Notions de base sur les réseaux : les câbles Ethernet UTP

Dans un câble UTP se trouve 8 fils de couleur constituant 4 paires.

Quatre fils (tips) acheminent la tension et les quatre autres (rips) sont mis à la
terre.

La première paire est constituée par les fils R1 et T1, la deuxième paire par les
fils R2 et T2 etc.

Les connecteurs d’un câble Ethernet UTP sont de type RJ45.

On distingue deux types de câbles :

• droit
• croisé
Un câble droit est utilisé dans les liaisons suivantes :
• commutateur vers routeur
• commutateur vers PC ou serveur
• concentrateur vers PC ou serveur
Un câble croisé est utilisé dans les liaisons suivantes :
• commutateur vers commutateur
• commutateur vers concentrateur
• concentrateur vers concentrateur
• routeur vers routeur
• PC vers PC
• routeur vers PC

1
Notions de base sur les réseaux : Communication sur un réseau (S1/C2) Composants du réseau

Eléments de commutation Un réseau se compose des trois éléments suivants :

Une communication est composée de trois éléments • les périphériques

• la source • les supports
• la destination • les services
• le canal de transmission
Les périphériques : les dispositifs réseau, les ordinateurs, les serveurs,...
Plus précisément :
Les supports : les câbles, les fibres optiques, la communication sans fil
Source → Encodeur → Emetteur → Canal → Récepteur → Décodeur
→ Destination. Les services :un programme de communication, un logiciel fonctionnant sur un
périphérique.
Communication des messages

En théorie, un message peut être transmis entre la source et la destination à Les périphériques
travers le réseau en flux continu.
On distingue deux types de périphériques :
Inconvénients :
• les périphériques finaux
1. Seul un message peut voyager sur un réseau à la fois. Les autres doivent • les périphériques intermédiaires
attendre.
Les périphériques finaux sont l’interface entre l’humain et le réseau de commu-
2. Si la transmission échoue, il faut renvoyer le message dans son intégralité. nication

En pratique, les données sont divisées en petits morceaux appelés segments. Les périphériques intermédiaires permettent au flux de données de voyager à
Cette division du flux de données s’appelle la segmentation. travers le réseau.

Avantages :

1. Plusieurs messages peuvent voyager en même temps sur le rśeau. On parle de

multiplexage.

2. Si une partie du message ne parvient pas à destination, seule cette partie là a
besoin d’être renvoyée.

3. Si un chemin sur le réseau devient encombré ou défaillant, un autre chemin

peut être utilisé pour envoyé les autres parties du message.

Inconvénient :

La segmentation et le multiplexage rajoutent de la complexité au processus de

communication.

1 2
Supports réseau Le réseau LAN (Local Area Network)

Actuellement les réseaux utilisent principalement trois types de support : Un réseau local s’étend généralement sur une zone géographique unique.
Il permet à une entreprise de partager localement des ressources.
• câbles en fils cuivrés
Il relie physiquement des éléments suivants :
• câbles en fibre optique
• transmission sans fil • ordinateurs
Le type de codage varie selon le type de support utilisé. • imprimantes
• serveurs
Sur des fils cuivrés : sous forme d’impulsions électriques. • etc.
à l’aide des dispositifs réseaux suivants :
Sur des fibres optiques : sous forme d’impulsions de lumière.
• répéteurs
Transmission sans fil : sous forme d’ondes électromagnétiques. • concentrateurs
• ponts
Le choix d’un support dépend de : • commutateurs
• routeurs
• la distance sur laquelle les données sont transmises Un intranet est construit sur un réseau local. Seuls les employés travaillant
• la quantité de données transitant sur le réseau dans l’entreprise peuvent accéder à ses ressources.
• le débit
• le coût des supports et de l’installation
• l’environnement dans lequel les supports doivent être in-
Le réseau WAN (Wide Area Network)
stallés.
Un réseau étendu interconnecte des réseaux locaux.
Il fonctionne sur une vaste région et permet à des utilisateurs distants de
communiquer.

Internet est le maillage international de réseaux interconnectés. C’est le réseau

de tous les réseaux.

3 4
Les protocoles réseau Le modèle TCP/IP

Un protocole réseau est un ensemble de règle et de conventions qui régissent La suite de protocoles TCP/IP a été créé par la DARPA en 1974.
la façon dont les périphériques intermédiaires et finaux doivent communiquer. Cette suite est devenue une norme de communication dans les réseaux. Elle est
constituée de 4 couches :
Une suite de protocoles réseau est un ensemble de protocoles qui permettent • couche 4 : Application
aux périphériques intermédiaires et finaux d’échanger des données, de commu- • couche 3 : Transport
niquer. Elle décrit décrit des processus tels que : • couche 2 : Internet
• couche 1 : Accès Réseau
• le format du message
• la méthode de partage d’informations entre périphériques Couche Application : présente les données pour l’utilisateur.
réseaux concernant les réseaux
• le contrôle des erreurs Couche Transport : s’occupe de la fiabilité, le contrôle de flux. Elle transforme
• le lancement et l’arrêt des sessions de transfert de données les données en segments.
Une norme est un processus ou un protocole reconnu par l’industrie du réseau Les protocoles travaillant dans cette couche sont TCP et UDP.
et ratifié par une organisation de normes telles que IEEE ou IETF.
Couche Internet : transforme chaque segment en paquet. Le protocole
Une norme garantit que les produits provenant de différents fournisseurs sont régissant cette couche est IP (Internet Protocol). Cette couche s’occupe de la
compatibles. détermination du meilleur chemin.

Couche Accès Réseau : est constituée de tous les composants nécessaires

pour créer une connexion.

Le processus de communication

Il comprend plusieurs étapes :

1. Création des données au niveau de la couche Application de la source.

2. Segmentation et encapsulation des données lors de la descente de la pile.

3. Transformation des données sous forme de signal au niveau de la couche

Accès Réseau.

4. Transport des données via l’interréseau.

5. Réception des données au niveau de la couche Accès Réseau.

6. Décapsulation et assemblage des données lors de la montée de la pile.

7. Transmission des données à la couche Application de la destination

5 6
Le modèle de référence OSI Adressage dans le réseau

L’ ISO (International Organisation for Standardisation) à développé un modèle Plusieurs types d’adresses doivent être incluses dans la trame pour livrer les
de référence OSI (Open Systems Interconnection). Ce modèle a pour but d’aider données au destinataire.
les fournisseurs à créer des réseaux compatibles entre eux.
Le modèle OSI est constitué d’un ensemble de 7 couches de protocoles. Première adresse : elle est contenue dans l’en-tête de l’unité de données de la
Chaque couche n’agit qu’avec ses voisines immédiates. couche 2 (trame). Cette adresse est utilisée localement et est appelée adresse
Les couches sont les suivantes : physique. Dans le cadre de la technologie Ethernet, il s’agit de l’adresse MAC.
• couche 7 : Application
Deuxième adresse : elle est contenue dans l’en-tête de l’unité de données de
• couche 6 : Présentation
la couche 3 (paquet). Les protocoles de la couche 3 assurent le déplacement des
• couche 5 : Session
données d’un réseau local vers un autre réseau local via un interréseau. Cette
• couche 4 : Transport
adresse est appelée adresse logique. Elle correspond à l’adresse IP.
• couche 3 : Réseau
• couche 2 : Liaison de données
Troisième adresse : elle est contenue dans l’en-tête de l’unité de données de
• couche 1 : Physique
la couche 4 (segment). Cette adresse correspond en fait à un numéro de port,
Couche Application : est la plus proche de l’utilisateur. qui identifie un service spécifique s’exécutant sur le destinataire.
Les applications telles que les éditeurs, les tableurs, le courrier électronique
appartiennent à cette couche.

Couche Présentation : s’occupe de la représentation des données pour l’hôte

de destination (format, structure).

Couche Session : établit la communication entre les deux hôtes.

Couche Transport : assure la connexion logique de bout en bout.

Les données sont transformées en segments.

Couche Réseau : détermine le meilleur chemin entre deux hôtes.

Gère l’adressage logique. Les données sont transformées en paquets et les
adresses IP de l’expéditeur et du destinataire sont ajoutées.

Couche Liaison de données : assure la connectivité entre les hôtes.

Gère l’adressage physique.
Les données sont transformées en trames et les adresses MAC de l’expéditeur
et du destinataire sont ajoutées.

Couche Physique : est constituée des câbles, des connecteurs.

Elle s’occupe de la transmission de l’information sous forme de bits.

7 8
Notions de base sur les réseaux (sem 1 / chapitre 3) Logiciels de la couche application

On distingue deux types de processus logiciels permettant d’accéder au réseau

Fonctionnalité et protocoles des couches applicatives

Couche application • les services

• les applicationss
La couche application du modèle TCP/IP correspond aux couches suivantes Un service est un processus qui établit l’interface avec le réseau et prépare les
du modèle OSI : données à transférer.

• application Une application est un processus logiciel appartenant à la couche application

• présentation permettant à l’utilisateur de communiquer sur le réseau. Elle requiert l’assistance
• session des services de la couche applicative.

La couche application constitue l’interface entre l’utilisateur et le réseau de Une application est dite orientée réseau si elles communiquent directement
données. avec les couches inférieures.

La couche présentation remplit trois fonctions principales : D’autres applications s’appuient sur les services de la couche application pour
assurer cette communication.
• codage et conversion des données
• compression des données
Le modèle client-serveur
• chiffrement des données
Un client est un périphérique qui demande des informations.
La couche session établit un dialogue entre les applications source et destination.
Un serveur est un périphérique qui répond à une demande.

Protocoles de la couche application TCP/IP Le client initie l’échange en demandant des données au serveur. Ce dernier
répond en fournissant les données au client.
Les protocoles de la couche application les plus connus sont
• DNS L’échange peut nécessiter des informations de contrôle telles que
• HTTP
• authentification de l’utilisateur
• SMTP
• authentification d’accès aux données
• FTP
• autorisation d’exécution d’opérations
• Telnet
• DHCP
Téléchargement montant : Transfert du client au serveur

Téléchargement descendant : Transfert du serveur au client

1 2
Le modèle Peer to Peer (P2P) Le protocole DHCP (Dynamic Host Configuration Protocol)

Le modèle P2P est un autre type de modèle. Il faut cependant bien différencier : Le service DHCP permet à un hôte d’obtenir automatiquement une adresse IP
lorsqu’il se connecte au réseau.
• la conception d’un réseau P2P
• les applications P2P Le serveur DHCP choisit une adresse dans une plage d’adresses (pool) et la
Un réseau P2P est constitué d’ordinateurs connectés entre eux, qui partagent prête à l’hôte qui en a fait la demande.
des ressources sans la présence d’un serveur.
Dans les faits, un service DHCP peut fournir principalement
Chaque ordinateur peut fonctionner comme client ou serveur selon le type de • une adresse IP
requête. • un masque de sous–réseau
• l’adresse IP de la passerelle par défaut
• l’adresse IP du serveur DNS
Les applications Peer to Peer • ...

Une application P2P permet à un périphérique d’opérer à la fois comme serveur Sur un réseau ayant beaucoup de stations, l’utilisation d’un serveur DHCP peut
et comme client lors d’une même communication. s’avérer plus efficace que l’utilisation d’adresses fixes.

Certaines applications P2P utilise un système hybride dans lequel le partage des Le protcole DHCP peut présenter un risque dans la sécurité d’un réseau.
ressources est décentralisé mais un répertoire centralisé sur un serveur indique
l’emplacement des ressources. Généralement, sur un même réseau, on utilise l’adressage dynamique et
l’adressage statique.

L’adressage dynamique est utilisé pour les périphériques utilisateurs finaux.

L’adressage statique est utilisé pour les périphériques réseaux tels que

• passerelles (routeurs)
• commutateurs
• serveurs
• imprimantes
• ...

3 4
Fonctionnement du protocole DHCP Service www et http

Lorsqu’un périphérique se connecte au réseau et qu’il est configuré en mode Lorsqu’un utilisateur tape une adresse web dans un navigateur web, il établit
automatique, il diffuse un paquet DHCP DISCOVER pour identifier un une connexion sur un serveur web à l’aide du protocole http.
serveur DHCP disponible.
Un navigateur web peut interpréter différents types de données telles que
Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve
une offre de bail donnant les indications :
• données en texte clair
• adresse IP prêtée • données en html
• serveur DNS
• passerelle par défaut
D’autres types de données peuvent nécessiter le téléchargement de plug–in.
• durée de bail
Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur. Le protocole http (hypertext transfert protocol)

Si l’offre est encore valable, le serveur renvoie un DHCP ACK et dans le cas Le protocole http est un protocole de la suite TCP/IP, développé à l’origine
contraire DHCP NAK. pour publier et extraire des pages html.
Le protocole http est un protocole de requête/ réponse. Les messages les plus
Service et protocole DNS courants sont :

Chaque périphérique possède une adresse IP unique sur un réseau afin de • GET
pouvoir être identifié de façon unique sur un réseau. • PUT
Le navigateur web envoie une requête avec GET fichier.htm, le serveur web
Cependant, il est bien plus facile pour un utilisateur de mémoriser des mots que envoie fichier.htm.
des chiffres, d’où la création des noms de domaine.
Le message PUT est utilisé pour télécharger des données sur un serveur web.
Le protocole DNS (Domain Name System) effectue le mappage entre un nom
de domaine et une adresse IP. Le protocole http n’est pas un protocole sécurisé. Pour utiliser une communica-
Lorsqu’un client effectue une demande auprès d’un serveur DNS, celui–ci regarde tion sécurisée, on utilise le protocole https.
s’il peut résoudre le nom avec ses propres enregistrements. S’il ne peut pas,
il contacte d’autres serveurs DNS. Lorsque la correspondance est trouvée, le
réponse est transmise au serveur d’origine ; celui–ci la conserve temporairement
dans son cache.

Le protocole utilise un système hiérarchique : au sommet se trouvent les

serveurs racines, puis les serveurs de premier niveau, puis de deuxième niveau,
troisième niveau, etc. Chaque niveau sait comment atteindre le niveau situé di-
rectement en-dessous de lui dans la hiérarchie.

5 6
Les services de messagerie

Un utilisateur se sert d’un agent de messagerie pour gérer l’envoi et la

réception des emails.

Un agent de messagerie utilise généralement deux applications :

• SMTP pour envoyer des emails

• POP pour recevoir des emails

Un serveur de messagerie joue deux rôles :

• agent de transfert de messages (MTA)

• agent de remise de messages (MDA)

Lors de l’arrivée d’un email sur le serveur de messagerie, celui–ci détermine

si l’email est adressé à un utilisateur dont la boite email réside ou non sur le
serveur local. Dans le premier cas, il est envoyé au MDA, dans le second, au
MTA approprié.

Un agent MDA s’occupe également de

• l’analyse antivirus
• filtrage de SPAM
• gestion des reçus

Exemples de messageries d’entreprise :

• Lotus Note (IBM)

• GroupWise (Novell)
• Exchange (Microsoft)

Finalement, un utilisateur peut aussi utiliser un service de messagerie depuis un

navigateur web.

7
Notions de base sur les réseaux (sem 1 / chapitre 4) Le protocole TCP

Il s’agit d’un protocole avec connexion qui assure

Couche transport (OSI)
• la livraison des segments dans l’ordre
La couche transport
• un acheminement fiable
• un contrôle de flux
La couche transport s’occupe de :

• suivi de chaque communication entre les hôtes source et Le protocole TCP est utilisé par les applications suivantes :
destination
• segmenter les données (segments) • navigateurs web
• réassembler les segments sous forme de données • email
• identifier chaque application (numéro de port) • transfert de fichiers

La couche transport peut aussi assurer

• l’établissement d’une session Les numéros de port

• un acheminement fiable
• une reconstitution ordonnée des données La couche transport effectue le suivi de chaque conversation avec un identifiant
• un contrôle de flux appelé numéro de port.

Dans l’en–tête de chaque segment et datagramme se trouve un port source et

La fiabilité d’une communication a un coût. Pour s’assurer que chaque segment un port destination.
est bien arrivé à destination, il est nécessaire de gérer des accusés de réception
ainsi que de retransmettre tout segment perdu. L’IANA (Internet Assigned Number Authority) attribue les numéros de port, qui
sont de trois types :
Les protocoles de la suite TCP/IP les plus utilisés à la couche transport sont
• les ports réservés (0 à 1023)
• TCP (Transmission Control Protocol) • les ports inscrits (1024 à 49151)
• UDP (User Datagram Protocol) • les ports privés ou dynamiques (49152 à 65535)

Généralement, le port destinataire est un port statique et le port source est un

port dynamique.
Le protocole UDP
Une interface de connexion (socket) est un couple (numéro de port, ad. IP).
Il s’agit d’un protocole simple sans connexion.
Il identifie une application de façon unique sur un hôte.
Lors de l’utilisation du protocole UDP, les segments sont appelés des data-
Une paire d’interfaces de connexion identifie une conversation entre deux
grammes.
hôtes.
Les datagrammes sont envoyés au mieux.

Le protocole UDP est utilisé par les applications suivantes :

• DHCP
• DNS
• Lecture video
• VoIP

1 2
Etablissement et fermeture d’une connexion TCP Le protocole UDP

Lors de son établissement, une connexion TCP : Le protocole UDP est simple. Il est
• vérifie que le destinaire est présent sur le réseau. • sans connexion.
• s’assure que le destinataire à le service demandé actif • sans mécanisme de retransmission
• informe le destinataire que la source souhaite établir une • sans contrôle de flux
connexion sur le port testé

Si les datagrammes arrivent dans le désordre, ils ne sont pas réordonnés.

L’établissement de la connexion a lieu en 3 étapes :

1.La source envoie un segment avec l’indicateur de contrôle CTL=SYN au

destinataire.

2. Le destinataire répond avec l’indicateur de contrôle CTL=ACK,SYN , ce

qui établit la session unidirectionnelle source −→ destinataire et demande un
établissement de session destinataire −→ source.

3. La source répond avec l’indicateur de contrôle CTL=ACK , ce qui établit la

session unidirectionnelle destinataire −→ source.
La fermeture d’une connexion a lieu généralement en 4 étapes :
1. Lorsque la source n’a plus de données à envoyer, il envoie un segment avec
l’indicateur de contrôle CTL=FIN .

2. Le destinataire répond avec l’indicateur de contrôle CTL=ACK , ce qui met

fin à la session unidirectionnelle source −→ destinataire.

3. Le destinataire envoie l’indicateur de contrôle CTL=FIN à la source.

4. La source répond avec l’indicateur de contrôle CTL=ACK , ce qui met fin

à la session unidirectionnelle destinataire −→ source.

Fiabilité du protocole TCP

Réassemblage des segments : les segments peuvent arriver dans le désordre

à destination. Ils sont réordonnés grâce à leur numéro d’ordre.

Confirmation de la réception des segments : un accusé de réception est

envoyé à la source après réception des données.

Perte de segments : si la source ne reçoit pas d’accusé de réception, elle

retransmet les données.

Contrôle de flux : le flux des données est géré en utilisant une taille de fenêtre
(dynamique) qui correspond au nombre d’octets envoyés avant qu’un accusé de
réception soit envoyé.

3 4
Couche réseau OSI (sem 1 / chapitre 5) Les protocoles de la couche réseau

Les protocoles s’occupant de transporter les données sont :

Couche réseau (OSI)

• IPv4
La couche réseau
• IPv6
• IPX
Les services proposés par la couche réseau sont les suivants :
• Apple Talk ...
• l’adressage
• l’encapsulage
Le protocole IP (v4 / v6) est le plus répandu.
• le routage
• le décapsulage
Le protocole IP est le seul protocole réseau utilisé sur Internet pour transporter
des données utilisateur. IP v6 est mis en oeuvre et devrait remplacer peu à peu
Adressage : chaque hôte possède une adresse IP qui l’identifie de façon unique. IP v4.

Encapsulation : La couche réseau ajoute un en–tête à chaque segment reçu Le but du protocole IP est de transférer les données entre les hôtes source et
contenant les adresses source et destination, formant ainsi un paquet. destination. Ses caractéristiques sont :

Le routage des paquets est assuré par les routeurs. Son but est de faire • sans connexion
emprunter le meilleur chemin à un paquet entre la source et la destination. • au mieux
• indépendant des médias
Décapsulage : Lorsque le paquet arrive à destination, le couche réseau le
décapsule et s’assure que l’adresse réseau destinataire est correcte.
Le routage utilise le contenu de l’en–tête du paquet pour l’acheminer.

L’en–tête IP v4

De nombreux champs sont définis dans l’en-tête d’un paquet dont :

• adresse IP source
• adresse IP destination
• durée de vie (TTL)
• protocole

1 2
Séparation des hôtes en groupes Passerelle

Un des rôles de la couche réseau est de fournir un mécanisme d’adressage La passerelle est l’interface du routeur connectée au réseau considéré. Elle
des hôtes. partage donc la même partie réseau.

Tous les hôtes ne sont pas connectés à un seul grand réseau. En effet, le grand Lors de la configuration d’un hôte, il est nécessaire d’indiquer l’adresse IP de la
réseau est séparés en réseaux plus petits. passerelle dans les paramètres réseau.

Les réseaux peuvent être groupés en fonction de : Traitement des paquets par un routeur

• leur emplacement géographique Si l’hôte de destination se trouve sur le même réseau que l’hôte source, alors le
• leur objectif paquet est stoppé par la passerelle.
• leur propriété
Si l’hôte de destination NE se trouve PAS sur le même réseau que l’hôte source,
alors le paquet transite par la passerelle. Deux possibilités se présentent alors :
Pourquoi séparer les hôtes en réseaux ?
Si le réseau de destination est connecté au routeur passerelle, alors le paquet est
directement acheminé à destination.
Les problèmes rencontrés sur les grands réseaux sont :
Si le réseau de destination N’est PAS connecté au routeur passerelle, alors le
• la dégradation des performances paquet est acheminé vers un deuxième routeur (=tronçcon suivant).
• les problèmes de sécurité

Table de routage d’hôte

Performance :un grand nombre d’hôtes connectés au même réseau produit un
important volume de données et de trafic lié à la gestion du réseau.
Une table de routage d’hôte contient généralement sa connexion directe
à son réseau et la route par défaut vers sa passerelle. Ces informations sont
Sécurité :un grand réseau subdivisé en sous–réseaux correspondant à des entités
obtenues automatiquement lors de la configuration de l’hôte.
logiques d’une entreprise ou d’une administration est plus facile à sécuriser.
Pour afficher la table : netstat -r ou route PRINT
Adressage hiérarchique

Une adresse IPv4 est constituée de 32 bits, divisés en 4 groupes de 8 bits (octets).

Le protocole IP décrit un adressage hiérarchique. Cela signifie que chaque

hôte est identifié par une adresse unique qui est constituée de différents niveaux
ce qui facilitent l’acheminement des paquets :

• partie réseau
• partie hôte

3 4
Table de routage Routage dynamique

Le routeur utilise une route pour transférer un paquet vers sa destination.
La route n’indique pas la destination finale mais le tronçon qui y mène.
Les routes sont contenues dans la table de routage du routeur. Il la consulte
afin de déterminer le chemin qu’un paquet doit prendre pour arriver à destination.
Pour afficher la table de routage : # show ip route
Lorsqu’une interface est configurée sur le routeur, la route lui étant associée est
automatiquement incluse dans la table de routage.
Les routes apparaissant dans la table de routage possèdent les caractéristiques
suivantes :
Un protocole de routage dynamique permet aux routeurs d’échanger des
informations sur les routes qu’ils connaissent.
Lorsqu’un routeur effectue des mises à jour dans sa table de routage, il envoie
ces changements aux autres routeurs.
Les protocoles de routage les plus courants sont :
• RIP (Routing Information Protocol)
• EIGRP (Enhanced Interior Gateway Protocol)
• OSPF (Open Shortest Path First)
Généralement, dans une table de routage se trouve une combinaison de routes
statiques, dynamiques et par défaut.

• le réseau de destination
• le tronçon suivant
• la mesure
Lors du transfert d’un paquet, le routeur sélectionne la route la plus spécifique
listée dans la table de routage.

Si une route correspondant au réseau de destination d’un paquet ne figure pas

dans la table de routage, alors le paquet n’est pas transféré plus loin.

Il est possible de configurer une route par défaut qui est utilisée en dernier
recours.

Les informations figurant dans la table de routage sont d’origine statique ou

dynamique.

Routage statique

On parle de routage statique lorsqu’une route est configurée manuellement.

Si la structure de l’interréseau change, il est nécessaire de réajuster manuellement

les routes statiques, sinon les informations de routage sont erronées et peuvent
provoquer des pertes de paquets.

5 6
Couche réseau OSI (sem 1 / chapitre 6) Les classes d’adresses IP

On distingue 5 classes d’adresses : de la classe A à la classe E.

Adressage du réseau IPv4
La classe A est associée aux réseaux de très grande taille.
Adresse IP v4 Elle vérifie les caractéristiques suivantes :

Une adresse IPv4 est constituée de 32 bits, divisés en 4 groupes de 8 bits (octets). • la partie réseau : le premier octet
• la partie hôte : les trois octets suivants
• le premier bit du premier octet vaut 0
• partie réseau
• partie hôte La classe B est associée aux réseaux de taille moyenne.
Elle vérifie les caractéristiques suivantes :

• la partie réseau : les deux premiers octets

Types d’adresses IP v4 • la partie hôte : les deux octets suivants
• les deux premiers bits du premier octet valent 10
On distingue trois types d’adresses : La classe C est associée aux réseaux de petite taille.
Elle vérifie les caractéristiques suivantes :
• adresse réseau
• la partie réseau : les trois premiers octets
• adresse de diffusion (broadcast)
• la partie hôte : le dernier octet
• adresse hôte
• les trois premiers bits du premier octet valent 110

L’adresse réseau décrit de façon unique un réseau. Elle correspond à la plus
petite adresse de la plage d’adresses ; en d’autres termes chaque bit hôte est à
0.
L’adresse de diffusion correspond à la plus grande adresse de la plage
d’adresses ; en d’autres termes chaque bit hôte est à 1.
Chaque adresse hôte se situe entre l’ adresse réseau et l’adresse de diffusion.
Le préfixe réseau indique la longueur de la partie réseau (=nombre de bits).
La classe D permet d’effectuer de la diffusion multicast.
Elle vérifie les caractéristiques suivantes :
• la partie réseau : les quatre premiers bits
• la partie hôte : les quatre derniers bits du premier octet plus
les trois octets suivants
• les quatre premiers bits du premier octet valent 1110
La classe E est réservée pour la recherche effectuée par l’IETF :
Elle vérifie les caractéristiques suivantes :
• la partie réseau : les quatre premiers bits
• la partie hôte : les quatre derniers bits du premier octet plus
les trois octets suivants
• les quatre premiers bits du premier octet valent 1111

1 2
h Les adresses IP publiques et privées

Les adresses IP publiques sont uniques et peuvent être obtenues auprès d’un
fournisseur Internet.
Les réseaux privés (LAN) peuvent utilisés des adresses IP privées.
Trois blocs d’adresses sont réservées à cet effet :

• classe A : 10.0.0.0 à 10.255.255.255

• classe B : 172.16.0.0 à 172.31.255.255
• classe C : 192.168.0.0 à 192.168.255.255

La connexion à Internet nécessite dans ce cas la conversion d’une adresse privée

en adresse publique (NAT).

Le masque de sous–réseau

Le masque de sous–réseau et le préfixe sont deux outils distincts permettant

de représenter la partie réseau d’une adresse.

Le masque de sous–réseau est aussi constitué de 32 bits séparés en 4 octets.

Il est composé de :

• 1 pour chaque bit de la partie réseau

• 0 pour chaque bit de la partie hôte

Opération AND

Lorsqu’un paquet IPv4 est transmis, les routeurs doivent extraire de l’adresse
réseau de destination de l’adresse de destination. Dans ce but un AND est
effectué entre l’adresse de destination et le masque de sous–réseau.

3 4
Création de sous–réseaux b

La création de sous–réseaux a pour but de créer plusieurs réseaux logiques à

partir d’un seul bloc d’adresses.

Il convient d’emprunter des bits sur la partie hôte pour utiliser en tant que bits
réseau.

Formules :

Nb. de sous–réseaux : 2n avec n= nb. de bits empruntés dans la partie hôte.

Nb. d’hôtes par sous–réseau : 2m − 2 avec m= nb. de bits restants dans la partie
hôte.

5 6
Préparation de l’adressage d’un réseau Les FAI (Fournisseurs d’accès Internet)

Rappel : les hôtes associés à un réseau IPv4 partagent la même partie réseau. Toute entreprise ou administration qui souhaite accéder à Internet obtient
désormais un bloc d’adresses publiques auprès d’un FAI qui le lui prête ou
On distingue au sein d’un même réseau, quatre types d’adresses hôte : le lui loue. Le FAI permet aussi d’avoir accès à Internet.

• périphériquess finaux pour les utilisateurs
• serveurs et périphériques
• périphériques intermédiaires
• hôtes accessibles depuis Internet
Un bloc d’adresses logique est attribué à chaque type d’adresses dans la plage
d’adresses réseau.
Lors de la préparation de l’adressage d’un réseau, plusieurs décisions sont à
prendre.
• adresses privées / adresses publiques
• adresses dynamiques/ adresses statiques
Un FAI développe son propre réseau pour se connecter à Internet ainsi que
généralement des services d’accès associés tels que :
• DNS
• messagerie
• hébergement de site Web
Les FAI sont répartis, en plusieurs niveuax, au sein d’une hiérarchie, en fonction
de leur connectivité au réseau fédérateur Internet.
Vue d’ensemble du protocole IPv6
Le protocole IPv6 a éé développé depuis les années 1990 par l’IETF afin de
pallier au problème de l’épuisement des adresses IPv4.

Une adresse IPv6 est constituée de 128 bits séparés par des : en 8 groupes de 4
Attribution des adresses chiffres hexadécimaux.

Toute entreprise ou administration qui souhaite accéder à Internet doit deman- Toute une suite de protocoles a du être développée, dont de nouveaux protocoles
der un bloc d’adresses publiques. de routage afin de prendre en charge IPv6.

Pendant longtemps, l’ensemble des adresses était géré par l’IANA. Cette gestion Il est prévu que IPv6 supplante IPv4, cependant sa mise en oeuvre est lente et
était répartie entre différents registres Internet régionaux comme : IPv4 reste toujours largement utilisé.

Les commandes ping et traceroute (tracert)

• ARIN (Am. Nord)
• RIPE NCC (Europe, Moyen-Orient, Asie Centrale)
La commande ping teste la connectivité IP entre les hôtes en s’appuyant sur
• ...
l’echo request et l’echo reply du protocole ICMP.

