Cours de Télématique Et Internet Engineering - 2018 - Selain

Chef de Travaux Selain Kasereka, M.Sc.
Notes de Cours
Télématique et
Internet Engineering
A l’intension des étudiants de Tech 1 - ULPGL
Juin 2018
CAHIER DE CHARGES
Objectifs
 Permettre à l’étudiant d’appliquer les différentes notions vues pendant les

séances des cours magistrales de télématique et réseaux sur n'importe quel
équipement d'interconnexion, dans un système d’exploitation, en particulier
GNU/Linux (Debian et Ubuntu) et Windows server 2008;
 Lui permettre d’être capable de configurer les Routeurs et Switch de type
CISCO et de les utiliser dans un réseau informatique ;
 Etre capable de mettre en place les services de base utilisés dans
l’administration système et réseau d’une entreprise sous Windows server
2008/2012.
 Montrer aux étudiants les différents outils réseaux par la visite des grands data
center.
Prérequis
 Notion des graphes, fonctionnements des systèmes d’exploitation Linux et

Windows, Introduction à la télématique et les notions des protocoles de
communication.
Contenu du cours
Chapitre 1. Rappels sur les réseaux Informatiques

Chapitre 2. Architecture en couche
Chapitre 3. Notions d’adressage IP
Chapitre 4. Routage dans un réseau IP
Chapitre 5. L’administration des réseaux selon OSI et TCP/IP
Chapitre 6. Switching (VLAN et Spaning tree)
Chapitre 7. Introduction à la securité informatique
Mode d’intervention
Le Cours sera dispensé sous forme d’exposé oral et de travaux pratiques qui
seront exécutés sur des machines fonctionnant avec les systèmes d’exploitation
WINDOWS et LINUX. Les travaux pratiques sur la création des câbles réseaux
(droit, croisé et inversé) seront aussi faits. Les configurations des routeurs CISCO
seront faites sur le simulateur Packet Tracer. Une visite guidée dans un grand
Data Center sera organisée à la fin du cours pour palper du doigt les matériels et
logiciels réseaux utilisé dans des entreprises.
Mode d’évaluation
L’évaluation sera faite sur base de la présence, la participation au cours, les

travaux pratiques, interrogations et sous forme d’examen oral et / ou d’examen
écrit.
PREAMBULE
Dans le monde actuel où tout devient automatisé, la connaissance du

fonctionnement, de la création et de la configuration d’un réseau informatique
parait indispensable pour un étudiant en Informatique. Ce cours est rédigé tout
en tenant compte du niveau de compréhension des étudiants et leurs pré-requis
en générale. Les chapitres préliminaires tentent de balayer les notions de base de
Télématique et réseaux informatiques pour permettre à l’auditoire d’avoir un
même niveau avant de nous attaquer aux notions plus poussées.
Ce cours prévoit des séances des travaux en salle machine. Le système

d’exploitation qui sera essentiellement utilisé est Linux pour ce qui concerne les
serveurs, mais nous nous donnerons la tâche de parcourir les notions
équivalentes sous Windows Server si nécessaire. Pour la configuration des
routeurs, nous proposons l’utilisation du simulateur « Packet Tracer » vue le
manque des Routeurs et Switch (CISCO) physique au sein de l’Université. Il sera
alors préférable que chaque étudiant pense à avoir un ordinateur portable pour
son entrainement.
A la fin du cours, une visite guidée dans un Datacenter est prévue. En

collaboration avec le responsable technique du Datacenter que nous visiterons,
nous tenterons de mettre les étudiants dans un environnement réel avec des
outils et services palpables. Quelques séances de configuration et test seront
aussi proposées aux étudiants pour montrer le lien avec les notions apprises au
cours magistral et pendant les séances des travaux pratiques.
Ces notes de cours et travaux pratiques évolueront en fonction du niveau de

compréhension des étudiants. Le programme sera donc adapté à l’auditoire.
CHAPITRE I. RAPPEL SUR LES NOTIONS DES RESEAUX INFORMATIQUES
1. Définitions
Un réseau peut être défini comme étant un ensemble d’entités qui sont en
relation les uns avec les autres dans un but précis et par des moyens bien
déterminés. Nous pouvons citer le réseau électrique, réseau des malfaiteurs,
réseau informatique, etc. Dans le cadre de ce cours, c’est le réseau informatique
qui nous intéresse.
Lorsque nous avons deux ou plusieurs dispositifs informatiques interconnectés

Via un milieu de transmission en vue du partage des ressources, qui peuvent être
des informations ou matériels et en suivant les règles bien déterminées
(protocoles : cette notion sera explicitée un peu plus bas). Nous avons affaire un
réseau informatique. La figure illustre un exemple de réseau informatique :
2. Typologies des réseaux informatiques

Pour classifier les réseaux informatiques, un critère de classification doit être
bien défini au préalable. Dans ce point nous allons les classifier selon la taille. Le
Schéma ci-dessous illustre la classification des réseaux informatiques selon leurs
tailles.
Nous pouvons alors les classifier comme suit :
 Le PAN (Personale Area Network) désigne le tout petit réseau de quelque
mettre d’étendu permettant d’interconnecter des machines personnel
notamment le PC portable, mobile, téléphonique…
 Le LAN (Local Area Network) regroupe les réseaux adapté à la taille d’un
site et dont les deux points le plus éloigné ne dépassent pas 1Km. On les
appelle par fois des réseaux locaux d’entreprise.
 Le MAN (Métropolitain Area Network) c’est l’interconnexion des réseaux
locaux. On parle souvent aussi de réseaux régionaux. La taille (distance
maximale) est généralement de l’ordre de 10Km ;
 Le WAN (Wade Area Network) désigne des étendu sur plusieurs centaines
ou millier des Km reliant les matériel informatiques à l’échèle d’un pays,
d’un continent ou d’une planète tout entière.
3. Topologie des réseaux informatiques
La topologie désigne la façon dont les équipements réseaux sont interconnectés

via les médias de communication et la façon dont les informations circulent dans
le réseau.
Deux topologies sont distinguées:
 Topologie physique: Comment les équipements sont –ils interconnectés

physiquement ?
 Topologie logique: comment les données transitent dans les médias de
communication?
1. Topologie physique
Plusieurs topologies physiques peuvent être répertoriées:
a. Topologie en bus
Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans
cette topologie tous les ordinateurs sont reliés à une même ligne de transmission
par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne
physique qui relie les machines du réseau.
Cette topologie a pour avantage d'être facile à mettre en œuvre et de posséder

un fonctionnement simple. En revanche, elle est extrêmement vulnérable étant
donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est
affecté.
b. Topologie en étoile
Dans cette topologie, les ordinateurs et autres équipements du réseau sont reliés
à un système matériel central appelé répartiteur. Il s'agit d'une boîte comprenant
un certain nombre de jonctions auxquelles il est possible de raccorder les câbles
réseaux en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la
communication entre les différentes jonctions.
Contrairement aux réseaux construits sur une topologie en bus, les réseaux
suivant une topologie en étoile sont beaucoup moins vulnérables car une des
connexions peut être débranchée sans paralyser le reste du réseau. Le point
névralgique de ce réseau est le répartiteur central, car sans lui plus aucune
communication entre les ordinateurs du réseau n'est possible. C’est pourquoi une
maintenance particulière du répartiteur central est conseillée.
Notons aussi que si le répartiteur est un concentrateur (HUB), les informations

envoyées par les ordinateurs du réseau sont visibles par toutes les machines du
réseau. Si c’est un commutateur qui joue le rôle de répartiteur, les informations
envoyées sont directement envoyées au destinataire (connaissance de l’adresse
source et destination).
c. Topologie en anneau
Dans cette topologie les ordinateurs sont situés sur une boucle (théoriquement)
et communiquent chacun à leur tour. En réalité les ordinateurs ne sont pas reliés
en boucle, mais sont reliés à un répartiteur (appelé MAU, Multi station Access
Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en
impartissant à chacun d'entre eux un temps de parole (Jeton). On peut citer le
Token ring (anneau à jeton) et FDDI comme des réseaux utilisant cette topologie.
d. Topologie en arbre
Aussi connu sous le nom de topologie hiérarchique, le réseau est divisé en
niveaux. Le sommet, le haut niveau, est connectée à plusieurs nœuds de niveau
inférieur, dans la hiérarchie. Ces nœuds peuvent être eux-mêmes connectés à
plusieurs nœuds de niveau inférieur. Le tout dessine alors un arbre, ou une
arborescence.
e. Topologie maillée
Une topologie maillée, est une évolution de la topologie en étoile, elle correspond
à plusieurs liaisons point-à-point. Une unité réseau peut avoir (1, N) connexions
point à point vers plusieurs autres unités. Chaque terminal est relié à tous les
autres. L'inconvénient est le nombre de liaisons nécessaires qui devient très
élevé.
Cette topologie se rencontre dans les grands réseaux de distribution (Exemple :

Internet). L'information peut parcourir le réseau suivant des itinéraires divers,
sous le contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de
routage réparties. La figure ci-dessous illustre cette topologie.
4. Modes de commutation
La commutation c'est l'établissement d'un lien temporaire entre deux abonnés.

Elle consiste à mettre deux abonnés en relation, à maintenir la liaison et à libérer
les ressources à la fin de la communication.
3 modes de commutation peuvent être répertoriés :

a. La commutation de circuit
La commutation de circuit (en anglais circuit switching) est une méthode de
transfert de données consistant à établir un circuit dédié au sein d'un réseau.
Dans ce type de scénarios, un circuit constitué de lignes de communications entre
un noeud émetteur et un noeud récepteur est réservé le temps de la
communication afin de permettre le transfert de données et est libéré à la fin de
la transmission.
Il s'agit notamment de la méthode utilisée dans le réseau téléphonique commuté

(RTC). En effet, en réservant une ligne téléphonique entre deux abonnés, il est
possible de garantir la meilleure performance possible pour le transfert des
données. Dans le cas d'une communication vocale par exemple, il est essentiel
que la ligne ne soit pas coupée pendant tout le temps de la transmission.
b. Commutation des paquets

Dans ce mode de transmission, les données à transmettre sont découpées en
paquets de données (on parle de segmentation) émis indépendamment sur le
réseau. Les nœuds du réseau sont alors libres de déterminer la route de chaque
paquet individuellement, selon leur table de routage. Les paquets ainsi émis
peuvent emprunter des routes différentes et sont réassemblés à l'arrivée par le
nœud destinataire.
Notons que dans ce type de scénario les paquets peuvent arriver dans un ordre
différent que l'ordre d'envoi et peuvent éventuellement se perdre. Des
mécanismes sont ainsi intégrés dans les paquets pour permettre un réassemblage
ordonné et une réémission en cas de perte de paquets.
C’est le mode de transfert utilisé sur internet. Ainsi, Internet = réseau à
commutation de paquets par excellence
Dans le mode de commutation des paquets, il existe deux modes

d’acheminement des paquets qui sont le mode d’acheminement datagramme et
le mode d’acheminement circuit virtuel.
1. Mode datagramme
En mode datagramme, chaque paquet est envoyé indépendamment dans le
réseau et peu emprunter des chemins différents (Exemple le paquet IP)
2. Mode d’acheminement Circuit Virtuel

En mode CV Circuit Virtuel, un premier paquet va réserver un chemin dans le
réseau, tous les paquets emprunteront le même chemin grâce au marquage du
CV. Le premier paquet est routé et les autres sont commutés.
3. Résumé sur la commutation
4. Avantages et inconvénients
5. Technologie web
a. Historique
• 1959-68 : le programme ARPA naît pendant la guerre froide
– Faiblesse du système centralisé VS distribué
– Proposition d’un maillage d’ordinateurs (1964)
– 1ère communication téléphonique entre 2 machines en 1965
• 1969 : ARPANET
– 1969 : 4 nœuds, 1971 : 15 nœuds, 1972 : 37 nœuds
• 1970-82 : ouverture sur le monde
– Apparition du courrier électronique
– Communications internationales (Angleterre, Norvège)
– Apparition de TCP/IP (1974) plus puissant que NCP
• 1983 : TCP/IP adopté comme standard ARPANET Internet
b. Internet (World Wide Web)

• 1983-89 : expansion du réseau (autoroutes de l’information)
– Utilisation importante par les scientifiques
– Réseaux hétérogènes (TCP/IP)
– Fin officielle d’ARPANET en 1989 (TCP/IP)
• 1990-97 : explosion d’internet
– 1990, le physicien Tim Berners Lee (CERN) étend le concept de lien
hypertexte à Internet
– HyperText Markup Language (HTML) et HyperText Transfer Protocol
(HTTP)
– 1er navigateur : NCSA Mosaic
– 1995 : ouverture au grand public (Netscape et Internet Explorer)
– 1997 des dizaines de milliers de nœuds dans plus de 42 pays
c. Principe de fonctionnement
Le web fonctionne l’architecture client-serveur. Dans cette architecture, le client
est un processus qui envoie une requête à un autre processus qui est le serveur et
ce dernier répond. Dans le cas du web, nous avons un client web représenté par
un navigateur web comme Mozilla, Google Chrome, Safari, etc. qui fait la
demande d’un URL spécifique au serveur qui va à son tour vérifier la disponibilité
des ressources demandées.
Le fonctionnement du web peut être illustré comme sur le schéma ci-dessous :
d. Deux différents types de ressources

• Ressources statiques : HTML, images, son, vidéos
• Ressources dynamiques
 Côté client : applet (Java), Javascript/JQuery, Plugin, ActiveX, ...
 Côté serveur : CGI, servlets/JSP, scripts serveur (php), ...
e. Notion de URL, IRN et IRI
• URL : Uniform Ressource Locator
– Spécification de la localisation d’une ressource de manière unique
• URN : Uniform Ressource Name

– Mécanisme de nommage des ressources
– urn:<Namespace>:<SpecificString>
• URI : Uniform Resource Identifier
– URI = URL + URN. En pratique, la forme d’URI la plus utilisée est l’URL
f. Le protocole http
Le protocole HTTP (HyperText Transfer Protocol) est le protocole le plus utilisé sur
Internet depuis les années 90. Le but du protocole HTTP est de permettre un
transfert de fichiers (essentiellement au format HTML) localisés grâce à une
chaîne de caractères appelée URL entre un navigateur (le client) et un serveur
Web.
Fonctionnement d’un serveur http
• Serveur : application qui écoute un port de communication (Port standard

: 80 (Apache HTTP), 8080 (Serveur web J2EE))
• Serveur “maître” : utilisateur root écoute le port standard
• Serveurs “esclaves” : créés par le maître (propriétaire différent)
• Réception d’une requête :
1. le maître reçoit la connexion
2. le maître crée un esclave et lui transmet le canal de communication
3. l’esclave traite la requête et retourne le résultat.
Le schéma ci-dessous illustre le mode de fonctionnement :
Le schéma qui suit illustre un exemple des requêtes et réponses HTTP
Les réponses à une requête HTTP peut être représentée sous forme des Status-
Code.
5 classes de Status-Code
• 1XX : Information
• 2XX : Succès
• 3XX : Redirection
• 4XX : Erreur client
• 5XX : Erreur serveur
Http et le proxy
Deux types de proxys peuvent être répertoriés :
Le proxy “classique”
Il s’agit d’un relais pouvant servir de “filtre” ou de “firewall”
 Le proxy “ cache“
Il archive les pages, lors d’une requête.
S’il possède déjà la page, il la renvoie, sinon il va la chercher.
• le client effectue une requête (GET) via un proxy cache

• le proxy vérifie s’il dispose de la page demandée
• si oui
– le proxy vérifie la date d’expiration de l’URI (Expires)
– interroge le serveur de l’URI afin de comparer les dates
• de dernière modification de l’URI dans le cache
• de dernière modification de l’URI sur le serveur
Utilisation des méthodes GET ou HEAD et des directives
If-Modified-Since ou Last-Modified
– si l’URI du cache est à jour alors le proxy retourne la ressource
de son cache
• le proxy récupère la ressource du serveur, l’archive et la retourne au client.
Quelques limités sont à signaler :

Le protocole HTTP n’est pas sécurisé. Le protocole HTTPS est l’alternative à HTTP.
Le ‘s’ pour secured. Ce protocole sécurisé combinaison de Http avec SSL ou TLS. Il
permet de vérification de l’identité d’un site par un certificat d’authentification. Il
garantie donc confidentialité et intégrité des données envoyées par l’utilisateur
(ex : formulaires). Le port par défaut du protocole HTTPS est le 443.
Notons aussi que le protocole HTTP 1.1 ne gère pas les sessions. L’alternative
utilisée par les navigateurs est l’utilisation des « cookies » :
– Fichiers textes stockés sur le disque dur du client
– Durée de vie limitée, fixée par le site visité
– Problème avec les vieux navigateurs : il est possible pour un serveur
de récupérer des cookies d’un client dont il n’est pas à l’origine
EXERCICES D’APPLICATION
EXERCICE 1 : On souhaite implanter un petit réseau local, une vingtaine de poste

repartis sur une distance d'au plus 100m au sein d'une entreprise d'usinage
industriel. Le débit à assurer devra être de 100Mbits/s.
Quelle topologie et quel type de câblage pourrait-on choisir?
EXERCICES 2 : Un réseau est constitué de noeuds connectés selon le schéma ci-

après.
1. Si un paquet est émis par A en direction de C quelles sont les machines qui
recevront ce paquet.
2. Si un paquet est émis par A en direction de E quelles sont les machines qui
recevront ce paquet.
CHAPITRE II. ARCHITECTURE EN COUCHE
1. STRUCTURE EN COUCHE
Du fait du grand nombre de fonctionnalités implémentées dans les réseaux,

l’architecture de ces derniers est particulièrement complexe. Pour tenter de
réduire cette complexité, les architectes réseau ont décomposé les processus à
l’œuvre dans les réseaux en couches protocolaires plus un support physique. Un
tel découpage permet au réseau de traiter en parallèle les fonctions attribuées
aux différentes couches.
Chaque couche est conçue de manière à dialoguer avec son homologue, comme
si une liaison virtuelle était établie directement entre elles. Chaque couche fournit
des services clairement définis à la couche immédiatement supérieure, en
s'appuyant sur ceux, plus rudimentaires, de la couche inférieure, lorsque celle-ci
existe.
Le concept d’architecture en couches consiste à attribuer trois objets à chaque
couche.
Pour une couche de niveau N, ces objets sont les suivants :

• Service N. Désigne le service qui doit être rendu par la couche N de
l’architecture à la couche supérieure (N + 1). Ce service correspond à un
ensemble d’actions devant être effectuées par cette couche, incluant
événements et primitives, pour rendre ce service au niveau supérieur.
• Protocole N. Désigne l’ensemble des règles nécessaires à la réalisation du
service N. Ces règles définissent les mécanismes permettant de transporter
les informations d’un même service N d’une couche N à une autre couche
N. En particulier, le protocole N propose les règles de contrôle de l’envoi
des données.
• Points d’accès au service N, ou N-SAP (Service Access Point). Les points
d’accès à un service N sont situés à la frontière entre les couches N + 1 et N.
Les services N sont fournis par une entité N à une entité N + 1 par le biais
de ces points d’accès. Les différents paramètres nécessaires à la réalisation
du service N s’échangent sur cette frontière.
Chaque couche n d’une machine gère la communication avec la couche n d’une
autre machine en suivant un protocole de niveau n qui est un ensemble de règles
communication pour le niveau n.
La réduction de la complexité
 démarche analytique et synthétique : recensement et classement des
fonctions nécessaires;
 démarche simplificatrice et constructive : regroupement en sous-
ensembles pour simplifier la compréhension des fonctions (frontières
précises, concises et utiles) décomposition hiérarchique de l’ensemble des
mécanismes à mettre en œuvre en une série de couches (ou niveaux).
Remarque importante: Le nombre de couches, leur nom et leurs fonctions varient
selon les types de réseaux
Exemple: le modèle de référence de l’OSI: 7 couches, TCP –4 couches, …
Décomposition en couche
Principes:
 Une couche doit être crée lorsqu’un nouveau niveau d’abstraction est
nécessaire
 Chaque couche exerce une fonction bien définie
 Les fonctions de chaque couche doivent être choisies en pensant à la
définition des protocoles normalisés internationaux
 Les choix des frontières entre couches doit minimiser le flux d’informations
aux interfaces
 Le nombre de couches doit être :
o suffisamment grand pour éviter la cohabitation dans une même
couche de fonctions très différente; ET
o suffisamment petit pour éviter que l’architecture ne deviennent
difficile à maîtriser.
2. MODELE OSI DE ISO
OSI (Open Systèmes Interconnexion), qui se traduit par Interconnexion de

systèmes ouverts, était mis en place par l'ISO (International Standard
Organisation) afin de mettre en place un standard de communications entre les
ordinateurs d'un réseau, c'est-à-dire les règles qui gèrent les communications
entre des ordinateurs. En effet, aux origines des réseaux chaque constructeur
avait un système propre (on parle de système propriétaire).
Ainsi de nombreux réseaux incompatibles coexistaient. C'est la raison pour
laquelle l'établissement d'une norme a été nécessaire.
Les constructeurs informatiques ont proposé des architectures réseaux propres à
leurs équipements. Par exemple, IBM a proposé SNA, DEC a proposé DNA... Ces
architectures ont toutes le même défaut : du fait de leur caractère propriétaire, il
n'est pas facile de les interconnecter, à moins d'un accord entre constructeurs.
Aussi, pour éviter la multiplication des solutions d'interconnexion d'architectures
hétérogènes, l'ISO (International Standards Organisation), organisme dépendant
de l'ONU et composé de 140 organismes nationaux de normalisation, a développé
un modèle de référence appelé modèle OSI (Open Systèmes Interconnexion).
Ce modèle décrit les concepts utilisés et la démarche suivie pour normaliser
l'interconnexion de systèmes ouverts (un réseau est composé de systèmes
ouverts lorsque la modification, l'adjonction ou la suppression d'un de ces
systèmes ne modifie pas le comportement global du réseau).
Il est à noter que le modèle OSI n'est pas une véritable architecture de réseau, car
il ne précise pas réellement les services et les protocoles à utiliser pour chaque
couche. Il décrit plutôt ce que doivent faire les couches. Néanmoins, l'ISO a écrit
ses propres normes pour chaque couche, et ceci de manière indépendante au
modèle, comme le fait tout constructeur.
Fonctions et description de chaque couche
1. La couche physique
La couche physique s'occupe de la transmission des bits de façon brute sur un
canal de communication. Cette couche doit garantir la parfaite transmission des
données (un bit 1 envoyé doit bien être reçu comme bit valant 1). Concrètement,
cette couche doit normaliser les caractéristiques électriques (un bit 1 doit être
représenté par une tension de 5 V, par exemple), les caractéristiques mécaniques
(forme des connecteurs, de la topologie...), les caractéristiques fonctionnelles des
circuits de données et les procédures d'établissement, de maintien et de
libération du circuit de données.
L'unité d'information typique de cette couche est le bit, représenté par une
certaine différence de potentiel
2. La couche liaison de données
Son rôle est un rôle de "liant" : elle va transformer la couche physique en une
liaison a priori exempte d'erreurs de transmission pour la couche réseau. Elle
fractionne les données d'entrée de l'émetteur en trames, transmet ces trames en
séquence et gère les trames d'acquittement renvoyées par le récepteur.
La couche liaison de données doit être capable de renvoyer une trame lorsqu'il y a
eu un problème sur la ligne de transmission. De manière générale, un rôle
important de cette couche est la détection et la correction d'erreurs intervenues
sur la couche physique. Cette couche intègre également une fonction de contrôle
de flux pour éviter l'engorgement du récepteur.
L'unité d'information de la couche liaison de données est la trame qui est
composées de quelques centaines à quelques milliers d'octets maximum.
3. La couche réseau
La couche réseau assure toutes les fonctionnalités de relais et d’amélioration de
services entre entités de réseau, à savoir : l’adressage, le routage, le contrôle de
flux et la détection et correction d’erreurs non réglées par la couche 2.
Cette couche assure la transmission des données sur les réseaux. C'est ici que la
notion de routage intervient, permettant l'interconnexion de réseaux différents.
C'est dans le cas de TCP/IP la couche Internet Protocol. En plus du routage, cette
couche assure la gestion des congestions. Disons simplement que lorsque les
données arrivent sur un routeur, il ne faudrait pas que le flot entrant soit plus
gros que le flot sortant maximum possible, sinon il y aurait congestion.
Une solution consiste à contourner les points de congestion en empruntant
d'autres routes.rs sur les routes). L’unité typique de l’information de cette
couche 3 c’est le paquet.
4. Couche transport
Cette couche est responsable du bon acheminement des messages complets au
destinataire. Le rôle principal de la couche transport est de prendre les messages
de la couche session, de les découper s'il le faut en unités plus petites et de les
passer à la couche réseau, tout en s'assurant que les morceaux arrivent
correctement de l'autre côté.
La couche transport est également responsable du type de service à fournir à la
couche session, et finalement aux utilisateurs du réseau : service en mode
connecté ou non, avec ou sans garantie d'ordre de délivrance, diffusion du
message à plusieurs destinataires à la fois.
Un des tous derniers rôles à évoquer est le contrôle de flux. C'est l'une des
couches les plus importantes, car c'est elle qui fournit le service de base à
l'utilisateur. L'unité d'information de la couche réseau est le message.
5. La couche session
Cette couche organise et synchronise les échanges entre tâches distantes. Elle
réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties. Elle établit également une liaison entre deux programmes d'application
devant coopérer et commande leur dialogue (qui doit parler, qui parle...). Dans ce
dernier cas, ce service d'organisation s'appelle la gestion du jeton.
La couche session permet aussi d'insérer des points de reprise dans le flot de
données de manière à pouvoir reprendre le dialogue après une panne.
6. La couche présentation
Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises :
c'est elle qui traite l'information de manière à la rendre compatible entre tâches
communicantes. Elle va assurer l'indépendance entre l'utilisateur et le transport
de l'information.
Typiquement, cette couche peut convertir les données, les reformater, les crypter
et les compresser.
7. La couche application
Cette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle
qui va apporter à l'utilisateur les services de base offerts par le réseau, comme
par exemple le transfert de fichier, la messagerie...
En conclusion ; au niveau de son utilisation et implémentation, et malgré une
mise à jour du modèle en 1994, OSI a clairement perdu la guerre face à TCP/IP.
Seuls quelques grands constructeurs dominant conservent le modèle mais il est
amené à disparaître d'autant plus vite qu'Internet (et donc TCP/IP) explose.
Le modèle OSI restera cependant encore longtemps dans les mémoires pour
plusieurs raisons. C'est d'abord l'un des premiers grands efforts en matière de
normalisation du monde des réseaux. Les constructeurs ont maintenant tendance
à faire avec TCP/IP, mais aussi le WAP, l'UMTS etc. ce qu'il devait faire avec OSI, à
savoir proposer des normalisations dès le départ. OSI marquera aussi les
mémoires pour une autre raison : même si c'est TCP/IP qui est concrètement
utilisé, les gens ont tendance et utilisent OSI comme le modèle réseau de
référence actuel. En fait, TCP/IP et OSI ont des structures très proches, et c'est
surtout l'effort de normalisation d'OSI qui a imposé cette "confusion" générale
entre les 2 modèles. On a communément tendance à considérer TCP/IP comme
l'implémentation réelle d’OSI.
Implémentation des 7 couches sur les équipements réseau
1. Le répéteur
Un des désavantages du câble à paire torsadé est la limite due à sa longueur
maximale dans un réseau. Au-delà de 100m, les signaux s'affaiblissent et
deviennent inexploitables. Pour prolonger un réseau, il faut ajouter une unité
matérielle appelée répéteur. Celui-ci régénère les signaux au niveau du bit et
augmente de se fait la distance de parcours. Le répéteur est un équipement qui
intervient au niveau 1 du model OSI. C'est donc un connecteur car il peut
permettre de relier deux réseaux d'ordinateur.
2. Concentrateur
Le concentrateur est un équipement qui intervient au niveau de la couche 1 du
modèle OSI. Son avantage est qu'il autorise plusieurs entrées et sorties des
signaux (4, 8, 16 ou 24 ports), cet équipement est aussi appelé "hub". Il est
surtout utilisé dans les réseaux locaux ayant une topologie en étoile. Il peut avoir
une alimentation autonome permettant son fonctionnement même en cas de
coupure de courant. Le concentrateur joue le rôle de répéteur en plus plusieurs
entrées et sorties.
3. Le pont ou Bridge
Le pont est un équipement qui intervient au niveau deux du modèle OSI. Il
connecte deux segments de réseau locaux, pour cela il filtre les informations en
circulation dans un réseau en empêchant celles destinées aux LAN de se retrouver
au dehors.
7 Application Application APDU
6 Présentation Présentation PPDU
5 Session Session SPDU
4 Transport Transport TPDU
Pont
Sur la couche liaison des
3 Réseau données Réseau Paquet
Liaison de Liaison de
2 Trame
données données
1 Physique Physique Physique Bit
Hôte A Hôte B
4. Les commutateurs ou switch

Le commutateur est une variante du pont. On appelle parfois pont multi port. Il
possède des acheminements sélectifs des informations vers certaines machines
du réseau en utilisant les adressages correspondants. Par contre le hub réalise un
acheminement non sélectif des informations sur le réseau. Toutes les machines
reçoivent les mêmes informations, seules celles qui reconnaissent leur adresse
effectuent la tâche qui leur incombe. Cette technique s'appelle aussi diffusion des
données dabs un réseau. C'est une technique facile à mettre en oeuvre mais elle
devient inadaptée, lorsque le nombre de machine devient important et supérieur
à 10.
Commutateur Ethernet
Sur la couche liaison des
3 Réseau données Réseau Paquet
Liaison de Liaison de
2 Trame
données données
Hôte A Hôte B
5. Le routeur
Le routeur est un équipement qui intervient au niveau 3 du modèle OSI, il
intervient surtout dans la régulation du trafic dans les grands réseaux. Il analyse
et peut prendre des décisions et peut prendre des décisions (c'est un équipement
intelligent). Son rôle principal consiste à examiner les paquets entrants, à choisir
le meilleur chemin pour le transporter vers la machine destinataire. On peut relier
un routeur à un ordinateur afin de permettre sa configuration (mot de passe, type
de réseau). Le routeur est intelligent parce qu'il est doté:
 D'une mémoire
 D'un programme (algorithme)
 Logiciel d'exploitation.

