Académique Documents
Professionnel Documents
Culture Documents
Quatre fils (tips) acheminent la tension et les quatre autres (rips) sont mis à la
terre.
La première paire est constituée par les fils R1 et T1, la deuxième paire par les
fils R2 et T2 etc.
• droit
• croisé
Un câble droit est utilisé dans les liaisons suivantes :
• commutateur vers routeur
• commutateur vers PC ou serveur
• concentrateur vers PC ou serveur
Un câble croisé est utilisé dans les liaisons suivantes :
• commutateur vers commutateur
• commutateur vers concentrateur
• concentrateur vers concentrateur
• routeur vers routeur
• PC vers PC
• routeur vers PC
1
Notions de base sur les réseaux : Communication sur un réseau (S1/C2) Composants du réseau
En théorie, un message peut être transmis entre la source et la destination à Les périphériques
travers le réseau en flux continu.
On distingue deux types de périphériques :
Inconvénients :
• les périphériques finaux
1. Seul un message peut voyager sur un réseau à la fois. Les autres doivent • les périphériques intermédiaires
attendre.
Les périphériques finaux sont l’interface entre l’humain et le réseau de commu-
2. Si la transmission échoue, il faut renvoyer le message dans son intégralité. nication
En pratique, les données sont divisées en petits morceaux appelés segments. Les périphériques intermédiaires permettent au flux de données de voyager à
Cette division du flux de données s’appelle la segmentation. travers le réseau.
Avantages :
2. Si une partie du message ne parvient pas à destination, seule cette partie là a
besoin d’être renvoyée.
Inconvénient :
1 2
Supports réseau Le réseau LAN (Local Area Network)
Actuellement les réseaux utilisent principalement trois types de support : Un réseau local s’étend généralement sur une zone géographique unique.
Il permet à une entreprise de partager localement des ressources.
• câbles en fils cuivrés
Il relie physiquement des éléments suivants :
• câbles en fibre optique
• transmission sans fil • ordinateurs
Le type de codage varie selon le type de support utilisé. • imprimantes
• serveurs
Sur des fils cuivrés : sous forme d’impulsions électriques. • etc.
à l’aide des dispositifs réseaux suivants :
Sur des fibres optiques : sous forme d’impulsions de lumière.
• répéteurs
Transmission sans fil : sous forme d’ondes électromagnétiques. • concentrateurs
• ponts
Le choix d’un support dépend de : • commutateurs
• routeurs
• la distance sur laquelle les données sont transmises Un intranet est construit sur un réseau local. Seuls les employés travaillant
• la quantité de données transitant sur le réseau dans l’entreprise peuvent accéder à ses ressources.
• le débit
• le coût des supports et de l’installation
• l’environnement dans lequel les supports doivent être in-
Le réseau WAN (Wide Area Network)
stallés.
Un réseau étendu interconnecte des réseaux locaux.
Il fonctionne sur une vaste région et permet à des utilisateurs distants de
communiquer.
3 4
Les protocoles réseau Le modèle TCP/IP
Un protocole réseau est un ensemble de règle et de conventions qui régissent La suite de protocoles TCP/IP a été créé par la DARPA en 1974.
la façon dont les périphériques intermédiaires et finaux doivent communiquer. Cette suite est devenue une norme de communication dans les réseaux. Elle est
constituée de 4 couches :
Une suite de protocoles réseau est un ensemble de protocoles qui permettent • couche 4 : Application
aux périphériques intermédiaires et finaux d’échanger des données, de commu- • couche 3 : Transport
niquer. Elle décrit décrit des processus tels que : • couche 2 : Internet
• couche 1 : Accès Réseau
• le format du message
• la méthode de partage d’informations entre périphériques Couche Application : présente les données pour l’utilisateur.
réseaux concernant les réseaux
• le contrôle des erreurs Couche Transport : s’occupe de la fiabilité, le contrôle de flux. Elle transforme
• le lancement et l’arrêt des sessions de transfert de données les données en segments.
Une norme est un processus ou un protocole reconnu par l’industrie du réseau Les protocoles travaillant dans cette couche sont TCP et UDP.
et ratifié par une organisation de normes telles que IEEE ou IETF.
Couche Internet : transforme chaque segment en paquet. Le protocole
Une norme garantit que les produits provenant de différents fournisseurs sont régissant cette couche est IP (Internet Protocol). Cette couche s’occupe de la
compatibles. détermination du meilleur chemin.
Le processus de communication
5 6
Le modèle de référence OSI Adressage dans le réseau
L’ ISO (International Organisation for Standardisation) à développé un modèle Plusieurs types d’adresses doivent être incluses dans la trame pour livrer les
de référence OSI (Open Systems Interconnection). Ce modèle a pour but d’aider données au destinataire.
les fournisseurs à créer des réseaux compatibles entre eux.
Le modèle OSI est constitué d’un ensemble de 7 couches de protocoles. Première adresse : elle est contenue dans l’en-tête de l’unité de données de la
Chaque couche n’agit qu’avec ses voisines immédiates. couche 2 (trame). Cette adresse est utilisée localement et est appelée adresse
Les couches sont les suivantes : physique. Dans le cadre de la technologie Ethernet, il s’agit de l’adresse MAC.
• couche 7 : Application
Deuxième adresse : elle est contenue dans l’en-tête de l’unité de données de
• couche 6 : Présentation
la couche 3 (paquet). Les protocoles de la couche 3 assurent le déplacement des
• couche 5 : Session
données d’un réseau local vers un autre réseau local via un interréseau. Cette
• couche 4 : Transport
adresse est appelée adresse logique. Elle correspond à l’adresse IP.
• couche 3 : Réseau
• couche 2 : Liaison de données
Troisième adresse : elle est contenue dans l’en-tête de l’unité de données de
• couche 1 : Physique
la couche 4 (segment). Cette adresse correspond en fait à un numéro de port,
Couche Application : est la plus proche de l’utilisateur. qui identifie un service spécifique s’exécutant sur le destinataire.
Les applications telles que les éditeurs, les tableurs, le courrier électronique
appartiennent à cette couche.
7 8
Notions de base sur les réseaux (sem 1 / chapitre 3) Logiciels de la couche application
La couche application constitue l’interface entre l’utilisateur et le réseau de Une application est dite orientée réseau si elles communiquent directement
données. avec les couches inférieures.
La couche présentation remplit trois fonctions principales : D’autres applications s’appuient sur les services de la couche application pour
assurer cette communication.
• codage et conversion des données
• compression des données
Le modèle client-serveur
• chiffrement des données
Un client est un périphérique qui demande des informations.
La couche session établit un dialogue entre les applications source et destination.
Un serveur est un périphérique qui répond à une demande.
Protocoles de la couche application TCP/IP Le client initie l’échange en demandant des données au serveur. Ce dernier
répond en fournissant les données au client.
Les protocoles de la couche application les plus connus sont
• DNS L’échange peut nécessiter des informations de contrôle telles que
• HTTP
• authentification de l’utilisateur
• SMTP
• authentification d’accès aux données
• FTP
• autorisation d’exécution d’opérations
• Telnet
• DHCP
Téléchargement montant : Transfert du client au serveur
1 2
Le modèle Peer to Peer (P2P) Le protocole DHCP (Dynamic Host Configuration Protocol)
Le modèle P2P est un autre type de modèle. Il faut cependant bien différencier : Le service DHCP permet à un hôte d’obtenir automatiquement une adresse IP
lorsqu’il se connecte au réseau.
• la conception d’un réseau P2P
• les applications P2P Le serveur DHCP choisit une adresse dans une plage d’adresses (pool) et la
Un réseau P2P est constitué d’ordinateurs connectés entre eux, qui partagent prête à l’hôte qui en a fait la demande.
des ressources sans la présence d’un serveur.
Dans les faits, un service DHCP peut fournir principalement
Chaque ordinateur peut fonctionner comme client ou serveur selon le type de • une adresse IP
requête. • un masque de sous–réseau
• l’adresse IP de la passerelle par défaut
• l’adresse IP du serveur DNS
Les applications Peer to Peer • ...
Une application P2P permet à un périphérique d’opérer à la fois comme serveur Sur un réseau ayant beaucoup de stations, l’utilisation d’un serveur DHCP peut
et comme client lors d’une même communication. s’avérer plus efficace que l’utilisation d’adresses fixes.
Certaines applications P2P utilise un système hybride dans lequel le partage des Le protcole DHCP peut présenter un risque dans la sécurité d’un réseau.
ressources est décentralisé mais un répertoire centralisé sur un serveur indique
l’emplacement des ressources. Généralement, sur un même réseau, on utilise l’adressage dynamique et
l’adressage statique.
L’adressage statique est utilisé pour les périphériques réseaux tels que
• passerelles (routeurs)
• commutateurs
• serveurs
• imprimantes
• ...
3 4
Fonctionnement du protocole DHCP Service www et http
Lorsqu’un périphérique se connecte au réseau et qu’il est configuré en mode Lorsqu’un utilisateur tape une adresse web dans un navigateur web, il établit
automatique, il diffuse un paquet DHCP DISCOVER pour identifier un une connexion sur un serveur web à l’aide du protocole http.
serveur DHCP disponible.
Un navigateur web peut interpréter différents types de données telles que
Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve
une offre de bail donnant les indications :
• données en texte clair
• adresse IP prêtée • données en html
• serveur DNS
• passerelle par défaut
D’autres types de données peuvent nécessiter le téléchargement de plug–in.
• durée de bail
Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur. Le protocole http (hypertext transfert protocol)
Si l’offre est encore valable, le serveur renvoie un DHCP ACK et dans le cas Le protocole http est un protocole de la suite TCP/IP, développé à l’origine
contraire DHCP NAK. pour publier et extraire des pages html.
Le protocole http est un protocole de requête/ réponse. Les messages les plus
Service et protocole DNS courants sont :
Chaque périphérique possède une adresse IP unique sur un réseau afin de • GET
pouvoir être identifié de façon unique sur un réseau. • PUT
Le navigateur web envoie une requête avec GET fichier.htm, le serveur web
Cependant, il est bien plus facile pour un utilisateur de mémoriser des mots que envoie fichier.htm.
des chiffres, d’où la création des noms de domaine.
Le message PUT est utilisé pour télécharger des données sur un serveur web.
Le protocole DNS (Domain Name System) effectue le mappage entre un nom
de domaine et une adresse IP. Le protocole http n’est pas un protocole sécurisé. Pour utiliser une communica-
Lorsqu’un client effectue une demande auprès d’un serveur DNS, celui–ci regarde tion sécurisée, on utilise le protocole https.
s’il peut résoudre le nom avec ses propres enregistrements. S’il ne peut pas,
il contacte d’autres serveurs DNS. Lorsque la correspondance est trouvée, le
réponse est transmise au serveur d’origine ; celui–ci la conserve temporairement
dans son cache.
5 6
Les services de messagerie
• l’analyse antivirus
• filtrage de SPAM
• gestion des reçus
7
Notions de base sur les réseaux (sem 1 / chapitre 4) Le protocole TCP
• suivi de chaque communication entre les hôtes source et Le protocole TCP est utilisé par les applications suivantes :
destination
• segmenter les données (segments) • navigateurs web
• réassembler les segments sous forme de données • email
• identifier chaque application (numéro de port) • transfert de fichiers
• DHCP
• DNS
• Lecture video
• VoIP
1 2
Etablissement et fermeture d’une connexion TCP Le protocole UDP
Lors de son établissement, une connexion TCP : Le protocole UDP est simple. Il est
• vérifie que le destinaire est présent sur le réseau. • sans connexion.
• s’assure que le destinataire à le service demandé actif • sans mécanisme de retransmission
• informe le destinataire que la source souhaite établir une • sans contrôle de flux
connexion sur le port testé
Contrôle de flux : le flux des données est géré en utilisant une taille de fenêtre
(dynamique) qui correspond au nombre d’octets envoyés avant qu’un accusé de
réception soit envoyé.
3 4
Couche réseau OSI (sem 1 / chapitre 5) Les protocoles de la couche réseau
• IPv4
La couche réseau
• IPv6
• IPX
Les services proposés par la couche réseau sont les suivants :
• Apple Talk ...
• l’adressage
• l’encapsulage
Le protocole IP (v4 / v6) est le plus répandu.
• le routage
• le décapsulage
Le protocole IP est le seul protocole réseau utilisé sur Internet pour transporter
des données utilisateur. IP v6 est mis en oeuvre et devrait remplacer peu à peu
Adressage : chaque hôte possède une adresse IP qui l’identifie de façon unique. IP v4.
Encapsulation : La couche réseau ajoute un en–tête à chaque segment reçu Le but du protocole IP est de transférer les données entre les hôtes source et
contenant les adresses source et destination, formant ainsi un paquet. destination. Ses caractéristiques sont :
Le routage des paquets est assuré par les routeurs. Son but est de faire • sans connexion
emprunter le meilleur chemin à un paquet entre la source et la destination. • au mieux
• indépendant des médias
Décapsulage : Lorsque le paquet arrive à destination, le couche réseau le
décapsule et s’assure que l’adresse réseau destinataire est correcte.
Le routage utilise le contenu de l’en–tête du paquet pour l’acheminer.
L’en–tête IP v4
• adresse IP source
• adresse IP destination
• durée de vie (TTL)
• protocole
1 2
Séparation des hôtes en groupes Passerelle
Un des rôles de la couche réseau est de fournir un mécanisme d’adressage La passerelle est l’interface du routeur connectée au réseau considéré. Elle
des hôtes. partage donc la même partie réseau.
Tous les hôtes ne sont pas connectés à un seul grand réseau. En effet, le grand Lors de la configuration d’un hôte, il est nécessaire d’indiquer l’adresse IP de la
réseau est séparés en réseaux plus petits. passerelle dans les paramètres réseau.
Les réseaux peuvent être groupés en fonction de : Traitement des paquets par un routeur
• leur emplacement géographique Si l’hôte de destination se trouve sur le même réseau que l’hôte source, alors le
• leur objectif paquet est stoppé par la passerelle.
• leur propriété
Si l’hôte de destination NE se trouve PAS sur le même réseau que l’hôte source,
alors le paquet transite par la passerelle. Deux possibilités se présentent alors :
Pourquoi séparer les hôtes en réseaux ?
Si le réseau de destination est connecté au routeur passerelle, alors le paquet est
directement acheminé à destination.
Les problèmes rencontrés sur les grands réseaux sont :
Si le réseau de destination N’est PAS connecté au routeur passerelle, alors le
• la dégradation des performances paquet est acheminé vers un deuxième routeur (=tronçcon suivant).
• les problèmes de sécurité
Une adresse IPv4 est constituée de 32 bits, divisés en 4 groupes de 8 bits (octets).
• partie réseau
• partie hôte
3 4
Table de routage Routage dynamique
Le routeur utilise une route pour transférer un paquet vers sa destination. Un protocole de routage dynamique permet aux routeurs d’échanger des
informations sur les routes qu’ils connaissent.
La route n’indique pas la destination finale mais le tronçon qui y mène.
Lorsqu’un routeur effectue des mises à jour dans sa table de routage, il envoie
Les routes sont contenues dans la table de routage du routeur. Il la consulte ces changements aux autres routeurs.
afin de déterminer le chemin qu’un paquet doit prendre pour arriver à destination.
Les protocoles de routage les plus courants sont :
Pour afficher la table de routage : # show ip route
• RIP (Routing Information Protocol)
Lorsqu’une interface est configurée sur le routeur, la route lui étant associée est
• EIGRP (Enhanced Interior Gateway Protocol)
automatiquement incluse dans la table de routage.
• OSPF (Open Shortest Path First)
Les routes apparaissant dans la table de routage possèdent les caractéristiques Généralement, dans une table de routage se trouve une combinaison de routes
suivantes : statiques, dynamiques et par défaut.
• le réseau de destination
• le tronçon suivant
• la mesure
Lors du transfert d’un paquet, le routeur sélectionne la route la plus spécifique
listée dans la table de routage.
Il est possible de configurer une route par défaut qui est utilisée en dernier
recours.
Routage statique
5 6
Couche réseau OSI (sem 1 / chapitre 6) Les classes d’adresses IP
Une adresse IPv4 est constituée de 32 bits, divisés en 4 groupes de 8 bits (octets). • la partie réseau : le premier octet
• la partie hôte : les trois octets suivants
• le premier bit du premier octet vaut 0
• partie réseau
• partie hôte La classe B est associée aux réseaux de taille moyenne.
Elle vérifie les caractéristiques suivantes :
L’adresse réseau décrit de façon unique un réseau. Elle correspond à la plus La classe D permet d’effectuer de la diffusion multicast.
petite adresse de la plage d’adresses ; en d’autres termes chaque bit hôte est à Elle vérifie les caractéristiques suivantes :
0.
• la partie réseau : les quatre premiers bits
• la partie hôte : les quatre derniers bits du premier octet plus
L’adresse de diffusion correspond à la plus grande adresse de la plage
les trois octets suivants
d’adresses ; en d’autres termes chaque bit hôte est à 1.
• les quatre premiers bits du premier octet valent 1110
Chaque adresse hôte se situe entre l’ adresse réseau et l’adresse de diffusion. La classe E est réservée pour la recherche effectuée par l’IETF :
Elle vérifie les caractéristiques suivantes :
Le préfixe réseau indique la longueur de la partie réseau (=nombre de bits).
• la partie réseau : les quatre premiers bits
• la partie hôte : les quatre derniers bits du premier octet plus
les trois octets suivants
• les quatre premiers bits du premier octet valent 1111
1 2
h Les adresses IP publiques et privées
Les adresses IP publiques sont uniques et peuvent être obtenues auprès d’un
fournisseur Internet.
Les réseaux privés (LAN) peuvent utilisés des adresses IP privées.
Trois blocs d’adresses sont réservées à cet effet :
Le masque de sous–réseau
Opération AND
Lorsqu’un paquet IPv4 est transmis, les routeurs doivent extraire de l’adresse
réseau de destination de l’adresse de destination. Dans ce but un AND est
effectué entre l’adresse de destination et le masque de sous–réseau.
3 4
Création de sous–réseaux b
Il convient d’emprunter des bits sur la partie hôte pour utiliser en tant que bits
réseau.
Formules :
Nb. d’hôtes par sous–réseau : 2m − 2 avec m= nb. de bits restants dans la partie
hôte.
5 6
Préparation de l’adressage d’un réseau Les FAI (Fournisseurs d’accès Internet)
Rappel : les hôtes associés à un réseau IPv4 partagent la même partie réseau. Toute entreprise ou administration qui souhaite accéder à Internet obtient
désormais un bloc d’adresses publiques auprès d’un FAI qui le lui prête ou
On distingue au sein d’un même réseau, quatre types d’adresses hôte : le lui loue. Le FAI permet aussi d’avoir accès à Internet.
• périphériquess finaux pour les utilisateurs Un FAI développe son propre réseau pour se connecter à Internet ainsi que
• serveurs et périphériques généralement des services d’accès associés tels que :
• périphériques intermédiaires
• hôtes accessibles depuis Internet • DNS
• messagerie
Un bloc d’adresses logique est attribué à chaque type d’adresses dans la plage • hébergement de site Web
d’adresses réseau.
Les FAI sont répartis, en plusieurs niveuax, au sein d’une hiérarchie, en fonction
Lors de la préparation de l’adressage d’un réseau, plusieurs décisions sont à
de leur connectivité au réseau fédérateur Internet.
prendre.
Vue d’ensemble du protocole IPv6
• adresses privées / adresses publiques
• adresses dynamiques/ adresses statiques Le protocole IPv6 a éé développé depuis les années 1990 par l’IETF afin de
pallier au problème de l’épuisement des adresses IPv4.
Une adresse IPv6 est constituée de 128 bits séparés par des : en 8 groupes de 4
Attribution des adresses chiffres hexadécimaux.
Toute entreprise ou administration qui souhaite accéder à Internet doit deman- Toute une suite de protocoles a du être développée, dont de nouveaux protocoles
der un bloc d’adresses publiques. de routage afin de prendre en charge IPv6.
Pendant longtemps, l’ensemble des adresses était géré par l’IANA. Cette gestion Il est prévu que IPv6 supplante IPv4, cependant sa mise en oeuvre est lente et
était répartie entre différents registres Internet régionaux comme : IPv4 reste toujours largement utilisé.
Elle permet aussi de tester le bouclage local (127.0.0.1). En cas d’erreur, cela
indique que le protocole TCP/IP ne fonctionne pas sur l’hôte.
La commande traceroute (tracert) identifie le chemin entre les hôtes en
listant les sauts traversés sur le trajet.
7 8
Couche liaison de données (sem 1 / chapitre 7) La trame
La couche liaison de données prépare un paquet afin de pouvoir le placer sur le Les principaux champs de la trame sont :
support, en l’encapsulant dans une trame.
• champ de début de trame
Un noeud est le terme consacré de la couche 2 faisant référence à un périphérique. • champ d’adressage
• champ de données
Le support est le média permettant de transférer les données entre deux noeuds. • champ de détection d’erreurs
• champ de fin de trame
1 2
Les sous–couches de la couche liaison de données Les supports partagés
La couche liaison de données relie les couches logicielles et matérielles. Pour les supports partagés, on distingue deux types de méthodes d’accès au
support :
Afin d’assurer cette particularité, la couche liaison de données est subdivisée en
deux sous–couches :
• accès contrôlé
• accès basé sur le conflit
• la sous–couche LLC (Logical Link Control)
• la sous–couche MAC (Media Access Control)
Accès contrôlé : chaque noeud dispose de son tour pour utiliser le support. Il
s’agit d’une méthode dite déterministe.