Elle permet de mesurer les performances du réseau en affichant le taux de

réussite et le délai moyen aller–retour.

Elle permet aussi de tester le bouclage local (127.0.0.1). En cas d’erreur, cela
indique que le protocole TCP/IP ne fonctionne pas sur l’hôte.
La commande traceroute (tracert) identifie le chemin entre les hôtes en
listant les sauts traversés sur le trajet.

Elle permet de détecter les pannes entre entre l’origine et la destination. Si

un routeur se trouvant sur le chemin est inaccessible, trois astérisques s’affichent.

7 8
Couche liaison de données (sem 1 / chapitre 7) La trame

Une trame est constituée de :

Rôle de la couche liaison de données
La couche liaison de données assure les services suivants :
• elle permet aux couches supérieures d’accéder au support
• elle contrôle la façon dont les données sont placées sur le
support et reçues du support.
Avant d’arriver à destination, un paquet peut changer plusieurs fois de support
ainsi que de protocole de liaison de données.
Les services de couche liaison de données doivent comprendre tous les types de
support utilisés actuellement ainsi que les méthode d’accès à ces supports.
• un en–tête
• les données (= paquet)
• une queue de bande
L’en–tête contient des informations d’adressage.
La queue de bande contient des informations de détection d’erreurs.
Lorsque les données voyagent sur un support, elles sont converties en flux de
bits continu. Afin de permettre au destinataire de faire la différence entre 2
trames successives, des séquences spécifiques de bits indiquent le début et la fin
de la trame : on parle de verrouillage de la trame.

La couche liaison de données prépare un paquet afin de pouvoir le placer sur le Les principaux champs de la trame sont :
support, en l’encapsulant dans une trame.
• champ de début de trame
Un noeud est le terme consacré de la couche 2 faisant référence à un périphérique. • champ d’adressage
• champ de données
Le support est le média permettant de transférer les données entre deux noeuds. • champ de détection d’erreurs
• champ de fin de trame

1 2
Les sous–couches de la couche liaison de données Les supports partagés

La couche liaison de données relie les couches logicielles et matérielles.
Afin d’assurer cette particularité, la couche liaison de données est subdivisée en
deux sous–couches :
• la sous–couche LLC (Logical Link Control)
• la sous–couche MAC (Media Access Control)
La sous–couche LLC
• met en trame le paquet de la couche réseau
• identifie le protocole utilisé par la couche réseau.
La sous–couche MAC
• s’occupe de l’adressage MAC
• marque le début et la fin de la trame.
Pour les supports partagés, on distingue deux types de méthodes d’accès au
support :
• accès contrôlé
• accès basé sur le conflit
Accès contrôlé : chaque noeud dispose de son tour pour utiliser le support. Il
s’agit d’une méthode dite déterministe.
Accès basé sur le conflit : tous les noeuds sont en concurrence pour utiliser
le support. Il s’agit d’une méthode dite non déterministe.
Ainsi, un noeud qui souhaite envoyer une trame tente d’ accéder au support.
Pour ce faire, il utilise le protocole CSMA (Carrier Sense Multiple Access) :
Si un signal issu d’un autre noeud est détecté sur le support, alors le noeud
attend et essaie après un certain laps de temps.
Quand aucun signal n’est détecté, le noeud peut transmettre ses trames.

Méthode de résolution des conflits de support.

Méthode de contrôle d’accès au support
Le processus CSMA travaille généralement conjointement avec une méthode
de résolution des conflits de support .
La méthode de contrôle d’accès au support décrit la façon dont la trame est
posée sur le support. Cette méthode dépend des facteurs suivants :
Les méthodes les plus répandues sont :

• le partage des supports • CD (Colision Detection)

• la topologie • CA (Collision Avoidance)

CSMA/CD : Il peut arriver que deux noeuds transmettent des données en

Le partage des supports même temps et créent une collision, ce qui détruit les données.
La méthode CD intervient alors : suite à une collision, tous les noeuds arrêtent
On distingue deux cas : d’émettre et réessaient ultérieurement.

CSMA/CA : Si le support est libre, le noeud envoie une notification sur le

• les supports partagés support pour indiquer son intention de l’utiliser. Le noeud transmet alors ces
• les supports non partagés données.

3 4
Les supports non partagés Topologies (logique et physique)

Sur ce type de support, on distingue deux types de communication :
• bidirectionnelle simultanée
• bidirectionnelle non simultanée
La topologie physique est la manière dont le support physique est utilisé pour
interconnecter les périphériques.
La topologie logique décrit les connexions virtuelles établies entre les noeuds
du réseau, quel que soit leur agencement physique.

Communication bidirectionnelle simultanée : aucune règle d’arbitrage La topologie logique influence le type de trame ainsi que la méthode d’accès au
nécessaire. support utilisée
.
Communication bidirectionnelle non simultanée : règle d’arbitrage Les topologies logique et physique généralement utilisées sont :
nécessaire.
• point à point
• accès multiple
• en anneau

Topologie point à point : connecte directement ou indirectement deux noeuds

ensemble.
Avec cette topologie, la simplicité de la méthode d’accès au support dépend
du type de communication (bidirectionnelle simultanée ou bidirectionnelle non
simultanée).

Topologie à accès multiple : les noeuds communiquent en utilisant le même

support partagé.
Ainsi, chaque noeud voit passer toutes les trames, mais seul le noeud destination
traite le contenu de la trame.

Avec cette topologie, les méthodes d’accès au support utilisées sont :

• CSMA/CD
• CSMA/CA
• méthode du passage du jeton (cf ci–dessous)

Topologie en anneau : tous les noeuds situés autour de l’anneau entre le noeud
source et le noeud destination examinent la trame.
La méthode utilisée dans ce cas est généralement la méthode du passage du
jeton (cf ci–dessous).

5 6
La méthode du passage du jeton Les protocoles de la couche liaison de données

Un noeud peut placer une trame sur le support que s’il est en possession du Il existe un nombre élevé de protocoles de couche 2. Les protocoles étudiés en
jeton. détail durant le cours sont :
Ainsi, chaque noeud reçoit une trame tour à tour. Si la trame ne lui est pas
adressée, ce dernier la transmet au noeud suivant.
• Ethernet
• PPP
• HDLC
Rôle de l’en–tête de la trame
• Frame Relay
• ATM
Le champ d’adressage se trouve dans l’en–tête de la trame. Les adresses source
et destination sont contenues dans ce champ et s’appellent adresses physiques.
Protocoles Ethernet pour les réseaux locaux
Une adresse physique n’indique pas le réseau sur lequel le noeud se situe et n’est
utilisée que pour une livraison locale.
Ethernet est une famille de technologies réseau IEEE 802.2 et 802.3.
Si la trame est destinée à un autre réseau que le réseau d’origine, alors le routeur
Les normes Ethernet définissent les protocoles de la couche 2 et les technologies
passerelle décapsule la trame d’origine, crée une nouvelle trame et l’envoie sur le
de la couche 1.
nouveau segment.
La présence ou l’absence d’adresses physiques dans le champ d’adressage est lié
Ethernet est la technologie la plus utilisée sur les réseaux locaux. Elle prend en
au protocole utilisé sur le support. Ainsi,
charge les bandes passantes de 10,100,1000 et 10’000 Mbps.

• les topologies point à point ne nécessitent pas d’adressage.
• les topologies en anneau ou à accès multiple nécessitent un
adressage.
Rôle de la queue de bande
Elle permet de détecter si la trame est arrivée à destination sans erreur.
Le format de trame est cohérent entre les différentes versions. Par contre, la
méthode détection et le placement des trames sur le support varient entre les
versions.
Ethernet fournit un service non orienté connexion sur un support partagé et
utilise le protocole CSMA/CD comme méthode d’accès au support.
Le champ d’adressage est constitué d’adresses physiques source et destination
qui s’appellent des adresses MAC.

La détection d’erreur s’effectue en plaçant un résumé mathématique de bits Une adresse MAC est constituée de 48 bits, représentée par 12 nombres
(CRC). Elle a lieu au niveau de la couche 2 car le placement de données sur le hexadécimaux.
support est une opération délicate.
Ethernet II est le format de la trame Ethernet utilisé par la suite TCP/IP.
Le noeud destinataire reçoit la trame, recalcule sa valeur CRC et la compare
avec celle stockée dans la queue de bande.
Si les deux valeurs diffèrent, la trame est ignorée.

7 8
Protocole PPP pour les réseaux étendus

Il s’agit d’un protocole principalement utilisé sur les réseaux étendus série. Il
peut aussi être utilisé sur d’autres supports physiques tels que :

• les câbles à paire torsadée

• la fibre optique
• la transmission satellite

Lors de l’ouverture de connexion PPP, les deux noeuds peuvent négocier aussi
des options telles que :

• l’authentification
• la compression

Protocoles sans fil pour les réseaux locaux

La norme 802.11 suit la norme 802.2 LLC et utilise le même système d’adressage
que la norme 802.
Par contre, il existe des différences au niveau de la sous–couche MAC et de la
couche physique.

La norme 802.11 fonctionne sur un support partagé et utilise le protocole

CSMA/CA comme méthode d’accès au support.
Elle utilise également des ACK pour s’assurer de la bonne réception des données.
En effet, un environnement sans fil est un environnement non protégé.

Les autres services pris en charge sont :

• l’authentification
• l’association
• la confidentialité

9
Couche physique (sem 1 / chapitre 8) b

Rôle de la couche physique

Le rôle de la couche physique est de créer un signal électrique, optique ou mi-

cro ondes représentant les bits contenus dans la trame de la couche 2, puis de
récupérer le signal et le restaurer sous forme de bits et de le transmettre à la
couche liaison de données.
Les fonctions élémentaires de la couche physique sont les suivantes :

• le codage des données

• la signalisation
• les composants physiques

Il existe trois types de supports élémentaires ayant chacun leur propre type de
signal :

• les câbles en cuivre (signal électrique)

• les fibres optiques (signal lumineux)
• le wireless (variations de transmissions radio)

Méthode de signalisation

Chaque bit est envoyé individuellement et dispose d’un temps spécifique

d’occupation du support : durée d’un bit.

Les bits sont représentés sur le support en changeant une ou plusieurs

caractéristiques suivantes :

• l’amplitude
• la fréquence
• la phase

La même méthode de signalisation doit être utilisée par l’émetteur et le récepteur

sinon la communication échoue.

Deux exemples de méthodes de signalisation :

• signalisation NRZ (bas débit)

• code Manchester (Ethernet 10baseT)

1 2
Codage : groupements de bits b

Un groupe de code est une séquence consécutive de bits de code qui représente
des bits de données.

Les groupes de code sont utilisés comme technique de codage intermédiaire

pour les technologies LAN à haut débit.

Ce codage intermédiaire a lieu au niveau de la couche physique. Il augmente

le nombre de bits à transmettre mais il améliore la robustesse d’une liaison en
assurant :

• une réduction des erreurs au niveau du bit.

• une meilleure distinction entre les bits de données et les bits
de contrôle.

Réduction des erreurs au niveau du bit : l’émetteur et le récepteur doivent

se synchroniser afin que le récepteur puisse détecter correctement un 1 ou un
0. La synchronisation s’effectue en se basant sur les transitions. Les groupes de
bits assurent au moins une transition par symbole.

Distinction entre les bits de données et les bits de contrôle :

On distingue trois types de symboles :

• les symboles de données

• les symboles de contrôle
• les symboles non valides

Codage 4B/5B

Quatre bits de données sont transformées en un symbole de cinq bits.

Le codage 4B/5B garantit au moins un changement de niveau par code,

assurant ainsi la synchronisation.

Parmi les symboles possibles :

• 16 sont des symboles de données

• 6 sont des symboles de contrôle
• 10 sont des symboles non valides

3 4
Capacité de transport des données b

Le transfert de données peut être mesuré de 3 manières :

• la bande passante
• le débit
• le débit applicatif

Normes physiques

Divers organismes de normalisation (ANSI, EIA, IEEE etc.) ont défini les
propriétés physiques, électriques et mécaniques des supports existants. Ainsi des
normes sont définies pour :

• le type de câblage en cuivre

• la bande passante
• le type de connecteurs
• la distance maximale

Supports en cuivre

Les fils en cuivre sont les supports les plus utilisés. On distingue deux types de
support en cuivre :

• câble à paires torsadées

• câble coaxial

Les données sont transmises sous forme d’impulsions électriques. Ces signaux
sont donc sensibles au parasitage.

Les principales sources de parasitage sont :

• les ondes radio

• les moteurs électriques
• l’éclairage fluorescent

5 6
Câbles à paires torsadées non blindées (UTP) b

Ce type de câble est utilisé dans les réseaux locaux Ethernet.

Le câble à paires torsadées est constitué de 8 fils torsadés 2 à 2, puis logés dans
une gaine plastique.

La torsion a pour effet de garder les deux fils aussi proches que possible, ce qui
diminue les problèmes de parasitages externe et interne (diaphonie) au câble.
Les catégories les plus répandues sont Cat5, Cat5e et Cat6.

Un câble UTP est terminé par des connecteurs RJ-45.

On distingue 3 principaux types de câbles UTP :

• câble droit (Ethernet direct)

• câble croisé (croisement Ethernet)
• câble console (renversement)

Câble coxial

Il est composé d’un seul conducteur de cuivre entouré d’un matériau isolant,
d’un film métallique, puis d’une gaine.

Il est utilisé pour relier des antennes à des périphériques sans fil.

Il s’agit du support le plus employé pour transporter des signaux de radio

fréquence élevée comme les signaux de télévision.

Le câble coaxial était utilisé dans les réseaux Ethernet 10base2. Il a été remplacé
par le câble UTP.

Différents connecteurs existent sur le câble coaxial dont la prise BNC.

Câble STP

Le câble STP protège avec des blindages métalliques tous les fils et les paires
individuellement. Il offre donc une meilleure protection contre les parasites que
le câble UTP.

La nouvelle norme Ethernet 10Gigabit prévoit l’utilisation des câbles STP.

7 8
Fibre optique Supports sans fil

Le câblage en fibre optique utilise des fibres de verre ou de plastique.
Les informations sont transmises sous forme d’impulsions lumineuses.
A l’heure actuelle, la bande passante potentielle de ce support n’est pas atteinte.
Les informations sont transportées sous forme d’ondes. Celles–ci peuvent être
arrêtées ou atténuées par divers matériaux. Ce type de transmissions est aussi
sensible aux interférences qui peuvent être produites par des téléphones sans fil,
des fours à micro-ondes etc.
On distingue plusieurs types de supports sans fil dont :

Une fibre optique n’est pas sensible aux interférences électromagnématiques. • 802.11 (WLAN)
• 802.15 (PAN)
Une fibre optique à une faible perte de signal. Elle peut donc fonctionner sur de • 802.16 (WIMAX)
très longues distances. • Système mondial de communication avec les mobiles
Généralement deux fibres optiques sont utilisées pour assurer les 2 sens de la
connexion.
Réseaux sans fil
L’enveloppe autour de la fibre empêche la perte de lumière.
Un réseau sans fil exige :
La lumière est générée par des lasers ou des LED. Des photodiodes détectent les
signaux lumineux et les convertissent en tensions. • point d’accès sans fil
• adaptateur de carte réseau sans fil
On distingue deux types de fibres :

On distingue plusieurs normes de réseaux sans fil dont :

• monomode
• multimode
• 802.11a
• 802.11b
Monomode : un seul rayon lumineux généralement émis par laser, voyage au • 802.11g
centre de la fibre et ce, sous de très grandes distances. • S802.11n
Multimode : la lumière est générée par une LED qui crée un signal qui rentre
dans la fibre selon différents chemins ; elle se scinde donc en plusieurs rayons. Le Les technologies sans fil permettent la mobilité des utilisateurs et une économie
signal peut être trouble, à l’arrivée, au niveau du récepteur. par rapport à un réseau câblé.

Les technologies sans fil présentent des problèmes liés à la sécurité.

9 10
Ethernet (sem 1 / chapitre 9) Ethernet 10Mbps (versions initiales)

Il s’agit des technologies 10BASE2, 10BASE5 et 10BASET.

Elles utilisent toutes le codage Manchester.
Ethernet
Norme 10BASE5
Ethernet a été conçu dans les années 70 par R. Metcalfe et ses collaborateurs.
La topologie est en bus et les segments sont connectés à l’aide de répéteurs.
La première norme Ethernet a été publiée par le consortium DIX en 1980.
• câble coaxial épais.
Ethernet est une norme ouverte. • prise vampire
• 500 mètres
L’IEEE a attribué le numéro 802 aux réseaux LAN et le numéro 802.3 à Ethernet.

Des modifications mineures ont été apportées à la norme 802.3 afin d’être Norme 10BASE2
compatible avec le modèle OSI.
• câble coaxial fin
Ethernet 802.3 décrit les fonctions de la sous-couche MAC et de la couche • connecteur BNC
physique. • 185 mètres

Ethernet utilise CSMA/CD comme méthode d’accès de contrôle d’accès au sup-

port. La topologie physique en bus devient alors problématique avec l’expansion
des réseaux locaux. Elle est remplacée par la topologie en étoile avec des
concentrateurs.
Histoire d’Ethernet
Norme 10BASET
Ethernet prend ses origines dans Alohanet.

Alohanet était un réseau de radio numérique conçu pour transmettre des infor- • câble à paires torsadées
mations entre les ı̂les hawaiennes. Le protocole utilisé était le suivant : • connecteur RJ 45
une transmission sans reçu devait être retransmise après un court délai. • 100 mètres

Cette technique a été utilisée par Ethernet dans le cadre des réseaux filaires sur
un support partagé. La topologie en étoile améliore la fiabilité du réseau mais la répétition des trames
sur tous les ports du concentrateur n’a pas allégé le problème des collisions.

1 2
100 Mbps (Fast Ethernet) 10 Gb Ethernet

La topologie est en étoile mais le concentrateur est remplacé par un commuta- A l’origine, Ethernet est une technologie utilisée uniquement dans le cadre des
teur qui diminue considérablement le nombre de collisions. réseaux locaux. La distance des câbles ayant considérablement augmentée avec
Deux normes sont devenues importantes : la fibre optique, il est désormais possible d’utiliser Ethernet dans les MAN et
les WAN.
• 100BASE-TX
• 100BASE-FX
Une connexion 10Gb Ethernet n’est constituée que par des fibres optiques en
dont les caractéristiques sont : mode full-duplex ; le protocole CSMA/CD n’est pas utilisé.

• 100BASET Quelques exemples d’implémentations 10Gb :

• câble à paires torsadées (RJ45) • 10GBASE-SR
• 100 mètres • 10GBASE-LX4
• codage ”4B/5B” puis MLT3 • 10GBASE-LR
• 10GBASE-ER
• 100BASEFX
• fibre optique multimode L’IEEE et l’Alliance Ethernet travaillent sur les normes 40 Gbps, 100 Gbps et
• 400 mètres 160 Gbps.
• codage ”4B/5B” puis NRZI

Trames Ethernet

1000 Mbps (Gigabit Ethernet) Une trame 802.3 est constituée des champs suivants :

L’utilisation grandissante de la bande passante nécessite des connexions plus

rapides. • préambule (7)
• début du délimiteur de trame (1)
La migration vers du Gigabit Ethernet ne nécessite pas nécessairement un • adresse destinataire (6)
changement de câblage. • adresse source (6)
• longueur/type (2)
On distingue principalement les trois normes suivantes : • données (46 à 1500)
• séquence et contrôle de trame (4)
• 1000BASE-TX (cuivre)
• 1000BASE-SX (fibre optique)
• 1000BASE-LX (fibre optique) Depuis 1998, la taille maximale autorisée est passée à 1522 octets afin de pouvoir
inclure des informations sur les VLAN.
Gigabit Ethernet utilise deux étapes de codage.

Pour la norme Gigabit Ethernet pour fibre optique (1000BASE-X) :

1. le codage ”8B/10B”
2. le codage NRZ

Pour la norme Gigabit Ethernet pour câble en cuivre (1000BASE-T) :

1. le codage ”8B1Q4”
2. le codage 4D-PAM5

3 4
Adressage MAC Ethernet
Chaque dispositif réseau possède une adresse MAC unique. Cette dernière est
utilisée par la technologie Ethernet pour identifier un élément du réseau.
Une adresse MAC a une longueur de 48 bits, composée de 12 nombres
hexadécimaux. Les 6 premiers nombres hexadécimaux sont attribués par l’IEEE
à chaque entreprise. Les 6 derniers sont attribués par l’entreprise elle–même.
Monodiffusion, multidiffusion et diffusion Ethernet
Il existe 3 types d’adresses MAC :
• monodiffusion
• multidiffusion
• diffusion
Monodiffusion : un périphérique envoie un message à un seul destinataire.
Diffusion : un périphérique envoie un message à tous les périphériques du
domaine de diffusion.
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Multidiffusion : un périphérique envoie un message à un groupe de
périphériques (groupe de multidiffusion).
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
correspondante.
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
Les 6 derniers nombres hexadécimaux correspondent à
• 1er bit : 0
• les 23 bits depuis la droite de l’adresse IP de multidiffusion
5 6
Contrôle de l’accès aux supports avec Ethernet
Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les
collisions.
Détection de signal : Avant d’envoyer un message, un périphérique écoute la
porteuse :
• Si aucun signal n’est détecté : le périphérique envoie son message.
• Si un signal est détecté : le périphérique attend un certain temps avant
d’essayer à nouveau d’envoyer son message.
Accès multiple : Si deux périphériques émettent en même temps, une collision
peut se produire.
Dès la détection de collision, les deux périphériques responsables de la détection
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
temps aléatoire– algorithme d’interruption.
Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
périphériques se ne remettent pas à émettre en même temps, une période de
réémission aléatoire est activée sur chaque périphérique.
Concentrateurs et domaines de collisions
Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Ethernet peuvent atteindre.
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
autres ports.
Lorsqu’une collision survient, celle-ci se propagent sur une partie du réseau
appelé domaine de collisions.
Les répéteurs et les concentrateurs propagent les collisions. Ils augmentent
donc la taille du domaine de collisions.
Latence : un signal met un certain temps à se propager le long du support. Ce
délai augmente la probabilité de survenance de collisions.
Commutateurs Protocole ARP

Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu-
tateur représente un seul domaine de collisions.
Lorsque tous les noeuds sont connectés directement au commutateur, celui
assure :
Le protocole ARP assure les fonctions de base suivantes :
• résolution des adresses IP en adresses MAC
• conservation en mémoire cache des mappages

• une bande passsante dédiée sur tous les ports
• un environnement sans collision
• une transmission bidirectionnelle simultanée
Rappel : Pour envoyer une trame sur un réseau Ethernet, il est nécessaire
d’inclure les adresses IP et MAC source et destination.
Le périphérique source trouve les adresses IP et MAC destination dans sa table
ARP.

Fonctionnement d’un commutateur Cette table est mise à jour dynamiquement selon de 2 méthodes :

Un commutateur effectue un réacheminement sélectif. Pour ce faire, le • le périphérique surveille le trafic sur le segment local. Quand il reçoit une
commutateur fait appel aux fonctions de base suivantes : trame, il stocke dans sa table ARP l’adresse IP et son adresse MAC correspon-
dante.

• l’apprentissage • le périphérique envoie une requête ARP contenant une adresse IP de desti-
• l’horodatage nation et une adresse MAC de diffusion. Le destinataire répond en indiquant
• l’inondation son adresse MAC dans une trame monodiffusion.
• le réacheminement sélectif
• le filtrage Si le destinataire ne se trouve pas sur le même réseau que la source, la source
utilise l’adresse MAC de la passerelle du réseau comme adresse MAC destinataire.

7 8
Planification et câblage des réseaux (sem 1 / chapitre 10) b

Périphériques intermédiaires

Le routeur est un périphérique interréseau (couche 3).

Chaque port d’un routeur est connecté à un réseau différent et achemine le
paquets entre les réseaux.

Un routeur segmente les domaines de diffusion et les domaines de collision.

Périphériques intraréseau : ils connectent les périphériques finaux au réseau.

Les plus courants sont :

• le concentrateur (couche 1)
• le commutateur (couche 2)

Facteurs de sélection des périphériques

Les principaux facteurs sont :

• coût
• vitesses et types de ports/interfaces
• capacité d’extension
• facilité de gestion

Installation du câblage d’un réseau local

Les domaines physiques suivants doivent être pris en compte :

• zone de travail
• point de distribution (armoire de répartition)
• câblage vertical (câblage du réseau fédérateur)
• câblage horizontal (câblage de distribution)

1 2
Connexions au réseau local Connexions au réseau local : câbles droits et croisés

On distingue deux types de terminaison RJ45 : T568A et T568B. Un câble droit est utilisé dans les liaisons suivantes :
• commutateur vers routeur
Les périphériques utilisent deux types d’interface UTP : MDI et MDIX • commutateur vers PC ou serveur
• concentrateur vers PC ou serveur
Media Dependant Interface (MDI) :
Un câble croisé est utilisé dans les liaisons suivantes :
• les broches 1,2 sont utilisées pour la transmission • commutateur vers commutateur
• les broches 3,6 sont utilisées pour la réception • commutateur vers concentrateur
• concentrateur vers concentrateur
Les interfaces MDI sont utilisées sur • routeur vers routeur
• PC vers PC
• les ordinateurs • routeur vers PC
• les serveurs Sur de nombreux périphériques, il est possible de sélectionner le type de
• les routeurs l’interface.

Media Dependant Interface, Crossover (MDIX) : l’interface est croisée. • le port peut posséder un mécanisme permettant de choisir
Les interfaces MDIX sont utilisées sur entre MDI/MDIX
• le port peut être configuré comme MDI/MDIX
• les concentrateurs • le port détecte automatiquement le type de câble
• les commutateurs
Afin de connecter ces deux types d’interfaces, on utilise deux types de câbles :

• câble droit : (T568A-T568B)

• câble croisé : (T568A-T568A ou T568B-T568B)

3 4
Connexions au réseau étendu

Les connexions de réseau étendu ont différentes formes :

• connecteur RJ 11 (ligne téléphonique- DSL)

• connecteur F/BNC (câble modem)
• connecteur série (60 broches)

En cours, on utilise deux types de connecteurs série :

• connecteur DB-60 (côté routeur) et un connecteur Win-

chester
• connecteur Smart Serial (côté routeur) et un connecteur
Winchester

Dans une connexion série, il y a deux types de périphériques :

• Equipement de communication de données (DCE). Fournit

l’horloge.
• Equipement terminal de traitement de données (DTE).
Reçoit l’horloge.

5
Configuration d’un routeur et test du réseau (sem1/chap 11) Fichiers de configuration

OS du routeur/switch Un routeur/switch a besoin de deux ”logiciels” pour fonctionner :

Un routeur ou un switch a besoin d’un OS pour fonctionner (IOS Cisco). Il

fournit les services suivants : • un OS
• un fichier de configuration

• fonction de routage ou de commutation de base

• accès fiable et sécurisé au routeur/switch Le fichier de configuration contient la personnalisation des fonctionnalités
du routeur/switch.

On accède aux services de l’OS par l’intermédiaire d’une interface ligne de Il existe deux fichiers de configuration :
commandes ou d’une interface graphique.
• le fichier de configuration en cours (running-config)
Les fonctions de l’OS varient selon le type de dispositif réseau sur lequel il est • le fichier de configuration initiale (startup-config)
implanté.
Le running-config est stocké en RAM.
L’OS est stocké dans la mémoire flash du dispositif. Lors du démarrage, il est
généralement copié dans la RAM. Toute modification de configuration a lieu dans le running-config et est prise
immédiatement en compte.
Méthode d’accès au routeur/switch
Il est possible de sauvegarder le running-config dans le startup-config.
Il existe différentes méthodes pour accéder au routeur/switch :
Le startup-config est stocké en NVRAM. Il est chargé dans la RAM au
• le port console démarrage du routeur/switch et correspond au contenu du running-config.
• le port AUX
• le protocole Telnet ou SSH

Le port console permet de se connecter au routeur/switch sans qu’aucun autre

service n’ait été configuré au préalable. Le port console est utilisé pour :

• la configuration initiale du routeur/switch

• le dépannage lorsque l’accès à distance est impossible
• la récupération de mot de passe

La console transmet les messages d’erreur, de démarrage et de débogage. Par

défaut, l’accès console ne requiert aucune forme de sécurité.

Le port AUX fonctionne comme le port console mais n’affiche pas les messages
d’erreur, de démarrage et de débogage.

La connexion Telnet permet de se connecter à distance au routeur/ switch si

celui–ci est raccordé au réseau et qu’il possède un adresse IP.

Le protocole SSH fournit un accès plus sécurisé que Telnet. Cependant, il n’est
pas présent par défaut sur tous les OS.

1 2
Modes de l’IOS Exemple d’aide au clavier

Les modes sont organisés selon une structure hiérarchique. On distingue les
modes suivants :

• le mode utilisateur >

• le mode privilégié #
• le mode de configuration globale
• autres modes de configuration spécifiques

Chaque mode est identifié par une invite de commande particulière qui ne
permet d’entrer que des commandes spécifiques à ce mode.

Le mode utilisateur est un mode de visualisation.

Le mode privilégié donne accès à toutes les commandes du routeur et permet

de modifier la configuration. Il est vivement conseillé de protéger ce mode par
un mot de passe.

Pour accéder au mode privilégié depuis le mode utilisateur, taper la commande

enable.

Pour sortir du mode privilégié et retourner au mode utilisateur, taper la com-

mande disable.

Aide au clavier

La liste des commandes disponibles s’affiche sur l’écran en mode utilisateur

ou privilégié en tapant ?

En bas de l’écran apparaı̂t la ligne –More–.

Pour passer à l’écran suivant, appuyer sur la touche Enter.
Pour afficher la ligne suivante, appuyer sur la barre d’espacement.

Commandes d’éditions avancée

Plusieurs commandes permettent de se déplacer rapidemment sur la ligne de

commandes au cours de la frappe. Les plus utiles sont :

• Ctrl-A : pour revenir au début de la ligne

• Ctrl-E : pour aller à la fin de la ligne

Lorsque le curseur atteint la fin de la ligne, la ligne se déplace de 10 espaces vers

la gauche. Ce mouvement est signalé par un $ au début de la ligne.

3 4
Nom du routeur/switch b

Il est important d’attribuer un nom unique à un dispositif :

Router(config)#hostname nomrouteur

Mots de passe d’un routeur/switch

Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• les lignes de terminal virtuel (vty)
• la ligne console
• le mode privilégié

Le mot de passe console :

Router(config)#line console 0
Router(config-line)#password cisco
Router(config-line)#login

Le mot de passe terminal :

Un routeur prend en charge généralement 5 lignes vty (numérotées de 0 à 4).

Ces lignes permettent d’accéder à distance avec telnet au routeur.

Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login

Le mot de passe pour le mode privilégié :

Il existe deux commandes pour configurer un mot de passe pour le mode

privilégié :

Router(config)#enable password cisco

Router(config)#enable secret class

Il est préférable d’utiliser enable secret car le mot de passe est crypté.
Afin que les mots de passe apparaissent sous forme cryptée dans les fichiers de
configuration, on utilise la commande :

Router(config)#service password-encryption

5 6
Configuration d’une interface sur un routeur
Depuis le mode de configuration globale :
Router(config)#interface type slot/port
Par défaut, une interface est désactivée.
Pour activer une interface : no shutdown
Pour désactiver une interface : shutdown
Configuration d’une interface Ethernet (sur un routeur)
Chaque interface Ethernet activée doit posséder
• une adresse IP
• un masque de sous–réseau
Router(config)#interface ethernet type slot/port
Router(config-if)#ip address adresse IP masque sous-réseau
Router(config-if)#no shutdown
Router(config-if)#exit
Configuration d’une interface série (sur un routeur)
Chaque interface série activée doit posséder
• une adresse IP
• un masque de sous–réseau
Par défaut un routeur est un équipement ETTD (DTE), mais il peut être
configuré comme un équipement ETCD (DCE). Dans ce cas, le routeur doit
fournir le signal de synchronisation (commande clockrate).
Lorsque deux routeurs sont connectés par un câble série, un des deux routeurs
doit jouer le rôle de l’équipement DCE.
Router(config)#interface serial type slot/port
Router(config-if)#ip address adresse IP masque sous-réseau
SI DCE : Router(config-if)#clockrate vitesse
Router(config-if)#no shutdown
Router(config-if)#exit
7 8
Configuration de l’interface d’un commutateur
Les interfaces physiques d’un switch ne possède pas d’adresses IP et sont actives
par défaut.
Pooour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une
adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau
Switch(config-if)#no shutdown
Switch(config-if)#exit
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut.
Switch(config)#ip default-gateway adresse IP
Switch(config)#exit
Les commandes show
Plusieurs commandes show peuvent être utilisées pour examiner les fichiers
du routeur. Pour les connaı̂tre toutes : show ? (en mode utilisateur ou privilégié).
Les plus utiles sont :
show interfaces [type][port] : affiche toutes les statistiques des interfaces du
routeur.
show ip interface brief : affiche des informations abrégées sur les interfaces.
show controllers serial [slot/port] : affiche les caractéristiques de l’interface.
show running-configuration : affiche le contenu du fichier de configuration
en mémoire (RAM).
show startup-configuration : affiche le contenu de la NVRAM.
show flash : affiche les informations sur la mémoire flash et la liste des fichiers
stockés dans la flash.
show version : affiche les informations sur l’IOS en mémoire et les car-
actéristiques du matériel et de l’équipement.
Description d’interface/bannière de connexion

Une description d’interface donne des informations spécifiques à l’interface

telles que :

• son emplacement
• son rôle
• les autres dispositifs connectés directement

La description figure dans le fichier de configuration sans affecter le fonction-

nement de l’interface.

La commande est la suivante :

Router(config)#interface type slot/port

Router(config-if)#description emplacement, rôle etc.

Une bannière de connexion apparaı̂t lors de l’établissement d’une connexion

et permet de transmettre un message à tous les utilisateurs qui se connectent.
Sur un routeur, il s’agit généralement d’un message de mise en garde.
La commande est la suivante :

Router(config)#banner motd # message #

la table arp

Sur un hôte, la commande arp établit la correspondance entre les adresses IP et

les adresses MAC.
La commande arp -a liste le contenu du cache arp de l’hôte.
La commande arp -d efface le contenu du cache arp de l’hôte.

9
Présentation du routage et du transfert de paquets (S2/C1) b

Eléments d’un routeur

Un routeur possède les composants matériels et logiciels suivants :

• CPU
• RAM
• ROM
• Flash
• NVRAM
• IOS

Dans la RAM, on trouve

• IOS déployé
• le fichier de configuration en cours (running-config)
• la table de routage
• le buffer pour paquets

Dans la ROM, on trouve

• instructions de bootstrap
• logiciel de diagnostic de base
• version réduite de l’IOS

Dans la mémoire Flash, on trouve l’IOS.

Dans la NVRAM, on trouve le fichier de configuration initiale (startup-config).

Boot du routeur

Le boot du routeur est constitué des phases suivantes :

• POST
• chargement du bootstrap
• recherche et chargement de l’IOS
• recherche et chargement du fichier de configuration ou accès
en mode Setup

1 2
La commande show version Vérification de la configuration de base d’un routeur

La commande show version permet de vérifier certains composants basiques Pour vérifier la configuration de base d’un routeur, on utilise les commandes
logiciels et matériels du routeur : suivantes :

• version de l’IOS • show running-config

• version du bootstrap • show interfaces
• emplacement de l’IOS • show ip route
• CPU • show startup-config
• quantité de RAM • show ip interface brief
• interfaces
• quantité de NVRAM Pour sauvegarder le fichier de configuration dans la NVRAM :
• quantité de Flash
• registre de configuration # copy running-config startup-config

Présentation de la table de routage

La table de routage est un fichier de données se trouvant dans la RAM.

Il contient des informations sur la route à emprunter sur les réseaux directement
connectés et les réseaux distants.

On distingue principalement trois types d’entrée :

• les réseaux directement connectés

• les routes statiques
• les routes dynamiques

Les réseaux directement connectés :

Lorsqu’une interface sur un routeur est configurée, le réseau auquel elle appar-
tient apparait automatiquement dans la table de routage (lettre C).

Routage statique

Une route statique est indiquée par la lettre S dans la table de routage.

On utilise une route statique quand

• le réseau ne comporte que quelques routeurs

• le réseau est connecté à un fournisseur par une seule liaison
• un grand réseau est connecté selon une topologie Hub and
Spoke.

3 4
Routage dynamique b

Un protocole de routage dynamique est utilisé par des routeurs pour partager
des informations sur l’accessibilité et l’état des réseaux.

Les tâches principales d’un protocole de routage est :

• la détection des réseaux

• la mise à jour des tables de routage

La détection des réseaux se fait en partageant des informations sur les

réseaux avec d’autres routeurs.

La mise à jour des tables de routage

Une fois les informations récoltées sur les résaux distants, le routeur détermine
le meilleur chemin pour se rendre à ce réseau et intègre cette route dans la
table de routage.
Si la topologie change, il détermine automatiquement un nouveau meilleur
chemin vers le réseau.

Les protocoles de routage les plus répandus sont :

• RIP
• IGRP
• EIGRP
• OSPF
• IS-IS
• BGP

5 6
Les principes d’une table de routage Détermination du chemin

Un routeur suit les trois principes suivants : Pour le transfert de paquets, deux fonctions sont utilisées :

• Chaque routeur prend sa décision seul, en se basant sur les informations • la détermination du chemin
disponibles dans sa base de routage. • la commutation

• Le fait qu’un routeur ait certaines informations dans sa table de routage ne

veut pas dire que les autres routeurs disposent des mêmes informations.
• Les informations de routage liées à un chemin menant d’un réseau à un autre
ne fournissent pas d’informations de routage sur le chemin de retour.
Meilleur chemin
Lorsque le routeur se trouve en présence de plusieurs chemins menant au même
réseau de destination, il doit choisir le meilleur chemin.
Le meilleur chemin est sélectionné par un protocole de routage en se référant à
une mesure. Par exemple, le protocole RIP utilise comme mesure le nombre
de sauts.
Détermination du chemin : en utilisant sa table de routage et l’adresse IP de
destination du paquet, le routeur détermine le meilleur chemin. Cette recherche
peut mener à trois résultats :
• le réseau est directement connecté
• le réseau est distant
• aucune route n’est déterminée
Commutation : lorsque le réseau est directement connecté ou distant, le rou-
teur réencapsule le paquet IP dans le format de trame (couche 2) correspondant
à l’interface de sortie.
Si aucune route n’est déterminée, le paquet est abandonné.

Equilibrage de charge à coût égal

Coût égal : un routeur peut disposer de plusieurs chemins menant au même

réseau de destination et ayant la même mesure.

La table de routage contient alors le réseau de destination avec plusieurs

interfaces de sortie, une pour chaque chemin de coût égal.

Le routeur effectue un équilibrage de charge entre les routes de coût égal.

Selon le protocole de routage utilisé, le routeur peut effectuer un équilibrage de

charge de coût inégal.

7 8
Routage statique (S2/C2) Messages non sollicités

Remarques sur la configuration d’une interface Ethernet Afin éviter qu’une erreur de saisie ne provoque une requête DNS :

Avant la configuration de l’interface fa 0/0, la commande show interfaces fa Router(config)# no ip domain lookup
0/0 donne les indications suivantes :
afin que les messages non sollicités ne se mélangent à la saisie :
Fast Ethernet 0/0 is administratively down, line protocol is down
Router(config)# line console 0
Cela signifie que l’interface est désactivée et le protocole de ligne est désactivé. Router(config-line)# logging synchronous

Cette information se retrouve dans le fichier de configuration :

La commande debug ip routing

interface fa 0/0 La commande debug ip routing(mode privilégié) permet de voir les modifica-
adresse IP tions apportées par le routeur lors de l’ajout ou de la suppression des routes.
shutdown
Pour la désactiver :
ainsi qu’avec la commande show ip interface brief :
Router# no debug ip routing ou
fa 0/0 manual administratively down down Router# undebug ip routing

Lorsque l’interface est activée avec la commande no shutdown, le message

suivant est envoyé par l’IOS :

Interface fa0/0 changed state to up, Line protocol on interface fa0/0 changed
state to up.

Le résultat de la commande show interfaces fa0/0 est :

Fast Ethernet 0/0 is up, line protocol is up

Remarques sur la configuration d’une interface Série

Si deux interfaces séries connectées entre elles sont configurées sans clock rate,
le résultat de la commande show interfaces S 0 est :

Serial 0 is up, line protocol is down.

Pour savoir si une interface série est DCE ou DTE, on utilise la commande
show controllers S 0

1 2
Les routes statiques b

Un routeur peut obtenir des informations sur des réseaux distants de l’une des
façons suivantes :

• automatiquement à partir d’un protocole de routage dy-

namique
• manuellement à partir de routes statiques configurées

Les routes statiques sont généralement utilisées dans le cadre d’un réseau
accessible par une seule route.

Pour configurer une route statique :

Router(config)# ip route ad. reseau masque { ad. IP | int. de sortie }

La route apparait dans la table de routage sous l’ une des formes suivantes :

S 192.168.2.0/24 is directly connected Serial 0/0/0

S 192.168.2.0/24 [1/0] via 172.16.2.2

Dans le second cas, une recherche récursive dans la table de routage est nécessaire.

3 4
Route statique avec une interface de sortie Série Route statique résumée

Les réseaux point à point utilisant les protocoles PPP ou HDLC ne se servent Une route statique résumée permet de rendre une table de routage plus ”com-
pas de l’adresse IP du tronçon suivant pour le transfert du paquet. pacte”.
Le paquet IP est encapsulé dans une trame de couche 2 avec une adresse de Les entrées ci–dessous dans une table de routage :
diffusion comme adresse de destination de couche 2.
S 172.16.1.0 is directly connected S0/0/1
Il est préférable de configurer la route statique avec l’interface de sortie. S 172.16.2.0 is directly connected S0/0/1
S 172.16.3.0 is directly connected S0/0/1
Route statique avec une interface de sortie Ethernet
peuvent être résumées ainsi :
Sur un réseau Ethernet, un paquet IP doit être encapsulé dans une trame Eth-
ernet avec une adresse MAC de destination. Router(config)# ip route 172.16.0.0 255.255.252.0 S0/0/1
Le routeur recherche dans sa table ARP, l’entrée indiquant l’adresse MAC
correspondant à l’adresse IP du tronçon suivant (si l’information ne figure pas
dans la table ARP, le routeur envoie une requête ARP).

Si la route statique est configurée avec l’interface de sortie, alors le routeur n’a
pas suffisamment d’information pour acheminer la trame.

Il est donc préférable de configurer la route statique avec l’interface de sortie

et l’adresse IP du saut suivant.

Router(config)# ip route 192.168.2.0 255.255.255.0 fa0/1 172.16.2.2

5 6
Route statique par défaut Le protocole CDP (Cisco Discovery Protocol)

Une route statique par défaut est une route qui correspond à tous les paquets. Il s’agit d’un outil propriétaire de surveillance et de dépannage.
Elle est utilisée
Il donne des informations - par l’intermédiaire des annonces CDP - sur les
• quand aucune route de la table de routage ne correspond à
périphériques voisins (couche 2) directement connectés.
l’adresse IP de destination du paquet
• lorsqu’un routeur n’est connecté qu’‘a un seul routeur
Les commandes permettant de voir les informations recueillies sont :

La configuration est la suivante : show cdp neighbors

show cdp neighbors detail
Router(config)# ip route 0.0.0.0 0.0.0.0 { ad. IP | int. de sortie }
La commande show cdp neighbors fournit pour chaque voisin CDP les infor-
Dans la table de routage, une route par défaut est indiquée avec une astérisque. mations suivantes :
• ID du périphérique voisin
• interface locale
• valeur du délai de conservation en secondes
• code de capacité du périphérique voisin
• ID du port distant voisin

La commande show cdp neighbors detail fournit en plus l’adresse IP du

périphérique voisin.

Le protocole CDP est activé par défaut sur les périphériques Cisco.
Pour le désactiver sur l’ensemble du périphérique :

Router(config)# no cdp run

Pour le désactiver sur une interface particulière :

Router(config-if)# no cdp enable

7 8
Présentation des protocoles de routage dynamique (S2/C3) Fonctions des protocoles de routage dynamique

Evolution des protocoles de routage dynamique
Les protocoles de routage dynamique sont utilisés dans les réseaux depuis le
début des années 80.
RIP (Routing Information Protocol) est l’un des tous premiers. Il a évolué en
une deuxième version : RIP v2. Ces deux protocoles ne sont pas adaptés aux
grands réseaux.
Les protocoles OSPF (Open Shortest Path First) IS-IS (Intermediate System-to-
Intermediate System) sont adaptés aux grands réseaux.
Les protocoles de routage dynamique développés par Cisco sont IGRP (Interior
Gateway Routing Protocol) et EIGRP (Enhanced Interior Gateway Routing
Protocol). EIGRP est adapté aux grands réseaux.
Les protocoles de routage permettent d’échanger des informations de routage
entre les routeurs.
Chaque routeur construit sa table de routage dans laquelle figurent les meilleurs
chemins choisis par le protocole.
Un protocole de routage assure :
• la découverte des réseaux distants
• l’actualisation des informations de routage
• le choix du meilleur chemin vers des réseaux de destination
• la capacité à trouver un meilleur chemin si le chemin actuel
n’est plus disponible.

Le protocole de routage BGP (Border Gateway Protocol) permet d’inter- Comparaison routage statique/ routage dynamique
connnecter les grands réseaux et d’assurer le routage entre eux.
(dessin) Avantages du routage statique :

Avec l’émergence d’IPv6, de nouvelles versions de protocoles de routage IP ont • traitement CPU faible
été développées : • configuration facile

• RIPng Inconvénients du routage statique :

• EIGRP pour IPv6
• OSPF v3
• configuration et maintenance chronophages
• configuration sujette aux erreurs
• intervention de l’administrateur requise à chaque changement
du réseau
• connaissance complète du réseau requise
Avantages du routage dynamique :

• tâches administratives réduites pour l’administrateur

• configuration peu sujette aux erreurs
• réaction automatique des protocoles aux modifications
topologiques
• extension du réseau non problématique
Inconvénients du routage dynamique :

• utilisation des ressources (RAM,CPU) non négligeable

• connaissances approfondies du routage pour la vérification et
le dépannage nécessaires.

1 2
Protocoles IGP et EGP Fonctionnement des protocoles de routage à vecteur de distance.

Internet repose sur le concept de systèmes autonomes(AS). Chaque route s’exprime selon les deux paramètres suivants :

Il s’agit d’un ensemble de routeurs dont l’administration est commune, comme • vecteur de distance
par exemples : • direction

• réseau interne d’une société Le vecteur de distance est défini en fonction de la mesure.
• réseau d’un FAI
On distingue donc deux types de protocoles de routage : La direction est l’interface de sortie ou le routeur de tronçon suivant.

• IGP (Interior Gateway Protocols) utilisés pour le routage à Ce protocole utilise l’algorithme de Bellman-Ford. Cet algorithme permet de
l’intérieur d’un système autonome. récolter suffisamment d’informations pour acheminer les paquets vers les réseaux
• EGP (Exterior Gateway Protocols) utilisés pour le routage accessibles. Cependant, il ne permet pas à un routeur de connaı̂tre la topologie
entre systèmes autonomes. exacte d’un réseau.

Des mises à jour régulières sont envoyées entre routeurs directement connectés.
Protocoles IGP : RIP, IGRP, EIGRP, OSPF, IS-IS
Ce protocole est utilisé dans les situations suivantes :
Protocoles EGP : BGP

Les protocoles IGP peuvent être de deux types : • le réseau est simple et plat.
• l’administrateur n’est pas expérimenté
• les longs délais de convergence ne sont pas un problème
• Protocoles de routage à vecteur de distance.
• Protocoles de routage d’état des liaisons.
Fonctionnement des protocoles de routage d’état de liaisons

Un routeur fonctionnant avec ce protocole possède une vue complète de la

topologie du réseau. De plus, tous les routeurs ont la même vue du réseau.

Ce protocole n’utilise pas de mises à jour régulières. Une fois le réseau convergé,
une mise à jour d’état des liaisons est envoyée uniquement en cas de modification
de la topologie.

Ce protocole est utilisé dans les situations suivantes :

• le réseau est hiérarchique et grand.

• l’administrateur est expérimenté
• une convergence rapide est primordiale

3 4
Protocoles de routage par classe ou sans classe Mesure

Les protocoles de routage par classe n’envoient pas d’informations sur les La mesure est la valeur indiquant le coût d’accès d’un réseau distant.
masques de sous–réseau dans les mises à jour de routage. Ils ne prennent donc
pas en charge VLSM. Ils sont incapables de gérer les réseaux discontigus. Cette mesure est utilisée pour déterminer, en présence de plusieurs chemins vers
un réseau distant, le meilleur chemin.
Exemples : RIPv1, IGRP
Chaque protocole de routage utilise sa propre mesure.
Les protocoles de routage sans classe incluent dans leurs mises à jour de
routage le masque de réseau avec l’adresse réseau. Ils prennent donc en charge Les mesures suivantes sont utilisées par les protocoles de routage IP :
VLSM et gèrent les réseaux discontigus.
• nombre de sauts
Exemples : RIPv2, EIGRP, OSPF • bande passante
• charge
• délai
Convergence • fiabilité
• coût
On parle de convergence lorsque tous les routeurs du réseau disposent
d’informations complètes, précises et cohérentes. Les mesures utilisées par chacun des protocoles de routage sont les suivantes :

Le temps de convergence est le temps nécessaire aux routeurs pour partager • RIP : nombre de sauts
des informations, calculer les meilleurs chemins et mettre à jour leur table de • IGRP et EIGRP : bande passante, délai, fiabilité et charge
routage. • OSPF : coût (bande passante)
S’il existe plusieurs routes vers le même réseau de destination ayant des valeurs
Un réseau n’est pas entièrement opérationnel tant qu’il n’a pas convergé.
de mesure égales, alors le routeur équilibre la charge entre les chemins.
Convergence plus lente : RIP et IGRP.
Convergence plus rapide : EIGRP et OSPF.

5 6
Distance administrative

Une valeur de distance administrative (AD) est attribuée à chaque source de

routage :
Les sources de routage possibles sont :

• un protocole de routage dynamique

• une route statique
• un réseau directement connecté

Les valeurs de distance administrative varient entre 0 et 255. Plus la valeur est
faible, plus la source de la route est privilégiée.

Ainsi, un réseau directement connecté à une valeur administrative de 0 et une

route statique de 1.

Pour vérifier la valeur des distances administratives :

• show ip route
• show ip route adresse réseau
• show ip protocols

7
Protocoles de routage à vecteur de distance (S2/C4) Mécanismes des protocoles de routage

Protocoles de routage à vecteur de distance Les mécanismes sont les suivants :

Les protocoles de routage à vecteur de distance étudiés dans le cadre du cours : • mécanismes d’envoi et de réception des informations de
RIP et EIGRP. routage
• mécanisme de calcul des meilleurs chemins et d’installation
Les principales caractéristiques de RIP sont : des routes dans la table de routage
• mécanisme de détection des modifications topologiques et
• il utilise le nombre de sauts comme mesure de sélection d’un de réaction à celles–ci.
chemin
• si le nombre de sauts est supérieur à 15, il ne peut pas
fournir de route pour ce réseau
• les mises à jour de routage sont diffusées toutes les 30 Découverte du réseau
secondes
Démarrage à froid :
Les principales caractéristiques de EIGRP sont :
Lors de sa mise sous tension, un routeur ne dispose d’aucune information sur la
topologie du réseau.
• il peut effectuer un équilibrage de charge de coût inégal
• il utilise l’algorithme DUAL (Diffused Update Algorithm) Il applique les informations stockées dans son fichier de configuration (NVRAM).
pour calculer le chemin le plus court
• il n’envoie pas de mises à jour régulières. Il envoie des mises Il détecte ses propres réseaux directement connectés et installe ces informations
à jour uniquement en cas de modification de topologie. dans la table de routage.

Echange initial :
Technologie de vecteur de distance
Si un protocole est activé, le routeur échange des mises à jour de routage qui ne
concernent que ses réseaux directement connectés.
Un protocole de routage à vecteur de distance ne connait pas le chemin complet
vers le réseau de destination. Il ne connait que les éléments suivants :
Mise à jour suivante :

• la direction ou l’interface par laquelle un paquet doit être Le routeur échange des mises à jour régulières pour connaı̂tre des réseaux plus
transmis éloignés.
• la distance le séparant du réseau de destination

Un routeur fonctionnant avec ce protocole ne connait pas la topologie complète

du réseau.

Des mises à jour régulières (diffusées ou multidiffusées) sont envoyées aux voisins
même si aucun changement topologique n’a eu lieu.

Les voisins sont des routeurs qui partagent une liaison et sont configurés avec
les même protocole de routage.

1 2
Convergence
Le temps nécessaire de convergence d’un réseau est proportionnel à sa taille.
La vitesse de convergence dépend des paramètres suivants :
• la vitesse à laquelle le routeur propage une modification de
la topologie lors d’une mise à jour à ses voisins.
• la vitesse de calcul des meilleurs chemins à l’aide des
nouvelles informations collectées
Remarque : un réseau n’est pas complètement opérationnel tant qu’il n’a pas
convergé.
Mise à jour de la table de routage
Lors d’une mise à jour de la table de routage, le routeur envoie tout le contenu
de sa table de routage à ses voisins.
Des modifications de la table de routage peuvent avoir pour plusieurs raisons :
• défaillance d’une liaison
• introduction d’une nouvelle liaison
• défaillance d’un routeur
• modification des paramètres d’une liaison
3 4
Minuteurs pour le protocole RIP
En plus du minuteur des mises à jour régulières (30 secondes), RIP possède trois
autres minuteurs :
• temporisation (Invalid Timer)
• annulation (Flush Timer)
• mise hors service (Holddown Timer)
Minuteur de temporisation (180 secondes) :
Si aucune mise à jour n’a été reçue pour une route existante dans les 180
secondes, la route est marquée comme non valide (valeur 16) mais est gardée
dans la table de routage jusqu’à expiration du minuteur d’annulation.
Minuteur d’annulation (240 secondes) :
Lorsque le minuteur d’annulation expire, la route est supprimée de la table de
routage.
Minuteur de mise hors service (180 secondes) :
Il a pour but de stabiliser les informations de routage et donc d’éviter des
boucles de routage.
Une fois marquée inaccessible, une route doit rester hors service suffisamment
longtemps afin que tous les routeurs de la topologie puissent le découvrir.
Les commande show ip route et show ip protocols indiquent le temps écoulé
depuis la dernière mise à jour ainsi que le moment auquel est prévu l’envoi de la
prochaine mise à jour.
Mises à jour déclenchées Boucles de routage

Pour accélerer la convergence en cas de modification de la topologie, le protocole Une boucle de routage correspond à la transmission en continu d’un paquet
RIP utilise une mise à jour déclenchée : elle est envoyée immédiatement par une série de routeurs sans qu’il puisse atteindre son réseau de destination.
après un changement sans attendre l’expiration du minuteur. Elle est envoyée
lors des changements suivants : Une boucle de routage peut résulter des problèmes suivants :

• une interface change d’état • une route statique incorrectement configurée

• une route passe à l’état inaccessible ou en sort • une table de routage incohérente
• une route est installée dans la table de routage
Une boucle de routage peut avoir un effet catastrophique sur un réseau. Elle
Deux types de problèmes sont liés aux mises à jour déclenchées : peut créer les conditions suivantes :

• un paquet de mise à jour peut être abandonné ou endom- • la bande passante d’une liaison est utilisée pour faire tourner
magé par une liaison le trafic en boucle
• une mise à jour déclenchée ne se produit pas instantanément, • le processeur est surchargé par le réacheminement inutile des
ce qui peut provoquer des boucles de routage. paquets, ce qui ralentit le trafic ainsi que la convergence
• les mises à jour de routage peuvent se perdre ou ne pas être
traitées à temps
• les paquets se perdent dans des trous noirs.
Protocole EIGRP : mises à jour limitées
Pour éviter ces boucles de routage, il est nécessaire de mettre en place divers
Le protocole EIGRP est une exception parmi les protocoles à vecteur de mécanismes :
distance : il n’envoie pas de mises à jour régulières.
• définition d’une mesure maximale pour éviter le comptage à
Il envoie à la place des mises à jour limitées en cas de modifications d’un l’infini
chemin et uniquement sur la route modifiée (mise à jour partielle). • minuteur de mise hors service
• empoisonnement de routage
• mises à jour déclenchées

Comptage à l’infini

Le comptage à l’infini se produit quand les mises à jour de routage inexactes

augmentent la valeur de la mesure jusqu’à l’infini lorsqu’un réseau est devenu
inaccessible.

Pour éviter cette incrémentation infinie de la mesure, on attribue une valeur

maximale de la mesure, ce qui correspond à un réseau inaccessible.

Dans le cas de RIP, la valeur maximale est 16.

5 6
Minuteurs de mise hors service
Dans un réseau instable :
• une mise à jour déclenchée peut provoquer une réaction trop rapide des
routeurs et donc une boucle de routage.
• des mises à jour déclenchées et régulières peuvent envoyer des informations
contradictoires et provoquer une boucle de routage.
Ainsi un minuteur de mise hors service empêche de rétablir une route désactivée
ou soupçonnée de l’être.
Fonctionnement du minuteur de mise hors service :
1. Un routeur reçoit une mise à jour lui indiquant qu’un réseau est devenu
inaccessible.
2. Le routeur marque ce réseau comme inaccessible et démarre le minuteur de
mise hors service.
3. Si une mise à jour est reçue concernant le réseau inaccessible avec une mesure
inférieure, alors le minuteur est arrêté et la route est établie.
4. Si une mise à jour est reçue concernant le réseau inaccessible avec une mesure
égale ou supérieure, alors la mise à jour est ignorée.
5. Bien que le réseau soit marqué inaccessible, les routeurs continuent d’y ache-
miner les paquets. Ceux–ci seront perdus si le réseau est réellement inaccessible.
Ce scénario permet aux informations correctes de se propager parmi tous les
routeurs.
7 8
Découpage d’horizon
Règle de découpage d’horizon : un routeur ne doit envoyer pas une mise
à jour concernant un réseau sur l’interface par laquelle il reçoit les mises à jour
du dit réseau.
Découpage d’horizon avec empoisonnement de route : un réseau
inaccessible est marqué avec la valeur maximale lors de l’envoi de mise à jour.
Cela accélère la convergence.
Découpage d’horizon avec empoisonnement inverse : lorsqu’un routeur
reçoit une mise à jour pour un réseau devenu inaccessible, il transmet cette
information sur toutes ses interfaces, y compris celle à l’origine du message, afin
de s’assurer que tous les routeurs ont bien reçu l’information.
Protocole IP et durée de vie (TTL)
La durée de vie est un champ de 8 bits dans l’en–tête IP qui limite le nom-
bre de sauts qu’un paquet peut effectuer à travers le réseau avant d’être supprimé.
Le but du champ TTL est d’éviter une circulation sans fin d’un paquet sur le
réseau.
La valeur du champ TTL est définie par le périphérique source et est réduite de
1 à chaque passage de routeur.
Si le valeur du champ TTL atteint 0 avant l’arrivée à destination, le paquet est
détruit et un message d’erreur ICMP est envoyé au périphérique source.
Protocole RIP version 1 (S2/C5) Configuration du protocole RIP

Protocole RIP Router(config)# (no) router rip

Le protocole RIP est le plus ancien des protocoles de routage à vecteur de On indique alors les réseaux directement connectés au routeur et participant au
distance. routage RIP :

RIP version 1 date de 1988 (par classe). Router(config-router)# network ad. res. par classe
RIP version 2 date de 1994 (sans classe).
RIPng pour le protocole IPv6 date de 1997. Vérification et dépannage

Les principales caractéristiques de RIP sont :
• l’utilisation du nombre de sauts comme mesure de sélection
d’un chemin
• si le nombre de sauts est supérieur à 15, il ne peut pas
fournir de route pour ce réseau
• les mises à jour de routage sont diffusées toutes les 30
secondes
• la distance administrative de RIP est 120.
La commande show ip interfaces (brief) permet de vérifier si les interfaces
sont activées.
La commande show ip route montre le contenu de la table de routage.
Les routes dynamiques annoncées par le protocole RIP sont indiquées dans la
table de routage avec la lettre R.
La commande debug ip rip affiche dynamiquement les mises à jour échangées
entre les routeurs.

Commande show ip protocols

Messages de RIP
Cette commande permet de voir sur le routeur pour chaque protocole de routage :
Le protocole RIP utilise deux types de messages :
• message de requête • le(s) protocole(s) de routage configuré(s)
• message de réponse • les interfaces qui envoient et reçoivent les mises à jour pour
un protocole activé
• les réseaux annoncés par le routeur
Lors du démarrage du routeur, chaque interface configurée sous RIP envoie un
• les voisins depuis lesquels le routeur reçoit des mises à jour.
message de requête à tous ses voisins RIP afin que ceux-ci lui envoie leur table
de routage dans un message de réponse.

Si une route est nouvelle, elle est insérée dans la table de routage.
Si la route existe déjà, elle remplace celle existante si le nombre de sauts est
plus petit.