Routeur
Sur la couche réseau
3 Réseau Réseau Paquet
Liaison de Liaison de Liaison de

2 Trame
données données données
Hôte A Hôte B
6. Le modem (MOdulateur-DEModulateur)
Le modem est un équipement électrique qui effectue une double conversion des
signaux (analogique-numérique) dans le sens ligne téléphonique vers ordinateur
et numérique-analogique dans le sens ordinateur vers ligne téléphonique.
Il est surtout caractérisé par son débit binaire qui peut être de 512Kbits/s,
256Kbits/s, 56Kbits/s. Il permet à un ordinateur d'accéder au réseau Internet à
partir d'une ligne téléphonique classique.
7. La passerelle (Gateway)
Considérée au sens matériel du terme, la passerelle est un équipement
recouvrant les 7 couches du modèle OSI. Elle assure l'interconnexion des réseaux
n'utilisant pas les mêmes protocoles, exemple: TCP/IP→IBM.SNA
La passerelle permet de résoudre les problèmes d'hétérogénéité des réseaux
(matériel et logiciel). La passerelle peut aussi être un ordinateur disposant de 2
cartes réseaux et d'un logiciel spécifique qui se charge de convertir les données
en provenance d'un réseau d'expéditeur vers le réseau destinataire. La passerelle
est donc utilisée pour différents types d'application: comme le transfert de
fichiers, accès à des serveurs distants, etc.
Exemple
Chaque équipement réseau (PC, switch, routeur,…) a ses propres caractéristiques
et donc a besoin de toutes les couches du modèles OSI ou seulement d’une
partie.
Dans ce schéma, on remarque que PC1 et PC2 ont besoin de toutes les
couches du modèle OSI. En effet, il faut qu’on puisse envoyer des paquets avec
notre carte réseau (couches basses) et qu’on utilise une application (firefox,
outlook,…) pour communiquer avec nos voisins (couches hautes).
En revanche, le switch n’a besoin que des couches 1 et 2 du modèles OSI, car cet
équipement a besoin de connaitre uniquement votre adresse MAC (qui se trouve
au niveau 2) pour pouvoir commuter votre trame vers le bon port.
Le routeur a lui besoin des couches 1, 2 et 3. La couche 3 (réseau) lui permet de
faire communiquer des réseaux entre eux. Par exemple, quand je surf sur
Internet, c’est le routeur qui fait le lien entre mon réseau LAN et le réseau
Internet, et ce lien est établit au niveau 3.
3. MODELE TCP/IP
Bien que le protocole TCP/IP ait été développé bien avant que le modèle OSI
apparaisse, ils ne sont pas totalement incompatibles. L'architecture OSI est
définie plus rigoureusement, mais ils disposent tous deux d'une architecture en
couches. Les protocoles TCP et IP ne sont que deux des membres de la suite de
protocoles TCP/IP qui constituent le modèle DOD (modèle en 4 couches). Chaque
couche du modèle TCP/IP correspond à une ou plusieurs couches du modèle OSI
(Open Systems Interconnection) défini par l'ISO (International Standards
Organization) :
Les relations étroites peuvent être établies entre la couche réseau et IP, et la
couche transport et TCP.
TCP/IP peut utiliser une grande variété de protocoles en couche de niveau
inférieur, notamment X.25, Ethernet et Token Ring. En fait, TCP/IP a été
explicitement conçu sans spécification de couche physique ou de liaison de
données car le but était de faire un protocole adaptable à la plupart des supports.
IP (Internet Protocol, Protocole Internet)
IP est un protocole qui se charge de l'acheminement des paquets pour tous les
autres protocoles de la famille TCP/IP. Il fournit un système de remise de données
optimisé sans connexion. Le terme « optimisé » souligne le fait qu'il ne garantit
pas que les paquets transportés parviennent à leur destination, ni qu'ils soient
reçus dans leur ordre d'envoi. La fonctionnalité de somme de contrôle du
protocole ne confirme que l'intégrité de l'en-tête IP. Ainsi, seuls les protocoles de
niveau supérieur sont responsables des données contenues dans les paquets IP
(et de leur ordre de réception).
Le protocole IP travaille en mode non connecté, c'est-à-dire que les paquets émis
par le niveau 3 sont acheminés de manière autonome (datagrammes), sans
garantie de livraison.
Le datagramme correspond au format de paquet défini par le protocole Internet.

Les cinq ou six (sixième facultatif) premier mots de 32 bits représentent les
informations de contrôle appelées en-tête.
La longueur théorique maximale d'un datagramme IP est de 65535 octets. En

pratique la taille maximale du datagramme est limitée par la longueur maximale
des trames transportées sur le réseau physique. La fragmentation du datagramme
(définie dans le 2ème mot de 32 bits) devient alors nécessaire dès que sa taille ne
lui permet plus d'être directement transporté dans une seule trame physique. Les
modules internet des équipements prennent en charge le découpage et le
réassemblage des datagrammes.
Le protocole Internet transmet le datagramme en utilisant l'adresse de
destination contenue dans le cinquième mot de l'en-tête. L'adresse de destination
est une adresse IP standard de 32 bits permettant d'identifier le réseau de
destination et la machine hôte connectée à ce réseau.
Dans un réseau TCP/IP, on assigne généralement une adresse IP à chaque hôte.

Le terme d'hôte est pris dans son sens large, c'est à dire un "noeud de réseau".
Une imprimante, un routeur, un serveur, un poste de travail sont des noeuds qui
peuvent avoir également un nom d'hôte, s'ils ont une adresse IP.
CHAPITRE III. NOTIONS D’ADRESSAGE IP
1. LE PROTOCOLE IP DE LA COUCHE RESEAU

Le rôle fondamental de la couche réseau (niveau 3 du modèle OSI) est de
déterminer la route que doivent emprunter les paquets. Cette fonction de
recherche de chemin nécessite une identification de tous les hôtes connectés au
réseau. De la même façon que l'on repère l'adresse postale d'un bâtiment à partir
de la ville, la rue et un numéro dans cette rue, on identifie un hôte réseau par une
adresse qui englobe les mêmes informations.
Le modèle TCP/IP utilise un système particulier d'adressage qui porte le nom de la

couche réseau de ce modèle : l'adressage IP. De façon très académique, on
débute avec le format des adresses IP. On définit ensuite les classes d'adresses IP,
le premier mode de découpage de l'espace d'adressage. Comme ce mode de
découpage ne convenait pas du tout au développement de l'Internet, on passe en
revue la chronologie des améliorations apportées depuis 1980 : les sous-réseaux
ou subnetting, la traduction d'adresses ou Native Address Translation (NAT) et
enfin le routage inter-domaine sans classe.
• L'espace d'adressage IPV4
L'espace d'adressage est défini en fonction du nombre de bits nécessaires pour

exprimer une adresse IP. Plus le nombre de bits est important, et plus le nombre
de possibilités est important.
Il existe deux espaces d'adressage pour les adresses IP :
- L'espace d'adressage de 32 bits qui correspond au système d'adresses IPv4.
- L'espace d'adressage de 128 bits qui correspond au système d'adresses IPv6
ou IPNG pour IP New Génération.
• L'espace d'adressage 32 bits
L'espace d'adressage 32 bits est constitué de 4 octets de 8 bits chacun (4x8 = 32).
Chaque octet est constitué de huit bits, et chaque bit peut prendre la valeur
binaire 1 ou 0. Ainsi, la valeur décimale de chaque octet peut être comprise en 0
et 255 (256 possibilités = 2 à la puissance 8), et l'espace d'adressage est compris
entre 1 et 4 294 967 296 (2 à la puissance 32 moins 1).
Les adresses IP sont généralement exprimées dans la « notation décimale pointée
» (c'est à dire que chaque octet est séparé par un point).
• Le masque de sous réseau
Une adresse IP permet d'identifier une station sur le réseau Internet. Les stations
présentent sur Internet possèdent au moins une adresse IP unique afin de pouvoir
être reconnue par les autres stations.
Le réseau Internet est le réseau des réseaux, c'est à dire qu'il est constitué d'un
ensemble de réseaux qui sont connectés entre eux, et à l'intérieur desquels se
trouvent les stations qui ont accès à Internet. Afin de pouvoir contacter une autre
station sur Internet, il faut connaître le réseau auquel elle appartient (c'est la
partie réseau de l'adresse IP) et son identification personnelle à l'intérieur de ce
réseau (c'est la partie station de l'adresse IP).
Une adresse IP est constituée de 4 octets, c'est à dire de 32 bits. Sur les 32 bit,
une partie (plus ou moins grande) sera utilisée pour identifier le réseau et une
autre partie (le complément) sera utilisée pour identifier la station à l'intérieur de
ce réseau.
L'adresse IP est composée de deux parties :
- La partie réseau
- La partie station
Le masque de sous réseau permet de savoir qu'elle est la partie des 32 bits qui est
utilisé pour identifier le réseau. Les bits du masque de sous-réseau sont à 1 pour
indiquer « la partie réseau » et sont à 0 pour indiquer « la partie station ». Les bits
de « la partie station » n'utilisent jamais les valeurs extrêmes, 0 et 255 pour ne
pas être confondus avec « la partie réseau ».
Pour identifier une station sur le réseau Internet, il faut connaître deux
adresses IP :
 Le masque de sous réseau

 L'adresse IP
Par exemple:
L'adresse IP : 17.16.32.1
Le masque de sous réseau : 255.255.0.0
La partie réseau : 172.16.0.0
La partie station : 0.0.32.1
L'adresse du réseau dans Internet est 172.16.0.0 et l'adresse de la première
station à l'intérieur de ce réseau est 172.16.32.1.
C'est un organisme international, l'IEEE aux Etats-Unis et l'INRIA en France qui se
charge d'octroyer les adresses de réseau, afin d'en assurer l'unicité sur Internet.
Les adresses internes des stations sont gérées par l'administrateur réseau.
• Le sous adressage
Le sous adressage consiste à utiliser une partie de « la partie station » pour

l'incorporer à « la partie réseau » et ainsi agrandir celle-ci. Le nombre de sous-
réseau sera plus important, mais le nombre de station par sous réseau le sera
moins.
2. LES CLASSES D'ADRESSE IP

La partie réseau de l'espace d'adressage 32 bits est divisée en classes.
Les adresses de classe A

Les adresses de classe B
Les adresses de classe C
Les adresses de classe D
Les adresses de classe E
À chaque classe correspond un nombre maximum de réseaux pouvant appartenir
à cette classe, et à chaque réseau d'une certaine classe, correspond un nombre
maximum d'adresses, c'est à dire un nombre maximum de stations pouvant
bénéficier d'une adresse fixe à l'intérieur de ce réseau.
Illustration des classes, la parte réseau et la partie machine sur une adresse IP :
1. Les adresses IP conventionnelles
Certaine adresses sont réservées pour une utilisation conventionnelle :

 0.0.0.0 est utilisée par les machines pendant la procédure de démarrage de
l'ordinateur (le BOOT).
 127.0.0.0 est utilisée pour tester une adresse IP.
 192.168.0.0 n'existe pas sur internet, afin d'être réservée pour les réseaux
locaux sous TCP/IP
 255.255.255.255 est utilisée comme adresse de broadcast générale.
2. L'adresse de broadcast d'un réseau local
L'adresse de broadcast d'un réseau local est l'adresse de diffusion générale à

toutes les stations du réseau. L'adresse de broadcast est en général la dernière
adresse du réseau.
L'adresse IP se compose de « la partie réseau » qui identifie le réseau, et de « la

partie machine » qui identifie une station à l'intérieur de ce réseau. Par exemple,
192.155.87.0 pour la partie réseau, et 192.155.87.x avec x allant de 1 à 255 pour
la partie machine. Ainsi, l'adresse de broadcast d'un tel réseau serait
192.155.87.255.
3. DECOUPAGE DES RESEAUX EN SOUS RESEAU

Un sous-réseau est une façon de prendre une adresse d’un réseau, et de la
découper localement pour que cette adresse de réseau unique puisse en fait être
utilisée pour plusieurs réseaux locaux interconnectés. Souvenez-vous, un seul
numéro de réseau IP ne peut être utilisé que sur un seul réseau. Le mot important
ici est ”localement”: du point de vue du monde extérieur aux machines et réseaux
physiques couverts par le réseau découpé en sous-réseaux, absolument rien n’a
changé - cela reste un unique réseau IP.
Ceci est important - le découpage en sous-réseaux est une configuration locale et

invisible au reste du monde.
a. Pourquoi découper en sous-réseaux?

Les raisons derrière ce type de découpage remontent aux premières spécifications
d’IP – où il n’y avait que quelques sites fonctionnant sur des numéros de réseau
de classe A, ce qui permettait des millions d’hôtes connectés.
C’est évidemment un trafic énorme et des problèmes d’administration si tous les

ordinateurs IP d’un important site doivent être connectés sur le même réseau:
essayer de gérer un tel monstre serait un cauchemar et le réseau s’écroulerait (de
manière quasi-certaine) sous la charge de son propre trafic (saturé). Arrive le
découpage en sous-réseaux: l’adresse de réseau de classe A peut être découpée
pour permettre sa distribution à plusieurs (voire beaucoup de) réseaux séparés. La
gestion de chaque réseau séparé peut facilement être déléguée de la même
façon.
Cela permet d’établir des réseaux petits et gérables - en utilisant, c’est tout à fait
possible, des technologies de réseaux différentes. Souvenez-vous, vous ne pouvez
pas mélanger Ethernet, Token Ring, FDDI, ATM, etc... sur le même réseau physique
- ils peuvent toutefois être interconnectés.
Les autres raisons du découpage en sous-réseaux sont:
 La topographie d’un site peut créer des restrictions (longueur de câble)

sur les possibilités de connexion de l’infrastructure physique, nécessitant
des réseaux multiples. Lze découpage en sous-réseaux permet de le faire
dans un environnement IP en n’utilisant qu’un seul numéro de réseau IP.
En fait, c’est très souvent utilisé de nos jours par les fournisseurs d’accès
Internet qui veulent donner à leurs clients connectés en permanence
des numéros de réseau local IP statiques.
 Le trafic réseau est suffisamment élevé pour provoquer des
ralentissements significatifs. En découpant le réseau en sous-réseaux, le
trafic local à un segment de réseau peut être gardé localement –
réduisant le trafic global et améliorant la connectivité du réseau sans
nécessiter effectivement plus de bande passante pour le réseau.
 Des nécessités de sécurité peuvent très bien imposer que les différentes
classes d’utilisateurs ne partagent pas le même réseau - puisque le trafic
d’un réseau peut toujours être intercepté par un utilisateur compétent.
Le découpage en sous-réseaux donne un moyen d’empêcher que le
département marketing espionne le trafic sur le réseau de R & D (ou que
les étudiants espionnent le réseau de l’administration)
b. Comment découper?
Ayant décidé que vous aviez besoin d'un découpage en sous-réseau, que faut-il
faire pour le mettre en place? Le paragraphe suivant est une présentation des
étapes qui seront expliquées ensuite en détail:
 mettre en place la connectivité physique (câblage de réseau,
interconnexions de réseaux - comme les routeurs)
 choisir la taille de chaque sous-réseau en termes de nombre d'appareils
qui y seront connectés - i.e. combien de numéros IP sont nécessaires
pour chaque segment.
 calculer les masques et les adresses de réseau appropriés
 donner à chaque interface sur chaque réseau sa propre adresse IP et le
masque de réseau approprié.
 configurer les routes sur les routeurs et les passerelles appropriés, les
routes et/ou routes par défaut sur les appareils du réseau.
 tester le système, régler les problèmes.
Pour les besoins de cet exemple, nous supposerons que nous allons découper une
adresse de réseau de classe C: 192.168.1.0
Ce numéro permet un maximum de 254 interfaces connectées (hôtes), plus les

numéros obligatoires de réseau (192.168.1.0) et de diffusion (192.168.1.255).
c. Mettre en place la connectivité physique

Vous devrez installer l'infrastructure de câblage correcte pour tous les appareils
que vous voulez interconnecter, définie pour correspondre à vos dispositions
physiques. Vous aurez aussi besoin d'un dispositif pour interconnecter les
différents segments (routeurs, convertisseurs de médium physique etc.). La
connectivité physique sera faite en laboratoire dans le cadre de ce cours.
d. Choisir la taille des sous-réseaux
C'est un compromis entre le nombre de sous-réseaux que vous créez et le

nombre de numéros IP 'perdus'. Chaque réseau IP utilise deux adresses qui ne
sont plus disponibles pour les adresses d'interfaces (hôtes) - le numéro de réseau
IP lui-même, et l'adresse de diffusion sur ce réseau. Quand vous découpez en
sous-réseaux, chaque sous-réseau a besoin de ses propres adresses de réseau et
de diffusion - et celles-ci doivent être des adresses valides, dans l'intervalle fourni
par le réseau IP que vous découpez.
Donc, en découpant un réseau IP en deux sous-réseaux séparés, on a alors deux

adresses de réseau et deux adresses de diffusion - augmentant le nombre
d'adresses 'inutilisables' pour les interfaces (hôtes); créer 4 sous-réseaux crée huit
adresses inutilisables, et ainsi de suite...
En fait, le plus petit sous-réseau utilisable est composé de 4 numéros IP:
 deux adresses IP d'interface - un pour l'interface du routeur sur ce réseau,

et un pour l'unique hôte de ce réseau.
 Une adresse IP du réseau.
 une adresse de diffusion.
Maintenant, pourquoi quelqu'un voudrait créer un si petit réseau est une autre
question! Avec un seul hôte sur ce réseau, toute communication en réseau devra
sortir vers un autre réseau. Néanmoins, cet exemple montre le principe de
diminution du nombre d'adresse d'interfaces qui s'applique au découpage en
sous-réseaux.
En théorie, on peut découper son adresse réseau IP en 2ˆn (où n est le nombre de
bits d'interface dans votre adresse de réseau, moins 1) sous-réseaux de tailles
égales (vous pouvez aussi découper un sous-réseau et combiner des sous-
réseaux).
Soyez donc réalistes en concevant votre réseau - vous devriez vouloir le nombre
minimal de réseaux locaux séparés, qui corresponde à vos contraintes physiques,
de gestion, d'équipement, et de sécurité.
e. Calculer le masque de sous-réseau et le numéro de réseau
Le masque de réseau est ce qui permet le découpage d'un réseau IP en sous-

réseaux. Le masque de réseau pour un réseau IP non découpé est simplement un
"quadruplet pointé" dont tous les 'bits de réseau' de l’adresse réseau sont
positionnés à '1', et tous les bits d'interface à '0'.
Donc, pour les trois classes de réseau IP, les masques de réseau sont:
 classe A (8 bits de réseau): 255.0.0.0

 classe B (16 bits de réseau): 255.255.0.0
 classe C (24 bits de réseau): 255.255.255.0
Pour mettre en œuvre le découpage en sous-réseaux, on réserve un ou plusieurs

bits parmi les bits d'interface, et on les interprète localement comme faisant
partie des bits de réseau. Donc, pour diviser une adresse de réseau en deux sous-
réseaux, on réservera un bit d'interface en positionnant à '1' le bit approprié dans
le masque de réseau: le premier bit d'interface (pour une adresse de réseau
'normal').
Pour un réseau de classe C, cela donnera le masque de réseau:
11111111.11111111.11111111.10000000 ou 255.255.255.128
Pour notre numéro de réseau de classe C 192.168.1.0, voici quelques unes des
options de découpage en sous-réseaux possibles:
Nombre de Nbre d'hôtes Masque de

Sous-réseaux par réseau réseau
2 126 255.255.255.128 (11111111.11111111.11111111.10000000)
4 62 255.255.255.192 (11111111.11111111.11111111.11000000)
8 30 255.255.255.224 (11111111.11111111.11111111.11100000)
16 14 255.255.255.240 (11111111.11111111.11111111.11110000)
32 6 255.255.255.248 (11111111.11111111.11111111.11111000)
64 2 255.255.255.252 (11111111.11111111.11111111.11111100)
En théorie, il n'y a aucune raison de suivre la façon de découper ci-dessus, où les

bits du masque de réseau sont ajoutés du bit d'interface le plus significatif au
moins significatif. Néanmoins, si on ne le fait pas de cette façon, les numéros IP
seront dans un ordre étrange! Cela rend extrêmement difficile pour nous,
humains, la décision du sous-réseau auquel appartient une adresse IP, puisque
nous ne sommes pas spécialement doués pour penser en binaire (les ordinateurs
d'un autre côté le sont, et utiliseront indifféremment tout schéma que vous leur
direz d'utiliser).
Vous étant décidé sur le masque de réseau approprié, vous devez maintenant
trouver quelles sont les différentes adresses de réseau et de diffusion - et
l'intervalle de adresses IP pour chacun de ces réseaux.
Découpage d’une adresse en sous réseaux lors que les sous-réseaux n’ont pas le
même nombre de PC
1. Masque de sous réseau particulier
Il est possible de trouver des masques qui ne sont pas « les masques par
défaut », donc pour lesquels la séparation de la partie réseau et la partie machine
se fait en plein milieu d'un octet. Considérons par exemple l'adresse
192.168.0.1/255.224.0.0. On se mettra en tête que 192.168.0.1 est une adresse
possible pour un PC.
Nous pouvons noter cela par 192.168.0.1/11. En binaire, nous allons bien voir où
se fait la séparation entre les bits de poids forts et ceux de poids faibles:
192.168.0.1 = 11000000.10101000.00000000.00000001
255.224.0.0 = 11111111.11100000.00000000.00000000
Grâce au masque nous voyons que la partie réseau de notre adresse est
composée d’un octet et 3 bits (donc les 11 premiers bits sur l’adresse
192.168.0.1). Pour trouver l’adresse réseau, nous devons alors mettre tous les
bits de la partie machine à 0 dans l’adresse 192.168.0.1 (Attention : c’est le
masque 255.224.0.0 en binaire qui nous renseigne la limite de la partie réseau
(suite des 1) et la partie machine (suite des 0)), ce qui donne :
11000000.10100000.00000000.00000000
Donc, en décimal, l’adresse réseau est: 192.160.0.0
L'adresse du réseau défini par le couple 192.168.0.1/255.224.0.0 est donc

192.160.0.0. Cette adresse constitue alors la première adresse de la plage. Pour
trouver la dernière adresse de la plage (adresse de broadcast), pour cella nous
allons, dans l’adresse 192.168.0.1, mettre de 1 là où nous avions mis de 0 pour
trouver l’adresse du réseau (mettre la partie machine au maximum) :
192.168.0.1 = 11000000.10101000.00000000.00000001
On remplace la partie machine par des 1, ce qui donne:
11000000.10111111.11111111.11111111
Ce qui donne en décimal: 192.191.255.255
Donc la plage d'adresses réseau définie par le couple 192.168.0.1/255.224.0.0

s'étend de 192.160.0.0 à 192.191.255.255.
2. Une autre méthode encore plus simple

En reprenant l’exemple précédent, on a 192.168.0.1/255.224.0.0 comme couple
d’adresse. Et on demande de trouver la plage d’adresses.
Cette méthode demande que nous prenne l'octet significatif du masque et on le

soustrait de 256. Pour notre exemple, l’octet significatif du masque 255.224.0.0
est 224, on a donc :
La valeur=256 -224
Cette valeur donne 32. On se base alors sur cette valeur (32) pour chercher ses
multiples jusqu’à 256 et on trouve 0, 32, 64, 96, 128, 160, 192, 224, 256. Alors
l’adresse du réseau (la première adresse) sera la valeur inférieure ou égale à
l'octet correspondant dans l'adresse IP donnée.
Dans l’exemple 192.168.0.1/255.224.0, le masque est 255.224.0.0 et donc l'octet

significatif dans ce masque (celui où la séparation a lieu) est 224. Et la valeur
inférieure ou égale à l'octet correspondant dans l'adresse IP donnée (168) est 160
dans la liste des multiples. D’où l’adresse réseau sera 192.160.0.0
Pour trouver la dernière adresse (l’adresse de broadcast de notre plage), nous

allons considérer la valeur qui suit 160 parmi les multiples de 32 et on va
soustraire 1, d’où 192 – 1= 191. Donc l’adresse de broadcast est sera
192.161.255.255
3. Découpage proprement dite avec masque particulier
Soit le couple d’adresse 100.22.186.30/255.255.248.0 on demande de découper

cette adresse en 3 sous réseaux selon les exigences suivantes :
- Premier sous-réseau 900 pc