La sous–couche LLC
Accès basé sur le conflit : tous les noeuds sont en concurrence pour utiliser
• met en trame le paquet de la couche réseau le support. Il s’agit d’une méthode dite non déterministe.
• identifie le protocole utilisé par la couche réseau.
Ainsi, un noeud qui souhaite envoyer une trame tente d’ accéder au support.
Pour ce faire, il utilise le protocole CSMA (Carrier Sense Multiple Access) :
La sous–couche MAC
Si un signal issu d’un autre noeud est détecté sur le support, alors le noeud
• s’occupe de l’adressage MAC attend et essaie après un certain laps de temps.
• marque le début et la fin de la trame. Quand aucun signal n’est détecté, le noeud peut transmettre ses trames.
3 4
Les supports non partagés Topologies (logique et physique)
Sur ce type de support, on distingue deux types de communication : La topologie physique est la manière dont le support physique est utilisé pour
interconnecter les périphériques.
• bidirectionnelle simultanée
La topologie logique décrit les connexions virtuelles établies entre les noeuds
• bidirectionnelle non simultanée
du réseau, quel que soit leur agencement physique.
Communication bidirectionnelle simultanée : aucune règle d’arbitrage La topologie logique influence le type de trame ainsi que la méthode d’accès au
nécessaire. support utilisée
.
Communication bidirectionnelle non simultanée : règle d’arbitrage Les topologies logique et physique généralement utilisées sont :
nécessaire.
• point à point
• accès multiple
• en anneau
• CSMA/CD
• CSMA/CA
• méthode du passage du jeton (cf ci–dessous)
Topologie en anneau : tous les noeuds situés autour de l’anneau entre le noeud
source et le noeud destination examinent la trame.
La méthode utilisée dans ce cas est généralement la méthode du passage du
jeton (cf ci–dessous).
5 6
La méthode du passage du jeton Les protocoles de la couche liaison de données
Un noeud peut placer une trame sur le support que s’il est en possession du Il existe un nombre élevé de protocoles de couche 2. Les protocoles étudiés en
jeton. détail durant le cours sont :
Ainsi, chaque noeud reçoit une trame tour à tour. Si la trame ne lui est pas
adressée, ce dernier la transmet au noeud suivant.
• Ethernet
• PPP
• HDLC
Rôle de l’en–tête de la trame
• Frame Relay
• ATM
Le champ d’adressage se trouve dans l’en–tête de la trame. Les adresses source
et destination sont contenues dans ce champ et s’appellent adresses physiques.
Protocoles Ethernet pour les réseaux locaux
Une adresse physique n’indique pas le réseau sur lequel le noeud se situe et n’est
utilisée que pour une livraison locale.
Ethernet est une famille de technologies réseau IEEE 802.2 et 802.3.
Si la trame est destinée à un autre réseau que le réseau d’origine, alors le routeur
Les normes Ethernet définissent les protocoles de la couche 2 et les technologies
passerelle décapsule la trame d’origine, crée une nouvelle trame et l’envoie sur le
de la couche 1.
nouveau segment.
La présence ou l’absence d’adresses physiques dans le champ d’adressage est lié
Ethernet est la technologie la plus utilisée sur les réseaux locaux. Elle prend en
au protocole utilisé sur le support. Ainsi,
charge les bandes passantes de 10,100,1000 et 10’000 Mbps.
• les topologies point à point ne nécessitent pas d’adressage. Le format de trame est cohérent entre les différentes versions. Par contre, la
méthode détection et le placement des trames sur le support varient entre les
• les topologies en anneau ou à accès multiple nécessitent un versions.
adressage.
Ethernet fournit un service non orienté connexion sur un support partagé et
utilise le protocole CSMA/CD comme méthode d’accès au support.
Rôle de la queue de bande
Le champ d’adressage est constitué d’adresses physiques source et destination
Elle permet de détecter si la trame est arrivée à destination sans erreur. qui s’appellent des adresses MAC.
La détection d’erreur s’effectue en plaçant un résumé mathématique de bits Une adresse MAC est constituée de 48 bits, représentée par 12 nombres
(CRC). Elle a lieu au niveau de la couche 2 car le placement de données sur le hexadécimaux.
support est une opération délicate.
Ethernet II est le format de la trame Ethernet utilisé par la suite TCP/IP.
Le noeud destinataire reçoit la trame, recalcule sa valeur CRC et la compare
avec celle stockée dans la queue de bande.
Si les deux valeurs diffèrent, la trame est ignorée.
7 8
Protocole PPP pour les réseaux étendus
Il s’agit d’un protocole principalement utilisé sur les réseaux étendus série. Il
peut aussi être utilisé sur d’autres supports physiques tels que :
Lors de l’ouverture de connexion PPP, les deux noeuds peuvent négocier aussi
des options telles que :
• l’authentification
• la compression
La norme 802.11 suit la norme 802.2 LLC et utilise le même système d’adressage
que la norme 802.
Par contre, il existe des différences au niveau de la sous–couche MAC et de la
couche physique.
• l’authentification
• l’association
• la confidentialité
9
Couche physique (sem 1 / chapitre 8) b
Il existe trois types de supports élémentaires ayant chacun leur propre type de
signal :
Méthode de signalisation
• l’amplitude
• la fréquence
• la phase
1 2
Codage : groupements de bits b
Un groupe de code est une séquence consécutive de bits de code qui représente
des bits de données.
Codage 4B/5B
3 4
Capacité de transport des données b
• la bande passante
• le débit
• le débit applicatif
Normes physiques
Divers organismes de normalisation (ANSI, EIA, IEEE etc.) ont défini les
propriétés physiques, électriques et mécaniques des supports existants. Ainsi des
normes sont définies pour :
Supports en cuivre
Les fils en cuivre sont les supports les plus utilisés. On distingue deux types de
support en cuivre :
Les données sont transmises sous forme d’impulsions électriques. Ces signaux
sont donc sensibles au parasitage.
5 6
Câbles à paires torsadées non blindées (UTP) b
Le câble à paires torsadées est constitué de 8 fils torsadés 2 à 2, puis logés dans
une gaine plastique.
La torsion a pour effet de garder les deux fils aussi proches que possible, ce qui
diminue les problèmes de parasitages externe et interne (diaphonie) au câble.
Les catégories les plus répandues sont Cat5, Cat5e et Cat6.
Câble coxial
Il est composé d’un seul conducteur de cuivre entouré d’un matériau isolant,
d’un film métallique, puis d’une gaine.
Il est utilisé pour relier des antennes à des périphériques sans fil.
Le câble coaxial était utilisé dans les réseaux Ethernet 10base2. Il a été remplacé
par le câble UTP.
Câble STP
Le câble STP protège avec des blindages métalliques tous les fils et les paires
individuellement. Il offre donc une meilleure protection contre les parasites que
le câble UTP.
7 8
Fibre optique Supports sans fil
Le câblage en fibre optique utilise des fibres de verre ou de plastique. Les informations sont transportées sous forme d’ondes. Celles–ci peuvent être
arrêtées ou atténuées par divers matériaux. Ce type de transmissions est aussi
Les informations sont transmises sous forme d’impulsions lumineuses. sensible aux interférences qui peuvent être produites par des téléphones sans fil,
des fours à micro-ondes etc.
A l’heure actuelle, la bande passante potentielle de ce support n’est pas atteinte. On distingue plusieurs types de supports sans fil dont :
Une fibre optique n’est pas sensible aux interférences électromagnématiques. • 802.11 (WLAN)
• 802.15 (PAN)
Une fibre optique à une faible perte de signal. Elle peut donc fonctionner sur de • 802.16 (WIMAX)
très longues distances. • Système mondial de communication avec les mobiles
Généralement deux fibres optiques sont utilisées pour assurer les 2 sens de la
connexion.
Réseaux sans fil
L’enveloppe autour de la fibre empêche la perte de lumière.
Un réseau sans fil exige :
La lumière est générée par des lasers ou des LED. Des photodiodes détectent les
signaux lumineux et les convertissent en tensions. • point d’accès sans fil
• adaptateur de carte réseau sans fil
On distingue deux types de fibres :
9 10
Ethernet (sem 1 / chapitre 9) Ethernet 10Mbps (versions initiales)
Des modifications mineures ont été apportées à la norme 802.3 afin d’être Norme 10BASE2
compatible avec le modèle OSI.
• câble coaxial fin
Ethernet 802.3 décrit les fonctions de la sous-couche MAC et de la couche • connecteur BNC
physique. • 185 mètres
Alohanet était un réseau de radio numérique conçu pour transmettre des infor- • câble à paires torsadées
mations entre les ı̂les hawaiennes. Le protocole utilisé était le suivant : • connecteur RJ 45
une transmission sans reçu devait être retransmise après un court délai. • 100 mètres
Cette technique a été utilisée par Ethernet dans le cadre des réseaux filaires sur
un support partagé. La topologie en étoile améliore la fiabilité du réseau mais la répétition des trames
sur tous les ports du concentrateur n’a pas allégé le problème des collisions.
1 2
100 Mbps (Fast Ethernet) 10 Gb Ethernet
La topologie est en étoile mais le concentrateur est remplacé par un commuta- A l’origine, Ethernet est une technologie utilisée uniquement dans le cadre des
teur qui diminue considérablement le nombre de collisions. réseaux locaux. La distance des câbles ayant considérablement augmentée avec
Deux normes sont devenues importantes : la fibre optique, il est désormais possible d’utiliser Ethernet dans les MAN et
les WAN.
• 100BASE-TX
• 100BASE-FX
Une connexion 10Gb Ethernet n’est constituée que par des fibres optiques en
dont les caractéristiques sont : mode full-duplex ; le protocole CSMA/CD n’est pas utilisé.
Trames Ethernet
1000 Mbps (Gigabit Ethernet) Une trame 802.3 est constituée des champs suivants :
3 4
Adressage MAC Ethernet Contrôle de l’accès aux supports avec Ethernet
Chaque dispositif réseau possède une adresse MAC unique. Cette dernière est Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les
utilisée par la technologie Ethernet pour identifier un élément du réseau. collisions.
Une adresse MAC a une longueur de 48 bits, composée de 12 nombres Détection de signal : Avant d’envoyer un message, un périphérique écoute la
hexadécimaux. Les 6 premiers nombres hexadécimaux sont attribués par l’IEEE porteuse :
à chaque entreprise. Les 6 derniers sont attribués par l’entreprise elle–même.
• Si aucun signal n’est détecté : le périphérique envoie son message.
Monodiffusion, multidiffusion et diffusion Ethernet • Si un signal est détecté : le périphérique attend un certain temps avant
d’essayer à nouveau d’envoyer son message.
Il existe 3 types d’adresses MAC :
Accès multiple : Si deux périphériques émettent en même temps, une collision
• monodiffusion peut se produire.
• multidiffusion
• diffusion Dès la détection de collision, les deux périphériques responsables de la détection
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
Monodiffusion : un périphérique envoie un message à un seul destinataire. temps aléatoire– algorithme d’interruption.
Diffusion : un périphérique envoie un message à tous les périphériques du Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
domaine de diffusion. périphériques se ne remettent pas à émettre en même temps, une période de
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse réémission aléatoire est activée sur chaque périphérique.
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Concentrateurs et domaines de collisions
Multidiffusion : un périphérique envoie un message à un groupe de
périphériques (groupe de multidiffusion).
Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
Ethernet peuvent atteindre.
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
correspondante.
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
autres ports.
Les 6 derniers nombres hexadécimaux correspondent à
• 1er bit : 0 Lorsqu’une collision survient, celle-ci se propagent sur une partie du réseau
• les 23 bits depuis la droite de l’adresse IP de multidiffusion appelé domaine de collisions.
5 6
Commutateurs Protocole ARP
Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter Le protocole ARP assure les fonctions de base suivantes :
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu-
tateur représente un seul domaine de collisions. • résolution des adresses IP en adresses MAC
Lorsque tous les noeuds sont connectés directement au commutateur, celui • conservation en mémoire cache des mappages
assure :
Rappel : Pour envoyer une trame sur un réseau Ethernet, il est nécessaire
• une bande passsante dédiée sur tous les ports d’inclure les adresses IP et MAC source et destination.
• un environnement sans collision
• une transmission bidirectionnelle simultanée Le périphérique source trouve les adresses IP et MAC destination dans sa table
ARP.
Fonctionnement d’un commutateur Cette table est mise à jour dynamiquement selon de 2 méthodes :
Un commutateur effectue un réacheminement sélectif. Pour ce faire, le • le périphérique surveille le trafic sur le segment local. Quand il reçoit une
commutateur fait appel aux fonctions de base suivantes : trame, il stocke dans sa table ARP l’adresse IP et son adresse MAC correspon-
dante.
• l’apprentissage • le périphérique envoie une requête ARP contenant une adresse IP de desti-
• l’horodatage nation et une adresse MAC de diffusion. Le destinataire répond en indiquant
• l’inondation son adresse MAC dans une trame monodiffusion.
• le réacheminement sélectif
• le filtrage Si le destinataire ne se trouve pas sur le même réseau que la source, la source
utilise l’adresse MAC de la passerelle du réseau comme adresse MAC destinataire.
7 8
Planification et câblage des réseaux (sem 1 / chapitre 10) b
Périphériques intermédiaires
• le concentrateur (couche 1)
• le commutateur (couche 2)
• coût
• vitesses et types de ports/interfaces
• capacité d’extension
• facilité de gestion
• zone de travail
• point de distribution (armoire de répartition)
• câblage vertical (câblage du réseau fédérateur)
• câblage horizontal (câblage de distribution)
1 2
Connexions au réseau local Connexions au réseau local : câbles droits et croisés
On distingue deux types de terminaison RJ45 : T568A et T568B. Un câble droit est utilisé dans les liaisons suivantes :
• commutateur vers routeur
Les périphériques utilisent deux types d’interface UTP : MDI et MDIX • commutateur vers PC ou serveur
• concentrateur vers PC ou serveur
Media Dependant Interface (MDI) :
Un câble croisé est utilisé dans les liaisons suivantes :
• les broches 1,2 sont utilisées pour la transmission • commutateur vers commutateur
• les broches 3,6 sont utilisées pour la réception • commutateur vers concentrateur
• concentrateur vers concentrateur
Les interfaces MDI sont utilisées sur • routeur vers routeur
• PC vers PC
• les ordinateurs • routeur vers PC
• les serveurs Sur de nombreux périphériques, il est possible de sélectionner le type de
• les routeurs l’interface.
Media Dependant Interface, Crossover (MDIX) : l’interface est croisée. • le port peut posséder un mécanisme permettant de choisir
Les interfaces MDIX sont utilisées sur entre MDI/MDIX
• le port peut être configuré comme MDI/MDIX
• les concentrateurs • le port détecte automatiquement le type de câble
• les commutateurs
Afin de connecter ces deux types d’interfaces, on utilise deux types de câbles :
3 4
Connexions au réseau étendu
5
Configuration d’un routeur et test du réseau (sem1/chap 11) Fichiers de configuration
On accède aux services de l’OS par l’intermédiaire d’une interface ligne de Il existe deux fichiers de configuration :
commandes ou d’une interface graphique.
• le fichier de configuration en cours (running-config)
Les fonctions de l’OS varient selon le type de dispositif réseau sur lequel il est • le fichier de configuration initiale (startup-config)
implanté.
Le running-config est stocké en RAM.
L’OS est stocké dans la mémoire flash du dispositif. Lors du démarrage, il est
généralement copié dans la RAM. Toute modification de configuration a lieu dans le running-config et est prise
immédiatement en compte.
Méthode d’accès au routeur/switch
Il est possible de sauvegarder le running-config dans le startup-config.
Il existe différentes méthodes pour accéder au routeur/switch :
Le startup-config est stocké en NVRAM. Il est chargé dans la RAM au
• le port console démarrage du routeur/switch et correspond au contenu du running-config.
• le port AUX
• le protocole Telnet ou SSH
Le port AUX fonctionne comme le port console mais n’affiche pas les messages
d’erreur, de démarrage et de débogage.
Le protocole SSH fournit un accès plus sécurisé que Telnet. Cependant, il n’est
pas présent par défaut sur tous les OS.
1 2
Modes de l’IOS Exemple d’aide au clavier
Les modes sont organisés selon une structure hiérarchique. On distingue les
modes suivants :
Chaque mode est identifié par une invite de commande particulière qui ne
permet d’entrer que des commandes spécifiques à ce mode.
Aide au clavier
3 4
Nom du routeur/switch b
Router(config)#hostname nomrouteur
Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• les lignes de terminal virtuel (vty)
• la ligne console
• le mode privilégié
Router(config)#line console 0
Router(config-line)#password cisco
Router(config-line)#login
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Il est préférable d’utiliser enable secret car le mot de passe est crypté.
Afin que les mots de passe apparaissent sous forme cryptée dans les fichiers de
configuration, on utilise la commande :
Router(config)#service password-encryption
5 6
Configuration d’une interface sur un routeur Configuration de l’interface d’un commutateur
Depuis le mode de configuration globale : Les interfaces physiques d’un switch ne possède pas d’adresses IP et sont actives
par défaut.
Router(config)#interface type slot/port
Pooour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une
Par défaut, une interface est désactivée. adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Pour activer une interface : no shutdown
Pour désactiver une interface : shutdown Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau
Configuration d’une interface Ethernet (sur un routeur) Switch(config-if)#no shutdown
Switch(config-if)#exit
Chaque interface Ethernet activée doit posséder
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut.
• une adresse IP
• un masque de sous–réseau Switch(config)#ip default-gateway adresse IP
Switch(config)#exit
Router(config)#interface ethernet type slot/port
Router(config-if)#ip address adresse IP masque sous-réseau Les commandes show
Router(config-if)#no shutdown
Router(config-if)#exit Plusieurs commandes show peuvent être utilisées pour examiner les fichiers
du routeur. Pour les connaı̂tre toutes : show ? (en mode utilisateur ou privilégié).
Configuration d’une interface série (sur un routeur) Les plus utiles sont :
Chaque interface série activée doit posséder show interfaces [type][port] : affiche toutes les statistiques des interfaces du
routeur.
• une adresse IP
show ip interface brief : affiche des informations abrégées sur les interfaces.
• un masque de sous–réseau
show controllers serial [slot/port] : affiche les caractéristiques de l’interface.
Par défaut un routeur est un équipement ETTD (DTE), mais il peut être
configuré comme un équipement ETCD (DCE). Dans ce cas, le routeur doit show running-configuration : affiche le contenu du fichier de configuration
fournir le signal de synchronisation (commande clockrate). en mémoire (RAM).
Lorsque deux routeurs sont connectés par un câble série, un des deux routeurs show startup-configuration : affiche le contenu de la NVRAM.
doit jouer le rôle de l’équipement DCE.
show flash : affiche les informations sur la mémoire flash et la liste des fichiers
Router(config)#interface serial type slot/port stockés dans la flash.
Router(config-if)#ip address adresse IP masque sous-réseau
SI DCE : Router(config-if)#clockrate vitesse show version : affiche les informations sur l’IOS en mémoire et les car-
Router(config-if)#no shutdown actéristiques du matériel et de l’équipement.
Router(config-if)#exit
7 8
Description d’interface/bannière de connexion
• son emplacement
• son rôle
• les autres dispositifs connectés directement
la table arp
9
Présentation du routage et du transfert de paquets (S2/C1) b
• CPU
• RAM
• ROM
• Flash
• NVRAM
• IOS
• IOS déployé
• le fichier de configuration en cours (running-config)
• la table de routage
• le buffer pour paquets
• instructions de bootstrap
• logiciel de diagnostic de base
• version réduite de l’IOS
Boot du routeur
• POST
• chargement du bootstrap
• recherche et chargement de l’IOS
• recherche et chargement du fichier de configuration ou accès
en mode Setup
1 2
La commande show version Vérification de la configuration de base d’un routeur
La commande show version permet de vérifier certains composants basiques Pour vérifier la configuration de base d’un routeur, on utilise les commandes
logiciels et matériels du routeur : suivantes :
Il contient des informations sur la route à emprunter sur les réseaux directement
connectés et les réseaux distants.
Lorsqu’une interface sur un routeur est configurée, le réseau auquel elle appar-
tient apparait automatiquement dans la table de routage (lettre C).
Routage statique
Une route statique est indiquée par la lettre S dans la table de routage.
3 4
Routage dynamique b
Un protocole de routage dynamique est utilisé par des routeurs pour partager
des informations sur l’accessibilité et l’état des réseaux.
Une fois les informations récoltées sur les résaux distants, le routeur détermine
le meilleur chemin pour se rendre à ce réseau et intègre cette route dans la
table de routage.
Si la topologie change, il détermine automatiquement un nouveau meilleur
chemin vers le réseau.