Une fois la table de routage construite, le routeur envoie suite à des changements
de topologie, des mises à jour déclenchées.

RIP version 1 est un protocole de routage par classe : ses messages ne contiennent
pas d’informations de masque de sous-réseau.

1 2
Interfaces passives Exemple

L’envoi de mises à jour non nécessaires à une incidence sur le réseau. Le routeur R2 est appelé un routeur de périphérie car ses interfaces sont
dans des réseaux différents.
• le transport des mises à jour inutiles gaspillent de la bande
Le routeur R2 reçoit des mises à jour de R1 concernant le réseau 172.30.1.0/24.
passante.
Cette mise à jour est reçue sur une interface du routeur R2 appartenant au
• tous les périphériques présents sur le LAN vont traiter les
même réseau par classe que celui de la mise à jour entrante. Le routeur R2
mises à jour.
utilise le masque de sous–réseau de l’interface 172.30.2.2/24 pour déterminer
• les mises à jour peuvent être interceptées par un logiciel
celui du réseau 172.30.1.0.
d’analyse de paquets.
• les voisins depuis lesquels le routeur reçoit des mises à jour.
Lorsque le routeur R1 reçoit les mises à jour du routeur R2, celles-ci apparaissent
de la façon suivante dans la table de routage :
La commande passive interface permet d’arrêter les mises à jour inutiles :
• 192.168.4.0/24
Router(config)# router rip • 192.168.5.0/24
Router(config-router)# passive-interface fa0/0
Lorsque le routeur R3 reçoit les mises à jour du routeur R2, celles-ci apparaissent
Les mises à jour ne sont plus envoyées via fa0/0, par contre le réseau auquel de la façon suivante dans la table de routage :
appartient l’interface continue d’être annoncé dans les mises à jour partant des
autres interfaces du routeur. • 172.30.0.0/16

Résumé automatique des routes

Les règles suivantes régissent les mises à jour de RIP version1 :

• Si une mise à jour de routage et l’interface sur laquelle elle est reçue ap-
partiennent au même sous-réseau principal, le masque de sous-réseau de
l’interface est appliqué au réseau dans la mise à jour de routage.

• Si une mise à jour de routage et l’interface sur laquelle elle est reçue apparti-
ennent à deux réseaux principaux différents, le masque de sous-réseau par
classe est appliqué à ce réseau dans la mise à jour de routage.

RIP version envoie des résumés automatiques de route.

Avantages : les mises à jour sont moins volumineuses. Donc la bande passante
est moins sollicitée.

Inconvénients : RIP version 1 ne prend pas en charge les réseaux discontigus

puisque les mises à jour n’incluent pas les masques de sous-réseaux.

3 4
VLSM et CIDR (S2/C6)

Structure d’adressage par classe IPv4

Rappel : une adresse IP est découpée en deux parties

• partie réseau
• partie hôte
Dans les spécifications d’origine d’IPv4, trois classes d’adresses pour utilisateurs
ont été définies afin de s’adapter aux petites, moyennes et grandes entreprises :
classes A,B et C.
Chacune de ces classes a une taille de masque de réseau fixe.

Dès 1992, l’évolutivité exponentielle d’Internet montre qu’une pénurie d’adresses

IPv4 est à prévoir. Le phénomène est accéléré par le manque de flexibilité des
classes d’adresses.

En 1993, l’IETF introduit le routage interdomaine sans classe (CIDR) qui

permet :

• une utilisation plus efficace de l’espace d’adressage IPv4

• une agrégation du préfixe

CIDR utilise les masques de sous–réseau de longueur variable (VLSM)

pour allouer des adresses IP en fonction d’un besoin particulier.

L’utilisation de VLSM et des super réseaux nécessitent un protocole de routage

sans classe qui inclut le masque de sous–réseau dans la mise à jour de routage
(RIPv2, EIGRP, OSPF).

1
Protocole RIP version 2 (S2/C7) Configuration du protocole RIP version 2

Protocole RIP version 2 Par défaut, lorsque le protocole RIP est configuré sur un routeur, il exécute RIP
v1.
RIP version 2 est une protocole de routage sans classe, ce qui signifie que les
masques de sous-réseau sont inclus dans les mises à jour de routage. Un routeur qui envoie des mises à jour RIP v1, peut recevoir des messages
RIPv1 et RIPv2. Cependant, il ignore les informations de masque dans le second
De plus, RIP version 2 apporte les améliorations suivantes par rapport à RIP cas.
version 1 :
Pour activer RIPv2 :
Router(config)# router rip
• utilisation d’une adresse de multidiffusion pour l’envoi des
Router(config-router)# version 2
mises à jour (224.0.0.9)
• option d’authentification entre les routeurs
On indique alors les réseaux directement connectés au routeur et participant au
• adresse du tronçon suivant compris dans l’envoi des mises à
routage RIP :
jour.
Router(config-router)# network ad. res. par classe
Cependant RIPv1 et RIPv2 gardent en commun les fonctions suivantes :
La commande show ip protocols montre alors que le routeur envoie et reçoit
• minuteurs, découpage d’horizon (pour éviter les boucles de des mises à jour version2.
routage).
• mise à jour déclenchées en cas de modification de la topologie Pour rétablir RIPv1 :
(convergence plus rapide). Router(config)# router rip
• nombre de sauts maximum égale 15. Router(config-router)# version 1

1 2
Commande auto-summary

Par défaut, RIP v2 résume les routes dans la table de routage.

La commande show ip protocols indique :automatic summarization is in effect.

Pour désactiver le résumé automatique :

Router(config)# router rip
Router(config-router)# no auto-summary

La commande show ip protocols indique alors :automatic summarization is

not in effect.

Le protocole RIPv2 avec la commande no auto-summary prend en charge :

• VLSM
• les sous-réseaux discontinus.
• les routes de super réseau CIDR.

La commande debug ip rip permet de voir dynamiquement les échanges d’in-

formation sur les routes entre les routeurs voisins pour lesquels le protocole RIP
est activé.

3
Table de routage : examen détaillé (S2/C8) Routes parent et enfant : réseaux par classe versus sans classe

Table de routage On appelle route parent de niveau 1 une route de réseau qui ne contient pas
d’adresse IP de tronçon suivant, ni d’interface de sortie de réseau.
Les entrées dans la table de routage proviennent de : Une route parent est toujours accompagnée de route(s) enfant.

• réseaux directement connectés (C)
• routes statiques (S)
• protocoles de routage dynamique (R,D,O)
Afin d’accélerer le processus de recherche, la table de routage est constituée
des niveaux 1 et 2.
Une route de niveau 1 possède un masque de sous–réseau égal ou inférieur au
masque par classe de l’adresse réseau.
Exemples :
• route par défaut 0.0.0.0/0
• route par superréseau 192.168.0.0/22
• route de réseau (masque de sous-réseau égal à celui de la
classe)
Dans le cas des réseaux par classe, une route enfant de niveau 2 est
un sous–réseau d’une adresse réseau par classe. Elle peut être directement
connectée, statique ou dynamique :
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.3.0 is directly connected, FastEthernet 0/0
Dans le cas des réseaux sans classe, une route enfant ne partage pas le
même masque de sous–réseau que la route parent :
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.1.4/30 is directly connected, Serial 0/0/0
C 172.16.1.8/30 is directly connected, Serial 0/0/1
C 172.16.3.0/24 is directly connected, FastEthernet 0/0
Comportement de routage par classe ou sans classe

Une route de niveau 2 est un sous–réseau d’une adresse réseau par classe. Remarque : il ne faut pas confondre comportement de routage et protocole de
routage.
Une meilleure route est une route comportant :
Le comportement de routage est spécifié par la commande (no) ip classless
• une adresse IP du tronçon suivant en mode de configuration globale.
• et/ou une interface de sortie
Comportement de routage par classe : no ip classless
Comportement de routage sans classe : ip classless
Exemple :
Depuis l’IOS 11.3, le comportement par défaut est ip classless.
C 192.168.1.0/24 is directly connected, Serial 0/0/1
Ce comportement joue un rôle lorsque le routeur a trouvé dans la table de
routage la bonne route parent et recherche la bonne route enfant.

Que se passe-t-il en l’absence de la bonne route enfant ?

Dans le cas d’un comportement de routage par classe : le paquet est supprimé.

Dans le cas d’un comportement de routage sans classe : le routeur continue

sa recherche au niveau des super-réseaux (niveau 1) et le cas échéant une route
par défaut. Si aucune correspondance n’est trouvée, le routeur supprime alors le
paquet.

1 2
Protocole EIGRP (S2/C9)
EIGRP
EIGRP (Enhanced Interior Gateway Protocol) est un protocole de routage sans
classe, à vecteur de distance datant 1992.
EIGRP est une amélioration du protocole IGRP. Ces deux protocoles sont des
protocoles Cisco et fonctionnent uniquement sur du matériel Cisco.
EIGRP a une distance administrative de 90 (170 pour les routes externes), ce
qui en fait le protocole préféré par les routeurs Cisco. Le protocole EIGRP
s’appuie sur les fonctions suivantes :
• protocole RTP (Reliable Transport Protocol)
• mises à jour limitées
• algorithme DUAL
• établissement des contigüités
• tables de voisinage et de topologie
EIGRP utilise le protocole RTP pour la livraison et la réception de ses paquets.
RTP assure une livraison fiable ou non fiable selon le type de paquets EIGRP.
RTP envoie des paquets unicast ou multidiffusion (224.0.0.10).
1 2
Les types de paquets EIGRP
On distingue 5 types de paquets :
• Hello
• mises à jour
• ACK
• demande et réponse
Les paquets Hello : permettent de découvrir des voisins et de former des
contigüités avec ces voisins.
Les paquets de mise à jour : permettent de propager des informations de
routage. Ces paquets ne sont transmis qu’en cas de nécessité et seulement aux
routeurs qui ont besoin d’une information spécifique.
Les paquets de mise ACK : sont envoyées lorsque une livraison fiable est
utilisée.
Les paquets de demande et de réponse : sont utilisés par l’algorithme DUAL
principalement pour la recherche de réseaux.
Le protocole Hello
Les paquets Hello détectent les voisins et établissent des contigüités avec eux.
Sur les réseaux Ethernet un paquet Hello est envoyé toutes les 5 secondes.
Un routeur EIGRP suppose que tant qu’il reçoit des paquets Hello de son voisin,
ce dernier existe et ses routes sont valides.
Un temps d’attente est aussi défini, il équivaut à trois fois l’intervalle Hello,
donc 15 secondes sur les réseaux Ethernet. Si le temps d’attente expire, EIGRP
déclare la route invalide.
Les mises à jour EIGRP
Les mises à jour sont limitées et partielles.
Partielles : la mise à jour ne contient que les informations concernant une
modification de route et non la totalité de la table de routage.
Limitées : la mise à jour est envoyée uniquement aux routeurs affectés par le
changement.
Systèmes autonomes et ID de processus la commande show ip protocols

Un système autonome est un ensemble de réseaux étant sous le même contrôle
administratif ; il présente une stratégie de routage commune sur Internet.
Les numéros (32 bits) de systèmes autonomes (AS) sont affectés par l’IANA.Ils
sont demandés par les FAI, les grands organismes. Le protocole BGP utilise ces
numéros dans sa configuration.
EIGRP utilise un ID de processus (16 bits) lors de la configuration d’un processus
EIGRP sur un routeur.
Les routeurs doivent posséder le même ID de processus pour établir des
contigüités de voisinage et partager des informations de routage.
Cette commande permet de voir sur le routeur pour chaque protocole de routage :
• le(s) protocole(s) de routage configuré(s)
• les interfaces qui envoient et reçoivent les mises à jour pour
un protocole activé
• les réseaux annoncés par le routeur
• les voisins depuis lesquels le routeur reçoit des mises à jour.
Les interfaces passives

L’envoi de mises à jour non nécessaires à une incidence sur le réseau.

Configuration du protocole EIGRP

Router(config)# (no) router eigrp ID processus • le transport des mises à jour inutiles gaspillent de la bande
passante.
On indique alors les réseaux directement connectés au routeur et participant au • tous les périphériques présents sur le LAN vont traiter les
routage EIGRP : mises à jour.
• les mises à jour peuvent être interceptées par un logiciel
Router(config-router)# network ad. réseau. [ masque gén. ] d’analyse de paquets.
• les voisins depuis lesquels le routeur reçoit des mises à jour.
L’adresse réseau est donnée par classe et toutes les interfaces du routeur appar-
tenant à cette adresse de réseau sont activées pour EIGRP.
La commande passive interface permet d’arrêter les mises à jour inutiles :
Cependant, il est possible d’annoncer des sous-réseaux spécifiques avec l’option
du masque générique.
Router(config)# router eigrp
Router(config-router)# passive-interface fa0/0
Par défaut, EIGRP résume les routes dans la table de routage. Pour désactiver
le résumé automatique :
Les mises à jour ne sont plus envoyées via fa0/0, par contre le réseau auquel
appartient l’interface continue d’être annoncé dans les mises à jour partant des
Router(config-router)# no auto-summary
autres interfaces du routeur.

Vérification du protocole EIGRP

La commande show ip interfaces brief permet de vérifier si les interfaces sont

activées.

La commande show ip route montre le contenu de la table de routage.

Les routes dynamiques annoncées par le protocole EIGRP sont indiquées dans
la table de routage avec la lettre D.

La commande show ip eigrp neighbors liste les voisins avec lequel le routeur
a établi des contigüités.

3 4
La mesure composite EIGRP b

EIGRP utilise les valeurs suivantes dans sa mesure composite pour calculer le
chemin préféré vers un réseau :
• bande passante
• délai
• fiabilité
• charge

Par défaut, seuls la bande passante et le délai sont utilisés.

La commande show interface indique la valeur réelle des paramètres pour

chaque interface.

La bande passante : est une mesure statique (kbits/sec).

Pour la modifier :

Router(config-if)# bandwidth vitesse.

Le délai : indique le temps nécessaire à un paquet pour parcourir une route. Il

s’agit d’une mesure statique donnée en microsecondes.

La fiabilité : indique la fréquence d’erreurs sur une liaison. Il s’agit d’une

mesure dynamique qui varie entre 0 (minimale) et 255 (maximale).

La charge : mesure le volume de trafic sur la liaison. Il s’agit d’une mesure

dynamique qui varie entre 0 (minimale) et 255 (maximale). On distingue les
charges entrante et sortante.

Calcul de la mesure par défaut :

où

• la bande passante est la vitesse de la liaison la plus lente vers la destination.

• le délai est la somme des délais de chaque liaison de la route vers la destination.

La mesure de la route est affichée dans la table de routage.

5 6
Concepts DUAL
L’algorithme DUAL permet à EIGRP de déterminer :
• le meilleur chemin sans boucle
• les meilleurs chemins de secours sans boucle
Quelques définitions :
Un successeur est un voisin utilisé pour le transfert de paquets et constitue la
route à moindre coût jusqu’au réseau de destination.
La distance de faisabilité(FD) est la mesure la plus basse pour atteindre le
réseau de destination.
Un successeur potentiel (FS) est un voisin comportant un chemin de secours
sans boucle vers le même réseau que le successeur en satisfaisant à la condition
de faisabilité (FC).
La condition de faisabilité (FC) est remplie lorsque la distance annoncée
(RD) d’un voisin vers un réseau donné est inférieure à la distance de faisabilité
d’un voisin EIGRP vers le même réseau de destination.
La table topologique EIGRP répertorie tous les successeurs avec leur distance
de faisabilité et les successeurs potentiels avec leur distance annoncée que
l’algorithme DUAL a calculés vers les réseaux de destination.
La commande show ip eigrp topology permet de voir le contenu de la table
topologique EIGRP.
L’algorithme DUAL converge rapidemment après une modification de topologie
car il peut utiliser directement les successeurs potentiels sans avoir besoin de
recalculer les routes .
7 8
Table topologique de EIGRP
La lettre P indique que la route est dans un état passif, donc stable.
La lettre A indique que la route est dans un état actif, donc instable et un
calcul est en cours de route.
Pour obtenir plus d’informations sur une entrée de la table de topologie :
Router # show ip eigrp topology ad. réseau
La commande show ip eigrp topology all-links montre tous les chemins pos-
sibles vers réseau, donc :
• les successeurs
• les successeurs potentiels
• les autres routes qui ne sont pas des successeurs potentiels
Redistribution des routes statiques par EIGRP
La configuration d’une route par défaut ou d’une route statique est configurée
indépendamment d’un protocole de routage.
Si on souhaite les inclure dans un protocole de routage, on utilise la commande
redistribute static.
Lors de la redistribution d’une route par défaut, une passerelle de dernier
recours est définie dans la table de routage.
Protocoles de routage d’état des liaisons (S2/C10) Zones

Protocoles à état des liaisons Les protocoles de routage d’état des liaisons utilisent plusieurs zones afin de :

Ces protocoles sont aussi appelés protocoles SPF car ils sont conçus sur la base • réduire la taille de la base de données
de l’algorithme SPF de Dijkstra.
• limiter la quantité de données d’état de liaisons diffusées sur un domaine.
Exemples de protocoles à état de liaisons : OSPF, IS-IS
L’algorithme de Dijkstra cumule les coûts de chaque chemin depuis leur source • minimiser les effets sur la RAM, le CPU et la bande passante.
jusqu’à leur destination.

Pour atteindre un état de convergence, un routeur effectue les étapes suivantes :

1. Il prend connaissance de ses propres liaisons en détectant les réseaux qui lui
sont directement connectés.

2. Il est responsable de la détection de ses voisins par l’échange des paquets Hello.

3. Il créé un LSP dans lequel est indiqué l’état de chacune de ses liaisons.

4. Il diffuse son LSP à l’ensemble de ses voisins et stocke les LSP de ses voisins
dans une base de données.

5. Le routeur utilise sa base de données pour élaborer une carte complète de la

topologie et déterminer le meilleur chemin vers chaque réseau de destination.

Rappel : les LSP ne sont pas envoyés de façon périodique mais uniquement :

• lors du démarrage initial du routeur

• lorsque la topologie a été modifiée

Avantages des protocoles d’état de liaisons

Chaque routeur établit la topologie du réseau.

La convergence est rapide car chaque routeur envoie des LSP immédiatemment
après réception sans traiter d’abord les mises à jour de sa propre table de routage.

Il n’y a pas de mises à jour périodiques. Une mise à jour est envoyée lorsqu’un
changement de liaison se produit.

1 2
Protocole OSPF (S2/C11) Le protocole Hello

OSPF Chaque routeur envoie des paquets Hello, depuis ses interfaces OSPF, dans
lesquels figure l’ID du routeur.
Le protocole OSPF (Open Shortest Path First) a été développé par l’IETF. La réception d’un paquet OSPF confirme au routeur la présence d’un voisin.

OSPF version 1 date de 1989. Il s’agit d’un protocole expérimental, jamais Pour que deux routeurs puissent former une contiguité de voisinage OSPF, ils
déployé. doivent s’entendre sur trois valeurs :

OSPF version 2 date de 1991, avec une mise à jour en 1998. Il s’agit de la • l’intervalle Hello
version utilisée de nos jours. • l’intervalle Dead
• le type de réseaux
OSPF version 3 date de 1999, il s’agit de la version OSPF pour IPv6.

OSPF utilise les adresses de multidiffusion : 224.0.0.5 et 224.0.0.6.

L’algorithme OSPF
La distance administrative par défaut de OSPF est 110.
Chaque routeur contient une base de données d’état de liaisons contenant les
LSA reçus des autres routeurs.
Les types de paquets OSPF
L’OSPF utilise l’algorithme du plus court chemin (Dijkstra) pour créer une
On distingue 5 types de paquets : arborescence SPF.

Cette arborescence est alors utilisée pour fournir à la table de routage les
• Hello
meilleurs chemins vers chaque réseau.
• DBD
• LSR
• LSU/LSA
Configuration du protocole OSPF
• LSAck
Router(config)# (no) router ospf ID processus
Les paquets Hello : permettent de découvrir des voisins et de former des
contiguités avec ces voisins. où l’ID de processus varie entre 1 et 65535. Ce numéro n’a qu’une signification
locale. On indique alors les réseaux directement connectés au routeur et
Les paquets DBD : vérifient la synchronisation de la base de données entre participant au routage EIGRP :
les routeurs.
Router(config-router)# network ad. réseau. masque gén. area ID aire
Les paquets LSR : demandent un enregistrement spécifique de la DBD d’un
voisin. L’ID de l’aire fait référence à une zone OSPF correspondant à un groupe de
routeurs partageant des informations d’état de liaisons.
Les paquets LSU/LSA : répondent à une demande LSR ou envoient de Lorsqu’il n’y a qu’une seule zone : area 0
nouvelles informations.

Les paquets LSAck : accusent réception d’un LSU/LSA.

1 2
ID de routeur OSPF Commandes de dépannage

L’ID du routeur permet d’identifier chaque routeur de façon unique. Les commandes suivantes permettent de vérifier la configuration du protocole
OSPF et d’effectuer un dépannage si nécessaire :
L’ID est défini selon la priorité suivante :
• show ip protocols
1. L’adresse IP configurée avec la commande router-id. • show ip ospf
• show ip ospf interfaces
Router(config-router)# router-id adresse IP

2. Si l’adresse IP router-id n’est pas configurée ; l’adresse IP la plus élevée

parmi les interfaces de bouclage IP. Table de routage

3. Si aucune interface de bouclage n’est configurée ; l’adresse IP activée la plus
élevée parmi ses interfaces physiques.
L’ID du routeur est sélectionné lors de la configuration du protocole OSPF avec
la première commande network. Pour qu’une configuration ultérieure soit prise
en compte, il faut
La lettre O indique que la route est publiée par le protocole OSPF
Les interfaces de bouclage apparaissent dans la table de routage mais ne sont
pas annoncées par OSPF.
OSPF ne résume pas automatiquement les réseaux.

• recharger le router (reload) ou

• utiliser la commande clear ip ospf process
La commande show ip ospf neighbors permet de vérifier la contiguité des
voisins :
La mesure OSPF
La mesure OSPF est le coût. Plus le coût est faible, plus l’interface sera utilisée
pour acheminer des données.
Le coût d’une route correspond au cumul des bandes passantes des interfaces de
sortie depuis le routeur vers le réseau de destination.

Détermination du coût :

FULL signifie que le routeur et son voisin ont établi des bases de données d’état Rappel : La commande show interface int affiche la valeur de la bande
de liaisons OSPF identiques. passante utilisée par l’interface.

Deux routeurs ne peuvent pas établir une relation de contiguité si : La commande show ip ospf interface int affiche le coût.
• les masques de réseau ne correspondent pas
Il existe deux commandes pour modifier la bande passante d’une interface :
• les intervalles Hello ou Dead ne correspondent pas
• les types de réseau ne correspondent pas
Router(config-if)# bandwidth valeur (kb/s)
• la commande network est manquante ou incorrecte.
Router(config-if)# ip ospf cost valeur

3 4
Les réseaux à accès multiple
Un réseau à accès multiple est un réseau comportant plus de 2 périphériques sur
le même support partagé.
Un réseau point à point est constitué de 2 périphériques, un à chaque
extrémité.
Les LSA de OSPF présentent des difficultés pour des réseaux à accès multiples :
1. La création de contiguités multiples, une pour chaque paire de routeurs.
2. Une diffusion massive de LSA.
Pour éviter ce chaos, on utilise un routeur désigné (DR) ainsi qu’un routeur
désigné de secours (BDR) en cas de défaillance du DR. Tous les autres
routeurs deviennent des DROthers.
Les routeurs d’un réseau à accès multiple désignent un DR et un BDR. Les
DROthers constituent des contiguités de voisinage uniquement avec le DR et le
BDR.
Les DROthers envoient leurs LSA aux DR et BDR. Le DR s’occupe de trans-
mettre les LSA vers tous les routeurs.
5 6
Processus de sélection des DR/BDR
Rappel : La sélection des DR et BDR n’a pas lieu dans les réseaux point à point.
Les critères suivants sont appliqués.
1. le DR est le routeur avec la priorité d’interface OSPF la plus élevée.
2. le BDR est le routeur avec la priorité d’interface OSPF est la seconde valeur
la plus élevée.
3. si les priorités d’interface OSPF sont égales, c’est le routeur dont l’ID est le
plus élevé.
On définit la priorité d’une interface avec la commande :
Router(config-if)# ip ospf priority valeur [0–255]
Une fois le DR sélectionné, il le reste jusqu’à ce qu’une des situations suivantes
se présente :
• le DR tombe en panne
• le processus OSPF échoue sur le DR
• l’interface à accès multiple du DR ne fonctionne plus.
Le DR est le point central pour la collecte et la distribution des LSA.
Redistribution du routage OSPF par défaut
Afin que le protocole de routage OSPF redistribue la route statique par défaut,
il faut utiliser la commande suivante :
Router(config-router)# default-information originate
Conception d’un réseau local (S3/C1) Avantages d’un réseau hiérarchisé

Modèle de réseau hiérarchique Les avantages d’un réseau hiérarchisé sont :

On découpe le réseau en niveaux distincts appelés couches. • évolutivité

• redondance
Chaque couche fournit des fonctions spécifiques qui définissent son rôle dans le • perfomance
réseau. • sécurité
• maintenance
Le modèle hiérarchique est constitué de 3 couches :

Les éléments entrant en compte lors de la conception d’un modèle hiérarchique

• couche d’accès
sont :
• couche de distribution
• couche coeur de réseau
• diamètre du réseau
• agrégation de la bande passante
La couche d’accès sert d’interface avec les périphériques finaux. Elle fournit
• redondance
un moyen de connecter des périphériques au réseau et contrôle ceux qui sont
autorisés à communiquer sur le réseau.
Le diamètre du réseau correspond au nombre de périphériques que doit
La couche distribution gère le flux du trafic réseau à l’aide de stratégie. Elle traverser un paquet avant d’atteindre sa destination.
délimite les domaines de diffusion en utilisant des fonctions de routage entre les
VLAN. L’agrégation de la bande passante est la combinaison de plusieurs liaisons de
ports d’un switch, afin de bénéficier d’un débit plus élevé.
La couche coeur de réseau interconnecte les dispositifs réseau de la couche
distribution. Elle gère donc le réacheminement des paquets. Elle peut également La redondance d’un réseau s’obtient en doublant les périphériques ou en dou-
être connectée à Internet. blant les connexions entre les périphériques.

Dans les réseaux de petite taille, les couches distribution et coeur de réseau Réseau convergent
forment une seule couche.
La convergence d’un réseau correspond au processus d’association de commu-
nications vocale et vidéo sur un réseau.

Les réseaux convergents sont de plus en plus utilisés dans les petites et moyennes
entreprises.

Le principal avantage d’un réseau convergent est qu’il n’y a qu’un seul réseau à
gérer et non plus trois.

1 2
Fonctionnalités d’un switch Fonctions d’un switch

On distingue les connecteurs SSF (Switch Form Factors) suivants : Les fonctions d’un switch des couches ci–dessous sont les suivantes :

Couche d’accès :
• switches de configuration fixe
• switches modulaires
• switches empilables • sécurité des ports
• réseaux locaux virtuels (VLAN)
• Fast Ethernet / Gigabit Ethernet
Il n’est pas possible d’ajouter des fonctionnalités ou des options supplémentaires • power over Ethernet
à un switch de configuration fixe. • agrégation de liaisons
• qualité de service
Un switch modulaire est livré avec un chassis qui permet l’ajout de plusieurs
cartes d’interfaces modulaires. Couche distribution :

Les commutateurs modulables sont interconnectés à l’aide d’un câble de fond • prise en charge de la couche 3
de panier qui fournit un débit de bande passante élevé, entre eux. • débit de transfert élevé
• Gigabit Ethernet / 10 Gigabits Ethernet
• composants redondants
Performances d’un switch • stratégie de sécurité /liste de contrôle d’accès
• agrégation de liaisons
La performance d’un switch se mesure selon • qualité de service
• la densité de ports Couche coeur de réseau :
• le débit de transfert
• l’agrégation de bande passante • prise en charge de la couche 3
• débit de transfert élevé
La densité de ports correspond au nombre de ports disponibles sur le switch. • Gigabit Ethernet / 10 Gigabits Ethernet
• composants redondants
Le débit de transfert définit la capacité de traitement d’un switch, en mesurant • agrégation de liaisons
la quantité de données pouvant être traitées par un switch. • qualité de service
Deux dernières caractéristiques :

Power over Ethernet permet à un switch de fournir une alimentation à un

périphérique à travers le câblage Ethernet existant.

Fonctions de couche 3 : en général un switch fonctionne au niveau de la

couche liaison de données. Cependant il existe des switches de couche réseau qui
permettent de router le trafic et de mettre en place des stratégies de sécurité.

