Support Cours Mri

SUPPORT DE COURS D’ADMINISTRATION DES RESEAUX
AFRILANE Training & Consulting

1
Yaoundé Cameroun TELEPHONE: (+237) 243 27 33 66 / 656 164 624 / 654 284 895
Site Web: www.afrilane.com E-mail: hello@afrilane.com FB:www.facebook.com/afrilane
N° Contribuable : M 081412132015 P
OBJECTIF DU MODULE
 Former des administrateurs réseaux

 Connaître le modèle Client/serveur (90% des applications de l’Internet)
 Avoir des notions de conception d’applications Client/serveur
 Connaître les protocoles applicatifs de l’Internet et savoir mettre en place les services associés sous
Windows
 Manipuler les notions/outils nécessaire d’un administrateur réseaux.
PLAN DU COURS
Introduction
Première partie : Rappels sur les notions fondamentales
Chap-1 : les réseaux informatiques
Chap-2 : les @dressages des réseaux
Chap-3 : segmentation et notion de sous réseaux
Deuxième partie : Administration d’un réseau
Chap-1 : Installation d’un réseau et mise en place d’un système de câblage
Chap-2 : tests et configuration
Chap-3 : nommage des réseaux et interconnexion
Chap-4 : sécurisation d’un réseau
Conclusion
Bibliographie

2
INTRODUCTION
Le rôle d’un administrateur réseau consiste (entre autre) à :

 Assurer la sécurité des données internes au réseau (particulièrement face aux attaques extérieures).
 S’assurer que les utilisateurs “n’outrepassent” pas leurs droits.
 Gérer les “logins” (noms d’utilisateurs, mot de passe, droits d’accès, permissions particulières).
 Gérer les systèmes de fichiers partagés et les maintenir. L’administrateur réseau est responsable de ce
qui peut se passer à partir du réseau administré.
 Configurer le routage et les passerelles :
 Configurer d’un réseau privé : NAT (Network Address Translation), IP masquerading . . .
 Sécuriser les réseaux: configuration de pare-feu (Firewall) ;
 Manipuler les IPtables. Le réglage de filtres.
 Mettre en place et maintenir l’infrastructure du réseau (organisation, . . . ).
 Installer et maintenir les services nécessaires au fonctionnement du réseau.
 Configuration et manipulation de services spécifiques :
o Gestion d’utilisateurs distants (NIS)
o Un annuaire fédérateur (LDAP)
o Transfert de fichiers et autres (FTP, TFTP, NFS, SMB)
o Connexions à distance (Telnet, Rlogin, SSH, X11, ...)
o Les serveurs de noms (DNS)
Mais il faut dire que pour un administrateur réseaux, La supervision consiste à surveiller les systèmes et à
récupérer les informations sur leur état et leur comportement, ce qui peut être fait par interrogation périodique ou
par remontée non sollicitée d’informations de la part des équipements de réseaux eux-mêmes.
Le plus grand souci d’un administrateur est la panne. En effet, il doit pouvoir réagir le plus rapidement possible
pour effectuer les réparations nécessaires. Il faut pouvoir surveiller de manière continu l’état des réseaux afin
d’éviter un arrêt prolongé de celui-ci. La supervision doit permettre d’anticiper les problèmes et de faire remonter
les informations sur l’état des équipements et des logiciels. Plus le système est important et complexe, plus la
supervision devient compliquée sans les outils adéquats (NMAP).
La plupart de ces outils permettent de nombreuses fonctions dont voici les principales :
 Surveiller le système d’information
 Visualiser l’architecture du système
 Analyser les problèmes
 Déclencher des alertes en cas de problèmes
 Effectuer des actions en fonction des alertes
 Réduire les attaques entrantes
La tâche de l’Administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification ou réaliser une action en
fonction d’une alerte déclenchée.

3
PREMIÈRE PARTIE : RAPPELS SUR LES NOTIONS FONDAMENTALES
Chapitre 0 : Définitions
Télécommunications :
Le mot télécommunication désigne toute transmission, émission ou réception de signes, de signaux,
d’écrits, d’images, de sons ou de renseignements de toute nature, par fil, radioélectricité, optique ou autres
systèmes électromagnétiques.
Télécommunications = toutes techniques de transfert d’information
Techniques : filaires, radio, optiques, satellites, …
Information : symboles, écrits, images fixes ou animées, son, vidéos, ...
Réseau de communication :
Désigne l’ensemble de ressources (artères de transmission, commutateurs, …) mis à la disposition
d’équipements terminaux pour leur permettre d’échanger de l’information.
Réseau public :
Désigne un réseau accessible à tous moyennant une redevance d’usage.
Réseau privé :
Est un réseau regroupant une communauté d’utilisateurs appartenant à une même organisation.
Réseau privé virtuel (VPN) :

Désigne la simulation d’un réseau privé à travers un réseau public.
Réseau de commutation (ou commuté):

C’est le réseau dans lequel un abonné peut atteindre n’importe quel autre : mise en relation de 1 à 1 parmi
N (ex : Réseau Téléphonique Commuté).
Réseau d’entreprise :
Est un réseau connectant les principaux points d’une entreprise, généralement privé.
Réseau dorsal ou (Backbone) :

Est un réseau jouant le rôle d’artère principale pour le trafic en provenance et à destination d’autres
réseaux
Informatique :
L'informatique est le domaine d'activité scientifique, technique et industriel concernant le traitement automatique
de l'information via l’exécution de programmes informatiques par des machines : des systèmes embarqués, des
ordinateurs, des robots, des automates, etc.
Ordinateurs :
Un ordinateur est une machine électronique qui fonctionne par la lecture séquentielle d'un ensemble
d'instructions, organisées en programmes, qui lui font exécuter des opérations logiques et arithmétiques sur des
chiffres binaires. ...

4
r
Réseau informatique :
C’est un ensemble d’ordinateurs (ou de périphériques) autonomes connectés entre eux et qui sont situés soit
dans un même domaine géographique, soit dans des domaines géographiques différents..
Station de travail :
On appelle station de travail toute machine capable d’envoyer des données vers les réseaux (PC, MAC, SUN,
Terminal X, …)
Nœud :
C’est une station de travail, une imprimante, un serveur ou toute entité pouvant être adressée par un numéro
unique.
Serveur :
Ordinateur ou dispositif centrale dépositaire d’une fonction spécifique : service de base de donnée, de calcul, de
fichier, mail, web….
Paquet :
C’est la plus petite unité d’information pouvant être envoyé sur le réseau. Un paquet contient en général
l’adresse de l’émetteur, l’adresse du récepteur et les données à transmettre.
Topologie :
Est l’organisation physique et logique d’un réseau. L’organisation physique concerne la façon dont les
machines sont connectées (Bus, Anneau, Étoile ….). La topologie logique montre comment les informations
circulent sur les réseaux (diffusion ou point à point).
Réseaux Homogènes :
Désignent un ensemble d’ordinateurs ou nœuds ayant les mêmes constructeurs. Sun, IBM, Apple-Talk,
Réseaux Hétérogènes :
Désignent les réseaux dans lesquels les ordinateurs reliés au réseau sont de constructeurs différents : Ethernet.
Protocole :
Un protocole est un ensemble de règles destinées à une tâche de communication particulière. Deux ordinateurs
doivent utiliser le même protocole pour pouvoir communiquer entre eux. En d’autres termes, ils doivent parler le
même langage pour se comprendre.
L’administration réseaux ou Network management, terme anglophone qui signifie gestion de réseaux
informatique, se réfère aux activités, méthodes, procédures comme la surveillance du réseau et aux outils de
mise en œuvre par l'administrateur réseaux ayant trait à l'exploitation, l'administration, la maintenance et la
fourniture des réseaux informatiques. La gestion des réseaux informatiques constitue un problème dont l’enjeu
est de garantir au meilleur coût, non seulement la qualité du service rendu aux utilisateurs mais aussi la
réactivité dû aux changements et à l'évolution rapide du secteur informatique.
Cette gestion des réseaux se définit comme étant l’ensemble des moyens mis en œuvre (connaissances,
techniques, méthodes, outils, ...) pour superviser et exploiter des réseaux informatiques et planifier leur
évolution en respectant les contraintes de coût, de qualité et de matériel. La qualité de service se décline sur
plusieurs critères pour le futur utilisateur, notamment la fiabilité, la confidentialité, la disponibilité, la performance
(temps de réponse), la sécurité…
Les activités d’administration sont communément classées en trois activités qui sont la Supervision,
l'Administration et l'Exploitation.

5
Supervision de réseaux
La supervision consiste à surveiller les systèmes et à récupérer les informations sur leur état et leur
comportement, ce qui peut être fait par interrogation périodique ou par remontée non sollicitée d’informations de
la part des équipements de réseaux eux-mêmes.
Le plus grand souci d’un administrateur est la panne. En effet, il doit pouvoir réagir le plus rapidement possible
pour effectuer les réparations nécessaires. Il faut pouvoir surveiller de manière continu l’état des réseaux afin
d’éviter un arrêt prolongé de celui-ci. La supervision doit permettre d’anticiper les problèmes et de faire remonter
les informations sur l’état des équipements et des logiciels. Plus le système est important et complexe, plus la
supervision devient compliquée sans les outils adéquats.
Une grande majorité des logiciels de supervision sont basés sur le protocole SNMP qui existe depuis de
nombreuses années. La plupart de ces outils permettent de nombreuses fonctions dont voici les principales :
 Surveiller le système d’information
 Visualiser l’architecture du système
 Analyser les problèmes
 Déclencher des alertes en cas de problèmes
 Effectuer des actions en fonction des alertes
 Réduire les attaques entrantes
La tâche de l’administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification ou réaliser une action en
fonction d’une alerte déclenchée.

6
Chapitre 1 : les réseaux informatiques
Définition :
Réseau : C’est un ensemble d’ordinateurs (ou de périphériques) autonomes connectés entre eux et qui sont
situés soit dans un même domaine géographique, soit dans des domaines géographiques différents.
Les Réseaux informatiques sont nés du besoin de faire communiquer des terminaux distants
avec un site central puis des ordinateurs entre eux. Dans un premier temps ces communications étaient
juste destinées aux transports de données informatiques alors qu'aujourd'hui on se dirige plutôt vers des
réseaux qui intègrent à la fois des données mais en plus, la parole, et la vidéo.
Types de réseaux
Suivant la distance qui sépare les ordinateurs, on distingue plusieurs catégories de réseaux :
 Les LAN: Local Area Network

 Les MAN : Metropolitan Area Network
 Les WAN : Wide Area Network
Le LAN : (Local Area Network = réseau local d'entreprise) ou encore appelé réseau local, constitué
d'ordinateurs et de périphériques reliés entre eux et implantés dans une même entreprise, et à caractère privé.
Il ne dépasse pas généralement la centaine de machines et ne dessert jamais au-delà du kilomètre.

7
Le partage des ressources est ici fréquent et les vitesses de transmissions vont de 10 à 100 Mb/s
(mégabits/seconde).
Le MAN : (Metropolitan Area Network = Réseau métropolitain ou urbain) correspond à la réunion de plusieurs
réseaux locaux (LAN) à l'intérieur d'un même périmètre d'une très grande Entreprise ou d'une ville par ex.
pouvant relier des points distants de 10 à 25 Km. En général le câble coaxial est le support physique le plus
utilisé dans ce type de réseau. Il existe alors une interconnexion qui nécessite quelques matériels particuliers
conçus pour réunir ces différents réseaux et aussi pour protéger l'accès de chacun d'eux suivant des
conventions préalables. Ces réseaux peuvent être privés ou publics et utilise un ou deux câbles de
transmission. Les éléments de commutation (routage) dans ce cas précis sont inexistants.
Le WAN : (Wide Area Network = réseau grande distance) : Il s'agit cette fois d'un réseau multi-services couvrant
un pays ou un groupe de pays, qui est en fait constitué d'un ensemble de réseaux locaux interconnectés. Un
WAN peut être privé ou public, et les grandes distances qu'il couvre (plusieurs centaines de kms) font que les
liaisons sont assurées par du matériel moins sophistiqué (raisons financières) et le débit s'en trouve un peu
pénalisé.
Il est maintenant plus facile de comprendre pourquoi différentes structures de réseaux peuvent être exploités
localement d'une part, et d'autre part interconnectés pour en élargir le périmètre d'exploitation.
NB :
1- Un sous-réseau de commutation se définit comme un ensemble de commutateurs reliés entre eux.
2- Un routeur se définit comme un ordinateur spécialisé qui permet d’acheminer des paquets.
Topologie de réseaux
Le réseau de type bus

Un réseau de type bus est ouvert à ses extrémités. Chaque PC y est connecté par l'intermédiaire d'un connecteur
spécial. Certains périphériques, comme des imprimantes, peuvent également être directement reliés au réseau.
Ils doivent alors comporter une carte adaptateur réseau. A chaque extrémité, le réseau est terminé par une
résistance (appelé bouchon) pour empêcher l'apparition de signaux parasites.
L'exemple le plus courant de ce type de réseau est le réseau Ethernet.
Avantage : ce type de montage est simple à mettre en œuvre et peu coûteux. Il est facile à manipuler et il est plus
adapté pour les petits réseaux
Inconvénient : s'il y a rupture du câble, tout le réseau tombe en panne. La longueur du câble est limitée. Cela
limite le nombre de stations qui peuvent être connectés.