• RIP
• IGRP
• EIGRP
• OSPF
• IS-IS
• BGP
5 6
Les principes d’une table de routage Détermination du chemin
Un routeur suit les trois principes suivants : Pour le transfert de paquets, deux fonctions sont utilisées :
• Chaque routeur prend sa décision seul, en se basant sur les informations • la détermination du chemin
disponibles dans sa base de routage. • la commutation
7 8
Routage statique (S2/C2) Messages non sollicités
Remarques sur la configuration d’une interface Ethernet Afin éviter qu’une erreur de saisie ne provoque une requête DNS :
Avant la configuration de l’interface fa 0/0, la commande show interfaces fa Router(config)# no ip domain lookup
0/0 donne les indications suivantes :
afin que les messages non sollicités ne se mélangent à la saisie :
Fast Ethernet 0/0 is administratively down, line protocol is down
Router(config)# line console 0
Cela signifie que l’interface est désactivée et le protocole de ligne est désactivé. Router(config-line)# logging synchronous
interface fa 0/0 La commande debug ip routing(mode privilégié) permet de voir les modifica-
adresse IP tions apportées par le routeur lors de l’ajout ou de la suppression des routes.
shutdown
Pour la désactiver :
ainsi qu’avec la commande show ip interface brief :
Router# no debug ip routing ou
fa 0/0 manual administratively down down Router# undebug ip routing
Interface fa0/0 changed state to up, Line protocol on interface fa0/0 changed
state to up.
Si deux interfaces séries connectées entre elles sont configurées sans clock rate,
le résultat de la commande show interfaces S 0 est :
Pour savoir si une interface série est DCE ou DTE, on utilise la commande
show controllers S 0
1 2
Les routes statiques b
Un routeur peut obtenir des informations sur des réseaux distants de l’une des
façons suivantes :
Les routes statiques sont généralement utilisées dans le cadre d’un réseau
accessible par une seule route.
La route apparait dans la table de routage sous l’ une des formes suivantes :
Dans le second cas, une recherche récursive dans la table de routage est nécessaire.
3 4
Route statique avec une interface de sortie Série Route statique résumée
Les réseaux point à point utilisant les protocoles PPP ou HDLC ne se servent Une route statique résumée permet de rendre une table de routage plus ”com-
pas de l’adresse IP du tronçon suivant pour le transfert du paquet. pacte”.
Le paquet IP est encapsulé dans une trame de couche 2 avec une adresse de Les entrées ci–dessous dans une table de routage :
diffusion comme adresse de destination de couche 2.
S 172.16.1.0 is directly connected S0/0/1
Il est préférable de configurer la route statique avec l’interface de sortie. S 172.16.2.0 is directly connected S0/0/1
S 172.16.3.0 is directly connected S0/0/1
Route statique avec une interface de sortie Ethernet
peuvent être résumées ainsi :
Sur un réseau Ethernet, un paquet IP doit être encapsulé dans une trame Eth-
ernet avec une adresse MAC de destination. Router(config)# ip route 172.16.0.0 255.255.252.0 S0/0/1
Le routeur recherche dans sa table ARP, l’entrée indiquant l’adresse MAC
correspondant à l’adresse IP du tronçon suivant (si l’information ne figure pas
dans la table ARP, le routeur envoie une requête ARP).
Si la route statique est configurée avec l’interface de sortie, alors le routeur n’a
pas suffisamment d’information pour acheminer la trame.
5 6
Route statique par défaut Le protocole CDP (Cisco Discovery Protocol)
Une route statique par défaut est une route qui correspond à tous les paquets. Il s’agit d’un outil propriétaire de surveillance et de dépannage.
Elle est utilisée
Il donne des informations - par l’intermédiaire des annonces CDP - sur les
• quand aucune route de la table de routage ne correspond à
périphériques voisins (couche 2) directement connectés.
l’adresse IP de destination du paquet
• lorsqu’un routeur n’est connecté qu’‘a un seul routeur
Les commandes permettant de voir les informations recueillies sont :
Le protocole CDP est activé par défaut sur les périphériques Cisco.
Pour le désactiver sur l’ensemble du périphérique :
7 8
Présentation des protocoles de routage dynamique (S2/C3) Fonctions des protocoles de routage dynamique
Evolution des protocoles de routage dynamique Les protocoles de routage permettent d’échanger des informations de routage
entre les routeurs.
Les protocoles de routage dynamique sont utilisés dans les réseaux depuis le
début des années 80. Chaque routeur construit sa table de routage dans laquelle figurent les meilleurs
chemins choisis par le protocole.
RIP (Routing Information Protocol) est l’un des tous premiers. Il a évolué en
une deuxième version : RIP v2. Ces deux protocoles ne sont pas adaptés aux Un protocole de routage assure :
grands réseaux.
• la découverte des réseaux distants
Les protocoles OSPF (Open Shortest Path First) IS-IS (Intermediate System-to- • l’actualisation des informations de routage
Intermediate System) sont adaptés aux grands réseaux. • le choix du meilleur chemin vers des réseaux de destination
• la capacité à trouver un meilleur chemin si le chemin actuel
Les protocoles de routage dynamique développés par Cisco sont IGRP (Interior n’est plus disponible.
Gateway Routing Protocol) et EIGRP (Enhanced Interior Gateway Routing
Protocol). EIGRP est adapté aux grands réseaux.
Le protocole de routage BGP (Border Gateway Protocol) permet d’inter- Comparaison routage statique/ routage dynamique
connnecter les grands réseaux et d’assurer le routage entre eux.
(dessin) Avantages du routage statique :
Avec l’émergence d’IPv6, de nouvelles versions de protocoles de routage IP ont • traitement CPU faible
été développées : • configuration facile
1 2
Protocoles IGP et EGP Fonctionnement des protocoles de routage à vecteur de distance.
Internet repose sur le concept de systèmes autonomes(AS). Chaque route s’exprime selon les deux paramètres suivants :
Il s’agit d’un ensemble de routeurs dont l’administration est commune, comme • vecteur de distance
par exemples : • direction
• réseau interne d’une société Le vecteur de distance est défini en fonction de la mesure.
• réseau d’un FAI
On distingue donc deux types de protocoles de routage : La direction est l’interface de sortie ou le routeur de tronçon suivant.
• IGP (Interior Gateway Protocols) utilisés pour le routage à Ce protocole utilise l’algorithme de Bellman-Ford. Cet algorithme permet de
l’intérieur d’un système autonome. récolter suffisamment d’informations pour acheminer les paquets vers les réseaux
• EGP (Exterior Gateway Protocols) utilisés pour le routage accessibles. Cependant, il ne permet pas à un routeur de connaı̂tre la topologie
entre systèmes autonomes. exacte d’un réseau.
Des mises à jour régulières sont envoyées entre routeurs directement connectés.
Protocoles IGP : RIP, IGRP, EIGRP, OSPF, IS-IS
Ce protocole est utilisé dans les situations suivantes :
Protocoles EGP : BGP
Les protocoles IGP peuvent être de deux types : • le réseau est simple et plat.
• l’administrateur n’est pas expérimenté
• les longs délais de convergence ne sont pas un problème
• Protocoles de routage à vecteur de distance.
• Protocoles de routage d’état des liaisons.
Fonctionnement des protocoles de routage d’état de liaisons
Ce protocole n’utilise pas de mises à jour régulières. Une fois le réseau convergé,
une mise à jour d’état des liaisons est envoyée uniquement en cas de modification
de la topologie.
3 4
Protocoles de routage par classe ou sans classe Mesure
Les protocoles de routage par classe n’envoient pas d’informations sur les La mesure est la valeur indiquant le coût d’accès d’un réseau distant.
masques de sous–réseau dans les mises à jour de routage. Ils ne prennent donc
pas en charge VLSM. Ils sont incapables de gérer les réseaux discontigus. Cette mesure est utilisée pour déterminer, en présence de plusieurs chemins vers
un réseau distant, le meilleur chemin.
Exemples : RIPv1, IGRP
Chaque protocole de routage utilise sa propre mesure.
Les protocoles de routage sans classe incluent dans leurs mises à jour de
routage le masque de réseau avec l’adresse réseau. Ils prennent donc en charge Les mesures suivantes sont utilisées par les protocoles de routage IP :
VLSM et gèrent les réseaux discontigus.
• nombre de sauts
Exemples : RIPv2, EIGRP, OSPF • bande passante
• charge
• délai
Convergence • fiabilité
• coût
On parle de convergence lorsque tous les routeurs du réseau disposent
d’informations complètes, précises et cohérentes. Les mesures utilisées par chacun des protocoles de routage sont les suivantes :
Le temps de convergence est le temps nécessaire aux routeurs pour partager • RIP : nombre de sauts
des informations, calculer les meilleurs chemins et mettre à jour leur table de • IGRP et EIGRP : bande passante, délai, fiabilité et charge
routage. • OSPF : coût (bande passante)
S’il existe plusieurs routes vers le même réseau de destination ayant des valeurs
Un réseau n’est pas entièrement opérationnel tant qu’il n’a pas convergé.
de mesure égales, alors le routeur équilibre la charge entre les chemins.
Convergence plus lente : RIP et IGRP.
Convergence plus rapide : EIGRP et OSPF.
5 6
Distance administrative
Les valeurs de distance administrative varient entre 0 et 255. Plus la valeur est
faible, plus la source de la route est privilégiée.
• show ip route
• show ip route adresse réseau
• show ip protocols
7
Protocoles de routage à vecteur de distance (S2/C4) Mécanismes des protocoles de routage
Les protocoles de routage à vecteur de distance étudiés dans le cadre du cours : • mécanismes d’envoi et de réception des informations de
RIP et EIGRP. routage
• mécanisme de calcul des meilleurs chemins et d’installation
Les principales caractéristiques de RIP sont : des routes dans la table de routage
• mécanisme de détection des modifications topologiques et
• il utilise le nombre de sauts comme mesure de sélection d’un de réaction à celles–ci.
chemin
• si le nombre de sauts est supérieur à 15, il ne peut pas
fournir de route pour ce réseau
• les mises à jour de routage sont diffusées toutes les 30 Découverte du réseau
secondes
Démarrage à froid :
Les principales caractéristiques de EIGRP sont :
Lors de sa mise sous tension, un routeur ne dispose d’aucune information sur la
topologie du réseau.
• il peut effectuer un équilibrage de charge de coût inégal
• il utilise l’algorithme DUAL (Diffused Update Algorithm) Il applique les informations stockées dans son fichier de configuration (NVRAM).
pour calculer le chemin le plus court
• il n’envoie pas de mises à jour régulières. Il envoie des mises Il détecte ses propres réseaux directement connectés et installe ces informations
à jour uniquement en cas de modification de topologie. dans la table de routage.
Echange initial :
Technologie de vecteur de distance
Si un protocole est activé, le routeur échange des mises à jour de routage qui ne
concernent que ses réseaux directement connectés.
Un protocole de routage à vecteur de distance ne connait pas le chemin complet
vers le réseau de destination. Il ne connait que les éléments suivants :
Mise à jour suivante :
• la direction ou l’interface par laquelle un paquet doit être Le routeur échange des mises à jour régulières pour connaı̂tre des réseaux plus
transmis éloignés.
• la distance le séparant du réseau de destination
Des mises à jour régulières (diffusées ou multidiffusées) sont envoyées aux voisins
même si aucun changement topologique n’a eu lieu.
Les voisins sont des routeurs qui partagent une liaison et sont configurés avec
les même protocole de routage.
1 2
Convergence Minuteurs pour le protocole RIP
Le temps nécessaire de convergence d’un réseau est proportionnel à sa taille. En plus du minuteur des mises à jour régulières (30 secondes), RIP possède trois
autres minuteurs :
La vitesse de convergence dépend des paramètres suivants :
• temporisation (Invalid Timer)
• la vitesse à laquelle le routeur propage une modification de • annulation (Flush Timer)
la topologie lors d’une mise à jour à ses voisins. • mise hors service (Holddown Timer)
• la vitesse de calcul des meilleurs chemins à l’aide des
nouvelles informations collectées
Minuteur de temporisation (180 secondes) :
Remarque : un réseau n’est pas complètement opérationnel tant qu’il n’a pas Si aucune mise à jour n’a été reçue pour une route existante dans les 180
convergé. secondes, la route est marquée comme non valide (valeur 16) mais est gardée
dans la table de routage jusqu’à expiration du minuteur d’annulation.
Mise à jour de la table de routage
Minuteur d’annulation (240 secondes) :
Lors d’une mise à jour de la table de routage, le routeur envoie tout le contenu
de sa table de routage à ses voisins. Lorsque le minuteur d’annulation expire, la route est supprimée de la table de
Des modifications de la table de routage peuvent avoir pour plusieurs raisons : routage.
Une fois marquée inaccessible, une route doit rester hors service suffisamment
longtemps afin que tous les routeurs de la topologie puissent le découvrir.
3 4
Mises à jour déclenchées Boucles de routage
Pour accélerer la convergence en cas de modification de la topologie, le protocole Une boucle de routage correspond à la transmission en continu d’un paquet
RIP utilise une mise à jour déclenchée : elle est envoyée immédiatement par une série de routeurs sans qu’il puisse atteindre son réseau de destination.
après un changement sans attendre l’expiration du minuteur. Elle est envoyée
lors des changements suivants : Une boucle de routage peut résulter des problèmes suivants :
• un paquet de mise à jour peut être abandonné ou endom- • la bande passante d’une liaison est utilisée pour faire tourner
magé par une liaison le trafic en boucle
• une mise à jour déclenchée ne se produit pas instantanément, • le processeur est surchargé par le réacheminement inutile des
ce qui peut provoquer des boucles de routage. paquets, ce qui ralentit le trafic ainsi que la convergence
• les mises à jour de routage peuvent se perdre ou ne pas être
traitées à temps
• les paquets se perdent dans des trous noirs.
Protocole EIGRP : mises à jour limitées
Pour éviter ces boucles de routage, il est nécessaire de mettre en place divers
Le protocole EIGRP est une exception parmi les protocoles à vecteur de mécanismes :
distance : il n’envoie pas de mises à jour régulières.
• définition d’une mesure maximale pour éviter le comptage à
Il envoie à la place des mises à jour limitées en cas de modifications d’un l’infini
chemin et uniquement sur la route modifiée (mise à jour partielle). • minuteur de mise hors service
• empoisonnement de routage
• mises à jour déclenchées
Comptage à l’infini
5 6
Minuteurs de mise hors service Découpage d’horizon
Dans un réseau instable : Règle de découpage d’horizon : un routeur ne doit envoyer pas une mise
à jour concernant un réseau sur l’interface par laquelle il reçoit les mises à jour
• une mise à jour déclenchée peut provoquer une réaction trop rapide des du dit réseau.
routeurs et donc une boucle de routage.
Découpage d’horizon avec empoisonnement de route : un réseau
• des mises à jour déclenchées et régulières peuvent envoyer des informations inaccessible est marqué avec la valeur maximale lors de l’envoi de mise à jour.
contradictoires et provoquer une boucle de routage. Cela accélère la convergence.
Ainsi un minuteur de mise hors service empêche de rétablir une route désactivée Découpage d’horizon avec empoisonnement inverse : lorsqu’un routeur
ou soupçonnée de l’être. reçoit une mise à jour pour un réseau devenu inaccessible, il transmet cette
information sur toutes ses interfaces, y compris celle à l’origine du message, afin
Fonctionnement du minuteur de mise hors service : de s’assurer que tous les routeurs ont bien reçu l’information.
1. Un routeur reçoit une mise à jour lui indiquant qu’un réseau est devenu
inaccessible. Protocole IP et durée de vie (TTL)
2. Le routeur marque ce réseau comme inaccessible et démarre le minuteur de La durée de vie est un champ de 8 bits dans l’en–tête IP qui limite le nom-
mise hors service. bre de sauts qu’un paquet peut effectuer à travers le réseau avant d’être supprimé.
3. Si une mise à jour est reçue concernant le réseau inaccessible avec une mesure Le but du champ TTL est d’éviter une circulation sans fin d’un paquet sur le
inférieure, alors le minuteur est arrêté et la route est établie. réseau.
4. Si une mise à jour est reçue concernant le réseau inaccessible avec une mesure La valeur du champ TTL est définie par le périphérique source et est réduite de
égale ou supérieure, alors la mise à jour est ignorée. 1 à chaque passage de routeur.
5. Bien que le réseau soit marqué inaccessible, les routeurs continuent d’y ache- Si le valeur du champ TTL atteint 0 avant l’arrivée à destination, le paquet est
miner les paquets. Ceux–ci seront perdus si le réseau est réellement inaccessible. détruit et un message d’erreur ICMP est envoyé au périphérique source.
7 8
Protocole RIP version 1 (S2/C5) Configuration du protocole RIP
Le protocole RIP est le plus ancien des protocoles de routage à vecteur de On indique alors les réseaux directement connectés au routeur et participant au
distance. routage RIP :
RIP version 1 date de 1988 (par classe). Router(config-router)# network ad. res. par classe
RIP version 2 date de 1994 (sans classe).
RIPng pour le protocole IPv6 date de 1997. Vérification et dépannage
Les principales caractéristiques de RIP sont : La commande show ip interfaces (brief) permet de vérifier si les interfaces
sont activées.
• l’utilisation du nombre de sauts comme mesure de sélection
d’un chemin La commande show ip route montre le contenu de la table de routage.
• si le nombre de sauts est supérieur à 15, il ne peut pas
fournir de route pour ce réseau Les routes dynamiques annoncées par le protocole RIP sont indiquées dans la
• les mises à jour de routage sont diffusées toutes les 30 table de routage avec la lettre R.
secondes
• la distance administrative de RIP est 120. La commande debug ip rip affiche dynamiquement les mises à jour échangées
entre les routeurs.
Si une route est nouvelle, elle est insérée dans la table de routage.
Si la route existe déjà, elle remplace celle existante si le nombre de sauts est
plus petit.
Une fois la table de routage construite, le routeur envoie suite à des changements
de topologie, des mises à jour déclenchées.
RIP version 1 est un protocole de routage par classe : ses messages ne contiennent
pas d’informations de masque de sous-réseau.
1 2
Interfaces passives Exemple
L’envoi de mises à jour non nécessaires à une incidence sur le réseau. Le routeur R2 est appelé un routeur de périphérie car ses interfaces sont
dans des réseaux différents.
• le transport des mises à jour inutiles gaspillent de la bande
Le routeur R2 reçoit des mises à jour de R1 concernant le réseau 172.30.1.0/24.
passante.
Cette mise à jour est reçue sur une interface du routeur R2 appartenant au
• tous les périphériques présents sur le LAN vont traiter les
même réseau par classe que celui de la mise à jour entrante. Le routeur R2
mises à jour.
utilise le masque de sous–réseau de l’interface 172.30.2.2/24 pour déterminer
• les mises à jour peuvent être interceptées par un logiciel
celui du réseau 172.30.1.0.
d’analyse de paquets.
• les voisins depuis lesquels le routeur reçoit des mises à jour.
Lorsque le routeur R1 reçoit les mises à jour du routeur R2, celles-ci apparaissent
de la façon suivante dans la table de routage :
La commande passive interface permet d’arrêter les mises à jour inutiles :
• 192.168.4.0/24
Router(config)# router rip • 192.168.5.0/24
Router(config-router)# passive-interface fa0/0
Lorsque le routeur R3 reçoit les mises à jour du routeur R2, celles-ci apparaissent
Les mises à jour ne sont plus envoyées via fa0/0, par contre le réseau auquel de la façon suivante dans la table de routage :
appartient l’interface continue d’être annoncé dans les mises à jour partant des
autres interfaces du routeur. • 172.30.0.0/16
• Si une mise à jour de routage et l’interface sur laquelle elle est reçue ap-
partiennent au même sous-réseau principal, le masque de sous-réseau de
l’interface est appliqué au réseau dans la mise à jour de routage.
• Si une mise à jour de routage et l’interface sur laquelle elle est reçue apparti-
ennent à deux réseaux principaux différents, le masque de sous-réseau par
classe est appliqué à ce réseau dans la mise à jour de routage.
Avantages : les mises à jour sont moins volumineuses. Donc la bande passante
est moins sollicitée.
3 4
VLSM et CIDR (S2/C6)
• partie réseau
• partie hôte
Dans les spécifications d’origine d’IPv4, trois classes d’adresses pour utilisateurs
ont été définies afin de s’adapter aux petites, moyennes et grandes entreprises :
classes A,B et C.
Chacune de ces classes a une taille de masque de réseau fixe.
1
Protocole RIP version 2 (S2/C7) Configuration du protocole RIP version 2
Protocole RIP version 2 Par défaut, lorsque le protocole RIP est configuré sur un routeur, il exécute RIP
v1.
RIP version 2 est une protocole de routage sans classe, ce qui signifie que les
masques de sous-réseau sont inclus dans les mises à jour de routage. Un routeur qui envoie des mises à jour RIP v1, peut recevoir des messages
RIPv1 et RIPv2. Cependant, il ignore les informations de masque dans le second
De plus, RIP version 2 apporte les améliorations suivantes par rapport à RIP cas.
version 1 :
Pour activer RIPv2 :
Router(config)# router rip
• utilisation d’une adresse de multidiffusion pour l’envoi des
Router(config-router)# version 2
mises à jour (224.0.0.9)
• option d’authentification entre les routeurs
On indique alors les réseaux directement connectés au routeur et participant au
• adresse du tronçon suivant compris dans l’envoi des mises à
routage RIP :
jour.