3 4
Concepts et configuration de base de la commutation (S3/C2) Monodiffusion, multidiffusion et diffusion Ethernet

Contrôle de l’accès aux supports avec Ethernet Il existe 3 types d’adresses MAC :

Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les • monodiffusion
collisions. • multidiffusion
• diffusion
Détection de signal : Avant d’envoyer un message, un périphérique écoute la
porteuse :
Monodiffusion : un périphérique envoie un message à un seul destinataire.
• Si aucun signal n’est détecté : le périphérique envoie son message.
Diffusion : un périphérique envoie un message à tous les périphériques du
domaine de diffusion.
• Si un signal est détecté : le périphérique attend un certain temps avant
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse
d’essayer à nouveau d’envoyer son message.
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Accès multiple : Si deux périphériques émettent en même temps, une collision
Multidiffusion : un périphérique envoie un message à un groupe de
peut se produire.
périphériques (groupe de multidiffusion).
Dès la détection de collision, les deux périphériques responsables de la collision
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
temps aléatoire– algorithme d’interruption.
correspondante.
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
Les 6 derniers nombres hexadécimaux correspondent à
périphériques se ne remettent pas à émettre en même temps, une période de
réémission aléatoire est activée sur chaque périphérique. • 1er bit : 0
• les 23 bits depuis la droite de l’adresse IP de multidiffusion

1 2
Concentrateurs et domaines de collisions
Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Ethernet peuvent atteindre.
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
autres ports.
Lorsqu’une collision survient, celle-ci se propage sur une partie du réseau appelé
domaine de collisions.
Les répéteurs et les concentrateurs propagent les collisions. Ils augmentent
donc la taille du domaine de collisions.
Latence : un signal met un certain temps à se propager le long du support. Ce
délai augmente la probabilité de survenance de collisions.
Commutateurs (switchs)
Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu-
tateur représente un seul domaine de collisions.
Lorsque tous les noeuds sont connectés directement au commutateur, celui
assure :
• une bande passsante dédiée sur tous les ports
• un environnement sans collision
• une transmission bidirectionnelle simultanée
Fonctionnement d’un commutateur
Un commutateur effectue un réacheminement sélectif. Pour ce faire, le
commutateur fait appel aux fonctions de base suivantes :
• l’apprentissage
• l’horodatage
• l’inondation
• le réacheminement sélectif
• le filtrage
3 4
Méthodes de transmission par commutateur
Un commutateur peut transmettre des trames selon différents modes :
• store and forward (stockage et retransmission)
• cut-through
Un commutateur store and forward reçoit la trame entière, calcule le CRC
et vérifie la longueur de la trame. Si les deux sont corrects, le commutateur
recherche l’adresse de destination qui détermine l’interface de sortie, puis
achemine la trame.
Un commutateur cut-through achemine la trame avant qu’elle ne soit
entièrement reçue. Au minimum, l’adresse de destination de la trame doit être
lue avant que celle-ci ne soit pas retransmise.
Il existe deux variantes du mode cut-trough : fast-forward et fragment-free.
La commutation fast-forward transmet le paquet immédiatement après la
lecture de l’adresse de destination et donc offre un temps de latence très bas. Il
s’agit du mode cut-trough le plus fréquent.
La commutation fragment-free stocke les 64 premiers bytes de la trame avant
la retransmission. Comme la plupart des erreurs et collisions arrivent avant le
64ème byte, cela permet de s’assurer qu’aucune collision ne s’est produite.
Certains commutateurs sont configurés en mode cut-through par port. Une fois
un seuil d’erreurs définis atteint, le port automatiquement en mode store and
forward. lorsque le nombre d’erreurs passe en dessous du seuil défini, le port
revient en mode cut-trough.
Mise en mémoire tampon
Le commutateur stocke la trame dans une mémoire tampon pendant une
courte période. Il existe deux types de mémoire tampon :
• axée sur les ports
• partagée
Une mémoire axée sur les ports : les trames sont stockées dans des files
d’attente liées à des ports entrants spécifiques.
Une mémoire partagée : toutes les trames sont stockées dans une mémoire
tampon commune à tous les ports du commutateur.
Commutations symétrique et asymétrique Mots de passe d’un commutateur

Il existe deux types de commutation : Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• symétrique • les lignes de terminal virtuel (vty)
• asymétrique • la ligne console
• le mode privilégié
Une commutation symétrique offre la même bande passante pour tous les ports.
Le mot de passe console :
Une commutation asymétrique offre une bande passante plus importante sur
un port afin d’éviter un goulot d’étranglement.
Switch(config)#line console 0
Switch(config-line)#password cisco
Un commutateur fonctionne au niveau de la couche 2 du modèle OSI : il filtre
Switch(config-line)#login
en se basant uniquement sur les adresses MAC.
Le mot de passe terminal :
Il existe également des commutateurs de couche 3 : il utilise aussi les adresses IP
pour prendre ces décisions. Il peut effectuer des fonctions de routage.
Un commutateur prend en charge généralement 16 lignes vty (numérotées de 0
à 15). Ces lignes permettent d’accéder à distance avec telnet au commutateur.
Séquence d’amorçage d’un commutateur
Switch(config)#line vty 0 15
Le commutateur charge le bootloader depuis la NVRAM. Switch(config-line)#password cisco
Switch(config-line)#login
Le bootloader :
Le mot de passe pour le mode privilégié :
• initialise le CPU
Il existe deux commandes pour configurer un mot de passe pour le mode
• effectue le POST privilégié :

• initialise le système de fichiers flash Switch(config)#enable password cisco

Switch(config)#enable secret class
• charge l’IOS dans la RAM.
Il est préférable d’utiliser enable secret car le mot de passe est crypté.
L’IOS est exécuté à l’aide du fichier config.text stocké dans la flash. Afin que les mots de passe apparaissent sous forme cryptée dans les fichiers de
configuration, on utilise la commande :
Le bootloader permet d’accéder au switch si l’IOS n’est pas utilisable. Il permet,
par l’intermédiaire de la ligne de commande, d’accéder aux fichiers stockés dans Switch(config)#service password-encryption
la flash. Cela permet, entre autres, de récupérer un mot de passe perdu.

Nom du commutateur

Il est important d’attribuer un nom unique à un dispositif :

Switch(config)#hostname nomswitch

5 6
Configuration de l’interface de gestion d’un commutateur Configuration SSH

Les interfaces physiques d’un switch ne possèdent pas d’adresses IP et sont SSH (Secure Shell) fournit une communication sécurisée pour configurer des
actives par défaut. périphériques à distance.
Cependant, tous les IOS ne prennent pas en charge SSH. Dans ce cas, il est
Pour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une nécessaire d’utiliser Telnet.
adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Etape 1 :
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau On configure un nom d’hôte et un domaine hôte :
Switch(config-if)#no shutdown
Switch(config-if)#exit Switch(config)# hostname S1
S1(config)# ip domain-name mydomain.com
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut. Etape 2 :

Switch(config)#ip default-gateway adresse IP On crée un nom d’utilisateur et un mot de passe :

Switch(config)#exit
S1(config)# aaa new-model
Gestion de base du commutateur S1(config)# username admin secret class

Pour enregistrer la configuration en cours dans la configuration de démarrage Etape 3 :

du commutateur :
On active le serveur SSH sur le switch et on génère une paire de clés RSA :
S1(config)# copy running-config startup-config
S1(config)# crypto key generate rsa
ou
Remarque : Pour supprimer les clés RSA :
S1(config)# copy system:running-config flash:startup-config
S1(config)# crypto key zeroize rsa
Pour afficher la table d’adresses MAC (statiques et dynamiques) d’un commu-
tateur : Etape 4 :

S1# show mac-address-table Pour permettre uniquement les connexions SSH :

S1(config)# line vty 0 15

S1(config-line)# transport input ssh

Pour permettre les connexions telnet et SSH :

S1(config-line)# transport input all

Pour voir les connexions :

S1# show ssh

7 8
Récupération de mot de passe du commutateur
• Eteignez le switch. Rallumez-le en maintenant enfoncé le bouton MODE
jusqu’à ce que la LED de l’interface fa 0/1 s’éteigne.
Le prompt suivant s’affiche alors : switch :
• Entrez les commandes suivantes :
flash init
load helper
• Renommez alors le fichier de configuration :
rename flash:config.text flash:config.text.old
• Amorcez le système : boot
• A la question : ”Continue with the configuration dialog ? ”, répondez
négativement.
• Entrez en mode enable (sans mot de passe).
• Renommez le fichier de configuration d’après son nom d’origine :
rename flash:config.text.old flash:config.text
• Copiez le fichier de configuration dans la mémoire :
copy flash:config.text system:running-config
• Changez le mot de passe.
• Sauvegardez le fichier de configuration :
copy running-config startup-config
• Rechargez le commutateur : reload
9 10
Menaces fréquentes en termes de sécurité
Les attaques les plus fréquentes sur les commutateurs sont :
• inondation d’adresses MAC
• attaques par mystification
• attaques CDP
• attaques Telnet
• attaque de mot de passe en force
L’inondation d’adresses MAC : submerge la table d’adresses MAC avec de
fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme
un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante
peut voir alors les trames transmises vers l’hôte qu’il souhaite attaquer.
L’attaque par mystification :
Première méthode :
Un périphérique pirate se fait passer pour un serveur DHCP et fournit dans sa
réponse à une requête DHCP sa prore adresse comme adresse de passerelle. Il
transmet à son tour les trames à destination voulue et de ce fait peut passer
complètement inaperçu.
Seconde méthode :
Un périphérique pirate demande en permanence des adresses IP auprès d’un
véritable serveur DHCP. Tous les baux sont alors alloués et les véritables clients
ne peuvent plus obtenir une adresse DHCP.
Pour parer à de telles attaques, on utilise la surveillance DHCP qui détermine
les ports du commutateur qui sont en mesure de répondre à des requêtes DHCP
avec la commande ip dhcp snooping.
L’attaque CDP : CDP est un protocole propriétaire cisco qui détecte tous les
périphériques voisins ; il est activé par défaut. Il donne des informations sur le
périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de
désactiver le protocole CDP.
Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.
L’attaque de mot de passe en force : un pirate commence par utiliser
des mots de passe courants, puis des combinaisons de caractères pour tenter
de deviner un mot de passe et effectuer une connexion sur le commutateur.
Il est donc important d’avoir un mot de passe fort et de le modifier régulièrement.
Configuration de la sécurité des ports Adresse MAC sécurisée rémanente

Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis
rassembler des informations ou de mener des attaques sur le réseau. enregistrée dans le running-config.

La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur S1(config)# interface fa0/15
un port. Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une S1(config-if)# switchport mode access
violation de sécurité se produit. S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : S1(config-if)# switchport port-security sticky
S1(config-if)# end
• adresses MAC sécurisées statiques
• adresses MAC sécurisées dynamiques De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques
• adresses MAC sécurisées rémanentes suivantes :

• l’utilisation de la commande switchport port-security sticky convertit

Une adresse MAC sécurisée statique est configurée manuellement à l’aide toutes les adresses MAC utilisées sur le port, y compris rétroactivement et les
de la commande de configuration d’interface : ajoute toute dans le running-config.

S1(config)# interface fa0/15 • l’utilisation de la commande no switchport port-security sticky efface les
S1(config-if)# switchport mode access adresses MAC sécurisées rémanentes du running-config mais les garde dans la
S1(config-if)# switchport port-security table d’adresses MAC.
S1(config-if)# switchport port-security mac-addressad. MAC
S1(config-if)# end

L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée
dans le running-config.

Une adresse MAC sécurisée dynamique est récupérée dynamiquement et

stockée uniquement dans la table d’adresses MAC. L’adresse est supprimée au
redémarrage du switch.

S1(config)# interface fa0/15

S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end

11 12
Modes de violation de sécurité Vérification de la sécurité des ports

On considère qu’il y a violation de sécurité lorsque l’une des situations
suivantes se présente :
• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle
adresse MAC tente d’accéder à l’interface.
Pour vérifier les paramètres de sécurité des ports :
S1# show port-security [interface fa0/15 ]
Pour vérifier les adresses MAC sécurisées :

• une adresse MAC statique ou dynamique associée à une interface tente S1# show port-security address [interface fa0/15 ]
d’accéder à une autre interface dans le même réseau.

Il existe trois modes de violation configurable sur une interface : Désactivation des ports inutilisés

Une méthode simple pour sécuriser un commutateur est de désactiver les ports
• protect
inutilisés avec la commande shudown.
• restrict
• violation
Pour les IOS plus récents, il est possible de désactiver plusieurs ports en même
temps avec la commande :
protect : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur
le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont S1(config) # interface range fa 0/2 - 8
ignorées. Aucun message de notification n’est envoyé. S1(config-if)# shutdown

restrict : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur

le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont
ignorées. Un message syslog est envoyé.

shutdown : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur

le port et une nouvelle adresse MAC tente d’envoyer des trames. Le port est
immédiatement désactivé et un message syslog est envoyé. Le port peut être
réactivé manuellement avec la commande no shutdown.
Par défaut, les paramètres de la sécurité des ports sont les suivants :

• sécurité des ports : désactivée

• nombre maximal d’adresses MAC sécurisées : 1
• mode de violation : shutdown
• apprentissage des adresses rémanentes : désactivé

13 14
Présentation des locaux privés virtuels (S3/M3) VLAN 1

Par défaut, le VLAN 1 est le VLAN de gestion du switch.

Les VLANs
Le VLAN 1 ne peut pas être supprimé.
Un VLAN est un groupement logique d’unités et d’utilisateurs.
Pour que le switch soit accessible via telnet ou ssh depuis le réseau, il est
Une unité appartenant à un VLAN peut uniquement communiquer avec des nécessaire de lui attribuer un adresse IP (et une passerelle par défaut).
unités appartenant au même VLAN.
Switch(config)#interface vlan 1
Il est possible de faire communiquer des unités de différents VLANs en utilisant Switch(config-if)#ip address ad. IP masque sous-réseau
un routeur effectuant du routage interVLAN.
Switch(config)#ip default-gateway ad. IP
Les principaux avantages d’un réseau local virtuel :

• sécurité Ports du switch

• réduction des coûts
• meilleures performances Par défaut, tous les ports d’un switch appartiennent au VLAN 1
• atténuation des tempêtes de broadcast (VLAN de gestion).
Pour attribuer une interface à un VLAN autre que le VLAN 1 :

Configuration de VLAN Switch(config)# interface fa numero interface

Switch(config-if)# switchport mode access
Un VLAN prend un identifiant entre 1 et 1001. Switch(config-if)# switchport access vlan numero vlan
Switch(config-if)# end
Pour créer un VLAN :
Remarque : lorsqu’un VLAN est supprimé, tous les ports lui étant affectés
Switch(config)# (no) vlan numero vlan deviennent inactifs mais lui restent associés jusqu’à ce qu’ils soient associés à un
Switch(config-vlan)# name nom vlan nouveau VLAN.
Switch(config-vlan)# end
Vérification de la configuration
Sur un switch 3500, la configuration des VLANs est un peu différente :
Les commandes suivantes permettent de vérifier les VLAN existants sur le
Switch# vlan database switch :
Switch(vlan)# vlan numero vlan name nom vlan
• show vlan
Switch(vlan)# end
• show vlan brief
• show vlan id numero vlan
Les VLANs sont stockés dans le fichier vlan.dat dans la mémoire flash.

1 2
Effacement la configuration de base (Catalyst 2900) Configuration d’un trunk

Avant de commencer la configuration d’un commutateur, il est important de Switch(conf)# interface no port
s’assurer que la configuration précédente est bien effacée. Switch(conf-if)# switchport mode trunk

Les informations sur les VLAN configurés sont contenues dans le fichier vlan.dat Si le VLAN 1 n’est pas le VLAN natif :
stocké dans la mémoire flash. Pour effacer ce fichier :
Switch(conf-if)# switchport trunk native vlan numero vlan
Switch#delete flash:vlan.dat
Sur les switches 3500, on spécifie en plus le type d’encapsulation :
Pour effacer le fichier de configuration :
Switch(conf-if)# switchport mode encapsulation dot1q
Switch#erase startup-config
Finalement, pour vérifier le type d’un port (access/trunk)
Puis, pour recharger le commutateur :
Switch(conf)# show interface numero port switchport
Switch#reload

Routage inter–vlan
L’agrégation des LAN virtuels
La communication entre vlan n’est possible qu’avec l’utilisation d’un routeur.
Une agrégation est une connexion logique et physique entre deux switches par
lequel le trafic réseau est acheminé. Elle est obtenue en utilisant

Une agrégation prend donc en charge plusieurs VLAN sur la même connexion
• une connexion physique
et permet ainsi d’économiser des ports.
• une connexion logique
Des protocoles d’agrégation ont été développés afin de gérer le passage physique
de plusieurs VLAN sur une unique connexion physique. entre le routeur et un switch.

Il existe deux types d’agrégation : Une connexion physique : chaque vlan est associé à une interface physique
sur le routeur.
• ISL
• IEEE 802.1Q Une connexion logique : une seule interface physique est utilisée sur le routeur
pour tous les vlan. L’interface physique est ”divisée” en sous-interfaces logiques.
Chaque sous–interface logique correspond à un vlan.
mais aujourd’hui seul le protocole IEEE 802.1Q est utilisé.
Configuration de sous–interfaces logiques
Un VLAN natif est affecté à un port d’agrégation 802.1Q ; il s’agit par défaut
du VLAN de gestion : le VLAN 1.
Router(config)# interface fa no port.no sous-int
Une étiquette est placée dans l’en-tête de chaque trame au moment où celle-ci
Router(config-subif)# encapsulation dot1Q numero vlan
rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette
avant de transmettre la trame à l’hôte destinataire.
Router(config-subif)# ip address ad ip masque ss–réseau
Exception : Les trames du VLAN natif ne sont pas étiquetées.

3 4
Protocole VTP (S3/M4)
Le protocole VTP
Plus le nombre de switches augmente dans une entreprise, plus il est difficile de
gérer les VLAN et les agrégations.
Le protocole VTP (Virtual Trunking Protocol) permet à un administrateur
de configurer un switch (serveur) qui propagera ses configurations VLAN aux
autres switches du domaine.
Le protocole VTP mémorise les configurations VLAN dans la base de données
VLAN des switches : vlan.dat.
Composants-clés VTP
Un domaine VTP est composé d’un ou plusieurs switches interconnectés. Tous
les switches partagent les détails de configuration VLAN. Un routeur ou un
switch L3 limite le domaine.
Une annonce VTP est utilisée par le protocole VTP pour échanger les
configurations VLAN entre les switches du domaine.
Les modes VTP : un switch peut être en mode serveur, client ou transpa-
rent.
Serveur VTP :
• un VLAN peut être créé, supprimé ou renommé pour tout le domaine.
• il stocke les informations VLAN pour l’ensemble du domaine dans la NVRAM.
• il annonce aux autres switches du domaine les paramètres VLAN.
• il s’agit du mode par défaut d’un switch.
Client VTP :
• il n’est pas possible de créer, modifier ou supprimer des VLAN.
• il stocke uniquement les informations VLAN du domaine pendant qu’il est
sous tension.
Transparent VTP :
• il transmet les annonces VTP aux clients et aux serveurs VTP.
• il ne participe pas au protocole VTP.
• un VLAN créé, renommé ou supprimé est uniquement associé à ce switch et
n’a donc qu’une signification locale.
1 2
Configuration VTP par défaut
La configuration VTP par défaut d’un switch est
• Version VTP = 1
• VTP domain name = null
• Mode vtp = Server
• Revision Config = 0
• VLAN = 0
Version VTP : le protocole comporte 3 versions : 1,2 et 3. Une seule version
est autorisée dans un domaine VTP.
Version VTP :
A chaque configuration est associé un numéro, appelé numéro de révision.
A chaque changement de configuration (création, suppression, changement de
nom d’un vlan), le numéro de révision est incrémenté de un.
Si un commutateur reçoit une mise à jour avec un numéro de révision supérieur
au numéro de la configuration utilisée, il remplace sa configuration par la
nouvelle configuration.
Pour afficher les paramètres VTP sur un switch : show vtp status
L’élagage VTP
L’élagage VTP augmente la bande passante disponible sur le réseau en
limitant les transmissions diffusées sur les liaisons agrégées que le trafic doit
utiliser pour atteindre les périphériques de destination. Cela permet donc
d’éviter l’inondation superflue d’informations.
L’élagage n’est pas activé par défaut. Il est activé avec la commande vtp
pruning sur le switch VTP serveur du domaine.
Lorsque l’élagage est activé sur un réseau, il reconfigure les liaisons agrégées en
fonction des ports configurés avec les VLAN.
Configuration VTP

1. Avant d’installer un switch dans un nouveau domaine, il est vivement

conseiller de remettre son numéro de révision à 0.

Première possibilité :

Le switch est remis dans sa configuration initiale :

Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload

Seconde possibilité :

Le switch est changé de domaine, puis remis dans le domaine initial (cf
commande plus loin). Dans ce cas le numéro de révision est remis à 0, mais les
VLAN déjà présents sont conservés.

2. On définit le mode du switch

Switch(config)# vtp mode {client|server|transparent}

Par défaut, un switch est en mode serveur.

3. On configure alors le nom de domaine

Switch(config)#vtp domain nom domaine

4. Pour des raisons de sécurité, on peut configurer un mot de passe :

Switch(config)# vtp password mot de passe

5. Pour configurer la version du protocole VTP :

Switch(config)# vtp version { 1| 2| 3}

3
Protocole STP (S3/M5) Algorithme STA

Le protocole STP utilise l’algorithme Spanning Tree (STA) pour déterminer

Protocole STP quels ports doivent être bloqués.

Le réseau informatique d’un entreprise est un composant essentiel. Il est donc
nécessaire de mettre en oeuvre une redondance qui assure la disponibilité du
réseau. Cependant cette redondance crée des boucles dans le trafic qui doivent
être gérées dynamiquement.
Le protocole STP (Spanning Tree ou arbre recouvrant) garantit l’unicité du
chemin logique entre toutes les destinations sur le réseau en bloquant les chemins
redondants susceptibles d’entrainer la formation d’une boucle.
Il désigne un switch comme pont racine qu’il utilise comme point de référence
pour le calcul de tous les chemins.
Une fois le pont racine déterminé, l’algorithme STA calcule le chemin le plus
court entre un switch donné et le pont racine.
Meilleur chemin

Boucles de couche 2
Lorsqu’il existe plusieurs chemins entre 2 switches et que le protocole STP est
désactivé, une boucle de couche 2 peut se former.
Les trames Ethernet n’ont pas de TTL et ne sont pas arrêtées. Elles continuent
donc à circuler indéfiniment d’un switch à l’autre jusqu’à ce qu’une liaison
soit interrompue ou un switch mis hors tension.
L’algorithme STA détermine le meilleur chemin vers le pont racine à partir de
chaque switch du domaine.
Le meilleur chemin est déterminé par la somme des différents coûts de ports
entre un switch donné et le pont racine. La somme la plus basse est préférée.
Les coûts définis par l’IEEE sont les suivants :

Par défaut les trames de diffusion sont transmises sur tous les ports (excepté le • 10 Gb/s : 2
port d’origine). Si la trame peut emprunter plusieurs chemins, une boucle sans • 1 Gb/s : 4
fin peut se créer et les trames se multiplient.Cette multiplication progressive des • 100 Mb/s : 19
trames produit une tempête de diffusion. • 10 Mb/s : 100

Une tempête de diffusion se produit quand toute la bande passante est Pour vérifier le coûts des chemins et des ports vers le pont racine, on utilise la
consommée par les trames de diffusion ce qui provoque un dysfonctionnement commande show spanning-tree .
du réseau et des périphériques finaux.

Lorsqu’un hôte est pris dans une boucle, les autres hôtes ne peuvent plus y
accéder et les trames de monodiffusion finissent par tourner en boucle.

Lorsque des trames de monodiffusion sont envoyées sur des réseaux comportant
des boucles, des trames en double peuvent parvenir à la destination finale.

1 2
Unité BPDU Rôle des ports

L’unité BPDU est la trame de message échangée par les switches dans le cadre Il existe 4 rôles distincts de ports de switch ; ils sont automatiquement configurés
du protocole STP. durant le processus STP.

Chaque BPDU contient un identificateur (BID) de switch qui identifie le switch

• port racine
ayant envoyé la trame.
• port désigné
• port non désigné
L’identificateur de switch contient 3 champs :
• port désactivé

• valeur de priorité
Le port racine existe uniquement sur des ponts non racines. Il s’agit du port
• ID du système étendu
du switch offrant le meilleur chemin vers le pont racine. Un seul port racine est
• adresse MAC du switch
autorisé par switch.

Chaque champ du BID est utilisé lors du processus de sélection du pont racine.
Le switch qui possède la valeur de priorité la plus basse a la priorité la plus
élevée.
La valeur de priorité par défaut est 32768.
La plage des valeurs de priorité varie entre 1 et 65536, par incrément de 4096.
La valeur 1 correspond à la priorité la plus élevée.
Le port désigné existe sur les ponts racines et non racines.
Sur le pont racine : tous les ports sont des ports désignés.
Sur le pont non racine : le port désigné est celui qui transmet les trames vers le
pont racine.
Un seul port désigné est autorisé par segment.
Le port non désigné est un port qui est bloqué. Il ne transmet pas de données.

L’ID du système étendu contient la valeur de l’ID du vlan auquel la trame L’algorithme Spanning Tree détermine le rôle de port affecté à chacun des ports
BPDU est associée. d’un switch.
La valeur d’ID du système étendu est ajoutée à la valeur de priorité du switch.

Lorsque deux switches sont configurés avec la même priorité et possèdent le

même ID de système étendu, le switch dont l’adresse MAC est la plus faible
possède le BID le plus faible.

Configuration du BID

Pour configurer le BID :

Switch(conf)#spanning-tree vlan id vlan priority valeur

Pour être sur que le switch a bien la valeur de priorité la plus basse :

Switch(conf)#spanning-tree vlan id vlan root-primary

puis, si nécessaire :

Switch(conf)#spanning-tree vlan id vlan root-secondary

3 4
Processus de convergence du protocole STP Etats des ports STP

Le processus de convergence du protocole STP se décompose en trois parties : Pour faciliter l’apprentissage et la construction de l’arbre, chaque port d’un
switch passe par 5 états possibles et trois minuteurs :
• désignation d’un pont racine
Les 5 états possibles sont :
• désignation des ports racines
• sélection des ports désignés et non désignés
• blocage
• écoute
Désignation d’un pont racine :
• apprentissage
• acheminement
Tous les switches du domaine participent au processus d’élection.
• désactivation
Une fois allumé, le switch envoie des trames BPDU contenant son BID. Le
switch avec le BID le plus bas remporte l’élection et devient le pont racine.
Blocage : Le port est un port non désigné qui ne participent pas à l’achemine-
Désignation des ports racines : ment des trames mais il reçoit les trames BPDU.

Le port ayant le coût de chemin global le plus faible devient le port racine.
Lorsque deux ports ont le même coût de chemin le plus faible vers le pont racine,
on utilise la valeur de priorité de port ou l’ID de port la plus faible si les valeurs
de priorité sont les mêmes.
Pour configurer la priorité du port fa0/1 :
Switch(conf)#interface fa0/1
Switch(config-if)#spanning-tree port-priority valeur
La plage des valeurs de priorité des ports varie 0 à 240, par incrément de 16. La
valeur de priorité de port par défaut est 128.
Ecoute : le protocole STP a déterminé que le port peut participer à l’achemi-
nement des trames. Il reçoit les trames BPDU.
Apprentissage : Le port se prépare à participer à l’acheminement et commence
à enricher la table d’adresses MAC.
Acheminement : Le port est considéré comme intégré à la topologie active ; il
achemine les trames, il envoie et reçoit des trames BPDU.
Désactivation : Le port ne participe pas à la topologie active et n’achemine
aucune trame. Il est désactivé administrativement.

Désignation des ports désignés :

Le pont racine configure tous ses ports en tant que ports désignés.

Lorsque deux switches sont connectés au même segment, ils doivent élire le port
désigné et le port non désigné. Pour ce faire, le port désigné est celui qui a le
coût de chemin de plus faible. Si les deux ports ont le même coût de chemin,
les deux switches échangent leurs BID respectifs. Celui qui a le BID le plus bas
obtient le port désigné.

5 6
Minuteurs BPDU

La durée pendant laquelle un pont reste dans les différents états dépend des
minuteurs BPDU :

On distingue 3 types de minuteurs :

• Hello Time
• Forward Delay
• Max Age

Le minuteur Hello Time correspond à l’intervalle entre chaque envoi de

trames BPDU sur un port. Sa valeur par défaut est de 2 secondes.

Le minuteur Forward Delay correspond au temps passé dans l’état d’écoute

et l’état d’apprentissage. Sa valeur par défaut est de 15 secondes.

Le minuteur Max Age détermine la durée maximale de conservation des infor-

mations des BPDU par un port de switch. Sa valeur par défaut est de 20 secondes.

Le processus de détermination des rôles des ports intervient en même temps que
le processus de sélection du pont racine et de désignation des ports racines.
Par conséquent, les rôles de ports désignés et non désignés peuvent changer
plusieurs fois durant le processus de convergence et ce tant que le pont racine
final n’a pas été déterminé.

Technologie PortFast

Lorsqu’un port d’accès est configuré en PortFast, il passe directement de l’état

de blocage à l’état d’ acheminement sans passer par les autres étapes.
Ceci permet à un serveur ou une station de se connecter immédiatement au
réseau sans attendre la fin de la convergence du Spanning Tree.

Pour configurer le port Fa0/1 en PortFast :

Switch(conf)#interface fa0/1
Switch(config-if)#spanning-tree portfast

7
Routage entre réseaux locaux virtuels (S3/M6)
Les VLANs
Quelques rappels :
Un VLAN est associé à un sous–réseau unique
Deux hôtes appartenant à des VLAN distincts ne peuvent pas communiquer
Il existe cependant un moyen de les faire communiquer : le routage inter–VLAN.
Routage inter–VLAN
Le routage inter–VLAN est un processus d’acheminement du trafic réseau
d’un VLAN à l’autre à l’aide d’un routeur.
Il existe deux méthodes de routage inter–VLAN :
• le routage inter-VLAN traditionnel
• le routage inter-VLAN (router on a stick)
Routage inter–VLAN traditionnel
Chaque interface sur le routeur est connectée à un VLAN distinct.
Chaque interface du routeur est configurée avec une adresse IP appartenant
au VLAN particulier auquel elle est connectée. Elle est donc la passerelle du
VLAN.
L’interface physique du routeur doit être connectée sur le switch adjacent en
mode accès.
1 2
Routage inter–VLAN (router on a stick)
Afin de surmonter les limitations matérielles du routage inter–VLAN basé sur
les interfaces physiques du routeur, on utilise
• des liaisons agrégées
• des sous–interfaces virtuelles
Une sous–interface est une interface virtuelle affectée à une interface physique.
L’interface physique du routeur doit être connectée à une liaison agrégée sur le
switch adjacent.
Sur l’interface physique, une sous–interface est créée pour chaque VLAN.
Chaque sous–interface reçoit une adresse IP spécifique au sous–réseau dont elle
fait partie. De plus, elle est configurée pour les trames d’étiquette VLAN pour
le VLAN auquel elle appartient.
Il existe deux méthodes pour configurer une interface physique et ses sous–
interfaces virtuelles.
Première méthode
On configure l’interface physique avec l’adresse ip du VLAN 1 (natif) :
Router(config)# interface fa0/0
Router(config-if)# description vlan1
Router(config-if)# ip address ad-ip masque-ss–réseau
Router(config-if)# no shut
Puis, on configure les autres VLAN sur les sous-interfaces :
Router(config)# interface fa0/0.num-sous-int
Router(config-if)# description vlan-num
Router(config-subif)# encapsulation dot1Q num-vlan
Router(config-subif)# ip address ad ip masque ss–réseau
Seconde méthode

Tous les VLAN, y compris le VLAN 1 (natif) sont configurés sur des sous–
interfaces.

On commence par configurer le VLAN 1 :

Router(config)# interface fa0/0.1

Router(config-subif)# encapsulation dot1Q 1 native
Router(config-subif)# ip address ad ip masque ss–réseau

Puis les autres VLAN :

Router(config)# interface fa0/0.num-sous-int

Router(config-if)# description vlan-num
Router(config-subif)# encapsulation dot1Q num-vlan
Router(config-subif)# ip address ad ip masque ss–réseau

Remarque : il ne faut pas oublier d’activer (no shut) l’interface physique.