8
Le réseau de type étoile :
Dans un réseau en étoile, chaque nœud du réseau est relié à un contrôleur (HUB ou concentrateur/SWITCH ou
commutateur) par un câble différent. Le contrôleur est un appareil qui recevant un signal de données par une de
ses entrées, va retransmettre ce signal à chacune des autres entrées sur lesquelles sont connectés des
ordinateurs ou périphériques, voir d'autres contrôleurs.
Avantage : En raison de son caractère centralisé, la topologie offre une simplicité de fonctionnement. Il réalise
également un isolement de chaque périphérique du réseau (Un nœud peut tomber en panne sans affecter les
autres nœuds du réseau).
Inconvénient : Ce type d'architecture est plus coûteux que les réseaux en bus et en anneau. En effet, la longueur
du câblage est importante, ce qui entraîne un coût supplémentaire. De plus le contrôleur est un élément
relativement cher. Le fonctionnement du réseau dépend du fonctionnement de la plate-forme centrale. Par
conséquent, l'échec de la plate-forme centrale conduit à l'échec de l'ensemble du réseau.
Le réseau en anneau
Il s'agit d'un réseau local dans lequel les nœuds sont reliés en boucle fermée. Dans un réseau en anneau, les
ordinateurs communiquent chacun à leur tour, on a donc une boucle d'ordinateurs sur laquelle chacun d'entre eux
va "avoir la parole" successivement. On parlera de passage de jeton.
En réalité les ordinateurs d'un réseau en topologie anneau ne sont pas reliés en boucle, mais sont reliés à un
répartiteur (appelé MAU, Multistation Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont
reliés en impartissant à chacun d'entre eux un temps de parole.
Avantage : Les données étant transmises entre deux nœuds passe par tous les nœuds intermédiaires. Un
serveur central n'est pas requis pour la gestion de cette topologie.
Inconvénient : La défaillance d'un seul nœud du réseau peut entraîner l'ensemble du réseau à l'échec. Le
mouvement ou les modifications apportées aux nœuds de réseau affecte le rendement de l'ensemble du réseau.

9
Aucun de ces trois plans de câblage n'est idéal et le choix de l'un ou l'autre sera influencé par des questions de
coût, de configuration du site auquel le réseau est destiné. Pour optimiser le fonctionnement d'un réseau sans
atteindre des coûts exorbitants, on peut utiliser conjointement plusieurs architectures.
Les petits réseaux sont souvent basés sur une seule topologie, mais les plus grands réseaux peuvent inclure les
trois types et par conséquent devenir une imbrication complexe de réseaux souvent dit réseaux maillés.
Les réseaux en maille :

Cette topologie se rencontre dans les grands réseaux de distribution (Exemple : Internet). L'information peut
parcourir le réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou grâce
à des méthodes de routage réparties. Cette topologie correspond à plusieurs liaisons point à point (Une unité
réseau peut avoir plusieurs connexions point à point vers plusieurs autres unités.) Chaque terminal est relié à
tous les autres (relation de 1 à N).
Avantage : L'agencement des nœuds de réseau est tel qu'il est possible de transmettre des données d'un nœud
à plusieurs autres nœuds dans le même temps.
Inconvénient : L'arrangement où chaque nœud du réseau est connecté à tous les autres nœuds du réseau, la
plupart des connexions ne servent à rien majeure. Cela conduit à la redondance de la plupart des connexions
réseau.
Rôle et utilités des réseaux
Les réseaux permettent :

 Le partage des fichiers
 Le partage d’application : compilation, SGBD
 Partage de ressources matérielles : l’imprimante, disque…

10
 Télécharger des applications et des fichiers
 L’interaction avec les utilisateurs connectés : messagerie électronique, conférences électroniques, ….
 Le transfert de données en général : réseaux informatiques
 Les transferts de la parole : réseaux téléphoniques
 Le transfert de la parole, de la vidéo et des données : réseaux numérique à intégration de services RNIS
ou sur IP.
 La transmission point à point ou diffusion
 La commutation : comment mettre en relation un utilisateur avec n’importe quel autre ?
 La signalisation : repose sur l’échange d’informations de « services »
 L’administration et la gestion
 Détection des fautes
 Facturation au prix juste (ART)
 Configuration : nouveaux matériels, nouveaux utilisateurs
 Performances et qualité de services
 Sécurité
Usage des réseaux : (apport aux entreprises)

 Partager des ressources : imprimantes, disque dur, processeur, etc.
 Réduire les coûts : Exemple : au lieu d’avoir une imprimante pour chaque utilisateur qui sera utilisée 1
heure par semaine, on partage cette même imprimante entre plusieurs utilisateurs.
 Remarque : Les grands ordinateurs sont généralement 10 fois plus rapides et coûtent 1000 fois plus
chers.
 Augmenter la fiabilité : dupliquer les données et les traitements sur plusieurs machines. Si une machine
tombe en panne une autre prendra la relève.
 Fournir un puissant média de communication : e-mail, et faciliter la vente directe via l’Internet.
Usage des réseaux : (apports aux individus)

 Accès facile et rapide à des informations distantes de type financier : Paiement de factures, consultation
de solde, etc.
 Recherche d’informations de tout genre : sciences, arts, cuisine, sports, etc. ;
 Accès à des journaux et bibliothèques numériques : News …
 Communication entre les individus : Vidéoconférence, courrier électronique, groupes thématiques
(newsgroups), clavardage (chat), communication poste-à-poste (peer-to-peer), téléphonie et radio via
Internet, etc.
 Divertissements et jeux interactifs : vidéo à la carte et toutes sortes de jeux (jeux d’échec, de combats,
etc.)
 Commerce électronique (e-commerce) : transactions financières, achats en ligne à partir de son domicile.
Matériels et logiciels de réseaux
Matériels réseaux
Carte réseau : La carte réseau est le matériel de base indispensable, qui traite tout au sujet de la communication
dans le monde du réseau.

11
Concentrateur (Hub) : Le concentrateur permet de relier plusieurs ordinateurs entre eux, mais on lui reproche le
manque de confidentialité.
Concentrateur IBM de 16 ports

Commutateur (Switch) : Le commutateur fonctionne comme le concentrateur, sauf qu'il transmet des données aux
destinataires en se basant sur leurs adresses MAC (adresses physiques). Chaque machine reçoit seulement ce qui
lui est adressé.
Commutateur CISCO 2690 24 ports manageable.

Routeur : Le routeur permet d'assurer la communication entre différents réseaux pouvant être fondamentalement
différents (réseau local et Internet).

12
Façade arrière du routeur Cisco 2600
Répéteur : Le répéteur reçoit des données par une interface de réception et les renvoie plus fort par l'interface
d'émission. On parle aussi de relais en téléphonie et radiophonie.
Logiciels réseaux.
En ce qui concerne les logiciels, on a besoin d’implanter un grand nombre de fonctions (détection et correction
d’erreurs, contrôle de flux, routage, etc.) pour pouvoir communiquer convenablement.
Problème : les fonctions à implanter sont nombreuses et complexes.
Quoi faire ? Regrouper les fonctions en modules (diviser pour mieux régner), réduire un problème complexe en
plusieurs petits problèmes.
Comment faire le découpage ? Utiliser les techniques de génie logiciel (couplage, modularité, encapsulation, etc.).
Notion de protocole
Pouvoir envoyer et recevoir des bits sur un réseau ne suffit pas pour communiquer convenablement. Mais il faut
communiquer et pouvoir interpréter l’information échangée et parler le même langage. Donc pour pouvoir
communiquer convenablement, les interlocuteurs doivent s’entendre sur les syntaxes et les sémantiques des
messages échangés, d’où la notion de protocole.

13
Protocole : Ensemble de règles et des conventions décrivant la syntaxe et la sémantique des messages échangés et
la façon dont la transmission se déroule. Chaque couche utilise ses propres protocoles pour communiquer avec son
homologue (entités homologues). Aucune donnée n’est transférée directement de la couche n (n>1) d’une machine à
la couche n d’une autre machine…
Qu’est-ce qu’une norme ? C’est un accord documenté décrivant des spécifications des produits ou des services.
Exemple : format d’une carte bancaire (longueur, largeur, épaisseur, position de la bande magnétique, etc.).
Pourquoi une norme ? Il s’agit d’éliminer les incompatibilités entre les produits et les services. Si on ne parle pas le
même « langage », alors comment peut-on communiquer et se comprendre ?
Qui définit les normes ? il s’agit des organismes nationaux comme la SCC « Standards Council of Canada », l’AFNOR
« France », l’ANSI « USA ») et des organismes internationaux comme l’ISO « International Organization for
Standardization ».
La « Normalisation » : c’est l’ensemble de règles destinées à satisfaire un besoin de manière similaire tel que :
 La réduction des coûts d’études ;
 La rationalisation de la fabrication ;
 La garantie d’un marché plus vaste ;
 La garantie d’interfonctionnement, d’indépendance vis à vis d’un fournisseur, de pérennité des
investissements ;
 L’aboutissement d’une concertation entre industriels, administrations et utilisateurs.
Exemple dans les réseaux mobiles :
Architecture basée sur les modèles

Deux grandes familles d’architectures se disputent le marché :
 La première provient de l’ISO et s’appelle OSI (Open System Interconnexion)
 La deuxième est TCP/IP
 Une Troisième architecture plus récente est UIT-T (Union Internationale de Télécommunication). Il s’agit de
l’adaptation du modèle OSI pour prendre en compte les réseaux haut-débit.
1 - Le modèle OSI
Les constructeurs informatiques ont proposé des architectures réseaux propres à leurs équipements. Par exemple,
IBM a proposé SNA, DEC a proposé DNA... Ces architectures ont toutes le même défaut : du fait de leur caractère
propriétaire, il n'est pas facile de les interconnecter, à moins d'un accord entre constructeurs. Aussi, pour éviter la
multiplication des solutions d'interconnexion d'architectures hétérogènes, l'ISO (International Standards Organisation),
organisme dépendant de l'ONU et composé de 140 organismes nationaux de normalisation, a développé un modèle
de référence appelé modèle OSI (Open Systems Interconnection). Ce modèle décrit les concepts utilisés et la
démarche suivie pour normaliser l'interconnexion de systèmes ouverts (un réseau est composé de systèmes ouverts

14
lorsque la modification, l'adjonction ou la suppression d'un de ces systèmes ne modifie pas le comportement global
du réseau).
Au moment de la conception de ce modèle, la prise en compte de l'hétérogénéité des équipements était
fondamentale. En effet, ce modèle devait permettre l'interconnexion avec des systèmes hétérogènes pour des raisons
historiques et économiques. Il ne devait en outre pas favoriser un fournisseur particulier. Enfin, il devait permettre de
s'adapter à l'évolution des flux d'informations à traiter sans remettre en cause les investissements antérieurs. Cette
prise en compte de l'hétérogénéité nécessite donc l'adoption de règles communes de communication et de
coopération entre les équipements, c'est à dire que ce modèle devait logiquement mener à une normalisation
internationale des protocoles.
Le modèle OSI n'est pas une véritable architecture de réseau, car il ne précise pas réellement les services et les
protocoles à utiliser pour chaque couche. Il décrit plutôt ce que doivent faire les couches. Néanmoins, l'ISO a écrit ses
propres normes pour chaque couche, et ceci de manière indépendante au modèle, i.e. comme le fait tout
constructeur.
Les premiers travaux portant sur le modèle OSI datent de 1977. Ils ont été basés sur l'expérience acquise en matière
de grands réseaux et de réseaux privés plus petits ; le modèle devait en effet être valable pour tous les types de
réseaux. En 1978, l'ISO propose ce modèle sous la norme ISO IS7498. En 1984, 12 constructeurs européens,
rejoints en 1985 par les grands constructeurs américains, adoptent le standard.
A - Les différentes couches du modèle

Le modèle OSI comporte 7 couches :

15
Les principes qui ont conduit à ces 7 couches sont les suivants :
 Une couche doit être créée lorsqu'un nouveau niveau d'abstraction est nécessaire,
 Chaque couche a des fonctions bien définies,
 Les fonctions de chaque couche doivent être choisies dans l'objectif de la normalisation
internationale des protocoles,
 Les frontières entre couches doivent être choisies de manière à minimiser le flux d'information aux
interfaces,
 Le nombre de couches doit être tel qu'il n'y ait pas cohabitation de fonctions très différentes au sein
d'une même couche et que l'architecture ne soit pas trop difficile à maîtriser.
Les couches basses (1, 2, 3 et 4) sont nécessaires à l'acheminement des informations entre les extrémités
concernées et dépendent du support physique. Les couches hautes (5, 6 et 7) sont responsables du traitement de
l'information relative à la gestion des échanges entre systèmes informatiques. Par ailleurs, les couches 1 à 3
interviennent entre machines voisines, et non entre les machines d'extrémité qui peuvent être séparées par plusieurs
routeurs. Les couches 4 à 7 sont au contraire des couches qui n'interviennent qu'entre hôtes distants.
A1 - La couche physique
La couche physique s'occupe de la transmission des bits de façon brute sur un canal de communication. Cette
couche doit garantir la parfaite transmission des données (un bit 1 envoyé doit bien être reçu comme bit valant 1).
Concrètement, cette couche doit normaliser les caractéristiques électriques (un bit 1 doit être représenté par une
tension de 5 V, par exemple), les caractéristiques mécaniques (forme des connecteurs, de la topologie...), les
caractéristiques fonctionnelles des circuits de données et les procédures d'établissement, de maintien et de libération
du circuit de données. L'unité d'information typique de cette couche est le bit, représenté par une certaine différence
de potentiel.
A2 - La couche liaison de données
Son rôle est un rôle de "liant" : elle va transformer la couche physique en une liaison a priori exempte d'erreurs de
transmission pour la couche réseau. Elle fractionne les données d'entrée de l'émetteur en trames, transmet ces
trames en séquence et gère les trames d'acquittement renvoyées par le récepteur. Rappelons que pour la couche
physique, les données n'ont aucune signification particulière. La couche liaison de données doit donc être capable de
reconnaître les frontières des trames. Cela peut poser quelques problèmes, puisque les séquences de bits utilisées
pour cette reconnaissance peuvent apparaître dans les données.
La couche liaison de données doit être capable de renvoyer une trame lorsqu'il y a eu un problème sur la ligne de
transmission. De manière générale, un rôle important de cette couche est la détection et la correction d'erreurs
intervenues sur la couche physique. Cette couche intègre également une fonction de contrôle de flux pour éviter
l'engorgement du récepteur. L'unité d'information de la couche liaison de données est la trame qui est composées de
quelques centaines à quelques milliers d'octets maximum.

