizationalUnit

10 dn: uid=coursducnam, ou=editors, o=ldap.cnam.fr


11 uid: cours
12 cn: Cours du Cnam
13 sn: Cnam
14 givenname: cnam
15 objectclass: person
16 userpassword: {CRYPT}yIvSBWSuLs2N2
17 mailacceptinggeneralid: coursducnam@free.fr
18 ou: editors

20 dn: uid=toto, ou=editors, o=ldap.cnam.fr


21 uid: titi
22 cn: Toto Titi
23 sn: Bidon
24 givenname: Titi
25 objectclass: person
26 userpassword: clearpass
27 mailacceptinggeneralid: toto.titi@cnam.fr
28 maildrop: tototiti@free.fr
29 preferredlanguage: fr
30 ou: editors

Pour ajouter ces informations dans le rpertoire ldap on utilise la commande nomme ldapadd dont la
syntaxe est la suivante :

ldapadd -D "cn=Manager, o=ldap.cnam.fr" -w secret < ldap.cnam.fr.ldif

RESEAUX (volume 2) COURS Page 258


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cette commande utilise "cn=Manager, o=ldap.cnam.fr" en tant que gestionnaire de dn (nom distinct) et
secret en tant que mot de passe, lit les informations du fichier ldap.cnam.fr.ldif et les intgre dans le
rpertoire LDAP. Les requtes sur le rpertoire LDAP peuvent alors tre lanc.

Le dtail du fichier LDIF prcdent est le suivant :

1 Cette ligne dfinit le dn de notre entre principale. elle reprsente la racine de l'arborescence du
rpertoire. Il est impratif de la dfinir.
2 Sur cette ligne nous dfinissons l'o (organisation) et lui donnons la valeur "ldap.cnam.fr"
3 Cette ligne sert dfinir la classe de l'objet, top dans notre exemple.
4 Ici nous dfinissons le type de l'objet (C'est un objet organisation).
5 La ligne vierge utilise comme sparateur
6 Le dn du groupe editors (c'est la branche correspondant aux diteurs de ldap.cnam.fr). Nous
pourrions en avoir d'autres pour diffrents usages. Par exemple une branche pour les htes et
leurs donnes, une branche pour les sites miroir etc
7 Ici, nous dfinissons l'attribut ou (organizational unit) pour les diteurs. Ces attributs servent de
critres de recherche, par exemple, si vous voulez obtenir la liste des utilisateurs qui sont
diteurs, votre requte sera "show all dn where ou=editors". Si ces attributs ne sont pas dfinis, la
requte sur cette entre/enregistrement n'aboutira pas.
8 Ici, nous dfinissons une autre classe d'objet (organizationalUnit).
9 La ligne vierge de sparation
10 Le dn de l'utilisateur coursducnam dans le groupe editors
11 L'uid (vrifiez qu'elle est unique) de l'utilisateur
12 Le cn (common name) de l'utilisateur.
13 sn: Surname
14 nom donn (Prnom)
15 classe de l'objet (Personne)
16 mot de passe (crypt). La chane {CRYPT} signifie que ce mot de passe est crypt par
l'algorithme crypt. Ce qui suit est le mot de passe crypt "yIvSBWSuLs2N" qui n'est autre que
"test" encod par salt "yI".
17 Cette ligne dfinit l'adresse de courrier sur laquelle on peux recevoir des messages.
18 ou. Ceci prcise que lon fais partie de l'organizationalUnit editors.
19 La ligne vierge de sparation
20 Le dn d'une nouvelle entre. username mkempe, ou editors
21 common name /display name
22 Surname
23 Firstname
24 objectclass
25 userpassword: ici nous utilisons un mot de passe en texte clair. Pour chaque utilisateur, vous
choisissez la mthode prfre. Cela se dfinit par entre et non par base de donnes. Ainsi, un
utilisateur peut avoir son mot de passe en texte clair, un autre peut l'encoder avec CRYPT, un
autre peut prfrer SHA etc.
26 L'adresse de courrier de l'utilisateur. (Gnralement, c'est pour le serveur de courrier)
27 maildrop: c'est encore pour le serveur de courrier. Ceci dtermine la localisation des botes aux
lettres des utilisateurs. Dans cet exemple, le serveur reoit des messages pour l'adresse
"tototiti@free.fr ", le serveur de courrier vrifie alors sur le serveur. "Est-ce qu'une bote aux
lettres accepte les messages pour l'adresse " tototiti@free.fr ". Le serveur LDAP renvoie la
valeur de l'attribut maildrop. Le serveur de courrier envoie alors le message cette bote aux
lettres.

RESEAUX (volume 2) COURS Page 259


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

28 Langue prfre. Ici, nous avons un attribut supplmentaire qui nous donne la langue choisie par
l'utilisateur. Nous pouvons utiliser cette information ou d'autres prfrences pour les enregistrer
dans LDAP et fournir ainsi un meilleur service cet utilisateur. Par exemple, cet utilisateur est
toujours redirig sur les versions franaises des pages. Remarquez aussi que l'enregistrement
prcdent n'a pas d'attributs (langue prfre, alias de courrier, etc.). C'est aussi une des forces de
LDAP. Il n'y a pas de structure fixe comme dans un tableau de base de donnes. Vous pouvez
avoir une entre contenant seulement 3 attributs alors qu'une autre peut en avoir 30.
29 ou. unit editors

1.12.5.4./ Exemples de recherche dans la base LDAP

Si lon recherche toutes les donnes concernant l'utilisateur toto.titi@cnam.fr :

ldapsearch uid= toto.titi@cnam.fr

Si lon recherche le dn de tous les diteurs :

ldapsearch '(&(objectclass=person)(ou=editors))' dn

1.12.6./ Les avantages de LDAP

LDAP est un standard ouvert. Presque toutes les nouvelles applications seront capables de rechercher
des informations dans la base LDAP. A linstar de LINUX, Windows 2000 utilise galement LDAP
pour ses services de rpertoire.

Avec LDAP, on peut centraliser toutes les informations dans un endroit donn ce qui offre des
avantages considrables : un seul point d'administration, il y a moins de risques d'erreurs, moins de
donnes redondantes, et moins de soucis pour les sauvegarder.

1.12.7./ Exemples d'applications de LDAP

1.12.7.1./ LDAP : Une source unique pour lauthentification

Il sagit dune gestion de comptes utilisateurs centraliss. On peut choisir une arborescence LDAP
pour grer les utilisateurs, leurs mot de passe et bien plus d'informations que lon ne pourrait en mettre
dans un simple fichier /etc/passwd. Cette information peut s'appliquer des utilisateurs de LINUX /
Unix / MAC / Windows.

Il est possible de modifier /etc/pam.d/login de manire ce que l'authentification se fasse partir des
informations LDAP et non d'un fichier shadow ou de NIS. A laide dune petite interface WEB on peut
ainsi permettre aux utilisateurs de modifier leur mot de passe sans avoir sidentifier car l'information
se trouve dans LDAP et non sur le systme. Pour mettre en oeuvre ce mcanisme on utilise
pam_ldap.

Par exemple, lorsque lon se logge sur une station de travail et que lon utilise le site WEB du rseaux
local, si celui-i est protg par un mot de passe, on pourra utilis lIntranet sans sidentifier puisque
lidentit est connue par LDAP. Il en est de mme pour les applications partages disponibles sur le
rseaux local.

RESEAUX (volume 2) COURS Page 260


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.12.7.2./ La gestion de compte avec LDAP

Lorsque lon veut fournir des comptes courriers des utilisateurs sur plusieurs serveurs et que lon ne
peut pas crer de comptes utilisateurs sur ces derniers, on peut utiliser une combinaison de
LDAP+Postfix/MailServer+IMAP/POP pour grer des milliers d'utilisateurs sans quaucun d'entre eux
n'ai un compte systme.

1.12.7.3./ La gestion des prfrences avec LDAP

Lorsque lon veut centraliser les prfrences de diffrentes applications comme les signets de Netscape
Navigator, on peut utiliser LDAP pour les enregistrer. Lorsque l'utilisateur changera de station de
travail, il recevra toujours ses prfrences du serveur LDAP. Mieux, l'utilisateur peut passer de
Netscape Navigator sous LINUX Netscape Navigator sous Solaris/Macintosh/NT, il bnficiera
toujours de la mme information.

1.12.7.4./ La gestion des informations personnelles sur le WEB avec LDAP

Qui ne dteste pas remplir des formulaires encore et encore sur le WEB ? Il est difficile de comprendre
pourquoi les gens veulent toujours et encore savoir lge, la date de naissance, ladresse dans les
bureaux de l'administration alors quil ont dj linformation quelque part. On peut facilement
imaginer quavec un numro didentification, un serveur LDAP fournira les informations principales
dun utilisateur pour lensemble des administrations accessibles sur Internet.

RESEAUX (volume 2) COURS Page 261


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13. / LADMINISTRATION DES RESEAUX


1.13.1./ Les concepts de ladministration

La complexit des rseaux et des systmes tant de plus en plus grande, le besoin doutils daide la
gestion devient important. Les objectifs de ladministration des rseaux pour ladministrateur sont :

) Supervision du fonctionnement des rseaux.


) Optimisation pour lutilisation des ressources.
) Dtection et prvision des erreurs.
) Signalisation des pannes.
) Calculs statistiques.
) Calculs de facturation lutilisation des ressources.
) Le support technique pour utilisateur (help desk).

Face ces besoins, quels mcanismes de gestion peuvent tre mis en uvre et quels sont les objets
manipuls par ces mcanismes ? Il existe deux approches qui sont :

) OSI : CMIP/CMIS

) TCP/IP : SNMP

1.13.2./ Ladministration selon OSI

1.13.2.1./ Introduction

Lambition de lorganisme OSI est de couvrir tous les domaines de ladministration. Cette tche est
extrmement complexe. Les interrogations OSI sur les activits de ladministration des rseaux
implique comme objectif dintgrer ces activits suivant des dcisions tactiques et stratgiques, et de la
planification.

Les activits dadministration sont :

) De la maintenance (prventive ou curative).


) De lexploitation.
) De la supervision.
) De la planification.
) De la scurit.

De plus, OSI a dfinit 5 modles qui sont :

) Le modle informationnel : quoi grer ? Quels objets ?


) Le modle organisationnel : qui ?
) Le modle fonctionnel : pourquoi grer ? Quels domaines grer ?
) Le modle de communication : comment grer ?
) Le modle architectural : comment grer ?

RESEAUX (volume 2) COURS Page 262


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.2.2./ Le modle informationnel OSI - Management Information Model ISO 10165-1

Cest lidentification et la reprsentation du QUOI ! Le modle informationnel dfinit et normalise :

) Les objets administrs.


) Leurs noms.
) Leurs fonctions.
) Leurs relations.
) Leurs attributs.
) Les actions qui leurs sont applicables.

Cest une approche objet qui dfinie :

) Des classes dobjets de gestion.