Router(config-router)# network ad. res. par classe
Cependant RIPv1 et RIPv2 gardent en commun les fonctions suivantes :
La commande show ip protocols montre alors que le routeur envoie et reçoit
• minuteurs, découpage d’horizon (pour éviter les boucles de des mises à jour version2.
routage).
• mise à jour déclenchées en cas de modification de la topologie Pour rétablir RIPv1 :
(convergence plus rapide). Router(config)# router rip
• nombre de sauts maximum égale 15. Router(config-router)# version 1
1 2
Commande auto-summary
• VLSM
• les sous-réseaux discontinus.
• les routes de super réseau CIDR.
3
Table de routage : examen détaillé (S2/C8) Routes parent et enfant : réseaux par classe versus sans classe
Table de routage On appelle route parent de niveau 1 une route de réseau qui ne contient pas
d’adresse IP de tronçon suivant, ni d’interface de sortie de réseau.
Les entrées dans la table de routage proviennent de : Une route parent est toujours accompagnée de route(s) enfant.
Dans le cas des réseaux par classe, une route enfant de niveau 2 est
• réseaux directement connectés (C) un sous–réseau d’une adresse réseau par classe. Elle peut être directement
• routes statiques (S) connectée, statique ou dynamique :
• protocoles de routage dynamique (R,D,O)
172.16.0.0/24 is subnetted, 1 subnets
Afin d’accélerer le processus de recherche, la table de routage est constituée
C 172.16.3.0 is directly connected, FastEthernet 0/0
des niveaux 1 et 2.
Dans le cas des réseaux sans classe, une route enfant ne partage pas le
Une route de niveau 1 possède un masque de sous–réseau égal ou inférieur au
même masque de sous–réseau que la route parent :
masque par classe de l’adresse réseau.
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
Exemples :
C 172.16.1.4/30 is directly connected, Serial 0/0/0
C 172.16.1.8/30 is directly connected, Serial 0/0/1
• route par défaut 0.0.0.0/0 C 172.16.3.0/24 is directly connected, FastEthernet 0/0
• route par superréseau 192.168.0.0/22
• route de réseau (masque de sous-réseau égal à celui de la
classe) Comportement de routage par classe ou sans classe
Une route de niveau 2 est un sous–réseau d’une adresse réseau par classe. Remarque : il ne faut pas confondre comportement de routage et protocole de
routage.
Une meilleure route est une route comportant :
Le comportement de routage est spécifié par la commande (no) ip classless
• une adresse IP du tronçon suivant en mode de configuration globale.
• et/ou une interface de sortie
Comportement de routage par classe : no ip classless
Comportement de routage sans classe : ip classless
Exemple :
Depuis l’IOS 11.3, le comportement par défaut est ip classless.
C 192.168.1.0/24 is directly connected, Serial 0/0/1
Ce comportement joue un rôle lorsque le routeur a trouvé dans la table de
routage la bonne route parent et recherche la bonne route enfant.
Dans le cas d’un comportement de routage par classe : le paquet est supprimé.
1 2
Protocole EIGRP (S2/C9) Les types de paquets EIGRP
EIGRP (Enhanced Interior Gateway Protocol) est un protocole de routage sans • Hello
classe, à vecteur de distance datant 1992. • mises à jour
• ACK
EIGRP est une amélioration du protocole IGRP. Ces deux protocoles sont des • demande et réponse
protocoles Cisco et fonctionnent uniquement sur du matériel Cisco.
Les paquets Hello : permettent de découvrir des voisins et de former des
EIGRP a une distance administrative de 90 (170 pour les routes externes), ce
contigüités avec ces voisins.
qui en fait le protocole préféré par les routeurs Cisco. Le protocole EIGRP
s’appuie sur les fonctions suivantes :
Les paquets de mise à jour : permettent de propager des informations de
routage. Ces paquets ne sont transmis qu’en cas de nécessité et seulement aux
• protocole RTP (Reliable Transport Protocol) routeurs qui ont besoin d’une information spécifique.
• mises à jour limitées
• algorithme DUAL Les paquets de mise ACK : sont envoyées lorsque une livraison fiable est
• établissement des contigüités utilisée.
• tables de voisinage et de topologie
Les paquets de demande et de réponse : sont utilisés par l’algorithme DUAL
principalement pour la recherche de réseaux.
EIGRP utilise le protocole RTP pour la livraison et la réception de ses paquets.
Le protocole Hello
RTP assure une livraison fiable ou non fiable selon le type de paquets EIGRP.
Les paquets Hello détectent les voisins et établissent des contigüités avec eux.
RTP envoie des paquets unicast ou multidiffusion (224.0.0.10).
Sur les réseaux Ethernet un paquet Hello est envoyé toutes les 5 secondes.
Un routeur EIGRP suppose que tant qu’il reçoit des paquets Hello de son voisin,
ce dernier existe et ses routes sont valides.
Un temps d’attente est aussi défini, il équivaut à trois fois l’intervalle Hello,
donc 15 secondes sur les réseaux Ethernet. Si le temps d’attente expire, EIGRP
déclare la route invalide.
Limitées : la mise à jour est envoyée uniquement aux routeurs affectés par le
changement.
1 2
Systèmes autonomes et ID de processus la commande show ip protocols
Un système autonome est un ensemble de réseaux étant sous le même contrôle Cette commande permet de voir sur le routeur pour chaque protocole de routage :
administratif ; il présente une stratégie de routage commune sur Internet.
• le(s) protocole(s) de routage configuré(s)
Les numéros (32 bits) de systèmes autonomes (AS) sont affectés par l’IANA.Ils • les interfaces qui envoient et reçoivent les mises à jour pour
sont demandés par les FAI, les grands organismes. Le protocole BGP utilise ces un protocole activé
numéros dans sa configuration. • les réseaux annoncés par le routeur
• les voisins depuis lesquels le routeur reçoit des mises à jour.
EIGRP utilise un ID de processus (16 bits) lors de la configuration d’un processus
EIGRP sur un routeur.
Les routeurs doivent posséder le même ID de processus pour établir des
contigüités de voisinage et partager des informations de routage. Les interfaces passives
Router(config)# (no) router eigrp ID processus • le transport des mises à jour inutiles gaspillent de la bande
passante.
On indique alors les réseaux directement connectés au routeur et participant au • tous les périphériques présents sur le LAN vont traiter les
routage EIGRP : mises à jour.
• les mises à jour peuvent être interceptées par un logiciel
Router(config-router)# network ad. réseau. [ masque gén. ] d’analyse de paquets.
• les voisins depuis lesquels le routeur reçoit des mises à jour.
L’adresse réseau est donnée par classe et toutes les interfaces du routeur appar-
tenant à cette adresse de réseau sont activées pour EIGRP.
La commande passive interface permet d’arrêter les mises à jour inutiles :
Cependant, il est possible d’annoncer des sous-réseaux spécifiques avec l’option
du masque générique.
Router(config)# router eigrp
Router(config-router)# passive-interface fa0/0
Par défaut, EIGRP résume les routes dans la table de routage. Pour désactiver
le résumé automatique :
Les mises à jour ne sont plus envoyées via fa0/0, par contre le réseau auquel
appartient l’interface continue d’être annoncé dans les mises à jour partant des
Router(config-router)# no auto-summary
autres interfaces du routeur.
Les routes dynamiques annoncées par le protocole EIGRP sont indiquées dans
la table de routage avec la lettre D.
La commande show ip eigrp neighbors liste les voisins avec lequel le routeur
a établi des contigüités.
3 4
La mesure composite EIGRP b
EIGRP utilise les valeurs suivantes dans sa mesure composite pour calculer le
chemin préféré vers un réseau :
• bande passante
• délai
• fiabilité
• charge
où
• le délai est la somme des délais de chaque liaison de la route vers la destination.
5 6
Concepts DUAL Table topologique de EIGRP
L’algorithme DUAL permet à EIGRP de déterminer : La lettre P indique que la route est dans un état passif, donc stable.
La lettre A indique que la route est dans un état actif, donc instable et un
• le meilleur chemin sans boucle calcul est en cours de route.
• les meilleurs chemins de secours sans boucle
Pour obtenir plus d’informations sur une entrée de la table de topologie :
Quelques définitions :
Router # show ip eigrp topology ad. réseau
Un successeur est un voisin utilisé pour le transfert de paquets et constitue la
route à moindre coût jusqu’au réseau de destination. La commande show ip eigrp topology all-links montre tous les chemins pos-
sibles vers réseau, donc :
La distance de faisabilité(FD) est la mesure la plus basse pour atteindre le
réseau de destination. • les successeurs
• les successeurs potentiels
Un successeur potentiel (FS) est un voisin comportant un chemin de secours • les autres routes qui ne sont pas des successeurs potentiels
sans boucle vers le même réseau que le successeur en satisfaisant à la condition
de faisabilité (FC).
La condition de faisabilité (FC) est remplie lorsque la distance annoncée Redistribution des routes statiques par EIGRP
(RD) d’un voisin vers un réseau donné est inférieure à la distance de faisabilité
d’un voisin EIGRP vers le même réseau de destination. La configuration d’une route par défaut ou d’une route statique est configurée
indépendamment d’un protocole de routage.
La table topologique EIGRP répertorie tous les successeurs avec leur distance
de faisabilité et les successeurs potentiels avec leur distance annoncée que Si on souhaite les inclure dans un protocole de routage, on utilise la commande
l’algorithme DUAL a calculés vers les réseaux de destination. redistribute static.
La commande show ip eigrp topology permet de voir le contenu de la table Lors de la redistribution d’une route par défaut, une passerelle de dernier
topologique EIGRP. recours est définie dans la table de routage.
7 8
Protocoles de routage d’état des liaisons (S2/C10) Zones
Protocoles à état des liaisons Les protocoles de routage d’état des liaisons utilisent plusieurs zones afin de :
Ces protocoles sont aussi appelés protocoles SPF car ils sont conçus sur la base • réduire la taille de la base de données
de l’algorithme SPF de Dijkstra.
• limiter la quantité de données d’état de liaisons diffusées sur un domaine.
Exemples de protocoles à état de liaisons : OSPF, IS-IS
L’algorithme de Dijkstra cumule les coûts de chaque chemin depuis leur source • minimiser les effets sur la RAM, le CPU et la bande passante.
jusqu’à leur destination.
1. Il prend connaissance de ses propres liaisons en détectant les réseaux qui lui
sont directement connectés.
2. Il est responsable de la détection de ses voisins par l’échange des paquets Hello.
3. Il créé un LSP dans lequel est indiqué l’état de chacune de ses liaisons.
4. Il diffuse son LSP à l’ensemble de ses voisins et stocke les LSP de ses voisins
dans une base de données.
Rappel : les LSP ne sont pas envoyés de façon périodique mais uniquement :
La convergence est rapide car chaque routeur envoie des LSP immédiatemment
après réception sans traiter d’abord les mises à jour de sa propre table de routage.
Il n’y a pas de mises à jour périodiques. Une mise à jour est envoyée lorsqu’un
changement de liaison se produit.
1 2
Protocole OSPF (S2/C11) Le protocole Hello
OSPF Chaque routeur envoie des paquets Hello, depuis ses interfaces OSPF, dans
lesquels figure l’ID du routeur.
Le protocole OSPF (Open Shortest Path First) a été développé par l’IETF. La réception d’un paquet OSPF confirme au routeur la présence d’un voisin.
OSPF version 1 date de 1989. Il s’agit d’un protocole expérimental, jamais Pour que deux routeurs puissent former une contiguité de voisinage OSPF, ils
déployé. doivent s’entendre sur trois valeurs :
OSPF version 2 date de 1991, avec une mise à jour en 1998. Il s’agit de la • l’intervalle Hello
version utilisée de nos jours. • l’intervalle Dead
• le type de réseaux
OSPF version 3 date de 1999, il s’agit de la version OSPF pour IPv6.
Cette arborescence est alors utilisée pour fournir à la table de routage les
• Hello
meilleurs chemins vers chaque réseau.
• DBD
• LSR
• LSU/LSA
Configuration du protocole OSPF
• LSAck
Router(config)# (no) router ospf ID processus
Les paquets Hello : permettent de découvrir des voisins et de former des
contiguités avec ces voisins. où l’ID de processus varie entre 1 et 65535. Ce numéro n’a qu’une signification
locale. On indique alors les réseaux directement connectés au routeur et
Les paquets DBD : vérifient la synchronisation de la base de données entre participant au routage EIGRP :
les routeurs.
Router(config-router)# network ad. réseau. masque gén. area ID aire
Les paquets LSR : demandent un enregistrement spécifique de la DBD d’un
voisin. L’ID de l’aire fait référence à une zone OSPF correspondant à un groupe de
routeurs partageant des informations d’état de liaisons.
Les paquets LSU/LSA : répondent à une demande LSR ou envoient de Lorsqu’il n’y a qu’une seule zone : area 0
nouvelles informations.
1 2
ID de routeur OSPF Commandes de dépannage
L’ID du routeur permet d’identifier chaque routeur de façon unique. Les commandes suivantes permettent de vérifier la configuration du protocole
OSPF et d’effectuer un dépannage si nécessaire :
L’ID est défini selon la priorité suivante :
• show ip protocols
1. L’adresse IP configurée avec la commande router-id. • show ip ospf
• show ip ospf interfaces
Router(config-router)# router-id adresse IP
3. Si aucune interface de bouclage n’est configurée ; l’adresse IP activée la plus La lettre O indique que la route est publiée par le protocole OSPF
élevée parmi ses interfaces physiques.
Les interfaces de bouclage apparaissent dans la table de routage mais ne sont
L’ID du routeur est sélectionné lors de la configuration du protocole OSPF avec pas annoncées par OSPF.
la première commande network. Pour qu’une configuration ultérieure soit prise
en compte, il faut OSPF ne résume pas automatiquement les réseaux.
Détermination du coût :
FULL signifie que le routeur et son voisin ont établi des bases de données d’état Rappel : La commande show interface int affiche la valeur de la bande
de liaisons OSPF identiques. passante utilisée par l’interface.
Deux routeurs ne peuvent pas établir une relation de contiguité si : La commande show ip ospf interface int affiche le coût.
• les masques de réseau ne correspondent pas
Il existe deux commandes pour modifier la bande passante d’une interface :
• les intervalles Hello ou Dead ne correspondent pas
• les types de réseau ne correspondent pas
Router(config-if)# bandwidth valeur (kb/s)
• la commande network est manquante ou incorrecte.
Router(config-if)# ip ospf cost valeur
3 4
Les réseaux à accès multiple Processus de sélection des DR/BDR
Un réseau à accès multiple est un réseau comportant plus de 2 périphériques sur Rappel : La sélection des DR et BDR n’a pas lieu dans les réseaux point à point.
le même support partagé.
Les critères suivants sont appliqués.
Un réseau point à point est constitué de 2 périphériques, un à chaque
extrémité. 1. le DR est le routeur avec la priorité d’interface OSPF la plus élevée.
Les LSA de OSPF présentent des difficultés pour des réseaux à accès multiples : 2. le BDR est le routeur avec la priorité d’interface OSPF est la seconde valeur
la plus élevée.
1. La création de contiguités multiples, une pour chaque paire de routeurs.
3. si les priorités d’interface OSPF sont égales, c’est le routeur dont l’ID est le
2. Une diffusion massive de LSA. plus élevé.
Pour éviter ce chaos, on utilise un routeur désigné (DR) ainsi qu’un routeur On définit la priorité d’une interface avec la commande :
désigné de secours (BDR) en cas de défaillance du DR. Tous les autres
routeurs deviennent des DROthers. Router(config-if)# ip ospf priority valeur [0–255]
Les routeurs d’un réseau à accès multiple désignent un DR et un BDR. Les Une fois le DR sélectionné, il le reste jusqu’à ce qu’une des situations suivantes
DROthers constituent des contiguités de voisinage uniquement avec le DR et le se présente :
BDR.
• le DR tombe en panne
Les DROthers envoient leurs LSA aux DR et BDR. Le DR s’occupe de trans- • le processus OSPF échoue sur le DR
mettre les LSA vers tous les routeurs. • l’interface à accès multiple du DR ne fonctionne plus.
Le DR est le point central pour la collecte et la distribution des LSA.
Afin que le protocole de routage OSPF redistribue la route statique par défaut,
il faut utiliser la commande suivante :
5 6
Conception d’un réseau local (S3/C1) Avantages d’un réseau hiérarchisé
Dans les réseaux de petite taille, les couches distribution et coeur de réseau Réseau convergent
forment une seule couche.
La convergence d’un réseau correspond au processus d’association de commu-
nications vocale et vidéo sur un réseau.
Les réseaux convergents sont de plus en plus utilisés dans les petites et moyennes
entreprises.
Le principal avantage d’un réseau convergent est qu’il n’y a qu’un seul réseau à
gérer et non plus trois.
1 2
Fonctionnalités d’un switch Fonctions d’un switch
On distingue les connecteurs SSF (Switch Form Factors) suivants : Les fonctions d’un switch des couches ci–dessous sont les suivantes :
Couche d’accès :
• switches de configuration fixe
• switches modulaires
• switches empilables • sécurité des ports
• réseaux locaux virtuels (VLAN)
• Fast Ethernet / Gigabit Ethernet
Il n’est pas possible d’ajouter des fonctionnalités ou des options supplémentaires • power over Ethernet
à un switch de configuration fixe. • agrégation de liaisons
• qualité de service
Un switch modulaire est livré avec un chassis qui permet l’ajout de plusieurs
cartes d’interfaces modulaires. Couche distribution :
Les commutateurs modulables sont interconnectés à l’aide d’un câble de fond • prise en charge de la couche 3
de panier qui fournit un débit de bande passante élevé, entre eux. • débit de transfert élevé
• Gigabit Ethernet / 10 Gigabits Ethernet
• composants redondants
Performances d’un switch • stratégie de sécurité /liste de contrôle d’accès
• agrégation de liaisons
La performance d’un switch se mesure selon • qualité de service
• la densité de ports Couche coeur de réseau :
• le débit de transfert
• l’agrégation de bande passante • prise en charge de la couche 3
• débit de transfert élevé
La densité de ports correspond au nombre de ports disponibles sur le switch. • Gigabit Ethernet / 10 Gigabits Ethernet
• composants redondants
Le débit de transfert définit la capacité de traitement d’un switch, en mesurant • agrégation de liaisons
la quantité de données pouvant être traitées par un switch. • qualité de service
Deux dernières caractéristiques :
3 4
Concepts et configuration de base de la commutation (S3/C2) Monodiffusion, multidiffusion et diffusion Ethernet
Contrôle de l’accès aux supports avec Ethernet Il existe 3 types d’adresses MAC :
Ethernet utilise la méthode CSMA/CD pour gérer l’accès au support et les • monodiffusion
collisions. • multidiffusion
• diffusion
Détection de signal : Avant d’envoyer un message, un périphérique écoute la
porteuse :
Monodiffusion : un périphérique envoie un message à un seul destinataire.
• Si aucun signal n’est détecté : le périphérique envoie son message.
Diffusion : un périphérique envoie un message à tous les périphériques du
domaine de diffusion.
• Si un signal est détecté : le périphérique attend un certain temps avant
L’adresse IP destinataire ne contient que des 1 dans la partie hôte. L’adresse
d’essayer à nouveau d’envoyer son message.
MAC correspondante comporte 48 bits à 1 donc FF-FF-FF-FF-FF-FF.
Accès multiple : Si deux périphériques émettent en même temps, une collision
Multidiffusion : un périphérique envoie un message à un groupe de
peut se produire.
périphériques (groupe de multidiffusion).
Dès la détection de collision, les deux périphériques responsables de la collision
Rappel : les adresses de multidiffusion vont de 224.0.0.0 à 239.255.255.255.
envoient un signal de détection.
Ce signal demande à tous les périphériques de cesser d’émettre pendant un
Chaque adresse IP de multidiffusion nécessite une adresse MAC de multidiffusion
temps aléatoire– algorithme d’interruption.
correspondante.
Ainsi, les 6 premiers nombres hexadécimaux sont 01-00-5E.
Après ce délai, les périphériques se remettent sur mode écoute. Afin que les
Les 6 derniers nombres hexadécimaux correspondent à
périphériques se ne remettent pas à émettre en même temps, une période de
réémission aléatoire est activée sur chaque périphérique. • 1er bit : 0
• les 23 bits depuis la droite de l’adresse IP de multidiffusion
1 2
Concentrateurs et domaines de collisions Méthodes de transmission par commutateur
Un répéteur est un dispositif réseau de couche 1 qui retransmet un signal reçu Un commutateur peut transmettre des trames selon différents modes :
depuis un segment sur le segment suivant. Il augmente la distance que les câbles
Ethernet peuvent atteindre. • store and forward (stockage et retransmission)
• cut-through
Un concentrateur est un répéteur multiport. Il permet de connecter un plus
grand nombre d’hôtes. Il retransmet un signal reçu depuis un port sur tous les
autres ports. Un commutateur store and forward reçoit la trame entière, calcule le CRC
et vérifie la longueur de la trame. Si les deux sont corrects, le commutateur
Lorsqu’une collision survient, celle-ci se propage sur une partie du réseau appelé recherche l’adresse de destination qui détermine l’interface de sortie, puis
domaine de collisions. achemine la trame.