16
A3 - La couche réseau
C'est la couche qui permet de gérer le sous-réseau, i.e. le routage des paquets sur ce sous-réseau et l'interconnexion
des différents sous-réseaux entre eux. Au moment de sa conception, il faut bien déterminer le mécanisme de routage
et de calcul des tables de routage (tables statiques ou dynamiques...
La couche réseau contrôle également l'engorgement du sous-réseau. On peut également y intégrer des fonctions de
comptabilité pour la facturation au volume, mais cela peut être délicat. L'unité d'information de la couche réseau est le
paquet.
A4 - Couche transport
Cette couche est responsable du bon acheminement des messages complets au destinataire. Le rôle principal de la
couche transport est de prendre les messages de la couche session, de les découper s'il le faut en unités plus petites
et de les passer à la couche réseau, tout en s'assurant que les morceaux arrivent correctement de l'autre côté. Cette
couche effectue donc aussi le réassemblage du message à la réception des morceaux.
Cette couche est également responsable de l'optimisation des ressources du réseau : en toute rigueur, la couche
transport crée une connexion réseau par connexion de transport requise par la couche session, mais cette couche est
capable de créer plusieurs connexions réseau par processus de la couche session pour répartir les données, par
exemple pour améliorer le débit. A l'inverse, cette couche est capable d'utiliser une seule connexion réseau pour
transporter plusieurs messages à la fois grâce au multiplexage. Dans tous les cas, tout ceci doit être transparent pour
la couche session.
Cette couche est également responsable du type de service à fournir à la couche session, et finalement aux
utilisateurs du réseau : service en mode connecté ou non, avec ou sans garantie d'ordre de délivrance, diffusion du
message à plusieurs destinataires à la fois... Cette couche est donc également responsable de l'établissement et du
relâchement des connexions sur le réseau. Un des tous derniers rôles à évoquer est le contrôle de flux.
C'est l'une des couches les plus importantes, car c'est elle qui fournit le service de base à l'utilisateur, et c'est par
ailleurs elle qui gère l'ensemble du processus de connexion, avec toutes les contraintes qui y sont liées. L'unité
d'information de la couche réseau est le message ou le segment.
A5 - La couche session
Cette couche organise et synchronise les échanges entre tâches distantes. Elle réalise le lien entre les adresses
logiques et les adresses physiques des tâches réparties. Elle établit également une liaison entre deux programmes
d'application devant coopérer et commande leur dialogue (qui doit parler, qui parle...). Dans ce dernier cas, ce service
d'organisation s'appelle la gestion du jeton. La couche session permet aussi d'insérer des points de reprise dans le
flot de données de manière à pouvoir reprendre le dialogue après une panne.
A6 - La couche présentation

17
Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises : c'est elle qui traite l'information de
manière à la rendre compatible entre tâches communicantes. Elle va assurer l'indépendance entre l'utilisateur et le
transport de l'information.
Typiquement, cette couche peut convertir les données, les reformater, les crypter et les compresser.
A7 - La couche application
Cette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle qui va apporter à l'utilisateur les
services de base offerts par le réseau, comme par exemple le transfert de fichier, la messagerie...
B - Transmission de données au travers du modèle OSI

Le processus émetteur remet les données à envoyer au processus récepteur à la couche application qui leur ajoute
un en-tête application AH (éventuellement nul). Le résultat est alors transmis à la couche présentation.
La couche présentation transforme alors ce message et lui ajoute (ou non) un nouvel en-tête (éventuellement nul). La
couche présentation ne connaît et ne doit pas connaître l'existence éventuelle de AH ; pour la couche présentation,
AH fait en fait partie des données utilisateur. Une fois le traitement terminé, la couche présentation envoie le nouveau
"message" à la couche session et le même processus recommence.
Les données atteignent alors la couche physique qui va effectivement transmettre les données au destinataire. A la
réception, le message va remonter les couches et les en-têtes sont progressivement retirés jusqu'à atteindre le
processus récepteur :
Le concept important est le suivant : il faut considérer que chaque couche est programmée comme si elle était
vraiment horizontale, c'est à dire qu'elle dialoguait directement avec sa couche paire réceptrice. Au moment de

18
dialoguer avec sa couche paire, chaque couche rajoute un en-tête et l'envoie (virtuellement, grâce à la couche sous-
jacente) à sa couche paire.
C - Critique du modèle OSI
La chose la plus frappante à propos du modèle OSI est que c'est peut-être la structure réseau la plus étudiée et la
plus unanimement reconnue et pourtant ce n'est pas le modèle qui a su s'imposer. Les spécialistes qui ont analysé
cet échec en ont déterminé 4 raisons principales.
2 - Le TCP/IP
On a communément tendance à considérer TCP/IP comme l'implémentation réelle de OSI.
TCP/IP désigne communément une architecture réseau, mais cet acronyme désigne en fait 2 protocoles étroitement
liés : un protocole de transport, TCP (Transmission Control Protocol) qu'on utilise "par-dessus" un protocole réseau,
et IP (Internet Protocol). Ce qu'on entend par "modèle TCP/IP", c'est en fait une architecture réseau en 4 couches
dans laquelle les protocoles TCP et IP jouent un rôle prédominant, car ils en constituent l'implémentation la plus
courante. Par abus de langage, TCP/IP peut donc désigner deux choses : le modèle TCP/IP et la suite de deux
protocoles TCP et IP.
Le modèle TCP/IP, comme nous le verrons plus bas, s'est progressivement imposé comme modèle de référence en
lieu et place du modèle OSI. Cela tient tout simplement à son histoire. En effet, contrairement au modèle OSI, le
modèle TCP/IP est né d'une implémentation ; la normalisation est venue ensuite. Cet historique fait toute la
particularité de ce modèle, ses avantages et ses inconvénients.
L'origine de TCP/IP remonte au réseau ARPANET. ARPANET est un réseau de télécommunication conçu par l'ARPA
(Advanced Research Projects Agency), l'agence de recherche du ministère américain de la défense (le DOD :
Department of Defense). Outre la possibilité de connecter des réseaux hétérogènes, ce réseau devait résister à une
éventuelle guerre nucléaire, contrairement au réseau téléphonique habituellement utilisé pour les télécommunications
mais considéré trop vulnérable. Il a alors été convenu qu'ARPANET utiliserait la technologie de commutation par
paquet (mode datagramme), une technologie émergeante promettante. C'est donc dans cet objectif et ce choix
technique que les protocoles TCP et IP furent inventés en 1974. L'ARPA signa alors plusieurs contrats avec les
constructeurs (BBN principalement) et l'université de Berkeley qui développait un Unix pour imposer ce standard, ce
qui fut fait.
A - Description du modèle
A1 - Un modèle en 4 couches
Le modèle TCP/IP peut en effet être décrit comme une architecture réseau à 4 couches :

19
Le modèle OSI a été mis à côté pour faciliter la comparaison entre les deux modèles.
A2 - La couche hôte réseau

Cette couche est assez "étrange". En effet, elle semble "regrouper" les couches physique et liaison de données du
modèle OSI. En fait, cette couche n'a pas vraiment été spécifiée ; la seule contrainte de cette couche, c'est de
permettre un hôte d'envoyer des paquets IP sur le réseau. L'implémentation de cette couche est laissée libre. De
manière plus concrète, cette implémentation est typique de la technologie utilisée sur le réseau local. Par exemple,
beaucoup de réseaux locaux utilisent Ethernet ; Ethernet est une implémentation de la couche hôte-réseau.
A3 - La couche internet
Cette couche est la clé de voûte de l'architecture. Cette couche réalise l'interconnexion des réseaux (hétérogènes)
distants sans connexion. Son rôle est de permettre l'injection de paquets dans n'importe quel réseau et
l'acheminement de ces paquets indépendamment les uns des autres jusqu'à destination. Comme aucune connexion
n'est établie au préalable, les paquets peuvent arriver dans le désordre ; le contrôle de l'ordre de remise est
éventuellement la tâche des couches supérieures.
Du fait du rôle imminent de cette couche dans l'acheminement des paquets, le point critique de cette couche est le
routage. C'est en ce sens que l'on peut se permettre de comparer cette couche avec la couche réseau du modèle
OSI.
La couche internet possède une implémentation officielle : le protocole IP (Internet Protocol).
Remarquons que le nom de la couche ("internet") est écrit avec un i minuscule, pour la simple et bonne raison que le
mot internet est pris ici au sens large (littéralement, "interconnexion de réseaux"), même si l'Internet (avec un grand I)
utilise cette couche.
A4 - La couche transport
Son rôle est le même que celui de la couche transport du modèle OSI : permettre à des entités paires de soutenir une
conversation.

20
Officiellement, cette couche n'a que deux implémentations : le protocole TCP (Transmission Control Protocol) et le
protocole UDP (User Datagram Protocol). TCP est un protocole fiable, orienté connexion, qui permet l'acheminement
sans erreur de paquets issus d'une machine d'un internet à une autre machine du même internet. Son rôle est de
fragmenter le message à transmettre de manière à pouvoir le faire passer sur la couche internet. A l'inverse, sur la
machine destination, TCP replace dans l'ordre les fragments transmis sur la couche internet pour reconstruire le
message initial. TCP s'occupe également du contrôle de flux de la connexion.
UDP est en revanche un protocole plus simple que TCP : il est non fiable et sans connexion. Son utilisation
présuppose que l'on n'a pas besoin ni du contrôle de flux, ni de la conservation de l'ordre de remise des paquets. Par
exemple, on l'utilise lorsque la couche application se charge de la remise en ordre des messages. On se souvient que
dans le modèle OSI, plusieurs couches ont à charge la vérification de l'ordre de remise des messages. C'est là un
avantage du modèle TCP/IP sur le modèle OSI, mais nous y reviendrons plus tard. Une autre utilisation d'UDP : la
transmission de la voix. En effet, l'inversion de 2 phonèmes ne gêne en rien la compréhension du message final. De
manière plus générale, UDP intervient lorsque le temps de remise des paquets est prédominant.
A5 - La couche application
Contrairement au modèle OSI, c'est la couche immédiatement supérieure à la couche transport, tout simplement
parce que les couches présentation et session sont apparues inutiles. On s'est en effet aperçu avec l'usage que les
logiciels réseau n'utilisent que très rarement ces 2 couches, et finalement, le modèle OSI dépouillé de ces 2 couches
ressemble fortement au modèle TCP/IP.
Cette couche contient tous les protocoles de haut niveau, comme par exemple Telnet, TFTP (trivial File Transfer
Protocol), SMTP (Simple Mail Transfer Protocol), HTTP (HyperText Transfer Protocol). Le point important pour cette
couche est le choix du protocole de transport à utiliser. Par exemple, TFTP (surtout utilisé sur réseaux locaux)
utilisera UDP, car on part du principe que les liaisons physiques sont suffisamment fiables et les temps de
transmission suffisamment courts pour qu'il n'y ait pas d'inversion de paquets à l'arrivée. Ce choix rend TFTP plus
rapide que le protocole FTP qui utilise TCP. A l'inverse, SMTP utilise TCP, car pour la remise du courrier
électronique, on veut que tous les messages parviennent intégralement et sans erreurs.
B - Comparaison avec le modèle OSI et critique

B1 - Comparaison avec le modèle OSI
Tout d'abord, les points communs. Les modèles OSI et TCP/IP sont tous les deux fondés sur le concept de pile de
protocoles indépendants. Ensuite, les fonctionnalités des couches sont globalement les mêmes.
Au niveau des différences, on peut remarquer la chose suivante : le modèle OSI faisait clairement la différence entre
3 concepts principaux, alors que ce n'est plus tout à fait le cas pour le modèle TCP/IP. Ces 3 concepts sont les
concepts de services, interfaces et protocoles. En effet, TCP/IP fait peu la distinction entre ces concepts, et ce malgré
les efforts des concepteurs pour se rapprocher de l'OSI. Cela est dû au fait que pour le modèle TCP/IP, ce sont les

21
protocoles qui sont d'abord apparus. Le modèle ne fait finalement que donner une justification théorique aux
protocoles, sans les rendre véritablement indépendants les uns des autres.
Enfin, la dernière grande différence est liée au mode de connexion. Certes, les modes orienté connexion et sans
connexion sont disponibles dans les deux modèles mais pas à la même couche : pour le modèle OSI, ils ne sont
disponibles qu'au niveau de la couche réseau (au niveau de la couche transport, seul le mode orienté connexion n'est
disponible), alors qu'ils ne sont disponibles qu'au niveau de la couche transport pour le modèle TCP/IP (la couche
internet n'offre que le mode sans connexion). Le modèle TCP/IP a donc cet avantage par rapport au modèle OSI : les
applications (qui utilisent directement la couche transport) ont véritablement le choix entre les deux modes de
connexion.
B2 - Critique
Une des premières critiques que l'on peut émettre tient au fait que le modèle TCP/IP ne fait pas vraiment la distinction
entre les spécifications et l'implémentation : IP est un protocole qui fait partie intégrante des spécifications du modèle.
Une autre critique peut être émise à l'encontre de la couche hôte réseau. En effet, ce n'est pas à proprement parler
une couche d'abstraction dans la mesure où sa spécification est trop floue. Les constructeurs sont donc obligés de
proposer leurs solutions pour "combler" ce manque. Finalement, on s'aperçoit que les couches physique et liaison de
données sont tout aussi importantes que la couche transport. Partant de là, on est en droit de proposer un modèle
hybride à 5 couches, rassemblant les points forts des modèles OSI et TCP/IP :
Modèle hybride de référence

C'est finalement ce modèle qui sert véritablement de référence dans le monde de l'Internet. On a ainsi gardé la
plupart des couches de l'OSI (toutes, sauf les couches session et présentation) car correctement spécifiées. En
revanche, ses protocoles n'ont pas eu de succès et on a du coup gardé ceux de TCP/IP.

22
Les supports de transmission
Afin que les informations circulent au sein d'un réseau, il est nécessaire de relier les différentes unités de
communications à l'aide d'un support de transmission. Un support de transmission est un canal physique qui permet
de relier des ordinateurs et des périphériques. Les supports de transmission les plus utilisés sont :
 Les câbles,
 La fibre optique et
 Les systèmes sans fil.
Le câble est le type de support de transmission le plus ancien, mais aussi le plus utilisé. Le câble est généralement
constitué de fils de cuivre recouverts par une gaine plastique. C'est le support le moins cher. Il existe trois types de
câbles : la paire torsadée non blindée et la paire torsadée blindée (1), le coaxial (2). La fibre optique (3) est un
support de transmission très utilisé dans les réseaux de grandes tailles. Le principe de la fibre optique est
d'acheminer des informations en envoyant des signaux lumineux dans un conducteur central en verre ou en
plastique. Cette solution permet de transmettre très rapidement des informations, mais coûte encore cher. Sur les
réseaux où les ordinateurs sont distants ou ne peuvent être connectés physiquement, la solution consiste à utiliser un
support de transmission sans fil (4). Ces réseaux sans fil utilisent généralement : les rayons infrarouges, les micro-
ondes, les ondes radio ou encore un satellite.
1. Les câbles à paires torsadées

Les câbles à paires torsadées (twisted pair cables) sont des câbles constitués au moins de deux brins de cuivres
entrelacés en torsade (le cas d’une paire torsadée) et recouverts des isolants. En réseau informatique, on distingue
deux types de câbles à paires torsadées :
 Les câbles STP
 Les câbles UTP
Les câbles STP (shielded twisted pairs) sont des câbles blindés. Chaque paire est protégée par une gaine blindée
comme celle du câble coaxial. Théoriquement les câbles STP peuvent transporter le signal jusqu’à environ 150m à
200m.