- Deuxième sous-réseau 438 pc
- Troisième sous-réseau 55 pc
a) Recherche de la plage totale
La valeur dont nous avons besoin est 256-248=8, donc on a besoin trouver le
multiple de 8 strictement inférieur à 186 (voir 3ème octet de notre adresse). Les
multiples de 8 sont alors …, 160, 168, 176, 184, 192, … on prend la valeur
inferieure ou égale à 186 car il représente le troisième octet dans l’adresse IP
(Rappel : 248 représente aussi le 3ème octet). On prend donc 184. L’adresse
réseau est alors 100.22.184.0
Pour trouver la dernière adresse possible il faut alors prendre dans la liste des
miltiples, la valeur qui vient juste après 184 et soustraire 1. Donc 192-1=192. D’où
l’adresse de broadcast sera 100.22.191.255
La plage du couple 100.22.186.30/255.255.248.0 est 100.22.184.0 à

100.22.191.255
b) Découpage
Rappel :
Nous avons besoin des 3 sous-réseaux que voici :
1. Premier sous-réseau 900 pc

2. Deuxième sous-réseau 438 pc
3. Troisième sous-réseau 55 pc
Pour le premier sous-réseau, on a besoin de 900 pc, le réseau devra contenir

1024 adresses (la puissance de 2 légèrement supérieure) soit 210 donc son
masque contiendra donc 10 zéros, soit: 11111111.11111111.11111100.00000000
Soit en décimal: 255.255.252.0
Pour trouver l’adresse de broadcast de ce sous réseau, nous avons 256-252=4,

nous cherchons les multiples et nous prenons la valeur qui viens après 184 et
faisons moins 1. On a donc 188 – 1= 187
L’adresse de broadcast est alors 100.22.187.255
Le premier sous réseau s’étend donc de 100.22.184.0 à 100.22.187.255
Pour le deuxième sous-réseau, on a besoin de 438 pc, le réseau devra contenir

512 adresses (la puissance de 2 légèrement supérieure) soit 29 donc son masque
contiendra donc 9 zéros, soit: 11111111.11111111.11111110.00000000
Soit en décimal: 255.255.254.0

L’adresse du réseau sera celle qui suit l’adresse de broadcast du premier sous-
réseau. Donc 100.22.188.0
Pour trouver l’adresse de broadcast de ce sous réseau, nous avons 256-254=2,

nous cherchons les multiples et nous prenons la valeur qui viens après 188 et
faisons moins 1. On a donc 190 – 1= 189
L’adresse de broadcast est alors 100.22.189.255
Le deuxième sous réseau s’étend donc de 100.22.188.0 à 100.22.189.255
Exercice : trouver le troisième sous-réseau !
3. LE PROTOCOLE IPV6
1. Introduction
Toute machine IPv6 n'utilise pas une adresse IPv6, mais des adresses IPv6.
Il en existe donc plusieurs. Par exemple:
- adresse de la machine dans le plan d'adressage agrégé si la machine est

reliée sur internet.
- adresse de lien local obtenue par configuration automatique est valide
uniquement sur un même espace de lien (par exemple interconnecté par un
hub).
- adresse de site local, restreinte au site. Par exemple un site non relié sur
Internet. L'idée consiste à reprendre le concept des adresses IPv4 confinées
au site et ne pouvant être routées sur internet (par exemple les adresses
10.0.0.0 /8 et 192.168.0.0 /16).
- adresse de boucle, l'équivalent du 127.0.0.1 utilisé en IPv4.
Aussi, une adresse IPv6 est attribuée pour une période de temps par défaut 80
heures qui peut être portée à l'infini.
De plus, afin de permettre la transition en souplesse de l'IPv4 en IPv6 et leur

cohabitation. D'autres types d'adresses sont définis.
- une machine IPv6 étant capable de communiquer aussi bien avec une
machine IPv4 qu'avec une machine IPv6 utilise des adresses IPv4 mappées.
- une machine IPv6 communiquant avec une autre machine IPv6 via un
tunnel automatique IPv6/IPv4 utilise des adresses IPv4 compatibles.
2. La durée de vie d'une adresse IPv6:
Une adresse IPv6 est attribuée pour une période de temps par défaut 80 heures
pouvant portée à l'infini. Cela dit, si l'adresse est allouée pour une période finie il
faudra la renouveler. Afin d'assurer le maintien des connexions des services
applicatifs en cours (par exemple ceux reposant sur la couche transport TCP),
l'adresse ne sera pas brutalement changée. Elle va progressivement passée par
différentes phases: préférée, dépréciée, invalide.
3. Les différents type d'adresses IPv6:
À la grande différence de l'adressage IPv4, il n'y a plus d'adresse de Broadcast

(diffusion).
Il y a:
- l’adresse Unicast pour définir un hôte particulier. Un paquet émis avec

cette adresse de destination n'est remis qu'à la machine ayant cette
adresse IPv6.
- l'adresse de Multicast qui concerne un ensemble d'hôtes appartenant à
un même groupe de diffusion. Un paquet émis avec cette adresse de
destination est remis à l'ensemble des machines concernées par cette
adresse.
- l'adresse Anycast est ni plus ni moins de l'adressage multicast, à la
différence qu'un paquet émis avec cette adresse de destination ne sera
remis qu'à un seul membre du groupe.
4. Convention de notation de l'adressage IPv6:
Une adresse IPv6 se note en hexadécimal et en 8 mots de 16 bits séparés par le

caractère deux points ":”.
fedc:6482:cafe:ba05:a200:e8ff:fe65:df9a
Les "0" les plus à gauche des mots de 16 bits ne se figurent pas dans l'écriture.
fedc:0482:cafe:ba05:a200:e8ff:fe65:000adevient :
fedc:482:cafe:ba05:a200:e8ff:fe65:a
Les mots tout à "0" ou un ensemble de mots consécutif tout à "0" peuvent être
omis, on obtient "::" . Mais on ne le fait qu'une fois pour éviter toute ambiguîté.
fedc:0:0:f5:a200:e8ff:fe:df9a deviant fedc::f5:a200:e8ff:fe:df9a
Une adresse se représente avec son préfixe comme il est déjà pratiqué dans la
notation CIDR.
Exemples:
Plan d'adressage agrégé 2000:: /3

Préfixe d'adresse de lien local fe80:: /10
Préfixe des adresses locales, indéterminées, mappées et compatibles:: /8
La machine a200:e8ff:fe65:df9a sur le réseau fedc:6482:cafe:ba05
fedc:6482:cafe:ba05:a200:e8ff:fe65:df9a /64
5. L'adresse de loopback
L'adresse de boucle ::1 a le même rôle qu'une adresse IPv4 127.0.0.1 . Lorsqu'une
machine utilise cette adresse, elle s'envoie des paquets IPv6 à elle-même.
6. L'adresse indéterminée:
Cette adresse 0:0:0:0:0:0:0:0 (ou encore notée "::") est utilisée pendant
l'initialisation de l'adresse IPv6 d'une machine. C'est une phase transitoire.
7. L'adresse de lien local:
Cette adresse de lien local est obtenue par configuration automatique et est
valide uniquement sur un même espace de lien sans routeur intermédiaire. Un
routeur ne route pas ce type d'adresse. L'interconnexion par hub ou switch de
niveau Mac représente cet espace de lien.
Le préfixe d'une adresse de lien local est fe80:: /10 .
8. L'adresse de site local:

Cette adresse de site local est restreinte au site. Par exemple un site non relié sur
Internet. L'idée consiste à reprendre le concept des adresses IPv4 confinées au
site et ne pouvant être routées sur internet (par exemple les adresses 10.0.0.0 /8,
172.16.0.0 /12 et 192.168.0.0 /16) . Un routeur de sortie de site ne doit pas router
ce type d'adresse.
Le préfixe d'une adresse de site local est fec0:: /10 .
9. L'adresse IPv4 mappée:
Une machine IPv6 étant capable de communiquer aussi bien avec une machine
IPv4 qu'avec une machine IPv6 utilise des adresses IPv4 mappées pour
communiquer avec les autres machines IPv4 et utilise des adresses IPv6 normale
pour communiquer avec les autres machines IPv6. La machine possède alors les
deux empilements.
Lors de son émission, si la machine doit envoyer un paquet vers un destinataire

ayant une adresse IPv4 mappée, la machine formate un paquet IPv4 et l'envoie
sur le réseau. En fait, une adresse IPv6 de type IPv4 mappée n'apparaît jamais sur
le réseau sous cette forme.
Ces adresses sont de la forme ::ffff:a.b.c.d . Par exemple :: ffff : 147.30.20.10 .
10. L'adresse IPv4 compatible:
Une machine IPv6 communiquant avec une autre machine IPv6 via un tunnel
automatique IPv6/IPv4 utilise des adresses IPv4 compatibles. En fait, le paquet
IPv6 ayant pour adresse destination une adresse IPv6 compatible (exemple ::
147.30.20.10) est encapsulé dans un paquet IPv4 ayant pour adresse destination
l'adresse IPv4147.30.20.10 . Le paquet IPv4 peut éventuellement être routé avant
d'atteindre son destinataire. Le destinataire recevant le paquet IPv4 retire le
paquet IPv6 qui y est encapsulé.
Ces adresses sont de la forme ::a.b.c.d . Par exemple :: 147.30.20.10 .
11. L'adressage agrégé:
L'adressage IPv6 est structurée en plusieurs niveaux selon un modèle dit "agrégé".
Cette composition devrait permettre une meilleure agrégation des routes et une
diminution de la taille des tables de routage.
La taille d'une adresse IPv6 est de 16 octets (128 bits). Cette taille, suffisamment
importante, permet d'établir un plan d'adressage hiérarchisé en trois niveaux.
 la topologie publique utilisant 48 bits

 la topologie de site sur 16 bits
 la topologie d'interface sur 64 bits.
Les deux premiers niveaux identifient le réseau tandis que le troisième identifie
l'hôte sur le réseau.
Dans le concept du plan d'adressage, des préfixes semblables à ceux du CIDR

déterminent chacun de ces niveaux, voire des sous niveaux. Ces niveaux peuvent
être sous la responsabilité d'opérateurs internationaux, de fournisseurs de
connectivité, et enfin, du gestionnaire de site. Les préfixes déterminent oÃ¹
commence et oÃ¹ termine leur responsabilités.
Ainsi:
1- la topologie publique (48 bits)

- le préfixe 2000::/3 (c'est-à-dire sur 3 bits) identifie le plan d'adressage
agrégé,
- le 13 bits suivants identifie l'unité d'agrégation haute (TLA Top Level
Aggregator),
- les 8 bits suivants sont réservés pour l'évolution de l'adressage. Ces bits
pourront être ré-attribués aux TLA ou NLA dans l'avenir car pour l'instant,
ces besoins sont difficilement quantifiables.
- les 24 bits suivants identifient l'unité d'agrégation basse (NLA Next Level
Aggregator).
2- la topologie de site (16 bits)
- les 16 bits suivants (SLA Site Level Aggregator) sont sous la responsabilité
du gestionnaire de site. Cette partie peut être hiérarchisé par le
gestionnaire et définir ses propres sous réseaux dans cette plage.
Pour résumer, les 48 premiers bits + les 16 bits suivants identifient la partie réseau
de l'adresse IPv6, c'est-à-dire 64 bits (la prière moitié haute de l'adresse IPv6 qui
en comporte 128).
3- la topologie d'interface site (64 bits)
- les derniers 64 bits identifient l'interface, c'est-à-dire l'hôte sur le réseau

identifié par les 64 premiers bits.
12. L'adresse de multicast:
Cette adresse spécifie un groupe d'interfaces appartenant au groupe de diffusion.
Cette adresse peut être permanente (T=0) ou temporaire (T=1), le bit T du champ
flags marque cette différence. Les trois premiers bits du champ flags sont nuls
(réservés). Typiquement, une vidéo-conférence est temporaire, dans ce cas les
membres de ce groupe se verront attribuer ce type d'adresse temporaire avec le T
à 1.
L'étendue de la diffusion est définie par le champ scope de l'adresse. Pour

l'exemple de notre vidéo-conférence, sa diffusion peut être confinée au lien local,
au site, ou au-delà selon la valeur du champ scope:
0 Réservé | 1 nœud |2 lien |5 site |8 organisation|E global |F Réservé |Le préfixe
d'une adresse multicast estff00:: /8 .
Certaines adresses de multicast sont prédéfinies et donc permanentes (T=0).
C'est par exemple:
ff02::1Tous les nœuds du lien

ff02::2Tous les routeurs du lien
ff02::3Toutes les machines du lien
ff02::5Tous les routeurs du site
13. L'adresse de multicast sollicité:
Cette adresse est utilisée par une station du réseau qui connaît l'adresse IPv6
d'une station à joindre mais en ignore son adresse physique (Mac). En utilisant
l'adresse multicast sollicité, il sera possible de joindre le destinataire. ICMPv6,
entre autre, utilise ce type de mécanisme.
La construction d'une adresse IPv6 multicast sollicité concatène le

préfixeff02::1:ff00:0 /104 avec les trois derniers octets d'une adresse Mac.
14. L'adresse anycast:
Comme préciser dans l'introduction, l'adresse anycast est ni plus ni moins qu'une
adresse multicast, à la différence qu'un paquet émis avec cette adresse de
destination ne sera remis qu'à un seul membre du groupe, même si plusieurs
interfaces ont répondu au message de sollicitation des voisins d’ICMPv6. Pour
l'instant, une seule adresse anycast est définie et est réservée au routeur mais
dans l'avenir, d'autres pourraient être définies.
La construction d'une adresse IPv6 anycast d'un sous-réseau (la seule définie
actuellement) concatène le préfixe du sous réseau de l'interface et la valeur nulle
pour la dernière partie de l'adresse.
L'identifiant d'interface permet de construire l'adresse IPv6 et de lui garantir une

unicité mondiale. En résumant le mécanisme utilisé, il suffit de reprendre
l'adresse Mac de l'interface réseau (carte réseau) et de la plaquer dans les
derniers 64 bits de l'adresse IPv6. C'est-à-dire dans le champ "IDentifiant
Interface" de l'adresse IPv6. Une adresse Mac étant unique, l'adresse IPv6 le
devient forcément. Les habitués des réseaux IPX ne seront perdus par ce type de
mécanisme.
Évidemment, il manque 16 bits (me direz-vous !)
Effectivement, une adresse Mac comporte 48 bits.
Les 24 premiers bits identifient par un numéro le constructeur de la carte réseau

et les 24 derniers bits identifient par un numéro de série la carte fabriquée par ce
constructeur. Ainsi, une adresse Mac est universelle à un détail près, le bit "u".
Nous nous retrouvons devant deux cas.
1er cas: Format EUI-64 de l'EEE
Dans ce cas, l'adresse physique comporte réellement 64 bits. Vous l'avez compris,
le standard a été révisé.
Les 24 premiers bits identifient toujours par un numéro le constructeur de la carte

réseau et les 40 derniers bits identifient par un numéro de série la carte fabriquée
par ce constructeur.
Le concept du bit "u" et "g" est repris au standard EUI-48 et est identique.
Si le bit u=0, il s'agit d'un identifiant universel,
Si le bit u=1, il s'agit d'un identifiant local,
Si le bit g=0, il s'agit d'une adresse individuelle (unicast), dans ce cas le 1er octet
est toujours pair,
Si le bit u=1, il s'agit d'une adresse de groupe (multicast), dans ce cas l'octet est
impair.
La construction de l'identifiant de l'adresse IPv6 est alors simple, il suffit de

reprendre entièrement ces 64 bits et d'inverser le bit "u" en lui attribuant la valeur
"1".
2nd cas: Format EUI-48 de l'EEE
C'est le cas de nos cartes réseaux Ethernet actuelles. L'identifiant d'interface IPv6
va donc être conçu à partir de l'adresse Mac. On va donc recourir à une petite
astuce qui consiste à rajouter le 16 bits manquant entre les 24 premiers bits (qui
identifient par un numéro le constructeur de la carte réseau) et les 24 derniers
bits (qui identifient le numéro de série de cette carte fabriquée par ce
constructeur). Les 16 bits rajoutés ont pour valeur: FFFE.
4. QUELQUES CONCEPTS DE PROTOCOLE
1. PROTOCOLE UDP (User Datagram Protocol)
a. Définition
Le protocole UDP « User Datagram Protocol »est un protocole qui apporte un
mécanisme de gestion des ports, au-dessus de la couche internet. UDP est
simplement une interface au-dessus d’IP, l’émission des messages se fait sans
garantie de bon acheminement. Les données encapsulées dans un entête UDP
sont des paquets UDP.
Le protocole UDP est défini dans le but de fournir une communication par paquet
unique entre deux processus dans un environnement réseau étendu. Ce
protocole suppose l’utilisation du protocole IP comme support de base à la
communication, il définit une procédure permettant à une application d’envoyer
un message court à une autre application, selon un mécanisme minimaliste. UDP
est transactionnel, et ne garantit ni la délivrance du message, ni son éventuelle
duplication.
b. Identification de la destination
UDP est un protocole sans connexion et permet à une application d’envoyer des
messages à une autre application avec un minimum de fonctionnalités (pas de
garanties d’arrivée, ni de contrôle de séquencement). Il n’apporte pas de
fonctionnalités supplémentaires par rapport à IP et permet simplement de
désigner les numéros de port correspondant aux applications envisagées avec des
temps de réponse courts.
1. Notion de port
UDP fournit un service supplémentaire par rapport à IP, il permet de distinguer

plusieurs applications destinatrices sur la même machines par l’intermédiaire des
« ports ». Un port est en fait une « adresse de destination » sur une machine
identifiée par un numéro qui joue le rôle d’interface à l’application.
Le système d’exploitation local a à sa charge de définir le mécanisme qui permet à

un processus d’accéder à un port. Ce logiciel doit alors assurer la possibilité de
gérer la file d’attente des paquets qui arrivent, jusqu’à ce qu’un processus
(Application) les lise. A l’inverse, le Système d’exploitation bloque un processus
qui tente de lire une donnée non encore disponible.
Les numéros de ports des applications UNIX usuelles (process) sont donnés dans
le tableau ci-dessous :
N° de 7 20 21 23 25 37 80 110 161
port
Process Echo FTP- FTP Telnet SMTP Time http POP3 SNMP
data
2. Notion de socket
Un socket est une combinaison entre une adresse IP et un numéro de port ; c’est
une adresse unique au monde.
Pour communiquer avec un service distant il faut donc avoir connaissance de son
numéro de port, en plus de l’adresse IP de la machine elle-même. On peut prévoir
le numéro de port en fonction du service à atteindre.
c. Structure de l’entête UDP

Chaque datagramme émis par UDP est encapsulé dans un datagramme IP en
fixant la valeur du protocole à 17.
Un datagramme UDP est constitué comme suit :

 Les numéros de ports sur 16 bits chacun, identifie les processus émetteurs et
récepteurs ;
 Le champ longueur contient sur 2 octets la taille de l’entête et des données
transmises ;
 Le Checksum est en fait optionnel sur un réseau très fiable. S’il est fixé à 0
c’est
qu’il
n’a pas
été
calculé.
UDP utilise un pseudo-entête pour aboutir à un nombre d’octets total pair

constituée de l’adresse IP source et destination ainsi que d’un octet (pad) afin
d’aboutir à un checksum non nul stocké dans un champ de contrôle, cependant
cette pseudo entête n’est pas transmise.
A la réception, UDP utilise l’adresse IP de destination et émettrice inscrite dans
l’entête IP, afin de calculer une somme de contrôle qui permettra d’assurer que le
datagramme est délivré sans erreur et à la bonne machine. Si une erreur est
détectée, le datagramme UDP est détruit. Sinon, UDP oriente les données vers la
file d’attente associée au numéro de port destination pour que l’application
associée puisse les y lire.
2. PROTOCLE IP (Internet Protocol)
a. Présentation
Le protocole IP a pour objectif de masquer les réseaux physiques traversés.
N’ayant pas la responsabilité de l’acheminement dans ces réseaux. IP est un
protocole réseau allégé en mode datagramme, il n’entretient aucune variable
d’état. IP n’effectue que les tâches élémentaires d’adaptation de la taille des
unités de données aux capacités d’emport du réseau physique traversé (MTU,
Maximum Transfert Unit), l’acheminement dans le réseau logique et la
désignation des hosts (adresse IP). Ainsi, IP ne réalise aucun contrôle d’erreur,
c’est au réseau traversé d’assurer l’intégrité des données qui lui ont été confiées.
b. Datagramme IP
Les octets issus de la couche de transport et encapsulés à l’aide d’un entête IP
avant d’être propagés vers la couche réseau (Ethernet par exemple), sont
collectivement nommés « datagramme IP », « datagramme Internet » ou «
datagramme » tout court.
Chaque datagramme Internet, considéré comme une entité indépendante,
possède un en-tête propre qui contient l'ensemble des informations nécessaires à
son acheminement vers sa destination.
Les communications Internet entre les ordinatrices sources et destinations
nécessitent l'utilisation d'adresses pour identifier les équipements. Ces adresses
sont aussi transportées dans l'en-tête de chaque datagramme et exploitées par
les équipements d'interconnexion pour réaliser le routage (Choix du chemin entre
la source et la destination).
Ces ordinatrices sources et destination peuvent être interconnectées par un ou

plusieurs réseaux. Pour assurer une communication Internet, chaque ordinateur
et chaque équipement d'interconnexion, impliqué dans la communication, doit
posséder un module logiciel, appelé « PILE TCP/IP ».
c. Caractéristiques du protocole IP
Le protocole IP possède donc les caractéristiques suivantes :
 IP est le support de travail des protocoles de la couche de transport,
TCP, UDP ;
 Il est « non fiable » (« unreliable ») : car la livraison des datagrammes
n'est pas garantie. IP ne donne aucune garantie quant au bon
acheminement des données qu’il envoie. Il n’entretient aucun dialogue
avec une autre couche IP distante ;
 Il est « non connecté » (« connectionless ») : car chaque datagramme
est géré indépendamment des autres datagrammes même au sein du
transfert des octets d’un même fichier. Les datagrammes peuvent être
mélanges, dupliqués, perdus ou altérés. Ces problèmes ne sont pas
détectés par IP et donc il ne peut en informer la couche de transport ;
 Il « fait de son mieux » (« best effort ») : car aucun paquet ne sera
détruit s'il n'existe pas de ressource disponible pour lui. Un mécanisme
de destruction est toutefois mis en place pour éviter la saturation des
réseaux.
d. Fonctions du protocole IP
Les fonctions du protocole IP sont les suivantes :
 Transport des datagrammes à travers le réseau IP de bout en bout ;
 Fragmentation et réassemblage des paquets, pour adapter les
datagrammes aux caractéristiques du réseau physique ;
 Technique de destruction des paquets ayant transités trop longtemps
dans le réseau ;
 Multiplexage des protocoles ;
 Routage dynamique et auto-adaptif.
e. Structure de l’entête IP
Une entête IP peut contenir un segment TCP, un message ICMP, ARP, RARP ou
encore OSPF. L’entête IP minimale fait 5 mots de 4 octets, soit 20 octets. S’il y a
des options la taille maximale peut atteindre 60 octets.
3. LE PROTOCLE ICMP
a. Définition
ICMP est l’acronyme de « Internet Control Message Protocol », il est
historiquement défini dans la RFC 950. Le protocole ICMP est un mécanisme de
contrôle des erreurs au niveau IP. Les messages ICMP reportent principalement
des erreurs concernant le traitement d'un datagramme dans un module IP. Le
protocole ICMP est une partie intégrante du protocole IP, et doit de ce fait être
implémenté dans chaque module IP.
II.2.3.3.2. Fonctionnement
Un système idéal fonctionne parfaitement si toutes les machines sont en ordre

de marche et si toutes les tables de routage sont à jour. Cependant, il peut y avoir
des ruptures de lignes de communication, des machines peuvent être à l’arrêt, en
pannes ou être incapables de router les paquets parce qu’en surcharge. Des
paquets IP peuvent alors ne pas être délivrés à leur destinataire et le protocole IP
lui-même ne contient rien qui puisse permettre de détecter cet échec de
transmission.
Le protocole ICMP permet d’informer d’une erreur réseau (message d’erreur) ou
de formuler une demande d’état à un système (message d’information). Les
messages ICMP sont encapsulés dans un datagramme IP.
Le protocole ICMP ne fiabilise pas IP, c’est un protocole d’information. Les
différentes fonctions sont aussi utilisées par des utilitaires.
a. Structure des messages ICMP

Les messages ICMP sont encapsulés dans la partie data d’un datagramme IP
(Protocole =1).
ENTETE MESSAGE ICMP

IP
Par conséquent les messages ICMP sont routés comme les autres paquets IP à
travers le réseau. Mais s’il arrivait qu’un paquet d’erreur rencontre lui-même un
problème de transmission, dans ce cas on ne générera pas d’erreur sur l’erreur.
ICMP n’est pas considéré comme un protocole vide de niveau plus élevé vi qu’il
est encapsulé dans un datagramme IP. La raison d’utilisation d’IP pour délivrer de
telles informations est que les messages peuvent avoir à traverser plusieurs
réseaux avant d’arriver à leur destination finale. Il n’était donc pas possible de
rester au niveau physique du réseau.
Chaque message ICMP contient un type particulier qui caractérise le problème
qu’il signale. Il est composé comme suit :
 TYPE : contient le code d’erreur ;

 CODE : complète l’information du champ précédent ;
 CHECKSUM : est utilisé avec le même mécanisme de vérification que
pour les datagrammes IP mais ici il ne porte que sur les messages ICMP.
5. L’OUTIL PING
1. Introduction et Vue d'ensemble d'un paquet ICMP
Ping est un outil bien connu pour vérifier la connectivité réseau entre deux hôtes
IP. Il a été créé en 1983 par Mike Muus qui a écrit un article à propos de son outil
The Story of the PING Program" (L'histoire du programme Ping) peu de temps
avant de mourir en 2000 dans un accident de voiture.
Ping est installé par défault sur les systèmes d'exploitation Windows, Apple et
Linux/Unix. Il utilise le protocole ICMP qui a été créé pour vérifier la connectivité
et obtenir des informations à propose de machines dans un réseau IP.
ICMP est encapsulé dans un paquet IP, mais est considéré comme faisant partie
de la couche IP ou Internet.
2. Fonctionnement de Ping
Ping envoie des très petits paquets vers un hôte IP qui va répondre en envoyant
des paquets en retour. Les paquets ICMP envoyé à l'hôte sont appelés
echo_request et les paquets envoyés en retour echo_response.
La commande ping nous donne trois informations nécessaires :
 Est-ce que l'hôte distant est actif? => Connectivité de l'hôte

 Est-ce que la vitesse du réseau est bonne? => Congestion réseau
 Est-ce que l'hôte distant est loin? => longueur du trajet
Nous pouvons aussi dire que l'outil Ping nous fournit les mêmes informations
indépendamment du système d'exploitation sur lequel il est installé. Toutefois, il
y a quelques différence au niveau des arguments et paramètres par défaut de la
commande ping.
3. Analyse des résultats d’un ping

a. Connectivité de postes
En faisant un ping sur mon site web kasereka.info depuis un poste sur internet,
nous obtenons le résultat repris dans la capture d’écran suivante :
Ce résultat montre que quatre paquets ICMP ont été envoyés et quatre reçus. Ce
résultat nous montre que l'hôte de destination est bien "vivant" au niveau ICMP
mais ne nous donne aucune autre indication comme par exemple un serveur web
est actif ou pas.
En faisant la même chose sur un autre site openmaniak.com, nous obtenons un

résultat plutôt différent, comme sur la capture ci-dessous :
L'hôte openmaniak.com qui a l'adresse IP 84.16.88.15 n'a pas répondu au Ping. Il

est intéressant de dire que la réponse négative ne signifie pas toujours que le
destinataire n'est pas vivant ou en ligne (dans cet exemple, il est bien en ligne et
fait tourner un serveur web), le résultat signifie juste qu'il ne répond pas à la
requête ICMP.
De nombreuses raisons peuvent en être la cause. Ci-dessous nous allons tenter de

présenter les quatre raison les plus fréquentes.
Raison 1 : pare-feu externe
Dans le premier cas, un pare-feu (firewall) externe bloque les requêtes ICMP.
ICMP peut être utilisé comme premier pas en vue d'une attaque parce qu'il peut
indiquer les hôtes actifs sur le réseau. Dans ce cas, le réseau derrière le pare-feu
est caché du monde extérieur même s'il ne répond pas au Ping.
Bloquer les messages ICMP est une des recommandations de base pour protéger
un réseau. Le pare-feu externe est plus souvent utilisé pour sécuriser les réseaux
professionnels parce qu'il coûte cher et requière des connaissances avancées
pour le configurer correctement.
Raison 2 : pare-feu sur la station de travail
Dans le deuxième cas, la station de travail possède un pare-feu (firewall)

personnel qui bloque les messages ICMP.
Un pare-feu personnel est recommandé pour les ordinateurs de maison pour les
même raisons que celles décrites plus haut.
Raison 3 : Le poste « pigné » n’est pas sur le réseau
Dans le troisième cas, la machine "pingée" n'est pas connectée au réseau IP, par
exemple parce que le câble réseau est débranché.
Le message echo_request sera détruit sur le dernier routeur ou équipement de

niveau 3 de OSI avant l'hôte distant.
Raison 4 : Le poste « pigné » est éteint

Dans le quatrième cas, l'hôte est éteint ou a sa carte réseau désactivée. Comme
dans le cas précédent, le message echo_request est détruit sur le dernier routeur
ou équipement de niveau 3 du modèle OSI avant l'hôte distant.
b. Congestion réseau
Une autre information précieuse fournie par la commande Ping est le temps pris
par un paquet pour atteindre la destination et revenir. Cette mesure est appelée
le RTT (Round Trip Time) ou temps de réponse (response time) et est affichée en
millisecondes. Le temps de réponse ne doit pas être confondu avec la latence ou
le délai qui sont le temps parcouru par un paquet entre deux hôtes mais dans un
sens.
Le temps de réponse va évidemment affecter la performance des applications

réseau. Des temps de réponses élevés vont menés à des performances faibles.
Quand une application réseau est lente, un premier test basique pour dépanner
est d'obtenir le temps de réponse entre le client et le serveur pour savoir si le
réseau peut être la raison de la lenteur observée.
Il est important de ne pas oublier une autre information liée au temps de

réponse: la perte de paquet (packet loss). Un paquet est déclaré comme perdu si
le message ICMP est détruit en chemin ou s'il retourne à l'expéditeur après le
temps d'attente maximum (timeout) qui est de deux secondes par défaut. Les
pertes de paquets vont mener à un taux élevé de retransmission TCP et donc à
des applications réseau lentes ou interrompues.
On peut se poser la question de savoir « Quels sont les facteurs pouvant affecter
le temps de réponse et la perte de paquet? », dans les lignes qui suivent nous
donnons quelques détails.
 Les câbles réseaux
La qualité et le type des câbles vont grandement affecter le temps de réponse.