Les répéteurs et les concentrateurs propagent les collisions. Ils augmentent Un commutateur cut-through achemine la trame avant qu’elle ne soit
donc la taille du domaine de collisions. entièrement reçue. Au minimum, l’adresse de destination de la trame doit être
lue avant que celle-ci ne soit pas retransmise.
Latence : un signal met un certain temps à se propager le long du support. Ce Il existe deux variantes du mode cut-trough : fast-forward et fragment-free.
délai augmente la probabilité de survenance de collisions.
La commutation fast-forward transmet le paquet immédiatement après la
lecture de l’adresse de destination et donc offre un temps de latence très bas. Il
Commutateurs (switchs) s’agit du mode cut-trough le plus fréquent.
Un commutateur est un dispositif réseau de couche 2. Il permet de segmenter La commutation fragment-free stocke les 64 premiers bytes de la trame avant
un LAN en plusieurs domaines de collisions distincts. Chaque port du commu- la retransmission. Comme la plupart des erreurs et collisions arrivent avant le
tateur représente un seul domaine de collisions. 64ème byte, cela permet de s’assurer qu’aucune collision ne s’est produite.
Lorsque tous les noeuds sont connectés directement au commutateur, celui
assure : Certains commutateurs sont configurés en mode cut-through par port. Une fois
un seuil d’erreurs définis atteint, le port automatiquement en mode store and
forward. lorsque le nombre d’erreurs passe en dessous du seuil défini, le port
• une bande passsante dédiée sur tous les ports revient en mode cut-trough.
• un environnement sans collision
• une transmission bidirectionnelle simultanée
Mise en mémoire tampon
Un commutateur effectue un réacheminement sélectif. Pour ce faire, le • axée sur les ports
commutateur fait appel aux fonctions de base suivantes : • partagée
• l’apprentissage Une mémoire axée sur les ports : les trames sont stockées dans des files
• l’horodatage d’attente liées à des ports entrants spécifiques.
• l’inondation
• le réacheminement sélectif Une mémoire partagée : toutes les trames sont stockées dans une mémoire
• le filtrage tampon commune à tous les ports du commutateur.
3 4
Commutations symétrique et asymétrique Mots de passe d’un commutateur
Il existe deux types de commutation : Les mots de passe ont pour but de limiter l’accès au routeur. Il est possible de
sécuriser l’accès au routeur sur
• symétrique • les lignes de terminal virtuel (vty)
• asymétrique • la ligne console
• le mode privilégié
Une commutation symétrique offre la même bande passante pour tous les ports.
Le mot de passe console :
Une commutation asymétrique offre une bande passante plus importante sur
un port afin d’éviter un goulot d’étranglement.
Switch(config)#line console 0
Switch(config-line)#password cisco
Un commutateur fonctionne au niveau de la couche 2 du modèle OSI : il filtre
Switch(config-line)#login
en se basant uniquement sur les adresses MAC.
Le mot de passe terminal :
Il existe également des commutateurs de couche 3 : il utilise aussi les adresses IP
pour prendre ces décisions. Il peut effectuer des fonctions de routage.
Un commutateur prend en charge généralement 16 lignes vty (numérotées de 0
à 15). Ces lignes permettent d’accéder à distance avec telnet au commutateur.
Séquence d’amorçage d’un commutateur
Switch(config)#line vty 0 15
Le commutateur charge le bootloader depuis la NVRAM. Switch(config-line)#password cisco
Switch(config-line)#login
Le bootloader :
Le mot de passe pour le mode privilégié :
• initialise le CPU
Il existe deux commandes pour configurer un mot de passe pour le mode
• effectue le POST privilégié :
Nom du commutateur
Switch(config)#hostname nomswitch
5 6
Configuration de l’interface de gestion d’un commutateur Configuration SSH
Les interfaces physiques d’un switch ne possèdent pas d’adresses IP et sont SSH (Secure Shell) fournit une communication sécurisée pour configurer des
actives par défaut. périphériques à distance.
Cependant, tous les IOS ne prennent pas en charge SSH. Dans ce cas, il est
Pour pouvoir gérer un switch à distance, il est nécessaire de lui attribuer une nécessaire d’utiliser Telnet.
adresse IP. Celle-ci est attribuée sur l’interface virtuelle vlan 1.
Etape 1 :
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-réseau On configure un nom d’hôte et un domaine hôte :
Switch(config-if)#no shutdown
Switch(config-if)#exit Switch(config)# hostname S1
S1(config)# ip domain-name mydomain.com
Finalement,pour permettre au switch de communiquer en dehors du réseau
local, il est nécessaire de lui attribuer une passerelle par défaut. Etape 2 :
7 8
Récupération de mot de passe du commutateur Menaces fréquentes en termes de sécurité
• Eteignez le switch. Rallumez-le en maintenant enfoncé le bouton MODE Les attaques les plus fréquentes sur les commutateurs sont :
jusqu’à ce que la LED de l’interface fa 0/1 s’éteigne.
• inondation d’adresses MAC
Le prompt suivant s’affiche alors : switch : • attaques par mystification
• attaques CDP
• Entrez les commandes suivantes : • attaques Telnet
• attaque de mot de passe en force
flash init
load helper L’inondation d’adresses MAC : submerge la table d’adresses MAC avec de
fausses adresses. Lorsque celle-ci est saturée, le commutateur fonctionne comme
• Renommez alors le fichier de configuration : un hub et diffuse toutes les trames sur tous les ports. Une personne malveillante
peut voir alors les trames transmises vers l’hôte qu’il souhaite attaquer.
rename flash:config.text flash:config.text.old
L’attaque par mystification :
• Amorcez le système : boot
Première méthode :
• A la question : ”Continue with the configuration dialog ? ”, répondez
négativement. Un périphérique pirate se fait passer pour un serveur DHCP et fournit dans sa
réponse à une requête DHCP sa prore adresse comme adresse de passerelle. Il
• Entrez en mode enable (sans mot de passe). transmet à son tour les trames à destination voulue et de ce fait peut passer
complètement inaperçu.
• Renommez le fichier de configuration d’après son nom d’origine :
rename flash:config.text.old flash:config.text Seconde méthode :
• Copiez le fichier de configuration dans la mémoire : Un périphérique pirate demande en permanence des adresses IP auprès d’un
véritable serveur DHCP. Tous les baux sont alors alloués et les véritables clients
copy flash:config.text system:running-config ne peuvent plus obtenir une adresse DHCP.
• Changez le mot de passe. Pour parer à de telles attaques, on utilise la surveillance DHCP qui détermine
les ports du commutateur qui sont en mesure de répondre à des requêtes DHCP
• Sauvegardez le fichier de configuration : avec la commande ip dhcp snooping.
copy running-config startup-config
L’attaque CDP : CDP est un protocole propriétaire cisco qui détecte tous les
• Rechargez le commutateur : reload périphériques voisins ; il est activé par défaut. Il donne des informations sur le
périphériques tels que l’ad. IP, l’IOS, la plateforme etc. Il est donc préférable de
désactiver le protocole CDP.
Telnet est un protocole non crypté ; il est donc préférable d’utiliser SSH.
9 10
Configuration de la sécurité des ports Adresse MAC sécurisée rémanente
Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de Une adresse MAC sécurisée rémanente est apprise dynamiquement, puis
rassembler des informations ou de mener des attaques sur le réseau. enregistrée dans le running-config.
La sécurisation passe par la limitation du nombre d’adresses MAC utilisées sur S1(config)# interface fa0/15
un port. Lorsque ce nombre maximal d’adresses MAC sécurisées est atteint, une S1(config-if)# switchport mode access
violation de sécurité se produit. S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
Il existe plusieurs façons de configurer la sécurité des ports sur un commutateur : S1(config-if)# switchport port-security sticky
S1(config-if)# end
• adresses MAC sécurisées statiques
• adresses MAC sécurisées dynamiques De plus les adresses MAC sécurisées rémanentes présentes les caractéristiques
• adresses MAC sécurisées rémanentes suivantes :
S1(config)# interface fa0/15 • l’utilisation de la commande no switchport port-security sticky efface les
S1(config-if)# switchport mode access adresses MAC sécurisées rémanentes du running-config mais les garde dans la
S1(config-if)# switchport port-security table d’adresses MAC.
S1(config-if)# switchport port-security mac-addressad. MAC
S1(config-if)# end
L’adresse MAC est alors stockée dans la table d’adresses MAC et est ajoutée
dans le running-config.
11 12
Modes de violation de sécurité Vérification de la sécurité des ports
On considère qu’il y a violation de sécurité lorsque l’une des situations Pour vérifier les paramètres de sécurité des ports :
suivantes se présente :
S1# show port-security [interface fa0/15 ]
• le nombre maximal d’adresses MAC sécurisés est atteint et une nouvelle
adresse MAC tente d’accéder à l’interface. Pour vérifier les adresses MAC sécurisées :
• une adresse MAC statique ou dynamique associée à une interface tente S1# show port-security address [interface fa0/15 ]
d’accéder à une autre interface dans le même réseau.
Il existe trois modes de violation configurable sur une interface : Désactivation des ports inutilisés
Une méthode simple pour sécuriser un commutateur est de désactiver les ports
• protect
inutilisés avec la commande shudown.
• restrict
• violation
Pour les IOS plus récents, il est possible de désactiver plusieurs ports en même
temps avec la commande :
protect : le nombre d’adresses MAC sécurisées atteint la limite autorisée sur
le port et une nouvelle adresse MAC tente d’envoyer des trames : celles-ci sont S1(config) # interface range fa 0/2 - 8
ignorées. Aucun message de notification n’est envoyé. S1(config-if)# shutdown
13 14
Présentation des locaux privés virtuels (S3/M3) VLAN 1
1 2
Effacement la configuration de base (Catalyst 2900) Configuration d’un trunk
Avant de commencer la configuration d’un commutateur, il est important de Switch(conf)# interface no port
s’assurer que la configuration précédente est bien effacée. Switch(conf-if)# switchport mode trunk
Les informations sur les VLAN configurés sont contenues dans le fichier vlan.dat Si le VLAN 1 n’est pas le VLAN natif :
stocké dans la mémoire flash. Pour effacer ce fichier :
Switch(conf-if)# switchport trunk native vlan numero vlan
Switch#delete flash:vlan.dat
Sur les switches 3500, on spécifie en plus le type d’encapsulation :
Pour effacer le fichier de configuration :
Switch(conf-if)# switchport mode encapsulation dot1q
Switch#erase startup-config
Finalement, pour vérifier le type d’un port (access/trunk)
Puis, pour recharger le commutateur :
Switch(conf)# show interface numero port switchport
Switch#reload
Routage inter–vlan
L’agrégation des LAN virtuels
La communication entre vlan n’est possible qu’avec l’utilisation d’un routeur.
Une agrégation est une connexion logique et physique entre deux switches par
lequel le trafic réseau est acheminé. Elle est obtenue en utilisant
Une agrégation prend donc en charge plusieurs VLAN sur la même connexion
• une connexion physique
et permet ainsi d’économiser des ports.
• une connexion logique
Des protocoles d’agrégation ont été développés afin de gérer le passage physique
de plusieurs VLAN sur une unique connexion physique. entre le routeur et un switch.
Il existe deux types d’agrégation : Une connexion physique : chaque vlan est associé à une interface physique
sur le routeur.
• ISL
• IEEE 802.1Q Une connexion logique : une seule interface physique est utilisée sur le routeur
pour tous les vlan. L’interface physique est ”divisée” en sous-interfaces logiques.
Chaque sous–interface logique correspond à un vlan.
mais aujourd’hui seul le protocole IEEE 802.1Q est utilisé.
Configuration de sous–interfaces logiques
Un VLAN natif est affecté à un port d’agrégation 802.1Q ; il s’agit par défaut
du VLAN de gestion : le VLAN 1.
Router(config)# interface fa no port.no sous-int
Une étiquette est placée dans l’en-tête de chaque trame au moment où celle-ci
Router(config-subif)# encapsulation dot1Q numero vlan
rejoint le trunk. Lorsque la trame quitte le trunk, le switch retire l’étiquette
avant de transmettre la trame à l’hôte destinataire.
Router(config-subif)# ip address ad ip masque ss–réseau
Exception : Les trames du VLAN natif ne sont pas étiquetées.
3 4
Protocole VTP (S3/M4) Configuration VTP par défaut
Plus le nombre de switches augmente dans une entreprise, plus il est difficile de • Version VTP = 1
gérer les VLAN et les agrégations. • VTP domain name = null
• Mode vtp = Server
Le protocole VTP (Virtual Trunking Protocol) permet à un administrateur • Revision Config = 0
de configurer un switch (serveur) qui propagera ses configurations VLAN aux • VLAN = 0
autres switches du domaine. Version VTP : le protocole comporte 3 versions : 1,2 et 3. Une seule version
est autorisée dans un domaine VTP.
Le protocole VTP mémorise les configurations VLAN dans la base de données
VLAN des switches : vlan.dat. Version VTP :
A chaque configuration est associé un numéro, appelé numéro de révision.
Les modes VTP : un switch peut être en mode serveur, client ou transpa-
rent. L’élagage VTP
Serveur VTP : L’élagage VTP augmente la bande passante disponible sur le réseau en
limitant les transmissions diffusées sur les liaisons agrégées que le trafic doit
• un VLAN peut être créé, supprimé ou renommé pour tout le domaine. utiliser pour atteindre les périphériques de destination. Cela permet donc
• il stocke les informations VLAN pour l’ensemble du domaine dans la NVRAM. d’éviter l’inondation superflue d’informations.
• il annonce aux autres switches du domaine les paramètres VLAN.
• il s’agit du mode par défaut d’un switch. L’élagage n’est pas activé par défaut. Il est activé avec la commande vtp
pruning sur le switch VTP serveur du domaine.
Client VTP :
Lorsque l’élagage est activé sur un réseau, il reconfigure les liaisons agrégées en
• il n’est pas possible de créer, modifier ou supprimer des VLAN. fonction des ports configurés avec les VLAN.
• il stocke uniquement les informations VLAN du domaine pendant qu’il est
sous tension.
Transparent VTP :
1 2
Configuration VTP
Première possibilité :
Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload
Seconde possibilité :
Le switch est changé de domaine, puis remis dans le domaine initial (cf
commande plus loin). Dans ce cas le numéro de révision est remis à 0, mais les
VLAN déjà présents sont conservés.
3
Protocole STP (S3/M5) Algorithme STA
Le réseau informatique d’un entreprise est un composant essentiel. Il est donc Il désigne un switch comme pont racine qu’il utilise comme point de référence
nécessaire de mettre en oeuvre une redondance qui assure la disponibilité du pour le calcul de tous les chemins.
réseau. Cependant cette redondance crée des boucles dans le trafic qui doivent
être gérées dynamiquement. Une fois le pont racine déterminé, l’algorithme STA calcule le chemin le plus
court entre un switch donné et le pont racine.
Le protocole STP (Spanning Tree ou arbre recouvrant) garantit l’unicité du
chemin logique entre toutes les destinations sur le réseau en bloquant les chemins
redondants susceptibles d’entrainer la formation d’une boucle. Meilleur chemin
Boucles de couche 2 L’algorithme STA détermine le meilleur chemin vers le pont racine à partir de
chaque switch du domaine.
Lorsqu’il existe plusieurs chemins entre 2 switches et que le protocole STP est
désactivé, une boucle de couche 2 peut se former. Le meilleur chemin est déterminé par la somme des différents coûts de ports
entre un switch donné et le pont racine. La somme la plus basse est préférée.
Les trames Ethernet n’ont pas de TTL et ne sont pas arrêtées. Elles continuent
donc à circuler indéfiniment d’un switch à l’autre jusqu’à ce qu’une liaison Les coûts définis par l’IEEE sont les suivants :
soit interrompue ou un switch mis hors tension.
Par défaut les trames de diffusion sont transmises sur tous les ports (excepté le • 10 Gb/s : 2
port d’origine). Si la trame peut emprunter plusieurs chemins, une boucle sans • 1 Gb/s : 4
fin peut se créer et les trames se multiplient.Cette multiplication progressive des • 100 Mb/s : 19
trames produit une tempête de diffusion. • 10 Mb/s : 100
Une tempête de diffusion se produit quand toute la bande passante est Pour vérifier le coûts des chemins et des ports vers le pont racine, on utilise la
consommée par les trames de diffusion ce qui provoque un dysfonctionnement commande show spanning-tree .
du réseau et des périphériques finaux.
Lorsqu’un hôte est pris dans une boucle, les autres hôtes ne peuvent plus y
accéder et les trames de monodiffusion finissent par tourner en boucle.
Lorsque des trames de monodiffusion sont envoyées sur des réseaux comportant
des boucles, des trames en double peuvent parvenir à la destination finale.
1 2
Unité BPDU Rôle des ports
L’unité BPDU est la trame de message échangée par les switches dans le cadre Il existe 4 rôles distincts de ports de switch ; ils sont automatiquement configurés
du protocole STP. durant le processus STP.
• valeur de priorité
Le port racine existe uniquement sur des ponts non racines. Il s’agit du port
• ID du système étendu
du switch offrant le meilleur chemin vers le pont racine. Un seul port racine est
• adresse MAC du switch
autorisé par switch.
Chaque champ du BID est utilisé lors du processus de sélection du pont racine. Le port désigné existe sur les ponts racines et non racines.
Sur le pont racine : tous les ports sont des ports désignés.
Le switch qui possède la valeur de priorité la plus basse a la priorité la plus Sur le pont non racine : le port désigné est celui qui transmet les trames vers le
élevée. pont racine.
La valeur de priorité par défaut est 32768. Un seul port désigné est autorisé par segment.
La plage des valeurs de priorité varie entre 1 et 65536, par incrément de 4096.
La valeur 1 correspond à la priorité la plus élevée. Le port non désigné est un port qui est bloqué. Il ne transmet pas de données.
L’ID du système étendu contient la valeur de l’ID du vlan auquel la trame L’algorithme Spanning Tree détermine le rôle de port affecté à chacun des ports
BPDU est associée. d’un switch.
La valeur d’ID du système étendu est ajoutée à la valeur de priorité du switch.
Configuration du BID
Pour être sur que le switch a bien la valeur de priorité la plus basse :
3 4
Processus de convergence du protocole STP Etats des ports STP
Le processus de convergence du protocole STP se décompose en trois parties : Pour faciliter l’apprentissage et la construction de l’arbre, chaque port d’un
switch passe par 5 états possibles et trois minuteurs :
• désignation d’un pont racine
Les 5 états possibles sont :
• désignation des ports racines
• sélection des ports désignés et non désignés
• blocage
• écoute
Désignation d’un pont racine :
• apprentissage
• acheminement
Tous les switches du domaine participent au processus d’élection.
• désactivation
Une fois allumé, le switch envoie des trames BPDU contenant son BID. Le
switch avec le BID le plus bas remporte l’élection et devient le pont racine.
Blocage : Le port est un port non désigné qui ne participent pas à l’achemine-
Désignation des ports racines : ment des trames mais il reçoit les trames BPDU.
Le port ayant le coût de chemin global le plus faible devient le port racine. Ecoute : le protocole STP a déterminé que le port peut participer à l’achemi-
Lorsque deux ports ont le même coût de chemin le plus faible vers le pont racine, nement des trames. Il reçoit les trames BPDU.
on utilise la valeur de priorité de port ou l’ID de port la plus faible si les valeurs
de priorité sont les mêmes. Apprentissage : Le port se prépare à participer à l’acheminement et commence
à enricher la table d’adresses MAC.
Pour configurer la priorité du port fa0/1 :
Acheminement : Le port est considéré comme intégré à la topologie active ; il
Switch(conf)#interface fa0/1 achemine les trames, il envoie et reçoit des trames BPDU.
Switch(config-if)#spanning-tree port-priority valeur
Désactivation : Le port ne participe pas à la topologie active et n’achemine
La plage des valeurs de priorité des ports varie 0 à 240, par incrément de 16. La aucune trame. Il est désactivé administrativement.
valeur de priorité de port par défaut est 128.
Le pont racine configure tous ses ports en tant que ports désignés.
Lorsque deux switches sont connectés au même segment, ils doivent élire le port
désigné et le port non désigné. Pour ce faire, le port désigné est celui qui a le
coût de chemin de plus faible. Si les deux ports ont le même coût de chemin,
les deux switches échangent leurs BID respectifs. Celui qui a le BID le plus bas
obtient le port désigné.
5 6
Minuteurs BPDU
La durée pendant laquelle un pont reste dans les différents états dépend des
minuteurs BPDU :
• Hello Time
• Forward Delay
• Max Age
Le processus de détermination des rôles des ports intervient en même temps que
le processus de sélection du pont racine et de désignation des ports racines.
Par conséquent, les rôles de ports désignés et non désignés peuvent changer
plusieurs fois durant le processus de convergence et ce tant que le pont racine
final n’a pas été déterminé.
Technologie PortFast
Switch(conf)#interface fa0/1
Switch(config-if)#spanning-tree portfast
7
Routage entre réseaux locaux virtuels (S3/M6) Routage inter–VLAN (router on a stick)
Quelques rappels :
• des liaisons agrégées
Un VLAN est associé à un sous–réseau unique • des sous–interfaces virtuelles
Deux hôtes appartenant à des VLAN distincts ne peuvent pas communiquer Une sous–interface est une interface virtuelle affectée à une interface physique.