23
Les câbles UTP (Unshielded twisted pair) sont des câbles non blindés, c'est-à-dire aucune gaine de protection
n’existe entre les paires des câbles. Théoriquement les câbles UTP peuvent transporter le signal jusqu’à environ
100m.
Les câbles à paires torsadées possèdent 4 paires torsadées. Pour les utiliser, on utilise les connecteurs RJ 45 (des
connecteurs proches aux RJ 11).
2. Les câbles coaxiaux :

Le câble coaxial est composé d’un fil de cuivre entouré successivement d’une gaine d’isolation, d’un blindage
métallique et d’une gaine extérieure. On distingue deux types de câbles coaxiaux :
 les câbles coaxiaux fins
 les câbles coaxiaux épais
Le câble coaxial fin (thinNet) ou 10Base-2 (le nom 10 base-2 est attribué grâce à la norme Ethernet qui l’emploie)
mesure environ 6mm de diamètre. Il est en mesure de transporter le signal à une distance de 185m avant que le
signal soit atténué.
Le câble coaxial épais (thickNet) appelé aussi 10Base-5 grâce à la norme Ethernet qui l’emploie, mesure environ
12mm de diamètre. Il est en mesure de transporter le signal à une distance de 500m avant que le signal soit atténué.

24
Pour le raccordement des machines avec les câbles coaxiaux, on utilise des connecteurs BNC.
3. les câbles à fibre optique

La fibre optique reste aujourd’hui le support de transmission le plus apprécié. Il permet de transmettre des données
sous forme d’impulsions lumineuses avec un débit nettement supérieur à celui des autres supports de transmissions
filaires. La fibre optique est constituée du cœur, d’une gaine optique et d’une enveloppe protectrice.
On distingue deux sortes des fibres optiques :

 les fibres multimodes
 les fibres monomodes
Les fibres multimodes ou MMF (Multi Mode Fiber) ont été les premières fibres optiques sur le marché. Le cœur de la
fibre optique multimode est assez volumineux, ce qui lui permet de transporter plusieurs trajets (plusieurs modes)
simultanément. Il existe deux sortes de fibre multimode :
La fibre multimode à saut d’indice et la fibre optique multimode à gradient d’indice. Les fibres multimodes sont
souvent utilisées en réseaux locaux.

25
La fibre monomode ou SMF (Single Mode Fiber) a un cœur si fin. Elle ne peut pas transporter le signal qu’en un seul
trajet. Elle permet de transporter le signal à une distance beaucoup plus longue (50 fois plus) que celle de la fibre
multimode. Elle utilisé dans des réseaux à long distance.
4. Les liaisons infrarouges

La liaison infrarouge est utilisée dans des réseaux sans fil (réseaux infrarouges). Il lie des équipements infrarouges
qui peuvent être soit des téléphones soit des ordinateurs… théoriquement les liaisons infrarouges ont des débits
allant jusqu’à 100Mbits/s et une portée allant jusqu’à plus de 500m.
5. Les liaisons hertziennes

La liaison hertzienne est une des liaisons les plus utilisées. Cette liaison consiste à relier des équipements radio en
se servant des ondes radio.
Voici quelques exemples des systèmes utilisant la liaison hertzienne :
 Radiodiffusion
 Télédiffusion
 Radiocommunications
 Faisceaux hertziens
 Téléphonie
 Le Wifi

26
 Le Bluetooth
 Liaisons satellite
Les différents systèmes « satellite » sont des supports de transmission d'informations pour relayer les grands
réseaux. Ils utilisent des satellites artificiels placés dans l'espace en orbite autour de la terre. Ces satellites de
télécommunications peuvent utiliser différentes orbites terrestres :
 L'orbite géostationnaire à 36 000 km de la terre.
 L'orbite terrestre basse qui se situe entre 350 et 1400 km de la terre (exemple le réseau satellitaire d'O3b
Networks, Ltd pour Google avec ses 16 satellites de télécommunication pour Internet).
 L'orbite Molniya au-dessus de la Russie.
 L'orbite DoD des Etats-Unis.
Le coût de l'installation, de la mise en service et de la maintenance d'un satellite est très élevé ! Les systèmes «
satellite » offrent une largeur de bande très élevée qui est souvent partagée par de nombreuses entreprises. Quant
au temps d'attente, il est fonction de la position du satellite dans l'espace. A titre d'exemple pour parcourir 36 000 km,
la transmission peut durer de 0,5 à 5 secondes. A noter que la distance que le signal doit parcourir sur la terre est
négligeable par rapport au temps d'attente par satellite.
Composants réseau
Le réseau : Fédérateur du partage des ressources
Parce que la conception, la réalisation et le développement d’un réseau doivent être analysés de manière
approfondie, il est important de bien choisir les équipements et un système de câblage structuré et approprié à ce
réseau local.

27
• Matériel passif
Sur le plan physique, un réseau local se compose d'un ensemble de câbles et de prises spécifiques, issues d’un point
de centralisation souvent constitué d’un coffret ou baies de brassage, qui contiendra le matériel actif, Switch, routeur,
etc.
Les liens constitués de câbles en cuivre ne peuvent pas dépasser une longueur de 90m. Pour des liaisons plus
longues, on a recours à de la fibre optique permettant des distances de plusieurs centaines de mètres.
La connectique utilisée est de type RJ45, norme également adoptée aujourd'hui pour la téléphonie dans les câblages
banalisés VDI (voix, donnée, image).
Il est important que toute la chaine de câblage de la station de travail jusqu'au matériel actif soit de la même classe et
que les éléments soient de la même catégorie, un système de câblage n'a que les performances de son élément le
plus faible.
• Matériel actif
L'appareillage électronique qui fédère les différents organes est essentiellement composés de Switch (ou
commutateurs) ayant remplacés les HUB des premiers réseaux très peu performants.
Ils assurent les échanges entre les composantes du réseau et gèrent les flux. Leur choix s'effectuera selon la
capacité nécessaire et le niveau d'administration requis.
Le point de sortie d'un réseau d'entreprise simple sur le monde extérieur s'appelle un routeur. Cet organe permet de
partager un lien Internet, d'assurer un premier degré de sécurité en s'opposant aux tentatives d'intrusion externes, et
de réaliser des liens privés sécurisés ou "tunnels VPN" vers d'autres réseaux distants.
La sécurité peut être renforcée par l'utilisation d'un "Firewall" dont le rôle est de surveiller dans le détail les échanges
entre le réseau et l'extérieur, de n'autoriser que ce qui est décidé par l'utilisateur, et de détecter toute connexion
suspecte en la refusant si nécessaire.

28
Chap. 2 : Adressage des réseaux
Les @IP
A – les adresses physiques
Chaque appareil connecté au réseau est identifié par un code ou une adresse unique déterminé à la fabrication de la
carte réseau.
Cet identifiant s'appelle l'adresse MAC (Media Access Control) et se présente sous la forme d'une suite de 6 octets
souvent noté en hexadécimal.
B – les adresses logiques

Le rôle de l'adressage logique IP permet de mettre en place un système d'identification permettant de localiser un
poste avec efficacité. C'est l’adresse Internet Protocol ou @IP.
L’adresse IP est constituée de deux parties : l'adresse du réseau et l'adresse de la machine (hôte), c’est-à-dire qu’elle
identifie à la fois l’adresse du réseau et l’adresse d'une machine dans ce réseau (ou plus précisément de l'interface
d'une machine).
On distingue deux types d’@IP :

 L’adresse IPv4 (sur 32 bits, soit 4 octets)
 L’adresse IPv6 (sur 128 bits, soit 16 octets).
B1 - l’@IPv4
Une adresse IPv4 est une adresse logique codée sur 32 bits présentée sous forme d'un groupement de 4 octets
séparés par des points. Pour faciliter la lecture et la manipulation de cette adresse on la représente plutôt en notation
décimale pointée.
La structure d’une adresse IP d’un équipement, codée sur 4 octets, contient à la fois un identifiant réseau (NetID) et
un identifiant équipement (HostID)

29
1 - Classes d’adresses IPv4
En fonction du nombre d’équipements pouvant être connectés à un réseau, les adresses IP appartiennent à la classe
A, B ou C. (il existe deux autres classes : la classe D et la classe E). Le format d’une adresse IP selon sa classe est le
suivant :
L’adresse IP du réseau est une adresse IP avec tous les bits de la partie « ID Hôte » à 0. C’est donc une adresse
réservée et non attribuable à un équipement. Une autre combinaison est réservée. C’est celle où tous les bits de la
partie « ID Hôte » sont à 1. Cette adresse est l’adresse de diffusion (broadcast) et sert à désigner tous les hôtes du
réseau.
Classe A de 0 à 127
Le premier octet a une valeur comprise entre 1 et 126 ; soit un bit de poids fort égal à 0. Ce premier octet désigne
le numéro de réseau et les 3 autres correspondent à l'adresse de l'hôte.
L'adresse réseau 0.0.0.0 est réservée pour les routes par défaut tandis que l’adresse 127.0.0.0 est réservée pour
les communications en boucle locale. La plage allant de 10.0.0.0 à 10.255.255.255 est réservée à l’utilisation
privée et ne sont pas routable sur internet.

30
Classe B de 128 à 191
Le premier octet a une valeur comprise entre 128 et 191 ; soit 2 bits de poids fort égaux à 10. Les 2 premiers
octets désignent le numéro de réseau et les 2 autres correspondent à l'adresse de l'hôte. La plage allant de
172.16.0.0 à 172.31.255 est réservée à l’utilisation privée et ne sont pas routable sur internet
Classe C de 192 à 223

Le premier octet a une valeur comprise entre 192 et 223 ; soit 3 bits de poids fort égaux à 110. Les 3 premiers
octets désignent le numéro de réseau et le dernier correspond à l'adresse de l'hôte. La plage allant de
192.168.0.0 à 192.168.255.255 est réservée à l’utilisation privée et ne sont pas routable sur internet.
Récapitulatif : Cas particuliers d’adresses pour Administrateurs Réseaux.

31
2 - Masque de réseau ou sous-réseau
Une adresse IP est toujours associée à un « masque de réseau », c’est grâce à celui-ci que l’on peut extraire de
l’adresse IP, le N° de la machine et le réseau / sous réseau auquel il appartient.
Par défaut, lorsqu’il n’y a pas de sous réseaux, les masques sont :
 En classe A : 255.0.0.0
 En classe B : 255.255.0.0
 En classe C : 255.255.255.0
Pour déterminer l’adresse réseau à partir d’une adresse IP, on effectue l’opération logique suivante :
Tableau récapitulatif
3 - Adresses publiques / Adresses privées

Les adresses publiques sont celles qu’il est possible d’utiliser pour une connexion à l’Internet. Elles sont attribuées
par l’IANA (Internet Assigned Numbers Authority) auprès de qui il faut s’enregistrer.

32
A moins de disposer d’un PROXY (serveur Mandataire) ou d’un service NAT (Network Address Translation), tout
ordinateur d’un réseau local voulant se connecter à Internet doit disposer de sa propre adresse IP. Grâce au service
NAT, une seule adresse IP publique est nécessaire (elle est attribuée à l’ordinateur disposant de la connexion directe
à Internet). Les autres ordinateurs du réseau doivent cependant disposer de leurs propres adresses IP privées pour
communiquer entre eux et avec le serveur NAT. L’IANA a spécifié, pour chaque classe d’adresses, une plage d’ID
réseau qui n’est pas employée sur l’Internet. Ces adresses dites privees peuvent être utilisées sans risque sur un
réseau local.
B2 - Les @IPv6
1 - Présentation de l'adressage IPv6
Les adresses IPv6 sont assignées à des interfaces, plutôt qu'à des nœuds, dans la mesure où un nœud peut
disposer de plusieurs interfaces. De plus, vous pouvez assigner plusieurs adresses IPv6 à une interface.
IPv6 définit trois types d'adresse :
 Unicast : Identifie l'interface d'un nœud individuel.
 Multidiffusion : Identifie un groupe d'interfaces, en règle générale sur des nœuds différents. Les paquets
envoyés à l'adresse multidiffusion vont à tous les membres du groupe multidiffusion.
 Anycast : Identifie un groupe d'interfaces, en règle générale sur des nœuds différents. Les paquets envoyés à
l'adresse anycast vont au nœud membre du groupe anycast le plus proche de l'expéditeur.
2 - Structure de l'adresse IPv6

Une adresse IPv6 est longue de 128 bits et se compose de huit champs de 16 bits, chacun étant délimité par deux
points (:). Chaque champ doit contenir un nombre hexadécimal, à la différence de la notation en format décimal
pointé des adresses IPv4. Dans l'illustration suivante, les x représentent des nombres hexadécimaux.
Exemple : Format d'adresse IPv6 de base