Par exemple, les câbles en fibre optique sont plus efficaces que les vieux câbles en
cuivre. De plus, des câbles de basse qualité ou endommagés mèneront à des
pertes de paquets. Des tuyaux larges vont également aider à obtenir des temps
de réponse bas parce qu'en cas de trafic élevé, les paquets ne vont pas ralentir
comme pourront l'être des voitures sur un embouteillage.
 Les équipements réseaux
Les équipements réseaux qui traitent les paquets le long du chemin peuvent
légèrement accroitre le temps de réponse s'ils fonctionnent lentement. Par
exemple, les paquets traversant un routeur surchargé vont subir des
ralentissements parce que le routeur n'aura pas assez de ressources disponibles
pour gérer les paquets rapidement.
 L'éloignement physique
Un équipement éloigné de soi aura un temps de réponse plus haut même avec
des câbles et routeurs excellents. Ceci est du à l'éloignement physique et le
nombre de routeurs à traverser pour joindre la destination.
Pour donner des valeurs très approximatives, le temps de réponse dans un

environnement local (LAN) est d'environ 1 à2 millisecondes tandis que dans un
équipement VPN internet éloigné environ 300 millisecondes.
 Equipements source et destination
De nombreuses personnes pensent qu'un temps de réponse lent ou des pertes de

paquets viennent de problèmes réseaux. Ce n'est très souvent pas le cas parce
que les problèmes peuvent venir des équipements source et destination qui sont
surchargées ou qui ont une carte réseau défectueuses.
Le résultat de la commande Ping donne les valeurs de temps de réponse

minimum, moyenne et maximum qui aident à savoir si le temps de réponse reste
constant ou varie.
c. Time To Live pour la longueur du trajet
Le TTL ou Time-To-Live (Temps-de-Vie) nous donne une indication sur le nombre

de routeurs entre la source et la destination. Le TTL est utilisé pour empêcher
qu'un paquet IP ne tourne en boucle indéfiniment dans un réseau IP et ne mène à
son effondrement. La valeur initiale du TTL d'un paquet IP est de 255 et est
ensuite est décrémentée de 1 chaque fois que le paquet traverse un routeur.
Quand la valeur la valeur de 1 est atteinte, le paquet est détruit par un routeur. La
valeur TTL est contenue dans chaque paquet IP incluant les paquets ICMP. Le TTL
donné par la commande Ping est en fait la valeur TTL d'un paquet de type
echo_response.
Par défaut, Windows va décroitre le TTL de 128 et Ubuntu Linux de 192.
Nous présentons ci-dessous 3 cas spécifiques avec un routeur, une station

Windows et une station Linux Ubuntu.
Cas 1 : la présence des routeurs
Qaund A ping B, il reçoit un TTL de 252 parce que les paquets traversent 4
routeurs (-4). On a donc TTL=256-4=252. D’où le résultat du ping sera comme sur
l’image ci-dessous :
Cas 2 : la présence d’une station MS Windows

Quand A ping B, il reçoit un TTL de 124 parce que les paquets traversent 3
routeurs (-3) et une machine Windows (-128). TTL=256-3-128=125.
Cas 3 : la présence d’une station Linux Ubuntu
quand A ping B, il reçoit un TTL de 61 parce que les paquets traversent 3 routeurs
(-3) et une machine Ubuntu (-192). TTL=256-3-192=61.
4. Arguments de la commande « ping » sous Windows et Linux
Le fonctionnement de Ping est le même sous Windows ou Linux. Toutefois, il

existe quelques petites différences dans l'utilisation et la présentation de la
commande Ping.
a. Utilisation par défaut

 Windows envoie quatre requêtes ICMP quand Linux envoie ces mêmes
paquets indéfiniment. La commande "Cltr + C" interrompt l'envoie de
paquet echo_request.
 Le champ data (donnée) d'un paquet ICMP est de 56 bytes sous Linux et 32
sous Windows. Cela signifie que la longueur totale du paquet ICMP,
incluant les en-têtes de 42 bytes, est de 98 bytes sous Linux et 74 sous
Windows.
b. Arguments
Certains arguments peuvent être différents entre Linux et Windows. Par exemple,
l'option "-l" est utilisée pour configurer la taille de paquet sous Windows tandis
que sous Linux l'argument "-s" est utilisé pour la même fonction.
c. Résultats:
Linux affiche une autre valeur dans le résultat de la commande Ping qui est la
déviation moyenne (mdev). Celle-ci est calculée avec les valeurs des temps de
réponse. La déviation moyenne donne une indication à propos de la constance du
temps de réponse. Autrement dit, une déviation moyenne basse signifiera que les
valeurs des temps de réponse fournies par le Ping sont très similaires.
Voir ci-dessous pour des détails complets à propos des arguments Windows et
Linux.
En tapant, sous Windows (MS-DOS), la commande ping –h, on obtient :

ping [-t] [-a] [-n count] [-l size] [-
Usage:
f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list]
| [-k host-list]]
[-w timeout] [-R] [-S srcaddr] [-4] [-
6] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type
Control-Break;
To stop - type Control-C.
-a Resolve addresses to hostnames
-n count Number of echo requests to send.
-l size Send buffer size.
Set Don't Fragment flag in packet
-f
(IPv4-only).
-i TTL Time To Live.
-v TOS Type Of Service (IPv4-only).
Record route for count hops (IPv4-
-r count
only).
-s count Timestamp for count hops (IPv4-only).
Loose source route along host-list
-j host-list
(IPv4-only).
Strict source route along host-list
-k host-list
(IPv4-only).
Timeout in milliseconds to wait for
-w timeout
each reply.
-R Trace round-trip path (IPv6-only).
-S srcaddr Source address to use (IPv6-only).
-4 Force using IPv4.
-6 Force using IPv6.
En tapant, sous Linux, la commande man ping, on obtiedra de l’aide sur la

commande ping sous Linux.
Par exemple Si vous avez une adresse IP et vous voulez voir si elle a un nom de
domaine associé il faut utiliser l’argument – a. Par exemple « ping –a 8.8.8.8 »
donne le résultat ci-dessous :
CHAPITRE IV. LE ROUTAGE IP
I. Introduction
Les routeurs sont les dispositifs permettant de "choisir" le chemin que les
datagrammes vont emprunter pour arriver à destination. Il s'agit de machines
ayant plusieurs cartes réseau dont chacune est reliée à un réseau différent. Ainsi,
dans la configuration la plus simple, le routeur n'a qu'à "regarder" sur quel réseau
se trouve un ordinateur pour lui faire parvenir les datagrammes en provenance de
l'expéditeur.
Toutefois, sur Internet le schéma est beaucoup plus compliqué pour les raisons
suivantes :
 Le nombre de réseau auxquels un routeur est connecté est

généralement important
 Les réseaux auxquels le routeur est relié peuvent être reliés à d'autres
réseaux que le routeur ne connaît pas directement
Ainsi, les routeurs fonctionnent grâce à des tables de routage et des protocoles de
routage, selon le modèle suivant :
Le routeur reçoit une trame provenant d'une machine connectée à un des réseaux
auquel il est rattaché
 Les datagrammes sont transmis à la couche IP

 Le routeur regarde l'en-tête du datagramme
Si l'adresse IP de destination appartient à l'un des réseaux auxquels une des
interfaces du routeur est rattaché, l'information doit être envoyée à la couche 4
après que l'en-tête IP ait été désencapsulée (enlevée).
Si l'adresse IP de destination fait partie d'un réseau différent, le routeur consulte

sa table de routage, une table qui définit le chemin à emprunter pour une adresse
donnée.
Le routeur envoie le datagramme grâce à la carte réseau reliée au réseau sur

lequel le routeur décide d'envoyer le paquet.
Ainsi, il y a deux scénarios, soit l'émetteur et le destinataire appartiennent au

même réseau auquel cas on parle de remise directe, soit il y a au moins un
routeur entre l'expéditeur et le destinataire, auquel cas on parle de remise
indirecte.
Dans le cas de la remise indirecte, le rôle du routeur, notamment celui de la table

de routage, est très important. Ainsi le fonctionnement d'un routeur est
déterminé par la façon selon laquelle cette table de routage est créée.
Si la table routage est entrée manuellement par l'administrateur, on parle de

routage statique (viable pour de petits réseaux)
Si le routeur construit lui-même la table de routage en fonctions des informations

qu'il reçoit (par l'intermédiaire de protocoles de routage), on parle de routage
dynamique.
II. Table de routage
La table de routage est une table de correspondance entre l'adresse de la machine

visée et le noeud suivant auquel le routeur doit délivrer le message. En réalité il
suffit que le message soit délivré sur le réseau qui contient la machine, il n'est
donc pas nécessaire de stocker l'adresse IP complète de la machine: seul
l'identificateur du réseau de l'adresse IP (c'est-à-dire l'ID réseau) a besoin d'être
stocké.
La table de routage est donc un tableau contenant des paires d'adresses :

Ainsi grâce à cette table, le routeur, connaissant l'adresse du destinataire
encapsulée dans le message, va être capable de savoir sur quelle interface
envoyer le message (cela revient à savoir quelle carte réseau utiliser), et à quel
routeur, directement accessible sur le réseau auquel cette carte est connectée,
remettre le datagramme.
Ce mécanisme consistant à ne connaître que l'adresse du prochain maillon

menant à la destination est appelé routage par sauts successifs (en anglais next-
hop routing).
Cependant, il se peut que le destinataire appartienne à un réseau non référencé

dans la table de routage. Dans ce cas, le routeur utilise un routeur par défaut
(appelé aussi passerelle par défaut).
Voici, de façon simplifiée, ce à quoi pourrait ressembler une table de routage :
Ainsi grâce à cette table, le routeur, connaissant l'adresse du destinataire

encapsulée dans le message, va être capable de savoir sur quelle interface
envoyer le message (cela revient à savoir quelle carte réseau utiliser), et à quel
routeur, directement accessible sur le réseau auquel cette carte est connectée,
remettre le datagramme.
Ce mécanisme consistant à ne connaître que l'adresse du prochain maillon

menant à la destination est appelé routage par sauts successifs (en anglais next-
hop routing).
Cependant, il se peut que le destinataire appartienne à un réseau non référencé

dans la table de routage. Dans ce cas, le routeur utilise un routeur par défaut
(appelé aussi passerelle par défaut).
Voici, de façon simplifiée, ce à quoi pourrait ressembler une table de routage :

Cette table est riche d'enseignements. On apprend très précisément que l'appareil
possède trois interfaces réseau (eth0, eth1, eth2) ainsi que les adresses IP des
réseaux qui sont directement reliés à ces interfaces. On connaît les adresses IP de
deux routeurs. On sait qu'il existe deux réseaux 192.168.1.0 et 192.168.3.0 et
qu'ils sont respectivement derrière les routeurs 100.0.0.1 et 101.0.0.2. En
revanche, il est impossible d'affirmer que ces deux réseaux sont directement
reliés à ces routeurs. Pour résumer, on peut dresser le schéma suivant :
Quelques observations complémentaires :
Étant donné que l'appareil observé possède trois interfaces, c'est très
probablement un routeur. Cependant, notez que tout appareil fonctionnant sous
TCP/IP possède une table de routage (qu'il soit routeur ou non).
Pour que le routage fonctionne, il est impératif que toutes les interfaces réseau
possédant le même préfixe réseau soient reliées au même réseau physique.
II. Les deux modes de routages

Il existe deux modes de routages bien distincts lorsque nous souhaitons aborder la
mise en place d’un protocole de routage, il s’agit du routage statique et du
routage dynamique
A. Routage statique
Dans le routage statique, les administrateurs vont configurer les routeurs un à un
au sein du réseau afin d’y saisir les routes (par l’intermédiaire de port de sortie ou
d’IP de destination) à emprunter pour aller sur tel ou tel réseau. Concrètement,
un routeur sera un pont entre deux réseaux et le routeur d’après sera un autre
pont entre deux autres réseaux :
Ici, l’administrateur a indiqué au routeur 2 que le réseau A pouvait être joint à

travers le routeur 1 qu’il connait puisqu’il se situe sur le même réseau (B) que lui.
Le routage statique permet donc à l’administrateur de saisir manuellement les
routes sur les routeurs et ainsi de choisir lui même le chemin qui lui semble le
meilleur pour aller d’un réseau A à un réseau B. Si un nouveau réseau vient à se
créer sur le routeur 1 par exemple, il faudra indiquer au routeur 2 qu’il faut à
nouveau passer par le routeur 1 pour aller sur le réseau D.
Le routage statique présente plusieurs avantages :
Économie de bande passante : Étant donné qu’aucune information ne transite

entre les routeurs pour qu’ils se tiennent à jour, la bande passante n’est pas
encombrée avec des messages d’information et de routage.
Sécurité : Contrairement aux protocoles de routage dynamique que nous allons

voir plus bas, le routage statique ne diffuse pas d’information sur le réseau
puisque les informations de routage sont directement saisies de manière
définitive dans la configuration par l’administrateur.
Connaissance du chemin à l’avance : L’administrateur ayant configuré l’ensemble

de la topologie saura exactement par où passent les paquets pour aller d’un
réseau à un autre, cela peut donc faciliter la compréhension d’un incident sur le
réseau lors des transmissions de paquets.
Mais aussi des désavantages :
La configuration de réseaux de taille importante peut devenir assez longue et

complexe, il faut en effet connaitre l’intégralité de la topologie pour saisir les
informations de manière exhaustive et correcte pour que les réseaux
communiquent entre eux. Cela peut devenir une source d’erreur et de complexité
supplémentaire quand la taille du réseau grandit.
À chaque fois que le réseau évolue, il faut que chaque routeur soit au courant de
l’évolution par une mise à jour manuelle de la par de l’administrateur qui doit
modifier les routes selon l’évolution.
On voit donc que le routage statique peut être intéressant pour de petits réseaux
de quelques routeurs n’évoluant pas souvent. En revanche pour des réseaux à
forte évolution ou pour les réseaux de grande taille, le routage statique peut
devenir complexe et long à maintenir.
B. Routage dynamique
Le routage dynamique permet quant à lui de se mettre à jour de façon

automatique. La définition d’un protocole de routage va permettre au routeur de
se comprendre et d’échanger des informations de façon périodique ou
événementielle afin que chaque routeur soit au courant des évolutions du réseau
sans intervention manuelle de l’administrateur du réseau. Concrètement, le
protocole de routage fixe la façon dont les routeurs vont communiquer mais
également la façon dont ils vont calculer les meilleures routes à emprunter. Nous
verrons un peu plus bas qu’il existe pour cela deux méthodes mais avant voici un
schéma qui illustre le routage dynamique :
On voit ici que dans un premier temps, on ajoute le réseau C au routeur 2 (on le
connecte à l’interface du routeur 2). Une annonce va ensuite suivre pour que les
autres routeurs sachent que le réseau C est joignable via le Routeur 2. Par la suite,
les routeurs continuerons à communiquer périodiquement pour voir si chacun des
routeurs est toujours joignable. Si un routeur vient a tomber et qu’une autre route
existe pour accéder à un réseau, les tables de routages des routeurs vont se
modifier dynamiquement via des communications faites entres les routeurs et le
calcul de la meilleur route possible à emprunter. Cela facilite la transmission des
informations entre les routeurs et la mise à jour des topologies réseaux. On doit
bien sûr pour cela définir la façon dont ils vont communiquer et calculer les routes
(le protocole de routage qu’ils doivent utiliser). Ils pourront ensuite se
comprendre par l’échange de messages de mise à jour, des messages “hello”
(indiquant que l’hôte est toujours joignable), des requêtes et des réponses
diverses et différentes selon le protocole de routage.
Il est important de savoir que certains protocoles de routage calculent les routes
en fonction de la vitesse des liens les liants, d’autres en fonction du nombre de
routeurs à passer avant d’atteindre notre destination (saut), etc.
Le routage dynamique présente les avantages suivants:
 Une maintenance réduite par l’automatisation des échanges et des

décisions de routage
 Une modularité et une flexibilité accrue, il est plus facile de faire évoluer le
réseau avec un réseau qui se met à jour automatiquement.
 Sa performance et sa mise en place ne dépendent pas de la taille du réseau
Mais aussi des désavantages :
Il peut être plus compliqué à mettre en place lors de son initialisation
Il consomme de la bande passante de par les messages que les routeurs

s’envoient périodiquement sur le réseau
La diffusion automatique de message sur le réseau peut constituer un problème

de sécurité car un attaquant peut obtenir des informations sur la topologie du
réseau simplement en écoutant et en lisant ces messages d’information du
protocole de routage et même en créer afin de se faire passer pour un membre du
réseau.
Le traitement des messages réseau et le calcul des meilleures routes à emprunter

représentent une consommation de CPU et de RAM supplémentaire qui peut
encombrer certains éléments du réseau peu robuste.
III. Protocole de routage
A. Protocole RIP (Routing Information Protocol)
Il existe deux versions de RIP, la deuxième étant une amélioration de la première.
RIPv2 apporte les modifications suivantes à RIPv1 :
• Le support du routage classless.

• La diffusion du masque réseau dans les mises à jour de routage.
• Le support de V.L.S.M.
• La diffusion des mises à jour de routage s’effectue par multicast avec
l’adresse de classe D 224.0.0.9. (Avec RIPv1 les mises à jour s’effectuent en
broadcast)
• L’authentification de la source de la mise à jour de routage par un texte en
clair (actif par défaut), ou un texte crypté suivant l’algorithme M.D5
(Message-Digest 5).
• L’utilisation d’indicateurs de route externe (route tag) afin de pouvoir
différencier les routes apprises par d’autres protocoles de routage et
redistribuées dans RIP
1. Fonctionnement
Le protocole RIP s’appuie sur l’échange d’information entre les routeurs adjacents.
Chaque routeur connait le coût de ses propres liaisons, et diffuse ses informations
aux autres routeurs qu’il connait. Ensuite les routeurs recalculent les meilleures
routes, grâce aux informations reçues.
Une route ressemble à l’exemple ci-dessous :
La première ligne est une route créée automatiquement par le routeur, lors de la
configuration et la connexion de l’une de ces interfaces. D’où le C en début de
ligne signifiant directly connected. En fin de ligne nous retrouvons le nom de
l’interface concernée.
La deuxième ligne est aussi une route, mais celle-ci a été ajoutée avec le protocole
de routage RIP d’où le R. Nous trouvons ensuite l’adresse du réseau. Puis
l’information *120/1] que nous expliquerons plus tard. Ensuite nous avons via
10.0.0.2, cela veut dire que pour accéder au réseau 30.0.0.0/8 nous allons passer
par le routeur ayant l’adresse IP 10.0.0.2. Le compteur 00:00:02 correspond au
timer du dernier message RIP reçu. Et pour finir nous avons le nom de l’interface
concerné.
2. Table de routage
La table de routage est une sorte de tableau dans le routeur qui répertorie toutes
les routes que celui-ci connait. Une table de routage ressemble à l’exemple ci-
dessous :
On retrouve dans un premier temps la commande que l’on doit taper pour obtenir
la table de routage. Nous avons ensuite la légende des codes que l’on trouve en
début de ligne dans la table. Pour finir nous avons la table de routage.
Lorsqu’un routeur reçoit une route, il compare la route avec les informations de sa
propre table de routage :
- Si la destination n’existe pas, et que la métrique n’est pas infinie alors la

route est ajoutée.
- Si la destination reçue existe, et que la métrique obtenue est meilleure alors
la table de routage est mise à jour.
- Si la destination reçue existe, et que le routeur qui a envoyé la table est le
routeur adjacent déjà connu, et que la métrique obtenue est différente, alors on
met à jour la table de routage.
- Sinon on ne change rien.
3. Temporisations
Un routeur en régime stable diffuse un message RIP toutes les 30 secondes +- 5

secondes, pour avertir que sa table de routage est toujours opérationnelle.
Lorsqu’une modification de la table de routage intervient, le routeur envoie un

message RIP à +- 0 à 5 secondes. Cela permet une prise en compte des
modifications beaucoup plus rapidement.
Le protocole utilise trois temporisations :
- Temporisation appelé : Invalid timer. Si le routeur ne reçoit aucune mise à jour

d’une route dans les 180 secondes, alors la route est marqué non valide (métrique
= 16). Néanmoins la route est sauvegardé jusqu’à la fin de la temporisation
d’annulation (Flush timer).
- Annulation appelé : Flush timer. Si le routeur ne reçoit pas dans les 240 secondes
une mise à jour pour cette route, la route est supprimée de la table de routage.
- Mise hors service appelé : Holdown timer. Cette temporisation permet d’éviter
les boucles de routages au moment de la convergence de la topologie sur la base
de nouvelles informations. Lorsqu’une route devient inaccessible, elle doit le
rester assez longtemps pour que tous les routeurs découvrent que le réseau est
inaccessible par cette route.
Attention : Les valeurs des temporisations que j’indique sont les valeurs utilisées
par les équipements Cisco, si vous vérifiez les valeurs sur les sites des groupes de
normalisation les valeurs peuvent être différentes.
4. RIP et la métrique
La métrique de RIP est simple comparer à d’autre protocole de routage. La

métrique est calculée en fonction du nombre de saut pour atteindre la
destination. Un saut représente le nombre de routeur que doit traverser la
donnée avant d’arriver à destination.
Pour éviter des boucles de routage la métrique maximum est 16, on l’appelle aussi
métrique infini. Un domaine de routage RIP ne peut donc pas excéder 15 sauts de
routage. C’est l’une des raisons qui limite RIP à de petits réseaux.
La métrique est la valeur encadrée en rouge.
5. RIP et la Distance Administrative
La distance Administrative est une valeur qui représente le protocole. Dans un

réseau utilisant que du routage RIP cette valeur est inutile. Mais dans un réseau
utilisant le protocole RIP ainsi que d’autres protocoles comme OSPF, IS-IS, etc.
dans ce cas la valeur de la Distance administrative est plus importante que la
métrique. Lorsqu’une même route existe dans plusieurs protocoles, le routage
analyse la valeur de la distance administrative pour chercher la valeur la plus
faible. Chaque protocole a une valeur par défaut comme nous le montre l’image
ci-dessous :
Voici un tableau regroupant les différentes valeurs de distance administrative
La distance administrative est encadrée en rouge
Prenons l’exemple d’une route A présente plusieurs fois dans la table de routage.
Route A apprise via le protocole RIP et Route A apprise via le protocole OSPF. Le
routeur, avant d’envoyer des données, va comparer les deux distances
administratives. Le protocole RIP avec la valeur 120 et le protocole OSPF avec la
valeur 110. Le routeur utilisera donc la route A apprise avec le protocole OSPF car
sa distance administrative est inférieure.
6. Horizon coupé
Horizon coupé est appelé aussi Split horizon.
Cette technique est utilisée pour accélérer la convergence. Le principe est simple,
on interdit à un routeur d’envoyer une route à un routeur adjacent quand cette
route passe par ce routeur adjacent.
7. Poison reverse
Un routeur diffuse les destinations qui deviennent inaccessibles (time out = 180s
et métrique = infini). Un routeur qui reçoit une route marquée inaccessible
l’intègre en tant que telle dans sa table. Et si au bout de 240 secondes, aucune
nouvelle entrée n’est venue modifier la métrique alors elle est effacée de la table.
EXERCICE 1
1. Schéma du réseau
Voici le schéma réseau (ci-dessous), il comprend 5 routeurs avec RIPv2 activé, 9

réseaux et deux ordinateurs :
2. Configurations du réseau
Nous allons maintenant configurer les 5 routeurs. Nous commencerons par

configurer les adresses IP des interfaces. Pour ensuite configurer le routage RIP.
a) Routeur 1
Router#configure terminal
Enter configuration commands, one per line. End with
CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname R1
R1(config)#interface fastEthernet 0/0

R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#exit
R1(config-if)#exit
R1(config)#interface serial 0/0

R1(config-if)#clock rate 128000
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.1.0
R1(config-router)#end
R1#wr
b) Routeur 2
CNTL/Z.

R2(config-if)#exit

R2(config-if)#exit

R2(config-if)#exit
R2#wr
b) Routeur 3
CNTL/Z.

R3(config-if)#exit

R3(config-if)#exit
R3(config-if)#exit

R3(config-if)#exit
R3#wr
d) Routeur 4
CNTL/Z.
R4(config-if)#exit

R4(config-if)#exit

R4(config-if)#exit
R4#wr
e) Routeur 5
CNTL/Z.