) La position dans un arbre dhritage.
) Un ensemble de paquetages (obligatoires ou optionnel) qui contiennent :
. Des attributs (ASN.1).
. Des notifications mises par lobjet (service CMIS).
. Des oprations affectant les attributs ou lobjet (service CMIS).
. Le comportement de lobjet (GDMO ou Guidelines for description of Managed Object).

Comme application concrte on a les bases de donnes MIB et les organisations arborescentes
hirarchiques MIT.

1.13.2.3./ Le modle organisationnel ISO 10040

Il identifie les acteurs de ladministration : QUI ? Il dfini les processus de coopration entre systmes
ouverts qui peuvent tre des gestionnaires ou des agents.

Le gestionnaire assure la responsabilit dune ou plusieurs activits de gestion. Il envoie des requtes
aux agents et reoit des rponses ou notifications de ces derniers. Les informations changes affrent
la MIB de lagent. Le gestionnaire dispose de sa propre MIB qui est la copie des MIB des agents.

Le gestionnaire pilote les agents. Ceux ci reoivent et excute les requtes du gestionnaire puis renvoie
des notifications au celui-ci. Le gestionnaire manipule les informations locales de lobjet administr au
travers de la MIB.

Le fonctionnement gnral est donn par le synoptique suivant :

RESEAUX (volume 2) COURS Page 263


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.2.4./ Le modle fonctionnel ISO 10164-XX

Il identifie quelles fonctions doit couvrir ladministration : POURQUOI grer ? Le modle OSI
rpartit les fonctions en 5 modles qui sont :

) La gestion des configurations.


) La gestion des fautes.
) La gestion des performances.
) La gestion de la scurit.
) La gestion de la comptabilit.

La gestion de la configuration permet de dmarrer, dinitialiser, ou darrter le systme. Il permet


galement de modifier la configuration et de recueillir des donnes sur le systme pour agir sur celui-
ci.

La gestion des fautes permet de dtecter, de localiser , et de corriger les fautes.

La gestion des performances ralise une valuation permanente du rseau par des collectes de
donnes statistiques et par la gnration de tableau de bord.

La gestion de la comptabilit permet danalyser la rpartition des ressources et de facturer en


consquence.

La gestion de la scurit contrle les accs ou les cls de cryptage. Il ralise un compte-rendu des
vnements relatifs la scurit sur le rseau.

1.13.2.5./ Le modle de communication CMIS ISO 9595 / CMIP ISO 9596

Il dfinit les changes entre les composants architecturaux et la communication locale entre systmes
adjacents par CMIS.

RESEAUX (volume 2) COURS Page 264


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Il utilise un jeu de primitives qui sont les suivantes :

) M-CREATE
) M-DELETE
) M-GET
) M-CANCEL-GET
) M-ACTION
) M-SET
) M-EVENT-REPORT

La communication distante entre deux systmes homologues seffectue par CMIP. Le codage des
primitives est en ASN1.

1.13.2.6./ Le modle architectural ISO 7498-4

Il fournit un cadre gnral et rpond en partie la question COMMENT ? Il dfinit trois niveaux de
gestion qui sont trois sortes dchanges administratifs :

) Opration de couche N.

) Gestion de couche N.

) Gestion Systme.

Lopration de couche N est un lments dadministration vhicul dans les NPDU comme par
exemple les lments de facturation X.25. Il offre des mcanismes de contrle et surveillance dune
communication.

La gestion de la couche N supervise le fonctionnement dune couche N. La communication entre les


entits de gestion de couches seffectue laide de LME comme par exemple le Network Connection
Management Subprotocol (NCMS).

1.13.3./ Le modle dadministration du monde TCP/IP : SNMP

1.13.3.1./ Architecture gnrale

Ladministration avec SNMP repose sur une relation agent / gestionnaire de type client/serveur.
Chaque quipement administr est vu comme un agent. Sur chaque quipement administr est
implant un agent (programme).

Lagent contrle et fournit une reprsentation au travers dun ensemble de variables. La plate-forme
dadministration interroge ses variables pour connatre ltat des lquipements. Lagent organise
lensemble de ces variables au sein dune base de donnes standard appele MIB (Management
Information Base). Le Manager contrle alors le fonctionnement de lquipement au travers de cette
base.

Larchitecture de SNMP est donn par le synoptique suivant :

RESEAUX (volume 2) COURS Page 265


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.3.2./ SNMP Simple Network Management Protocol

Cest un standard du monde TCP/IP. Il est parfaitement incompatible avec son homologue OSI CMIP.
Cest pourtant le protocole le plus rpandu pour au moins deux raisons : sa simplicit par rapport
CMIP et sa faible occupation mmoire lors de son excution.

Les interactions entre les deux entits se font :

) Sur l'initiative de lagent. Il sagit alors de trap SNMP ou alerte.


) Sur l'initiative du manager qui interroge lagent pour lui demander le contenu dune variable
particulire ou pour lui envoyer une commande.

Ladministration dun quipement ncessite, outre lactivation dun agent SNMP, de dclarer une
communaut laquelle il appartient.

1.13.3.3./ Le modle de communication SNMP V1 RFC 1157

Il repose sur 5 primitives capables de couvrir lensemble des besoins ncessaires cette
communication :

) GET-REQUEST primitive de lecture d'un paramtre dans la base de donne de lagent.


) GET-NEXT-REQUEST primitive de lecture du paramtre suivant.
) SET-REQUEST primitive de modification de la valeur dun paramtre.
) GET-RESPONSE primitive utilis par lagent pour rpondre une requte.
) TRAP primitive utilis par lagent pour mettre de sa propre initiative une alerte vers le
gestionnaire.

RESEAUX (volume 2) COURS Page 266


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La structure du message SNMP comporte :

) Un numro de version.

) Le champ Community.

) L PDU parmi les requtes.

La seule notion de scurit rside dans le champ community qui permet didentifier lmetteur
laide dun mot de passe qui circule en clair sur le rseau.

1.13.3.4./ Le modle de communication SNMP V2 (RFC 1448)

Il prend en compte les limites de SNMP suivantes :

) Labsence de scurit.

) La gestion des erreurs.

) Le transfert de donnes importantes.

) La communication inter manager.

Il est constitu dun jeu de sept primitives qui sont les suivantes :

) GetRequest.

) GetNextRequest.

) SetRequest.

) Response.

) SNMPv2-trap.

) GetBulkRequest : transfert en une seule fois dune importante quantit de donnes.

) InformRequest : communication entre gestionnaires.

Il existe trois niveau de scurit qui sont :

) Aucun.

) Avec authentification.

) Avec cryptage.

RESEAUX (volume 2) COURS Page 267


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.3.5./ Le modle informationnel SMI - Structure of Management Information

Il introduit la notion de MIT pour Management Information Tree qui est dfini comme le montre le
synoptique qui suit, et dans lequel chaque branche est identifie de faon unique et non ambigu. Les
feuilles constituent les variables consultables ou modifiables.

Par exemple, SysObjectId est identifie sous sa forme numrique 1.3.6.1.2.1.1.2 ou par
larborescence ISO.Org.DOD.Internet.Management.MIB-2.System.SysObjectId.

1.13.3.6./ Les extensions de la MIB

Les extensions de la MIB sont

) La MIB-2.
) Les MIBs prives dfinies par les constructeurs.
) Les MIB-RMON.

La MIB-2 est commune tous les quipements SNMP. Cest un dnominateur commun de variables
interrogeables. Elle contient des variables simples comme le nom du systme, son adresse IP, etc

RESEAUX (volume 2) COURS Page 268


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Les MIBS constructeurs sont propre aux quipements et aux constructeurs. Elles reprsentent des
arborescences de MIB spcifiques ranges sous la branche Entreprises permettent au constructeur de
permet de dfinir des MIB qui collent au plus prs des fonctionnalits de lquipement.

1.13.3.7./ Exemples de requtes SNMP

Soit un routeur R1 avec deux interfaces.

Pour dterminer le type dinterface :

GetRequest R1 iso.org.dod.internet.mgmt.mib-2.
interfaces.iftable.ifEntry.iftype.1 Renvoie la valeur Ethernet-CSMACD.

GetNextRequest R1 iso.org.dod.internet.mgmt.mib-2.
interfaces.iftable.ifEntry.iftype.1 Renvoie la valeur de la deuxime interface.

Pour les traps, il ya a six vnements gnrs par la generic trap de la "trap PDU"qui sont :

) cold start.
) warm start.
) link down.
) link up.
) Authentication failure.
) EgpNeihborloss.

Pour les vnements additionnels (specific enterprise) comme pour CISCO on a :

) reload : rinitialisation de lagent par lui-mme


) TcpConnectionClose

1.13.4./ La gestion des fautes

1.13.4.1./ Prsentation
La gestion de fautes (gestion des alarmes) est une des principales fonctionnalits attendues d'une
solution d'administration. Il existe deux grandes stratgies de gestion des fautes qui sont :

) Le contournement des fautes.


) La rsolution des fautes.

Le contournement des fautes reposent sur la dfinition de procdures de secours (automatique ou


manuelle) qui permettent dexploiter le rseau en mode dgrad ainsi que sur la rpartition du risque
(ex : on vite de concentrer plusieurs applications sensibles sur un seul serveur). Ce sont des
traitements similaires sur plusieurs quipements (quilibrage de charge).

Nota : la redondance des quipements (ex : failover cisco) prsente une limite car elle masque le
problme mais ne le rsolve en aucun cas.

Les stratgies prsentent un cot financier ou en terme de qualit de service. Avec la rsolution des
fautes, le temps de vie dun problme sur le rseau doit donc tre aussi court que possible.

RESEAUX (volume 2) COURS Page 269


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Cycle de vie dune faute est le suivant :

Apparition
Dtection
Localisation Processus de rsolution
Diagnostic
Rsolution

Le temps de rsolution est toujours optimum et ne peut donc tre rduit. Les tapes sur lesquelles ont
peu agir sont la dtection, la localisation et le diagnostic.

Sans solution dadministration, on peut mettre deux critiques :

) Ladministrateur ne dispose ni du temps, ni des moyens de surveiller constamment ltat du


rseau. Comme corollaire, la dtection de lerreur est gnralement faite par lutilisateur avant
ladministrateur ou loprateur.

) Les moyens dinvestigation reposent essentiellement sur des outils classiques tels que ping,
traceroute, netstat, telnet. Cela un impact ngatif sur la qualit de service. Ladministration
doit tre une amlioration de la qualit de service.

Ladministration cest lautomatisation du processus de surveillance avec la mise en place des outils
daide la localisation des erreurs et laide au diagnostic avec la corrlation dvnements.

La localisation des fautes ncessite de connatre et dadministrer les chanes de liaisons et de pouvoir
corrler certains vnements. Pour lanticipation des fautes, certaines erreurs sont dues des
dpassements de seuils par exemple et peuvent donc tre largement anticipes. La connaissance de
ltat des quipements ainsi que des statistiques globales ou dtailles sur le trafic peuvent aider
atteindre cet objectif.

La gestion des performances lies la gestion des fautes ncessite dintgrer les activits
dadministration grce une plate-forme dadministration.