3
Concepts et configuration de base d’un réseau sans fil (S3/M7) Normes de réseaux sans fil

La norme 802.11 définit la façon dont les radio fréquences dans les bandes
Comparaison entre les réseaux filaires et sans fil de fréquence ISM sans licence sont utilisées par la couche physique et la
sous-couche MAC.
La norme IEEE des réseaux informatiques est la norme 802 LAN/MAN.
Les deux principaux groupes de travail sont : On distingue 4 normes :
• 802.11 a : OFDM/5 GHz/54 Mb/s
• 802.3 : réseau local Ethernet • 802.11 b : DSSS/2.4 GHz/11 Mb/s
• 802.11 : réseau local sans fil
• 802.11 g : OFDM/2.4 GHz/54 Mb/s
• 802.11 n : OFDM-MIMO/5 GHz ou 2.4 GHz / > 200 Mb/s
Les périphériques connectés aux réseaux sans fil sont généralement des appareils pour deux flux
mobiles alimentés par batterie. Les cartes réseaux sans fil tendent à réduire
cette autonomie. Il existe trois types de modulation :
Les réseaux locaux sans fil utilisent un format de trame différent de celui des • amplitude
réseaux locaux Ethernet filaires. • fréquence
• phase
La norme prescrit l’évitement de collision plutôt que la détection de collisions.
Le protocole utilisé est le CSMA/CA. Les débits de données sont affectées par la technique de modulation. Les tech-
niques de modulation les plus fréquentes sont :
Les réseaux locaux sans fil posent davantage de problème en matière de
confidentialité, puisque les ondes radio ne sont pas confinées à l’intérieur d’un • Etalement du spectre en séquence directe (DSSS)
câble mais rayonnent parfois même jusqu’à l’extérieur d’un bâtiment. • Répartition orthogonale de la fréquence (OFDM)

Un réseau local sans fil 802.11 constitue généralement une extension d’un LAN
Ethernet 802.3.
Certification wireless

Les trois organismes ayant le plus de poids pour la mise en place de normes de
réseaux locaux sans fils sont :

• ITU-R
• IEEE
• Wi-Fi Alliance

L’ITU-R régit l’attribution des bandes RF

L’IEEE spécifie la façon dont les radiofréquences sont modulées pour la

transmission des informations

La Wifi Alliance s’assure que les fournisseurs fabriquent des périphériques

interopérables.

1 2
Composants d’une infrastructure sans fil
Une carte réseau sans fil code un flux de données sur un signal RF selon la
technique de modulation définie.
Un point d’accès sans fil est un périphérique de couche 2. Il permet de relier
des clients sans fil à un réseau filaire.
Un point d’accès assure une fonction de coordination à l’aide du protocole
CSMA/CA. Une station qui souhaite émettre doit attendre que le support
soit disponible avant d’envoyer des données.
Lorsqu’un point d’accès reçoit des données en provenance d’un client, il lui
envoie un ACK. L’ACK indique au client qu’aucune collision ne s’est produite
et qu’il ne doit pas retransmettre les données.
Un routeur sans fil (Linksys WRT 320n) joue les rôles de
• point d’accès
• switch
• routeur
Il est généralement utilisé chez les particuliers et les petites entreprises. Il est
capable de gérer des réseaux 802.11 et 802.3 ainsi que d’assurer une connexion à
un fournisseur d’accès Internet.
3 4
Fonctionnement sans fil
Un SSID (Service Set Identifier) est un identificateur unique qu’utilisent les
clients pour distinguer plusieurs réseaux sans fil dans un même voisinage.
Un SSID peut être utilisé par plusieurs points d’accès dans un même voisinage.
La norme IEEE 802.11 établit un modèle de découpage en canaux pour
l’utilisation des bandes RF ISM sans licence dans les réseaux locaux sans fil.
La bande 2.4 GHz est découpée en 11 canaux pour l’Amérique du Nord et 13
canaux pour l’Europe. Il existe un chevauchement entre les canaux successifs.
Lorsque plusieurs points d’accès sont proches, il est fortement préconisé d’utiliser
des canaux sans chevauchement (par exemple : 1,6,11). Beaucoup de points
d’accès sélectionnent automatiquement un canal en fonction de l’utilisation des
canaux adjacents.
Il existe différentes topologies pour les réseaux sans fil :
• ad-hoc (IBSS)
• ensemble de services de base (BSS)
• éventail de services étendus (ESS)
Un réseau ad-hoc fonctionne sans point d’accès. Les 2 hôtes communiquent
directement entre eux.
Un réseau BSS est constitué d’un point d’accès et de clients. Le point d’accès
est le point central du réseau et toutes les communications passent par lui.
Un réseau ESS est constitué de plusieurs points d’accès. Dans ce contexte, un
BSS se distingue d’un autre par son BSSID. Les ondes de chaque point d’accès
couvre une cellule qui correspond à un seul canal. Deux cellules doivent avoir
un chevauchement de 10 % à 15 %.
Association du client au point d’accès Protocoles de sécurité sans fil

Des trames Beacon sont diffusées régulièrement par le point d’accès. Elles A l’origine, la norme 802.11 avait établi deux types d’authentification : ouverte
permettent à un client de détecter la présence d’un réseau sans fil dans une zone (sans authentification) et WEP (Wired Equivalent Privacy).
donnée. Le protocole WEP a montré des failles et des fournisseurs ont mis au point leur
propre système de sécurité.
Le processus d’association 802.11 a lieu en trois étapes :
La Wi-Fi alliance a proposé la méthode WPA (Wi-Fi Protected Access) comme
Etape 1 : Analyse 802.11 solution intermédiaire en remplacement du WEP.
WPA est un protocole basé sur le protocole WEP renforcé avec l’algorithme
Le client envoie une requête d’analyse avec ou sans SSID. Le point d’accès TKIP (Temporal Key Integrity Protocol).
envoie une réponse à la requête d’analyse.
WPA2 est un algorithme plus robuste que WPA. Il est basé sur le chiffrement
Remarque : un réseau avec un SSID non diffusé ne répond pas à une requête AES. Il correspond à la norme 802.11i.
d’analyse sans SSID indiqué.
Le mode PSK (pre-shared key ou personal mode) a été concu pour les réseaux
Etape 2 : Authentification 802.11 domestiques ou de PME qui ne peuvent pas se permettre d’utiliser une serveur
d’authentification 802.11x. Dans ce cas, tous les utilisateurs et le point d’accès
Premier mécanisme : authentification ouverte partagent la même phrase secrète.

Second mécanisme : authentification basée sur une clé partagée dont le but Selon les points d’accès, les protocoles WPA ou WPA2 n’apparaissent pas en
est d’assurer un niveau de confidentialité équivalent à celui d’un connexion filaire. option. A la place, on trouve :

Etape 3 : Association 802.11 • PSK ou PSK2 avec TKIP = WPA

Cette étape valide les options de sécurité et débit entre le client et le point • PSK ou PSK2 avec AES = WPA2
d’accès.
Une fois que le client est associé, l’échange de trafic peut commencer. • PSK2 sans méthode spécifiée = WPA2

5 6
Authentification de l’accès au réseau local sans fil Configuration de base d’un point d’accès

La norme IEEE 802.11x spécifie les protocoles d’authentification. • On commence par effectuer un reset sur le point d’accès en appuyant sur le
petit bouton prévu à cet effet.
Dans un réseau domestique, il n’y a soit pas d’authentification ou soit une
authentifcation par clé partagée commune à tous les clients. • On connecte le PC avec un câble Ethernet droit au point d’accès.

Dans le cadre de réseau d’entreprise, les exigences de sécurité sont plus strictes
et l’authentification des clients a lieu par un serveur. Ce processus d’authentifi-
cation est géré par le protocole EAP (Extensible Authentication Protocol). Il
est constitué des étapes suivantes :
• Le client s’associe avec le point d’accès.
• Le point d’accès bloque toutes les trames de données sauf le trafic 802.11x.
• Les trames 802.11x acheminent les paquets d’authentification EAP vers un
serveur d’authentification.
• Si l’authentification EAP aboutit, le serveur d’authentification envoie un mes-
sage de réussite au point d’accès qui autorise alors le trafic de données du client.
• Le point d’accès possède par défaut l’adresse IP 192.168.1.1 ; on attribue
donc au PC une adresse IP dans le réseau 192.168.1.0/24.
• On lance alors un browser Web et on rentre dans le champ d’adresse
192.168.1.1.
• Un écran de login apparait avec un champ utilisateur et un champ mot de
passe : on laisse le premier champ vide et on renseigne le second avec le mot
admin.
• On rentre alors dans le mode Setup afin de définir les configurations de
couche 3.
• On rentre dans le mode wireless pour définir le SSID ainsi que le chiffrement.

Contrôle d’accès au réseau local sans fil

Afin de renforcer le dispositif de sécurité, on agit sur 3 niveaux :

• masquage du SSID

• filtrage d’adresses MAC

• sécurité WPA ou WPA2

Remarquons tout de même que le masquage SSID et le filtrage d’adresses MAC

ne sont pas des moyens fiables de sécuriser un réseau.

7 8
Présentation des réseaux étendus (S4/C1) b

Présentation des réseaux étendus

Un réseau étendu est un réseau de communications de données qui fonctionne

au-delà d’un LAN. Il utilise :

• des services d’opérateurs tels que des compagnies de

téléphone, de câbles, de systèmes satellite
• divers types de connexions série pour permettre l’accès à la
bande passante.

Modèle hiérarchique

Le modèle hiérarchique simplifie la conception et la construction d’un réseau.

Il est constitué par trois couches :

• couche d’accès
• couche de distribution
• couche coeur de réseau

La couche d’accès permet à un utilisateur d’accéder aux réseaux local et distant.

Dans une entreprise, il s’agit généralement de switches.

La couche distribution segmente les groupes de travail et filtre les paquets.

La couche coeur de réseau commute les paquets le plus rapidemment posssible.

1 2
Modules de l’architecture d’entreprise b

On distingue les modules d’architecture suivants :

Le campus d’entreprise est un bâtiment ou un groupe de bâtiments situé

dans une zone géographique spécifique et connecté à un réseau d’entreprise.

La périphérie d’entreprise fournit une connectivité aux services vocaux,

vidéos et de données extérieurs à l’entreprise. Il donne accès au réseau étendu.

La succursale d’entreprise permet d’étendre les applications et les services

présents sur le campus vers des utilisateurs ou des succursales distants.

Le centre de calcul d’entreprise assure la gestion et la mise à jour des

systèmes informatiques de l’entreprise.

Le télétravailleur d’entreprise utilise les ressources de l’entreprise depuis son

domicile. Il utilise de préférence un modem câble ou DSL pour se connecter via
Internet à l’entreprise et un VPN pour assurer la confidentialité des données.

Concepts de la couche physique de réseau étendu

Une entreprise ou un particulier doit s’abonner à un fournisseur de services de

réseau étendu pour accéder à Internet.

La terminologie utilisée pour décrire les connexions de réseau est :

Equipement d’abonné (CPE) : Périphériques et câbles situés chez l’abonné.

Equipement terminal de traitement de données (DTE) : Périphérique

client qui transmet les données depuis le réseau du client. Le DTE est connecté
à la boucle locale par l’intermédiaire du DCE.

Equipement de communication de données (DCE) : Périphérique qui

place les données sur la boucle locale.

Boucle locale : liaison qui connecte l’équipement de l’abonné au central

téléphonique du fournisseur de services.

Point de démarcation : Point établi pour séparer les équipements du client

et du fournisseur ; il indique l’endroit où la responsabilité du client s’arrête et
celle du fournisseur commence.

Central téléphonique (CO) : Installation du fournisseur de services dans

lequel les câbles téléphoniques locaux relient les lignes de communication grande
distance.

3 4
Périphériques de réseau étendu b

Les réseaux étendus utilisent de nombreux périphériques pour assurer une

connexion sur l’extérieur :

Un modem à fréquence vocale convertit les signaux numériques d’un ordi-

nateur en fréquence vocale qui peuvent être transmises via une ligne analogique
du réseau de téléphone publique.

Les modems câble et DSL fournissent des transmissions plus rapides grâce à
des fréquences de bande passante plus élevée.

CSU/DSU : Les lignes numériques d’opérateur T1 et T3 ont besoin d’un CSU

et d’un DSU qui souvent sont combinés en une seule unité.

Le CSU fournit la terminaison pour le signal numérique et la correction des

erreurs.

Le DSU convertit les trames des lignes T en trames pouvant être interprétées
par le réseau local (et réciproquement).

Un serveur d’accès concentre les communcations entrantes ou sortantes

(analogique ou numérique) et peut prendre en charge des centaines d’utilisateurs.

Un commutateur de réseau étendu est utilisé par un opérateur pour com-

muter du trafic de type Frame Relay, ATM ou X.25.
Un commutateur de réseau téléphonique public est utilisé pour RNIS ou une
connexion analogique.

Un routeur permet de se connecter au réseau du fournisseur de services. Ces

interfaces peuvent être de type série ou nécessiter un périphérique externe tels
qu’un DSU/CSU ou un modem.

Un routeur de coeur de réseau réside sur le réseau étendu et transmet des

paquets IP à une vitesse optimale.

5 6
Formats d’encapsulation de trames de réseau étendus
La trame est constituée des champs suivants :
• indicateur
• en-tête : adresses, contrôle, protocole
• données
• FCS
• indicateur
Le champ indicateur de départ et de fin est constitué des 8 bits : 01111110.
Dans l’en–tête :
Le champ d’adresses n’est pas requis car il s’agit de connexion point à point
mais reste présent.
Le champ de contrôle indique si la trame contient des informations de contrôle
ou des données.
Le champ protocole indique le protocole réseau utilisé.
Le FCS (séquence de contrôle de trame) contient le checksum.
Concepts de commutation de réseau étendu
On distingue 2 types de commutation :
• commutation de circuits
• commutation de paquets
Un réseau à commutation de circuits établit un circuit entre la source et la
destination avant que les utilisateurs puissent communiquer. Le chemin interne
emprunté par le circuit est partagé par un certain nombre de conversations.
Ce partage se fait par l’intermédiaire d’un multiplexage temporal. Il assure
qu’une capacité fixe soit mise à disposition de l’abonné.
Remarque : les données informatiques s’adaptent mal à ce type de commuta-
tion.
7 8
Réseau à commutation de paquets
Un réseau à commutation de paquets fractionne les données de trafic en
paquets acheminés sur un réseau partagé. Il existe deux approches :
• liaison sans connexion
• liaison avec connexion
Liaison sans connexion : chaque paquet contient des données d’adressage
complètes. Chaque commutateur utilise l’adresse destinataire pour acheminer le
paquet.
Liaison avec connexion : chaque liaison est prédéterminée. Chaque paquet
l’empruntant n’a besoin que d’un identificateur. Le commutateur détermine la
route à suivre en recherchant l’identificateur dans des tables en mémoire.
Un circuit virtuel est un circuit logique établi au sein d’un réseau entre deux
périphériques réseau. Il existe deux types de circuits virtuels :
• circuit virtuel permanent (PVC)
• circuit virtuel commuté (SVC)
Un circuit virtuel permanent est établi de façon permanente entre deux
périphériques. Il est utilisé pour des transmissions constantes et est généralement
configuré par le fournisseur de services.
Un circuit virtuel commuté est établi de façon dynamique, sur demande et
utilisé pour des transmissions intermittentes. Cette commutation s’effectue en
trois phases :
• établissement du circuit
• transfert des données
• fermeture du circuit
Connexion dédiée : ligne louée
Une ligne louée offre une connexion dédiée permanente.
Le port série d’un routeur est requis pour chaque ligne louée. ainsi qu’une unité
DSU/CSU pour accéder aux services du fournisseur d’accès de réseau étendu.
Leur prix dépend de la bandee passante et de la distance entre les 2 points de
connexion.
Une telle liaison est coûteuse mais n’a pas de latence et offre une disponibilité
constante.
Il existe différents types de ligne dont :
• E1 et E3 (2.048 Mb/s et 34 Mb/s) pour l’Europe.
• T1 et T3 (1.544 Mb/s et 44 Mb/s) pour les Etats-Unis.
9 10
Options de connexion à commutation de circuits
Accès commuté analogique
Les modems et les lignes téléphoniques commutées analogiques fournissent des
connexions de faible capacité et dédiées.
Le modem module les données binaires en un signal analogique à la source et
démodule ce signal en données binaires une fois arrivé à destination (56 Kbits/s).
Avantages : simplicité, disponibilité et coût faible.
Inconvénients : faible débit, temps de connexion relativement long.
RNIS (Réseau numérique à intégration de services)
Le réseau RNIS transporte des signaux numériques sur la boucle locale.
La connexion utilise des canaux Bearer à 64Kbits/s (B) pour transporter la
voix ou les données et un canal Delta de signalisation (D)pour le contrôle.
On distingue deux types d’interface RNIS : BRI et PRI.
BRI : est constitué de 2 canaux B et d’un canal D (16 Kbits/s).
Ce type de connexion est destiné aux utilisateurs individuels et aux petites
entreprises.
PRI : est constitué de 23 ou 30 canaux B et d’un canal D (64 Kbits/s).
Ce type de connexion est destiné aux plus grandes entreprises.
La durée d’établissement de la communication est inférieure à une seconde.
La connexion autorise plusieurs conversations vocales en plus du trafic de
données.
Le connexion peut être utilisée comme ligne backup ou pour fournir une capacité
supplémentaire ponctuelle en cas de surcharge.
Options de connexion de réseau étendu à commutation de paquets
Les technologies de commutation de paquets les plus utilisées sont : Frame
Relay, ATM et X.25
X.25 est un protocole de couche réseau. Un circuit virtuel peut être établi ; il
est identifié par un numéro de canal. Plusieurs canaux peuvent être actifs sur
une seule connexion. Les réseaux X.25 sont remplacés par d’autres technologies
telles que le Frame Relay, ATM et ADSL.
Frame Relay (Relais de trames) est similaire à X.25 quoique plus simple car
aucun contrôle de flux ou d’errreur n’est implémenté ; il focntionne au niveau de
la couche liaison de données. La plupart des circuits virtuels sont permanents et
identifiés à l’aide d’un DLCI.
ATM (Asynchronous Transfert Mode) est fondée sur une architecture à cellules
de longueur fixe (53 octets) ce qui la rend bien adaptée au transport du trafic vo-
cal et vidéo. ATM offre des circuits virtuels permanents ou commutés et accepte
plusieurs circuits virtuels sur une seule connexion.
11
Options de connexion Internet
Les options de connexion à large bande sont utilisées pour connecter des
télétravailleurs à leur entreprise par Internet.
Services à large bande :
DSL : fournit une connexion permanente en utilisant les lignes téléphoniques
existantes. Un modem DSL convertit un signal Ethernet provenant d’un
périphérique utilisateur en signal DSL transmis au central téléphonique.
Plusieurs lignes d’abonnés DSL sont multiplexées en une liaison unique à haute
capacité au moyen d’un multiplexeur d’accès DSL (DSLAM) dans les locaux du
fournisseur d’accès.
Modem câble : le câble coaxial utilisé dans le cadre des réseaux de télévision
câblée peut offrir une connexion réseau permanente.
Le modem câble convertit les signaux numériques en fréquence à large bande
utilisée pour la transmission télévisée. Tous les abonnés locaux partagent la
même bande passante.
Sans fil à large bande :
Wi-Fi municipal : réseau sans fil d’une ville fournissant un accès Internet à
haut débit.
WiMAX correspond à la norme IEEE 802.16. Elle fonctionne comme la
technologie WiFi mais à une vitesse plus élevée, sur un plus grande distance et
pour pour un plus grand nombre d’utilisateurs.
Internet par satellite : utilisé plutôt dans les zones rurales où d’autres types
de connexion sont absents. Une antenne parabolique fournit la communication
à un système de satellites.
12
Technologie de réseau privé virtuel

Un réseau privé virtuel est une connexion cryptée entre des réseaux privés sur
un réseau public comme Internet.
Les avantages d’un VPN sont :

• économique
• sécurité
• extensibilité
• compatibilité avec la technologie à large bande

Il existe deux types d’accès de réseau privé virtuel :

• réseaux privés virtuels de site à site

• réseaux privés virtuels à accès à distance

Sélection d’une connexion de liaison de réseau étendu

Lors de la sélection d’une connexion de liaison de réseau étendu, il est nécessaire

de se poser les questions suivantes :

• Quel est l’objectif du réseau étendu ?

• Quelle est la portée géographique ?
• Quelles sont les exigences du trafic ?
• Le réseau étendu doit-il utiliser une infrastructure privé ou
publique ?
• Un réseau étendu privé doit-il être dédié ou commuté ?
• Pour un réseau étendu public, quel type d’accès de rśeau
privé virtuel est requis ?
• Quelles options de connexion sont disponibles localement ?
• Combien coûtent les options de connexion disponibles ?

13
Protocole PPP (S4/C2) b

Liaisons série point à point

Connexion série : les informations circulent sur un fil, un bit de données à la

fois. Il y a donc un fil pour un sens et un autre fil pour l’autre sens. Les autres
fils sont utilisés pour le contrôle de flux d’informations.

Connexion parallèle : les informations circulent sur plusieurs fils simul-

tanément.

Une connexion parallèle souffre de :

• distorsion d’horloge
• diaphonie

Multiplexages temporel et statistique

Le but du multiplexage est de maximiser la quantité de trafic (vocal) transporté

sur un support.

Le multiplexage temporel divise la bande passante d’une liaison unique en

canaux séparés ou tranches de temps. Les canaux utilisent la liaison à tour de
rôle. Il fonctionne au niveau de la couche 1.

Inconvénient : si le trafic est intermittent, la tranche de temps reste vide et

aucun autre périphérique émetteur ne peut en profiter.

Le multiplexage statistique utilise une longueur de temps variable permettant

à des canaux de convoiter les espaces disponibles (identificateurs nécessaires).

Exemples de multiplexage :

ISDN utilise le multiplexage temporel synchrone. ISDN BRI comporte trois

canaux : deux canaux B à 64Kbits/s (B1 et B2) et un canal D à 16Kbits/s. Le
multiplexage temporel présente neuf tranches de temps.

La norme SONET (Synchronous Optical Network)(Amérique du Nord) ou

SDH utilise le multiplexage pour le transport optique.

1 2
Point de démarcation b

Rappel : Un point de démarcation est un point établi pour séparer les

équipements du client et du fournisseur ; il indique l’endroit où la responsabilité
du client s’arrête et celle du fournisseur commence.

Selon les pays, ce point de démarcation ne se situe pas au même endroit. Ainsi,
aux Etats-Unis il se situe sur la boucle locale. Dans les autres pays, il se trouve
après le DTE.

DTE et DCE

Une connexion série possède à une extrémité un périphérique DTE et à l’autre

extrémité un périphérique DCE.
Le DTE est l’équipement d’abonné. Il s’agit généralement d’un routeur. Il
peut aussi s’agir d’un PC, d’une imprimante directement connecté au réseau du
fournisseur de service.

Le DCE est un modem ou une unité CSU/DSU. Cet équipement permet de

convertir les données du DTE en une forme compatible avec la liaison de trans-
mission du fournisseur.
Deux types de câble existent :

Un câble pour connecter un DTE à un DCE qui par défaut sont deux types
d’équipement distincts.

Un câble null-modem pour connecter deux routeurs ou deux PC entre eux ; ils
sont par défaut des équipements DTE.
Cependant, lors d’une connexion série synchrone, il est tout de même nécessaire
d’avoir un signal d’horloge. Dans ce cas, l’un des DTE joue le rôle de DCE.

Protocoles d’encapsulation de réseau étendu

Sur chaque connexion de réseau étendu, des données doivent être encapsulées
dans des trames avant d’atteindre la liaison de réseau étendu. Le choix du
protocole dépend de la technologie de réseau étendu et de l’équipement de
communication. Les protocoles de réseau étendu les plus utilisés sont :

• HDLC
• PPP
• Serial Line Internet Protocol
• X.25
• Frame Relay
• ATM

3 4
Encapsulation HDLC Architecture en couches

HDLC est un protocole de la couche liaison de données synchrone orienté-binaire Couche physique : PPP peut être déployé sur un support synchrone ou
développé par l’ISO. asynchrone.

HDLC utilise un délimiteur de trame pour marquer le début et la fin de chaque Couche liaison de données : LCP s’occupe d’établir, de configurer et de
trame. tester la connexion point à point. Une fois la ligne établie, il s’occupe, si
demandé, de l’authentification, la compression et la détection des erreurs
Cisco a développé une extension du protocole HLDC permettant de prendre en
charge plusieurs protocoles. Couche physique NCP agit principalement à ce niveau de modèle OSI.
Plusieurs protocoles réseau peuvent fonctionner sur la même liaison. Pour
Configuration : chacun d’eux, PPP utilise un NCP différent.

R1(config)#interface serial 0/0

R1(config-if)#encapsulation hdlc Etablissement d’une session PPP

Protocole PPP L’établissement est constitué de 3 phases :

HDLC est la méthode d’encapsulation par défaut des liaisons série sur les routeurs
Cisco.
La version HDLC de Cisco est propriétaire ; par conséquent, on utilise le
protocole PPP lorsque une routeur Cisco et un autre routeur non Cisco sont
connectés entre eux par l’intermédiaire d’un câble série.
Phase 1 : LCP établit la liaison et négocie les paramètres de configuration.
Phase 2 : LCP détermine la qualité de la liaison (facultatif).
Phase 3 : NCP négocie la configuration du protocole de couche réseau.

Le protocole PPP présente de nombreux avantages sur HDLC :

• non propriétaire
• qualité de la liaison
• authentification

Les trois composants principaux du protocole PPP sont :

• HDLC qui assure l’encapsulation des paquets

• LCP (Link Control Protocol)
• NCP (Network Control Protocol)

5 6
Commandes de configuration PPP Configuration de PAP

Pour configurer une interface série avec le protocole PPP : Configuration sur le routeur R1 :

R1#configure terminal Router#configure terminal

R1(config)#interface serial 0/0 Router(config)#hostname R1
R1(config-if)#encapsulation ppp R1(config)#username R2 password cisco2
R1(config)#interface serial 0/0
Pour configurer la compression sur PPP : R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R1(config-if)#compress [predictor | stac] R1(config-if)#ppp pap sent-username R1 password cisco1

Pour spécifier le seuil de qualité de la liaison : Configuration sur le routeur R2 :

R1(config-if)#ppp quality pourcentage Router#configure terminal

Router(config)#hostname R2
Si le pourcentage de la qualité de la liaison n’est pas maintenu, alors la liaison R2(config)#username R1 password cisco1
est désactivée. R2(config)#interface serial 0/0
R2(config-if)#encapsulation ppp
Pour équilibrer le charge sur plusieurs liaisons : R2(config-if)#ppp authentication pap
R2(config-if)#ppp pap sent-username R2 password cisco2
R1(config-if)#ppp multilink

Protocole d’authentification PAP Protocole d’authentification CHAP

PAP est un protocole bidirectionnel ayant lieu en deux étapes et qui n’utilise pas
le chiffrement : les noms d’utilisateur et mot de passe sont envoyés en clair. S’ils
ont acceptés, la connexion est autorisée. L’authentification a lieu une seule fois.
Le nom d’hôte d’un routeur doit correspondre au nom d’utilisateur configuré
sur l’autre routeur.
Le protocole PAP procède à une seule authentification lors de l’établissement
de la connexion, le protocole CHAP effectue des vérifications régulières pendant
l’existence de la liaison.
Le routeur R1 souhaite établir une connexion CHAP avec le routeur R2.
Une fois l’établissement de la liaison terminée, un échange en trois étapes a lieu :

Demande CHAP : R1 demande une confirmation à R2.

Réponse CHAP : R2 répond en envoyant son nom d’utilisateur et son mot de

passe à R1.

Plus précisément : R2 répond par une valeur hachée en MD5, basé sur le mot
de passe et le message de demande de confirmation

Finalisation CHAP : R1 compare ceux-ci avec ceux de sa base de données.

S’ils sont identiques, il accepte la connexion ; sinon il la refuse.

Plus précisément : R1 compare la réponse hachée avec son proche calcul de la

valeur hachée attendue.

7 8
Configuration de CHAP

Configuration sur le routeur R1 :

Router#configure terminal
Router(config)#hostname R1
R1(config)#username R2 password cisco
R1(config)#interface serial 0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap

Configuration sur le routeur R2 :

Router#configure terminal
Router(config)#hostname R2
R2(config)#username R1 password cisco
R2(config)#interface serial 0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap

9
Protocole Frame Relay (S4/C3) Circuits virtuels

Frame Relay Un circuit virtuel désigne une connexion logique entre deux DTE par un
réseau Frame Relay.
Frame Relay est un protocole de réseau étendu qui agit au niveau des couches
physique et liaison de données du modèle OSI. On distingue deux types de circuits virtuels :

Ce protocole est utilisé par les fournisseurs d’accès pour transmettre des signaux • le circuit virtuel commuté (SCV)
vocaux et numériques entre réseaux locaux par l’intermédiaire d’un réseau • le circuit virtuel permanent (PVC)
étendu.
Un circuit virtuel peut passer par un nombre quelconque de commutateurs du
Frame Relay est un protocole de réseau étendu très répandu car il est de faible
réseau Frame Relay.
coût par rapport aux lignes dédiées et d’une grande flexibilité.
Un circuit virtuel est identifié par un indicateur de connexion de liaison
A la fin des années 70, des sites distants étaient généralement reliés en utilisant
de données appelé DLCI. Il est généralement attribué par le fournisseur de
le protocole X. 25. Ce protocole permettait d’obtenir une connexion très fiable
service Frame Relay et a uniquement une signification locale.
sur des infrastructures câblées non fiables grâce à un contrôle de flux et d’erreurs.
Le DLCI est stocké dans le champ d’adresse de chaque trame indiquant ainsi où
Frame Relay, le remplaçant de X.25, demande moins de temps de traitement que
la trame doit être acheminée.
X.25 car il ne fournit pas de corrections d’erreurs. La propagation des données
est donc très rapide.
La valeur d’un DLCI varie entre 16 et 1007.
Lorsque Frame Relay est utilisé pour connecter des réseaux locaux, le DTE sur
Le réseau Frame Relay est statistiquement multiplexé. Cela signifie qu’il ne
chacun des réseaux est un routeur, le commutateur Frame Relay est un DCE.
transmet qu’une trame à la fois, mais que plusieurs connexions logiques peuvent
coexister sur la même ligne physique. Ainsi, chaque point d’extrémité ne nécessite
qu’une ligne d’accès et une interface.

Encapsulation Frame Relay

Frame Relay reçoit un paquet de la couche réseau. Il lui adjoint un champ

d’adresse et une somme de contrôle. Finalement, des champs d’indicateur
de début et de fin de trame sont ajoutés. La trame est alors passée à la couche
physique.