R5(config-if)#exit

R5(config-if)#exit
R5(config-if)#exit
R5#wr
3) Vérifications
Après avoir attendu quelques minutes, nous affichons la table de routage.
Nous tapons pour cela la commande suivante : show ip route
Nous obtenons le résultat suivant :
Si nous regardons plus en détails, nous pouvons voir que pour aller de PC1 à
PC2 le routeur R1 va envoyer les données au routeur R3 à son interface
10.0.0.2. Que la métrique pour accéder à PC2 est de "2". Et que les données
sortiront par l’interface Serial0/0.
Pour vérifier que votre routeur utilise bien la version 2 de RIP, taper la
commande suivante :
show ip protocols
Cette commande vous donnera toutes les informations sur RIP.

La commande : show run
Vous permet aussi de vérifier la version de RIP.
8. Récapitulatif des commandes RIP
- router rip : Active le routage RIP.
- version2 : Active la version 2 de RIP.
- network xxx.xxx.xxx.xxx : Déclare un réseau dans RIP.
- no auto-summary : Désactive le résumé automatique des routes dans les
tables de routages.
- show ip route : Affiche la table de routage.
- show ip protocols : Affiche les informations sur le ou les protocoles de
routages actif.
- show run : Affiche toute la configuration active du routeur.
B. Protocole OSPF( Open Shortest Path First)
Cette partie suit le la séquence sur le routage statique et le routage dynamique

avec RIP.
Les routeurs supportant RIP s'échangent des informations sur les routes qu'ils
possèdent (les fameux "vecteurs de distance"). Si une panne se produit, les
routeurs immédiatement voisins notent que certaines routes sont devenues
inaccessibles et propagent l'information aux autres. Mais hélas, RIP souffre de
certaines limitations qui ont poussé l'IETF (Internet Engineering Task Force) à
plancher sur un protocole plus robuste, plus efficace, plus paramétrable et
supportant des réseaux de grande taille. Cette merveille s'appelle OSPF (Open
Shortest Path First), protocole supporté par Zebra.
1. Les grands principes
OSPF est un protocole de routage dynamique défini par l'IETF à la fin des
années 80. Il a fait l'objet d'un historique relativement complexe de RFC. Ce
protocole a deux caractéristiques essentielles :
- il est ouvert (le Open de OSPF), son fonctionnement peut être connu de
tous ;
- il utilise l'algorithme SPF (Shortest Path First), plus connu sous le nom
d'algorithme de Dijkstra, afin d'élire la meilleure route vers une destination
donnée.
Exemple de topologie
2. La notion de coût
Supposons que du routeur R1 on cherche à atteindre le réseau 192.168.1.0.

Dans une telle situation, RIP aurait élu la route passant par R5 puisque c'est la
plus courte en termes de saut. Cependant, imaginez que les liens représentés
sous forme d'éclairs soient "rapides" (type Ethernet à 100 Mbps par exemple)
et que les liens "droits" soient "lents" (type Ethernet à 10 Mbps par exemple).
Le choix de RIP n'est plus du tout pertinent !
OSPF fonctionne différemment. Il attribue un coût à chaque liaison

(dénommée lien dans le jargon OSPF) afin de privilégier l'élection de certaines
routes. Plus le coût est faible, plus le lien est intéressant. Par défaut, les coûts
suivants sont utilisés en fonction de la bande passante du lien :
La formule de calcul est simplissime :
Coût = référence / bande passante du lien.
Par défaut, la référence est 100 000 000 correspondants à un réseau à 100
Mbps.
OSPF privilégie les routes qui ont un coût faible, donc celles qui sont supposées
rapides en terme de débit théorique.
3. La base de données topologique
Avec OSPF, tous les routeurs d'un même réseau (on parle de "zone" dans le
vocabulaire OSPF, ceci vous sera expliqué avant la mise en pratique) travaillent
sur une base de données topologique identique qui décrit le réseau. Cette
base a été constituée pendant une première phase de découverte qui vous
sera expliquée un peu plus loin. Examinons la base de données suivante qui
décrit la topologie de la figure 1 :
4. L'élection des meilleures routes
L'algorithme du SPF de Dijsktra va traiter cette base de données afin de

déterminer les routes les moins coûteuses. Une fois le traitement réalisé,
chaque routeur se voit comme la racine d'un arbre contenant les meilleures
routes. Par exemple :
Dans l'exemple, entre R1 et 192.168.1.0, la meilleure route passe par R2, R3 et

R4 pour un coût total de 1 + 1 + 10 + 10 soit 22.
5. La détermination d'une table de routage

La base de données topologique décrit le réseau mais ne sert pas directement
au routage. La table de routage est déterminée par l'application de
l'algorithme du SPF sur la base topologique. Sur R1, voici un extrait de la table
de routage calculée par SPF au sujet du réseau 192.168.1.0 :
6. Le fonctionnement d'OSPF un peu plus en détail
Pour administrer un réseau OSPF correctement, il est indispensable de

comprendre le fonctionnement interne du protocole.
À l'intérieur d'une même zone, les routeurs fonctionnant sous OSPF doivent
préalablement remplir les tâches suivantes avant de pouvoir effectuer leur
travail de routage :
 établir la liste des routeurs voisins ;

 élire le routeur désigné (et le routeur désigné de secours) ;
 découvrir les routes ;
 élire les routes à utiliser ;
 maintenir la base de données topologique.
7. état initial
Le processus de routage OSPF est inactif sur tous les routeurs de la figure 1.
- Etablir la liste des routeurs voisins : Hello, my name is R1 and I'm an OSPF router.
Les routeurs OSPF sont bien élevés. Dès qu'ils sont activés, ils n'ont qu'une hâte :
se présenter et faire connaissance avec leurs voisins. En effet, lorsque le processus
de routage est lancé sur R1 (commande router ospf), des paquets de données
(appelés paquets HELLO) sont envoyés sur chaque interface où le routage
dynamique a été activé (commande network). L'adresse multicast 224.0.0.5 est
utilisée, tout routeur OSPF se considère comme destinataire. Ces paquets ont
pour but de s'annoncer auprès de ses voisins. Deux routeurs sont dits voisins s'ils
ont au moins un lien en commun. Par exemple, sur la figure 1, R1 et R2 sont
voisins mais pas R1 et R3.Lorsque le processus de routage OSPF est lancé sur R2,
celui-ci récupère les paquets HELLO émis par R1 toutes les 10 secondes (valeur par
défaut du temporisateur appelé hello interval). R2 intègre l'adresse IP de R1 dans
une base de données appelée "base d'adjacences" (adjacencies database). Cette
base contient les adresses des routeurs voisins. Vous pourrez visionner son
contenu grâce à la commande show ip ospf neighbor. R2 répond à R1 par un
paquet IP unicast. R1 intègre l'adresse IP de R2 dans sa propre base d'adjacences.
Ensuite, généralisez ce processus à l'ensemble des routeurs de la zone.
Cette phase de découverte des voisins est fondamentale puisque OSPF est un
protocole à état de liens. Il lui faut connaître ses voisins pour déterminer s'ils sont
toujours joignables et donc déterminer l'état du lien qui les relie.
- Elire le routeur désigné : c'est moi le chef !
Dans une zone OSPF, l'un des routeurs doit être élu "routeur désigné" (DR pour
Designated Router) et un autre "routeur désigné de secours" (BDR pour Backup
Designated Router). Le DR est un routeur particulier qui sert de référent au sujet
de la base de données topologique représentant le réseau.
Pourquoi élire un routeur désigné ? Cela répond à trois objectifs :
 Réduire le trafic lié à l'échange d'informations sur l'état des liens (car il n'y a
pas d'échange entre tous les routeurs mais entre chaque routeur et le DR) ;
 Améliorer l'intégrité de la base de données topologique (car il y a une base
de données unique) ;
 Accélérer la convergence (souvenez-vous, c'était le talon d'Achille de RIP).
Comment élire le DR ? Autrement dit, qui va se taper la corvée d'expliquer à ses

petits camarades la topologie du réseau ? On ne demande pas qui sait parler
anglais ou couper les cheveux comme au temps de la conscription Mais comme il
faut bien un critère, le routeur élu est celui qui a la plus grande priorité. La priorité
est un nombre sur 8 bits fixé par défaut à 1 sur tous les routeurs. Pour départager
les routeurs ayant la même priorité, c'est celui avec la plus grande adresse IP qui
est élu. Le BDR sera le routeur avec la deuxième plus grande priorité. Afin de
s'assurer que votre routeur préféré sera élu DR, il suffit de lui affecter une priorité
supérieure à 1 avec la commande ospf priority. Vous devrez faire ceci avant
d'activer le processus de routage sur les routeurs car, une fois élu, le DR n'est
jamais remis en cause même si un routeur avec une priorité plus grande apparaît
dans la zone.
- Découvrir les routes
Il faut maintenant constituer la base de données topologique. Les routeurs

communiquent automatiquement les routes pour les réseaux qui participent au
routage dynamique (ceux déclarés avec la commande network). Zebra étant
multiprotocole, il peut également diffuser des routes provenant d'autres sources
que OSPF, grâce à la commande redistribute.
Chaque routeur (non DR ou BDR) établit une relation maître/esclave avec le DR. Le
DR initie l'échange en transmettant au routeur un résumé de sa base de données
topologique via des paquets de données appelés LSA (Link State Advertisement).
Ces paquets comprennent essentiellement l'adresse du routeur, le coût du lien et
un numéro de séquence. Ce numéro est un moyen pour déterminer l'ancienneté
des informations reçues. Si les LSA reçus sont plus récents que ceux dans sa base
topologique, le routeur demande une information plus complète par un paquet
LSR (Link State Request). Le DR répond par des paquets LSU (Link State Update)
contenant l'intégralité de l'information demandée. Ensuite, le routeur (non DR ou
BDR) transmet les routes meilleures ou inconnues du DR.
L'administrateur peut consulter la base de données topologique grâce à la

commande show ip ospf database.
- Elire les routes à utiliser
Lorsque le routeur est en possession de la base de données topologique, il est en

mesure de créer la table de routage. L'algorithme du SPF est appliqué sur la base
topologique. Il en ressort une table de routage contenant les routes les moins
coûteuses.
Il faut noter que sur une base de données topologique importante, le calcul
consomme pas mal de ressources CPU car l'algorithme est relativement complexe.
- Maintenir la base topologique

Lorsqu'un routeur détecte un changement de l'état d'un lien (cette détection se
fait grâce aux paquets HELLO adressés périodiquement par le routeur à ses
voisins), celui-ci émet un paquet LSU sur l'adresse multicast 224.0.0.6 : le DR et le
BDR de la zone se considèrent comme destinataires. Le DR (et le BDR) intègre
cette information à sa base topologique et diffuse l'information sur l'adresse
224.0.0.5 (tous les routeurs OSPF sans distinction). C'est le protocole
d'inondation.Toute modification de la topologie déclenche une nouvelle exécution
de l'algorithme du SPF et une nouvelle table de routage est constituée.
Voilà pour les principes fondamentaux d'OSPF mais des notions importantes
restent à évoquer si vous souhaitez déployer OSPF sur de grands réseaux (en
particulier sur le fonctionnement d'OSPF sur un réseau point à point et sur
l'agrégation de routes). Si vous voulez approfondir, reportez-vous au livre de C.
Huitema cité en bibliographie qui, bien qu'un peu ancien est très complet sur la
question. Bien sûr, vous pouvez toujours vous plonger dans les différentes RFC qui
constituent OSPF (la RFC 2328 en particulier) et dont la lecture est toujours aussi
agréable et passionnante ! (je plaisante, bien sûr).
Avant d'attaquer la pratique, un dernier concept : les zones OSPF.
- Le concept de zone (area)
Contrairement à RIP, OSPF a été pensé pour supporter de très grands réseaux.
Mais, qui dit grand réseau, dit nombreuses routes. Donc, afin d'éviter que la
bande passante ne soit engloutie dans la diffusion des routes, OSPF introduit le
concept de zone (area). Le réseau est divisé en plusieurs zones de routage qui
contiennent des routeurs et des hôtes. Chaque zone, identifiée par un numéro,
possède sa propre topologie et ne connaît pas la topologie des autres zones.
Chaque routeur d'une zone donnée ne connaît que les routeurs de sa propre zone
ainsi que la façon d'atteindre une zone particulière, la zone numéro 0. Toutes les
zones doivent être connectées physiquement à la zone 0 (appelée backbone ou
réseau fédérateur). Elle est constituée de plusieurs routeurs interconnectés. Le
backbone est chargé de diffuser les informations de routage qu'il reçoit d'une
zone aux autres zones. Tout routage basé sur OSPF doit posséder une zone 0.
- Un réseau découpé en trois zones

Le réseau est découpé en trois zones dont le backbone. Les routeurs de la zone 1,
par exemple, ne connaissent pas les routeurs de la zone 2 et encore moins la
topologie de la zone 2. L'intérêt de définir des zones est de limiter le trafic de
routage, de réduire la fréquence des calculs du plus court chemin par l'algorithme
SPF ainsi que d'avoir une table de routage plus petite (ce qui accélère la
convergence). Les routeurs R1 et R4 sont particuliers puisqu'ils sont "à cheval"
entre plusieurs zones (on les appelle ABR pour Area Border Router ou routeur de
bordure de zone). Ces routeurs maintiennent une base de données topologique
pour chaque zone à laquelle ils sont connectés. Les ABR sont des points de sortie
pour les zones ce qui signifie que les informations de routage destinées aux autres
zones doivent passer par l'ABR local à la zone. L'ABR se charge alors de
retransmettre les informations de routage au backbone. Les ABRs du backbone
ensuite redistribueront ces informations aux autres zones auxquelles ils sont
connectés.
EXERCICE 2
Imaginez un premier réseau fonctionnant avec un routage dynamique RIP, puis un

deuxième réseau fonctionnant avec un routage dynamique OSPF. Nous voulons
interconnecter les deux réseaux, sachant que les deux réseaux utilisent deux
protocoles de routage différents. Nous voulons réussir à Pinger de PC1 à PC2,
donc traverser réseau RIP et OSPF de bout en bout.
1. Configurations
1) Configuration du réseau RIP
a) Routeur RIP1
CNTL/Z.
Router(config)#hostname RIP4
RIP4(config)#interface FastEthernet 0/1
RIP4(config-if)#ip address 21.0.0.1 255.255.255.252
RIP4(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed

state to up
RIP4(config-if)#exit

state to up
RIP1(config)#router rip
RIP1(config-router)#version 2
RIP1(config-router)#no auto-summary
RIP1(config-router)#network 20.0.0.0
RIP1(config-router)#end
b) Routeur RIP2
CNTL/Z.
state to up

state to up

state to up
c) Routeur RIP3
CNTL/Z.
RIP3config)#interface FastEthernet 0/0

state to up
RIP3(config-router)#v
RIP3(config-router)#no au
RIP3(config-router)#ne
d) Routeur RIP4
CNTL/Z.

state to up

state to up
e) Routeur RIP5
CNTL/Z.

state to up

state to up
2) Configuration du réseau OSPF
a) Routeur OSPF1
CNTL/Z.
Router(config)#hostname OSPF4
OSPF4(config)#interface FastEthernet 0/1
OSPF4(config-if)#ip address 11.0.0.1 255.255.255.252
OSPF4(config-if)#no shutdown

state to up
OSPF4(config-if)#exit

state to up
OSPF1(config)#router ospf 1
OSPF1(config-router)#network 11.0.0.0 0.0.0.3 area 0
OSPF1(config-router)#end
b) Routeur OSPF2
CNTL/Z.

state to up
state to up

state to up
c) Routeur OSPF3
CNTL/Z.
OSPF3config)#interface FastEthernet 0/0

state to up
d) Routeur OSPF4
CNTL/Z.

state to up
state to up
e) Routeur OSPF5
CNTL/Z.

state to up
state to up
OSPF5(config-router)#network 192.168.1.0 0.0.0.255 area
0
3) Observations
Regardons maintenant les tables de routage des routeurs RIP1 et OSPF1 :
RIP1 :
OSPF1 :
Nous pouvons remarquer que le routeur RIP connait bien les réseaux utilisant le
protocole RIP mais ne connait aucun des réseaux utilisant OSPF, et inversement
pour le routeur OSPF1.
IV) Configuration du Routeur-central
Maintenant que nous avons configurés tous les routeurs de nos deux grands
réseaux, nous devons configurer le routeur-central qui fera l’interconnexion entre
les deux réseaux et permettre la redistribution.
1) Configuration de base
CNTL/Z.
Router(config)#hostname Routeur-central
Routeur-central(config)#interface FastEthernet 0/1
Routeur-central(config-if)#ip address 20.0.0.1
255.255.255.252
Routeur-central(config-if)#no shutdown
state to up
Routeur-central(config-if)#exit
Routeur-central(config)#interface FastEthernet 0/0
Routeur-central(config-if)#ip address 10.0.0.1
255.255.255.252
Routeur-central(config-if)#no shutdown

state to up
Routeur-central(config-if)#exit
Routeur-central(config)#router ospf 1
Routeur-central(config-router)#network 10.0.0.0 0.0.0.3
area 0
Routeur-central(config-router)#network 20.0.0.0 0.0.0.3
area 0
Routeur-central(config-router)#exit
Routeur-central(config)#router rip
Routeur-central(config-router)#version 2
Routeur-central(config-router)#no auto-summary
Routeur-central(config-router)#network 10.0.0.0
Routeur-central(config-router)#network 20.0.0.0
Routeur-central(config-router)#end
2) Configuration de la redistribution
On commence par configurer la redistribution des routes configurées via le

protocole OSPF pour remplir la table de routage RIP.
Routeur-central(config)#router rip
Routeur-central(config-router)#redistribute ospf 1
metric 5
Pour certain IOS la commande :
metric 5
Doit etre remplacer par :
Routeur-central(config-router)#default -metric 5
Et pour finir nous configurons la redistribution des routes configurées via le
protocole RIP pour remplir les tables de routage OSPF.
Routeur-central(config)#router ospf 1
Routeur-central(config-router)#redistribute rip subnets
3) Observations
Regardons de nouveau les tables de routage des routeurs RIP1 et OSPF1 :
RIP1 :
OSPF1 :
Nous pouvons observer cette fois que les tables de routage de RIP1 et OSPF1 sont
complètes. OSPF1 connait tous les réseaux utilisant le routage OSPF mais aussi les
réseaux utilisant le routage RIP, et inversement avec RIP1.
CHAPITRE V. ADMINISTRATION RESEAUX SELON OSI ET TCP/IP
II. 1. INTRODUCTION
Partant de la définition du réseau informatique qui est l’ensemble d’équipement
relié entre eux par des canaux de transmission, il est devenu une ressource
indispensable au bon fonctionnement d’une organisation soit d’une entreprise. Le
management réseau d’entreprise met en œuvre un ensemble de moyens pour
offrir aux utilisateurs, un service de qualité et, permettre l’évolution du système
en incluent des nouvelles fonctionnalités tout en optimisant les performances de
services pour les utilisateurs en fin de les permettre de maximiser l’utilisation
des ressources pour un cout minimal.
Ceci-dit, l’étude scrupuleuse du concept management réseau s’avère très

important en fin d’amener l’idée du concepteur au bon port.
II. 2. CONCEPT DU MANAGEMENT RESEAU D’ENTREPRISE

Henry Fayol dit « administrer, c’est avant tout commander pour obtenir que des
objectifs préalablement définis » fin de citation.
Une bonne administration marche avec :
 la prévoyance : anticiper l’avenir et préparer l’organisation à s’adapter aux

changements ;
 l’organisation : construire une structure, définir les responsabilités ou
charges, sélectionner, entrainer les managers ;
 les commandements ;
 la coordination : mettre de l’harmonie, concilier les activités afin que les
fonctions travaillent dans le même sens, à la réalisation de mêmes objectifs ;
 le contrôle : vérifier si les objectifs sont réalisés conformément aux ordres et
aux principes.
Dans le concept du management réseau d’entreprise, il est essentielle de

situé les différents niveaux de la prise des décisions par le gestionnaire du réseau
informatique à savoir :
 les décisions opérationnelles : qui, à court terme concerne l’administration

du réseau au jour le jour et, la tenu de l’opération se fait à temps réel sur le
système ;
 les décisions tactiques : qui sont à moyen terme et concernent l’évolution
du réseau et l’application du politique à long terme ;
 en fin les décisions stratégique: qui, des décisions à long terme concernant
les stratégies pour le futur en expriment les nouveaux besoins et les désirs
des utilisateurs.
De nos jours, les réseaux informatiques sont de plus en plus complexes et ils sont
indispensables à gérer. Il existe plusieurs outils pour cela, donc les connaissances
sur les méthodes qui travail, les protocoles qu’il utilise est très importent. Dans
le cadre du type l’on fait la recherche sur les protocoles existant qui permettent
de comprendre les méthodes, les mécanismes de la gestion des réseaux
informatiques.
Dans ce cas nous avons :
 le protocole pour la gestion des réseaux dans OSI :(CMIS /CMIP)

 et le protocole pour la gestion des réseaux dans TCP/IP (SNMP).
II. 3. LE MENAGEMENT RESEAU SELON OSI
II.3.2. Système d’administration réseau

L’administration d’un réseau suppose l’existence d’un système d’information
décrivant le réseau de l’entreprise et recensant toutes les données et événements
qui s’y produisent. Le traitement des informations collectées appartient à la
sphère de compétence de l’administrateur. L’expérience et l’intuition, qualités
essentielles de ce dernier, ne sont pas modélisables. Cependant, aujourd’hui, les
moteurs d’inférence issus de l’intelligence artificielle constituent une aide non
négligeable au diagnostic, à la simulation et à la planification des opérations
correctives ou évolutives.
1. Définition
Un système d’administration réseau est une collection d’outils pour la supervision

et le contrôle du réseau qui sont intégrés dans le sens qu’ils impliquent :
 Une interface opérateur unique avec un puissant, mais convivial ensemble
de commandes pour exécuter la plupart de toutes les tâches
d’administration réseau ;
 Un nombre minimal d’équipements séparés qui sont le plus souvent des
composants matériels et logiciels requis pour l’administration réseau, et
incorporés dans les équipements utilisateurs existants.
Ainsi, un système d’administration réseau consiste en une adjonction

supplémentaire de composants matériels et logiciels parmi les composants du
réseau déjà existants. Les logiciels utilisés dans l’accomplissent des tâches
d’administration réseau résident dans des ordinateurs hôtes et les processeurs de
communication (les agents frontaux ou Proxy-Agent, les contrôleurs de grappes
d’ordinateurs terminaux, etc.)
2. Architecture
Un système d’administration réseau est conçu pour visualiser le réseau tout

entier comme une architecture unie, avec des adresses et des étiquettes
attribuées à chaque nœud, et les attributs particuliers de chaque éléments et
liaison connue du système. Les éléments actifs du réseau fournissent la
rétroaction régulière des informations sur leur état au « Network-Control Center
» (NCC) ou « Centre de Contrôle Réseau ».
La figure ci-dessous présente l’architecture d’un système d’administration réseau.
Chaque nœud du réseau contient une collection de logiciels consacrés aux tâches
d’administration réseau, désignés dans le schéma par « Network-Management
Entity » (NME) ou « Entité d’administration réseau ». Chaque NME exécute les
tâches suivantes :
 Collecter les statistiques sur les communications et les activités concernant
le réseau;
 Conserver ces statistiques localement ;
 Répondre aux commandes provenant du centre de contrôle réseau,
incluant ainsi les commandes suivantes :
o Transmettre les statistiques collectées au centre de contrôle
réseau ;
o Changer un paramètre ;
o Fournir les informations état ;
o Générer un trafic artificiel pour exécuter un test.
Dans le réseau, au moins un hôte est désigné pour jouer le rôle de centre de
contrôle réseau. En plus de l’entité d’administration réseau, l’hôte de contrôle
réseau inclus une collection de logiciels appelés « Network-control Center » (NCC)
ou « Centre de Contrôle Réseau ».
Le centre de contrôle réseau, qui inclut une interface opérateur permettant à un
utilisateur autorisé d’administrer le réseau, répond aux commandes des
utilisateurs en affichant les informations et/ou en transmettant des commandes
aux entités d’administration réseau à travers le réseau. Cette communication est
effectuée via un protocole au niveau application qui utilise l’architecture des
communications de la même manière que le ferait n’importe quelle application
distribuée.
II.3.3. l’administration réseau vu par ISO

1. Généralités
Le réseau informatique est entrain de devenir obligatoire pour tous les domaines
de la vie. La gestion des réseaux est indispensable ; il fait souvent recours à des
techniques d’administration pour pouvoir contrôler son fonctionnement mais
aussi afin d’exploiter aux mieux les ressources disponibles et de rentabiliser au
maximum les investissements réalisés.
La gestion des réseaux informatiques constitue un problème dont l’enjeu est de
garantir au meilleur coût non seulement la qualité du service global rendu aux
utilisateurs, mais aussi la réactivité face aux besoins de changement et
d’évolution.
Elle se définit comme étant l’ensemble des moyens mis en œuvre (connaissance,
technique, méthodes, outils) pour superviser, exploiter des réseaux informatiques
et planifier leurs évolutions en respectant les contraintes de coût et de qualité.
L’ISO ne spécifie aucun système d’administration de réseau, mais définit plutôt un
cadre général avec le document ISO 7498-4 dénommé « OSI Framework » ou «
Cadre Architectural OSI » et un aperçu général des opérations d’administration
des systèmes avec le document ISO 1004 dénommé « OSI System Management »
ou « Système d’administration OSI ». Ces documents de base décrivent trois
modèles :
 Un modèle organisationnel ou architectural appelé « Managed System
and Agents (MSA) » ou « Système Administré et Agent » : qui organise
l’administration OSI et définit la notion de systèmes administrés
(Agents) et Administrant (DMAP, « Distributed Management Application
Processus » ou « Processus Application d’Administration Distribuée ») ;
 Un modèle informationnel appelé « Management Information Base
(MIB) » ou « Base de l’Information d’Administration » : qui constitue la
base de données des informations d’administration, énumérant les
objets administrés et les informations s’y rapportant (attributs) ;
 Un modèle fonctionnel appelé « Specific Management Function Area
(SMFA) » ou « Aire de Fonction d’Administration Spécifique» : qui
repartit les fonctions d’administration en 5 domaines (aires)
fonctionnels, voir la figure ci-dessous.
Gestion de
Gestion des la
performanc configuratio
n Gestion de
es
Administration de la sécurité
réseaux
Gestion des
pannes/erreurs Gestion de
la
comptabilit
é
2. Les différents modèles
a. Le modèle architecturale
Le modèle architectural définit trois types d’activité :
 La gestion du système (System Management)

 La gestion de couche (Layer Management) ;
 Les opérations de couche (Layer Operations).
La gestion du système
La gestion du système (SMAE, System Management Application Entity ou Entité

Application des Systèmes d’Administration) met en relation deux processus : un
processus gérant (Manager) et un processus agent (Agent). Cette entité du niveau
application est responsable des communications avec les autres nœuds du
réseau, spécialement avec les systèmes qui exercent une fonction de Centre de
contrôle réseau.
Un protocole standardisé de niveau application appelé « Common Management