33
Les trois champs situés complètement à gauche (48 bits) contiennent le préfixe de site. Le préfixe décrit la topologie
publique allouée en général à votre site par un FAI ou un registre Internet régional (RIR, Regional Internet Registry).
Le champ suivant correspond à l'ID de sous-réseau de 16 bits alloué au site (par vous ou par un autre
administrateur). L'ID de sous-réseau décrit la topologie privée, appelée également topologie de site, car elle est
interne au site. Les quatre champs les plus à droite (64 bits) contiennent l'ID d'interface, également appelée jeton.
L'ID d'interface est soit configurée automatiquement à partir de l'adresse MAC de l'interface, soit configurée
manuellement au format EUI-64.
Soit à nouveau l'adresse de l'exemple ci-dessus
2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b
Cet exemple illustre les 128 bits d'une adresse IPv6. Les premiers 48 bits soit 2001:0db8:3c4d, contiennent le préfixe
de site, représentant la topologie publique. Les 16 bit suivants, 0015, contiennent l'ID de sous-réseau. Ils représentent
la topologie privée du site. Les 64 bits situés complètement à droite, 0000:0000:1a2f:1a2b, contiennent l'ID
d'interface.
3 - Abréviation d'adresses IPv6
En général, les adresses IPv6 n'occupent pas la totalité des 128 bits dont elles disposent. Par conséquent, certains
champs sont renseignés partiellement ou en totalité par des zéros.
L'architecture d'adressage IPv6 vous permet d'utiliser la notation à deux points (::) pour représenter les champs de
zéros contigus de 16 bits. Vous pouvez par exemple raccourcir l'adresse IPv6 en exemple en remplaçant les deux
champs de zéros contigus de l'ID d'interface par deux deux-points. L'adresse devient alors :
2001:0db8:3c4d:0015:1a2f:1a2b. Les autres champs de zéros peuvent être représentés par un seul 0. Vous pouvez

34
également omettre tout zéro de début d'un champ, en remplaçant par exemple 0db8 par db8. Par conséquent,
l'adresse 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b peut être raccourcie en 2001:db8:3c4d:15:::1a2f:1a2b. Vous
pouvez utiliser la notation à deux deux-points afin de remplacer les champs contigus composés de zéros de l'adresse
IPv6. Par exemple, l'adresse IPv6 2001:0db8:3c4d:0015:0000:d234::3eee:0000 peut être raccourcie en
2001:db8:3c4d:15:0:d234:3eee::.
4 - Préfixes d'IPv6
Les champs de l'adresse IPv6 situés complètement à gauche contiennent le préfixe utilisé pour le routage des
paquets IPv6. Le format des préfixes IPv6 est le suivant :
préfixe/longueur en bits
La longueur du préfixe est indiquée en notation CIDR. La notation CIDR correspond à un slash (/) à la fin de
l'adresse, suivi de la longueur du préfixe en bits. Le préfixe de site d'une adresse IPv6 occupe jusqu'à 48 des bits
situés complètement à gauche de celle-ci. Par exemple, le préfixe de site de l'adresse IPv6
2001:db8:3c4d:0015:0000:0000:1a2f:1a2b/48 réside dans les 48 bits situés complètement à gauche, soit
2001:db8:3c4d. Vous pouvez représenter ce préfixe de la façon suivante, avec zéros compressés :
2001:db8:3c4d:/48
Remarque : Le préfixe 2001:db8:/32 est un préfixe IPv6 spécial utilisé spécifiquement dans les exemples de
documentation.
Vous pouvez spécifier un préfixe de sous-réseau définissant la topologie interne du réseau vers un routeur. Le préfixe
de sous-réseau de l'exemple d'adresse IPv6 est le suivant. 2001:db8:3c4d:15:/64. Le préfixe de sous-réseau contient
toujours 64 bits. Ceux-ci se décomposent en 48 bits pour le préfixe de site et 16 bits pour l'ID de sous-réseau. Les
préfixes suivants sont réservés à un usage spécial :
 2002:/16 : Indique qu'un préfixe de routage 6to4 suit.
 fe80:/10 : Indique qu'une adresse lien-local suit.
 ff00:/8 : Indique qu'une adresse multidiffusion suit.
Adresses unicast
IPv6 inclut deux assignations différentes d'adresses unicast :
 adresse unicast globale ;
 adresse lien-local.
Chapitre 3 : Segmentation et notions de sous réseaux.
Le découpage d'une classe en sous-réseaux permet de compenser les problèmes de distribution de l'espace
d'adressage IP. La solution utilisée a consisté à découper une classe d’adresses IP A, B ou C en sous-réseaux.
Cette technique appelée subnetting ou sous réseautage a été formalisée et normalisée en 1985 avec le
document RFC950.

35
Si cette technique est ancienne, elle n'en est pas moins efficace face aux problèmes d'exploitation des réseaux
contemporains. Il ne faut jamais oublier que le découpage en réseaux ou sous-réseaux permet de cloisonner les
domaines de diffusion. Les avantages de ce cloisonnement de la diffusion réseau sont multiples.
Au quotidien, on évite l'engorgement des liens en limitant géographiquement les annonces de services faites par
les serveurs de fichiers. Les services Microsoft™ basés sur NetBT sont particulièrement gourmands en diffusion
réseau. En effet, bon nombre de tâches transparentes pour les utilisateurs supposent que les services travaillent
à partir d'annonces générales sur le réseau. Sans ces annonces par diffusion, l'utilisateur doit désigner
explicitement le service à utiliser. Le service d'impression est un bon exemple.
Il existe de grandes quantités de vers et/ou virus dont les mécanismes de propagation se basent sur une
reconnaissance des cibles par diffusion. Le ver Sasser en est un exemple caractéristique. En segmentant un
réseau en plusieurs domaines de diffusion, on limite naturellement la propagation de code malveillant. Le
subnetting devient alors un élément de la panoplie des outils de sécurité.
Pour illustrer le fonctionnement du découpage en sous-réseaux, on utilise un exemple pratique. On reprend

l'exemple de la classe C 192.168.1.0 dont le masque réseau est par définition 255.255.255.0. Sans découpage,
le nombre d'hôtes maximum de ce réseau est de 254. Considérant qu'un domaine de diffusion unique pour 254
hôtes est trop important, on choisit de diviser l'espace d'adressage de cette adresse de classe C. On réserve 3
bits supplémentaires du 4ème octet en complétant le masque réseau. De cette façon on augmente la partie
réseau de l’adresse IP et on diminue la partie hôte.
Exemple : Tableau des adresses issues de l’emprunt de 3 bits à 192.168.1.0
Adresse réseau 192.168. 1. 0 Plage d'adresses utilisables Adresse de diffusion

Masque de réseau 255.255.255.224
Sous-réseau 0 192.168. 1. 0 192.168.1. 1 - 192.168.1. 30 192.168.1. 31
Sous-réseau 1 192.168. 1. 32 192.168.1. 33 - 192.168.1. 62 192.168.1. 63
Sous-réseau 2 192.168. 1. 64 192.168.1. 65 - 192.168.1. 94 192.168.1. 95
Sous-réseau 3 192.168. 1. 96 192.168.1. 97 - 192.168.1.126 192.168.1.127
Sous-réseau 4 192.168. 1.128 192.168.1.129 - 192.168.1.158 192.168.1.159
Sous-réseau 5 192.168. 1.160 192.168.1.161 - 192.168.1.190 192.168.1.191
Sous-réseau 6 192.168. 1.192 192.168.1.193 - 192.168.1.222 192.168.1.223
Sous-réseau 7 192.168. 1.224 192.168.1.225 - 192.168.1.254 192.168.1.255
NB très important : Selon les termes du document RFC950, les sous-réseaux dont les bits de masque sont tous à
0 ou tous à 1 ne devaient pas être utilisés pour éviter les erreurs d'interprétation par les protocoles de routage dits
classfull comme RIPv1.

36
En effet, ces protocoles de routages de « première génération » ne véhiculaient aucune information sur le
masque sachant que celui-ci était déterminé à partir de l'octet le plus à gauche. Dans notre exemple ci-dessus, il
y avait confusion aux niveaux de l'adresse de réseau et de diffusion.
L'adresse du sous-réseau 192.168.1.0 peut être considérée comme l'adresse réseau de 2 réseaux différents :
celui avec le masque de classe C (255.255.255.0) et celui avec le masque complet après découpage en sous-
réseaux (255.255.255.224).
De la même façon, l'adresse de diffusion 192.168.1.255 est la même pour 2 réseaux différents : 192.168.1.0 ou
192.168.100.224.
Depuis la publication du document RFC950, en 1985, les protocoles de routage qui servent à échanger les tables
d'adresses de réseaux connectés entre routeurs ont évolué. Tous les protocoles contemporains sont conformes
aux règles de Routage Inter-Domaine sans Classe (CIDR). Les protocoles tels que RIPv2, OSPF et BGP
intègrent le traitement des masques de sous-réseaux. Ils peuvent même regrouper ces sous-réseaux pour
optimiser le nombre des entrées des tables de routage. Pour appuyer cet argument, le document RFC1878 de
1995 spécifie clairement que la pratique d'exclusion des sous-réseaux all-zeros et all-ones est obsolète.
Le tableau ci-après donne un aperçu sur les masques de sous-réseaux de classe A à la classe C et un résumé
complet sur les emprunts de bits.

37
38
39
Conversion binaire
Algorithme de conversion universel

40
Création des sous réseaux

41
L’un des principaux rôles de la couche réseau consiste à fournir un mécanisme d’adressage des hôtes. Au fur et
à mesure que le nombre d’hôtes augmente, la gestion et l’adressage du réseau exigent davantage de
planification.
Division de réseaux
Au lieu d’avoir tous les hôtes partout connectés à un seul vaste réseau global, il s’avère plus pratique et gérable
de les grouper en réseaux spécifiques. Historiquement, les réseaux IP constituent à l’origine un grand réseau. À
mesure que ce réseau unique s’est étendu, les soucis liés à sa croissance ont également augmenté. Pour réduire
ces problèmes, le grand réseau a été séparé en réseaux plus petits, interconnectés. Ces réseaux plus petits sont
souvent appelés sous-réseaux. Réseau et sous-réseau sont des termes souvent utilisés de manière
interchangeable pour désigner tout système de réseau rendu possible par les protocoles de communication
communs partagés du modèle TCP/IP.
De même, au fur et à mesure que les réseaux s’étendent, ils deviennent trop grands pour être gérés comme un
seul réseau. Aussi, Les problèmes courants ainsi rencontrés par ces grands réseaux sont les suivants :
 La dégradation des performances
 Les problèmes de sécurité
 La gestion des adresses
Il convient alors de diviser le réseau. La planification de la division du réseau implique de regrouper dans le
même réseau les hôtes ayant des facteurs communs. Ainsi, les réseaux peuvent être groupés en fonction de
facteurs incluant :
 L’emplacement géographique
 L’objet
 La propriété
La création de sous-réseaux permet de créer plusieurs réseaux logiques à partir d’un seul bloc d’adresses.
Nous créons les sous-réseaux au moyen d’un ou de plusieurs bits d’hôte en tant que bits réseau. Pour cela, il
convient de développer le masque pour emprunter quelques bits de la partie hôte de l’adresse et créer d’autres
bits réseau. Plus les bits d’hôte utilisés sont nombreux, plus le nombre de sous-réseaux qui peuvent être définis
est important. Pour chaque bit emprunté, il faut doubler le nombre de sous-réseaux disponibles. Par exemple, en
empruntant 1 bit, on peut définir 2 sous-réseaux. En empruntant 2 bits, on peut définir 4 sous-réseaux. Toutefois,
pour chaque bit emprunté, le nombre d’adresses disponible par sous-réseau décroît.
Exemple : Avec un bloc d’adresses de 192.168.1.0 /24, nous créons deux sous-réseaux. Nous empruntons un bit
de la partie hôte en utilisant le masque de sous-réseau 255.255.255.128, à la place du masque d’origine
255.255.255.0. Le bit le plus significatif du dernier octet est utilisé pour distinguer les deux sous-réseaux. Pour
l’un des sous-réseaux, ce bit est un 0 et pour l’autre, un 1.

42
Formule de calcul des sous-réseaux
Utilisez la formule suivante pour calculer le nombre de sous-réseaux :
2n où n = le nombre de bits empruntés
Dans notre exemple, nous obtenons :
21 = 2 sous-réseaux
Le nombre d’hôtes
Pour calculer le nombre d’hôtes par réseau, il faut utiliser la formule 2 n - 2 où n = le nombre de bits laissés pour
les hôtes.
Après application de cette formule, (2 7 - 2 = 126), on déduit que chacun de ces sous-réseaux peut avoir 126
hôtes.
Pour chaque sous-réseau, examinons le dernier octet dans sa forme binaire. Les valeurs de cet octet pour les
deux réseaux sont les suivantes :
Sous-réseau 1 : 00000000 = 0
Sous-réseau 2 : 10000000 = 128
Maintenant que les sous réseaux ont été créés, l’Administrateur réseau se doit de les mettre en œuvre pour
implémenter son réseau. Il adoptera un plan d’adressage en rapport avec le sous réseau choisi et adressera
chaque machine de manière statique ou dynamique.

43
DEUXIÈME PARTIE : ADMINISTRATION D’UN RÉSEAU
Maintenant que vous avez fini de mettre en place le réseau local : les cartes réseau installées : (une par PC à
connecter), un commutateur (ou plusieurs) ainsi que les câbles,
Il est important de passer au test du réseau. Le test consiste à vérifier si les connexions physiques et logiques
sont correctes et normalisées.
Chapitre 1 : Installation d’un réseau et mise en place d’un système de câblage.
Les choix de base
Quel réseau choisir ?

Tout d’abord, quel type de réseau retenir ? Ethernet (gestion des collisions sur un bus) ou Token-Ring (gestion
d’un jeton sur un anneau) ?
Question performances, les deux se valent, même si, à débit égal, il y a un léger avantage à utiliser Token-Ring.
Cependant, Ethernet détient plus de 85 % du marché et a toujours été techniquement en avance sur Token-Ring.
Si l’on doit créer soi-même un réseau à partir de rien, autant se lancer dans Ethernet : c’est plus simple et le
moins cher.
Si, dans une entreprise, Token-Ring est déjà bien implanté, on peut envisager de poursuivre dans cette voie.
Mais une migration vers Ethernet est toujours envisageable : tout n’est qu’une question de retour sur
investissement.
Quelle topologie adopter ?