1.13.4.2./ Les fonctionnalits classiques dune plate-forme dadministration

Le monitoring est une cartographie du rseau. Il permet dassocier chaque quipement du rseau
une reprsentation graphique sous forme dicne, de relier ces icnes pour fournir la cartographie du
rseau, dinterroger la MIB du manager afin dafficher les attributs des objets grs, et danimer les
objets en fonction dvnements. Chaque changement dtat se traduit au niveau de lobjet gr par un
changement de couleur indiquant un niveau de gravit.

La gestion des vnements est une gestion et un affichage des informations concernant les alarmes
remontes par les objets grs. Elle repose sur une base mise jour par un service de journalisation des
alarmes. Les alarmes sont affiches dans une fentre sous forme de matrice qui rcapitule les alarmes
reues. Elle permet la comptabilisation des occurrences et la gestion de la notification de terminaison
dalarmes ou leur acquittement manuel. Sur elle repose le monitoring, la gestion des performances,
lanimation, et le traitement automatique dalarmes.

RESEAUX (volume 2) COURS Page 270


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La gestion des performances permet la production dun tableau de bord oprationnel ou la production
de tableau de bord dcisionnel.

La gestion des alarmes est une animation qui permet dassocier aux reprsentations graphiques des
objets grs, des couleurs (vert,orange,rouge) en fonction de la gravit des alarmes gnres sur ces
objets. Cest un traitement automatique dvnements.

1.13.5./ Ladministration SNMP sous LINUX

1.13.5.1./ SNMP sur LINUX

Un des packages les plus populaires de SNMP est CMU-SNMP. Dvelopp initialement l'universit
de Carnegie Mellon, puis a t port sur LINUXpar la communaut OpenSource. Il est entirement
compatible avec le standard SNMPv1 et inclut des fonctionnalits de la version SNMPv2.

La distribution contient quelques outils de gestion qui permettent, depuis la ligne de commande,
d'envoyer des demandes aux dispositifs qui excutent les agents SNMP. Il contient galement un
programme agent SNMP, destin a s'excuter sur LINUX, qui propose des gestionnaires s'excutant
sur le rseau (ou le systme mme) : informations sur l'tat des interfaces, les tables de routage,
instances d'initialisation, information de contact...

Une caractristique prcieuse qui a t ajoute avec CMU-SNMP est C-API, qui permet aux
programmeurs de construire des outils complexes de gestion bass sur les capacits du rseau de la
distribution.

Les outils les plus importants de ce package sont :

) snmpget un programme destin la consultation d'une valeur concrte pour un agent MIB
du rseau (un routeur, un hub...).
) snmpgetnext il permet de lire l'objet suivant dans l'arbre MIB sans connatre ncessairement
son numro.
) snmpsetun outil pour crire des valeurs dans les objets des agents distants.
) snmpwalkun outil qui lit un objet complet ou une srie d'objets sans spcifier l'instance
exacte. Il est utile pour interroger des objets de type table.
) snmpnetstat
) snmptrapd le daemon qui coute les "traps" des agents.
) snmptestoutil interactif destin dmontrer les possibilits de API.

CMU_SNMP installe aussi un fichier MIB dans /usr/lib/mib.txt. C'est un bon endroit pour chercher
quel type d'information on peut demander un dispositif en rseau.

L'agent doit tre lanc en excution au dmarrage de la machinepar le deamon smtpd. Il existe aussi
un module Perl d'interface avec CMU C_API grce auquel on peut raliser facilement des appels
cette bibliothque depuis le programme Perl (Perl-scripts).

RESEAUX (volume 2) COURS Page 271


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.5.2./ MRTG - Multi Router Traffic Grapher

MRTG est un utilitaire graphique trs avanc crit par la comunaut OpenSource pour reprsenter
graphiquement les donnes que les gestionnaires SNMP lisent sur les agents SNMP. Il produit une
page HTML sur le trafic entrant et sortant des interfaces du rseau, pratiquement en temps rel. Avec
cet outil, on vite d'avoir travailler directement avec les utilitaires CMU_SNMP au moyen de lignes
de commandes. C'est l'outil le plus puissant et le plus facile utiliser qu'on trouve sur Internet.

Le package contient quelques fonctions pour analyser les interfaces de routage, extraire leurs
caractristiques et gnrer des fichiers de configuration de base, qu'on peut aprs modifier pour les
adapter aux ncessits concrtes. Une autre caractristique intressante de MRTG, c'est la quantit
d'information qu'il produit. Il autorise quatre niveaux de dtail pour chaque interface : trafic des 24
dernires heures, de la dernire semaine, du dernier mois et graphique annuel. Cela permet de recueillir
des informations pour raliser des statistiques. Il conserve toutes ces informations dans une base de
donnes qui utilise un algorithme de consolidation qui empche que les fichiers ne croissent de
manire dmesure.

Il gnre aussi une page principale qui contient les images GIF des dtails journaliers de chaque
interface de routage, ce qui permet de se faire une ide gnrale de ce qui passe au niveau du routeur
d'un simple coup dil. Un exemple de rseau administr par MRTG et accssible par Internet est
donn ci dessous :

RESEAUX (volume 2) COURS Page 272


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

RESEAUX (volume 2) COURS Page 273


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.13.5.3./ Les outils dadministration de reseaux SCOTTY

Le packtage SCOTTY est un ensemble de scripts TCL-TK permettant ladministration dun rseau
local partir dune interface graphique. Lutilisation de TCL-TK permet une portablit du logiciel sur
toutes les platte-formes disponibles (UNIX, WINDOWS, etc).

SCOTTY est bas sur des extensions apportes TCL-TK permettant la gestion des protocoles
suivants :

) SNMP (SNMPv1, SNMPv2c, SNMPv2u avec laccs aux donnes de definition des MIB).
) ICMP (les rquetes de TraceRoute du type echo, mask, timestamp et udp/icmp).
) DNS (Les enregistrement lookup du type a, ptr, hinfo, mx and soa).
) HTTP (server et client).
) SUN RPC (les services portmapper, mount, rstat, etherstat, pcnfs).
) NTP (les requettes version 3 mode 6).
) UDP (emission et reception des datagrames).

Le programme tkined du packtage SCOTTY permet une administration intuitive du rseau grace
linterface graphique donne ci dessous :

RESEAUX (volume 2) COURS Page 274


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14. / LE ROUTAGE
1.14.1./ Introduction au routage

Le routage consiste acheminer le trafic de A en B en dterminant le meilleur chemin pour aller de A


B. Il repose sur les tables de routage.

Le routage implique aussi les mthodes pour mettre jour les tables de routage. Il existe deux
mthodes qui sont :

) Le routage statique : cest la gestion exhaustive par ladministrateur des tables de routage
par des commandes manuelles (ajout ou retrait de routes).

) Le routage dynamique : cest la mise jour dynamique des tables de routage par des
changes entre passerelle en utilisant diffrents types de protocoles.

1.14.2./ Le routage Statique

1.14.2.1./ Prsentation

Ce type de routage est appliqu quand linter rseau est de faible dimension et quil peut tre
totalement matris par ladministrateur grce ces connaissances de lexhaustivit du rseau
(passerelle par dfaut).

Le routage statique est destin au rseau dont lvolution est limite dans le temps. Dans le cas
contraire, cela pose des problmes pour la reconfiguration du rseau, pour lajout et le retrait
dlment, et pour le changement de plan dadressage.

1.14.2.2./ Lajout de route

La commande ROUTE permet lajout dune route dans la configuration du rseau. Sa syntaxe est :

route add | delete destination mask gateway metric

Par exemple : route add 200.13.0.0 255.255.255.0 200.13.0.245 metric 1

La commande NETSTAT permet la visualisation des tables de routage. Sa syntaxe est la suivante :

# netstat -rn

1.14.3./ Le routage dynamique

1.14.3.1./ Les protocoles de routage

L objectif du routage dynamique est de maintenir les tables de routages dans un tat cohrent lors
dune panne, dun arrt, ou dune reconfiguration.

RESEAUX (volume 2) COURS Page 275


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Il fonctionne laide de deux actions qui sont :

) La transmission des infos de routage aux autres routeurs (routing update).


) La rception et intgration des informations de routage.

Ces deux action utilise deux types de protocoles de routage qui sont

) L IRP (Interior Routing Protocol).


) L ERP (Exterior Routing Protocol).

1.14.3.2./ Les systmes autonomes

Il existe deux types de passerelles qui sont :

)
LIGP (Interior Gateway Protocol) qui permet linterconnexion de rseaux locaux au sein
dun mme systme autonome. Elle utilise les protocole de dialogue RIP et OSPF.

) LEGP (Exterior Gateway Protocol) qui permet linterconnexion de systmes autonomes. Elle
utilise les protocoles de dialogue EGP et BGP.

1.14.3.3./ Le routage intrieur

1.14.3.3.1./ Introduction

Il existe deux grands types de routage intrieur qui sont :

) Le routage par vecteur de distance (distance vector routing).


) Le routage par tat de liens (Link State routing).

Les protocoles de routages intrieurs sont :

) RIP, IGRP et EIGRP pour le routege par vecteur de distance.


) OSPF et Integrated IS/IS pour le routage par tat de liens.

RESEAUX (volume 2) COURS Page 276


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.3.3.2./ Le routage interrieur par vecteur de distance

Il repose sur les algorithmes de Fulkerson et Belman-Ford. Le vecteur de distance est un couple de
valeur contenant ladresse de destination et le cot pour latteindre (distance) de la forme :

V = (Destination, cot)

Lunit de cot est le nombre de saut (RIP) et la mtrique calcule en fonction du dbit et du taux
doccupation. Cest le protocole IGRP.

Les mcanismes gnraux du routage par vecteur de distance sont :

) Lidentification unique de chaque routeur sur linter rseau.


) La dtermination par chaque routeur dune mtrique associe chaque segment qui lui est
raccord directement.
) La transmission dune mtrique nulle au dmarrager Transmission priodique aux voisins des
informations de routage.
) La dtermination par chaque routeur de la mtrique la plus faible propose par ses voisins.

La mise jours des tables est ralise par des mcanismes dintgration qui modifient des entres dans
la table de routage si :

) La destination est nouvelle ou inconnue jusque l.


) La distance est plus faible quune entre dj existante.
) La distance dune destination via une passerelle voisine a chang.

Remarque : une passerelle qui reoit une nouvelle route enregistre cette route en augmentant son coup
(ajout dun hop dans le cas de RIP).

1.14.3.3.3./ Le protocole RIP - Routing Information Protocol (UNIX)

1.14.3.3.3.1./ Prsentation

Cest le premier protocole de routage intrieur qui a t dvelopp par luniversit de Berkeley pour
Unix 4 BSD. Il est associ au processus dmon routed. Cest le protocole de routage de rfrence du
monde UNIX.

1.14.3.3.3.2./ Mcanismes gnraux de RIP

Il sappuie sur UDP par le port 520. Il faut considrer deux types de machines utilisant RIP : les
machines actives et les machines passives.

Ce protocole permet la diffusion toutes les 30 secondes des vecteurs de distance sur le rseau. Le cot
est exprim en saut (nombre des passerelles traverses). Une destination de 16 sauts est considre
comme inaccessible.