Il existe cependant un moyen de les faire communiquer : le routage inter–VLAN. L’interface physique du routeur doit être connectée à une liaison agrégée sur le
switch adjacent.
Routage inter–VLAN
Sur l’interface physique, une sous–interface est créée pour chaque VLAN.
Le routage inter–VLAN est un processus d’acheminement du trafic réseau
d’un VLAN à l’autre à l’aide d’un routeur. Chaque sous–interface reçoit une adresse IP spécifique au sous–réseau dont elle
fait partie. De plus, elle est configurée pour les trames d’étiquette VLAN pour
Il existe deux méthodes de routage inter–VLAN : le VLAN auquel elle appartient.
Il existe deux méthodes pour configurer une interface physique et ses sous–
• le routage inter-VLAN traditionnel
interfaces virtuelles.
• le routage inter-VLAN (router on a stick)
Première méthode
Routage inter–VLAN traditionnel On configure l’interface physique avec l’adresse ip du VLAN 1 (natif) :
Chaque interface sur le routeur est connectée à un VLAN distinct. Router(config)# interface fa0/0
Router(config-if)# description vlan1
Chaque interface du routeur est configurée avec une adresse IP appartenant Router(config-if)# ip address ad-ip masque-ss–réseau
au VLAN particulier auquel elle est connectée. Elle est donc la passerelle du Router(config-if)# no shut
VLAN.
Puis, on configure les autres VLAN sur les sous-interfaces :
L’interface physique du routeur doit être connectée sur le switch adjacent en
mode accès. Router(config)# interface fa0/0.num-sous-int
Router(config-if)# description vlan-num
Router(config-subif)# encapsulation dot1Q num-vlan
Router(config-subif)# ip address ad ip masque ss–réseau
1 2
Seconde méthode
Tous les VLAN, y compris le VLAN 1 (natif) sont configurés sur des sous–
interfaces.
3
Concepts et configuration de base d’un réseau sans fil (S3/M7) Normes de réseaux sans fil
La norme 802.11 définit la façon dont les radio fréquences dans les bandes
Comparaison entre les réseaux filaires et sans fil de fréquence ISM sans licence sont utilisées par la couche physique et la
sous-couche MAC.
La norme IEEE des réseaux informatiques est la norme 802 LAN/MAN.
Les deux principaux groupes de travail sont : On distingue 4 normes :
• 802.11 a : OFDM/5 GHz/54 Mb/s
• 802.3 : réseau local Ethernet • 802.11 b : DSSS/2.4 GHz/11 Mb/s
• 802.11 : réseau local sans fil
• 802.11 g : OFDM/2.4 GHz/54 Mb/s
• 802.11 n : OFDM-MIMO/5 GHz ou 2.4 GHz / > 200 Mb/s
Les périphériques connectés aux réseaux sans fil sont généralement des appareils pour deux flux
mobiles alimentés par batterie. Les cartes réseaux sans fil tendent à réduire
cette autonomie. Il existe trois types de modulation :
Les réseaux locaux sans fil utilisent un format de trame différent de celui des • amplitude
réseaux locaux Ethernet filaires. • fréquence
• phase
La norme prescrit l’évitement de collision plutôt que la détection de collisions.
Le protocole utilisé est le CSMA/CA. Les débits de données sont affectées par la technique de modulation. Les tech-
niques de modulation les plus fréquentes sont :
Les réseaux locaux sans fil posent davantage de problème en matière de
confidentialité, puisque les ondes radio ne sont pas confinées à l’intérieur d’un • Etalement du spectre en séquence directe (DSSS)
câble mais rayonnent parfois même jusqu’à l’extérieur d’un bâtiment. • Répartition orthogonale de la fréquence (OFDM)
Un réseau local sans fil 802.11 constitue généralement une extension d’un LAN
Ethernet 802.3.
Certification wireless
Les trois organismes ayant le plus de poids pour la mise en place de normes de
réseaux locaux sans fils sont :
• ITU-R
• IEEE
• Wi-Fi Alliance
1 2
Composants d’une infrastructure sans fil Fonctionnement sans fil
Une carte réseau sans fil code un flux de données sur un signal RF selon la Un SSID (Service Set Identifier) est un identificateur unique qu’utilisent les
technique de modulation définie. clients pour distinguer plusieurs réseaux sans fil dans un même voisinage.
Un SSID peut être utilisé par plusieurs points d’accès dans un même voisinage.
Un point d’accès sans fil est un périphérique de couche 2. Il permet de relier
des clients sans fil à un réseau filaire. La norme IEEE 802.11 établit un modèle de découpage en canaux pour
l’utilisation des bandes RF ISM sans licence dans les réseaux locaux sans fil.
Un point d’accès assure une fonction de coordination à l’aide du protocole
CSMA/CA. Une station qui souhaite émettre doit attendre que le support La bande 2.4 GHz est découpée en 11 canaux pour l’Amérique du Nord et 13
soit disponible avant d’envoyer des données. canaux pour l’Europe. Il existe un chevauchement entre les canaux successifs.
Lorsqu’un point d’accès reçoit des données en provenance d’un client, il lui Lorsque plusieurs points d’accès sont proches, il est fortement préconisé d’utiliser
envoie un ACK. L’ACK indique au client qu’aucune collision ne s’est produite des canaux sans chevauchement (par exemple : 1,6,11). Beaucoup de points
et qu’il ne doit pas retransmettre les données. d’accès sélectionnent automatiquement un canal en fonction de l’utilisation des
canaux adjacents.
Un routeur sans fil (Linksys WRT 320n) joue les rôles de
Il existe différentes topologies pour les réseaux sans fil :
• point d’accès
• switch • ad-hoc (IBSS)
• routeur • ensemble de services de base (BSS)
• éventail de services étendus (ESS)
Il est généralement utilisé chez les particuliers et les petites entreprises. Il est
capable de gérer des réseaux 802.11 et 802.3 ainsi que d’assurer une connexion à Un réseau ad-hoc fonctionne sans point d’accès. Les 2 hôtes communiquent
un fournisseur d’accès Internet. directement entre eux.
Un réseau BSS est constitué d’un point d’accès et de clients. Le point d’accès
est le point central du réseau et toutes les communications passent par lui.
3 4
Association du client au point d’accès Protocoles de sécurité sans fil
Des trames Beacon sont diffusées régulièrement par le point d’accès. Elles A l’origine, la norme 802.11 avait établi deux types d’authentification : ouverte
permettent à un client de détecter la présence d’un réseau sans fil dans une zone (sans authentification) et WEP (Wired Equivalent Privacy).
donnée. Le protocole WEP a montré des failles et des fournisseurs ont mis au point leur
propre système de sécurité.
Le processus d’association 802.11 a lieu en trois étapes :
La Wi-Fi alliance a proposé la méthode WPA (Wi-Fi Protected Access) comme
Etape 1 : Analyse 802.11 solution intermédiaire en remplacement du WEP.
WPA est un protocole basé sur le protocole WEP renforcé avec l’algorithme
Le client envoie une requête d’analyse avec ou sans SSID. Le point d’accès TKIP (Temporal Key Integrity Protocol).
envoie une réponse à la requête d’analyse.
WPA2 est un algorithme plus robuste que WPA. Il est basé sur le chiffrement
Remarque : un réseau avec un SSID non diffusé ne répond pas à une requête AES. Il correspond à la norme 802.11i.
d’analyse sans SSID indiqué.
Le mode PSK (pre-shared key ou personal mode) a été concu pour les réseaux
Etape 2 : Authentification 802.11 domestiques ou de PME qui ne peuvent pas se permettre d’utiliser une serveur
d’authentification 802.11x. Dans ce cas, tous les utilisateurs et le point d’accès
Premier mécanisme : authentification ouverte partagent la même phrase secrète.
Second mécanisme : authentification basée sur une clé partagée dont le but Selon les points d’accès, les protocoles WPA ou WPA2 n’apparaissent pas en
est d’assurer un niveau de confidentialité équivalent à celui d’un connexion filaire. option. A la place, on trouve :
Cette étape valide les options de sécurité et débit entre le client et le point • PSK ou PSK2 avec AES = WPA2
d’accès.
Une fois que le client est associé, l’échange de trafic peut commencer. • PSK2 sans méthode spécifiée = WPA2
5 6
Authentification de l’accès au réseau local sans fil Configuration de base d’un point d’accès
La norme IEEE 802.11x spécifie les protocoles d’authentification. • On commence par effectuer un reset sur le point d’accès en appuyant sur le
petit bouton prévu à cet effet.
Dans un réseau domestique, il n’y a soit pas d’authentification ou soit une
authentifcation par clé partagée commune à tous les clients. • On connecte le PC avec un câble Ethernet droit au point d’accès.
Dans le cadre de réseau d’entreprise, les exigences de sécurité sont plus strictes • Le point d’accès possède par défaut l’adresse IP 192.168.1.1 ; on attribue
et l’authentification des clients a lieu par un serveur. Ce processus d’authentifi- donc au PC une adresse IP dans le réseau 192.168.1.0/24.
cation est géré par le protocole EAP (Extensible Authentication Protocol). Il
est constitué des étapes suivantes : • On lance alors un browser Web et on rentre dans le champ d’adresse
192.168.1.1.
• Le client s’associe avec le point d’accès.
• Un écran de login apparait avec un champ utilisateur et un champ mot de
• Le point d’accès bloque toutes les trames de données sauf le trafic 802.11x. passe : on laisse le premier champ vide et on renseigne le second avec le mot
admin.
• Les trames 802.11x acheminent les paquets d’authentification EAP vers un
serveur d’authentification. • On rentre alors dans le mode Setup afin de définir les configurations de
couche 3.
• Si l’authentification EAP aboutit, le serveur d’authentification envoie un mes-
sage de réussite au point d’accès qui autorise alors le trafic de données du client. • On rentre dans le mode wireless pour définir le SSID ainsi que le chiffrement.
7 8
Présentation des réseaux étendus (S4/C1) b
Modèle hiérarchique
• couche d’accès
• couche de distribution
• couche coeur de réseau
1 2
Modules de l’architecture d’entreprise b
3 4
Périphériques de réseau étendu b
Les modems câble et DSL fournissent des transmissions plus rapides grâce à
des fréquences de bande passante plus élevée.
Le DSU convertit les trames des lignes T en trames pouvant être interprétées
par le réseau local (et réciproquement).
5 6
Formats d’encapsulation de trames de réseau étendus Réseau à commutation de paquets
La trame est constituée des champs suivants : Un réseau à commutation de paquets fractionne les données de trafic en
paquets acheminés sur un réseau partagé. Il existe deux approches :
• indicateur
• en-tête : adresses, contrôle, protocole • liaison sans connexion
• données • liaison avec connexion
• FCS
• indicateur Liaison sans connexion : chaque paquet contient des données d’adressage
complètes. Chaque commutateur utilise l’adresse destinataire pour acheminer le
Le champ indicateur de départ et de fin est constitué des 8 bits : 01111110. paquet.
Dans l’en–tête : Liaison avec connexion : chaque liaison est prédéterminée. Chaque paquet
l’empruntant n’a besoin que d’un identificateur. Le commutateur détermine la
Le champ d’adresses n’est pas requis car il s’agit de connexion point à point route à suivre en recherchant l’identificateur dans des tables en mémoire.
mais reste présent.
Un circuit virtuel est un circuit logique établi au sein d’un réseau entre deux
Le champ de contrôle indique si la trame contient des informations de contrôle périphériques réseau. Il existe deux types de circuits virtuels :
ou des données.
• circuit virtuel permanent (PVC)
Le champ protocole indique le protocole réseau utilisé. • circuit virtuel commuté (SVC)
Le FCS (séquence de contrôle de trame) contient le checksum.
Un circuit virtuel permanent est établi de façon permanente entre deux
périphériques. Il est utilisé pour des transmissions constantes et est généralement
Concepts de commutation de réseau étendu configuré par le fournisseur de services.
On distingue 2 types de commutation : Un circuit virtuel commuté est établi de façon dynamique, sur demande et
utilisé pour des transmissions intermittentes. Cette commutation s’effectue en
trois phases :
• commutation de circuits
• commutation de paquets
• établissement du circuit
• transfert des données
Un réseau à commutation de circuits établit un circuit entre la source et la • fermeture du circuit
destination avant que les utilisateurs puissent communiquer. Le chemin interne
emprunté par le circuit est partagé par un certain nombre de conversations.
Ce partage se fait par l’intermédiaire d’un multiplexage temporal. Il assure
qu’une capacité fixe soit mise à disposition de l’abonné.
7 8
Connexion dédiée : ligne louée Options de connexion à commutation de circuits
Une ligne louée offre une connexion dédiée permanente. Accès commuté analogique
Le port série d’un routeur est requis pour chaque ligne louée. ainsi qu’une unité
DSU/CSU pour accéder aux services du fournisseur d’accès de réseau étendu. Les modems et les lignes téléphoniques commutées analogiques fournissent des
Leur prix dépend de la bandee passante et de la distance entre les 2 points de connexions de faible capacité et dédiées.
connexion. Le modem module les données binaires en un signal analogique à la source et
Une telle liaison est coûteuse mais n’a pas de latence et offre une disponibilité démodule ce signal en données binaires une fois arrivé à destination (56 Kbits/s).
constante.
Avantages : simplicité, disponibilité et coût faible.
Il existe différents types de ligne dont :
Inconvénients : faible débit, temps de connexion relativement long.
• E1 et E3 (2.048 Mb/s et 34 Mb/s) pour l’Europe.
• T1 et T3 (1.544 Mb/s et 44 Mb/s) pour les Etats-Unis. RNIS (Réseau numérique à intégration de services)
9 10
Options de connexion de réseau étendu à commutation de paquets Options de connexion Internet
Les technologies de commutation de paquets les plus utilisées sont : Frame Les options de connexion à large bande sont utilisées pour connecter des
Relay, ATM et X.25 télétravailleurs à leur entreprise par Internet.
X.25 est un protocole de couche réseau. Un circuit virtuel peut être établi ; il Services à large bande :
est identifié par un numéro de canal. Plusieurs canaux peuvent être actifs sur
une seule connexion. Les réseaux X.25 sont remplacés par d’autres technologies DSL : fournit une connexion permanente en utilisant les lignes téléphoniques
telles que le Frame Relay, ATM et ADSL. existantes. Un modem DSL convertit un signal Ethernet provenant d’un
périphérique utilisateur en signal DSL transmis au central téléphonique.
Frame Relay (Relais de trames) est similaire à X.25 quoique plus simple car Plusieurs lignes d’abonnés DSL sont multiplexées en une liaison unique à haute
aucun contrôle de flux ou d’errreur n’est implémenté ; il focntionne au niveau de capacité au moyen d’un multiplexeur d’accès DSL (DSLAM) dans les locaux du
la couche liaison de données. La plupart des circuits virtuels sont permanents et fournisseur d’accès.
identifiés à l’aide d’un DLCI.
Modem câble : le câble coaxial utilisé dans le cadre des réseaux de télévision
ATM (Asynchronous Transfert Mode) est fondée sur une architecture à cellules câblée peut offrir une connexion réseau permanente.
de longueur fixe (53 octets) ce qui la rend bien adaptée au transport du trafic vo- Le modem câble convertit les signaux numériques en fréquence à large bande
cal et vidéo. ATM offre des circuits virtuels permanents ou commutés et accepte utilisée pour la transmission télévisée. Tous les abonnés locaux partagent la
plusieurs circuits virtuels sur une seule connexion. même bande passante.
Wi-Fi municipal : réseau sans fil d’une ville fournissant un accès Internet à
haut débit.
Internet par satellite : utilisé plutôt dans les zones rurales où d’autres types
de connexion sont absents. Une antenne parabolique fournit la communication
à un système de satellites.
11 12
Technologie de réseau privé virtuel
Un réseau privé virtuel est une connexion cryptée entre des réseaux privés sur
un réseau public comme Internet.
Les avantages d’un VPN sont :
• économique
• sécurité
• extensibilité
• compatibilité avec la technologie à large bande
13
Protocole PPP (S4/C2) b
• distorsion d’horloge
• diaphonie
Exemples de multiplexage :
1 2
Point de démarcation b
Selon les pays, ce point de démarcation ne se situe pas au même endroit. Ainsi,
aux Etats-Unis il se situe sur la boucle locale. Dans les autres pays, il se trouve
après le DTE.
DTE et DCE
Un câble pour connecter un DTE à un DCE qui par défaut sont deux types
d’équipement distincts.
Un câble null-modem pour connecter deux routeurs ou deux PC entre eux ; ils
sont par défaut des équipements DTE.
Cependant, lors d’une connexion série synchrone, il est tout de même nécessaire
d’avoir un signal d’horloge. Dans ce cas, l’un des DTE joue le rôle de DCE.
Sur chaque connexion de réseau étendu, des données doivent être encapsulées
dans des trames avant d’atteindre la liaison de réseau étendu. Le choix du
protocole dépend de la technologie de réseau étendu et de l’équipement de
communication. Les protocoles de réseau étendu les plus utilisés sont :
• HDLC
• PPP
• Serial Line Internet Protocol
• X.25
• Frame Relay
• ATM
3 4
Encapsulation HDLC Architecture en couches
HDLC est un protocole de la couche liaison de données synchrone orienté-binaire Couche physique : PPP peut être déployé sur un support synchrone ou
développé par l’ISO. asynchrone.
HDLC utilise un délimiteur de trame pour marquer le début et la fin de chaque Couche liaison de données : LCP s’occupe d’établir, de configurer et de
trame. tester la connexion point à point. Une fois la ligne établie, il s’occupe, si
demandé, de l’authentification, la compression et la détection des erreurs
Cisco a développé une extension du protocole HLDC permettant de prendre en
charge plusieurs protocoles. Couche physique NCP agit principalement à ce niveau de modèle OSI.
Plusieurs protocoles réseau peuvent fonctionner sur la même liaison. Pour
Configuration : chacun d’eux, PPP utilise un NCP différent.
HDLC est la méthode d’encapsulation par défaut des liaisons série sur les routeurs Phase 1 : LCP établit la liaison et négocie les paramètres de configuration.
Cisco.
La version HDLC de Cisco est propriétaire ; par conséquent, on utilise le Phase 2 : LCP détermine la qualité de la liaison (facultatif).
protocole PPP lorsque une routeur Cisco et un autre routeur non Cisco sont
connectés entre eux par l’intermédiaire d’un câble série. Phase 3 : NCP négocie la configuration du protocole de couche réseau.
• non propriétaire
• qualité de la liaison
• authentification
5 6
Commandes de configuration PPP Configuration de PAP
Pour configurer une interface série avec le protocole PPP : Configuration sur le routeur R1 :
PAP est un protocole bidirectionnel ayant lieu en deux étapes et qui n’utilise pas Le protocole PAP procède à une seule authentification lors de l’établissement
le chiffrement : les noms d’utilisateur et mot de passe sont envoyés en clair. S’ils de la connexion, le protocole CHAP effectue des vérifications régulières pendant
ont acceptés, la connexion est autorisée. L’authentification a lieu une seule fois. l’existence de la liaison.
Le nom d’hôte d’un routeur doit correspondre au nom d’utilisateur configuré
sur l’autre routeur. Le routeur R1 souhaite établir une connexion CHAP avec le routeur R2.
Une fois l’établissement de la liaison terminée, un échange en trois étapes a lieu :
Plus précisément : R2 répond par une valeur hachée en MD5, basé sur le mot
de passe et le message de demande de confirmation
7 8
Configuration de CHAP
Router#configure terminal
Router(config)#hostname R1
R1(config)#username R2 password cisco
R1(config)#interface serial 0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
Router#configure terminal
Router(config)#hostname R2
R2(config)#username R1 password cisco
R2(config)#interface serial 0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
9
Protocole Frame Relay (S4/C3) Circuits virtuels
Frame Relay Un circuit virtuel désigne une connexion logique entre deux DTE par un
réseau Frame Relay.
Frame Relay est un protocole de réseau étendu qui agit au niveau des couches
physique et liaison de données du modèle OSI. On distingue deux types de circuits virtuels :
Ce protocole est utilisé par les fournisseurs d’accès pour transmettre des signaux • le circuit virtuel commuté (SCV)
vocaux et numériques entre réseaux locaux par l’intermédiaire d’un réseau • le circuit virtuel permanent (PVC)
étendu.
Un circuit virtuel peut passer par un nombre quelconque de commutateurs du
Frame Relay est un protocole de réseau étendu très répandu car il est de faible
réseau Frame Relay.
coût par rapport aux lignes dédiées et d’une grande flexibilité.
Un circuit virtuel est identifié par un indicateur de connexion de liaison
A la fin des années 70, des sites distants étaient généralement reliés en utilisant
de données appelé DLCI. Il est généralement attribué par le fournisseur de
le protocole X. 25. Ce protocole permettait d’obtenir une connexion très fiable
service Frame Relay et a uniquement une signification locale.
sur des infrastructures câblées non fiables grâce à un contrôle de flux et d’erreurs.
Le DLCI est stocké dans le champ d’adresse de chaque trame indiquant ainsi où
Frame Relay, le remplaçant de X.25, demande moins de temps de traitement que
la trame doit être acheminée.
X.25 car il ne fournit pas de corrections d’erreurs. La propagation des données
est donc très rapide.
La valeur d’un DLCI varie entre 16 et 1007.
