Vous êtes sur la page 1sur 12

Cours : Routage IP

Master1 R&TLC

2019-2020

Chapitre I. Commutation dans les LANs

I.1. Introduction

Le routage est la fonction la plus importante dans un réseau, c’est la fonction affectée à la
couche 3 du modèle OSI. Il s’agit de l’opération réalisée par les fameux équipements
réseaux : routeurs. Par cette opération toute sorte d’information peut se propager dans le
réseau, commençant par un émetteur et arrivant à un ou plusieurs récepteurs, sous forme de
paquets de données ou de trames. Chaque paquet (un bloc d’information transportable) se
trouve commuté d’un routeur à un autre, jusqu’à l’arrivée au dernier qui le remet au
destinataire, tout ça s’effectue efficacement et en toute sécurité grâce à l’adressage IP complet
et unique (de source et de destination) contenu dans le paquet, on appel ce processus : le
Routage IP.

I.2. Rappel sur l’adressage IP

L’opération de routage dans le réseau internet est basée sur l’adressage IP. Une adresse IPv4
(version 4) est codée sur 32 bits suivant 4 nombres compris entre 0 et 255 (octets). Pour
mieux exploiter cet espace d’adressage et optimiser le routage des paquets entre les différents
réseaux, des classes d'adresses ont été définies (voir la figure 1). Ces classes correspondent à
des regroupements en réseaux de même taille. Les réseaux de la même classe ont le même
nombre d'hôtes maximum.

Figure 1 : Classes d’adressage IP


Dans l’adressage par classes ‘Classfull’, l’espace est trop limité, et l’IPv4 arrivait rapidement
à la saturation. Le routage inter-domaine sans classe ou Classless Inter-Domain
Routing (CIDR) permet de s'affranchir de la notion de classe en s'appuyant sur la notion de
masque réseau.

Le document RFC1519 permet aux administrateurs réseau d'aller au delà du


simple subnetting en donnant la capacité de faire du supernetting. En utilisant n'importe quel
masque de sous-réseau ou masque de super-réseau possible, on ne se limite plus aux masques
classiques des classes: 255.0.0.0, 255.255.0.0 et 255.255.255.0. Cette technique
de supernetting associée au masque réseau de longueur variable (Variable Length Subnet
Mask ou VLSM) a résolu les problèmes d'attribution de l'espace d'adressage IPv4 et
d'accroissement des tables de routage de l'Internet. En effet, en utilisant le supernetting un
masque unique peut représenter des réseaux multiples en une seule entrée de table de routage.
Par exemple, un fournisseur d'accès Internet X à qui on a assigné le réseau 94.20.0.0/16, peut
attribuer des sous-réseaux à ses clients (94.20.1.0/24 à la société A, 94.20.2.0/24 à la société
B, ….. etc.) et publier l'adresse 94.20.0.0/16 dans les tables de routage pour représenter tous
ses réseaux.

I.3. Principe de la commutation dans les LANs

I.3.1. Fonction d’un commutateur


Un commutateur réseau (switch) est un équipement qui relie plusieurs segments dans un
réseau informatique. Il s'agit le plus souvent d'un boîtier disposant de plusieurs ports Ethernet.
Il a donc la même apparence qu'un concentrateur (hub).
Contrairement à un concentrateur, un commutateur ne se contente pas de reproduire sur tous
les ports chaque trame (informatique) qu'il reçoit. Il sait déterminer sur quel port il doit
envoyer une trame, en fonction de l'adresse à laquelle cette trame est destinée.
Contrairement à un routeur, un commutateur de niveau 2 ne s'occupe pas du protocole IP. Il
utilise les adresses MAC et non les adresses IP pour diriger les données. Les commutateurs de
niveau 2 forment des réseaux de niveau 2 (Ethernet). Ces réseaux sont reliés entre eux par des
routeurs (ou des commutateurs de niveau 3) pour former des réseaux de niveau 3 (IP).
Le commutateur établit et met à jour une table d' adresses MAC, qui lui indique sur quel port
diriger les trames destinées à une adresse MAC donnée, en fonction des adresses MAC source
des trames reçues sur chaque port. Le commutateur construit donc dynamiquement une table
de commutation qui associe des adresses MAC avec des ports correspondants.
Lorsqu'il reçoit une trame destinée à une adresse présente dans cette table, le commutateur
renvoie la trame sur le port correspondant. Si le port de destination est le même que celui de
l'émetteur, la trame n'est pas transmise. Si l'adresse du destinataire est inconnue dans la table,
alors la trame est traitée comme un broadcast, c'est-à-dire qu'elle est transmise à tous les ports
du commutateur à l'exception du port d'émission.
Un commutateur de niveau 2 est similaire à un concentrateur dans le sens où il fournit un seul
domaine de diffusion, cependant, chaque port a son propre domaine de collision. Le
commutateur utilise la micro-segmentation pour diviser les domaines de collision, un pour
chaque segment connecté. Ainsi, seules les interfaces réseau directement connectées par un
lien point à point sollicitent le medium. Si le commutateur auquel il est connecté supporte le
full-duplex, le domaine de collision est entièrement éliminé.