Que se passe-t-il si la meilleure route devient inaccessible ? La gestion des pannes sous RIP met en
uvre une gestion de temporisateurs qui sont au nombre de trois :

RESEAUX (volume 2) COURS Page 277


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Temporisateur de mise jour (update timer) : 30s


) Temporisateur dinvalidit (invalid timer) : 180s
) Temporisateur deffacement (flush timer) : 270s

Au bout de ce temps dinvalidit, tout routeur ou route qui nest plus annonc est suppos invalide. Le
routeur en informe alors ses voisins.

Le protocole RIP met galement en uvre des algorithmes de clivage dhorizon, dtat de route et de
mise jour anticipe.

1.14.3.3.3.3./ Lalgorithme de clivage dhorizon

Les routeurs A et B changent leur table de routage. Le routeur B connat le rseau 2 et 3 mais aussi le
rseau 1 qui passe par A.

Problme : que se passe-t-il si linterface Ethernet du routeur A tombe en panne ?

Avec lalgorithme de clivage dhorizon une destination reue sur une interface nest jamais
redistribue par cette interface.

Variante propose par RIP est lalgorithme de Poison Reverse Update ou mise jour en mode retour.
B communique A une route qui passe par A avec une mtrique de 16. Il ny a pas de rtention
dinformation : on prfre communiquer une route invalide plutt que ne pas la communiquer.

Cet algorithme est mis en chec avec une simple boucle constitu de 3 routeurs A,B,C.

1.14.3.3.3.4./ La mise jour anticipe et le maintien dtat des routes

Plus le rseau est grand plus il se pose le problme de la mise jour des tables de routage. Le temps de
convergence est le temps de mise jour effective sur lensemble des routeurs.

La mise jour anticipe (triggered updates) permet une signalisation immdiate dun changement dans
le rseau. (update timer). Mais comme le montre le synoptique ci dessous, cela nest pas suffisant.

La solution est le temporisateur de maintien dtat de route (Hold-On timer) qui permet la mise jour
dune route annonce coupe ou modifie est gele durant ce temps. Il ny a alors pas de risque de r-
installer une ancienne route et le temps de convergence diminu.

RESEAUX (volume 2) COURS Page 278


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.3.3.3.5./ Activation du protocole RIP sous LINUX

Il existe 2 mthodes qui sont :

) RIP avec le dmon Routed : il permet davoir un historique. Son fichier de configuration est
/etc/gateways dont la syntaxe est :

Net | host destination gateway passerelle metric mtrique passive | active | external

Par exemple : Net default gateway 200.13.0.245 metric 1 active

) RIP avec le dmon Gated : se dmon est plus rcent que Routed. Il met en oeuvre RIP mais
aussi EGP, BGP, HELLO. Son fichier de configuration est /etc/gated.conf. Un exemple de
ce fichier de configuartion est donn ci dessous :

traceoptions internal external rip update


rip yes ;
hello no ;
egp no ;
bgp no ;

La configuration dun routeur sous LINUX avec WEBMIN

RESEAUX (volume 2) COURS Page 279


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.3.3.3.6./ Les limitations de RIP

) RIP est Limite 16 hops.


) La mtrique ne tient pas compte du dbit.
) Il ny a pas de masquage de sous-rseaux.
) La confiance est accorde aux autres routeurs.
) Lalgorithme de clivage dhorizons peut tre en chec dans certains cas.
) Le temps de convergence peut atteindre plusieurs minutes.
) RIP neccessite une bande passante importante.

1.14.3.3.4./ Le protocole IGRP- Internal Gateway Routing Protocol (CISCO)

1.14.3.3.4.1./ Prsentation

IGRP est un protocole vecteur de distance comme RIP. Cest un protocole propritaire CISCO. Il
permet de dpasser la limite de 16 hops de RIP. Cest un protocole stabe car il na pas de boucle de
routage. Les temps de raction sont rapides aux changements et le routage est optimal en fonction de la
bande passante et du taux doccupation. La rpartition de la charge peut se faire entre plusieurs routes.

1.14.3.3.4.2./ Exemple

Initialement les routes de A vers B ont le mme poids (ici 2 * 8576). On a la possibilit de prciser la
bande passante sur les interfaces serie S1 de routeurs 2 et 3 comme suit :

routeur2(config)# interface serial 1


routeur2(config-int)# bandwith 256000

Un coefficient de variance est appliqu la route de plus faible mtrique. Les routes slectionnes sont
celles qui ont la mtrique infrieure ou gale au coefficient multiplicateur de la mtrique le plus faible.

Il est possible de crer un balancement de charge entre les routes. La rpartition du trafic est
inversement proportionnelle la mtrique.

RESEAUX (volume 2) COURS Page 280


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.3.3.4.3./ Lempoisonnement de route

A linstar de lalgorithme poison reverse update, lempoisonnement des routes vite les boucles de
routages. Le mcanisme mis en uvre est simple :

) Les routes sont rendues invalides par une mtrique de valeur infinie.
) IGRP empoisonne alors toutes les routes dont la mtrique a augment dau moins 10 %.
) Il y a r-intgration des routes empoisonnes sur un message normal de mise jour.

1.14.3.3.5./ Le protocole EIGRP - Enhanced IGRP (CISCO)

Par rapport au protocole IGRP, lEIGRP apporte des procdures dannonces de routes et le calcul des
entres de la tables de routage. Il permet la dcouverte des voisins (Neighbor Discovery) par lenvoi de
paquet Hello.

Il met en uvre lalgorithme DUAL. Cest un automate tats finis qui calcule la meilleure route ainsi
quune route de secours. Il repose sur :

) La table de voisinage qui est est alimente par les paquets hello. Cest une information
temporelle (hold time) o le routeur considre une entre valide.

) La table de topologie qui contient toutes les routes annonces par les voisins avec leur
mtrique Elle est la base des calculs sur la table de routage.

) La table de routage.

Enfin, avec le protocole EIGRP, le masque de sous-rseaux est variable (VLSM).

1.14.3.3.6./ Le protocole tat de liens OSPF - Open Shortest Path First

OSPF a t dfini par lIETF (Internet Enginnering Task Force). Ce protocole met en uvre un
algorithme de ttonnement partir de la base topologique.

Un routeur doit dterminer quels sont ses voisins (en connexion directe). Chaque routeur transmet des
messages de mise jours des tats de lien (LSA ou Link State Advertissement). Un message LSA reu
par un routeur est retransmis ses voisins. Chaque routeur a ainsi une connaissance complte de la
topologie de linter-rseau. De plus, une entre LSA contient un numro de squence et a une dure de
vie.

Ce protocole ncessite que le rseau soit configur de faon hirarchique. Il sapplique aux rseau
fdrateur (backbone network). Il dfini des zones articules autour du rseau fdrateur (zone 0) et
met en uvre le routage inter-zone (inter-area routing) et le routage intra-zone (intra-area routing).

Ce protocole necessite des routeurs de frontires (border area router). Il connat ainsi la topologie des
deux zones auquel il appartient.

RESEAUX (volume 2) COURS Page 281


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.4./ La configuration des routeurs CISCO

1.14.4.1./ Introduction

Pour les routeurs CISCO, il y a 3 possibilits de configuration qui sont :

) Configuration initiale par l'utilitaire SETUP.


) Configuration par le port console ou via Telnet.
) Configuration au moyen d'un fichier de commande via TFTP.

1.14.4.2./ Prise en main

La configuration initiale se fait par liaison RS232. Le routeur est fourni avec un kit de connexion
RJ45. On connecte le cble rseau sur le port console ct routeur et le cble srie sur le port com1 du
PC.

La vitesse de connexion avec un mulateur de terminal est la suivante :vitesse 9600 bits/s, 8 bits de
donnes sans parit, 1 bit stop.

1.14.4.3./ Lutilitaire SETUP

Il est utilis lors de la configuration initiale ou aprs un write erase. L'utilitaire configure la scurit
(Mot de passe) et la topologie (interface Ethernet, srie).

Exemple :

Would you like to enter the initial configuration dialog? [yes]:


First, would you like to see the current interface summary? [yes]: n
Configuring global parameters:
Enter host name [Router]: toto
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: cisco
% Please choose a password that is different from the enable secret
Enter enable password: toto
Enter virtual terminal password: toto
Configure SNMP Network Management? [yes]: n
Configure IP? [yes]: y
Configure IGRP routing? [yes]: n
Configure RIP routing? [no]: n
Configuring interface parameters:
Configuring interface Ethernet0:
Is this interface in use? [yes]: n
Configuring interface Serial0:
Is this interface in use? [yes]: n

RESEAUX (volume 2) COURS Page 282


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.4.4./ La configuration via tftp

Elle permet de crer et d'utiliser des fichiers de configuration. TFTP (Trivial File Transfer Protocol)
bti sur UDP (port 69). Il ny a pas de notion d'authentification et ces un protocole peu sr. Cela
ncessite la configuration d'un serveur TFTP scuris.

Pour la configuration du serveur tftp on utilisera le fichier /etc/inetd.conf. Dans le cas dune
configuration non scuris on utilisera la syntaxe tftp dgram udp wait nobody /usr/sbin/tftpd tftpd n
ou alors dans le cas dune configuration scuris tftp dgram udp wait root /usr/sbin/tftpd tftpd s
/config.

Pour raliser des tests du mode scuris sur un serveur (ici SVR1), on pourra sinspirer des syntaxes
suivantes :

) Transfert autoris :

# tftp SVR1
tftp> put /etc/named.data cisco.conf
Sent 12457 bytes in 0.1 seconds.

) Transfert non autoris :

# tftp SVR1
tftp> get /etc/named.data/tmp/passwd
Transfer timed out.

1.14.4.5./ La sauvegarde d'une configuration via tftp

On seconnecte au routeur CISCO par le port console ou par telnet.

# telnet cisco1.ex-cnam.fr
...
User Access Verification
Password:
Cisco1> enable
Password:
Cisco1#

Par le prompt du routeur, on sauvegardera la configuration de la manire suivante :

Cisco1# write net


Remote host [192.168.1.100]?
Name of configuration file to write ? cisco.conf
Write file cisco.conf on host 192.168.1.100? [confirm]
######
Writing cisco.conf !! [OK]
Cisco1# quit

RESEAUX (volume 2) COURS Page 283


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.4.6./ La restauration d'une configuration via tftp

On se connecte au routeur par telnet ou par le port console. Par le prompt du routeur, on restaurera la
configuration de la manire suivante :

Cisco1# configure network


Host or network configuration file [host]?
Address of remote host [192.168.1.100]]?
Name of configuration file? Cisco.conf
Configure using cisco.conf from 192.168.1.100? [confirm]
Loading cisco.conf from 192.168.1.100 (via Ethernet0): !
[OK - 3325/32723 bytes]
nom_du_cisco# write memory
nom_du_cisco# quit

1.14.4.7./ Les diffrents types de mmoire dun routeur CISCO

La mmoire ROM contient l'IOS initial (non volutif sauf sur 7000).