Historiquement, le bus a été la première topologie pour Ethernet : elle repose sur un câble spécifique en cuivre,
appelé câble coaxial, qui parcourt tous les bureaux dans lesquels il y a un PC à connecter.
.
Mais il faut dire qu’avec l’avènement de câble UTP/FTP, l’Ethernet en étoile est la solution la plus évolutive
lorsque l’on veut connecter quelques PC qui sont regroupés dans une seule pièce.
Les besoins en matériels
Les cartes réseau

Chaque PC a besoin d’un équipement capable de « parler Ethernet » : c’est le rôle de la carte réseau, dite carte
Ethernet, et souvent appelée NIC (Network Interface Card). Elle s’insère dans un emplacement (slot) du PC qui
lui est réservé mais de nos jours cette carte est directement intégrée au PC quel que soit la nature de ce dernier.
Il existe plusieurs types de cartes Ethernet qui se distinguent par leur connecteur :
 BNC pour l’Ethernet fin en bus ;
 RJ45 pour l’Ethernet en étoile ;
 AUI pour l’Ethernet en bus ou en étoile.
Certaines cartes proposent une combinaison de deux de ces prises, voire les trois.
Les cordons de raccordement

Le cordon de raccordement (également appelé cordon de brassage) est nécessaire pour connecter chaque carte
réseau au concentrateur. Pour notre réseau, le plus simple est de poser un câblage volant, c’est-à-dire constitué
uniquement de cordons de brassage.
Le support de transmission que nous avons choisi est un câble de cuivre en paires torsadées UTP dont chaque
extrémité est pourvue d’une prise RJ45. Sa longueur ne doit pas excéder cent mètres, selon la qualité du câble et
de l’environnement électrique. Pensez notamment à éloigner vos câbles de toutes sources de perturbations :

44
appareils électriques tels que la cafetière, le ventilateur, l’aspirateur, le moteur de l’ascenseur, le transformateur
de courant, etc.
Il existe de nombreux types de câbles. Toutefois, pour notre premier réseau, le choix n’a guère d’importance.
Précisons simplement, et sans entrer dans les détails, qu’il est conseillé d’acheter un câble UTP (Unshielded
Twisted Pair), 100 Ohms, catégorie 5. C’est le moins cher, il répond à des normes précises et il est parfaitement
adapté à nos besoins (pour un câblage d’intérieur).
Le câble utilisé entre le PC et le concentrateur doit être droit ; les fils émission et réception ne doivent pas être
croisés. Le croisement est, en effet, réalisé dans la prise RJ45 du concentrateur. Pour s’en assurer, il suffit de
mettre l’un à côté de l’autre les deux connecteurs RJ45 du câble, orientés dans le même sens, et d’examiner la
couleur des huit fils (généralement, le connecteur RJ45 est transparent). Si le câble est droit, les couleurs
apparaissent dans cet ordre (norme 568-A) : Vert Blanc, Vert, Orange Blanc, Bleu, Bleu Blanc, Orange, Marron
Blanc, Marron. Ethernet utilise les fils numérotés 1,2 (émission, Vert Blanc-Vert) et 3,6 (réception, Orange Blanc-
Orange).
Si, en revanche, vous connectez deux PC directement (sans concentrateur), le cordon doit être croisé (ce qui
est logique) ou alors un PC à un Routeur exception à la règle.

45
Les Equipements Réseaux
Des concentrateurs/commutateurs et/ou des routeurs

1. Hub ou concentrateur
Un HUB est une sorte de "prise multiple" pour les connections inter équipement. Un hub contient un nombre
certains d'interfaces (4, 8, 16, 24, ...) sur lesquelles on branche des équipements pour y accéder en général en
TCP (TELNET, FTP, HTTP...).
Le principe du hub est d'envoyer sur chaque interface toutes les informations qui arrivent, sans filtre ni aucun
autre test. La majorité des hubs sont équipés d'un port qui peut être inversé dans le cas où l'on doit brancher un
câble droit, alors qu'il faudrait un câble croisé.
Les hubs sont également utilisés pour dupliquer des prises, tels que les hubs USB pour brancher plusieurs
périphériques USB (par exemple un modem, une souris, une webcam et un scanner).
2. Switch ou commutateur
Un switch est un hub amélioré, mieux un hub intelligent, c'est à dire qu'au lieu d'envoyer les flux à travers toutes
les interfaces, il ne l'envoie qu'à l'interface destination. Donc, un Switch sur lequel 5 serveurs seraient connectés,
si l'un décide de communiquer avec un autre, la communication ne se fera qu'entre les 2, sinon, tous les serveurs
auraient reçu la demande de connexion.
Le Switch peut également limiter des connexions en interdisant des connexions entre 2 machines. Par exemple,
si vous essayer d'accéder à un serveur, il va d'abord vérifier si votre adresse source à le droit d'y accéder. C'est
ce qu'on appelle des ACL (Access List).

46
3. Routeur
Un routeur permet de définir une route pour une connexion distante grâce à la table de routage. La comparaison
peut donc se faire avec un trajet en voiture. Si vous voulez aller de Yaoundé à Douala, entre les 2, vous suivrez
toujours le panneau Douala, même si vous êtes passé par Bandjoun et Nkongsamba. Le routeur correspond en
fait au panneau indicateur qui se trouverait au Bandjoun. Ce panneau dit : vous venez de Yaoundé, vous voulez
aller à Douala, voilà par où aller ou passer.
La table de routage est un ensemble d'adresse IP et de destination (en général, la commande "NetStat -nr"
permet de consulter cette table) et pour une plage d'adresse, elle va vous diriger vers un autre routeur jusqu'à ce
que vous arriviez à destination.
Comme le switch, le routeur peut limiter des connexions en interdisant des communications entre 2 machines.
C'est toujours ce qu'on appelle des ACL (Access List).
4. Terminal server / STX

Un terminal server est un équipement comme un switch, sauf qu'au lieu de relayer des connexions TCP, il relaye
des connexions Série (RS 232). Ceci permet donc de prendre la main sur une machine à distance, sans adresse
IP... pour se faire, on se connecte sur le Terminal Server (avec une adresse IP par exemple), puis, on précise le
port à utiliser. Ce port du STX est relié au port "série" de la machine, et ainsi on peut donc y accéder. L'intérêt est
simple : si une machine est plantée, et qu’on ne peut pas y accéder avec son adresse IP, on y pourra donc via le
port console (autre nom du port série) qui permet malgré tout d'atteindre la machine, et par exemple de la
rebooter...
5. Interface
Une interface est le nom donné aux prises réseau. Sur une interface, on peut mettre une adresse IP physique, et
en général configurée également, si nécessaire, des adresses IP virtuelle. Ainsi, une machine peut répondre sur
plusieurs adresses IP différentes, alors qu'il ne s'agit que d'un seul et unique branchement physique, que d'une
seule interface.
De logiciels de communication
Tout réseau nécessite du matériel et des logiciels, à l’instar d’une connexion à l’Internet qui requiert un driver
(pour piloter la carte réseau), une pile TCP/IP et au moins un navigateur.
Le pilote est fourni par le constructeur de la carte. Cependant, si ce dernier a passé des accords avec Microsoft, il
sera fourni en standard avec Windows. C’est le cas, par exemple, des cartes 3com, Dlink, HP, etc.
La pile TCP/IP est la même que celle utilisée avec l’Internet. En effet, n’importe quel type de carte peut être utilisé
avec différentes piles TCP/IP du marché (celles de Windows — Netmanage — de FTP software — WRQ, etc.).
Cela est rendu possible grâce à une interface d’accès standardisée sous Windows, appelée NDIS (Network
Driver Interface Specification).
Par exemple, lors de l’installation de l’accès distant, Windows a installé un driver NDIS pour votre modem —
driver fourni par le constructeur ou livré en standard avec Windows — qui dispose d’une interface NDIS. Vous
pouvez le vérifier en allant dans le menu
« Démarrer→ Paramètres→ Panneau de configuration→ Réseau » qui affiche l’écran suivant (Windows).

47
Autres outils d’administration
En plus, pour les Responsables d’équipes, les techniciens, ou les simples utilisateurs, il a toujours été une tâche
délicate de gérer un réseau sur une ou quelques plateformes ; Les quelques logiciels ci-dessous nous
apporteront certainement un soulagement quasi-total, quant à la gestion et le développement de réseau.
Les programmes TELNET et terminaux sont souvent utilisés pour faciliter l’accès au poste de chaque utilisateur
du réseau, ou intervenir directement, ce qui est le cas de ANYPLACE Control, qui affiche l’écran du poste à
contrôler sur le vôtre. Celui-ci vous permet d’utiliser la souris et le clavier comme s’il s’agissait de votre PC. Pour
une meilleure gestion du réseau nous avons les outils de contrôle ; qui permettent par exemple de fermer la
connexion internet à votre place-sur un poste ou un autre. Sinon pour ceux qui ne peuvent se passer d’internet,
ces programmes peuvent être programmés pour arrêter automatiquement une connexion en cours (Close
Internet). Ou des logiciels comme CyberPro pour gérer les accès aux ordinateurs, par coupons prépayés, pas
besoin de serveur dédié.
Très intéressant pour les professionnels, les logiciels Ping répondent, à eux seuls, à des demandes d’assurance
quant à la sécurité et la gestion des flux. Il y a des outils Ping qui surveillent les connexions et détectent les pertes
; ils peuvent également rétablir les évènements. L’utilisateur bénéficie ainsi, avec LanAlertCenter par exemple,
d’un outil de surveillance offrant plusieurs méthodes d'analyse : présence d'une machine sur le réseau,
accessibilité d'un partage, accessibilité d'une base de données (tous types), état d'une imprimante réseau, état
d'un service...
Pour les mobiles, il est aussi possible d’intervenir directement par bluetooth, transférer vos fichiers vidéo et audio,
sonneries et images vers différents types de dispositifs portables tels que téléphone portable (AVS Mobile
UpLoader). Ces logiciels qui en fait, réduisent et facilitent la tâche du gestionnaire du réseau, et bon nombre
d’entre eux sont téléchargeables gratuitement et prennent beaucoup moins de temps au téléchargement.
Les logiciels réseau sont très nécessaires pour bien gérer, presque sans perte, la totalité des flux de données ou
la connexion même sur son réseau. Ils permettent de gérer en totalité le fonctionnement du réseau, d’y intervenir,

48
ou de personnaliser les flux de données en connexion. Professionnels et particuliers y trouverons leur satisfaction
dans l’allègement des tâches de gestion de son réseau.

49
Chapitre 2 : Configuration du réseau et test.
Configuration :
Après avoir installé les cartes réseaux sur les PC (avec leur pilote) et avec l’aide du plan d’adressage effectué
plus haut, on adresse toutes les machines avec la procédure suivante :
«Démarrer → Paramètres → Panneau de configuration → Réseau» qui affiche l’écran suivant (Windows 8.1)
Ou encore

50
Les commandes de test
Les utilitaires de base

Deux programmes doivent faire partie du « kit de survie » de tout administrateur réseau : PING et
TRACEROUTE.
La commande PING
La commande de base est le PING (Packet INternet Groper). Ce programme permet de savoir si une station IP
est active et, plus généralement, si la liaison réseau fonctionne correctement entre deux points, par exemple,
entre votre PC et le serveur de Londres. Autre fonction intéressante, le programme donne également le temps de
réponse mesuré.
La commande PING s’appuie sur le protocole ICMP (Internet Control Message Protocol) qui fait partie de la
couche IP. Ce protocole est utilisé pour toutes les opérations qui ont trait à la gestion du réseau IP, et ce, de
façon transparente pour les utilisateurs
Le temps de réponse varie entre 80 ms et 90 ms. C’est le temps mis

par le paquet ICMP_ECHO_REQUEST pour aller jusqu’au serveur
+ le temps mis par le paquet ICMP_EGHO_REPLY pour revenir
jusqu’au PC.
Sous Windows NT, le TTL par défaut est de 128. Vous pouvez le modifier
dans la base des registres Windows : HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL
La commande TRACEROUTE
L’autre commande de base est le TRACEROUTE. Ce programme utilise des mécanismes propres à IP et ICMP
pour afficher à l’écran la route empruntée par un paquet IP en plus du temps de réponse. Son principe de
fonctionnement est le suivant :
Le programme envoie un paquet ICMP_echo_request à destination de la machine cible avec un TTL (Time To
Live) égal à 1.
Le premier routeur reçoit ce paquet, décrémente le TTL de 1, et constate qu’il est égal à 0. Il détruit le paquet, et
renvoie à l’émetteur un message ICMP_Time_exceeded.
Le programme enregistre l’adresse IP du routeur qui a envoyé ce message ainsi que le temps écoulé depuis
l’émission du paquet ICMP_Echo_request.
Le programme continue de même en incrémentant le TTL de 1 à chaque paquet ICMP_Echo_request émis. Le
paquet ira donc un saut plus loin que le précédent, et le routeur suivant répondra.

51
Les adresses affichées sont celles des
interfaces des routeurs qui ont émis le
message ICMP_TIME_EXCEEDED et,
en dernier, celle de la station cible qui,
elle, renvoie un ICMP_ECHO_REPLY.
La version Windows de TRACEROUTE procède à
trois essais à chaque saut et affiche trois temps de
réponse.
Observer ce qui se passe sur son réseau

Si votre réseau présente un dysfonctionnement et que, malgré toutes vos investigations, vous n’avez pas trouvé
d’où provient le problème, il ne vous reste plus qu’à l’ausculter, c’est-à-dire observer les données qui y circulent.
Même lorsque le réseau semble bien fonctionner, il n’est pas inutile d’y jeter un coup d’œil, car bien souvent des
erreurs (collision, paquets corrompus, flux non identifié, trafic censé ne pas être présent sur ce segment, etc.) se
produisent. Ces erreurs ne sont alors pas perceptibles, mais peuvent le devenir sous certaines conditions, par
exemple lorsque la charge ré- seau augmente. Une maintenance préventive permet donc d’éviter le pire.
L’analyseur réseau est l’outil tout indiqué pour ce type de situation. Il permet :
 De capturer toutes les trames qui circulent sur un segment Ethernet ;
 D’analyser le contenu de toutes les couches réseau, de la trame aux données applicatives en passant
par le paquet IP ;
 De déterminer si des erreurs se produisent (collision, erreur de transmission, etc.) et en quelle
proportion ;
 De connaître les temps de réponse précis (au millième de seconde près).
En positionnant des filtres, il est possible de suivre précisément les échanges entre deux stations, soit à partir de
leurs adresses MAC, soit à partir de leurs adresses IP.