I.3.2. Techniques de commutation


La transmission des trames peut s'opérer selon quatre méthodes :
* Cut through : le commutateur lit juste l'adresse du matériel et la transmet telle quelle.
Aucune détection d'erreur n'est réalisée avec cette méthode.
* Mode différé (store and forward) : le commutateur met en tampon, et le plus souvent, réalise
une opération de checksum (vérification des trames) sur chaque trame avant de l'envoyer.
* Fragment free : les trames sont passées à un débit fixé, permettant de réaliser une détection
d'erreur simplifiée. C'est un compromis entre les précédentes méthodes.
* Adaptive switching : est un mode automatique. En fonction des erreurs constatées, le
commutateur utilise un des trois modes précédents.
I.3.3. Fonctions d’un commutateur configurable
* 802.1X : ce protocole d’authentification est une fonction de sécurité. Les ordinateurs qui
accèdent au réseau doivent pouvoir gérer ce protocole pour se connecter au réseau. Le
commutateur réseau garde en mémoire une base de données des clients connus.
* ACL (Access Control Lists) : le commutateur réseau permet à l’administrateur d’autoriser
ou non le trafic sur certains segments. Cette fonction permet de bloquer le trafic réseau
indésirable. Par conséquent, seuls certains ordinateurs identifiés par leur adresse MAC
peuvent accéder au réseau.

* Contrôle de la bande passante : le commutateur réseau peut être réglé de façon à ce que
certains ports n’utilisent qu’une certaine quantité de bande passante. Cette fonction est très
utile lorsque la bande passante montante est limitée et que des administrateurs souhaitent
réserver de la bande passante pour certains utilisateurs, certains services ou certains
ordinateurs en particulier.
* L3 (Couche 3) ou VLAN niv3 : la couche 3 permet d’établir et d’exploiter différents sous-
réseaux d’une manière virtuelle pour améliorer la sécurité et les performances du réseau
(VLAN : Virtual Local Area Network - Réseau local virtuel).
* Port Mirroring : le commutateur réseau dispose de la capacité à recopier tout le trafic
entrant sur un port spécifique. Cette fonction permet aux administrateurs systèmes de faire
tourner un logiciel renifleur « sniffer » comme Ethereal et Wireshark pour surveiller le trafic
réseau.
* SNMP (Simple Network Management Protocol ) : permet aux administrateurs de garder
une totale maîtrise du réseau, du trafic et des utilisateurs. Pour profiter des fonctions SNMP,
les administrateurs ont besoin de logiciels SMNP tel que OpenView.
Chapitre II. VLAN
II.1. Segmentation d’un VLAN  : Un VLAN (Virtual Local Area Network ou Virtual LAN,
en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de
façon logique et non physique. Le principe de VLAN est de segmenter un réseau suivant
plusieurs segments quelque soit leur emplacement physique

II.1.1. Types de VLAN : Trois méthodes sont généralement utilisées pour attribuer un
équipement à un réseau VLAN :
a) VLAN de niveau 1 (aussi appelés VLAN par port) : l’appartenance d’une machine à un
VLAN est définie par le port auquel elle est connectée. Le switch est équipé d’une table
« port/VLAN » remplie par l’administrateur qui précise le VLAN affecté à chaque port.
Dans cette situation toutes les machines reliées à un même port (cas de l’Ethernet
partagé) doivent appartenir au même VLAN.
Si une machine est physiquement déplacée sur le réseau, il faut désaffecter son ancien port et
réaffecter son nouveau port, ce qui nécessite deux manipulations de la part de
l’administrateur.