La mmoire RAM contient la configuration du routeur, les tables de routages, les tampons mmoire
(paquets traiter).

La mmoire Flash contient contient la version de l'IOS. Elle est effaable (mise en oeuvre d'une
version suprieure de l'IOS).

La NV RAM contient la configuration qui est conserv mme lorsque le routeur n'est plus aliment.

1.14.4.8./ Les types de commandes

Il existe 3 grands types de commande :

) Les commandes globales : affecte le comportement du routeur.


) Les commandes majeures : elle indique une interface. Elle sont suivi d'une ou plusieurs sous-
commandes.
) Les sous-commandes.

1.14.4.9./ Les diffrents modes dutilisation

Il existe 4 modes "d'utilisation" du routeur CISCO qui sont :

) Le mode utilisateur non privilgi qui permet d'entrer des commandes sans privilges. Cest
le mode initial aprs s'tre connect (port console ou telnet). Exemples de commandes : ping,
telnet, show time, ...

) Le mode privilgi qui permet d'effectuer des actions au niveau "administrateur". Elle
necessite dentrer la commande enable puis le mot de passe. Exemples de commandes : Show
conf (affiche la configuration complte), wr erase (efface la configuration), reload (redmarre
le routeur).

RESEAUX (volume 2) COURS Page 284


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

) Le mode configuration qui permet de modifier les paramtres de configuration du routeur


(routage, access-list, etc). Il necessite dentrer la commande conf term partir du mode
privilgi. Exemples de commandes : hostname nom-hte ; ip route 192.168.10.0
255.255.255.0 172.30.10.2

) Le mode configuration "interface" qui permet de configurer une interface Ethernet. Elle
necessite dentrer la commande int interface N en mode configuration.

1.14.4.10./ La configuration d'une interface Ethernet

Soit larchitecture rseau dfinie par le synoptique donn ci-dessous :

La configuration des interfaces Ethernet du routeur est la suivante :

Cisco1 #
Cisco1 # conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco1 (config) #
Cisco1 (config) # interface Ethernet0
Cisco1 (config-if) # description interface Eth0 CNAM-Aix-En-Provence
Cisco1 (config-if) # ip address 192.168.1.245 255.255.255.0
Cisco1 (config-if) # ip address 172.30.33.245 255.255.255.0 secondary
Cisco1 (config-if) # media-type 100BaseT
Cisco1 (config-if) # ^Z
Cisco1 #
Cisco1 # conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco1 (config) # int Eth1 (quivalent interface ethernet 1)
Cisco1 (config-if) # description interface Eth1 SAS CNAM-Aix-En-Provence
Cisco1 (config-if) # ip address 192.168.2.245 255.255.255.0
Cisco1 (config-if) # ip address 172.30.32.245 255.255.255.0 secondary
Cisco1 (config-if) # media-type 100BaseT

1.14.4.11./ La configuration d'une interface Srie transfix

Soit larchitecture rseau dfinie par le synoptique donn ci-dessous :

RESEAUX (volume 2) COURS Page 285


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Pour la configuration du routeur 1 est la suivante :

Cisco1 (config) # interface Serial0


Cisco1 (config-if) # description Lien Tfx vers rseau 192.168.201.0
Cisco1 (config-if) # ip address 10.1.201.1 255.255.255.0
Cisco1 (config-if) # ip tcp header-compression
Cisco1 (config-if) # bandwidth 64

Pour la configuration du routeur 2 est la suivante :

Cisco2 (config) # interface Serial0


Cisco2 (config-if) # description Lien Tfx vers rseau 192.168. 1.0
Cisco2 (config-if) # ip address 10.1.201.2 255.255.255.0
Cisco2 (config-if) # ip tcp header-compression
Cisco2 (config-if) # bandwidth 64

1.14.4.12./ La configuration d'une interface Srie X.25

Soit larchitecture rseau dfinie par le synoptique donn ci-dessous :

La configuration du routeur 1 est la suivante :

Cisco1 (config) # interface Serial0


Cisco1 (config-if) # description interface X25
Cisco1 (config-if) # ip address 192.168.200.1 255.255.255.0
Cisco1 (config-if) # encapsulation x25
Cisco1 (config-if) # bandwidth 64
Cisco1 (config-if) # x25 address 10123456789
Cisco1 (config-if) # x25 map ip 192.168.200.2 12123456789
Cisco1 (config-if) # x25 map ip 192.168.200.3 21211097019

RESEAUX (volume 2) COURS Page 286


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

1.14.4.13.La configuration d'une interface Srie frame-relay

1.14.4.13.1./ Exemple 1

La configuration du routeur 1 est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# ip address 192.168.111.1
Cisco1 (Config)# encapsulation frame-relay
Cisco1 (Config)# frame-relay map ip 192.168.111.3 DLCI 44
Cisco1 (Config)# frame-relay map ip 192.168.111.2 DLCI 22

La configuration du routeur 2 est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# ip address 192.168.111.2
Cisco1 (Config)# encapsulation frame-relay

La configuration du routeur 3 est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# ip address 192.168.111.3
Cisco1 (Config)# encapsulation frame-relay

1.14.4.13.2./ Exemple 2

RESEAUX (volume 2) COURS Page 287


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

La configuration du routeur 1est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# encapsulation frame-relay
Cisco1 (Config)# int S0.1 point-to-point
Cisco1 (Config)# frame-relay interface DLCI 2 Broadcast
Cisco1 (Config)# ip address 192.168.111.10
Cisco1 (Config)# int S0.1 point-to-point
Cisco1 (Config)# frame-relay interface DLCI 4 Broadcast
Cisco1 (Config)# ip address 192.168.111.1

La configuration du routeur 2est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# ip address 192.168.111.2
Cisco1 (Config)# encapsulation frame-relay

La configuration du routeur 3 est la suivante :

Cisco1 (Config)# int serial 0


Cisco1 (Config)# ip address 192.168.111.3
Cisco1 (Config)# encapsulation frame-relay

RESEAUX (volume 2) COURS Page 288


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

2. TRAVAUX DIRIGES

RESEAUX (volume 2) TRAVAUX DIRIGES Page 289


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

2.1. / Exercice 1 : Etude de cas pour linterconnexion des rseaux


2.1.1. / Enonc :

Un tablissement compos de deux btiments trois niveaux dont les bureaux (une dizaine par niveau)
sont rpartis autour dun escalier central. Les bureaux sont spacieux (20 25 mtres carrs) et sont
censs accueillir de 3 4 personnes. Les deux btiments sont sur la mme parcelle cadastrale.

Ltablissement est compos :

Dun service administratif.


Dun service commercial.
De 3 dpartements.

Deux dpartements sont regroups dans le mme btiment A. Lautre btiment accueille le dernier
dpartement ainsi que les services administratifs, commerciaux, la direction ainsi quune future salle
des machines. Deux commerciaux ainsi que deux secrtaires ont cependant leurs bureaux dans le
btiment A. Le btiment est pr-cbl.

On demande :

La mise en rseau de lensemble de ltablissement.


La Scurisation des flux pour les commerciaux.
Le raccordement de ltablissement au site principal et aux autres agences. La connexion au
site principal doit tre secourue.
Laccs linternet.
La mise en uvre dune messagerie et dun Intranet Local.

2.1.2. / Corrig

RESEAUX (volume 2) TRAVAUX DIRIGES Page 290


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

2.2. / Exercice 2 : Questions de cours et problmes


2.2.1. / Enonc :

2.2.1.1./ Question de cours

1) Parmi les supports de transmission les plus utiliss, on trouve la paire torsade, les cbles coaxiaux,
la fibre optique. Prcisez les caractristiques, avantages et inconvnients de chacun de ces supports.
Citer pour chacun de ces mdias des standards ou normes.

2) Expliquez (en quelques lignes) les principes de la mthode CSMA/CD et la gestion des collisions.

3) A quel niveau du modle OSI intervient un routeur dans l'interconnexion des rseaux?
Quelle est sa fonction principale? (explicitez). Qu'appelle ton routage statique ?

4) Dcrire en quelques lignes les objectifs de l'administration de rseaux. Prciser le protocole le plus
utilis dans ce domaine, dcrire brivement l'architecture sur laquelle il repose, et les principales
primitives du protocole.

5) En quoi consiste ou quelles tapes sont ncessaires pour paramtrer des machines fonctionnant sous
TCP/IP ? Quel est le minimum qui doit tre ralis pour que deux machines puissent dialoguer ?

6) Quels sont les 3 niveaux d'adressage dans le monde des rseaux locaux et TCP/IP ? Comment sont
ralises les correspondances entre niveaux ?

2.2.1.2./ Problmes

1) Vous tes responsable rseaux dans une entit d'une organisation qui vous demande de mettre en
oeuvre un nouveau plan d'adressage. Cette organisation vous attribue la plage d'adresse suivante
172.18.32.0 masqu en 255.255.240.0. Vous grez dans votre entit 5 rseaux dont vous souhaitez
conserver le dcoupage physique et logique. Comment vous y prenez vous ? Fournir un dcoupage
logique pour ces rseaux.

2) Vous devez installer la partie cliente d'une application qui repose sur les standards du monde
TCP/IP en terme d'architecture client-serveur. Le serveur est situ sur un rseau gographiquement
distant, vous ne connaissez rien de l'application et vous n'avez donc pas les moyens de vrifier au
niveau de celle-ci la bonne installation de la partie cliente. L'utilisateur ne la connat pas non plus et ne
peut donc vous aider. Quels moyens d'investigation avez vous votre disposition ? A quelles
vrifications procder vous ? Les situer au niveau du modle thorique et donner en quelques lignes les
protocoles mis en oeuvre.

2.2.2. / Corrig

2.2.2.1./ Question de cours

1) Le cble coaxial est constitu d'une me en cuivre qui conduit le signal. Cette me est entoure d'un
isolant (dilectrique), puis d'une tresse et enfin d'un isolant qui assure la protection de l'ensemble. Les
cbles coaxiaux sont moins sensibles aux perturbations lectromagntiques que la paire torsade.
En terme de cblage, le gros coaxial est un mdia peu ais mettre en oeuvre.

RESEAUX (volume 2) TRAVAUX DIRIGES Page 291


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Le coaxial fin, plus facile dployer est sensible l'arrachement : L'ouverture du rseau au niveau d'un
T BNC entrane la paralysie du rseau. On lui prfre aujourd'hui la paire torsade. Exemple de mdia
: 10 base 5 (gros coaxial), 10 base 2 (coaxial fin). Le cble en paires torsades est constitu par des fils
en cuivre protg par un isolant lectrique. Un cble en paires torsades est constitu de plusieurs
paires (2 le plus souvent 4 aujourd'hui). Les paires torsades sont sensibles aux interfrences
lectromagntiques et pose un problme qui n'existe pas avec le cble coaxial : la paradiaphonie. La
paire torsade offre de hauts dbits (100 o 1000Mbits/s aujourd'hui) mais la distance entre lments
actifs est de 100 m.