Information Protocol » (CMIP) ou « Protocole d’Information d’administration
Commun » est utilisé à cette fin.
Le Manager est le processus utilisant des services, dans le cadre de l’activité

globale d’administration du réseau. Le Manager envoie des messages de
commandes à ses Agents ; ceux-ci lui retournent les résultats des opérations
effectuées dans des messages de réponses. L’agent est le processus qui exécute
les opérations au niveau des ressources du réseau et fournit le service
d’administration au Manager.
Un Agent signale au Manager les événements intervenus à son niveau, grâce à

des messages de notifications d’événements, voir figure ci-dessous. L’agent gère
localement un ensemble de ressources locales (équipements, protocoles, …) sous
le contrôle du manager.
La gestion du système repose sur des échanges verticaux entre couches (CMIS,
Common Management Information Service). CIMS (ISO 9595) définit les
primitives d’accès aux informations. Ces primitives assurent le transfert
d’information vers les applications de gestion (SMAP, System Management
Application Process ou Processus Application des Systèmes d’Administration) non
spécifiées par l’ISO.
Le SMAP est un logiciel local dans un système administré qui est responsable de
l’exécution des fonctions d’administration dans un seul système (par exemple : un
hôte, un proxy, un routeur, etc.). Il a accès aux paramètres et capacités du
système et peut, cependant gérer tous les aspects du système et les coordonner
avec l’aide des SMAP se trouvant sur les autres systèmes.
Le proxy agent
Lorsque l’Agent n’utilise pas les mêmes normes ou la même syntaxe de

communication que le Manager, une entité tierce appelée « Proxy-Agent » ou
plus simplement « Proxy » ou encore « Front-end processor » permet d’adapter le
protocole de l’Agent et de convertir ses données au format du Manager. Le Proxy-
Agent est situé soit au niveau de l’Agent, soit au niveau du Manager, voir figure ci-
dessous.
La gestion de couche
La gestion de couche, ou protocole de couche, fournit les moyens de transfert des

informations de gestion entre les sites administrés. C’est un dialogue horizontal
(CMIP, Common Management Information Protocol, ISO 9596). Les opérations de
couche (N), ou protocole de couche (N) supervisent une connexion de niveau N.
Ces opérations utilisent les protocoles OSI classiques pour le transfert
d’information
CIMP utilise les primitives de service suivantes (CMISE, Common Management
Information Service Element) :
 Get Cet élément de service est utilisé par le gérant pour lire la valeur
d’un attribut ;
 Set fixe la valeur d’un attribut ;
 Event permet à un agent de signaler d’un événement ;
 Create génère un nouvel objet ;
 Delete permet à l’agent de supprimer un objet.
Opérations de couches
Elles concernent les mécanismes mis en œuvre pour administrer l’unique instance
d’une communication entre 2 entités homologues où les opérations de couche
(N) ou protocole de couche (N) supervisent une connexion de niveau N en
utilisant un certain nombre de primitive de service. Il s’agit d’un dialogue Vertical
assuré par le CMIS.
Application de gestion Application de gestion
SMAP SMAP
SMAE SMAE
Protocole de
gérant/agent gérant/agent
gestion système
Base d’information (MIB)
Base d’information (MIB)

Entité de gestion de Protocole de Entité de gestion de
la couche N gestion de la couche N la couche N
CIMP
Support physique
1. Structure de l’entité applications des systèmes d’administration
Comme toute autre entité de niveau application, le SMAE peut être logiquement
défini comme un ensemble d’éléments de service application en corrélation. Dans
ce cas, le rôle fonctionnel de deux de ces éléments très utiles qui interviennent
dans une variété d’applications distribuées est explicité sur la figure ci-dessous.
Ces deux éléments sont :
 Le « Association-Control-Service Element » (ACSE) ou « Elément du Service
de Contrôle d’Association » : gère la connexion (l’association). Il assure
l’établissement, le maintien, la libération ou l’abandon d’une association.
 Le « Remote-Operation-Service Element » (ROSE) ou « Elément du Service
d’opération distante » : comprend un ensemble de fonctions supportant les
opérations interactives. ROSE est notamment utilisé dans le modèle
client/serveur.
Les ASE « Application Service Element » ou « Elément du Service Application »
sont des mécanismes dans la couche application du modèle OSI réunis en
ensembles homogènes de fonctions rendant un service défini pour le
fonctionnement des programmes utilisateurs situés sur des machines distinctes et
interconnectées. Les deux ASE qui sont spécifique à l’administration réseau sont :
 Le « Common Management Information Service Element » (CMISE) ou «
Elément du Service d’Information d’administration Commun »;
 Le « System-Management Application-Service Element » (SMASE) ou «
Elément du Service Application d’administration Système ».
2. Elément du service application d’administration système (SMASE)
Le SMASE fournit des services variés qui sont disponibles à l’Administrateur du

réseau et aux applications (par exemple : SMAP) qui implémentent les fonctions
d’administration réseau. Le SMASE implémente les fonctions de base
d’administration réseau dans les domaines de la gestion des erreurs, la gestion de
la Comptabilité, la gestion de la configuration, la gestion des performances, et la
gestion de la sécurité. Pour les fonctions qui requièrent la communication avec les
autres systèmes, le SMASE compte sur le CMISE.
3. Elément du service d’administration commun (CMISE)
Le CMISE fournit une collection de fonctions d’administration réseau de base qui

supportent les 5 aires fonctionnelles visible par les Administrateurs de réseau via
le SMASE.
Dans le but de fournir l’administration réseau de système distribuée, tous les
éléments illustrés dans les figures présentées ici doivent être implémentés d’une
manière distribuée à travers tous les systèmes qui sont sujets à l’administration
réseau.
Système Manager
Processus Manager
Requête/opérations d’administration Réponse/Notifications d’administration
Système géré
Processus Agent
Objets gérés
Autres systèmes gérés
Les activités d’administration sont effectuées à travers les manipulations des

objets administrés. Chaque système contient un certain nombre de ces objets.
Chaque objet est une structure de données qui correspond à une entité réelle à
gérer.
4. Rôles dévolues au processus application des systèmes d’administration (SMAP)
Le SMAP est autorisé d’assurer soit un rôle d’Agent, soit un rôle de Manager. Le
rôle de Manager pour un SMAP survient dans un système qui agit comme un
Centre de Contrôle Réseau. Le Manager émet des requêtes pour des commandes
d’informations et d’opérations à exécuter dans les systèmes administrés dans le
réseau. Le rôle d’Agent pour un SMAP survient dans un système administré qui
interagit avec le Manager et est responsable de l’administration des objets dans
le système.
b. Le modèle informationnel
Le standard OSI décrit une méthode de définition des données d’administration

qui modélise la représentation des informations et qui fournit un ensemble de
directives pour garantir la cohérence de la base (SMI, Structure of Management
Information).
La représentation des éléments gérés (objets gérés) est orienté objet, les classes
et les occurrences d’objets sont représentées selon un arbre. Les classes sont
rattachées à un arbre dit d’héritage (Inheritance Tree), les occurrences d’objets à
un arbre dit de contenance (Containment Tree). Un objet est décrit par sa classe
d’appartenance, son nom, ses attributs et les types d’opérations qu’il supporte.
L’ensemble des objets gérés constitue la MIB (ISO 10165). La MIB contient toutes
les informations administratives sur les objets gérés (ponts, routeurs, cartes,…).
La norme ne spécifie aucune organisation particulière des données. Seul, le
processus agent a accès à la MIB. Le processus manager accède aux données via
le processus agent.
c. Modèle fonctionnel
L’OSI a regroupé les activités d’administration en cinq groupes fonctionnels (aires

fonctionnelles) y sont décrits (SMFA, Specific Management Fucntion Area) : Ce
modèle plus concret que les précédents, définit des domaines fonctionnels
d’administration et leurs relations
 La gestion de la comptabilité (Accounting Management);
 La gestion des anomalies ou de panne (fault management) ;
 La gestion des la configuration et des noms (Configuration
Management) ;
 La gestion des performances (Performance Management) ;
 La gestion de la sécurité (Security Management).
1. La gestion des anomalies ou de panne (Fault Management)
La gestion des anomalies ou de panne a pour objectif le diagnostic rapide de

toute défaillance interne ou externe du système ; tout dysfonctionnement (panne
d’un routeur) ; ces pannes pouvant être d’origine interne résultant d’un élément
en panne ou d’origine externe dépendant de l’environnement du système
(coupure d’un lien publique).
Cette gestion implique :
 La surveillance des alarmes (filtre, report, …) ; il s’agit de surveiller le

système et de détecter les défauts. On établit un taux d’erreurs et un
seuil à ne pas dépasser.
 Le traitement des anomalies ;
 La localisation et le diagnostic des incidents (séquences de tests) la
journalistique des problèmes, etc.
2. La gestion de la configuration (Configuration Management)
Elle consiste à identifier de manière unique chaque objet administré par un nom
ou un identificateur d’objet (OID, Object Identifier). Il s’agit également de gérer la
configuration matérielle et logicielle et de préciser la localisation géographique.
3. La gestion des performances (Performance Management)
La gestion des performances consiste à contrôler, à évaluer la performance et

l’efficacité des ressources, à savoir le temps de réponse, le débit, le taux d’erreur
par bit, la disponibilité (aptitude à écouler du trafic et à répondre aux besoins de
communication pour lequel la ressource a été mise en service).
Elle comprend la collecte d’informations, statistiques (mesure du trafic, temps de
réponse, taux d’erreurs, etc.), le stockage et l’interprétation des mesures
(archivage des informations statistiques dans la MIB, calculs de charge du
système, tenue et examen des journaux chronologiques de l’état du système). Elle
est réalisée à l’aide d’outil de modélisation et simulation permettant d’évaluer
l’impact d’une modification de l’un des paramètres du système.
4. La gestion de la sécurité (Security Management
La gestion de la sécurité couvre tous les domaines de la sécurité afin d’assurer

l’intégrité des informations traitées et des objets administrés. L’ISO a défini cinq
services de sécurité :
 Les contrôles d’accès au réseau ;
 La confidentialité (les données ne sont communiquées qu’aux
personnes, ou processus autorisés) ;
 L’intégrité (les données n’ont pas été accidentellement ou
volontairement modifiées ou détruites) ;
 L’authentification (l’entité participant à la communication est bien celle
déclarée) ;
 La non-répudiation (impossibilité pour une entité de nier d’avoir
participé à une transaction).
Pour cela l’ISO utilise les mécanismes d’encryptage, l’authentification des
extrémités (source et destinataire) et le contrôle des accès aux données.
5. La gestion de la comptabilité (Accounting Management)
Consiste à gérer la consommation réseau par abonné, de relever les informations

permettant d’évaluer les coûts de communication. La comptabilité est établie en
fonction du volume et de la durée des transmissions.
Structure d’un système d’administration
Un système réseau comporte un grand nombre de composants (objets) que le

système d’administration surveille. Dans chaque objet, un programme en tâche
de fond (daemon) transmet régulièrement, ou sur sollicitation, les informations
relatives à son état.
Les échanges s’effectuent à deux niveaux : entre le composant administré
(processus agent) et sa base d’information (MIB, Management Information Base)
d’une part, et d’autre part, entre le composant et le programme d’administration
(processus manager).
II.4. MANAGEMENT RESEAU SELON LE MODELE TCP/IP
II.4.1. Introduction
Sur le point de l’administration, un système de réseau informatique se compose
d’un ensemble d’objets qu’un système d’administration surveille et contrôle.
Chaque objet est géré localement par un processus appelé agent qui transmet
régulièrement ou sur sollicitation, les informations de gestion relatives à son état
et aux événements qui le Concernent au système d’administration.
Le système d’administration comprend un processus (manager ou gérant) qui
peut accéder aux informations de gestion de la MIB locale via un protocole
d’administration comme SNMP ou CMIP de qui le met en relation avec les divers
agents.
Le principe se repose donc sur les échanges :
 D’une part, entre une base d’informations appelée MIB (Management
Information Base) et l’ensemble des éléments administrés (objets) ;
 D’autre part, entre les éléments administrés et le système d’administration.
II.4.2. Caractéristiques de TCP/IP

Le succès de TCP/IP, s’il vient d’abord d’un choix du gouvernement américain,
s’appuie ensuite sur des caractéristiques intéressantes suivantes :
1) C’est un protocole ouvert, et indépendant de toute architecture
particulière, d’un système d’exploitation particulier, ou d’une structure
commerciale propriétaire ;
2) C’est un protocole indépendant du support physique du réseau : cela
permet à TCP/IP d’être véhiculé par des supports et des technologies aussi
différents.
3) Le mode d’adressage est commun à tous les utilisateurs de TCP/IP, quelle
que soit la plate-forme qui l’utilise. Si l’unicité de l’adresse est respectée,
les communications aboutissent même si les hôtes sont aux antipodes.
4) Les protocoles de hauts niveaux sont standardisés : ce qui permet des
développements largement répandus et inter opérables sur tout types de
machines.
II.4.3. RFC et version du protocole SNMP

a. RFC
L’Internet Engineering Task Force (IETF) est l’organisme international responsable

de la définition des protocoles standard qui régissent le trafic Internet, incluant le
protocole SNMP. L’IETF publie des documents appelés « Requests For Comments
» (RFC), qui sont des spécifications de plusieurs protocoles existant dans le
domaine IP.
Les documents qui entrent dans le standard obtiennent tout d’abord le statut de
« standard proposé », puis celui de « Draft » ou « brouillon ». Quand un Draft final
est éventuellement approuvé, le RFC obtient le statut de « standard ». Deux
autres désignations, à savoir « historique » et « expérimental », définissent
respectivement un RFC qui a été remplacé par un autre RFC plus récent et un
document qui n’est pas encore prêt à devenir un standard.
b. Version du protocole SNMP
Les versions actuelles du protocole SNMP, ainsi que leur statut IETF respective
sont les suivants:
 SNMP version 1 (SNMPv1) : c’est l’actuelle version standard du
protocole SNMP. Elle est définie dans la RFC 1157 et est un standard
IETF complet.
 SNMP version 2 (SNMPv2) : cette version du protocole SNMP est
techniquement appelé « SNMPv2c ». Elle est définie dans les RFC 1905,
RFC 1906, RFC 1907, et c’est un standard IETF expérimental. Quoiqu’
expérimental, quelques fabriquant d’équipements réseaux ont déjà
commencé à l’implémenter dans leurs équipements.
 SNMP version 3 (SNMPv3) : il sera la prochaine version du protocole
SNMP à avoir un statut IETF complet. Il est actuellement un statut de
«standard proposé », et est défini dans les RFC 1905, RFC 1906, RFC
1907, RFC 2572, RFC 2573, et RFC 2575. Elle apporte un plus au
protocole SNMP au niveau de la sécurité des communications en
fournissant un support pour une forte authentification et une
communication privée entre les entités administrées.
Notons que cet exposé portera principalement sur le SNMPV1 car c’est la seule
version stable et adopté par tous.
1. Architecture générale
SNMP spécifie des échanges entre différentes entités. Son architecture repose
sur les 4 éléments suivants :
 La Station d’administration ou gestionnaire ;
 L’Agent d’administration ;
 La MIB ;
 Le protocole de communication SNMP.
Station Agent Agent

d’administration d’administration d’administration
Application
Manager
Application Application
Agent MIB Agent
MIB MIB
Centrale Locale Locale
Protocole de communication
SNMP
2. Station d’administration
La station de gestion appelé aussi « Manager » ou encore « Network

Management Station » (NMS) a pour objectif de gérer tout ou une partie d'un
réseau via le protocole SNMP. Elle contient l’application d’administration et
constitue le système d’administration du réseau. Elle peut faire deux types de
requête auprès des agents : des requêtes de type 'récupération d'informations'
pour récupérer des informations sur les agents (i.e. la charge instantanée pour un
routeur) et des requêtes de type 'action' pour établir une action sur le réseau (i.e.
ajouter une route à un routeur).
Les stations de gestions sont évidemment petites en nombre par rapport aux
agents. Les applications qu'elles font tourner permettent la modification à
distance et l'exécution de programme permettant de réagir aux évènements du
réseau ou aux statistiques reçues des agents. En particulier, il existe des librairies
dans différents langages permettant rapidement d'écrire des scripts afin de gérer
de manière souple le réseau par rapport à ses propres contraintes ou
préférences.
La station d’administration est composée :
 Des fonctions d’administration : qui regroupent les 5 domaines
fonctionnels classiques d’administration réseau.
 Des logiciels d’interface homme-machine : qui permettent à
l’administrateur réseau de recevoir toutes les informations
d’administration, d’accéder aux fonctions de mise en œuvre des
opérations comme l’interrogation des Agents, la lecture des variables
d’état, etc.
 Des fonctions de gestion de la MIB centrale : qui est constituée par les
informations provenant des Agents et par le résultat des traitements
effectués par le Manager (statistiques, journaux de bord, etc.)
3. Agent d’administration
L’agent doit répondre aux requêtes des stations de gestion, mais émet aussi des
évènements (que l’on appelle trap) en cas d'évènement sur le réseau (i.e. une
connexion est coupée, une connexion est revenue, un agent vient de démarrer,
un agent va s'éteindre, etc.). Pour répondre aux stations de gestion, l’agent tient
à jour une MIB contenant les informations concernant l'agent. Chaque objet
défini dans la MIB correspond à une variable.
Pour que le protocole SNMP puisse fonctionner, il faut que tous les équipements
réseaux qui doivent être administrés parlent le protocole SNMP. Cependant, cela
a pour avantage des réductions de coût pour le constructeur car il n'a pas besoin
d'implémenter un protocole de gestion pour chaque équipement qu'il fabrique.
Cela a aussi l'avantage que les équipements sont alors compatible entre eux pour
ce qui est de la gestion du réseau et cela implique donc qu'il n'est pas nécessaire
d'avoir par exemple tous les switches de la même marque : le protocole SNMP est
indépendant de l'architecture.
La MIB contient les informations sur les éléments du réseau à gérer. Chaque
agent a une MIB associée qu’il doit maintenir. Celle-ci reflète l’état des ressources
gérées. A chaque ressource du réseau à gérer, correspond à un objet. La MIB est
donc une collection structurée d’objets implantés sous forme de variables, dont
les valeurs correspondent à l’état de fonctionnement de la ressource gérée. Une
entité d’administration peut accéder aux ressources en lisant les valeurs de l’objet
et en les modifiant.
La MIB répond à un schéma commun que l’on appelle SMI (Structure
Management Information) et définit de manière commune les objets et leur
structure (en ASN.1). Généralement, cette structure est un arbre. La SMI donne
les règles de définition, d’accès et d’ajout des objets dans la MIB. Son objectif est
d’encourager la simplicité et l’extension de la MIB pour rendre un objet accessible
de la même manière sur chaque entité du réseau et posséder une représentation
unique des objets.
4. Protocole de communication SNMP
SNMP spécifie les échanges entre la station d’administration et l’agent.

S’appuyant sur UDP, SNMP est en mode non connecté. De ce fait, les alarmes
(trap) ne sont pas confirmées. La plus grande résistance aux défaillances d’un
réseau d’un protocole en mode datagrammes vis-à-vis d’un protocole en mode
connecté ainsi que la rapidité des échanges justifient le choix d’UDP.
5. Principe de fonctionnement
Développé depuis les années 80 et bien qu’issu du monde IP, le protocole SNMP
reprend beaucoup d’idées du protocole CMIS/CMIP de l’iso. Il utilise le concept
Client/Serveur bien connu dans le monde IP :
 Sur chaque équipement administrable d’exécute un programme
serveur : l’Agent SNMP. Ce dernier gère les informations relatives à
l’équipement, lesquelles sont stockées dans une base de données
propre : la MIB.
 Du côté client, on trouve une station d’administration qui interagit avec
un ou plusieurs Agents SNMP : le Manager SNMP. Le Manager SNMP est
généralement une application possédant une interface graphique
élaborée pour plus de convivialité.
II.2.2.3.3. Manager et agent SNMP
Dans le monde du protocole SNMP interagissent deux principales entités

communicantes qui sont : le Manager et l’Agent SNMP.
1. Manager SNMP
Un Manager est un programme client qui exécute une sortie de logiciel système
qui peut entreprendre des tâches d’administration sur des équipements du
réseau. Un Manager est aussi appelé « Network Management Station » (NMS) ou
Station d’Administration Réseau. Un NMS s’occupe de la « scrutation » ou
« polling » régulier d’un Agent SNMP afin de recueillir des informations sur son
état opérationnel et de la réception des trap provenant de ce dernier.
a. Définition de certains concepts
a. 1. POLLING
Un polling ou scrutation dans le domaine de l’administration réseau est l’acte par
lequel un une demande d’information est faite à un Agent, laquelle demande
pourra plus tard être utilisée pour déterminer la survenue d’un éventuel
évènement impromptu sur un équipement réseau géré.
a. 2. TRAP
Un trap est la manière pour un Agent d’informer la station d’administration

réseau qu’un évènement impromptu est survenu sur un équipement sous sa
supervision. Le NMS est chargé d’initier plus tard une action en réponse à cette
notification.
a. 3. ARCHITECTURE DE NMS
Il existe principalement deux sortes d’architecture de déploiement de NMS : une

architecture de NMS simple et une architecture de NMS distribuée.
 Architecture NMS simple :

C’est la plus simple des architectures qui consiste en une simple Station
d’administration qui est responsable d’administrer le réseau tout entier. La figure
ci-dessous illustre cette architecture :
MBUJI-MAYI
KINSHASA
Routeur
B
Station Routeur
d’administration
Internet BAS-CONGO
Routeur
Architecture distribuée de NMS
L’idée sous-jacente de cette architecture est d’utiliser deux ou plusieurs stations

d’administration localisées aussi près que possible des nœuds qu’ils administrent.
La figure que voici illustre cette architecture :
MBUJI-MAYI
KINSHASA
²²²
Routeur Station
d’administration
Station Routeur
d’administration
Internet
Routeur BAS-CONGO
Station
d’administration
L’architecture distribuée revêt plusieurs avantages au nombre desquels parmi

lesquels on peut citer l’une des plus importantes qui est la flexibilité. En effet, une
telle architecture permet aux différents NMS disséminés dans les différents sites
d’agir comme des stations d’administration autonomes, tout en s’envoyant
mutuellement des notifications d’événements survenus dans les segments de
réseau dont ils ont la charge. Cela réduit considérablement la charge du réseau.
b. Utilisation des liaisons privées dans l’administration réseau
Internet est utilisé par les architectures simple et distribuée pour envoyer et
recevoir le trafic dédié à l’administration réseau. Ce qui pose plusieurs problèmes,
principalement ceux liés à la sécurité et la fiabilité globale du réseau.
La meilleure solution pour remédier ces aléas est d’utiliser des liaisons privées
pour exécuter toutes les fonctions d’administration réseau requises. La ci-dessous
illustre l’utilisation de liaisons privées dans une architecture de NMS distribuées :
MBUJI-MAYI
KINSHASA
²²²
LIAISON PRIVEE
Routeur Station
d’administration
Station Routeur
d’administration
Internet
Routeur BAS-CONGO
LIAISON PRIVEE
Station
d’administration
Les liaisons privées ont un avantage supplémentaire que les noms de

communauté ne sont jamais envoyés à travers le réseau Internet, empêchant
ainsi leur interception par d’éventuels intrus mal intentionnés. En plus de cela,
l’utilisation des liaisons réseaux privées pour l’administration réseau fonctionne
également dans une architecture de NMS simple.
Certes, disposer d’un réseau entièrement constitué de liaisons réseaux privée, et

dédier l’utilisation des connexions Internet exclusivement au trafic vers
l’extérieur, les liaisons réseaux privées étant réservées pour le trafic interne
d’administration réseau, est un cas idéal assurant le maximum de sécurité
possible.
3. Agent SNMP
Un agent SNMP est une sorte de programme serveur qui exécute un programme
de supervision sur un équipement réseau administré, il peut être un programme
séparé de l’équipement réseau administré (un daemon par exemple ou
programme s’exécutant en tâche de fond dans l’environnement UNIX), ou un
programme incorporé dans le système d’exploitation de l’équipement réseau
administré.
L’incorporation d’Agents SNMP dans la plupart d’équipement aujourd’hui rend

plus aisée la tâche d’administration des équipements interconnectés par un
réseau IP. L’Agent SNMP fournit des informations d’administration au NMS en le
tenant constamment au courant de l’état opérationnel des ressources réseaux
qu’il gère. Lorsqu’un agent constate qu’un événement est survenu sur un
équipement sous sa supervision, il peut en informer le Manager en lui envoyant
un message ou une notification appelée « Trap » que seul le NMS est habilité à
traiter.
Trap envoyé au
Manager
Requête envoyé à
l’Agent
MANAGER AGENT
SNMP Réponse à la requête du SNMP
Manager
II.4.4. INFORMATION D’ADMINISTRATION : SMI ET MIB

II.4. 4.1. Definition de SMI
La SMI «Structure of Management Information » version 1 (SMIv1, RFC 1155) ou

« Structure de l’information d’Administration » donne les règles de définition,
d’accès et d’ajout des objets dans la MIB. La définition des objets gérés peut être
décomposée en 4 attributs majeurs qui sont : le nom, le type, la syntaxe, et la
codification. La SMI a pour objectif d’encourager la simplicité et l’extension de la
MIB, rendre un objet accessible de la même manière sur chaque entité, posséder
une représentation identique des objets.
a. Le nom
Le nom d’un objet géré par un Agent SNMP ou « Object Identifier » (OID) est un
identifiant qui définit de façon unique et sans équivoque un objet géré.
b. Le type et la syntaxe
La SMI utilise une partie du langage ASN.1 pour définir le type et la syntaxe d’un
objet. Le langage ASN.1 spécifie comment les données sont représentées et
comment elles sont transmises entre les Manager et les Agents dans le contexte
du protocole SNMP. L’avantage du langage ASN.1 est qu’il est indépendant de la
plate-forme tant matérielle que logicielle utilisée.
c. Codification
L’instance d’un objet géré est codifiée dans une chaîne d’octets qui utilise le Basic
Encoding Rules (BER). Le BER définit comment les objets sont codifiés afin d’être
transmises à travers un média de transport de données, il établit la
correspondance entre la syntaxe « abstraite » définie en langage ASN.1 et la
syntaxe de « transfert » définie pour le transfert des messages SNMP à travers les
différentes couches successives de la pile de protocoles TCP/IP. La figure ci-
dessous illustre le langage ASN.1 et le Basic Encoding Rules
Protocole SNMP Protocole SNMP ASN.1

ASN.1 Syntaxe abstrait
MIB
BER BER
Syntaxe de transfert
Protocole UDP Protocole UDP
Protocole IP Protocole IP
Liaison Physique Liaison Physique
Réseau
Tous les objets SMIv1 sont définis par la macro ASN.1 suivante :
OBJECT-TYPE MACRO ::=

BEGIN
TYPE NOTATION ::=
“SYNTAX” type (TYPE ObjectSyntax)
“ACCESS” Access
“STATUS” Status
“DESCRIPTION” description textuelle décrivant l’objet géré
VALUE NOTATION ::= value (VALUE ObjectName)
Access ::= “read-only”
“read-write”
“write-only”
“not-accessible”
Status ::= “mandatory”
“optional”
“obsolete”
“deprecated”
END
L’attribut « SYNTAX » du langage ASN.1 fournit les définitions des objets gérés en
utilisant une partie de la syntaxe du langage ASN.1. Le SMIv1 définit plusieurs
types de données qui sont essentiels à l’administration de réseau et des
équipements qui leurs sont rattachés. Ces types de données sont simplement un
moyen de définir quelle sorte d’information un objet géré peut supporter.
Les principaux types de données supportés par les objets SMIv1 sont :
 Des types simples :

o INTEGER : un nombre de 32 bits utilisés pour spécifier les types de
données énuméré dans le contexte d’un objet géré simple.
o OCTET STRING: une chaîne de 0 ou plusieurs octets généralement utilisés
pour représenter les chaînes de caractères.
o OBJETCT IDENTIFIER : une chaîne de décimale séparée par des points,
représentant un objet géré dans l’arbre des objets.
o NULL : il n’est pas actuellement utilisé dans le protocole SNMP.
o SEQUENCE : définit une liste qui contient 0 ou plus d’autres types de
données.
o SEQUENCE OF : définit un objet géré constitué de données de type
SEQUENCE.
 Les types dérivées ou applicatifs.