b) VLAN de niveau 2 (également appelé VLAN par MAC) : consiste à définir un réseau
virtuel en fonction des adresses MAC des stations. Dans cette méthode, l’adresse MAC
d’une machine est affectée à un VLAN. En pratique, c’est encore le port qui est affecté
à un VLAN, mais de manière dynamique. En effet, l’administrateur saisit dans la table
du switch le couple @MAC/VLAN. Lorsque le switch découvre sur quel port est
connecté la machine, il affecte dynamiquement le port au VLAN. Il gère donc une
deuxième table, la table port/VLAN qui sera remplie dynamiquement. Cette structure
permet également de définir plusieurs VLANs par port à condition d’utiliser un
marquage explicite de trames (étiquette).
Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est
indépendant de la localisation de la station.

c) VLAN niveau 3 : aussi nommé VLAN de sous-réseau, une adresse IP est affectée a un
VLAN. Par exemple, le VLAN1 contient les machines d’adresse 10.1.x.x, le VLAN2
celles d’adresses 10.2.x.x. Comme dans le VLAN de niveau 2, l’administrateur remplit
une table d’@IP/VLAN. Lorsque le switch identifie le port auquel appartient la machine,
il l’affecte a son VLAN. Le VLAN de niveau 3 est plus lent que le VLAN de niveau 2 car
le switch doit accéder aux informations de la couche réseau.
II.1.2. Avantages des VLAN : Le VLAN permet de définir un nouveau réseau au-dessus du
réseau physique et à ce titre offre les avantages suivants :
 Plus de souplesse pour l'administration et les modifications du réseau car toute
l'architecture peut être modifiée par simple paramétrage des switchs à distance;
 Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire
et éventuellement analysées.
 Réduction de la diffusion ‘Broadcast’ du trafic sur le réseau.
 Réduction de coût (un seul switch).

II.1.3. Etiquetage des trames Ethernet


La norme IEEE 802.1Q est utilisée pour étendre la portée des VLANs sur plusieurs switchs.
Elle est basée sur l’étiquetage des trames : dans l’en-tête de niveau 2 de la trame est ajoutée
une étiquette «tag» de 4 octets qui identifie le VLAN auquel elle est destinée, on parle alors
de VLANs « taggés ». Cet entête contient un numéro d’identification du VLAN de 12 bits
qui prend en charge jusqu’à 4096 ID de VLAN. Le format de la trame est donc modifié, ce
qui peut entraîner des problèmes de compatibilité avec les switchs ne supportant pas ce type
de VLANs.

En utilisant la norme IEEE 802.1Q, on peut réaliser ce qu’on appelle un ‘Trunk’ (Jonction)
entre deux commutateurs pour étendre la taille d’un VLAN, de sorte que les périphériques
appartenant à ce même VLAN et qui sont connectés à différents commutateurs puissent
communiquer sans l'intervention d'un routeur.
Les trunks sont donc nécessaires pour transmettre les informations d’un même VLAN entre
différents commutateurs. Un port sur un commutateur est soit un port d'accès soit un port
trunk. Les ports d'accès transportent le trafic d'un VLAN spécifique attribué au port. Un port
trunk est par défaut membre de tous les VLAN et achemine par conséquent le trafic de tous
les VLAN.

II.2. Protocole DTP (Dynamic Trunking Protocol):