En termes de cot et de cblage, la paire torsade est une solution conomique et facile mettre en
oeuvre, ce qui explique son succs. Exemple de Mdia 10 base T, 100 base T, Giga Ethernet (1000
base T). La fibre optique est un mdia insensible aux interfrences lectromagntiques. Elle autorise de
haut dbit et des distances suprieures 100 km. Son cblage est plus dlicat que la paire torsade et
elle reste un mdia cher. Pour les rseaux locaux, on l'utilisera surtout comme dorsale (backbone) ou
pour relier des btiments.

2) La mthode CSMA/CD (Carrier Sense Multiple Access/Collision Detection c..d. Ecoute de la


porteuse, accs multiples dtection de collisions) est une technique d'accs sur un rseau en bus. Le
principe est simple : une trame mise sur le rseau est reue par tous les quipements connects
physiquement ce rseau.

Lorsqu'une station veut mettre, elle se met en coute, par dtection de la porteuse, sur le rseau. Si
celui-ci est libre : elle met. Toutes les stations sur le rseau vont alors recevoir la trame. Si une autre
station veut mettre son tour, elle ne pourra pas tant que le mdia ne sera pas libre. Le problme
intervient lorsque deux stations mettent en mme temps. Se produit alors une collision, qui va tre
dtecte par l'ensemble des stations. Les deux stations en cause mettent alors des bits de renforcement
de collision (jam), arrtent toutes mission et attendent un temps alatoire avant de r-mettre.

3) Un routeur intervient au niveau 3. Sa fonction principale est d'assurer l'acheminement des paquets
IP entre rseaux. La dtermination d'un chemin entre deux htes est appele le routage. Celui-ci peut
tre statique ou dynamique. Le routage statique consiste pour un administrateur rseau configurer sur
les quipements l'ensemble des routes ncessaires l'interconnexion de ses rseaux. L'ajout, le retrait
ou la modification des routes ncessitent galement l'intervention de l'administrateur.

4) L'objectif de l'administration de rseaux est de fournir les mcanismes ncessaires pour exploiter,
superviser, maintenir son rseau. Dans le monde TCP/IP, le protocole utilis est SNMP (Simple
Network Mangement Protocol). Celui-ci repose sur une architecture client serveur dans laquelle on
trouve un agent et un manager qui supervise cet agent.

L'agent est un logiciel qui est activ sur l'quipement administrer (hub, switch, routeur, serveurs,
etc), il gre en local une reprsentation de l'quipement appele MIB (Management Information
Base). Cette MIB contient des informations sur l'quipement d'ordre administratif (Type de matriel,
constructeur, situation gographique, etc), de configuration (nom de l'hte, adresse IP, communaut
SNMP) ou oprationnelle (interfaces, nombre de paquets entrants, sortants sur ces interfaces, etc). Un
manager peut tout moment interroger la MIB d'un quipement via l'agent SNMP, cette interrogation
s'appelle le polling.

RESEAUX (volume 2) TRAVAUX DIRIGES Page 292


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Sur celui-ci, des alarmes peuvent tre remontes au Manager. L'agent galement la possibilit
d'envoyer son manager des alertes encore appeles trap SNMP. Les primitives :

GET-REQUEST permet au manager de lire un paramtre dans la base de donne de lagent


GET-NEXT-REQUEST permet au manager de lire le paramtre suivant.
SET-REQUEST permet au manager de modifier la valeur dun paramtre.
GET-RESPONSE permet lagent de rpondre une requte.
TRAP permet lagent dmettre une alerte vers lagent de sa propre initiative.

5) Configurer l'adresse IP et le masque de sous-rseau.


Configurer les routes.
Configurer la rsolution de nom (locale ou distante, c..d. hosts ou DNS).
Seule la premire tape est ncessaire pour permettre deux machines de dialoguer si elles se trouvent
sur le mme rseau.

6) Au niveau physique, on trouve l'adresse MAC qui est l'adresse effectivement utilise par les
htes pour communiquer. Au niveau rseau, on trouve une adresse logique indpendante de l'adresse
physique, c'est l'adresse IP. La correspondance entre adresse Mac et adresse IP est ralise au moyen
du protocole ARP. Enfin, au niveau applicatif, on manipule des noms d'htes. La correspondance entre
nom d'htes et adresse IP peut tre ralise avec le fichier hosts ou avec le DNS.

2.2.2.2./ Problmes

1) Le masque en 255.255.240.0 indique que 4 bits du troisime octet sont utiliss pour dfinir le
rseau, les 4 bits de poids faible tant utiliss pour dsigner l'hte avec le 4 me octet. La plage
d'adresse attribue varie donc de 172.18.32.0 172.18.47.255 (Attention, les adresses partir de
172.18.48.0 ne sont plus dans la plage d'adresses qui vous est attribue). Pour crer des sous-rseaux
partir de cette plage d'adresse, il va donc falloir consommer des bits de la partie hte.

En consommant 1 bit, on obtient :

Un masque de 255.255.248.0,
Les sous-rseaux, 172.18.32.0 et 172.18.40.0,

En consommant deux bits supplmentaires, on obtient :

Un masque de 255.255.252.0
4 sous-rseaux, 172.18.32.0, 172.18.32.36, 172.18.40.0, 172.18.44.0,

En consommant 3 bits supplmentaires, on obtient :

Un masque de 255.255.254.0
8 sous-rseaux, 172.18.32.0, 172.18.34.0,172.18.36.0, 172.18.38.0,172.18.40.0, 172.18.42.0,
172.18.44.0, 172.18.46.0

En consommant 4 bits supplmentaires, on obtient :

Un masque de 255.255.255.0
16 sous-rseaux, de 172.18.32.0 172.18.47.0

RESEAUX (volume 2) TRAVAUX DIRIGES Page 293


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

Seules les deux derniers dcoupages rpondent au problme.

Remarque : on peut tout fait, quel que soit le masque, utiliser le rseau 172.18.32.0.

2) Aprs avoir lancer l'application (et vous tre assur qu'aucune autre application de type client
serveur ne s'excute sur votre station) vous pouvez utiliser la commande netstat. Si elle affiche la
socket avec l'@ip su serveur et le numro de port du service, la connexion est tablie. Mme si vous ne
connaissez rien l'application, vous pouvez affirmer que jusqu'au niveau applicatif tout fonctionne.

Si aucune socket n'est tablie, vous pouvez essayer alors un ping sur le serveur, si celui-ci choue un
"netstat rn" pour vrifier la table de routage de votre station, puis un traceroute qui dterminera
ventuellement l'indisponibilit d'un noeud (routeur ou passerelle).

2.3. / Exercice 3 : Etude de cas pour le routage statique


2.3.1. / Enonc :

Ladministrateur dun rseau A dont ladressage est statique doit changer son plan d'adressage et se
voit pour cela attribuer une plage d'adresse 172.20.32.0 masques en 255.255.255.240. Elle dispose
aujourd'hui de 5 rseaux de classe C.

On demande de :

) Dtailler la programmation du routeur d'un rseau B pour atteindre le rseau A.


) Dtailler la programmation du routeur central du rseau A.
) Dtailler la programmation des routeurs internes.

2.3.2. / Corrig

RESEAUX (volume 2) TRAVAUX DIRIGES Page 294


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

3. BIBLIOGRAPHIE

RESEAUX (volume 2) BIBLIOGRAPHIE Page 295


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

3.1. / Rseaux locaux

Lunivers des rseaux Ethernet. Concepts, produits, mise en pratique. Nicolas Turin.
INTEREDITIONS.
Un peu difficile de prime abord mais lensemble des concepts et standards des rseaux
Ethernet est abord dans ce bouquin.
Pratique des rseaux dentreprises. Jean-Luc Montagnier. EDITIONS EYROLLES.
Un bouquin clair qui aborde les rseaux du cblage jusqu ladministration de ceux-ci.

3.2. / Rseaux Hauts dbits

Les hauts dbits en tlcoms. Claude Servin et Solange Ghernaouti-Hlie. INTEREDITIONS.


Ardu mais bonne introduction aux hauts dbits.
TCP/IP
Administration de rseau. Craig Hunt. EDITIONS ADDISON WESLEY.
Trs verbeux mais finalement les concepts de base (adressage, routage, Bind sont bien
prsents).
DNS et BIND. Paul Albitz & Cricket Liu. EDITIONS OREILLY INTERNATIONAL.
Tout ce quil faut savoir sur la mise en oeuvre du DNS.
Systmes dinformation sur Internet. Cricket Liu, Jerry Peek, Russ Jones, Bryan Buus
Adrian Nye. EDITIONS OREILLY INTERNATIONAL. Commence dater mais bonne
prsentation des services offerts sur Internet (Web, Telnet, FTP, etc).

3.3. / Pour les Linuxiens

Administration rseau sous LINUX. Olaf Kirch. EDITIONS OREILLY INTERNATIONAL


THOMSON. Commence dater mais constitue une bonne introduction.
Scurit
Firewalls et scurit Internet. S.M. Bellovin et W.R. Cheswick. EDITIONS ADISON WESLEY.
Le bellovin et Cheswick : incontournable dans le domaine. Attention, ldition est peut tre
puise.
Scurit des rseaux. Merike Kaeo. EDITIONS CISCO PRESS.
Assez orient Cisco mais les aspects essentiels de la scurit des rseaux sont abords de
faon pratique, Claire et concise.

3.4. / Administration de rseaux

GESTION DE RESEAU ET DE SERVICES, similitude et concepts, spcificit des solutions.


Nomie Simoni et Simon Znaty. INTEREDITIONS.
Approche trs thorique de lAdministration des rseaux (Gestion OSI). Pour ce qui veulent
se spcialiser.

RESEAUX (volume 2) BIBLIOGRAPHIE Page 296


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

3.5. / Systmes UNIX

Les bases de lADMINISTRATION SYSTEME. Aeleen Frisch. EDITIONS OREILLY


INTERNATIONAL. Pour les amateurs dUNIX.

3.6. / Routeur CISCO

Installer et configurer un routeur CISCO. Chris Lewis. EDITIONS EYROLLES.


Bonne introduction la configuration des routeurs CISCO. Rappels des concepts gnraux.
Trs bien pour commencer. Ncessite toutefois de bonnes bases sur TCP/IP.
Architecture des rseau & Etude de cas. Certification CISCO. CISCO PRESS.
Trs ardu mais excellent aperu de la plupart des technologies de routage ou dinterconnexion
LAN/WAN et de leur mise en oeuvre sur routeurs CISCO. Pour ceux qui veulent se
spcialiser seulement.

3.7. / Quelques URLs

WEBMIN : http://www.webmin.com
LINUX MANDRAKE : http://www.linux-mandrake.com/fr
SCOTTY : http://wwwhome.cs.utwente.nl/~schoenw/scotty/scotty.html

RESEAUX (volume 2) BIBLIOGRAPHIE Page 297


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

4. INDEX

RESEAUX (volume 2) LEXIQUE Page 298


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

ASCII 262

codage 39, 40

ETHERNET 36, 39, 40, 44

IPX/SPX 45, 46, 47, 51, 262

MAC 35, 36, 40, 46, 51

NETBEUI 46, 262


NETBIOS 45, 46, 50, 262

Round Trip Delay 38

TCP/IP 45, 46, 48, 49, 50, 51, 257, 258, 263
Token Ring 38

RESEAUX (volume 2) LEXIQUE Page 299


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

5. LEXIQUE

RESEAUX (volume 2) LEXIQUE Page 300


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

ADPCM : Adaptative Differential Pulse Code Modulation.