Le champ d’adresse contient le DLCI (les FECN, BECN et DE).

La somme de contrôle est calculée puis insérée dans la trame par la source. Le
destinataire recalcule le FCS. Si les résultats sont identiques, il traite la trame,
sinon il l’abandonne.

1 2
Topologies Frame Relay Interface de supervision locale (LMI)

On distingue trois types de topologie : La LMI (Local Management Interface) est un mécanisme de test d’activité qui
fournit des informations sur les connexions Frame Relay entre le routeur DTE
• en étoile et le switch Frame Relay (DCE). Si le réseau ne fournit pas les informations
• à maillage global demandées, le routeur peut considérer la connexion comme coupée.
• à maillage partiel
Le switch et le routeur doivent utiliser le même LMI.

Il existe différents types d’interfaces LMI, incompatibles entre elles :

Mappage des adresses Frame Relay

• cisco
• ansi
Afin d’envoyer des données à l’aide du protocole Frame-Relay, le routeur doit
• q933a
connnaitre la relation entre le DLCI local et l’adresse de couche 3 de la destina-
tion.
Il existe deux types de mappage : Depuis l’IOS Cisco 11.2, le routeur détecte automatiquement la LMI utilisée par
le switch et configure son interface en fonction.
• mappage dynamique
• mappage statique On configure le LMI avec la commande :

Le mappage dynamique utilise l’inverse ARP pour résoudre l’adresse IP du frame-relay lmi-type [cisco | ansi |q933]
saut suivant en une valeur DLCI locale. Il stocke ces informations dans sa table
de mappage.

Pour voir le contenu de cette table : show frame-relay map. Utilisation de la LMI et de l’ARP inverse pour le mappage des adresses

Sur les routeurs Cisco l’ARP inverse est activé par défaut.
Le mappage statique est utilisé lorsqu’un routeur ne prend pas en charge
l’inverse ARP ou qu’un réseau Frame-Relay est constitué d’une topologie en
étoile.
Le routeur (DTE) se connecte au réseau Frame-Relay et envoie une LMI. Le
réseau répond par un message d’état LMI donnant des informations sur les
circuits virtuels configurés sur la liaison.
Le routeur doit alors mapper ces circuits virtuels à des adresses de couche 3.
Pour ce faire, il envoie un message ARP inverse sur chaque circuit virtuel. Il peut
alors effectuer le mappage. Il profite aussi lors de l’envoi de son message pour
envoyer son adresse réseau afin que le routeur distant puisse aussi effectuer son
propre mappage.

3 4
Configuration de base de Frame Relay (mappage dynamique)
Pour configurer une interface série avec le protocole Frame Relay :
R1(config)#interface serial 0/0
R1(config-if)#ip address ad IP masque reseau
On configure l’encapsulation :
R1(config-if)#encapsulation frame-relay [ietf | cisco]
Rappelons que le type d’encapsulation Frame-Relay par défaut est cisco. Le type
d’encapsulation ietf s’utilise lorsque le routeur distant n’est pas cisco.
Les routeurs d’extrémité doivent utiliser la même encapsulation frame-relay.
Finalement la configuration du lmi est automatique, donc facultative.
Pour vérifier la configuration :
R1(config)# show interfaces serial 0/0
Configuration d’un mappage statique Frame Relay
Dans ce cas on établit manuellement le mappage entre l’adresse réseau du
routeur distant et le numéro DLCI local.
On commence par désactiver l’inverse-map :
R1(config-if)# no frame-relay inverse-arp
R1(config-if)# frame-relay map ad IP numero DLCI [broadcast|cisco|ietf]
Remarques :
1. Il faut utiliser ietf si le routeur auquel on se connecte n’est pas de type cisco.
2. Le réseau Frame Relay est un réseau NBMA (non-broadcast multiaccess). Cela
signifie qu’il ne prend pas en charge par défaut la diffusion et la multidiffusion.
Lors de l’utilisation de protocoles de routage, le mot-clé broadcast permet cette
diffusion ou multidiffusion sur le circuit virtuel permanent.
5 6
Découpage d’horizon
Un réseau Frame-Relay est de type NBMA et possède généralement une topologie
en étoile.
Un protocole de routage à vecteur de distance utilise la technique du découpage
d’horizon pour éviter les boucles de routage.
Rappel : le découpage d’horizon empêche qu’une mise à jour de routage reçue
sur une interface physique ne soit retransmise par la même interface. Dans le cas
d’un réseau étoilé cela signifie que les mises à jour ne peuvent pas être acheminées
sur tout le réseau.
Plusieurs solutions se présentent :
• désactivation du découpage d’horizon
• topologie à maillage global
• utilisation de sous-interfaces
Sous-interfaces Frame Relay
Frame Relay peut partitionner une interface physique en plusieurs interfaces
virtuelles ou sous-interfaces ; à chacune est associée un circuit virtuel permanent.
Une sous-interface peut être configurée en mode point à point ou multipoint.
Point à point : Une sous-interface point à point établit une connexion par
circuit virtuel permanent à une interface physique ou une sous-interface d’un
routeur distant.
Chaque paire de routeurs point à point réside sur son propre réseau et chaque
sous-interface point à point ne dispose que d’un DLCI. Dans ce cas, le découpage
d’horizon n’intervient pas.
Multipoint : une seule sous-interface établit plusieurs connexions de circuit
virtuel permanent à plusieurs interfaces physiques ou sous-interfaces sur des
routeurs distants. Tous les circuits virtuels multipoint appartiennent au même
sous–réseau. Dans ce cas, le découpage d’horizon intervient.
La commande encapsulation frame-relay s’applique à l’interface physique ; les
autres éléments de configuration s’appliquent (ad IP, DLCI) aux sous–interfaces.
Configuration de sous-interfaces Frame Relay point à point Configuration du Switch Frame-Relay

Prenons l’exemple ci–dessous et configurons l’interface série S0 du routeur R1. On commence par activer la commande Frame-Relay sur le routeur lui permet-
Sur l’interface physique, on indique le type d’encapsulation : tant de transférer des trames sur la base des DLCI entrant :
R1(config-if)# encapsulation frame-relay SFR(config)#frame-relay switching

On configure alors les sous-interfaces logiques en indiquant le numéro de DLCI Sur l’interface choisie on modifie le type d’encapsulation :
pour des raisons d’organisation. SFR(config)#interface S0/0
SFR(config-if)#encapsulation frame-relay
Première sous interface logique :
R1(config-if)# int S0.102 point-to-point On indique alors que l’interface est de type DCE :
SFR(config-if)#frame-relay intf-type dce
On indique alors son adresse IP ainsi que son DLCI : SFR(config-if)#clock-rate vitesse
R1(config-if)# ip address 10.1.1.2 255.255.255.252
R1(config-if)# frame-relay interface-dlci 102 On configure alors le Switch Frame-Relay pour qu’il transfère le trafic entrant
ici sur l’interface S0/0 ayant le DLCI x vers par exemple l’interface S0/1 ayant
Seconde sous interface logique : le DLCI y. On crée ainsi le premier PVC :
R1(config-if)# int S0.103 point-to-point SFR(config-if)#frame-relay route x interface serial 0/1 y
SFR(config-if)#no shutdown
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.5 255.255.255.252 On crée alors le second PVC pour le retour :
R1(config-if)# frame-relay interface-dlci 103 SFR(config)#interface S0/1
SFR(config-if)#encapsulation frame-relay
Finalement, on effectue l’activation des sous-interfaces depuis l’interface physique SFR(config-if)#frame-relay intf-type dce
avec la commande no shutdown. SFR(config-if)#clock-rate vitesse
SFR(config-if)#frame-relay routey interface serial 0/0 x
SFR(config-if)#no shutdown

On vérifie la configuration avec la commande : show frame-relay pvc.

7 8
Paiement de Frame Relay Rafales

Un client achète un service Frame Relay à un fournisseur de services. Pour Les circuits physique du réseau Frame Relay sont partagés entre les abonnés. Il
comprendre le paiement d’un tel service, il est nécessaire de connaitre les notions arrive qu’un surplus de bande passante soit disponible. Un client peut envoyer
suivantes : alors gratuitement en rafales des données excédant son CIR. la durée des rafales
doit être de quelques secondes.
• débit d’accès ou vitesse du port
• débit de données garanti (CIR) Les termes suivants permettent de décrire les débits de rafale :

Débit d’accès ou vitesse du port : débit auquel le circuit accède au réseau • débit garanti en rafale ou CBIR
Frame Relay. La vitesse du port est cadencée par le switch Frame Relay. • débit garanti en excès ou BE

CIR : correspond à la quantité de donnés que le réseau Frame Relay reçoit du Le CIBR est un débit négocié par le client en plus du CIR. La durée d’une
circuit d’accès. Ce débit est garanti par le fournisseur de services. rafale doit être courte, sinon le client doit acheter plus de CIR.

Frame Relay met à la disposition des clients tout capacité inutilisée du réseau – Le BE correspond à la bande passante disponible au–dessus du CBIR jusqu’au
appelée rafales – supérieures à leur CIR, en général gratuitement. débit d’accès de la liaison. Ce surpllus de débit n’est pas négocié. Les trames
transmises à ce débit sont très sujettes à l’abandon.
Un client paie donc pour une connexion Frame Relay :

• frais d’équipement d’abonné

• débit d’accès
• circuit virtuel permanent
• CIR

Les fournisseurs font parfois de la surréservation en vendant plus de bande

passante que disponible, en supposant que tous les clients n’utilisent pas en
permanence toute la bande passante qu’ils ont louées. Il peut en résulter des
problèmes de trafic.

9 10
Contrôle de flux Frame Relay

Frame Relay utilise des mécanismes d’encombrement simples comme :

• notification explicite d’encombrement au destinataire ou

FECN
• notification explicite d’encombrement à la source ou BECN

Les notifications explicites d’encombrement sont indiquées par un bit dans

l’en–tête de la trame. le routeur détecte l’encombrement et arrête la transmission
jusqu’à ce que la situation normale soit rétablie.

Les trames qui arrivent au switch Frame Relay sont mises en file d’attente.
Lors d’une accumulation excessive de trames, le switch signale le problème aux
routeurs à l’aide des bits de notification explicite d’encombrement :

• les équipements en aval sont informés de la file d’attente en configurant le bit

FECN.

• les équipements en amont sont informés de la file d’attente en configurant le

bit BECN.

L’en–tête de trame contient également un bit d’éligibilité à la suppression

(DE). Les trames dont le bit est à 1 sont considérées comme moins importantes
et peuvent être abandonnées pendant une période d’encombrement.
Les règles logiques sont appliquées :

• si la trame entrante ne dépasse pas le CIBR, la trame passe.

• si la trame entrante dépasse le CIBR, son bit DE est fixé à 1
• si la trame entrante dépasse le CIBR augmenté du BE, elle est abandonnée.

11
Sécurité du réseau (S4/C4) Vulnérabilités

Menaces informatiques La vulnérabilité est le degré de faiblesse d’un réseau.

Un gestion efficace et attentive d’un réseau permet de limiter les délits informa- On dénombre trois types de vulnérabilité :
tiques suivants :
• faiblesses technologiques
• accès abusif au réseau par des personnes non autorisées • faiblesses de configuration
• déni de service • faiblesse dans la stratégie de sécurité
• intrusion dans le système
• interception de mots de passe Les faiblesses technologiques incluent :

Les menaces augmentent car les outils et les méthodes d’attaque se sont
améliorés et il est donc désormais plus facile de devenir un pirate informatique. • le protocole TCP/IP
• les systèmes d’exploitation
Les termes les plus courants pour désigner les pirates sont : hacker, cracker, • l’équipement réseau
phreaker, spammeur, phisher ...
Les faiblesses de configuration incluent :
Le but du pirate est de compromettre un réseau ou une application s’exécutant
sur un réseau. • les comptes utilisateur non sécurisés
• les comptes système avec des mots de passe trop facoles
Réseaux ouverts et fermés • les paramètres par défaut des logiciels non sécurisés
• les équipements réseau mal configurés
Un réseau ouvert donne aux utilisateurs finaux un accès facile aux ressources
du réseau. Il est facile à configurer et engendre peu de frais de sécurisation. Finalement il existe des risques de sécurité si les utilisateurs ne respectent pas la
stratégie de sécurité de l’entreprise ou si celle-ci est incomplète.
Un réseau fermé est à l’opposé. Il ne donne pas d’accès aux réseaux publics ; il
est complètement isolé du monde extérieur.

Un défi important de sécurité est de trouver un juste équilibre entre accès et

sécurité, donc entre réseau ouvert et réseau fermé.

1 2
Menaces physiques Types d’attaques d’un réseau

On distingue 4 catégories de menaces physiques : Il existe quatre catégories principales d’attaque :

• menaces matérielles • reconnaissance

• menaces environnementales • accès
• menaces électriques • déni de service
• menaces de maintenance • vers, virus et chevaux de Troie
Les attaques de reconnaissance peuvent prendre les formes suivantes :
Menaces matérielles : dommages physiques aux serveurs, routeurs, commu-
tateurs, cablages, PCs.
• demandes d’informations Internet
• balayage ping
Solutions : Les dispositifs réseau. ceux–ci doivent être dans des locaux fermés
• balayage de ports
à clé, dont l’accès n’est donné qu’au personnel autorisé.
• analyseur de paquets
Seul un nombre très limité de personnes y a accès. Rappelons que l’accès
physique au matériel rend celui-ci complètement vulnérable.
Les attaques d’accès peuvent prendre les formes suivantes :
Menaces environnementales : variations de température ou d’humidité.
• attaques de mot de passe
Solutions : régulations de la température et du taux d’humidité, système de • exploitation de la confiance
surveillance, alarme à distance. • redirection de port
• attaque de l’homme du milieu
Menaces électriques : tension instable, perte d’alimentation
L’attaque par déni de service (DOS) est la forme d’attaque la plus répandue
Solutions : installations d’UPS, système de surveillance, alarme à distance. et la plus difficile à éliminer. Son but est d’empêcher l’utilisation d’un service en
épuisant les ressources du système. Quelques exemples :
Menaces de maintenance : manque de pièces de rechange, mauvais câblage,
mauvais étiquetage. • ping fatal
• inondation SYN
Solutions : étiquetages méticuleux, pièces de rechange.
Les stations de travail sont principalement vulnérables aux attaques de vers, de
virus et de chevaux de Troie.
Piratage psychologique
Un ver exécute un code et installe des copies de lui-même dans la mémoire de
Le piratage psychologique est la méthode de piratage la plus simple et l’ordinateur infecté ; celui-ci infecte alorss les autres ordinateurs hôtes.
ne demande aucune compétence en informatique. Il exploite les faiblesses
personnelles d’un individu. Un virus est un logiciel malveillant intégré dans un autre programme dans le
but d’exécuter des fonctions indésirables sur la station de travail infecté.
Exemple : le phishing utilise l’email ou de faux site web dans le but d’obtenir
des informations confidentielles telles que les numéros de carte de crédit ou des Le cheval de Troie est conçu pour ressembler à une application normale alors
mots de passe... qu’il s’agit d’un instrument d’attaque.

Solutions : il faut informer les utilisateurs de telles pratiques. Un administrateur

peut aussi bloquer l’accès à certains sites web ainsi que filtrer les emails suspects.

3 4
Techniques d’atténuation des risques
Afin d’assurer une sécurité de base aux réseau, il est nécessaire d’installer :
• logiciels antivirus
• firewall personnel
• patches du système d’exploitation
Un logiciel antivirus installé sur un hôte le protège contre les virus connus.
Un firewall personnel réside sur un PC et tente d’empêcher les attaques.
Les patches du système d’exploitation permettent de limiter les
vulnérabilités de ce dernier.
A cela s’ajoutent :
Un système de détection des intrusions (IDS) détecte les attaques contre
le réseau et envoie ses données de journalisation à une console de gestion.
Un système de protection contre les intrusions (IPS) empêche les attaques
contre le réseau et est aussi doté des mécanismes de défense suivants :
• un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée.
• un mécanisme de réaction pour immuniser le système contre des attaques
malveillantes.
Ces techniques peuvent s’appliquer au niveau du réseau et/ou des hôtes. Dans
ce dernier cas, on parle respectivement de HIDS et HIPS.
5 6
Roue de la sécurité des réseaux
La roue de la sécurité des réseaux est une méthode efficace pour s’assurer que la
sécurité est testée et appliquée de manière continue. La roue est constituée de 4
étapes :
• sécurisation
• surveillance
• test
• amélioration
La sécurisation
La surveillance se base sur l’audit des journaux des hôtes et des dispositifs
réseaux ainsi que l’utilisation d’IDS pour détecter les intrusions.
La phase de test consiste à tester le fonctionnement des solutions de sécurité
ainsi que les audits en utilisant, par exemple, des outils d’évaluation de la
vulnérabilité.
Lors de l’amélioration, on analyse les données collectées pendant les phases de
surveillance et de test ; elles servent de base pour renforcer la sécurité.
Stratégie de sécurité de l’entreprise
Une stratégie de sécurité est un ensemble de directives définies en vue de
protéger le réseau de l’entreprise contre les attaques menée soit de l’intérieur,
soit de l’extérieur.
Il s’agit d’un document vivant, ce qui signifie qu’il est continuellement mis à
jour selon les besoins de l’entreprise.
Les fonctions principales d’une stratégie de sécurité sont les suivantes :
• protéger les personnes et les données
• définir les règles de comportement des utilisateurs, des admin-
istrateurs système, de la direction et du personnel de sécurit’e.
• permettre au personnel de sécurité de surveiller
• définir les conséquencess des violations et les appliquer
Sécurisation des routeurs Accès administratif à distance aux routeurs

La sécurisation des routeurs de périphérie est une étape importante dans la L’accès administratif à distance avec telnet n’est pas sûre car le trafic passe en
protection du réseau. texte clair et les mots de passe peuvent donc être interceptés.

Ainsi il est important d’agir aux niveaux suivants :
• sécurité physique
• mise à jour de l’IOS du routeur
• sauvegarde de la configuration du routeur et de son IOS
• désactivation des ports et des services non utilisés.
Pour protéger l’accès administratif aux routeurs, il est nécessaire de sécuriser
les lignes d’administration (VTY) et d’utiliser SSH (semestre 3/chapitre 2).
Pour renforcer la sécurité avec SSH, il est possible de limiter le temps d’inactivité
de la session ainsi que le nombre de tentatives de connexion.
Exemple :

Gestion des mots de passe d’un routeur R1(config)# ip ssh time-out 15

R1(config)# ip ssh authentication-retries 2
Pour résister à une éventuelle attaque, un mot de passe doit être complexe et
apparaitre crypté dans le fichier de configuration.
Exemple : Journalisation de l’activité d’un routeur

R1(config)# service password-encryption Les journaux permettent de vérifier le fonctionnement d’un routeur et de
R1(config)#security passwords min-length 10 déterminier s’il a été compromis ou non.
R1(config)#enable secret ci$C0-clasS
Les journaux du routeur sont envoyés à un hôte de journalisation (Serveur
Syslog). Ce dernier doit être connecé à un réseau de confiance. Le serveur Syslog
Services et interfaces de routeur vulnérables doit être aussi protégé en supprimant tous les comptes et services inutiles.

Les routeurs prennent en charge un grand nombre de services réseau aux Les routeurs prennent en charge 8 niveaux de journalisation :
couches 2,3,4 et 7. Certains de ces services peuvent être limités ou désactivés
sans dégrader le fonctionnement du routeur. • 0 emergencies
• 1 alerts
Il est préférable de tous désactiver à l’exception des commandes : • 2 critical
• 3 errrors
• 4 warnings
• 5 notification
• 6 informational
• 7 debugging

7 8
Configuration pour la journalisation du routeur
Pour indiquer au routeur l’adresse du serveur Syslog :
R1(config)# logging host ad. IP Syslog
Pour indiquer le niveau de journalisation à prendre en compte :
R1(config)# logging trap ad. level
Pour s’assurer que tous les messages sont envoyés au serveur Syslog :
R1(config)# logging trap debugging
Pour activer les envois des journaux :
R1(config)# logging on
Il est important d’avoir un horodatage précis des journaux. Pour garantir la
précision des données, il est préférable de régler le routeur sur un serveur de
synchronisation fiable par l’intermédiaire du protocole NTP (Network Time
Protocol) :
R1(config)# ntp server ad. IP server NTP
Puis d’indiquer le décalage exact pour la région, ainsi que les changements
d’heure dans l’année. Pour la région qui nous concernant :
R1(config)# clock timezone 1
R1(config)# clock summertime CEST recurring last sun mar 2 :00 last sun oct
3 :00
Finalement pour obtenir des messages horodatés :
R1(config)# timestamps debug datetime localtime
R1(config)# timestamps log datetime localtime
9 10
Sécurisation des protocoles de routage
En utilisant un analyseur de paquets, les informations voyageant entre les
routeurs peuvent être lues.
Les systèmes de routage peuvent être attaqués de 2 façons :
• interruption des informations de routage entre routeurs
homologues
• falsification des informations de routage
Des informations de routage falsifiées peuvent avoir les buts suivants :
• redirection du trafic pour créer des boucles
• redirection du trafic sur une liaison non fiable dans le but de le surveiller
• redirection du trafic pour le rejeter
Il est possible d’utiliser MD5 pour authentifier les paquets du protocole de
routage pour protéger les informations de routage.
Les protocoles RIPv2, EIGRP, OSPF prennent en charge una authentification
avec MD5.
Rappel : Les interfaces participant aux mises à jour de routage peuvent être
contrôlées avec les commandes passive-interface default et no passive-
interface.
Rappelons que les interfaces du routeur qui ne sont pas connectées à un autre
routeur ne doivent pas annoncer de mises à jour.
Authentification pour le protocole EIGRP Récupération de mots de passe d’un routeur

Etape 1 : En utilisant Tera Term Pro

On commence par créer la chaine de clés que tous les routeurs doivent utiliser : Etape 1

R1(config)#key-chain KEY • Lancez la commande reload ou éteignez puis rallumez le routeur.

R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco • Sélectionnez dans le menu Control, l’option Send Break
R1(config-keychain-key)# exit
R1(config-keychain)# exit • Le prompt suivant s’affiche : rommon >

Etape 2 : Etape 2

On active l’authentification MD5 pour les paquets EIGRP passant par l’interface Entrez les commandes suivantes :
spécifiée :
rommon 1> confreg 0x2142
R1(config)# interface S0 rommon 2> reset
R1(config-if)# ip authentication mode eigrp 1 md5 Router > enable
R1(config-if)# ip authentication key-chain eigrp 1 KEY Router# copy start run
RouterA(config) # enable secret class

Réactivez toutes les interfaces avec la commande no shutdown

RouterA(config) # config-register 0x2102

RouterA# copy run start

11 12
ACLs réflexives ACLs temporelles

Une ACL réflexive autorise le trafic sortant et limite le trafic entrant en réponse Une ACL temporelle autorise le contrôle d’accès en fonction du temps.
à une session provenant du routeur lui-même.
Etape 1
Une ACL réflexive ne se définit qu’avec une ACL IP étendue nommée.
On définit la tranche horaire HORAIRE :
Elle contribue à la protection du LAN contre une attaque extérieure.
R1(config)# time-range HORAIRE
L’ACL réflexive suivante autorise le trafic ICMP entrant et sortant, mais R1(config-time-range)# periodic Monday Tuesday 8 :00 to 17 :00
autorise uniquement le trafic TCP initié depuis l’intérieur du réseau :
Etape 2
Etape 1 :
On définit l’ACL temporelle associée à HORAIRE :
On permet le passage du trafic ICMP et TCP avec une demande de suivi sur les
connexions TCP sortantes. R1(config)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet
time-range HORAIRE
R1(config)# ip access-list extended SORTIE
R1(config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reflect TRAFIC- Etape 3
TCP
R1(config-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any On applique l’ACL temporelle sur une interface :

Etape 2 : R1(config)# interface S0

R1(config-if)# ip access-group 101 out
On crée une ACL qui a pour but de vérifier le trafic entrant et de voir s’il a été
initié de l’intérieur. Remarque :

R1(config)# ip access-list extended ENTREE La tranche horaire peut être définie avec les paramètres periodic ou absolute.
R1(config-ext-nacl)# evaluate TRAFIC-TCP

Etape 3 :

On applique les ACL, ici sur l’interface de sortie du LAN

R1(config)# interface S0
R1(config-if)# ip access-group SORTIE out
R1(config-if)# ip access-group ENTREE in

13 14
Configuration d’ISDN

Etape 1

On configure l’interface BRI :

R1(config)# interface BRI0/0

R1(config-if)# dialer rotary-group 1
R1(config-if)#dialer-group 1
R1(config-if)# isdn switch-type basic-net3

Etape 2

On configure l’interface Dialer1

R1(config)# interface Dialer1

R1(config-if)# ip address negotiated
R1(config-if)# dialer in-band
R1(config-if)# dialer string num-tel
R1(config-if)# dialer-group 1
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication chap callin
R1(config-if)# ppp chap hostname nom
R1(config-if)# ppp chap password 0 mot-de-passe

Etape 3

On définit à l’aide d’une ACL le trafic intéressant qui activera la connexion isdn :

R1(config)# dialer-list 1 protocol ip list no ACL

Pour vérifier et debugger la connexion ISDN :

R1# debug isdn q931

15
Listes de contrôle d’accès (S4/C5) Création d’une ACL

Définition d’une liste de contrôle d’ accès Il existe différents types de liste de contrôle d’ accès :

Une liste de contrôle d’accès (ACL) filtre le trafic réseau en donnant l’ordre
• IP standard (1-99 / 1300-1999)
au routeur d’acheminer ou de bloquer un paquet.
• IP étendue (100-199 / 2000-2699)
• Apple Talk
Les paramètres utilisés dans une ACL pour décider de l’acheminement ou non
• IPX
d’un paquet sont :

En mode de configuration globale, pour créer une ACL :

• l’adresse source
• l’adresse destination
Router(config) # (no) access–list numéro ACL {permit | deny } cond. test
• un protocole de couches supérieures
• un numéro de port
Pour appliquer une ACL sur une interface :

Une ACL est définie en fonction : Router(config) # (no)protocole access–group numéro ACL { in |out }

Les règles de base à respecter avec les ACL sont :

• un protocole
• une direction
• une interface • une ACL standard doit être appliquée le plus près possible
de la destination
• une ACL étendue doit être appliquée le plus près possible
La mise en place d’une ACL est motivée par les raisons suivantes : de la source
• les instructions d’une ACL doivent être classées du plus
• limitation du trafic, contrôle du flux spécifique au plus général.
• sécurisation d’un réseau ou sous–réseau • l’acceptation ou le refus est examiné uniquement si la condi-
• autorisation ou interdiction d’un certain type de trafic tion est vérifiée.
• filtrage du trafic de certains hôtes • il n’est pas possible de rajouter une instruction dans une ACL
après coup.

Fonctionnement d’une ACL

Une ACL est une liste d’instructions régie par un ordre.

Lorsqu’un paquet arrive, il est testé successivement dans l’ordre par les instruc-
tions de l’ACL jusqu’à ce que la condition d’une instruction soit vérifiée.
Le paquet est alors accepté ou rejeté selon l’instruction et les instructions sui-
vantes ne sont pas testées.
Par défaut, à la fin de chaque ACL figure l’instruction invisible deny any.

1 2
Le masque générique Les ACL standards

Un masque générique est constitué de 32 bits divisés en 4 octets. Les numéros d’ACL standards sont 1 à 99 (1300-1999).
Il est appliqué à une adresse IP pour déterminer la partie de l’adresse qui doit
être testée dans le cadre d’une ACL. La commande pour créer une ACL standard est la suivante :

Son fonctionnement est le suivant : Router(config) # (no) access–list numéro ACL {permit | deny | remark }
source [masque gén. source]
Un zéro dans le masque générique indique que la valeur correspondante de
l’adresse IP doit être comparée et une correspondance parfaite est exigée. La source est constituée par :

Un un dans le masque générique indique que la valeur correspondante de

• une adresse réseau
l’adresse IP ne doit être comparée et donc une correspondance parfaite n’est pas
• une adresse hôte
exigée.
• le mot clé any ou 0.0.0.0 255.255.255.255
Exemple :
Pour appliquer une ACL sur une interface :

Router(config) # ip access–group numéro ACL {in | out }

Vérification d’une ACL

Les options any et host
Deux mots–clés peuvent être utilisés dans les ACL : any et host.
L’option any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le
masque générique.
L’option host remplace 0.0.0.0 dans le masque générique.
Plusieurs commandes permettent de vérifier le contenu et l’emplacement des
ACL sur un routeur.
La commande show ip interface indique les ACLs configurées sur les interfaces
du routeur.
La commande show access–lists affiche le contenu de toutes les ACLs sur le
routeur.

Exemple : La commande show run affiche le contenu des ACLs et indique les interfaces
sur lesquelles elles ont été activées.

3 4
Les ACL étendues Les ACL nommées

Les ACL étendues utilisent les numéros entre 100 et 199 (2000-2699) Une ACL nommée est une ACL standard ou étendue caractérisée par un nom
(dès la version IOS 11.2).
Elles fournissent une plus grande souplesse car elles se basent sur : La commande pour créer une ACL nommée est la suivante :

• l’adresse d’origine Router(config) # (no) access–list {extended | standard } nom

• l’adresse de destination Une fois dans le mode configuration de l’ACL, on précise les conditions d’au-
• le protocole utilisé torisation et/ou de refus.
• le numéro de port
Exemple :
La commande pour créer une ACL étendue est la suivante :

Router(config) # (no) access–list numéro ACL {permit | deny | remark }

protocole source masque gén. source dest. masque gén. dest. [port no port ]

De plus, des opérateurs logiques peuvent être appliqués à des protocoles

spécifiques tels que eq , neq, gt, lt.

Pour appliquer une ACL sur une interface :

Router(config) # ip access–group numéro ACL {in | out }

Restriction de l’accès au terminal virtuel
Exemple :
Une ACL standard ou étendue s’applique aux paquets traversant un routeur et
non pas à ceux créés par un routeur.