Lorsque Frame Relay est utilisé pour connecter des réseaux locaux, le DTE sur
Le réseau Frame Relay est statistiquement multiplexé. Cela signifie qu’il ne
chacun des réseaux est un routeur, le commutateur Frame Relay est un DCE.
transmet qu’une trame à la fois, mais que plusieurs connexions logiques peuvent
coexister sur la même ligne physique. Ainsi, chaque point d’extrémité ne nécessite
qu’une ligne d’accès et une interface.
La somme de contrôle est calculée puis insérée dans la trame par la source. Le
destinataire recalcule le FCS. Si les résultats sont identiques, il traite la trame,
sinon il l’abandonne.
1 2
Topologies Frame Relay Interface de supervision locale (LMI)
On distingue trois types de topologie : La LMI (Local Management Interface) est un mécanisme de test d’activité qui
fournit des informations sur les connexions Frame Relay entre le routeur DTE
• en étoile et le switch Frame Relay (DCE). Si le réseau ne fournit pas les informations
• à maillage global demandées, le routeur peut considérer la connexion comme coupée.
• à maillage partiel
Le switch et le routeur doivent utiliser le même LMI.
Le mappage dynamique utilise l’inverse ARP pour résoudre l’adresse IP du frame-relay lmi-type [cisco | ansi |q933]
saut suivant en une valeur DLCI locale. Il stocke ces informations dans sa table
de mappage.
Pour voir le contenu de cette table : show frame-relay map. Utilisation de la LMI et de l’ARP inverse pour le mappage des adresses
Sur les routeurs Cisco l’ARP inverse est activé par défaut. Le routeur (DTE) se connecte au réseau Frame-Relay et envoie une LMI. Le
réseau répond par un message d’état LMI donnant des informations sur les
Le mappage statique est utilisé lorsqu’un routeur ne prend pas en charge circuits virtuels configurés sur la liaison.
l’inverse ARP ou qu’un réseau Frame-Relay est constitué d’une topologie en
étoile. Le routeur doit alors mapper ces circuits virtuels à des adresses de couche 3.
Pour ce faire, il envoie un message ARP inverse sur chaque circuit virtuel. Il peut
alors effectuer le mappage. Il profite aussi lors de l’envoi de son message pour
envoyer son adresse réseau afin que le routeur distant puisse aussi effectuer son
propre mappage.
3 4
Configuration de base de Frame Relay (mappage dynamique) Découpage d’horizon
Pour configurer une interface série avec le protocole Frame Relay : Un réseau Frame-Relay est de type NBMA et possède généralement une topologie
en étoile.
R1(config)#interface serial 0/0 Un protocole de routage à vecteur de distance utilise la technique du découpage
R1(config-if)#ip address ad IP masque reseau d’horizon pour éviter les boucles de routage.
On configure l’encapsulation : Rappel : le découpage d’horizon empêche qu’une mise à jour de routage reçue
sur une interface physique ne soit retransmise par la même interface. Dans le cas
R1(config-if)#encapsulation frame-relay [ietf | cisco] d’un réseau étoilé cela signifie que les mises à jour ne peuvent pas être acheminées
sur tout le réseau.
Rappelons que le type d’encapsulation Frame-Relay par défaut est cisco. Le type Plusieurs solutions se présentent :
d’encapsulation ietf s’utilise lorsque le routeur distant n’est pas cisco.
Les routeurs d’extrémité doivent utiliser la même encapsulation frame-relay. • désactivation du découpage d’horizon
• topologie à maillage global
Finalement la configuration du lmi est automatique, donc facultative. • utilisation de sous-interfaces
Pour vérifier la configuration :
Configuration d’un mappage statique Frame Relay Frame Relay peut partitionner une interface physique en plusieurs interfaces
virtuelles ou sous-interfaces ; à chacune est associée un circuit virtuel permanent.
Dans ce cas on établit manuellement le mappage entre l’adresse réseau du Une sous-interface peut être configurée en mode point à point ou multipoint.
routeur distant et le numéro DLCI local.
Point à point : Une sous-interface point à point établit une connexion par
On commence par désactiver l’inverse-map : circuit virtuel permanent à une interface physique ou une sous-interface d’un
routeur distant.
R1(config-if)# no frame-relay inverse-arp Chaque paire de routeurs point à point réside sur son propre réseau et chaque
R1(config-if)# frame-relay map ad IP numero DLCI [broadcast|cisco|ietf] sous-interface point à point ne dispose que d’un DLCI. Dans ce cas, le découpage
d’horizon n’intervient pas.
Remarques :
Multipoint : une seule sous-interface établit plusieurs connexions de circuit
1. Il faut utiliser ietf si le routeur auquel on se connecte n’est pas de type cisco. virtuel permanent à plusieurs interfaces physiques ou sous-interfaces sur des
routeurs distants. Tous les circuits virtuels multipoint appartiennent au même
2. Le réseau Frame Relay est un réseau NBMA (non-broadcast multiaccess). Cela sous–réseau. Dans ce cas, le découpage d’horizon intervient.
signifie qu’il ne prend pas en charge par défaut la diffusion et la multidiffusion.
Lors de l’utilisation de protocoles de routage, le mot-clé broadcast permet cette La commande encapsulation frame-relay s’applique à l’interface physique ; les
diffusion ou multidiffusion sur le circuit virtuel permanent. autres éléments de configuration s’appliquent (ad IP, DLCI) aux sous–interfaces.
5 6
Configuration de sous-interfaces Frame Relay point à point Configuration du Switch Frame-Relay
Prenons l’exemple ci–dessous et configurons l’interface série S0 du routeur R1. On commence par activer la commande Frame-Relay sur le routeur lui permet-
Sur l’interface physique, on indique le type d’encapsulation : tant de transférer des trames sur la base des DLCI entrant :
R1(config-if)# encapsulation frame-relay SFR(config)#frame-relay switching
On configure alors les sous-interfaces logiques en indiquant le numéro de DLCI Sur l’interface choisie on modifie le type d’encapsulation :
pour des raisons d’organisation. SFR(config)#interface S0/0
SFR(config-if)#encapsulation frame-relay
Première sous interface logique :
R1(config-if)# int S0.102 point-to-point On indique alors que l’interface est de type DCE :
SFR(config-if)#frame-relay intf-type dce
On indique alors son adresse IP ainsi que son DLCI : SFR(config-if)#clock-rate vitesse
R1(config-if)# ip address 10.1.1.2 255.255.255.252
R1(config-if)# frame-relay interface-dlci 102 On configure alors le Switch Frame-Relay pour qu’il transfère le trafic entrant
ici sur l’interface S0/0 ayant le DLCI x vers par exemple l’interface S0/1 ayant
Seconde sous interface logique : le DLCI y. On crée ainsi le premier PVC :
R1(config-if)# int S0.103 point-to-point SFR(config-if)#frame-relay route x interface serial 0/1 y
SFR(config-if)#no shutdown
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.5 255.255.255.252 On crée alors le second PVC pour le retour :
R1(config-if)# frame-relay interface-dlci 103 SFR(config)#interface S0/1
SFR(config-if)#encapsulation frame-relay
Finalement, on effectue l’activation des sous-interfaces depuis l’interface physique SFR(config-if)#frame-relay intf-type dce
avec la commande no shutdown. SFR(config-if)#clock-rate vitesse
SFR(config-if)#frame-relay routey interface serial 0/0 x
SFR(config-if)#no shutdown
7 8
Paiement de Frame Relay Rafales
Un client achète un service Frame Relay à un fournisseur de services. Pour Les circuits physique du réseau Frame Relay sont partagés entre les abonnés. Il
comprendre le paiement d’un tel service, il est nécessaire de connaitre les notions arrive qu’un surplus de bande passante soit disponible. Un client peut envoyer
suivantes : alors gratuitement en rafales des données excédant son CIR. la durée des rafales
doit être de quelques secondes.
• débit d’accès ou vitesse du port
• débit de données garanti (CIR) Les termes suivants permettent de décrire les débits de rafale :
Débit d’accès ou vitesse du port : débit auquel le circuit accède au réseau • débit garanti en rafale ou CBIR
Frame Relay. La vitesse du port est cadencée par le switch Frame Relay. • débit garanti en excès ou BE
CIR : correspond à la quantité de donnés que le réseau Frame Relay reçoit du Le CIBR est un débit négocié par le client en plus du CIR. La durée d’une
circuit d’accès. Ce débit est garanti par le fournisseur de services. rafale doit être courte, sinon le client doit acheter plus de CIR.
Frame Relay met à la disposition des clients tout capacité inutilisée du réseau – Le BE correspond à la bande passante disponible au–dessus du CBIR jusqu’au
appelée rafales – supérieures à leur CIR, en général gratuitement. débit d’accès de la liaison. Ce surpllus de débit n’est pas négocié. Les trames
transmises à ce débit sont très sujettes à l’abandon.
Un client paie donc pour une connexion Frame Relay :
9 10
Contrôle de flux Frame Relay
Les trames qui arrivent au switch Frame Relay sont mises en file d’attente.
Lors d’une accumulation excessive de trames, le switch signale le problème aux
routeurs à l’aide des bits de notification explicite d’encombrement :
11
Sécurité du réseau (S4/C4) Vulnérabilités
Un gestion efficace et attentive d’un réseau permet de limiter les délits informa- On dénombre trois types de vulnérabilité :
tiques suivants :
• faiblesses technologiques
• accès abusif au réseau par des personnes non autorisées • faiblesses de configuration
• déni de service • faiblesse dans la stratégie de sécurité
• intrusion dans le système
• interception de mots de passe Les faiblesses technologiques incluent :
Les menaces augmentent car les outils et les méthodes d’attaque se sont
améliorés et il est donc désormais plus facile de devenir un pirate informatique. • le protocole TCP/IP
• les systèmes d’exploitation
Les termes les plus courants pour désigner les pirates sont : hacker, cracker, • l’équipement réseau
phreaker, spammeur, phisher ...
Les faiblesses de configuration incluent :
Le but du pirate est de compromettre un réseau ou une application s’exécutant
sur un réseau. • les comptes utilisateur non sécurisés
• les comptes système avec des mots de passe trop facoles
Réseaux ouverts et fermés • les paramètres par défaut des logiciels non sécurisés
• les équipements réseau mal configurés
Un réseau ouvert donne aux utilisateurs finaux un accès facile aux ressources
du réseau. Il est facile à configurer et engendre peu de frais de sécurisation. Finalement il existe des risques de sécurité si les utilisateurs ne respectent pas la
stratégie de sécurité de l’entreprise ou si celle-ci est incomplète.
Un réseau fermé est à l’opposé. Il ne donne pas d’accès aux réseaux publics ; il
est complètement isolé du monde extérieur.
1 2
Menaces physiques Types d’attaques d’un réseau
3 4
Techniques d’atténuation des risques Roue de la sécurité des réseaux
Afin d’assurer une sécurité de base aux réseau, il est nécessaire d’installer : La roue de la sécurité des réseaux est une méthode efficace pour s’assurer que la
sécurité est testée et appliquée de manière continue. La roue est constituée de 4
• logiciels antivirus étapes :
• firewall personnel
• patches du système d’exploitation • sécurisation
• surveillance
Un logiciel antivirus installé sur un hôte le protège contre les virus connus.
• test
• amélioration
Un firewall personnel réside sur un PC et tente d’empêcher les attaques.
La sécurisation
Les patches du système d’exploitation permettent de limiter les La surveillance se base sur l’audit des journaux des hôtes et des dispositifs
vulnérabilités de ce dernier. réseaux ainsi que l’utilisation d’IDS pour détecter les intrusions.
A cela s’ajoutent : La phase de test consiste à tester le fonctionnement des solutions de sécurité
ainsi que les audits en utilisant, par exemple, des outils d’évaluation de la
Un système de détection des intrusions (IDS) détecte les attaques contre vulnérabilité.
le réseau et envoie ses données de journalisation à une console de gestion.
Lors de l’amélioration, on analyse les données collectées pendant les phases de
Un système de protection contre les intrusions (IPS) empêche les attaques surveillance et de test ; elles servent de base pour renforcer la sécurité.
contre le réseau et est aussi doté des mécanismes de défense suivants :
Stratégie de sécurité de l’entreprise
• un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée.
Une stratégie de sécurité est un ensemble de directives définies en vue de
• un mécanisme de réaction pour immuniser le système contre des attaques protéger le réseau de l’entreprise contre les attaques menée soit de l’intérieur,
malveillantes. soit de l’extérieur.
Ces techniques peuvent s’appliquer au niveau du réseau et/ou des hôtes. Dans Il s’agit d’un document vivant, ce qui signifie qu’il est continuellement mis à
ce dernier cas, on parle respectivement de HIDS et HIPS. jour selon les besoins de l’entreprise.
5 6
Sécurisation des routeurs Accès administratif à distance aux routeurs
La sécurisation des routeurs de périphérie est une étape importante dans la L’accès administratif à distance avec telnet n’est pas sûre car le trafic passe en
protection du réseau. texte clair et les mots de passe peuvent donc être interceptés.
Ainsi il est important d’agir aux niveaux suivants : Pour protéger l’accès administratif aux routeurs, il est nécessaire de sécuriser
les lignes d’administration (VTY) et d’utiliser SSH (semestre 3/chapitre 2).
• sécurité physique
• mise à jour de l’IOS du routeur Pour renforcer la sécurité avec SSH, il est possible de limiter le temps d’inactivité
• sauvegarde de la configuration du routeur et de son IOS de la session ainsi que le nombre de tentatives de connexion.
• désactivation des ports et des services non utilisés.
Exemple :
R1(config)# service password-encryption Les journaux permettent de vérifier le fonctionnement d’un routeur et de
R1(config)#security passwords min-length 10 déterminier s’il a été compromis ou non.
R1(config)#enable secret ci$C0-clasS
Les journaux du routeur sont envoyés à un hôte de journalisation (Serveur
Syslog). Ce dernier doit être connecé à un réseau de confiance. Le serveur Syslog
Services et interfaces de routeur vulnérables doit être aussi protégé en supprimant tous les comptes et services inutiles.
Les routeurs prennent en charge un grand nombre de services réseau aux Les routeurs prennent en charge 8 niveaux de journalisation :
couches 2,3,4 et 7. Certains de ces services peuvent être limités ou désactivés
sans dégrader le fonctionnement du routeur. • 0 emergencies
• 1 alerts
Il est préférable de tous désactiver à l’exception des commandes : • 2 critical
• 3 errrors
• 4 warnings
• 5 notification
• 6 informational
• 7 debugging
7 8
Configuration pour la journalisation du routeur Sécurisation des protocoles de routage
Pour indiquer au routeur l’adresse du serveur Syslog : En utilisant un analyseur de paquets, les informations voyageant entre les
routeurs peuvent être lues.
R1(config)# logging host ad. IP Syslog
Les systèmes de routage peuvent être attaqués de 2 façons :
Pour indiquer le niveau de journalisation à prendre en compte :
• interruption des informations de routage entre routeurs
R1(config)# logging trap ad. level
homologues
• falsification des informations de routage
Pour s’assurer que tous les messages sont envoyés au serveur Syslog :
R1(config)# logging trap debugging Des informations de routage falsifiées peuvent avoir les buts suivants :
Pour activer les envois des journaux : • redirection du trafic pour créer des boucles
R1(config)# logging on • redirection du trafic sur une liaison non fiable dans le but de le surveiller
Il est important d’avoir un horodatage précis des journaux. Pour garantir la • redirection du trafic pour le rejeter
précision des données, il est préférable de régler le routeur sur un serveur de
synchronisation fiable par l’intermédiaire du protocole NTP (Network Time Il est possible d’utiliser MD5 pour authentifier les paquets du protocole de
Protocol) : routage pour protéger les informations de routage.
R1(config)# ntp server ad. IP server NTP Les protocoles RIPv2, EIGRP, OSPF prennent en charge una authentification
avec MD5.
Puis d’indiquer le décalage exact pour la région, ainsi que les changements Rappel : Les interfaces participant aux mises à jour de routage peuvent être
d’heure dans l’année. Pour la région qui nous concernant : contrôlées avec les commandes passive-interface default et no passive-
interface.
R1(config)# clock timezone 1 Rappelons que les interfaces du routeur qui ne sont pas connectées à un autre
R1(config)# clock summertime CEST recurring last sun mar 2 :00 last sun oct routeur ne doivent pas annoncer de mises à jour.
3 :00
9 10
Authentification pour le protocole EIGRP Récupération de mots de passe d’un routeur
On commence par créer la chaine de clés que tous les routeurs doivent utiliser : Etape 1
Etape 2 : Etape 2
On active l’authentification MD5 pour les paquets EIGRP passant par l’interface Entrez les commandes suivantes :
spécifiée :
rommon 1> confreg 0x2142
R1(config)# interface S0 rommon 2> reset
R1(config-if)# ip authentication mode eigrp 1 md5 Router > enable
R1(config-if)# ip authentication key-chain eigrp 1 KEY Router# copy start run
RouterA(config) # enable secret class
11 12
ACLs réflexives ACLs temporelles
Une ACL réflexive autorise le trafic sortant et limite le trafic entrant en réponse Une ACL temporelle autorise le contrôle d’accès en fonction du temps.
à une session provenant du routeur lui-même.
Etape 1
Une ACL réflexive ne se définit qu’avec une ACL IP étendue nommée.
On définit la tranche horaire HORAIRE :
Elle contribue à la protection du LAN contre une attaque extérieure.
R1(config)# time-range HORAIRE
L’ACL réflexive suivante autorise le trafic ICMP entrant et sortant, mais R1(config-time-range)# periodic Monday Tuesday 8 :00 to 17 :00
autorise uniquement le trafic TCP initié depuis l’intérieur du réseau :
Etape 2
Etape 1 :
On définit l’ACL temporelle associée à HORAIRE :
On permet le passage du trafic ICMP et TCP avec une demande de suivi sur les
connexions TCP sortantes. R1(config)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet
time-range HORAIRE
R1(config)# ip access-list extended SORTIE
R1(config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reflect TRAFIC- Etape 3
TCP
R1(config-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any On applique l’ACL temporelle sur une interface :
R1(config)# ip access-list extended ENTREE La tranche horaire peut être définie avec les paramètres periodic ou absolute.
R1(config-ext-nacl)# evaluate TRAFIC-TCP
Etape 3 :
R1(config)# interface S0
R1(config-if)# ip access-group SORTIE out
R1(config-if)# ip access-group ENTREE in
13 14
Configuration d’ISDN
Etape 1
Etape 2
Etape 3
On définit à l’aide d’une ACL le trafic intéressant qui activera la connexion isdn :
15
Listes de contrôle d’accès (S4/C5) Création d’une ACL
Définition d’une liste de contrôle d’ accès Il existe différents types de liste de contrôle d’ accès :
Une liste de contrôle d’accès (ACL) filtre le trafic réseau en donnant l’ordre
• IP standard (1-99 / 1300-1999)
au routeur d’acheminer ou de bloquer un paquet.
• IP étendue (100-199 / 2000-2699)
• Apple Talk
Les paramètres utilisés dans une ACL pour décider de l’acheminement ou non
• IPX
d’un paquet sont :
Une ACL est définie en fonction : Router(config) # (no)protocole access–group numéro ACL { in |out }
1 2
Le masque générique Les ACL standards
Un masque générique est constitué de 32 bits divisés en 4 octets. Les numéros d’ACL standards sont 1 à 99 (1300-1999).
Il est appliqué à une adresse IP pour déterminer la partie de l’adresse qui doit
être testée dans le cadre d’une ACL. La commande pour créer une ACL standard est la suivante :
Son fonctionnement est le suivant : Router(config) # (no) access–list numéro ACL {permit | deny | remark }
source [masque gén. source]
Un zéro dans le masque générique indique que la valeur correspondante de
l’adresse IP doit être comparée et une correspondance parfaite est exigée. La source est constituée par :
Les options any et host Plusieurs commandes permettent de vérifier le contenu et l’emplacement des
ACL sur un routeur.
Deux mots–clés peuvent être utilisés dans les ACL : any et host.
La commande show ip interface indique les ACLs configurées sur les interfaces
L’option any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le du routeur.
masque générique.
La commande show access–lists affiche le contenu de toutes les ACLs sur le
L’option host remplace 0.0.0.0 dans le masque générique. routeur.
Exemple : La commande show run affiche le contenu des ACLs et indique les interfaces
sur lesquelles elles ont été activées.
3 4
Les ACL étendues Les ACL nommées
Les ACL étendues utilisent les numéros entre 100 et 199 (2000-2699) Une ACL nommée est une ACL standard ou étendue caractérisée par un nom
(dès la version IOS 11.2).
Elles fournissent une plus grande souplesse car elles se basent sur : La commande pour créer une ACL nommée est la suivante :
Il est possible d’activer une ACL sur les ports virtuels vty 0 4.
Cependant, il faut tenir compte :
• dynamiques
• reflexives • temporelles
5 6
Service de télétravail (S4/C6) Réseaux privés virtuels
Télétravail Un VPN crée un réseau privé sur une infrastructure de réseau public tout en
garantissant confidentialité et sécurité.
Le télétravail fait référence à une activité professionnelle menée à distance en
se connectant au lieu de travail au moyen des télécommunications. Les VPN sécurisent les données en les encapsulant (transmission tunnel) et en
les chiffrant.