AFNOR : Association Franaise de Normalisation.
AMRF : Accs Multiple Rpartition de Frquence.
ANSI : American National Standard Institute.
API :: Application Programming Interface.
ASCII : American Standard Code for information Interchange.
ATM : Asynchronous Transfer Mode.
BSC : Binary Synchronous Communication.
CCIR : Comit Consultatif International de Radiocommunication.
CCITT : Comit Consultatif International Tlgraphique et Tlphonique.
CEI : Commission Electrotechnique Internationale.
CEN : Comit Europen de Normalisation.
CIEF : Comit International dEnregistrement des Frquences
CLNS : Connection Less Network Services.
CNET : Centre Nationnal dEtudes en Tlcommunications.
CONS : Connection Oriented Network Services
CRC : Cyclic Redundancy Check.
CVC : Circuit Virtuel Commut.
CVP : Circuit Virtuel Permanent.
DNA : Digital Network Architecture.
DSA : Distribued System Architecture.
EIA : Electronic Industries Association.
ETCD : Equipement de Terminaison de Circuit de Donnes.
ETTD : Equipement Terminal de Transmission de Donnes.
FCS : Frame Check Sequence.
FDM : Frequency Division Multiplexing.
FDX : Full DupleX.
FTP : Files Transfer Protocol.
HDLC : High Level Data Link Control.
HDX : Half DupleX.
IBC : Integrated Broadband Communication.
IEEE : Institut of Electrical and Electronc Engineers.
IGRP : Interior Gateway Routing Protocol.
IMP : Interface Message Processor.
IPX/SPX : Internet Packet Exchange / Sequenced Packet Exchange.
ISDN : Integrated Service Data network.
ISO : International Standard Organisation.
LAN : Local Area Network.
LAPB : Link Acces Procedure Balanced.
LRC : Longitudinal Redundancy Check.
LSI : Liaison Spcialise Internationale.
MAN : Metropolitan Area Network.
MIC : Modulation par Impulsion et Codage.
MTBF : Mean Time Between Failure.
MTTR : Mean time To Repair.
NETBEUI NETBIOS Extended User Interface
NETBIOS NETwork Basic Input Ouput System
NMP : Microcom Network Protocole.
NRZ : Non Retour Zro.

RESEAUX (volume 2) LEXIQUE Page 301


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

NSAP : Network Service Access Point.


ONP : Open Network Provision
OSI : Open System Interconnexion.
PABX : Private Automatic Branch eXchange.
PAD : Paquets Assembler Disassembler
PCM : Pulse Coding Modulation.
PPP : Point to Point Protocol.
RIP : Routing information Protocol.
RLE : Rseaux Locaux dEntreprise.
RNIS : Rseau Numrique Intgration de Services.
RPC : Remote Procedure Call.
RTC : Rseaux Tlphonique Commut.
SBT : Six Bit Transcode.
SDA : Slection Directive LArrive.
SDH : Synchronous Digital Hierarchy.
SDLC : Synchronous Data Link Control.
SLIP : Serial Line Internet Protocol.
SNA : System Network Architecture.
TCP/IP : Transmission Control Protocol / Internet Protocol.
TDM : Time Division Multiplexing.
UDP User Datagram Protocol
UIT : Union Internationale des Tlcommunications.
VRC : Vertical Redundancy Check.
WAN : Wide Area Network.

RESEAUX (volume 2) LEXIQUE Page 302


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

6. Licence de Documentation Libre


Version 1.1, mars 2000 Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 tats-Unis d'Amrique. La copie et la distribution de copies exactes de ce
document sont autorises, mais aucune modification n'est permise.

PRAMBULE

Le but de la prsente Licence est de librer un ouvrage, un manuel, ou tout autre document crit : assurer chacun la libert vritable et complte de le copier et de le redistribuer, en le modifiant ou non,
commercialement ou non. De plus, la prsente Licence garantit l'auteur et l'diteur un moyen d'tre remercis pour leur travail, sans devoir assumer la responsabilit de modifications effectues par des tiers.

La prsente Licence est une varit de gauche d'auteur (copyleft), ce qui signifie que les travaux drivs du document protg doivent tre libres dans la mme acception du mot libre . Elle complte la Licence
Publique Gnrale GNU ( GNU General Public License), qui est une licence de gauche d'auteur conue pour le logiciel libre.

Nous avons conu la prsente licence dans le dessein de l'utiliser pour les manuels de logiciels libres, car les logiciels libres requirent une documentation libre : un programme libre devrait tre accompagn de
manuels offrant la mme libert que le programme lui-mme. Mais la prsente Licence n'est pas limite aux manuels de logiciels ; on peut l'utiliser pour tout travail textuel, indpendamment du sujet, de son
contenu, et de son mode de distribution (livre imprim ou autres). Nous recommandons la prsente Licence principalement pour les travaux vocation d'instruction ou de rfrence.

1. DOMAINE D'APPLICATION ET DFINITIONS

La prsente Licence s'applique tout manuel ou travail contenant une mention place par le dtenteur du copyright indiquant que le document peut tre distribu selon les termes de la prsente Licence. Le terme
Document , ci-dessous, se rfre tout manuel ou travail remplissant cette condition. Tout membre du public est bnficiaire de la licence et se trouve ici dsign par vous .

Une Version Modifie du Document signifie : tout travail contenant le Document, en intgralit ou en partie, aussi bien une copie verbatim ou avec des modifications qu'une traduction dans une autre langue.

Une Section Secondaire est une annexe ou un avant-propos du Document qui concerne exclusivement le rapport de l'diteur ou des auteurs du Document avec le sujet gnral du Document (ou des domaines
voisins) et ne contient rien qui puisse tomber directement sous le coup du sujet gnral (par exemple, si le Document est en quelque partie un manuel de mathmatiques, une Section Secondaire n'enseignera pas
les mathmatiques). Le rapport peut tre une connexion historique avec le sujet ou des domaines voisins, ou une prcision lgale, commerciale, philosophique, thique ou politique les concernant.

Les Sections Invariables sont certaines Sections Secondaires dsignes par leurs titres comme Sections Invariables dans la mention qui indique que le Document est couvert par la prsente Licence.

Les Textes de Couverture sont certains courts passages du texte lists comme Textes de Premire de Couverture ou Textes de Quatrime de Couverture dans la mention qui indique que le Document est
couvert par la prsente Licence.

Une copie Transparente du Document signifie : une copie lisible par une machine, ralise dans un format dont les spcifications sont disponibles au grand public, et dont le contenu peut tre directement
visualis et dit avec des diteurs de texte gnriques ou (pour les images composes de pixels) avec des programmes de composition d'images gnriques ou (pour les figures techniques) un diteur de dessin
vectoriel largement diponible, et qui soit appropri aux logiciels qui mettent le texte en forme et le calibrent (formateurs de texte) ou au transcodage automatique vers un assortiment de formats appropris aux
formateurs de texte. Une copie ralise dans un format de fichier habituellement Transparent mais dont le balisage a t conu pour contrecarrer ou dcourager des modifications ultrieures par le lecteur n'est pas
Transparente. Une copie qui n'est pas Transparente est appele Opaque .

Les formats appropris aux copies Transparentes sont par exemple l'ASCII brut sans balises, le format Texinfo, le format LaTeX, SGML ou XML utilisant une DTD publiquement disponible, et l'HTML simple et
conforme la norme, conu en vue d'une modification manuelle. Les formats Opaques incluent PostScript, PDF, les formats propritaires qui ne peuvent tre lus et dits que par des traitements de texte
propritaires, SGML et XML dont les DTD et/ou les outils de rendu ne sont pas gnralement disponibles, et l'HTML gnr automatiquement par certains traitements de texte seule fin d'affichage.

La Page de Titre dsigne, pour un livre imprim, la page de titre proprement dite, plus les pages suivantes qui sont ncessaires pour faire figurer, lisiblement, les lments dont la prsente Licence requiert
qu'ils apparaissent dans la Page de Titre. Pour les travaux dont le format ne comporte pas de page de titre en tant que telle, Page de Titre dsigne le texte jouxtant l'apparition la plus marquante du titre de ce
travail, qui prcde le dbut du corps du texte.

2. COPIES VERBATIM

Vous pouvez copier et distribuer le Document sur tout support, aussi bien commercialement que non, pour autant que la prsente Licence, les mentions de copyright, et les mentions de licence indiquant que la
prsente Licence s'applique au Document soient reproduites sur toutes les copies, et que vous n'ajoutiez aucune autre condition celles de la prsente Licence. Vous ne pouvez pas user de moyens techniques des
fins d'obstruction ou de contrle de la lecture ou de la duplication des copies que vous ralisez ou distribuez. Vous pouvez cependant accepter des compensations en change de la cession de copies. Si vous
distribuez un assez grand nombre de copies, vous devez aussi suivre les conditions de la section Copies en quantit.

Vous pouvez aussi prter des copies, selon les mmes conditions que celles mentionnes ci-dessus, et vous pouvez exposer publiquement des copies.

3. COPIES EN QUANTIT

Si vous publiez des copies imprimes du Document plus de 100 exemplaires, et que la mention de la licence du Document exige des Textes de Couverture, vous devez inclure les copies dans des couvertures o
figurent, clairement et lisiblement, tous ces Textes de Couverture : les Textes de Premire de Couverture sur la premire de couverture, et les Textes de Quatrime de Couverture sur la quatrime de couverture.
Les deux faces de la couverture doivent galement clairement et lisiblement vous identifier comme tant l'diteur de ces copies. La premire de couverture doit prsenter le titre complet, titre dont tous les mots
doivent tre galement mis en valeur et visibles. Vous pouvez ajouter des lments supplmentaires sur les couvertures. Toute copie avec des changements limits aux couvertures, pour autant qu'ils prservent le
titre du Document et satisfont ces conditions, peut tre considre comme une copie verbatim tous les autres gards.

Si les textes destins l'une ou l'autre page de couverture sont trop volumineux pour y figurer lisiblement, vous devez en mettre les premiers (autant qu'il est raisonnablement possible) sur la couverture
proprement dite, et poursuivre sur les pages adjacentes.

Si vous publiez ou distribuez des copies Opaques du Document plus de 100 exemplaires, vous devez soit inclure une copie Transparente dans un format lisible par une machine, adapt au traitement automatis,
en accompagnement de chaque copie Opaque, soit indiquer aux cts de ou dans chaque copie Opaque une adresse de rseau lectronique publiquement accessible, qui permette d'obtenir une copie Transparente
du Document, sans lments ajouts, laquelle le grand public puisse accder pour tlchargement anonyme et sans frais en utilisant des protocoles de rseau publics et standard. Si vous retenez la dernire
option, vous devez procder prudemment et prendre les mesures ncessaires, lorsque vous commencez la distribution de copies Opaques en quantit, afin de vous assurer que cette copie Transparente demeurera
accessible au public pendant au moins une anne aprs le moment de la distribution (directement ou par l'intermdiaire de vos agents ou revendeurs) de la dernire copie Opaque de cette dition.