52
L’analyseur réseau peut également être utilisé comme outil d’analyse pour :
 Mesurer la volumétrie générée par une application entre un client et un serveur ;
 Évaluer la part de responsabilité du réseau, du serveur et du client dans le temps de réponse global entre
un client et un serveur ;
 Surveiller la charge du réseau pendant 24 heures ou sur une semaine ;
 Déterminer quelles stations génèrent le plus de trafic ;
 Déterminer la répartition du trafic par protocole, par adresse IP, etc.
Enfin, l’analyseur réseau offre souvent des fonctions évoluées, telles que :
 Une minuterie (triger) qui permet de déclencher et d’arrêter la capture sur réception d’une trame
particulière (adresse, données, etc.) ;
 Un générateur de trafic pour vérifier le comportement du réseau et des applications à pleine charge (par
exemple si trop d’erreurs surviennent à partir d’une certaine charge, le câblage est sans doute en
cause) ;
 La possibilité de rejouer un échange de trames préalablement capturées
Piloter son réseau
Si votre réseau prend de l’ampleur - le nombre des équipements (routeurs, concentrateurs, commutateurs, etc.)
augmente, et que ces derniers sont répartis sur différents sites —, il devient de plus en plus nécessaire de
centraliser la gestion des équipements.
Pour ce faire, la famille des protocoles TCP/IP propose le protocole SNMP (Simple Network Management
Protocol) qui permet l’échange d’informations entre une station d’administration (le client) et des agents (les

53
serveurs) implantés dans chaque équipement. On parle alors d’agent SNMP ; celui-ci se présente sous forme
d’un petit programme qui répond aux requêtes SNMP émises par la station d’administration.
Quelle station d’administration ?

Une station d’administration, ou plate-forme d’administration, est constituée d’un ordinateur sous Windows
NT/Server ou sous Unix, ainsi que d’un logiciel, tel qu’OpenView de Hewlett-Packard, Tivoli d’IBM, Unicenter de
Computer Associates, Spectrum de Cabletron, etc.
Ces logiciels haut de gamme sont en fait des boîtes à outils sur lesquelles s’installent des modules dédiés à
chaque constructeur (CiscoView pour les équipements Cisco, Optivity pour ceux de Bay Networks, etc.). Ces
modules peuvent, par ailleurs, fonctionner de manière autonome.
L’intérêt d’une telle plate-forme est de fédérer la gestion d’un parc d’équipements hétérogène autour d’une
gestion centralisée des alarmes et d’une carte réseau sur laquelle s’affichent les équipements découverts
dynamiquement.
En fait, les plates-formes d’administration nécessitent un paramétrage très important dont le coût peut être plus
élevé que celui du matériel et du logiciel réunis. Elles sont pour cela réservées aux grands réseaux, notamment
chez les opérateurs.
Pour un réseau de plus petite taille, il est préférable d’utiliser les modules des constructeurs en mode autonome :
si vous disposez d’un parc d’équipements homogène, nul besoin d’investir dans une «usine à gaz ». L’intérêt est
de pouvoir visualiser graphiquement les équipements et de cliquer sur les cartes et ports que vous voulez
configurer.
Certains administrateurs de grands réseaux se dispensent même de ce type de logiciel, préférant utiliser Telnet,
TFTP et les fichiers de configuration en mode texte, le ping et le traceroute étant utilisés pour les dépannages
quotidiens

54
Configurer automatiquement ses PC
La configuration des PC peut s’avérer fastidieuse et être source d’erreurs : adresses dupliquées, masques
incorrects, etc. Le protocole DHCP (Dynamic Host Configuration Protocol) permet d’automatiser ces tâches à
l’aide d’un serveur qui héberge les configurations. La plupart des piles IP, dont celle de Microsoft, intègrent un
client DHCP. L’unique configuration nécessaire sur les PC consiste à indiquer l’option «Obtenir l’adresse IP par
un serveur DHCP» lors de la configuration de la carte réseau

55
Quelle utilisation de DHCP ?
Que vous disposiez de 10 ou 10 000 postes de travail, DHCP sera tout aussi simple à configurer et, dans tous les
cas, il vous facilitera la vie. Ce protocole permet, avant tout, d’affecter une adresse IP à une station pendant une
durée limitée. À chaque initialisation et lorsque la période de validité (bail) est expirée, le PC demande une
nouvelle adresse. Cela procure plusieurs avantages :
 Il n’y a plus de risque d’erreur lié à une configuration manuelle.
 Lorsqu’un PC est déplacé et qu’il change de réseau IP, il n’est plus nécessaire de modifier son adresse
IP.
En considérant que tous les PC ne se connectent pas en même temps, on peut utiliser un pool de 253 adresses
(une classe C) pour connecter 500 PC, par exemple. Un ratio de un pour quinze est généralement utilisé par les
ISP. Cela permet de pallier la pénurie d’adresses publiques.
On peut également affecter l’adresse de façon permanente, mais on perd alors tous les avantages énumérés
précédemment. Plus intéressant, l’utilisation de DHCP peut être étendue à la configuration de tous les
paramètres réseau du PC (liés à la famille TCP/IP ou à d’autres protocoles), tels que le routeur par défaut, le
masque IP ou encore le TTL par défaut. Cela procure de nouveaux avantages pour l’administrateur réseau :
 Tous les équipements réseau disposent des mêmes paramètres, ce qui assure une meilleure stabilité de
fonctionnement de l’ensemble.
 Tout changement de configuration réseau est automatisé. Des opérations complexes, telles que la
migration vers un nouveau plan d’adressage ou l’application d’un paramètre TCP permettant d’optimiser
le réseau, sont rendues extrêmement simples et rapides.
Les matériels réseaux (routeurs, agents SNMP, etc.) ainsi que les serveurs doivent disposer d’adresses fixes, car
ils doivent être connus de tous. Ils peuvent faire appel à DHCP pour obtenir une adresse permanente que vous
aurez préalablement réservée ou pour obtenir des paramètres de configuration IP.
Comment configurer un serveur DHCP ?

Pour installer le serveur sous Windows NT, il faut se rendre dans la configuration des services IP: «Démarrer→
Paramètres→ Panneau de Configuration→ Réseau→ Services→ Ajouter».
Pour configurer le serveur DHCP, cliquez sur « Démarrer→ Programmes→ Outils d’administration→
Gestionnaire DHCP ». Nous prenons l’exemple de Windows NT, mais le principe est le même sous Unix ou
Linux.

56
Définir les pools d’adresses
La première étape consiste à définir des pools d’adresses dans lesquels le serveur va prendre les adresses
disponibles pour les affecter aux stations qui en feront la demande. Conformément à notre plan d’adressage,
nous avons découpé notre espace d’adressage en trois parties.
Rappelons qu’il est souvent souhaitable de limiter le découpage à deux tranches :
 Une pour les équipements réseau et serveur,
 Une pour les postes de travail.
Les deux premières parties peuvent donc être fusionnées.
Plage d’adresses Affectation

Équipements réseau (routeurs, hubs, switches, etc.).
Les adresses seront fixes, et seules les options seront distribuées
(éventuellement des images de boot). Cela implique
De 0.1 à 0.64
de référencer tous les équipements concernés (noms et adresses MAC
notamment).
Durée de validité des options = 1 semaine.
Serveurs NT, Unix, etc.
Les adresses seront fixes, et seules les options seront distribuées.
De 0.65 à 0.255
Les options peuvent être communes à tous les serveurs.
Durée de validité des options = 1 semaine.
Postes de travail (PC, etc.).
De 1.0 à 3.254 Adresses et options affectées dynamiquement.
Durée de validité = 12 heures.
Vérifier la configuration de son PC

Plusieurs utilitaires permettent de vérifier le paramétrage TCP/IP de son PC. Sous Windows, il s’agit de la
commande ipconfig et ipconfig /all

57
58
La commande route

59
Chapitre 2 : Nommage des réseaux et interconnexion
Nous aborderons dans ce chapitre les couches applicatives, c’est-à-dire les services réseau. Pour ainsi dire, nous
nous élevons dans les couches supérieures du réseau car, de nos jours, l’administrateur réseau ne peut pas se
contenter de fournir le transport des données. Il doit en faciliter l’accès à ses utilisateurs.
En outre, plus le nombre d’utilisateurs est élevé, plus il est important de simplifier les tâches administratives. Il
convient donc d’utiliser des outils qui simplifient la vie des utilisateurs et celle des exploitants. Le service de nom,
ou DNS (Domain Name System), est le premier d’entre eux.
on apprendra:
 à comprendre le fonctionnement du DNS ;
 à définir un plan de nommage ;
 à configurer les serveurs DNS ;
 à configurer les PC ;
 à interroger la base de données du DNS
Principe du nommage – Service DNS (Domaine Name System)
Sur les réseaux de données, les périphériques sont étiquetés par des adresses IP numériques, ce
qui leur permet de participer à l'envoi et à la réception de messages via le réseau. Cependant, la
plupart des utilisateurs mémorisent très difficilement ces adresses numériques. Pour cette raison,
des noms de domaine ont été créés pour convertir les adresses numériques en noms simples et
explicites.
Sur Internet, ces noms de domaine (par exemple, www.cisco.com) sont beaucoup plus faciles à
mémoriser que leurs équivalents numériques (par exemple, 198.133.219.25, l'adresse numérique du
serveur de Cisco). De plus, si Cisco décide de changer d'adresse numérique, ce changement est
transparent pour l'utilisateur car le nom de domaine demeure www.cisco.com. La nouvelle adresse
est simplement liée au nom de domaine existant et la connectivité est maintenue. Lorsque les
réseaux étaient de petite taille, il était simple de maintenir le mappage entre les noms de domaine et
les adresses qu'ils représentaient. Cependant, les réseaux étant aujourd'hui de plus grande taille et
le nombre de périphériques plus élevé, ce système manuel ne fonctionne plus.
Le protocole DNS (Domain Name System) a été créé afin de permettre la résolution des adresses
pour ces réseaux. Il utilise un ensemble distribué de serveurs qui assurent un service automatisé
pour associer les noms des ressources à l'adresse réseau numérique requise.

60
Principe du DNS
Il est impossible de stocker les données DNS du monde entier sur une seule machine. C'est pour
cela qu'ont été mises en place les délégations : Chaque serveur ne connait que la zone qui lui a été
déléguée mais sait comment accéder au reste du monde.
DNS : Délégation de zônes
SECURITE DES RESEAUX

61
IV.1 Sécurité
Les réseaux sont basés sur le principe de l’autoroute, tout le monde y a accès et c’est à chacun de se protéger.
Pour que tout soit clair, l’administrateur doit prévoir une politique de sécurité précisant les droits d’accès, les
services réseau disponibles, les précautions à prendre, les procédures à suivre lorsqu’une faille a été décelée
dans la protection du réseau et des méthodes de restauration de données. Le rôle de l’administrateur consiste
aussi en la diffusion des information relatives au réseau par les "mailing lists". Des informations intéressantes
sont diffusées régulièrement par le CERT et la DDN. Via les mails list "CERT advisories" et "DDN security
bulletin".
La protection des données et des applications dépend de leur niveau de confidentialité. La protection la plus sûr
est l’isolation physique du réseau.
IV-2.1 – les mots de passe ou Passwords
Les comptes usuels.

Les mots de passes sont à la base de la sécurité d’une machine. Il est donc important de se préserver contre les
mauvaises âmes qui cherchent à ouvrir les portes du système. Des indices importants sur les utilisateurs sont
accessibles par la commande « finger », il est donc vivement recommandé de suivre des précautions
élémentaires.
Tout compte doit comporter un MDP mis à part quelques-uns qui sont alors très restrictifs dans leur utilisation.
 Un mot de passe ne doit être en aucun cas inspiré des informations disponibles par la commande vue
précédemment (finger).
 Un mot de passe ne doit pas être tiré d’un dictionnaire surtout de la langue anglaise.
 Choisir une phrase de huit mots ou plus (Unix ne crypt que huit lettres du mot de passe mais il est
possible d’en taper plus).
 Insérer des caractères, des chiffres, des caractères spéciaux et des majuscules.
 Les mots de passe doivent être changés régulièrement, Une procédure de surveillance des mots de
passe est à établir. [En voici une : copier le fichier /etc/passwd sur une bande, 30 jours plus tard,
comparer le fichier courant avec celui sauvé, avertir les utilisateurs qu’ils doivent changer leur mot de
passe dans les trente jours, vérifier 21 jours après, prévoir un deuxième avertissement, au terme de la
période des 60 jours, faire une dernière vérification et supprimer les comptes rebelles. (L’ utilisateur
pourra toujours retrouver son compte sur une bande de backup.) Cette méthode élimine rapidement les
comptes dormants, les plus compromettants pour la sécurité d’une machine].
Des outils existent comme "npasswd" ou "passwd+" qui permettent de vérifier la validité d’un mot de passe.
 Npasswd : permet à l’utilisateur de choisir son mot de passe mais il doit respecter certains critères
testés par le programme. Il élimine les répétitions de caractères, les caractères impropres, les mots en
minuscules, les mots en majuscules, tous les mots se rapportant aux informations contenues dans les
fichiers lus par "finger" et les mots appartenant à un dictionnaire.
 "Passwd+" propose un jeu de tests plus important et peut être configuré par un langage assez complet.
IV-2.2- l’Identification de l’Utilisateur (UID), GID

Les utilisateurs ont accès à la machine s’ils ont un numéro de 16 bit qui les identifie dans le noyau. Ce numéro
est le User Identification (UID). La correspondance entre nom, le mot de passe.
Il se peut que deux utilisateurs peuvent avoir le même numéro d’identification, dans ce cas le noyau les voit
comme la même personne. Ceci peut poser des problèmes si un intrus veut se faire passer pour quelqu’un. Les

62
UID ont des valeurs réserves, les entiers entre 0 et 9 identifient des fonctions système, les utilisateurs sont
identifiés par des valeurs supérieures 20.
IV-2.2- l’Identification du Groupe, (GID).
Les utilisateurs sont repartis en groupe, chaque groupe est identifié par un numéro : le Group Identification
(GID). L’intérêt de grouper les utilisateurs est de leur donner les mêmes droits sur un certain nombre de fichiers.
Ils peuvent ainsi travailler en commun sur ceux-ci sans se soucier des droits d’accès. La correspondance entre
le numéro de GID, le mot de passe du groupe et les utilisateurs appartenant ce groupe.
Les comptes spéciaux