Les interfaces de trunk Ethernet prennent en charge différents modes trunking. Une interface
peut être configurée pour le trunking ou le non-trunking, ou pour négocier un trunking avec
l'interface voisine. La négociation de trunk est gérée par le protocole DTP (Dynamic Trunking
Protocol).
DTP est un protocole réseau propriétaire de Cisco Systems (Catalyst 2960 et Catalyst 3560),
permettant de gérer dynamiquement l'activation/désactivation du mode Trunk (ou Jonction)
d'un port sur un commutateur réseau.
On retrouve ce protocole sur une liaison entre 2 switch de marque Cisco. Ce protocole sert à
négocier de façon automatique un lien Trunk appelé aussi port d’agrégation.
Ainsi, lorsqu’un port est connecté, des annonces (trames) DTP sont envoyées :
 si le port est connecté à un switch voisin, ce dernier va recevoir l’annonce DTP et y
répondre. Des deux côtés, l’activation du Trunk s’effectue.
 si le port est connecté à un PC, ce dernier ne répondra pas à l’annonce car il ne
comprend pas le protocole. Sur le port du switch, le Trunk n’est pas activé et donc
reste en mode Access.
Il est conseillé de désactiver le trunking sur tous les ports, excepté ceux qui le requièrent
spécifiquement ce qui permet d’éviter une attaque de base d'usurpation de commutateur.

II.3. Routage inter-VLAN


D’après les notions précédentes, un VLAN est un domaine de diffusion, c'est-à-dire que les
ordinateurs se trouvant sur des VLANs différents ne peuvent donc pas communiquer sans
l'intervention d'un dispositif de routage. Le but du routage inter-VLAN c’est réalisé la
communication entre tous les VLANs qui existent dans le réseau global, à travers un routeur
pour communiquer les différents réseaux.

Les commutateurs multicouches prennent en charge le routage dynamique et le routage inter-


VLAN, donc ils peuvent remplacer les routeurs, et permettent donc de faire l’interconnexion
des VLANs entre des différents réseaux.
Chaque VLAN doit correspondre à un sous-réseau IP unique. Si deux périphériques du même
VLAN possèdent des adresses de sous-réseau différentes, ils ne peuvent pas communiquer. Il
s'agit d'un problème courant qu'il est facile de résoudre en identifiant la configuration
incorrecte et en remplaçant l'adresse de sous-réseau par l'adresse correcte.
 Une première solution traditionnelle de routage inter-VLAN reposait sur des routeurs
dotés de plusieurs interfaces physiques. Chaque interface devait être connectée à un réseau
distinct et configurée pour un sous-réseau différent.
Ainsi, le routage inter-VLAN s'effectue par la connexion de différentes interfaces de routeur
physiques à différents ports de commutateur physiques. Les ports de commutateur connectés
au routeur sont placés en mode d'accès et chaque interface physique est affectée à un VLAN
distinct. Chaque interface de routeur peut alors accepter le trafic du VLAN associé à
l'interface de commutateur à laquelle elle est connectée, et le trafic peut être acheminé vers les
autres VLANs connectés aux autres interfaces.
 Une deuxième méthode moderne permet grâce à un programme dans le routeur, de
configurer une interface de routeur en tant que liaison trunk, ce qui signifie qu'une seule
interface physique est requise sur le routeur et sur le commutateur pour acheminer les paquets
entre plusieurs VLANs.

La méthode « router-on-a-stick » est un type de configuration de routeur dans laquelle une


seule interface physique achemine le trafic entre plusieurs VLANs d'un réseau.

Chapitre 3. Redondances sur les liens commutés

3.1. Conception hiérarchique du réseau : Domaines défaillants


La redondance du réseau est essentielle pour garantir la fiabilité de celui-ci. La multiplication
des liens physiques entre les périphériques offre des chemins d'accès redondants. Le réseau
peut ainsi continuer à fonctionner, même lorsqu'un port ou un lien donné est défaillant. Les
liens redondants permettent également de partager la charge du trafic et d'accroître la capacité.

Les meilleurs chemins sont déterminés, puis un chemin alternatif est défini en cas de
défaillance du chemin principal. Les protocoles STP (Spanning Tree Protocol) sont utilisés
pour gérer la redondance au niveau de la couche 2. Lorsqu'il existe plusieurs chemins entre
deux périphériques d'un réseau et que le protocole STP n'a pas été implémenté sur les
commutateurs, une boucle de couche 2 se produit. Ceci peut avoir pour conséquence trois
problèmes majeurs : tempête de diffusion, transmission de trame multiples, et instabilité de la
base de données MAC.
3.2. Le protocole spanning-tree et sa convergence

Le protocole STP (Spanning Tree Protocol) a été conçu afin de résoudre les problèmes cités
avant. Il est défini dans la norme IEEE 802.1D et est basé sur un algorithme qui garantit
l’unicité du chemin logique entre toutes les destinations sur le réseau en bloquant
intentionnellement et stratégiquement des chemins susceptibles de former une boucle
physique. Par conséquent, STP est capable d’assurer la continuité des communications en cas
de panne en débloquant dynamiquement les ports qui ont été bloqués et en autorisant le trafic
à emprunter les chemins de substitution.