Il est souhait, mais non exig, que vous contactiez les auteurs du Document bien avant la redistribution de tout grand nombre de copies, afin de leur laisser la possibilit de vous fournir une version mise jour du
Document.

4. MODIFICATIONS

Vous pouvez copier et distribuer une Version Modifie du Document selon les conditions des sections Copies verbatim et Copies en quantit qui prcdent, pourvu que vous diffusiez la Version Modifie sous
couvert prcisment de la prsente Licence, avec la Version Modifie remplissant alors le rle du Document, et ainsi autoriser la distribution et la modification de la Version Modifie quiconque en possde une
copie. En complment, vous devez accomplir ce qui suit sur la Version Modifie :

A. Utilisez dans la Page de Titre (et sur les couvertures, le cas chant) un titre distinct de celui du Document et de ceux des prcdentes versions (qui doivent, s'il en existe, tre cites dans la section
Historique du Document). Vous pouvez utiliser le mme titre qu'une version prcdant la vtre si l'diteur original vous en donne la permission.

B. Indiquez sur la Page de Titre, comme auteurs, une ou plusieurs personnes ou entits responsables de l'criture des modifications de la Version Modifie, ainsi qu'au moins cinq des principaux auteurs
du Document (ou tous les auteurs principaux, s'ils sont moins de cinq).

C. Apposez sur la Page de Titre de nom de l'diteur de la Version Modifie, en tant qu'diteur.

D. Prservez toutes les mentions de copyright du Document.

E. Ajoutez une mention de copyright approprie vos modifications, aux cts des autres mentions de copyright.

RESEAUX (volume 2) Licence de Documentation Libre Page 303


CONSERVATOIRE NATIONAL DES ARTS ET METIERS Anne 2000-2001

F. Incluez, immdiatement aprs les mentions de copyright, une mention de licence qui accorde la permission publique d'utiliser la Version Modifie selon les termes de la prsente Licence, sous la forme
prsente dans la section Addendum ci-dessous.

G. Prservez dans cette mention de licence les listes compltes des Sections Invariables et des Textes de Couverture exigs, donnes dans la mention de licence du Document.

H. Incluez une copie non altre de la prsente Licence.

I. Prservez la section intitule Historique , et son titre, et ajoutez-y un article indiquant au moins le titre, l'anne, les nouveaux auteurs, et l'diteur de la Version Modifie telle qu'elle apparat sur la
Page de Titre. Si le Document ne contient pas de section intitule Historique , crez-en une et indiquez-y le titre, l'anne, les auteurs et l'diteur du Document tels qu'indiqus sur la Page de Titre,
puis ajoutez un article dcrivant la Version Modifie, comme expos dans la phrase prcdente.

J. Prservez, le cas chant, l'adresse de rseau lectronique donne dans le Document pour accder publiquement une copie Transparente du Document, et prservez de mme les adresses de rseau
lectronique donnes dans le Document pour les versions prcdentes, sur lequelles le Document se fonde. Cela peut tre plac dans la section Historique . Vous pouvez omettre l'adresse de rseau
lectronique pour un travail qui a t publi au moins quatre ans avant le Document lui-mme, ou si l'diteur original de la version laquelle il se rfre en donne l'autorisation.

K. Dans toute section intitule Remerciements ou Ddicaces , prservez le titre de section et prservez dans cette section le ton et la substance de chacun des remerciements et/ou ddicaces donns
par les contributeurs.

L. Prservez toutes les Sections Invariables du Document, non altres dans leurs textes et dans leurs titres. Les numros de sections ou leurs quivalents ne sont pas considrs comme faisant partie des
titres de sections.

M. Supprimez toute section intitule Approbations . Une telle section ne doit pas tre incluse dans la Version Modifie.

N. Ne changez pas le titre d'une section existante en Approbations ou en un titre qui entre en conflit avec celui d'une Section Invariable quelconque.

Si la Version Modifie inclut de nouvelles sections d'avant-propos ou des annexes qui remplissent les conditions imposes aux Sections Secondaires et ne contiennent aucun lment tir du Document, vous
pouvez, votre convenance, dsigner tout au partie de ces sections comme Invariables . Pour ce faire, ajoutez leurs titres la liste des Sections Invariables dans la mention de licence de la Version Modifie.
Ces titres doivent tre distincts de tout autre titre de section.

Vous pouvez ajouter une section intitule Approbations , pourvu qu'elle ne contienne rien d'autre que l'approbation de votre Version Modifie par diverses parties -- par exemple, indication d'une revue par les
pairs ou bien que le texte a t approuv par une organisation en tant que dfinition de rfrence d'un standard.

Vous pouvez ajouter un passage de cinq mots ou moins en tant que Texte de la Premire de Couverture, et un passage de 25 mots ou moins en tant que Texte de Quatrime de Couverture, la fin de la liste des
Textes de Couverture de la Version Modifie. Toute entit peut ajouter (ou raliser, travers des arrangements) au plus un passage en tant que Texte de la Premire de Couverture et au plus un passage en tant que
Texte de la Quatrime de Couverture. Si le Document inclut dj un texte de Couverture pour la mme couverture, prcdemment ajout par vous ou, selon arrangement, ralis par l'entit pour le compte de
laquelle vous agissez, vous ne pouvez en ajouter un autre ; mais vous pouvez remplacer l'ancien, avec la permission explicite de l'diteur qui l'a prcdemment ajout.

Le ou les auteur(s) et le ou les diteur(s) du Document ne confrent pas par la prsente Licence le droit d'utiliser leur nom des fins publicitaires ou pour certifier ou suggrer l'approbation de n'importe quelle
Version Modifie.

5. MLANGE DE DOCUMENTS

Vous pouvez mler le Document d'autres documents publis sous la prsente Licence, selon les termes dfinis dans la section Modifications ci-dessus, traitant des versions modifies, pour autant que vous
incluiez dans ce travail toutes les Sections Invariables de tous les documents originaux, non modifies, et en les indiquant toutes comme Sections Invariables de ce travail dans sa mention de licence.

Le travail issu du mlange peut ne contenir qu'une copie de cette Licence, et de multiples Sections Invariables identiques peuvent n'tre prsentes qu'en un exemplaire qui les reprsentera toutes. S'il existe
plusieurs Sections Invariables portant le mme nom mais des contenus diffrents, faites en sorte que le titre de chacune de ces sections soit unique, en indiquant la fin de chacune d'entre elles, entre parenthses,
le nom de l'auteur original ou de l'diteur de cette section s'il est connu, ou un numro unique dans les collisions restantes. Pratiquez les mmes ajustements pour les titres de sections, dans la liste des Sections
Invariables de la mention de licence de ce travail mlang.

Dans le mlange, vous devez regrouper toutes les sections intitules Historique dans les divers documents originaux, afin de constituer une unique section intitule Historique ; combinez de mme toutes
les sections intitule Remerciements , et toutes les sections intitules Ddicaces . Vous devez supprimer toutes les sections intitules Approbations .

6. RECUEILS DE DOCUMENTS

Vous pouvez raliser un recueil regroupant le Document et d'autres documents publis sous la prsente Licence, et remplacer les diverses copies de la prsente Licence figurant dans les diffrents documents par
une copie unique incluse dans le recueil, pour autant que vous suiviez les rgles de la prsente Licence relatives la copie verbatim pour chacun de ces documents, dans tous les autres aspects.

Vous pouvez n'extraire qu'un seul document d'un tel recueil, et le distribuer individuellement sous la prsente Licence, pour autant que vous insriez une copie de la prsente Licence dans le document extrait, et
que vous suiviez la prsente Licence dans tous ses autres aspects concernant la reproduction verbatim de ce document.

7. AGRGATION AVEC DES TRAVAUX INDPENDANTS

Une compilation du Document ou de ses drivs avec d'autres documents ou travaux spars et indpendants, ou bien sur une unit de stockage ou un support de distribution, ne compte pas comme une Version
Modifie de ce Document, pour autant qu'aucun copyright de compilation ne soit revendiqu pour la compilation. Une telle compilation est appele une agrgation , et la prsente Licence ne s'applique pas aux
autres travaux contenus et ainsi compils avec le Document, sous prtexte du fait qu'ils sont ainsi compils, s'ils ne sont pas eux-mmes des travaux drivs du Document.

Si les exigences de la section Copies en quantit en matire de Textes de Couverture s'appliquent aux copies du Document, et si le Document reprsente moins du quart de la totalit de l'agrgat, alors les Textes
de Couverture du Document peuvent n'tre placs que sur les couvertures qui entourent le document, au sein de l'agrgation. Dans le cas contraire, ils doivent apparatre sur les couvertures entourant tout l'agrgat.

8. TRADUCTION

La traduction est considre comme un type de modification, de sorte que vous devez distribuer les traductions de ce Document selon les termes de la section Modifications. La substitution des Sections
Invariables par des traductions requiert une autorisation spciale de la part des dtenteurs du copyright, mais vous pouvez ajouter des traductions de tout ou partie des Sections Invariables en sus des versions
originales de ces Sections Invariables. Vous pouvez inclure une traduction de la prsente Licence pourvu que que vous incluiez la version originale, en anglais, de la prsente Licence. En cas de dsaccord entre la
traduction et la version originale, en anglais, de la prsente Licence, la version originale prvaudra.

9. RVOCATION

Vous ne pouvez copier, modifier, sous-licencier ou distribuer le Document autrement que selon les conditions expressment prvues par la prsente Licence. Toute tentative de copier, modifier, sous-licencier ou
distribuer autrement le Document est nulle et non avenue, et supprimera automatiquement vos droits relatifs la prsente Licence. De mme, les parties qui auront reu de votre part des copies ou des droits sous
couvert de la prsente Licence ne verront pas leurs licences rvoques tant que ces parties demeureront en pleine conformit avec la prsente Licence.

10. RVISIONS FUTURES DE LA PRSENTE LICENCE

La Free Software Foundation ( fondation du logiciel libre ) peut publier de nouvelles versions rvises de la prsente GNU Free Documentation License de temps autre. Ces nouvelles versions seront
similaires, dans l'esprit, la prsente version, mais peuvent diffrer dans le dtail pour prendre en compte de nouveaux problmes ou de nouvelles inquitudes. Consultez http://www.gnu.org/copyleft/.

Chaque version de la Licence est publie avec un numro de version distinctif. Si le Document prcise qu'une version particulire de la prsente Licence, ou toute version postrieure s'applique, vous avez la
possibilit de suivre les termes et les conditions aussi bien de la version spcifie que de toute version publie ultrieurement (pas en tant que brouillon) par la Free Software Foundation. Si le Document ne
spcifie pas un numro de version de la prsente Licence, vous pouvez choisir d'y appliquer toute version publie (pas en tant que brouillon) par la Free Software Foundation.

RESEAUX (volume 2) Licence de Documentation Libre Page 304