II.4.5. MANAGEMENT INFORMATION BASE (MIB)
La MIB est une base de données gérée par un Agent SNMP contenant les
informations sur les éléments du réseau géré en respectant les règles SMI. Elle
peut être vue comme une collection structurée d’objets géré par un Agent.
N’importe quelle sorte d’information d’état ou statistique qui peut être accessible
au NMS est définie dans une MIB. Le SMI fournit un moyen de définir les objets
gérés, tandis que la MIB est la définition (utilisant la syntaxe du SMI) de ces objets
gérés eux-mêmes. La MIB décrit les objets gérés et en définit le nommage.
1. Description des objets

Les MIB décrivent les objets en en précisant le type, le format, et les actions. Les
différentes valeurs des objets ne sont pas contenues dans la MIB, mais dans des
registres externes que l’Agent vient consulter à la demande du Manager.
2. Nommage des objets gérés
 Identificateur d’objet
La suite d’entiers ou de noms symboliques séparés par des points qui désigne de
manière non ambiguë un objet géré par un Agent SNMP est appelée « Object
Identifier » (OID). Chaque objet d’administration contenu dans la MIB est identifié
par un OID.
 Arbre de nommage
Les objets (variables) gérés par les Agents sont organisés en une hiérarchie
arborescente définie par l’ISO selon un arbre appelé « arbre de nommage » dont
les différentes branches permettent de nommer un objet de manière unique. La
figure ci-dessous représente une partie de l’arbre de nommage.
Sur cet arbre d’objets, la racine de l’arbre est appelée « root », et tous les nœuds
comportant des enfants sont appelés « sous-arbres » ou « branches ». Tous les
nœuds ne comportant pas d’enfants sont appelés « feuilles ».
Remarque (1):
 Sur la figure ci-dessus, la branche « directory » n’est pas actuellement
usitée.
 La branche d’administration dénommée « mgmt » définit un groupe
standard d’objets gérés qui concernent l’administration IP.
 La branche « expérimentale » est réservée à des fins de recherche
ultérieures.
 Les objets situés sous la branche « private » sont définis unilatéralement ;
c’est-à-dire que les individus et les organisations divers sont responsables
de la définition des objets gérés situés sous cette branche.
On utilise la syntaxe ASN.1 pour décrire les données. Un exemple de définition de

la branche « internet » :
internet Object Identifier ::= {iso org(3) dod(6)}
Soit en notation pointée 1.3.6.1 pour le nœud internet.
Remarque (2) :
Pour nommer un objet géré, on peut utiliser deux formes de notations :
 Une notation « numérique » : qui est composée par des entiers séparés
par des points, correspondant au parcours de l’arbre de nommage, depuis
la racine jusqu’au nœud correspondant à l’objet identifié.
 Une notation « textuelle » ou « symboliques » : qui est composée par des
noms symboliques séparés par des points, correspondant au parcours de
l’arbre de nommage, depuis la racine jusqu’au nœud correspondant à
l’objet identifié.
Chaque objet géré par un Agent SNMP à un OID numérique et son nom
symbolique associé. La notation numérique est la façon dont les objets sont
représentés en interne dans l’Agent SNMP, tandis que la notation symbolique est
un moyen mnémonique rendant plus aisée la désignation des objets.
Il y a une branche sous le sous-arbre « private » dénommée « enterprises » qui
est utilisée pour permettre aux fabricants de logiciels et de matériels réseaux de
définir leurs propres objets gérés pour toute sorte de matériel ou d’équipement
susceptible d’être administré par le protocole SNMP.
Il est à noter que l’ « Internet Assigned Number Authority » (IANA) ou « Autorité
des Numéros Internet Attribués » est l’organisme international qui s’occupe
actuellement de la gestion de l’attribution de tous les numéros de la branche
« private » aux individus, institutions, organisations, compagnies, etc.
3. MIB privées
Malgré l’extension de la RMON MIB, les constructeurs de matériels réseaux

manageables ont constitué des MIB privées qui sont développée dans la branche
« private » de l’arbre de nommage.
L’accès aux variables des MIB privées est assuré par un « Proxy Agent » qui assure
les conversions nécessaires. Le Proxy Agent permet ainsi le dialogue entre deux
systèmes d’administration propriétaires différents. Le Proxy Agent peut être
localisé dans l’Agent pour l’utilisation d’une MIB privée ou dans le Manager si
l’Agent n’est pas conforme au standard.
Un Agent peut implémenter plusieurs MIB, mais tous les Agents implémentent
une MIB particulière appelée « MIB-II » définie dans la RFC 1213. Cette MIB
standard définit des variables pour des objets tels que les statistiques des
interfaces réseaux (par exemple la vitesse de transmission, le MTU, les octets
envoyés ou reçus, etc.), aussi bien que d’autres objets variés concernant le
système lui-même (par exemple la localisation du système, les informations sur
l’administrateur du système, etc.).
Le but principal de la MIB-II est de fournir les informations générales
d’administration TCP/IP. Elle ne couvre pas tous les objets possibles qu’un
constructeur d’équipement peut vouloir gérer dans un équipement particulier.
4. MIB-I (RFC 1156)

Les objets de la MIB- I sont organisés en « groupes » et concernent les éléments
suivants :
 Des informations générales sur le système géré : comme par exemple

sysContact (nom de l’opérateur réseau), et sysLocation (localisation
géographique du système) ;
 Les interfaces physiques de l’entité géré : comme par exemple ifDescr
qui est caractéristique de l’interface (numéro de série, nom du
constructeur) et ifOperStatus qui indique l’état opérationnel de
l’équipement géré ;
 La traduction des adresses IP en adresses physique ;
 Les objets du protocole IP lui-même et ceux des protocoles ICMP, TCP,
UDP, et EGP.
La MIB-I contient 114 objets.
5. MIB-II (RFC 1213)

MIB II constitue un sur-ensemble de la MIB I dans lequel ont été rajoutés de
nouveaux groupes d’objets et de nouvelles variables pour les groupes initiaux.
MIB-II est un groupe d’administration très important, parce que tous les
équipements qui supportent SNMP doivent supporter la MIB-II. La section de la
RFC 1213-MIB qui définit les OID de base du sous-arbre MIB-2 ressemble à ceci :
mib-II OBJECT IDENTIFIER ::= { mgmt 1 }

system OBJECT IDENTIFIER ::= { mib-2 1 }
interfaces OBJECT IDENTIFIER ::= { mib-2 2 }
at OBJECT IDENTIFIER ::= { mib-2 3 }
ip OBJECT IDENTIFIER ::= { mib-2 4 }
icmp OBJECT IDENTIFIER ::= { mib-2 5 }
tcp OBJECT IDENTIFIER ::= { mib-2 6 }
udp OBJECT IDENTIFIER ::= { mib-2 7 }
egp OBJECT IDENTIFIER ::= { mib-2 8 }
transmission OBJECT IDENTIFIER ::= { mib-2 10 }
snmp OBJECT IDENTIFIER ::= { mib-2 11 }
La Mib-II est défini par : iso.org.dod.internet.mgmt.1, ou 1.3.6.1.2.1. Ici, le groupe

« system » est défini par mib-2 1, ou 1.3.6.1.2.1.1, et ainsi de suite. La figure ci-
dessous montre le sous-arbre MIB-II de la branche mgmt. La MIB-II en contient
170 objets.
Le tableau suivant défini le groupe de travail « SNMP Working Group » défini

dans la MIB-II :
Nom du OID Description

sous-arbre
System 1.3.6.1.2.1.1 Correspond au nom de l’agent, numéro de version,
type de la machine, nom du système, type de
logiciel réseau en ASCII imprimable.
interfaces 1.3.6.1.2.1.2 Gère le statut de chaque interface sur un objet
géré. Le groupe « interfaces » supervise quel
interface est up ou down et gère des choses tels
que les octets envoyés et reçus, les octets en
erreurs ou écartées, etc.
At 1.3.6.1.2.1.3 Conservé pour des raisons de compatibilité avec
MIB-I, gère une table de transaction entre des
adresses réseau de niveau logique (IP) et adresses
spécifiques (Ethernet), équivalent à la table ARP.
Ip 1.3.6.1.2.1.4 Gère plusieurs aspects du protocole IP, incluant le
routage IP. C’est la partie la plus importante de la
MIB.
Icmp 1.3.6.1.2.1.5 Gère les choses telles que les erreurs ICMP, etc.
Tcp 1.3.6.1.2.1.6 Rend compte des connexions TCP en cours et des
paramètres de type nombre maximum de
connexions simultanées permises, nombre
d’ouverture active,… et l’état de chaque
connexion.
Udp 1.3.6.1.2.1.7 Gère des statistiques UDP, les datagrammes IN et
OUT
Egp 1.3.6.1.2.1.8 Gère différentes statistiques du protocole EGP et
conserve la table de voisinages EGP
transmission 1.3.6.1.2.1.10 Ne contient que type Object
Identifier ::={transmission number} qui permet
d’identifier le type de media utilisé pour la
transmission
Snmp 1.3.6.1.2.1.11 Requis pour chaque entité mettant en œuvre le
protocole SNMP. Contient le nombre de message
SNMP entrants et sortants, le nombre de
mauvaises versions reçus ou de nom de
communauté invalide, la répartition du type de
requêtes reçus et envoyées (get, get_next, set et
trap)
6. REMOTE MONITORING
Le « Remote Monitoring Network » (RMON) ou « Remote Monitoring version 1 »
(RMONv1) est une MIB spéciale qui a été développé pour cerner aussi bien le
fonctionnement du réseau lui-même, que celui des équipements individuels sur le
réseau. Il peut être utilisé pour superviser, non seulement le trafic sur un LAN,
mais aussi sur les interfaces d’un WAN. Les objets RMON sont implémentés dans
des sondes d’analyse et de surveillance. Le RMONv1 est défini dans la RFC 2819.
RMONv1 fournit au NMS des statistiques de niveau paquet d’un réseau LAN ou
WAN. Une des manières d’obtenir ces statistiques est de placer une sonde RMON
sur chaque segment de réseau qu’on veut superviser.
La MIB RMON a été conçu pour permettre à une sonde RMON réel de fonctionner
en mode connecté afin de lui permettre de collecter les statistiques du réseau
qu’il surveille sans nécessiter constamment les interrogations d’un NMS. Un peu
plus tard, le NMS pourra interroger la sonde pour recueillir les statistiques qu’elle
a rassemblées. Une autre caractéristique que la plupart des sondes implémentent
est la capacité de fixer les seuils des différentes conditions de survenue d’erreurs
et, une fois ce seuil franchi, d’alerter le NMS en lui envoyant un trap SNMP.
Une version améliorée de ce standard dénommée « Remote Monitoring version 2

» (RMONv2) est définie dans la RFC 2021. RMONv2 est construit sur RMONv1 en
fournissant des statistiques de niveau réseau et de niveau application. Ces
statistiques peuvent être collectées de plusieurs manières.
Commandes SNMP
1. SERVICES SNMP
La gestion SNMP est réalisée par trois services suivants :
o Le service GET : permet à une station d’administration de lire la valeur

d’un compteur, d’une variable d’un agent géré. Il comprend trois
opérations :
 get_request : lecture d’une variable de la MIB
 get_next_request : lecture de la variable suivante d’un objet de la

MIB
 get_response : réponse à une opération get_request.

o Le service SET : permet au Manager de modifier les valeurs des variables
correspondant aux objets d’administration de la MIB locale. Il contient les
opérations suivantes :
 set_request : écriture de la valeur d’un objet géré de la MIB
 set_response : réponse à un set_request. Il a le même format que

l’opération get_response
o Le service TRAP : permet à un agent d’envoyer une valeur d’une variable de

manière implicite vers la station d’administration notifiant tout événement
apparaissant au niveau de la ressource gérée, essentiellement les alarmes.
2. Operations SNMPv1
L’opération get_request est utilisée pour l’obtention de la valeur courante d’un

objet de la MIB géré par un Agent SNMP.
L’opération get_request est utilisée par le NMS, lequel envoie une requête à
l’Agent. Celui-ci reçoit la requête et la traite de son mieux. Il se peut que des
équipements en surcharge, tels que les routeurs, ne soient pas en mesure de
répondre à la requête et la rejette. Dans ce le cas où l’agent obtient avec succès
les informations demandées, il renvoie au Manager une requête get_response. Ce
processus est illustré sur la figure que voici :
get_req Agent SNMP

uest PD
get_request U
MIB
Manager SNMP
get_response
U
nse PD
get _respo
Temps Temps
 La requête get_request :
Est utile pour récupérer les informations d’un seul objet de la MIB à la fois.
Essayer d’administrer un réseau de cette manière peut occasionner une perte de
temps conséquent. C’est en ce moment qu’entre en scène la requête
get_next_request qui permet de récupérer les informations provenant de
plusieurs objets de la MIB en une fois.
 L’opération get_next_request :
Permet à un Manager SNMP l’obtention de la valeur courante du prochain objet

de la MIB géré par un Agent SNMP à partir d’un objet courant.
 L’opération get_next_request :
Permet d’émettre une séquence de commandes pour récupérer un groupe de
valeurs d’une MIB. En d’autres termes, pour chaque objet de la MIB dont on veut
récupérer des informations, une requête get_next_request et une requête
get_response sont émises séparément. La requête get_next_request parcourt un
sous-arbre suivant l’ordre lexicographique. Quand un NMS reçoit une réponse
d’un Agent consécutive à une requête get_next_request, il émet une autre
requête get_next_request. Il agit ainsi, jusqu’à ce que l’Agent lui retourne un
message d’erreur signifiant que la fin de la MIB a été atteinte et qu’il n’y a plus
d’objets à interroger.
Ainsi l’opération get_next_request est basée sur le concept d’ordre

lexicographique de l’arbre des objets de la MIB. Ce processus est illustré par la
figure ci-dessous:
get_nex Agent SNMP

t_reque
s t PDU
get_request MIB
Manager SNMP
get_response
D U
onse P
ge t_resp
Temps Temps
 Identification d’instance
Chaque objet de la MIB a un unique identificateur qui est défini par sa position
dans la structure en arbre de la MIB.
Quand un accès est fait à une MIB, via SNMP, on veut accéder à une instance
spécifique d’un objet et non à un type d’objet
SNMP offre deux moyens pour identifier une instance d’objet spécifique dans
une table :
 Une technique d’accès par série : on utilise l’ordre lexicographique des

objets de la structure de la MIB.
 Une technique d’accès direct.
4. Définition de la table
Une table a la syntaxe suivante :
SEQUENCE OF <entry> où entry représente le rang du tableau
Un rang a la syntaxe suivante :
SEQUENCE {<type 1>…<type N>}
Les types définissent chaque colonne d’objet et chaque type a la forme suivante :
<descriptor><syntax> où
<descriptor> est le nom de la colonne
<syntax>est la valeur de la syntaxe
Chaque colonne d’objet est définie de la manière habituelle avec une macro
OBJECT-TYPE. Chaque élément a un identificateur unique.
tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddre tcpConnRemPort

ss
(1.3.6.1. (1.3.6.1.2.1.6. (1.3.6.1.2.1 (1.3.6.1.2.1. (1.3.6.1.2.1

2.1.6.13. 13.1.2) .6.13.1.3) 6.13.1.4) .6.13.1.5)
1.1)
5 10.0.0.99 12 9.1.2.3 15 tcpConnEntry
(1.3.6.1.2.1.6.
13.1)
2 0.0.0.0 99 0 0 tcpConnEntry
(1.3.6.1.2.1.6.
13.1)
3 10.0.0.99 14 89.1.1.42 84 tcpConnEntry
(1.3.6.1.2.1.6.
13.1)
INDEX INDEX INDEX INDEX INDEX
Exemple d’instance d’une table de connexion TCP
Les trois instances de tcpconnState ont le même indentificateur :

1.3.6.1.2.1.6.13.1.1.
5. L’index de table
La clause INDEX définit un rang. Elle détermine sans ambigüité la valeur de

l’objet. La règle de construction de l’identificateur de l’instance d’une instance de
colonne d’objet est la suivante :
Soit un objet dont l’identificateur d’objet est y, dans une table avec des objets
INDEX i1,i2,…,iN, alors l’identificateur d’instance pour une instance d’objet y dans
un rang particulier est y.(i1).(i2)…(iN).
On distingue par les index les différentes colonnes. On combine l’identificateur de

l’objet pour une colonne et un ensemble de valeur de l’Index pour obtenir le rang.
tcpConState tcpConnLocalAd tcpConnLocal tcpConnRemA tcpConnRe

dress Port ddress mPort
(1.3.6.1.2.1.6. (1.3.6.1.2.1.6.13 (1.3.6.1.2.1.6. (1.3.6.1.2.1.6.1
(1.3.6.1.2.1.
13.1.1) .1.2) 13.1.3) 3.1.4) 6.13.1.5)
x.1.10.0.0.99. x.2.10.0.0.99.1.2 x.3.10.0.0.99. x.4.10.0.0.99.1.
x.1.10.0.0.99
1.2.9.1.2.3.15 .9.1.2.3.15 1.2.9.1.2.3.15 2.9.1.2.3.15.1.2.9.1.2.3.
15
x.1.0.0.0.0.99. x.2.0.0.0.0.99.0. x.3.0.0.0.0.99. x.4.0.0.0.0.99.0 x.5.0.0.0.0.9
0.0 0 0.0 .0 9.0.0
x.1.10.0.0.99. x.2.10.0.0.99.1.4 x.3.10.0.0.99. x.4.10.0.0.99.1. x.5.10.0.0.99
1.4.89.1.1.42. .89.1.1.42.84 1.4.89.1.1.42. 4.89.1.1.42.84 .1.4.89.1.1.4
84 84 2.84
Identificateur d’instance pour les objets de la table précédente
x=1.3.6.1.2.1.6.13.1 : est l’identificateur de l’objet tcpConnEntrey qui est

l’identificateur de tcpConnTable
i=le dernier sous-identificateur de la colonne (sa position dans la table)
(name)=valeur du nom de l’objet
Tous les identificateurs d’instances de tcpConnTable ont la forme :
x.i.(tcpConnLocalAddress).(tcpConnLocalPort).(tcpConnRemAddress).(tcpConnRe
mAddress).
6. L’ordre lexicographique
L’identificateur d’objet est une séquence d’entiers qui reflète une

structure hiérarchique des objets de la MIB.
Un identificateur d’objet pour un objet donné peut être dérivé par la trace
du chemin de la racine à l’objet.
La règle de fonctionnement est la suivante : les nœuds « fils » sont définis
en ajoutant un entier à l’identificateur du père et en visant l’arbre de bas en haut
et de gauche à droite.
Cela permet d’accéder aux différents objets de la MIB sans vraiment en
connaître le nom spécifique.
La station d’administration peut donner un identificateur d’objet ou un
identificateur d’instance d’objet et demander l’instance de l’objet qui est le
suivant dans l’ordre.
 L’opération get_response permet à un Agent SNMP de renvoyer la

valeur courante d’un objet de la MIB qu’il gère. Il renvoie une réponse
aux requêtes get_request, get_next_request, ou set_request.
 L’opération set_request permet à un Manager SNMP de mettre à jour la
valeur courante d’un objet de la MIB géré par un Agent SNMP.
L’opération set_request est utilisée pour modifier la valeur d’un objet géré ou
pour créer un nouveau rang dans une table. Les objets qui sont définis dans la
MIB comme étant « read-write » ou « write-only » peuvent être modifiés ou créés
en utilisant cette opération. Il est également possible à un NMS de modifier plus
d’un objet en même temps. La figure ci-dessous illustre la séquence de la requête
SET.
set_req
uest PD
Agent SNMP
U
get_request MIB
Manager SNMP
get_response
DU
onse P
se t _r e s p
Temps
 Operation trap
L’opération trap permet à un Agent de notifier à un NMS qu’un évènement est

survenu sur un objet géré.
Le trap provient de l’Agent SNMP et est envoyé à sa destination comme cela est
configuré dans l’Agent SNMP lui-même. La destination du trap est typiquement
l’adresse IP du NMS. Lors de l’opération, aucun acquittement n’est envoyé du
NMS vers L’Agent, lequel n’a ainsi pas le moyen de savoir s’il le trap est arrivé à
destination. Comme le protocole SNMP utilise le protocole UDP comme protocole
de transport, et comme les trap sont conçus pour rapporter d’éventuels
problèmes en utilisant le réseau, ils peuvent se perdre en cours de route sans
atteindre leur destination. Quand un NMS reçoit un trap, il doit pouvoir
l’interpréter; c’est-à-dire il doit savoir qu’est-ce qu’il signifie et comment
interpréter l’information qu’il transporte. La figure ci-dessous montre la séquence
de génération d’un trap :
Agent SNMP
trap
Manager SNMP
D U
trap P
Temps Temps
 Formats messages SNMP

Les messages SNMP pour SNMPv1 sont découpés en deux parties : un entête et
un PDU, figure ci-dessous.
Version Communaut SNMP PDU

é
 Entête du message SNMP
Il contient deux champs : le numéro de version et le nom de communauté. Le

numéro de version spécifie la version de SNMP utilisée. Le Manager SNMP et
l'Agent SNMP doivent utiliser le même numéro de version. C’est le numéro du
document RFC (1= RFC 1157)
Le nom de communauté spécifie quand à lui un environnement d’accès pour un

groupe de système de gestion SNMP. Une communauté est en fait une relation
entre un agent et les stations d’administration pour définir qui possède les droits
d’accès en lecture ou en écriture à la base. Cela permet de produire un niveau de
sécurité par une authentification, mais c’est un concept différent des mots de
passe.
Chaque communauté définie entre un Agent SNMP et ses Stations

d’administration a un nom unique (pour l’Agent) employé lors des opérations de
type GET et SET. Une station d’administration garde la liste des noms de
communauté donnés par les différents Agents SNMP.
 SNMP PDU
Le PDU contient la description d’une commande spécifique pour un objet. Il y a
deux formats différents : le format correspondant aux messages
get,get_next,response et set. Le format correspondant aux messages trap est
représenté un peu plus bas.
PDU Request Error Error Object 1 Object 2 Object x

TYPE ID status index value 1 value 2 value x
Variables bindings
 PDU type : spécifie le type de PDU transmis.
 Request ID : identificateur de la requête.
 Error status : indique un numéro d’erreur. Seulement le message
response utilise ce champ. Les autres messages mettent ce champ à
zéro.
 Error index : associe une erreur à l’instance d’un objet particulier.
Seulement le message response utilise ce champ. Les autres le
mettent à zéro.
 Variables bindings : champs de données du PDU. Chaque variable
binding associe un objet particulier à sa valeur courante (à l’exception
des requêtes de type get et get_next pour lesquelles la valeur est
ignorée).
Agent Generic Specific Time Object 1 Object 2 Object x

Entreprise
address trap type trap code stamp value 1 value 2 value x
Variables bindings
 Entreprise : identifie le type d’objet qui a généré le trap.

 Agent address : adresse de l’objet qui a généré le trap.
 Generic trap type : type du trap.
 Specific trap code : code du trap.
 Time stamp : temps écoulé depuis la dernière réinitialisation et
génération du trap par le réseau.
 Variables bindings : champs de données du PDU. Chaque variable
binding associe un objet particulier à sa valeur courante.
 Emission d’un message

L’émission d’un message SNMP comprend les étapes suivantes :
 Construction de la PDU via ASN.1 ;
 Ajout d’un nom de communauté, adresse source, adresse destination,
numéro de version ;
 Envoi de datagramme contenant l’objet ASN.1 spécifié.
 Réception d’un message

La réception d’un message SNMP comprend les étapes suivantes :
 Réception du message ;
 Analyse du message ;
 Le message ANS.1 est-il correct ? si non =>fin ;
 La version est-elle OK ? si non => fin ;
 Examen de la communauté et des données contenues dans le
message ;
 Tout est OK ?
 Si oui :
 Examen de la PDU reçue (analyse syntaxique) ;
 Si tout est OK :
 Construction d’une nouvelle PDU correspondant à la
requête reçue ;
 Construction du message et envoi ;
 Sinon :
 Signaler l’erreur d’authentification ;
 Archiver l’erreur et envoyer un trap éventuel.
Avantages et désavantages du protocole SNMPv1
Le protocole SNMP présente les avantages suivants :

 C’est un protocole très simple et facile à utiliser ;
 Il permet une gestion à distance des différents équipements réseaux
administrables ;
 Son modèle fonctionnel pour la surveillance et pour l’administration
réseau est extensible ;
 Le protocole SNMP est indépendant de l’architecture des machines
administrées.
Le protocole SNMP présente les désavantages suivants :

 Les interrogations périodiques (polling) limite le nombre d’agents
pouvant être supervisés ;
 Il n’y a pas d’initiatives des agents sauf exceptions ;
 Le mode non connecté n’assure pas la sécurité des messages ;
 Comptabilité ente MIB propriétaires ;
 Pas ou peu sécurisé avec la notion de communauté.
PROTOCOLE SNMPv2
1. Pourquoi une nouvelle version
La première version de SNMP comportait plusieurs faiblesses. Pour mettre à jour

les informations voulues, il était nécessaire de d’interroger périodiquement
l’agent concerné. En prenant un intervalle de temps raisonnable entre deux
interrogations d’un agent, le nombre d’agents pouvant être supervisés était donc
limité.
De plus, les MIB propriétaires étaient incompatibles entre elles. Une station
d’administration ne pouvait donc pas interroger l’ensemble des agents du réseau.
Une autre faiblesse de la première version de SNMP concerne la sécurité. En
effet, l’échange des messages se basant sur un mode non connecté (protocole
UDP), la réception des messages n’est pas vérifiable. La seule sécurité présente
dans SNMPv1 est la notion de nom de communauté.
Cette notion est un simple service d’authentification qui permet à un agent de
limiter les accès de sa MIB à certaines stations d’administration. SNMPv2 tente
donc de corriger la plupart des défauts de jeunesse de SNMPv1. La sécurité est
alors renforcée et de nouvelles fonctionnalités sont ajoutées. Plusieurs versions
ont vu le jour avant que la version finale ne soit validée :
 V2c : nouvelles fonctionnalités mais peu sûre.
 V2u : inclut l’authentification.
 V2 = v2u + cryptage + configuration à distance.
2. La SMI et la MIB
La SMI de SNMPv2 utilise toujours la syntaxe ASN.1 pour décrire les données.
Certains types de données sont ajoutés et d’autres modifiés. Ainsi, parmi les types
redéfinis, nous pouvons trouver le type Counter qui devient Counter32 ou
Counter64. Ces compteurs utilisent des entiers positifs sur 32 ou 64 bits qui
s’incrémentent jusqu’à atteindre une valeur maximale avant de retourner à zéro.
Deux nouvelles MIB sont définis :
 SNMPv2 Management Information Base ;
 Manager-to-Manager.
La première permet de décrire le comportement des agents SNMP du réseau et

est composée de cinq tables :
 SNMPv2 Statistics Group : contient des informations relatives au
protocole SNMPv2 comme le nombre total de paquets reçus au niveau
transport, le nombre de paquet mal codés, le nombre de requêtes
PDU get_request, get_next_request, etc.
 SNMPv1 Statistics Group : contient les informations relatives au
protocole SNMPv1. Par exemple, le nombre de messages ayant un
mauvais nom de communauté, nombre de message demandant une
opération non autorisée, etc.
 Object Resource Group : utilisé par l’agent SNMPv2 pour décrire les
objets susceptibles d’être configurés par une station d’administration.
On y trouve le nom de l’objet, sa description, etc.
 Traps Group : gère les trap générés par un agent.
 Set Group : se compose d’un seul objet qui permet de résoudre deux
problèmes : la sérialisation des opérations de type Set émises par une
station de gestion et la gestion de la concurrence d’accès par de
multiples stations de gestion.
La deuxième se compose de deux tables :
 Alarm Group : permet de spécifier les paramètres de configuration des
alarmes : intervalles entre les alarmes, instances ou objet ayant
provoqué l’alarme, etc.
 Event Group : permet de renseigner une station de gestion sur un
ensemble d’événements choisis, sur l’instant où ils se produisent, etc.
L’operation get_bulk_request
Cette opération a pour but de minimiser le nombre d’échange à travers le réseau.