Pour cela, STP construit un arbre avec une racine (Root) et des branches (segments ou ports).
Ainsi, pour passer d’un switch à un autre il faut passer par la racine en empruntant des
segments fonctionnels (déclarés comme Forwarding, F), comme l’illustre la figure ci-
dessous :

Figure : Principe du protocole STP

Chaque branche est associée à une valeur de coût administratif qui correspond au débit qu’elle
peut assurer. Le tableau 3.1 donne différentes valeurs de coût administratif en correspondance
avec des valeurs normalisées de débit binaire :

Tableau 3.1 : Coût administratif des jonction de couche 2

Débit binaire (Mbps) Coût administratif


4 250
10 100
16 62
45 39
100 19
155 14
622 6
1000 (1 Gbps) 4
10000 (10 Gbps) 2

STP converge vers un arbre final en suivant l’algorithme illustré par les 4 étapes suivantes :

1. Déterminer le Root :
 Election : chaque switch prétend que c’est lui le Root et annonce donc son identité
à tous les autres switchs voisins en envoyant toutes les 2 secondes une trame
appelée BPDU (Bridge Protocol Data Units) sur tous ses ports, qui va porter son
identité comme suit :
Bridge_ID : priority_ID / @_MAC. (Bridge étant le switch), avec :
priority_ID : par défaut 32768 mais modifiable par l’administrateur, il est codé
sur 2 octets (0 :4096 :65535).
 Si un switch SW1 reçoit un BPDU d’un switch SW2 annonçant une identité
meilleure (dont la valeur est la plus petite) à celle qu’il possède alors SW1
annonce SW2 comme Root dans ses prochains BPDU.
 Les switchs continuent à s’échanger les trames BPDU jusqu’à la fin où il y a
élection d’un seul switch qui est le Switch Root dont l’identité est la plus petite
(meilleure) avec :
Id1<Id2 si : (priorité 1< priorité 2) ou (priorité 1 = priorité 2 et MAC1<MAC2)
2. Déterminer le RootPort sur chacun des autres switchs :
 Chacun de ces switchs possède un seul RootPort (RP)
 Le RP est celui qui a le coût administratif cumulatif le plus faible pour atteindre la
racine.
Si un switch a 2 ports x et y donc : le port ‘x’ devient Root_port :
si (Coût_cumul)_x < (Coût_cumul)_y OU
si (Coût_cumul)_x = (Coût_cumul)_y ET Bridge_ID_x < Bridge_ID_y OU
si (Coût_cumul)_x = (Coût_cumul)_y ET Bridge_ID_x = Bridge_ID_y ET
Port_ID_x < Port_ID_y
 Tous les Rootports sont déclarés en mode Forwarding F.(fonctionnels)
3. Déterminer les Ports Désignés (DesignatedPorts) :
 Dans chaque segment (domaine de collision) il y a un seul DesignatedPort DP.
 Le DesignatedPort est celui qui offre le moindre coût vers la racine.
 Tous les ports du Root sont des DP.
 Tous les DP sont déclarés en mode Forwarding F.
4. Bloquer les ports restants.

NB : si un certain Trunk tombe en défaillance, il y aura réélection du nouvel Root et donc
des ports qui sont bloqués seront fonctionnels pour substituer le chemin défaillant.

Application : considérons le réseau de l’architecture suivante :

En analysant cette structure, on remarque que pour aller du switch (plusieurs machines
connectées) le plus lointain vers le serveur on arrive sur des liaisons à haut débits 1Gb/s
sur une liaison à faible débit 100Mb/s. Donc il y aura saturation de la bande passante sur
ce dernier Trunk et on va ressentir une lenteur de transmission avec une surcharge.

Solution  : on peut changer la priorité de façon à ce le switch Root soit le plus proche du
serveur.

Vous aimerez peut-être aussi