Le concepteur de l’architecture réseau de l’entreprise doit considérer les besoins
pratiques des télétravailleurs concernant : Internet est une infrastructure publique : toute entreprise qui l’utilise est sujette
• la facilité d’utilisation à des risques de sécurité importants. Elle a donc recours à un VPN pour
• la vitesse de connexion connecter les succursales, les télétravailleurs, les travailleurs mobiles à la maison
• la fiabilité du service mère.
Composants du siège : routeurs compatibles VPN (authentification). Dans un VPN d’accès distant, le télétravailleur ou l’hôte distant dispose
d’un logiciel client associé. Le logiciel encapsule et chiffre le trafic destiné à la
Connexion des télétravailleurs au réseau étendu passerelle du réseau cible.
Les fournisseurs Internet proposent plusieurs options de connexions pour les par-
ticuliers et les petites entreprises :
• accès par ligne téléphonique
• ligne DSL
• modem câble
• satellite
1 2
Caractéristiques d’un VPN sécurisé Algorithmes de chiffrement
Les caractéristiques d’un VPN sécurisé sont les suivantes : La confidentialité des données est assurée par un algorithme de chiffrement.
Les algorithmes de chiffrement sont classés en 2 catégories :
• confidentialité des données
• intégrité des donnés
• authentification • algorithmes symétriques
• algorithmes asymétriques
La confidentialité des données permet de protéger contre l’écoute
électronique. Algorithme symétrique : les chiffrement et déchiffrement se servent de la
même clé. Il est généralement utilisé pour chiffrer un message.
L’intégrité des donnés permet de garantir qu’aucune modification n’a été
apportée aux données. Les deux ordinateurs doivent connaitre le même clé dite secrète ou partagée
pour coder et décoder les informations.
L’authentification permet de garantir que seuls les expéditeurs et périphériques
autorisés accèdent au réseau. Exemples : DES, 3DES, AES.
Exemple : RSA.
3 4
Hachage ou message digest Protocoles de sécurité IPsec
Le hachage ou message digest est un nombre généré à partir d’une chaine IPsec est un ensemble de protocoles permettant de sécuriser les communications
de texte. Il est hautement improbable qu’une autre texte génère le même hachage. IP en garantissant le chiffrement, l’intégrité et l’authentification.
L’expéditeur d’origine génère un hachage du message et l’envoie avec le message. Les protocoles IPsec principaux sont :
Le destinataire reçoit le message et le hachage, il produit un autre hachage
à partir du message reçu, et compare les deux hachages. Si les deux sont • Authentication Header (AH)
identiques, le destinataire peut être certain que l’intégrité du message n’a pas • Encapsulating Security Payload (ESP)
été affectée.
Le protocole AH assure l’authentification et l’intégrité des données pour
Un VPN utilise un code d’authentification des messages avec hachage et clé, des paquets transmis entre deux systèmes. Il n’assure pas la confidentialité (le
appelé HMAC. chiffrement) des données.
L’expéditeur de message utilise la fonction HMAC pour produire le code Le protocole ESP assure l’authentification et l’intégrité des données pour des
d’authentification du message créé en condensant la clé secrète et le texte du paquets transmis entre deux systèmes. Il assure aussi leur confidentialité par
message. Le destinataire calcule le code d’authentification du message reçu à le chiffrement des paquets IP qui masque les données et l’identité de leur source
l’aide de la même clé et de la fonction HMAC utilisée par l’expéditeur. et de leur destination.
IPsec utilise des algorithmes existants pour implémenter le chiffrement,
Il existe deux algorithmes HMAC : l’intégrité, l’authentification et les échanges de clés :
• DES
• Message Digest 5 (MD5) • 3DES
• Secure Hash Algorithm (SHA-1) • AES
• MD5
• SHA-1
Authentification des homologues • DH
Le protocole DH ou Diffie-Hellman permet au deux parties d’établir une clé
Il est nécessaire d’authentifier les homologues (par exemple : le périphérique à secrète partagée pour le chiffrement et le hachage sur un canal de communication
l’autre extrémité du VPN). Il existe deux méthodes d’authentification : non sécurisé.
IPsec fournit le cadre et l’administrateur choisit les algorithmes à implémenter.
• Clé pré-partagée (PSK) Il est nécessaire de remplir 4 zones :
• Signature RSA •
• Choix du protocole IPsec : AH, ESP ou AH avec ESP
La clé pré-partagée est distribuée aux homologues par l’intermédiaire d’un • Choix de l’algorithme de chiffrement : DES, 3DES ou AES
canal sécurisé. • Choix de l’authentification : MD5 ou SHA
• Choix de l’algorithme Diffie-Hellman : DH1 ou DH2
La signature RSA utilise l’échange de certificats numériques. Le périphérique
local calcule un hachage et le chiffre avec sa clé privée – ce qui s’appelle une
signature numérique. Elle est jointe au message et transféré. Le périphérique
distant déchiffre le hachage avec la clé publique du périphérique local et recalcule
le hachage.
5 6
Protocole DHCP (S4/C7) Fonctionnement du protocole DHCP
Le protocole DHCP (Dynamic Host Configuration Protocol) Lorsqu’un périphérique se connecte au réseau et qu’il est configuré en mode
automatique, il diffuse un paquet DHCP DISCOVER pour identifier un
Le service DHCP permet à un hôte d’obtenir automatiquement une adresse IP serveur DHCP disponible.
lorsqu’il se connecte au réseau.
Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve
Le serveur DHCP choisit une adresse dans une plage d’adresses (pool) et la une offre de bail donnant les indications :
prête à l’hôte qui en a fait la demande. • adresse IP prêtée
• serveur DNS
Dans les faits, un service DHCP peut fournir principalement • passerelle par défaut
• une adresse IP • durée de bail
• un masque de sous–réseau Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur.
• l’adresse IP de la passerelle par défaut
• l’adresse IP du serveur DNS Si l’offre est encore valable, le serveur renvoie un DHCP ACK et dans le cas
• ... contraire DHCP NAK.
Sur un réseau ayant beaucoup de stations, l’utilisation d’un serveur DHCP peut
s’avérer plus efficace que l’utilisation d’adresses fixes.
L’adressage statique est utilisé pour les périphériques réseaux tels que
• passerelles (routeurs)
• commutateurs
• serveurs
• imprimantes
• ...
1 2
Configuration d’un serveur DHCP Vérification du service DHCP
Un routeur cisco peut agir comme un serveur DHCP. Il attribue et gère les Pour vérifier le focntionnement du serveur DHCP, on utilise la commande
adresses IP en fonction du ou des pools d’adresses spécifés par l’administrateur. suivante :
Par défaut, le service DHCP est activé sur le routeur. Pour désactiver le service :
no service dhcp. R1# show ip dhcp binding
Etape 1 : on définit, en mode de configuration globale, les adresses NE Pour afficher le nombre de messages DHCP envoyés et reçus par le routeur :
devant PAS être allouées : interface du routeur, adresse IP du switch, serveurs,
imprimantes du réseau. R1# show ip dhcp statistics
Etape 3 : on configure le pool DHCP. Dans des petits bureaux ou des bureaux à domicile, les routeurs peuvent être
configurés dynamiquement par le FAI.Dans ce cas on configure une interface
Le pool d’adresses : Ethernet avec la commande ip address dhcp.
R1(dhcp-config)# network numero reseau masque
Pour renouveler l’adresse IP dynamique d’un PC, on utilise la commande
La passerelle par défaut : iponfig /release qui libère l’adresse et l’adresse devient alors : 0.0.0.0.
R1(dhcp-config)# default-router adresse On utilise alors la commande iponfig /renew qui provoque la diffusion d’un
message DHCP DISCOVER.
Le serveur DNS :
R1(dhcp-config)# dns-server adresse Relais DHCP
Le nom de domaine : Généralement, dans un réseau d’entreprise, les clients DHCP ne se trouvent pas
R1(dhcp-config)# domain-name domaine sur le même réseau que le serveur DHCP. Or, le client va diffuser un message
DHCPDISCOVER et le routeur (passerelle) par défaut ne laisse pas passer les
Le bail : R1(dhcp-config)# lease durée diffusions.
Il faut donc configurer la passerelle du routeur comme un agent de relais
Si nécessaire, les services WINS : DHCP avec la commande suivante :
R1(dhcp-config)# netbios-node-type h-node
R1(dhcp-config)# netbios-name-server adresse R1(config)# interface passerelle
R1(config-if)# ip helper-address ad ip serveur DHCP
3 4
Fonction NAT Configuration du NAT statique
La fonction NAT (Network Address Translation) traduit les adresses non routa- Cette configuration s’effectue en trois étapes :
bles (sur Internet), privées et internes en adresses routables publiques. NAT
ajoute aussi un niveau de confidentialité et de sécurité car il empêche les réseaux Etape 1 : On établit une correspondance entre une adresse locale interne et
externes de voir les adresses IP internes. une adresse globale interne :
Cette traduction est effectuée par un routeur de passerelle frontière ; cela
signifie qu’il fait le lien entre le réseau d’entreprise et le WAN. R1(config)# ip nat inside source static 192.168.10.254 209.165.200.225
La fonction NAT définit trois types d’adresses : Etape 2 : On identifie l’adresse locale interne comme l’interface NAT inside :
Adresse locale interne : il s’agit souvent d’une adresse privée. R1(config)# interface S0/1/0
R1(config-if)# ip nat outside
Adresse globale interne : adresse publique attribuée à l’hôte interne lorsque
ce dernier quitte le routeur NAT.
5 6
Configuration du NAT dynamique Configuration de la surchage NAT
Cette configuration s’effectue selon les étapes suivantes : Cette configuration s’effectue selon les étapes suivantes :
Etape 1 : On définit un pool d’adresses IP publiques : Etape 1 : On définit les adresses ayant les droits d’être mappées :
R1(config)# ip nat POOL1 209.165.200.226 209.165.200.240 netmask R1(config)# access-list 1 permit 192.168.0.0 0.0.0.255
255.255.255.224
Etape 2 : On identifie l’interface allant être surchargée :
Etape 2 : On définit les adresses ayant les droits d’être mappées :
R1(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Etape 3 : On identifie l’adresse locale interne comme l’interface NAT inside :
Etape 3 : On relie le pool NAT à l’ACL :
R1(config)# interface S0/0/0
R1(config)# ip nat inside source list 1 pool POOL1 R1(config-if)# ip nat inside
Etape 4 : On identifie l’adresse locale interne comme l’interface NAT inside : Etape 4 : On identifie l’adresse globale interne comme l’interface NAT outside :
7 8
Vérification et dépannage des configurations NAT b
9 10
Pourquoi utiliser IPv6 Types d’adresses IPv6
L’espace d’adressage IPv4 offre un peu plus de 4 milliards d’adresses. Seules 3.7 On distingue les types d’adresse suivants :
milliards peuvent être utilisées car les autres sont réservées pour la multidiffu-
sion, les tests et autres usages spécifiques. • monodiffusion globale
• réservées
On estime que les adresses IPv4 seront épuisées d’ici quelques années. • privées
• bouclage
Le pool d’adresses IPv4 diminue pour les raisons suivantes : • indéterminée
Une adresse de monodiffusion globale est constituée généralement d’un préfixe
• croissance de la population de routage global de 48 bits et un ID de sous–réseau de 16 bits.
• utilisateurs mobiles Ce dernier permet à une organisation de créer ses sous-réseaux.
• transport Actuellement les adresses de monodiffusion globale attribuées par l’IANA utilise
• électronique grand public la plage d’adresses commençant par 2000 : :/3.
L’IANA alloue l’espace d’adressage IPv6 dans les plages 2001 : :/16 aux
Adressage IPv6
organismes d’enregistrement Internet locaux : ARIN, RIPE, APNC, LACNIC
et AfriNIC.
Une adresse IPv6 est une valeur binaire longue de 128 bits, affichée sous forme
de 32 chiffres hexadécimaux. Ces chiffres sont regroupés par 4, chaque groupe
Une adresse réservée est utilisée par l’IETF pour divers usages.
étant séparé des autres groupes par le signe :
Une adresse privée n’est jamais acheminée en dehors du réseau de l’entreprise.
Exemple : 2031 :0000 :130F :0000 :0000 :09C0 :876A :130B
Elle commence par FE, suivi d’un chiffre hexadécimal compris entre 8 et F.
Les adresses privées sont divisées en deux types :
Certaines adresses peuvent être raccourcies en respectant les règles suivantes :
11 12
Stratégies de transition IPv6 Configuration de RIPng avec IPv6
Il existe différentes techniques pour effectuer une transition entre IPv4 et IPv6. Une fois le protocole IPv6 activé globalement et les interfaces configurées avec
des adresses IPv6, on active le protocole RIPng :
• double pile
• transmission tunnel R1(config)# ipv6 router rip nom
• NAT-PT (NAT-Protocol Translation) On identifie alors les interfaces du routeur devant exécuter RIPng avec la
commande :
La double pile : les routeurs sont configurés pour prendre en charge simul-
tanément les protocoles IPv4 et IPv6, avec une préférence pour ce dernier. R1(config-if)# ipv6 router rip nom enable
Le NAT-PT (dès la version ios 12.3(2)T) est un NAT entre IPv6 et IPv4. Cette
traduction permet aux hôtes qui utilisent diffŕentes versions du protocole IP de
communiquer directement.
Chaque noeud dispose de deux piles de protocoles avec une configuration IPv4
et IPv6 sur la même interface ou sur plusieurs interfaces.
La version d’IOS 12.2(2)T et les versions ultérieures sont compatibles avec IPv6.
Il faut activer le protocole IPv6 sur le routeur, puis configurer les interfaces avec
IPv4 et/ou IPv6.
13 14
Le VPN GRE Les firewalls
GRE (Generic routing encapsulation) est un protocole de tunneling permettant Un firewall est un logiciel et/ou un matériel dont le but est de faire respecter
de créer une liaison virtuelle point à point entre deux routeurs distants. la politique de sécurité d’un réseau en définissant les communications permises
ou interdites.
GRE peut encapsuler divers protocoles de couche 3 à l’intérieur d’un tunnel
IP. Un protocole de routage peut être utilisé à travers le tunnel, permettant Les points communs à tous les firewalls sont :
un échange dynamique d’informations de routage dans le réseau virtuel ainsi créé.
• résistance aux attaques
Les tunnels GRE sont stateless : chaque extrémité du tunnel ne conserve pas • tout le traffic passe à travers
d’informations sur l’état de l’extrémité distante. • application la politique de sécurité
GRE n’inclut par défaut aucun mécanisme de sécurité pour protéger les données
transitant par le tunnel. On distingue deux types principaux de firewall :
• stateless
Configuration d’un tunnel site à site GRE • stateful
La configuration s’effectue en 5 étapes : Un firewall stateless (sans état) inspecte chaque paquet indépendamment des
autres et le compare une liste de règles préconfigurées (ACLs).
Etape 1 :
On créé une interface de tunnel avec la commande interface tunnel 0. Un firewall stateful (à état) vérifie la conformité des paquets à une connexion
en cours. En d’autres termes, il s’assure que chaque paquet d’une connexion est
Etape 2 : bien la suite du précédent paquet et une réponse à un paquet dans l’autre sens.
On assigne une adresse IP au tunnel.
Etape 3 :
On identifie l’interface source du tunnel avec la commande tunnel source.
Etape 4 :
On identifie l’interface destination du tunnel avec la commande tunnel desti-
nation.
Etape 5 :
On indique le protocole qui sera encapsulé par le protocole GRE avec la
commande tunnel mode gre.
15 16
Dépannage du réseau (S4/C8) b
Documenter le réseau
• logigue
• physique
1 2
Table de configuration du système d’extrémité Ligne de base des performances du réseau
La table de configuration du système d’extrémité est aussi un élément im- La ligne de base des performances du réseau est la ”personnalité” du réseau.
portant dans la documentation du réseau. Elle contient les enregistrements pour Pour la déterminer, il est nécessaire de répondre aux questions suivantes :
le matériel et les logiciels utilisés sur les périphériques de système d’extrémité,
tels que les serveurs, les stations de travail et les consoles d’administration : • Quelles sont les performances du réseau durant un jour normal ?
Recueil des informations L’administrateur réseau pourra alors, à partir de ces données déterminer ce
qu’est une situation anormale.
Pour recueillir des informations sur le réseau, les commandes suivantes sont
utiles : La planification de la (première) ligne de base des performances du réseau a
lieu en plusieurs étapes :
• ping
• telnet Etape 1 : Choix des types de données à collecter.
• show ip interface brief
• show ip route Etape 2 : Identification des périphériques et des ports intéressants.
• show cdp neighbor detail
Etape 3 : Durée de la ligne de base.
3 4
Approche générale du dépannage Commandes pour le recueil des symptômes
Pour dépanner efficacement un réseau, il est nécessaire d’utiliser une approche Les commandes suivantes permettent de recueillir des informations sur les
méthodique. symptômes :
L’utilisation des modèles OSI et TCP/IP permet d’isoler le problème. • ping, traceroute, telnet
Le processus général de dépannage comporte les étapes suivantes : • show ip interface brief
• show ip route
• Recueil des symptômes • show running-config
• debug ?
• Isolation du problème • show protocols
• Correction du problème
Méthode de dépannage
Le recueil des symptômes peuvent prendre différentes formes : alertes d’un
système d’administration de réseaux, messages de la console, plaintes des Il existe trois méthodes principales de dépannage :
utilisateurs.
• ascendante
L’isolation du problème a lieu en utilisant les couches logiques du réseau afin
• descendante
de pouvoir sélectionner la cause la plus probable.
• diviser et conquérir
La correction du problème est corrigé par l’administrateur. Si le problème
persiste, il faut continuer le dépannage. Méthode de dépannage ascendante : on commence par la couche physique
et on remonte une à une les couches du modèle OSI jusqu’à identification du
Recueil des symptômes problème. Cette approche est conseillée si l’on soupçonne un problème physique
ce qui est souvent le cas dans les réseaux. Cette méthode donne donc souvent
Le recueil des symptômes a lieu en plusieurs étapes : de bons résultats.
Etape 1 : Analyse des symptômes existants recueillis auprès des utilisateurs ou Méthode de dépannage descendante : on commence par la couche applica-
sur les systèmes d’extrémité. tion et on descend une à une les couches du modèle OSI jusqu’à identification du
problème. une les couches du modèle OSI jusqu’à identification du problème. Il
Etape 2 : Détermination de la propriété du problème. est préférable d’utiliser cette approche lorsque que l’on soupçonne un problème
logiciel.
Etape 3 : Réduction de l’étendue du problème : coeur de réseau, distribution
ou accès réseau ? On détermine alors les éléments matériels susceptibles d’être à Méthode de dépannage diviser et conquérir : on sélectionne une couche et
l’origine du problème. on teste dans les deux directions à partir de la couche de départ. Généralement si
une couche fonctionne correctement, on peut supposer que les couches inférieures
Etape 4 : Recueil des symptômes du périphérique suspect en suivant une fonctionnent aussi.
approche de dépannage par couche.
5 6
Outils de dépannage Etapes de la conception d’un réseau étendu
Il existe aussi de nombreux outils de dépannage tels que : Un fournisseur d’accès ou un opérateur télécom est généralement propriétaire
des liaisons de données qui constituent un réseau étendu.
• système d’administration de réseaux
• bases de connaissances Les technologies des réseau étendus fonctionnent au niveau des trois couches
• création d’une ligne de base inférieures du modèle OSI.
• analyseur de protocoles La conception ou la modification d’un réseau étendu comporte les étapes
• module d’analyse réseau suivantes :
• multimètre numérique
• testeur de câble Etape 1 : Localiser les réseaux locaux : Points d’extrémité source et destination.
• analyseur de câble
• analyseur réseau portable Etape 2 : Analyser le trafic : déterminer le trafic de données qui doit être
acheminé.
7 8
Dépannage de la couche physique Dépannage de la couche liaison de données
La couche physique transmet des bits dun ordinateur à un autre et régule la Les symptômes de la couche liaison de données sont :
transmission dun flux de bits sur le support physique.
• pas de connectivité au niveau de la couche réseau ou au-
Les symptômes de la couche physique sont : dessus
• pas de fonctionnalité au niveau de la couche réseau ou au-
• performance inférieure à la ligne de base dessus
• perte de connectivité • performance réseau inférieures à la ligne de base
• nombre de collisions élevé • nombre excessif de diffusion
• goulot d’étranglement ou encombrement • message d’erreur de la console.
• forte utilisation de CPU
Les causes de la couche liaison de données sont :
• message d’erreur de la console
Les causes de la couche physique sont : • erreurs d’encapsulation
• erreurs de mappage d’adresses
• problèmes d’alimentation • erreurs de trames
• perte de connectivité • boucles STP
• nombre de collisions élevé
• goulot d’étranglement ou encombrement Pour dépanner la couche physique, il faut vérifier que le câble et les câblages
• forte utilisation de CPU sont corrects et que les interfaces sont bien activées.
• message d’erreur de la console.
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages
sont corrects et que les interfaces sont bien activées. Dépannage de la couche réseau
• panne de réseau
• performance réseau inférieures à la ligne de base
• problèmes de voisinage
• entrées manquantes dans la base de données topologique
• entrées manquantes dans la table de routage
9 10
Dépannage de la couche transport
11