 Le compte superuser, appelé aussi root, permet l’accès à tous les fichiers. Ce compte est celui à partir
duquel l’administrateur configure et contrôle le système et le réseau. Un groupe est réservé aux
personnes ayant accès à ce compte, il a pour GID 0 et porte souvent le nom de "wheel". On peut
comprendre que ce compte soit la première cible des intrus qui essaient d’accéder à ce privilège.
 Le compte UUCP, est un compte lié à un programme que nous détaillerons plus tard du point de vue de
la scurité.
 Le « daemon » : Chaque démon est un utilisateur particulier, il possède un UID. Les démons sont des
programmes lancés au moment du boot, ils sont souvent des serveurs.
La protection passe par une surveillance,

les administrateurs doivent scruter les fichiers clés et les fichiers relevant les erreurs ou les fichiers où toutes les
actions ont été enregistrées.
Le problème des comptes publiques

On comprend l’utilité des comptes de démonstration ou les comptes à usage publique. Toutefois ceux-ci
représentent une brêche dans la sécurité d’un système. Une solution consiste à imposer une configuration
restrictive. Un interperteur shell restrictif permet de réduire le nombre de commandes accessibles par ces
comptes et une sortie automatique du shell lors de tentatives illicites. Le fichier .profile de ce compte permet de
le configurer en précisant les terminaux qui permettent de d’utiliser ce compte, le shell restrictif, l’interdiction des
ports. Cette solution est toutefois fragile car un utilisateur déjà loggé sous un autre compte pourra y accéder
avec un shell normal.
IV-2.3 Les fichiers
Pour avoir une vue correcte de la vulnérabilité des fichiers, il est important de rappeler comment un fichier est
représente dans le système UNIX. Un fichier est stock sur disque avec un certain nombres d’informations
gérées par UNIX : l’emplacement sur le disque, le type, le taille, ctime, mtime, atime, owner, group. La
commande ls permet d’accéder à ces informations.
-rwx------ 1 denis 245 Apr 2 14:26 .xsession~

drwxr-xr-x 6 denis 512 Nov 13 1992 ALGO
- : plain file d : directory

c : device (printer tty,...)
b : lock device (disk, tape,...) l : link (BSD)
s : socket (BSD)

63
= : FIFO (Sys V)
r : read w : write
x : execute s : set mode
Chmod et Umask sont des commandes UNIX permettant de spécifier ou de modifier le mode des fichiers.
Umask est la commande qui précise le mode par défaut lors de la création d’un fichier ou d’un répertoire. Ceci
est spécifié dans le fichier .login ou .profile ou .cshrc. On soulignera que cette commande s’exécute comme cd
sous le shell courant. Umask fait un & avec le masque où tous les bits sont à un.
SUID et SGID
L’intérêt d’UNIX est que tout a une représentation de fichier. On a pu remarquer que certain fichiers peuvent être
exécutables et donc provoquer la naissance d’un process fils du shell qui a ouvert le fichier exécutable. On peut
donc imaginer que des commandes (donc des fichiers excutables) aient plus de privilèges que les utilisateurs
normaux, ils sont SUID ou SGID. C’est le cas de "passwd" qui a le droit de modifier le le fichier /etc/passwd.
Tout fichier peut devenir SUID ou SGID. Ces fichiers sont représentés par le masque du type : -rwsr-s-r-t.
La dernière lettre signifie que le fichier est "sticky", après sont exécution, il ne sera pas enlevé de la zone
mémoire qui lui est affecté ce qui permet d’y accéder très rapidement. Les premières versions d’UNIX
permettaient de faire une copie du shell avec le privilège SUID au nom du root, cette brêche a été rapidement
colmatée et on ne peut plus faire de copie SUID de shell si l’on est pas déjà root. Il est donc important pour
l’administrateur de connaître tous les fichiers SUID présents.
#find /-perm -002000 -o -perm -004000 -type f -print
Lors du montage des fichiers distants, il est aussi important qu’aucun fichier ne soit exécutables SUID ou SGID
en BSD, la commande est :
#mount -o -nosuid imag:/athena /usr/Athena.

64
IV-2.4 Applications
UUCP et UUX
Ce programme est le premier utilitaire qui fut disponible sous UNIX pour que des machines distantes puissent
communiquer. UUCP est Unix to Unix copy et UUX est Unix to Unix eXecute.
uucp /file imag!/file
Pour la copie d’un fichier sur une machine distante
uucp ensisun!/file imag!/file

Pour la copie de fichier entre deux machines distantes.
Soulignons que en Cshell ! est une commande permettant de rappeler la dernière commande exécutée, il faut
donc préciser le caractére par \!.
Uux permet d’exécuter une commande sur une machine distante en lui précisant le fichier qu’elle doit prendre
en entrée.
uux -system!commande<inputfile
Les ordres et l’adresse du fichier d’entrée sont tout d’abord stockés dans un Spooler en attendant d’être
effectivement executés sur la machine.
Le programme uucico (Unix to Unix Copy in copy out) est chargé de relever le login du uucp et de le comparer
celui du compte uucp de la machine distante qui se trouve dans /etc/passwd. Le fichier exécutable uucp est
SUID uucp (nom de l’utilisateur particulier) ceci limite l’accès au compte uucp et aux fichiers world writable ou
world readable.
Dans la version 2, il existe des fichiers de configuration, on en retiendra trois : USERFILE, l.cmds et l.sys.
L.sys : contient les coordonnées des machines et des personnes qui peuvent accéder au service uucp d’une
machine distante.
L.cmds : contient le PATH local au compte uucp ce qui permet de limiter les exécutables accessibles, suivit des
applications qui peuvent avoir accès aux services de uucp, on inclut souvent rmail, rnews, lpr, who, finger ...
USERFILE : spécifie les répertoires qui peuvent être ouverts par uucp, si la machine distante doit rappeler son
identité et quels fichiers peuvent être transférés.
Précautions : ces fichiers sont a protéger pour que personne puisse les lire à part le root. Le compte uucp doit
contenir le moins de répertoires possibles, il faut donner un login par machine distante et limiter les commandes
utilisables.

65
Les commandes rx
Unix permet aux utilisateurs d’exécuter des commandes sur des machines distantes lorsque les fichiers
hosts.equiv et .rhosts contiennent les coordonnées des machines et des utilisateurs de confiance. Dans ce cas,
les utilisateurs de confiance n’ont pas besoin de préciser un mot de passe.
/etc/hosts.equiv doit contenir le nom des machines ou des groupes de machines qui peuvent accéder aux
services rx sur la machine.
.rhosts est un fichier qui se trouve dans la racine de chaque compte qui contient les comptes qui peuvent entrer
sans mot de passe.
Le cas particulier de rexec est qu’elle demande le mot de passe pour qu’une commande soit exécute localement
et elle renvoie le résultat du test. Ceci peut être une indication de base pour un programme recherchant un mot
de passe. Il est donc vivement conseillé de supprimer rexec du fichier /etc/inetd.conf.
Finger
Cette commande renvoie des informations stockées dans des fichiers réservés à l’utilisateur. Ces informations
telles que le nom, l’adresse, le numéro de téléphone, ... Ces indications peuvent être très utiles pour un
programme de décriptage de mots de passe. Dans des cas sensibles, il est conseillé de désactiver fingerd, le
serveur répondant la demande finger.
Simple Mail Transfert Protocol
Les applications permettant de transférer du courier électronique sont nombreuses. Sendmail est la plus
répendue. Elle fait référence un fichier d’alias : /usr/lib/aliases. Dans sa configuration par défaut, sendmail peut
dérouler des commandes ou ouvrir des shells chez le destinataire sans préciser le mot de passe. Trois
commandes sont dangereuses: debug, wiz et kill, il faut donc vérifier qu’elles ne sont pas valides par une
session Telnet sur localhost smtp. si ces commandes sont valides alors il faut changer de version de sendmail.
Vérifier que des alias decode faisant référence uudecode ne sont pas dans le fichier aliases.
Quelques lignes de /usr/lib/aliases :
Francois.Borderies:borderie@isis Borderies:borderie@isis
Jean-Christophe.Denis:denis@isis Denis:denis@isis
Vérifier que qu’il n’y a pas de mot de passe pour un éventuel «magicien» dans le fichier sendmail.cf :

66
# let the wizarddo what he wants OWstir68ods
est a remplacer par :
#do not let the wizard do anything OW*

67
NFS
Le système de gestion montage d’arborescences de fichiers à travers le réseau conçu par SUN se réfère à un
fichier de configuration /etc/export Chaque système peut préciser les machines auxquelles il permets de
parcourir son arborescence. Il est donc conseillé de ne donner ces droits qu’à des machines de confiance.
D’autre part, il est aussi important de se protéger contre les fichiers exécutables SUID ou SGID qui pourraient
s’y trouver.
Les terminaux
Les terminaux sont souvent nombreux autour d’une machine. les fichiers /etc/ttys ou /etc/tttab contiennent la
liste des écrans en précisant si le root peut se logger directement. En supprimant "secure" de toutes les lignes,
l’administrateur devra donc se logger d’abord sous son nom avant de passer root par la commande su.
Des logiciels de trop
Les applications systat, tftp, link sont à désactiver en les supprimant du fichier /etc/inetd.conf. Les commandes
rx peuvent propager la brèche dans tout le réseau local. Si le niveau de confidentialité est élevé, alors il est
conseillé de désactiver ces services.
IV-2.5 Les protections
Umask, une protection par défaut
Les fichiers privés par défaut sont un moyen de se préserver contre les intrusions. On a vu la commande umask
qui permet de préciser la protection par défaut des fichiers et des répertoires créés.
Le cryptage
Le cryptage est une solution la confidentialité des données. Deux programmes de cryptage sont disponibles
avec le système UNIX : "des" et "crypt". "Des" est un un programme propre UNIX dont l’algorithme a été conçu
dans les années 70. "Crypt" est un programme dont l’algotithme est celui de la machine Enigma, il n’est donc
pas très fiable car le mécanisme de décryptage est connu de tous.
Les firewalls

68
Face à ces nombreuses menaces, il peut sembler nécessaire d’isoler les réseaux locaux du réseau
internationnal. Une solution efficace est la machine "firewalls". C’est une machine qui est placée à la place d’un
routeur IP qui sépare deux réseaux ou le réseau local de Internet. On distingue donc les firewalls internes et les
firewalls externes. La machine firewall a la fonction de serveur de noms et

69
rassemble les services Internet (Telnet, ftp, mail,...) pour tout le réseau qu’elle protège. Ceci nécessite de
créer des comptes dédiés à ces services, ces comptes sont accessibles par un certain nombre de personnes
du réseau. Dans le cas de secteur très sensibles, c’est une possibilité de trier les personnes de confiances qui
peuvent accéder à ces services qui ont tout l’intérêt d’Internet.
Le crontrôle de routage
Les firewalls ont l’avantage d’être très sûrs, mais le désavantage pour des secteurs moins sensibles la
question de la sécurité de limiter considérablement l’accès au réseau Internet. Une solution logicielle consiste
en l’utilisation d’un avantage du protocol IP. Un site peut être isolé de tout le réseau en ne désignant dans sa
table de routage qu’un seul site de sortie. Donc aucun autre site que celui désigné ne connaîtra le réseau ainsi
protégé. Toute fois ceci nécessite que toutes les machines du site soient configurées de la même manière.
Le contrôle d’accès
Limiter la table de routage est une solution mais elle ne convient pas une utilisation régulière du réseau. C’est
pourquoi le contrôle d’accès peut être une bonne alternative. Le contrôled’accès consiste en un fichier qui est
consulté par les machines et les routeurs, l’accès est accordé uniquement lorsque le mot de passe est bon. Le
daemon TCPD permet de faire ce contrôle chaque demande d’accès un server (ftp, rlogin, Telnet,...) Il suffit de
spécifier le path de chaque daemon comme tant celui de TCPD dans le fichier
/etc/inetd.conf.
IV-2.6 Conclusion
La sécurité réseau rejoind dans de nombreux cas la sécurité du système. On rappellera que la sécurité
réseau tient tout d’abord l’établissement d’une politique et se poursuit par une surveillance régulière des
fichiers de configuration.

Support Cours Mri

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Support Cours Mri

Transféré par

Droits d'auteur :

Formats disponibles

SUPPORT DE COURS D’ADMINISTRATION DES RESEAUX

AFRILANE Training & Consulting

 Former des administrateurs réseaux

Première partie : Rappels sur les notions fondamentales

Chap-1 : les réseaux informatiques

Chap-2 : les @dressages des réseaux

Chap-3 : segmentation et notion de sous réseaux

Deuxième partie : Administration d’un réseau

Chap-1 : Installation d’un réseau et mise en place d’un système de câblage

Chap-2 : tests et configuration

Chap-3 : nommage des réseaux et interconnexion

Chap-4 : sécurisation d’un réseau

AFRILANE Training & Consulting

Le rôle d’un administrateur réseau consiste (entre autre) à :

AFRILANE Training & Consulting

Chapitre 0 : Définitions

Réseau privé virtuel (VPN) :

Réseau de commutation (ou commuté):

Réseau dorsal ou (Backbone) :

AFRILANE Training & Consulting

AFRILANE Training & Consulting

AFRILANE Training & Consulting

 Les LAN: Local Area Network

AFRILANE Training & Consulting

Le réseau de type bus

AFRILANE Training & Consulting

AFRILANE Training & Consulting

Les réseaux en maille :

Rôle et utilités des réseaux

Les réseaux permettent :

AFRILANE Training & Consulting

Usage des réseaux : (apport aux entreprises)

Usage des réseaux : (apports aux individus)

Matériels et logiciels de réseaux

AFRILANE Training & Consulting

Concentrateur IBM de 16 ports

Commutateur CISCO 2690 24 ports manageable.

AFRILANE Training & Consulting

AFRILANE Training & Consulting

Exemple dans les réseaux mobiles :

Architecture basée sur les modèles

AFRILANE Training & Consulting

A - Les différentes couches du modèle

AFRILANE Training & Consulting

AFRILANE Training & Consulting

AFRILANE Training & Consulting

B - Transmission de données au travers du modèle OSI

AFRILANE Training & Consulting

AFRILANE Training & Consulting

A2 - La couche hôte réseau

AFRILANE Training & Consulting

B - Comparaison avec le modèle OSI et critique

AFRILANE Training & Consulting

Modèle hybride de référence

AFRILANE Training & Consulting

1. Les câbles à paires torsadées

AFRILANE Training & Consulting

2. Les câbles coaxiaux :

AFRILANE Training & Consulting

3. les câbles à fibre optique

On distingue deux sortes des fibres optiques :

AFRILANE Training & Consulting

4. Les liaisons infrarouges