Il est possible d’activer une ACL sur les ports virtuels vty 0 4.
Cependant, il faut tenir compte :

• seule une ACL numérotée peut être utilisée

• la commande access-class est utilisée à la place de access-
group

Listes de contrôle d’accès complexes

On distingue trois types de listes de contrôle d’accès complexes :

• dynamiques
• reflexives • temporelles

5 6
Service de télétravail (S4/C6)
Télétravail
Le télétravail fait référence à une activité professionnelle menée à distance en
se connectant au lieu de travail au moyen des télécommunications.
Le concepteur de l’architecture réseau de l’entreprise doit considérer les besoins
pratiques des télétravailleurs concernant :
• la facilité d’utilisation
• la vitesse de connexion
• la fiabilité du service
Les trois technologies de connexion à distance sont :
• Frame Relay, ATM, lignes louées (VPN de couche 2)
• un réseau privé virtuel (VPN) IPsec
• une connexion de site à site, associée à un accès à large
bande, pour établir un VPN sur le réseau Internet public.
Le terme large bande signifie une connexion à haut débit capable de trans-
mettre des données, des communications vocale et video. Ceci est garanti par
l’ADSL, la fibre optique, le câble coaxial, le wireless et le satellite. La vitesse de
transmission est supérieure à 200 Kbits/s.
Pour garantir une connexion efficace au réseau de son entreprise, un
télétravailleur a besoin des composants suivants :
• composants du bureau à domicile
• composants du siège
Composants du bureau à domicile : ordinateur, accès à large bande, un
routeur VPN ou un logiciel client VPN installé sur l’ordinateur.
Composants du siège : routeurs compatibles VPN (authentification).
Connexion des télétravailleurs au réseau étendu
Les fournisseurs Internet proposent plusieurs options de connexions pour les par-
ticuliers et les petites entreprises :
• accès par ligne téléphonique
• ligne DSL
• modem câble
• satellite
1 2
Réseaux privés virtuels
Un VPN crée un réseau privé sur une infrastructure de réseau public tout en
garantissant confidentialité et sécurité.
Les VPN sécurisent les données en les encapsulant (transmission tunnel) et en
les chiffrant.
Internet est une infrastructure publique : toute entreprise qui l’utilise est sujette
à des risques de sécurité importants. Elle a donc recours à un VPN pour
connecter les succursales, les télétravailleurs, les travailleurs mobiles à la maison
mère.
Transmission tunnel du VPN
La transmission tunnel encapsule tout un paquet dans un autre et envoie
le nouveau paquet composé sur le réseau. Quand le paquet composé arrive sur
l’interface du tunnel de destination, le paquet interne est extrait.
Le protocole GRE est un exemple d’encapsulation.
Types de réseau privé virtuel
On distingue deux types de réseau privé virtuel :
• site à site
• d’accès distant
Le VPN site à site connecte deux sites éloignés en passant par Internet. Les
hôtes du réseau privé envoient et reçoivent le trafic TCP/IP via une passerelle,
un routeur par exemple. La passerelle est chargée de chiffrer tout le trafic
sortant, destiné à un site cible. La passerelle du site cible déchiffre le trafic reçu
et le transfert à l’hôte cible sur son propre réseau privé.
Dans un VPN d’accès distant, le télétravailleur ou l’hôte distant dispose
d’un logiciel client associé. Le logiciel encapsule et chiffre le trafic destiné à la
passerelle du réseau cible.
Caractéristiques d’un VPN sécurisé Algorithmes de chiffrement

Les caractéristiques d’un VPN sécurisé sont les suivantes : La confidentialité des données est assurée par un algorithme de chiffrement.
Les algorithmes de chiffrement sont classés en 2 catégories :
• confidentialité des données
• intégrité des donnés
• authentification • algorithmes symétriques
• algorithmes asymétriques
La confidentialité des données permet de protéger contre l’écoute
électronique. Algorithme symétrique : les chiffrement et déchiffrement se servent de la
même clé. Il est généralement utilisé pour chiffrer un message.
L’intégrité des donnés permet de garantir qu’aucune modification n’a été
apportée aux données. Les deux ordinateurs doivent connaitre le même clé dite secrète ou partagée
pour coder et décoder les informations.
L’authentification permet de garantir que seuls les expéditeurs et périphériques
autorisés accèdent au réseau. Exemples : DES, 3DES, AES.

Algorithme asymétrique : les chiffrement et déchiffrement se servent de deux

clés différentes. Il est généralement utilisé pour la certification numérique et la
gestion des clés.

Une type de de chiffrement asymétrique est le chiffrement à clé publique qui

associe une clé privée à une clé publique.

Le destinataire distribue une clé publique à ses expéditeurs. L’expéditeur utilise

sa clé privée, puis la clé publique du destinataire pour chiffrer son message. Le
destinataire utilise alors sa clé privée puis la clé publique de l’expéditeur pour
déchiffrer le message.

Exemple : RSA.

3 4
Hachage ou message digest Protocoles de sécurité IPsec

Le hachage ou message digest est un nombre généré à partir d’une chaine IPsec est un ensemble de protocoles permettant de sécuriser les communications
de texte. Il est hautement improbable qu’une autre texte génère le même hachage. IP en garantissant le chiffrement, l’intégrité et l’authentification.

L’expéditeur d’origine génère un hachage du message et l’envoie avec le message. Les protocoles IPsec principaux sont :
Le destinataire reçoit le message et le hachage, il produit un autre hachage
à partir du message reçu, et compare les deux hachages. Si les deux sont • Authentication Header (AH)
identiques, le destinataire peut être certain que l’intégrité du message n’a pas • Encapsulating Security Payload (ESP)
été affectée.
Le protocole AH assure l’authentification et l’intégrité des données pour
Un VPN utilise un code d’authentification des messages avec hachage et clé, des paquets transmis entre deux systèmes. Il n’assure pas la confidentialité (le
appelé HMAC. chiffrement) des données.

L’expéditeur de message utilise la fonction HMAC pour produire le code Le protocole ESP assure l’authentification et l’intégrité des données pour des
d’authentification du message créé en condensant la clé secrète et le texte du paquets transmis entre deux systèmes. Il assure aussi leur confidentialité par
message. Le destinataire calcule le code d’authentification du message reçu à le chiffrement des paquets IP qui masque les données et l’identité de leur source
l’aide de la même clé et de la fonction HMAC utilisée par l’expéditeur. et de leur destination.
IPsec utilise des algorithmes existants pour implémenter le chiffrement,
Il existe deux algorithmes HMAC : l’intégrité, l’authentification et les échanges de clés :
• DES
• Message Digest 5 (MD5) • 3DES
• Secure Hash Algorithm (SHA-1) • AES
• MD5
• SHA-1
Authentification des homologues • DH
Le protocole DH ou Diffie-Hellman permet au deux parties d’établir une clé
Il est nécessaire d’authentifier les homologues (par exemple : le périphérique à secrète partagée pour le chiffrement et le hachage sur un canal de communication
l’autre extrémité du VPN). Il existe deux méthodes d’authentification : non sécurisé.
IPsec fournit le cadre et l’administrateur choisit les algorithmes à implémenter.
• Clé pré-partagée (PSK) Il est nécessaire de remplir 4 zones :
• Signature RSA •
• Choix du protocole IPsec : AH, ESP ou AH avec ESP
La clé pré-partagée est distribuée aux homologues par l’intermédiaire d’un • Choix de l’algorithme de chiffrement : DES, 3DES ou AES
canal sécurisé. • Choix de l’authentification : MD5 ou SHA
• Choix de l’algorithme Diffie-Hellman : DH1 ou DH2
La signature RSA utilise l’échange de certificats numériques. Le périphérique
local calcule un hachage et le chiffre avec sa clé privée – ce qui s’appelle une
signature numérique. Elle est jointe au message et transféré. Le périphérique
distant déchiffre le hachage avec la clé publique du périphérique local et recalcule
le hachage.

5 6
Protocole DHCP (S4/C7) Fonctionnement du protocole DHCP

Le protocole DHCP (Dynamic Host Configuration Protocol) Lorsqu’un périphérique se connecte au réseau et qu’il est configuré en mode
automatique, il diffuse un paquet DHCP DISCOVER pour identifier un
Le service DHCP permet à un hôte d’obtenir automatiquement une adresse IP serveur DHCP disponible.
lorsqu’il se connecte au réseau.
Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve
Le serveur DHCP choisit une adresse dans une plage d’adresses (pool) et la une offre de bail donnant les indications :
prête à l’hôte qui en a fait la demande. • adresse IP prêtée
• serveur DNS
Dans les faits, un service DHCP peut fournir principalement • passerelle par défaut
• une adresse IP • durée de bail
• un masque de sous–réseau Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur.
• l’adresse IP de la passerelle par défaut
• l’adresse IP du serveur DNS Si l’offre est encore valable, le serveur renvoie un DHCP ACK et dans le cas
• ... contraire DHCP NAK.
Sur un réseau ayant beaucoup de stations, l’utilisation d’un serveur DHCP peut
s’avérer plus efficace que l’utilisation d’adresses fixes.

Le protcole DHCP peut présenter un risque dans la sécurité d’un réseau.

Généralement, sur un même réseau, on utilise l’adressage dynamique et

l’adressage statique.

L’adressage dynamique est utilisé pour les périphériques utilisateurs finaux.

L’adressage statique est utilisé pour les périphériques réseaux tels que

• passerelles (routeurs)
• commutateurs
• serveurs
• imprimantes
• ...

1 2
Configuration d’un serveur DHCP Vérification du service DHCP

Un routeur cisco peut agir comme un serveur DHCP. Il attribue et gère les Pour vérifier le focntionnement du serveur DHCP, on utilise la commande
adresses IP en fonction du ou des pools d’adresses spécifés par l’administrateur. suivante :
Par défaut, le service DHCP est activé sur le routeur. Pour désactiver le service :
no service dhcp. R1# show ip dhcp binding

Etape 1 : on définit, en mode de configuration globale, les adresses NE Pour afficher le nombre de messages DHCP envoyés et reçus par le routeur :
devant PAS être allouées : interface du routeur, adresse IP du switch, serveurs,
imprimantes du réseau. R1# show ip dhcp statistics

R1(config)# ip dhcp excluded-address adresse basse { adresse haute }

Configuration d’un client DHCP
Etape 2 : on crée le pool DHCP.
Généralement, les routeurs utilisés à la maison acquièrent automatiquement une
R1(config)# ip dhcp pool nom pool adresse IP auprès d’un FAI.

Etape 3 : on configure le pool DHCP. Dans des petits bureaux ou des bureaux à domicile, les routeurs peuvent être
configurés dynamiquement par le FAI.Dans ce cas on configure une interface
Le pool d’adresses : Ethernet avec la commande ip address dhcp.
R1(dhcp-config)# network numero reseau masque
Pour renouveler l’adresse IP dynamique d’un PC, on utilise la commande
La passerelle par défaut : iponfig /release qui libère l’adresse et l’adresse devient alors : 0.0.0.0.
R1(dhcp-config)# default-router adresse On utilise alors la commande iponfig /renew qui provoque la diffusion d’un
message DHCP DISCOVER.
Le serveur DNS :
R1(dhcp-config)# dns-server adresse Relais DHCP

Le nom de domaine : Généralement, dans un réseau d’entreprise, les clients DHCP ne se trouvent pas
R1(dhcp-config)# domain-name domaine sur le même réseau que le serveur DHCP. Or, le client va diffuser un message
DHCPDISCOVER et le routeur (passerelle) par défaut ne laisse pas passer les
Le bail : R1(dhcp-config)# lease durée diffusions.
Il faut donc configurer la passerelle du routeur comme un agent de relais
Si nécessaire, les services WINS : DHCP avec la commande suivante :
R1(dhcp-config)# netbios-node-type h-node
R1(dhcp-config)# netbios-name-server adresse R1(config)# interface passerelle
R1(config-if)# ip helper-address ad ip serveur DHCP

3 4
Fonction NAT Configuration du NAT statique

La fonction NAT (Network Address Translation) traduit les adresses non routa-
bles (sur Internet), privées et internes en adresses routables publiques. NAT
ajoute aussi un niveau de confidentialité et de sécurité car il empêche les réseaux
externes de voir les adresses IP internes.
Cette traduction est effectuée par un routeur de passerelle frontière ; cela
signifie qu’il fait le lien entre le réseau d’entreprise et le WAN.
Cette configuration s’effectue en trois étapes :
Etape 1 : On établit une correspondance entre une adresse locale interne et
une adresse globale interne :
R1(config)# ip nat inside source static 192.168.10.254 209.165.200.225

La fonction NAT définit trois types d’adresses : Etape 2 : On identifie l’adresse locale interne comme l’interface NAT inside :

• locale interne R1(config)# interface S0/0/0

• globale interne R1(config-if)# ip nat inside
• globale externe
Etape 3 : On identifie l’adresse globale interne comme l’interface NAT outside :

Adresse locale interne : il s’agit souvent d’une adresse privée. R1(config)# interface S0/1/0
R1(config-if)# ip nat outside
Adresse globale interne : adresse publique attribuée à l’hôte interne lorsque
ce dernier quitte le routeur NAT.

Adresse globale externe : adresse IP attribuée à un hôte sur Internet.

Mappage statique et mappage dynamique

Il existe deux types de traduction NAT : statique et dynamique.

Le NAT statique utilise un mappage biunivoque entre les adresses locales et

globales.

Le NAT dynamique utilise un pool d’adresses publiques et les attribue selon la

méthode du premier arrivé, premier servi.
Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, la
fonction NAT dynamique choisit dans le pool une adresse IP qui n’est pas encore
utilisée par un autre hôte.

Les NAT statique et dynamique nécessitent suffisamment d’adresses publiques

disponibles pour satisfaire simultanément tous les hôtes du réseau privé qui
souhaitent accéder à Internet.

La surchage NAT ou PAT mappe plusieurs adresses IP privées à une seule

ou à quelques adresses IP publiques. En effet, plusieurs adresses peuvent être
mappées à une seule adresse car chaque adresse privée est suivie par un numéro
de port.

5 6
Configuration du NAT dynamique Configuration de la surchage NAT

Cette configuration s’effectue selon les étapes suivantes : Cette configuration s’effectue selon les étapes suivantes :

Etape 1 : On définit un pool d’adresses IP publiques : Etape 1 : On définit les adresses ayant les droits d’être mappées :

R1(config)# ip nat POOL1 209.165.200.226 209.165.200.240 netmask R1(config)# access-list 1 permit 192.168.0.0 0.0.0.255
255.255.255.224
Etape 2 : On identifie l’interface allant être surchargée :
Etape 2 : On définit les adresses ayant les droits d’être mappées :
R1(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Etape 3 : On identifie l’adresse locale interne comme l’interface NAT inside :
Etape 3 : On relie le pool NAT à l’ACL :
R1(config)# interface S0/0/0
R1(config)# ip nat inside source list 1 pool POOL1 R1(config-if)# ip nat inside

Etape 4 : On identifie l’adresse locale interne comme l’interface NAT inside : Etape 4 : On identifie l’adresse globale interne comme l’interface NAT outside :

R1(config)# interface S0/0/0 R1(config)# interface S0/1/0

R1(config-if)# ip nat inside R1(config-if)# ip nat outside

Etape 5 : On identifie l’adresse globale interne comme l’interface NAT outside :

R1(config)# interface S0/1/0

R1(config-if)# ip nat outside

7 8
Vérification et dépannage des configurations NAT b

La commande show ip nat translations affiche les traductions NAT.

La commande show ip nat statistics affiche les informations sur le nombre

total de traductions actives, les paramètres de configuration NAT, le nombre
d’adresses dans le pool et le nombre d’adresses attribuées.

Par défaut, les entrées de traduction sont désactivées au bout de 24 heures.

Il est possible de modifier les compteurs avec la commande
ip nat translation timeout

La commande clear ip nat translation * efface toutes les entrées de traduction

dynamique d’adresses de la table de traduction NAT.

9 10
Pourquoi utiliser IPv6 Types d’adresses IPv6

L’espace d’adressage IPv4 offre un peu plus de 4 milliards d’adresses. Seules 3.7 On distingue les types d’adresse suivants :
milliards peuvent être utilisées car les autres sont réservées pour la multidiffu-
sion, les tests et autres usages spécifiques. • monodiffusion globale
• réservées
On estime que les adresses IPv4 seront épuisées d’ici quelques années. • privées
• bouclage
Le pool d’adresses IPv4 diminue pour les raisons suivantes : • indéterminée
Une adresse de monodiffusion globale est constituée généralement d’un préfixe
• croissance de la population de routage global de 48 bits et un ID de sous–réseau de 16 bits.
• utilisateurs mobiles Ce dernier permet à une organisation de créer ses sous-réseaux.
• transport Actuellement les adresses de monodiffusion globale attribuées par l’IANA utilise
• électronique grand public la plage d’adresses commençant par 2000 : :/3.

L’IANA alloue l’espace d’adressage IPv6 dans les plages 2001 : :/16 aux
Adressage IPv6
organismes d’enregistrement Internet locaux : ARIN, RIPE, APNC, LACNIC
et AfriNIC.
Une adresse IPv6 est une valeur binaire longue de 128 bits, affichée sous forme
de 32 chiffres hexadécimaux. Ces chiffres sont regroupés par 4, chaque groupe
Une adresse réservée est utilisée par l’IETF pour divers usages.
étant séparé des autres groupes par le signe :
Une adresse privée n’est jamais acheminée en dehors du réseau de l’entreprise.
Exemple : 2031 :0000 :130F :0000 :0000 :09C0 :876A :130B
Elle commence par FE, suivi d’un chiffre hexadécimal compris entre 8 et F.
Les adresses privées sont divisées en deux types :
Certaines adresses peuvent être raccourcies en respectant les règles suivantes :

• dans un champ les zéros de tête sont facultatifs : • locales-sites

• monodiffusion de liaison locale
Exemple : 2031 :0 :130F :0 :0 :9C0 :876A :130B
L’étendue des adresses locales-sites correspond à l’ensemble d’un site ou d’une
• deux champs successifs de zéros peuvent être représentés par le signe : :. organisation. Elles commencent par FEC, FED,FEE ou FEF.
Cette abréviation ne peut être utilisée qu’une seule fois dans l’adresse.
Les adresses de monodiffusion de liaison locale : elles se rapportent à une
Exemple : 2031 :0 :130F : : 9C0 :876A :130B liaison physique particulière d’un réseau local. Elles commencent par FE8,
FE9,FEA ou FEB.
• une adresse indéterminée s’écrit : :
Une adresse de bouclage a été prévue à des fins de test. L’adresse est : : :1.
Quelques exemples :
L’adresse : : est utilisée lorsqu’un hôte ne connait pas sa propre adresse.
0 :0 :0 :0 :0 :0 :0 :1 devient : :1
0 :0 :0 :0 :0 :0 :0 :0 devient : :
FF01 :0000 :0000 :0000 :0000 :0000 :0000 :1 devient
FF01 :0 :0 :0 :0 :0 :0 :1 devient FF01 : :1

11 12
Stratégies de transition IPv6 Configuration de RIPng avec IPv6

Il existe différentes techniques pour effectuer une transition entre IPv4 et IPv6.
• double pile
• transmission tunnel
• NAT-PT (NAT-Protocol Translation)
La double pile : les routeurs sont configurés pour prendre en charge simul-
tanément les protocoles IPv4 et IPv6, avec une préférence pour ce dernier.
Une fois le protocole IPv6 activé globalement et les interfaces configurées avec
des adresses IPv6, on active le protocole RIPng :
R1(config)# ipv6 router rip nom
On identifie alors les interfaces du routeur devant exécuter RIPng avec la
commande :
R1(config-if)# ipv6 router rip nom enable

La transmission tunnel consiste à encapsuler un paquet IPv6 dans un autre

protocole, tel que IPv4. Cette méthode permet de connecter des ı̂lots IPv6.
Cette méthode nécessite des routeurs à double pile.

Le NAT-PT (dès la version ios 12.3(2)T) est un NAT entre IPv6 et IPv4. Cette
traduction permet aux hôtes qui utilisent diffŕentes versions du protocole IP de
communiquer directement.

La méthode de la double pile est la méthode la plus couramment utilisée.

Configuration de la double pile

Chaque noeud dispose de deux piles de protocoles avec une configuration IPv4
et IPv6 sur la même interface ou sur plusieurs interfaces.

Un noeud à double pile choisit la pile à utiliser en fonction de l’adresse de

destination du paquet. Il privilégie IPv6 lorsque celui-ci est disponible.

La version d’IOS 12.2(2)T et les versions ultérieures sont compatibles avec IPv6.

Il faut activer le protocole IPv6 sur le routeur, puis configurer les interfaces avec
IPv4 et/ou IPv6.

Configuration des adresses IPv6

Il faut tout d’abord activer IPv6 sur le routeur :

R1(config)# ipv6 unicast-routing

Il est possible de spécifier l’adresse IPv6 dans son intégralité :

R1(config-if)# ipv6 address adresse-IPv6/ longueur-prefixe

Ou alors de calculer l’identificateur hôte à partir de l’identificateur EUI-64 de

l’interface :
R1(config-if)# ipv6 address adresse-IPv6 /64 eui-64

13 14
Le VPN GRE Les firewalls

GRE (Generic routing encapsulation) est un protocole de tunneling permettant Un firewall est un logiciel et/ou un matériel dont le but est de faire respecter
de créer une liaison virtuelle point à point entre deux routeurs distants. la politique de sécurité d’un réseau en définissant les communications permises
ou interdites.
GRE peut encapsuler divers protocoles de couche 3 à l’intérieur d’un tunnel
IP. Un protocole de routage peut être utilisé à travers le tunnel, permettant Les points communs à tous les firewalls sont :
un échange dynamique d’informations de routage dans le réseau virtuel ainsi créé.
• résistance aux attaques
Les tunnels GRE sont stateless : chaque extrémité du tunnel ne conserve pas • tout le traffic passe à travers
d’informations sur l’état de l’extrémité distante. • application la politique de sécurité

GRE n’inclut par défaut aucun mécanisme de sécurité pour protéger les données
transitant par le tunnel. On distingue deux types principaux de firewall :

• stateless
Configuration d’un tunnel site à site GRE • stateful

La configuration s’effectue en 5 étapes : Un firewall stateless (sans état) inspecte chaque paquet indépendamment des
autres et le compare une liste de règles préconfigurées (ACLs).
Etape 1 :
On créé une interface de tunnel avec la commande interface tunnel 0. Un firewall stateful (à état) vérifie la conformité des paquets à une connexion
en cours. En d’autres termes, il s’assure que chaque paquet d’une connexion est
Etape 2 : bien la suite du précédent paquet et une réponse à un paquet dans l’autre sens.
On assigne une adresse IP au tunnel.

Etape 3 :
On identifie l’interface source du tunnel avec la commande tunnel source.

Etape 4 :
On identifie l’interface destination du tunnel avec la commande tunnel desti-
nation.

Etape 5 :
On indique le protocole qui sera encapsulé par le protocole GRE avec la
commande tunnel mode gre.

15 16
Dépannage du réseau (S4/C8) b

Documenter le réseau

Pour corriger et diagnostiquer des problèmes réseau efficacement, un ingénieur

réseau doit savoir comment le réseau a été conçu et connaitre les performances
du réseau dans des conditions normales d’utilisation. Ces informations s’appel-
lent la ligne de base du réseau et se trouvent dans la documentation suivante :

• la table de configuration du réseau

• le diagramme topologique du réseau
La table de configuration du réseau contient les enregistrements à jour du
matériel et des logiciels utilisés sur le réseau :

• type de périphérique, modèle

• image IOS
• emplacement du périphérique
• adresse MAC
• adresse IP
• ...
Le diagramme topologique du réseau est la représentation graphique du
réseau. Il illustre comment les périphériques sont connectés au réseau, en
utilisant une notation cohérente. Il doit comporter au moins :

• les symboles de tous les périphériques et leurs connexions

• les adresses IP
• les masques de sous-réseau
On distingue deux types de diagramme topologique :

• logigue
• physique

Le diagramme topologique physique indique la disposition physique des

périphériques connectés au réseau.

Le diagramme topologique logique indique comment les données sont

transférées sur le réseau.

1 2
Table de configuration du système d’extrémité Ligne de base des performances du réseau

La table de configuration du système d’extrémité est aussi un élément im- La ligne de base des performances du réseau est la ”personnalité” du réseau.
portant dans la documentation du réseau. Elle contient les enregistrements pour Pour la déterminer, il est nécessaire de répondre aux questions suivantes :
le matériel et les logiciels utilisés sur les périphériques de système d’extrémité,
tels que les serveurs, les stations de travail et les consoles d’administration : • Quelles sont les performances du réseau durant un jour normal ?

• version d’OS • Quelles sont les parties du réseau sous-utilisées et sur-utilisées ?

• adresse IP
• masque sous–réseau • Où se produit la majorité des erreurs ?
• adresse de la passerelle par défaut, DNS
• application à large bande • Quels seuils doivent être définis pour les périphériques devant être surveillés ?
• ...
• ...

Recueil des informations L’administrateur réseau pourra alors, à partir de ces données déterminer ce
qu’est une situation anormale.
Pour recueillir des informations sur le réseau, les commandes suivantes sont
utiles : La planification de la (première) ligne de base des performances du réseau a
lieu en plusieurs étapes :
• ping
• telnet Etape 1 : Choix des types de données à collecter.
• show ip interface brief
• show ip route Etape 2 : Identification des périphériques et des ports intéressants.
• show cdp neighbor detail
Etape 3 : Durée de la ligne de base.

3 4
Approche générale du dépannage Commandes pour le recueil des symptômes

Pour dépanner efficacement un réseau, il est nécessaire d’utiliser une approche Les commandes suivantes permettent de recueillir des informations sur les
méthodique. symptômes :

L’utilisation des modèles OSI et TCP/IP permet d’isoler le problème. • ping, traceroute, telnet
Le processus général de dépannage comporte les étapes suivantes : • show ip interface brief
• show ip route
• Recueil des symptômes • show running-config
• debug ?
• Isolation du problème • show protocols

• Correction du problème
Méthode de dépannage
Le recueil des symptômes peuvent prendre différentes formes : alertes d’un
système d’administration de réseaux, messages de la console, plaintes des Il existe trois méthodes principales de dépannage :
utilisateurs.
• ascendante
L’isolation du problème a lieu en utilisant les couches logiques du réseau afin
• descendante
de pouvoir sélectionner la cause la plus probable.
• diviser et conquérir
La correction du problème est corrigé par l’administrateur. Si le problème
persiste, il faut continuer le dépannage. Méthode de dépannage ascendante : on commence par la couche physique
et on remonte une à une les couches du modèle OSI jusqu’à identification du
Recueil des symptômes problème. Cette approche est conseillée si l’on soupçonne un problème physique
ce qui est souvent le cas dans les réseaux. Cette méthode donne donc souvent
Le recueil des symptômes a lieu en plusieurs étapes : de bons résultats.

Etape 1 : Analyse des symptômes existants recueillis auprès des utilisateurs ou
sur les systèmes d’extrémité.
Etape 2 : Détermination de la propriété du problème.
Etape 3 : Réduction de l’étendue du problème : coeur de réseau, distribution
ou accès réseau ? On détermine alors les éléments matériels susceptibles d’être à
l’origine du problème.
Etape 4 : Recueil des symptômes du périphérique suspect en suivant une
approche de dépannage par couche.
Méthode de dépannage descendante : on commence par la couche applica-
tion et on descend une à une les couches du modèle OSI jusqu’à identification du
problème. une les couches du modèle OSI jusqu’à identification du problème. Il
est préférable d’utiliser cette approche lorsque que l’on soupçonne un problème
logiciel.
Méthode de dépannage diviser et conquérir : on sélectionne une couche et
on teste dans les deux directions à partir de la couche de départ. Généralement si
une couche fonctionne correctement, on peut supposer que les couches inférieures
fonctionnent aussi.

Etape 5 : Documentation des symptômes

5 6
Outils de dépannage
Il existe aussi de nombreux outils de dépannage tels que :
• système d’administration de réseaux
• bases de connaissances
• création d’une ligne de base
• analyseur de protocoles
• module d’analyse réseau
• multimètre numérique
• testeur de câble
• analyseur de câble
• analyseur réseau portable
7 8
Etapes de la conception d’un réseau étendu
Un fournisseur d’accès ou un opérateur télécom est généralement propriétaire
des liaisons de données qui constituent un réseau étendu.
Les technologies des réseau étendus fonctionnent au niveau des trois couches
inférieures du modèle OSI.
La conception ou la modification d’un réseau étendu comporte les étapes
suivantes :
Etape 1 : Localiser les réseaux locaux : Points d’extrémité source et destination.
Etape 2 : Analyser le trafic : déterminer le trafic de données qui doit être
acheminé.
Etape 3 : Planifier la topologie : celle-ci est souvent influencée par la redondance
et l’équilibrage de charge.
Etape 4 : Planifier la bande passante : il faut aussi surveiller la latence.
Etape 5 : Choisir la technologie.
Etape 5 : Evaluation des coûts.
Problèmes courants lors de la mise en oeuvre d’un réseau étendu
Les problèmes les plus courants sont :
• infrastructure à utiliser : privée ou publique
• latence
• confidentialité
• sécurité
• qualité de service
• fiabilité
Dépannage de la couche physique Dépannage de la couche liaison de données

La couche physique transmet des bits dun ordinateur à un autre et régule la Les symptômes de la couche liaison de données sont :
transmission dun flux de bits sur le support physique.
• pas de connectivité au niveau de la couche réseau ou au-
Les symptômes de la couche physique sont : dessus
• pas de fonctionnalité au niveau de la couche réseau ou au-
• performance inférieure à la ligne de base dessus
• perte de connectivité • performance réseau inférieures à la ligne de base
• nombre de collisions élevé • nombre excessif de diffusion
• goulot d’étranglement ou encombrement • message d’erreur de la console.
• forte utilisation de CPU
Les causes de la couche liaison de données sont :
• message d’erreur de la console
Les causes de la couche physique sont : • erreurs d’encapsulation
• erreurs de mappage d’adresses
• problèmes d’alimentation • erreurs de trames
• perte de connectivité • boucles STP
• nombre de collisions élevé
• goulot d’étranglement ou encombrement Pour dépanner la couche physique, il faut vérifier que le câble et les câblages
• forte utilisation de CPU sont corrects et que les interfaces sont bien activées.
• message d’erreur de la console.
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages
sont corrects et que les interfaces sont bien activées. Dépannage de la couche réseau

Les problèmes de la couche réseau englobent tous les problèmes de protocoles

routé et de routage.

Les symptômes de la couche réseau sont :

• panne de réseau
• performance réseau inférieures à la ligne de base

Les causes de la couche réseau sont :

• problèmes de voisinage
• entrées manquantes dans la base de données topologique
• entrées manquantes dans la table de routage

9 10
Dépannage de la couche transport

Les symptômes de la couche transport sont :

• problème de réseau par intermittence

• problèmes de sécurité
• problèmes de traductions des adresses
• problèmes avec certains types de trafic

Les causes de la couche transport sont :

• problème de liste d’accès

• problèmes de NAT

Dépannage de la couche application (TCP/IP)

Les symptômes de la couche application sont :

• faibles performances des applications

• message d’erreur des applications
• message d’erreur sur la console
• messages du fichier journal système
• alarmes du système d’administration de réseaux

11