Elle permet à une station d’administration de solliciter de la part d’un agent une
réponse contenant le maximum d’information pouvant être contenu dans un
message (limitation par la taille du message). Il est possible de spécifier des
successeurs multiples lexicographiques.
Le message SNMP d’une requête get_bulk_request a la structure suivante:

PDU Request Non Max Partie
TYPE ID repeaters repetitions variable
L’opération get_next_request inclut une liste de (N+R) variables dans le champ

«Partie variable ». Les champs « non-repeaters » et « max-repetitions » indiquent
le nombre de variables contenu dans la liste « Partie variable » et le nombre de
successeurs dans un être retournées pour les variables restantes.
Pour les N noms, la récupération est faite comme dans get_next_request. R est le
nombre de variables pour lesquelles de multiples successeurs lexicographiques
sont demandés. Pour chacune de ces R variables, le nombre de successeurs
lexicographiques renseigné sera la valeur spécifiée dans le champ max
repetitions. Pour chaque variable, cela signifie :
 Obtenir la valeur du successeur de la variable considérée.
 Obtenir la valeur du successeur de l’instance objet obtenu à l’étape
précédente.
 Ainsi de suite jusqu’à ce qu’autant d’instances objets soient extraites
que le spécifie le champ max repetitions.
Si il n’y a plus de suivant lexicographique, la variable nommée et la valeur

« endOfMibWiew »sont retournées.
l’operation inform_request
L’opération inform_request permet à une station d’envoyer des informations vers

une station d’administration qui centralise des informations contenues dans la
MIB « Manager-to-Manager ».
Cette opération le mécanisme de trap de SNMPv1. Le message a le même format
qu’un get ou un set.
La MIB permet de spécifier des paramètres tels que :
 L’intervalle de temps devant séparer deux inform_request.

 Le nombre d’ « inform_request » voulus.
 La description de l’événement à rapporter.
 La date de l’événement.
L’operation notification_request
Dans un effort de standardiser le format de PDU des trap SNMPv1 (rappelons que
les trap SNMPv1 ont un format de PDU différent de celui de get_request et de
set_request), le protocole SNMPv2 a défini le type de trap dénommé «
NOTIFICATION » dont le format de PDU est le même que celui des opérations
get_request et set_request.
3. Compatibilité entre SNMP v1 et SNMPv2
La coexistence des deux versions est facilitée par le fait que SNMPv2 est un sur-
ensemble de SNMPv1. Une station d’administration utilisant SNMPv2 peut donc
gérer des agents utilisant SNMPv1 ou SNMPv2.
SNMPv2 gérant des PDU supplémentaires, il est prévu d’utiliser un agent proxy
qui assure la traduction des PDU entre les deux versions. Ceci est notamment
nécessaire du fait des différences entre les SMI.
Depuis quelques années, SNMP domine progressivement le marché des outils

d’administration réseau nécessitant l’interopérabilité. La plupart des
constructeurs de concentrateurs, ponts, routeurs, stations de travail équipent
leurs matériels d’agents SNMP, ce qui les rend administrables par les multiples
plates-formes d’administration SNMP que proposent les constructeurs.
Même s’il comporte plusieurs faiblesses, il se révèle utile de par sa simplicité en

plus de par son interopérabilité entre différentes plates-formes.
La nouvelle version de SNMP n’arrive pas à s’imposer même si elle corrige les
défauts de la première version, alors que dire de l’avenir de la version SNMPv3
déjà opérationnelle.
CHAPITRE VI: LE SWITCHING (VLAN ET SPANING TREE)
Notions de switching
Cette partie a pour objectif de présenter une vue globale de la commutation

(switching) en exposant les notions de latence, de full-duplex, de segmentation
par du matériel de couche 2 et de couche 3, de modes de commutation.
1. Latence
Définition
La latence, parfois appelée délai, est le temps que prend une trame (ou un
paquet) pour voyager entre la station d'origine (nœud) et la destination finale
sur le réseau.
Causes
Délai carte réseau
Premièrement, il y a le temps nécessaire à la carte réseau d'origine pour placer

des impulsions électriques sur le fil et le temps nécessaire à la carte réseau
réceptrice pour interpréter ces impulsions. On parle parfois, dans ce cas, de
délai de carte réseau (il s'agit généralement d'un délai de 1 microseconde pour
les cartes réseau 10BaseT).
Délai propagation
Vient ensuite le délai de propagation proprement dit, qui se produit lorsque le

signal prend le temps, quoique très court, nécessaire à son déplacement sur le
fil (environ 0,556 microseconde par 100 mètres pour du câble UTP de catégorie
5). Plus le câble est long, plus le délai de propagation est important. De même,
plus la vitesse de propagation nominale, ou NVP, du câble est faible, plus le
délai de propagation est important.
Délais unités couches 1, 2 ou 3
Enfin, du temps de latence est ajouté en fonction des unités réseau (qu'elles
soient de couche 1, 2 ou 3) ajoutées sur la voie entre deux hôtes en
communication, ainsi que de leur configuration. Il convient également de tenir
compte du temps de transmission réel (période pendant laquelle l'hôte
transmet effectivement des bits) pour bien comprendre la notion de
synchronisation dans le domaine des réseaux.
Durée d'un bit = l'unité de base au cours de laquelle UN bit est envoyé.
Pour que les dispositifs électroniques ou optiques soient en mesure de

reconnaître un 1 ou un 0 binaire, il doit y avoir une période minimale durant
laquelle le bit est " ouvert " ou " fermé ".
Si la durée d'un bit est de 100ns (Ethernet 10 Mbits/s) alors pour

Taille d’une trame (Octet) Temps de transmission (microseconde)
64 51,2
512 410
1000 800
1518 1214
(trame X 8 X 100ns)/1000 = temps de transmission en microsecondes
2. Les répéteurs
Les répéteurs sont des éléments de couche 1 qui régénèrent le signal avant de
le transmettre.
 Les répéteurs autorisent des distances de bout en bout supérieures

 Les répéteurs augmentent le domaine de collision
 Les répéteurs augmentent le domaine de broadcast
3. Full-Duplex
Le commutateur Ethernet full duplex tire parti des deux paires de fils du câble
grâce à l'établissement d'une connexion directe entre l'émetteur (TX) à une
extrémité du circuit et le récepteur (RX) à l'autre extrémité. Lorsque les deux
stations sont connectées de cette façon, un domaine sans collision est créé, car
la transmission et la réception des données s'effectuent sur deux circuits non
concurrents.
En règle générale, Ethernet utilise seulement entre 50 et 60 % de la bande

passante de 10 Mbits/s disponible en raison des collisions et de la latence. Le
mode Ethernet full duplex offre 100 % de la bande passante dans les deux
directions. Cela produit un débit potentiel de 20 Mbits/s : 10 Mbits/s en
transmission et 10 Mbits/s en réception.
4. Pourquoi segmenter un LAN ?
La segmentation permet d'isoler le trafic ente les segments. Elle augmente la

bande passante disponible pour chaque utilisateur en créant des domaines de
collisions plus petits.
5. Le matériel
Les ponts
Les ponts sont des unités de couche 2 qui acheminent des trames de données
en fonction des adresses MAC contenues dans les trames. De plus, les ponts
sont transparents pour les autres unités du réseau.
Les ponts " apprennent " la segmentation d'un réseau en créant des tables
d'adresses qui renferment l'adresse de chacune des unités du réseau, ainsi que
le segment à utiliser pour atteindre cette unité. à moins d'utilisateurs par
segment
Un pont est considéré comme une unité de type " Store and Forward " parce
qu'il doit examiner le champ adresse de destination et calculer le code de
redondance cyclique (CRC) dans le champ de séquence de contrôle de trame
avant de transmettre ladite trame vers tous les ports. à Ils augmentent la
latence de 10 à 30%
Les routeurs
Un routeur fonctionne au niveau de la couche réseau et fonde toutes ses

décisions en matière d'acheminement des données entre les segments sur
l'adresse de niveau protocole de la couche réseau.
Les commutateurs
Un commutateur peut segmenter un LAN en microsegments, qui sont des

segments à hôte unique. Cela a pour effet de créer des domaines sans collision
à partir d'un grand domaine de collision. ( ! domaine de broadcast identique).
+ Latence faible
Dans une implémentation Ethernet commutée, la bande passante disponible
peut atteindre près de 100 %. Chaque ordinateur branché sur port dispose
d'une bande passante maximale de point à point.
L'un des inconvénients des commutateurs est leur prix, plus élevé que celui des
concentrateurs.
Deux activités de base
- La commutation de trames de données - Cette opération se produit

lorsqu'une trame qui est parvenue au niveau d'un média d'entrée est
transmise à un média de sortie.
- La gestion des opérations de commutation - Un commutateur crée et gère
des tables de commutation.
En règle générale, les ponts assurent la commutation au niveau logiciel, les

commutateurs au niveau matériel.
La commutation de couche 2 et de couche 3
La commutation est un processus qui consiste à prendre une trame entrante

sur une interface et à l'acheminer par une autre interface. Les routeurs
utilisent la commutation de couche 3 pour acheminer un paquet ; les
commutateurs (unités de couche 2) utilisent la commutation de couche 2 pour
acheminer les trames
Dans le cas de la commutation de couche 2, les trames sont commutées en

fonction des adresses MAC. Dans le cas de la commutation de couche 3, les
trames sont commutées selon les informations de couche réseau.
Contrairement à la commutation de couche 3, la commutation de couche 2 ne

regarde pas à l'intérieur d'un paquet pour y trouver les informations de couche
réseau. La commutation de couche 2 regarde l'adresse MAC de destination
contenue dans une trame. Elle envoie les informations à la bonne interface, si
elle connaît l'emplacement de l'adresse de destination. La commutation de
couche 2 crée et met à jour une table de commutation qui consigne les
adresses MAC associées à chaque port ou interface.
Si le commutateur de couche 2 ne sait pas où envoyer la trame, il l'envoie par
tous ses ports au réseau pour connaître la bonne destination. Lorsque la
réponse est renvoyée, le commutateur prend connaissance de l'emplacement
de la nouvelle adresse et ajoute les informations à la table de commutation.
Comment un commutateur prend-il connaissance des adresses ?
 Apprend l'emplacement d'une station en examinant l'adresse d'origine.

 Envoie par tous les ports (sauf sur le port d'origine) lorsque l'adresse de
destination est un broadcast, un multicast ou inconnue.
 Achemine les données lorsque la destination est située sur une interface
différente.
 Filtre les données lorsque la destination est située sur la même
interface.
 Les avantages de la commutation LAN
 Réduction du nombre de collision
 Plusieurs communications simultanées
 Liaisons montantes (Uplink) simultanées
 Amélioration des réponses du réseau
 Hausse de la productivité de l'utilisateur
 Economie et souplesse de gestion
Deux modes de commutation
Store and Forward
La trame entière doit être reçue avant de pouvoir être acheminée. Les adresses de
destination et/ou d'origine sont lues et des filtres sont appliqués avant que la
trame ne soit acheminée. De la latence se produit pendant la réception de la
trame ; la latence est plus élevée dans le cas des grandes trames, car la trame
entière est plus longue à lire. La détection d'erreurs est élevée, car le
commutateur dispose de beaucoup de temps pour vérifier les erreurs en
attendant de recevoir toute la trame.
Cut-through
Le commutateur lit l'adresse de destination avant d'avoir reçu toute la trame. La

trame est ensuite acheminée avant d'avoir été entièrement reçue. Ce mode réduit
la latence de la transmission et détecte peu d'erreurs de commutation LAN. "
FastForward " et " Fragment Free " sont deux types de commutation " Cut-
through ".
Mode de commutation " FastForward "
Ce mode de commutation offre le plus faible niveau de latence en acheminant un

paquet dès réception de l'adresse de destination. Comme le mode de
commutation " FastForward " commence l'acheminement avant que le paquet
entier n'ait été reçu, il peut arriver que des paquets relayés comportent des
erreurs. Bien que cela ne se produise qu'occasionnellement et que l'adaptateur
réseau de la destination rejette le paquet défectueux lors de sa réception, le trafic
superflu peut être jugé inacceptable dans certains environnements. Utilisez le
mode Fragment Free pour réduire le nombre de paquets qui sont acheminés avec
des erreurs. En mode FastForward, la latence est mesurée à partir du premier bit
reçu jusqu'au premier bit transmis (c'est la méthode du premier entré, premier
sorti).
Mode de commutation Fragment Free
Ce mode de commutation filtre les fragments de collision, qui constituent la

majorité des erreurs de paquet, avant que l'acheminement ne puisse commencer.
Dans le cas d'un réseau qui fonctionne correctement, les fragments de collision
doivent être d'une taille inférieure à 64 octets. Tout fragment d'une taille
supérieure à 64 octets constitue un paquet valide et est habituellement reçu sans
erreur. En mode de commutation Fragment Free, le paquet reçu doit être jugé
comme n'étant pas un fragment de collision pour être acheminé. Selon ce mode,
la latence est mesurée en fonction du premier entré, premier sorti.
I. Vlan (Virtual Local Area Network )
Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local
Virtuel) est un réseau local regroupant un ensemble de machines de façon logique
et non physique.
En effet dans un réseau local la communication entre les différentes machines est
régie par l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible
de s'affranchir des limitations de l'architecture physique (contraintes
géographiques, contraintes d'adressage, ...) en définissant une segmentation
logique (logicielle) basée sur un regroupement de machines grâce à des critères
(adresses MAC, numéros de port, protocole, etc.).
1. Typologie de VLAN
Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau

auquel il s'effectue :
Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN)
définit un réseau virtuel en fonction des ports de raccordement sur le
commutateur ;
Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en
anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction
des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le
VLAN par port car le réseau est indépendant de la localisation de la station ;
Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :
Les vlan par protocole de niveau 3
Les VLAN se font de deux manières
Attribution statique (niveau 1)
C'est la méthode la plus simple et aussi la moins souple,qui consiste à attribuer un

port du SWITCH à un VLAN donné,en configurant statiquement le SWITCH.
Attribution dynamique (niveaux > 1)
C’est la méthode qui fait appel à 802.1x et à un procédé d'authentification

(serveur d’authentification RADIUS). Il faut disposer d’un switch capable d’envoyer
à un serveur d’authentification l’adresse MAC de la station connectée à un port,
en guise de "login/password". Si l'adresse MAC est connue (Authentification
réussie), le serveur pourra envoyer au SWITCH le numéro du VLAN attaché à la
station.
Cette méthode est plus souple, puisqu'une station donnée pourra se connecter
sur n'importe quel port, elle se retrouvera toujours sur le VLAN qui lui convient.
a.Fonctionnement des ports:
Il existe trois modes d’accès au port:
- Mode d’accès
- Mode trunk(étiquetage de trame)
- Mode dynamic ou automatique
b. Rôle du vlan:
Il permet:
 L’Efficacité du réseau
 L’Efficience
 La Meilleur gestion du réseau et des équipements
 L’Augmentation de la sécurité
 La meilleure gérance de la communication
c. Commande de base:
Un switch dispose d’un vlan par défaut c’est le VLAN 1 appelé VLAN NATIVE et il
contient tous les ports par défaut
- Création de vlan:
Pour créer un vlan:
Switch#vlan database
Switch(config)#vlan id_vlan name nom_vlan
Switch#conf t
Switch(config)#vlan id_vlan
Switch(config-vlan)#name nom_vlan
- Attribution des ports:
Switch#conf t
Switch(config)
#interface fastethernet 0/5(par exemple)(pour
l’attribution de plusieurs ports à la fois saisir la
commande:interfacerange fastethernet0/5-0/10 par
exemple)
Switch(config-if)#
switchport mode access(pour le mode access)
Switch(config-if)#switchport access id_vlan
Switch(config-if)#no shutdown
- Pour render les ports transparents sur les switchs: mode trunk
Faire:
Switch#conf t
Switch(config)#
interface gigabit ethernet1/0/1(par exemple)
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shutdown
- Pour un routage inter-vlan:
Sur un routeur faire:
Activer d’abord l’interface du routeur
Routeur#conf t
Routeur(config)#interface fastethernet 0/0(par exemple)
Routeur(config-if)#no shutdown
- faire l’encapsulation:
Routeur#conf t
Routeur(config)#interface fastethernet 0/0.id_vlan
Routeur(config-subif)
#encapsulation dot1q id_vlan
Routeur(config-subif)#ip address 192.168.0.254
255.255.255.0
Routeur(config-subif)#no shutdown
Routeur(config-subif)#end
Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan
II. STP (Spanning Tree Protocol)

Le protocole Spanning Tree (STP) est un protocole de couche 2 (liaison de
données) conçu pour les commutateurs. Le standard STP est défini dans le
document IEEE 802.1D-2004. Il permet de créer un chemin sans boucle dans
un environnement commuté et physiquement redondant. STP détecte et
désactive ces boucles et fournit un mécanisme de liens de sauvegarde. Le
standard a été amélioré en incluant IEEE 802.1w Rapid Spanning Tree (RSTP).
Cisco dispose de ses propres versions correspondantes.
Spanning-Tree (STP) répond à la problématique de trames dupliquées dans un
environnement de liaisons redondantes (section 1). Son fonctionnement est
basé sur la sélection d'un commutateur Root (principal) et de calculs des
chemins les plus courts vers ce commutateur (section 2). Les ports des
commutateurs rencontrent cinq états dont le "Blocking" qui ne transfère pas
de trames de donnée et le "Forwarding" qui transfère les trames de donnée
(section 3). Quelques commandes essentielles sont à retenir (section 4 à 8).
Rapid Spanning Tree (RSTP) est la version améliorée de STP qui fait passer les
temps de convergence de 50 secondes à quelques secondes (section 9).
Cisco Systems met en oeuvre ses propres versions de STP et de RSTP que l'on
désigne PVST+ (section 8) et PVRST+
1. Problématique
Dans un contexte de liaisons redondantes sans STP deux problèmes peuvent

survenir :
1. Des tempêtes de diffusion (broadcast) : lorsque des trames de diffusion ou

de multicast sont envoyées (FF-FF-FF-FF-FF-FF en destination), les
commutateurs les renvoient par tous les ports. Les trames circulent en boucles
et sont multipliées. Les trames n'ayant pas de durée de vie (TTL comme les
paquets IP), elles peuvent tourner indéfiniment.
2. Une instabilité des tables MAC : quand une trame, même unicast, parvient
aux commutateurs connectés en redondance, le port du commutateur
associé à l'origine risque d'être erroné. Une boucle est susceptible d'être
créée.
Dans cet exemple, le PC1 envoie une trame au PC2. Les deux commutateurs
reçoivent la trame sur leur port 0/2 et associent ce port à l'adresse MAC de
PC1. Si l'adresse de PC2 est inconnue, les deux commutateurs transfèrent la
trame à travers leur port 0/1. Les commutateurs reçoivent respectivement ces
trames inversement et associent l'adresse MAC de PC1 au port 0/1. Ce
processus peut se répéter indéfiniment.
2. Fonctionnement de STP
Une topologie physique physique redondante fournira des chemins multiples

visant à améliorer la fiabilité d'un réseau. Toutefois, elle présente le
désavantage de créer des boucles dans le réseau. Pour résoudre ce problème,
STP crée au sein de cette topologie redondante un chemin sans boucle basé
sur le chemin le plus court. Ce chemin est établi en fonction de la somme des
coûts de liens entre les commutateurs. Ce coût est une valeur inverse à la
vitesse d'un port, car un lien rapide aura un coût moins élevé qu'un lien lent.
Aussi, un chemin sans boucle suppose que certains ports soient bloqués et pas
d'autres. STP échange régulièrement des informations (appelées des BPDU -
Bridge Protocol Data Unit) afin qu'une éventuelle modification de topologie
puisse être adaptée sans boucle.
STP est activé par défaut sur les commutateurs Cisco, il crée un chemin sans
boucles automatiquement entre eux.
1. Sélection d'un commutateur Root
Le commutateur Root (principal) sera le point central de l'arbre STP. le choix de

celui-ci dans l'architecture du réseau peut avoir son importance. Toutefois, une
bonne pratique consistera à limiter la taille des domaines de diffusion et à
concentrer géographiquement les VLANs.
Par défaut, le commutateur qui aura l'identifiant (ID) la plus faible sera élu
Root. L'ID su commutateur comporte deux parties :
 d'une part, la priorité (2 octets) et,

 d'autre part, l'adresse MAC (6 octets).
La priorité 802.1d est d'une valeur de 32768 (0x8000) par défaut (ce sont des
multiples de 4096, sur 16 bits). Par exemple, un commutateur avec une priorité
par défaut de 32768 et une adresse MAC 00:A0:C5:12:34:56 prendra l'ID
8000:00A0:C512:3456. On peut changer la priorité d'un commutateur avec la
commande :
(config)#spanning-tree vlan vlan-id priority priority
Sur un commutateur Root, tous les ports sont des ports Designated, autrement
dit, ils sont en état « forwarding », il envoient et reçoivent le trafic.
2. Sélection d'un port Root pour les commutateurs non-Root.
Les autres commutateurs vont sélectionner un seul port Root qui aura le
chemin le plus court vers le commutateur Root. Normalement, un port Root
est en état « forwarding », également.
Le coût est calculé inversement à sa qualité.
Ce coût peut être modifié. S'il s'agit d'un port configuré en mode Access (qui
connecte un périphérique terminal), la commande de configuration est :
(config-if)#spanning-tree cost cost
S'il s'agit d'un port en mode Trunk (qui connecte un autre commutateur pour
transporter du trafic de plusieurs VLANs), la commande de configuration est :
(config-if)#spanning-tree vlan vlan-id cost cost
A noter aussi qu'en cas de coût égaux, c'est la priorité la plus faible (d'une
valeur de 0 à 255) qui emporte le choix (elle est de 128 par défaut) en
déterminant l'ID du port composé de 2 octets (priorité + numéro STP du port) :
Sur un port en mode Access :
(config-if)#spanning-tree port-priority priority
Sur un port en mode trunk :

(config-if)#spanning-tree vlan vlan-id port-priority
priority
3. Sélection d'un port désigné pour chaque segment
Pour chaque segment physique, domaine de collision ou lien, il y a un port

Designated. Le port Designated est celui qui a le chemin le plus court vers le
commutateur Root. Un port Designated est normalement en état « forwarding
», autrement dit, envoie et reçoit du trafic de données.
Tous les autres sont des ports Non-Designated en état « blocking », c'est-à-dire
bloquant tout trafic de données mais restant à l'écoute des BPDU.
En bref,
 1 commutateur Root par réseau dont tous les ports sont Designated
 1 port Root par commutateur Non-Root
 1 port Designated par domaine de collision (liaison)tous les autres ports
sont Non-Designated
Aussi, on peut résumer les différentes combinaisons rôle STP d'un port, état et
rôle STP du commutateur :
4. Différents états STP
Cinq états de ports peuvent rencontrés consécutivement sur un port avant que
STP ait convergé. Chaque état comporte un délai qui varie en fonction de la
version de STP utilisée sur le commuateur Cisco. En voici les propriétés.
Le compteur "age maximum" (Max Age) de 20 secondes par défaut est le

temps maximal avec que STP effectue de nouveaux calculs quand une interface
ne reçoit plus de BPDUs. Le temps de "forwarding" de 15 secondes par défaut
est le temps de passage d'un état "listening" à "learning" et de "learning" à
"forwarding". Bref, une topologie peut prendre jusqu'à 50 secondes avant de
converger et de transférer du trafic. Aussi, la fréquence d'envoi de BPDUs Hello
est de 2 secondes par défaut.
Etat « Blocking »
- Rejette toutes les trames de données venant du segment attaché

- Rejette toutes les trames de données venant d'un autre port de transfert
- N'intègre aucune emplacement de station dans sa MAC table (il n'y pas
d'apprentissage)
- Reçoit les BPDUs et les transmet à son système
- N'envoie pas de BPDUs reçus de son système
- Répond à SNMP
Etat « Listening »

- N'intègre aucune emplacement de station dans sa MAC table (il n'y pas
d'apprentissage)
- Envoie les BPDUs reçus de son système
- Répond à SNMP
Etat « Learning »

- Intègre les emplacements de station dans sa MAC table (apprentissage)
- Envoie les BPDUs reçus de son système
- Répond à SNMP
Etat « Disabled »
Cet état est similaire à l'état « blocking » sauf que le port est considéré
physiquement non opérationnel (shutdown ou problème physique).
CHAPITRE VII: INTRODUCTION A LA SECURITE INFORMATIQUE
1. Introduction
Virus, perte de données, vol, fraude, spam, déni de services, espiogiciel, social
engineering, cybercriminalité, Etc. Aujourd’hui il n’est pas facile d’aborder la
sécurité informatique au sein de son d’une entreprise. Ce chapitre a pour but de
familiariser les étudiants aux notions de base de sécurité informatique en
s’appuyant sur des normes bien définis tel qu’ISO 7498-2.
2. Quelques définitions et terminologies
a. Système d’information : ensemble des moyens nécessaires pour acquérir,

stocker, exploiter . . . des informations.
b. Système informatique : un des moyens techniques pour faire fonctionner
un système d’information
c. Sécurité informatique : ensemble des moyens mis en œuvre pour
minimiser la vulnérabilité d’un système informatique contre des menaces.
Pour assurer la sécurité d’un système d’information, il faut assurer la
sécurité du système informatique.
d. Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs
systèmes. Tout système vu dans sa globalité présente des vulnérabilités,
qui peuvent être exploitables ou non.
e. Les attaques (exploits): elles représentent les moyens d'exploiter une
vulnérabilité. Il peut y avoir plusieurs attaques pour une même
vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.
f. Les contre-mesures : ce sont les procédures ou techniques permettant de
résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel
cas il peut exister d'autres attaques sur la même vulnérabilité).
g. Les menaces : ce sont des adversaires déterminés capables de monter une
attaque exploitant une vulnérabilité.
Se basant sur les notions élucidées ci-haut, nous disons que la sécurité
informatique est une discipline qui se veut de protéger l’intégrité et la
confidentialité des informations stockées dans un système informatique. Nous
notons qu’il n’existe aucune technique capable d’assurer l’inviolabilité d’un
système. D’où nous confirmons que la sécurité à 100 pour cent n’existe pas.
Un système informatique peut être protégé du point de vue logique (avec le

développement des logiciels) ou physique (concernant la manutention électrique,
par exemple). Par ailleurs, les menaces peuvent dériver de programmes
malveillants qui s’installent sur l’ordinateur de l’utilisateur (comme un virus) ou
venir à distance (les Hackers qui se connectent sur Internet et qui rentrent dans
de différents systèmes). Parmi les outils les plus courants de la sécurité
informatique, il y a lieu de mentionner les programmes antivirus, les firewalls
(pare-feu), le cryptage de l’information et l’utilisation des données d’accès (mots
de passe).
Un système sécurisé doit être :
 Complet : les informations ne peuvent être modifiées que par les

personnes autorisées ;
 Confidentiel : les données doivent être lisibles uniquement aux utilisateurs
autorisés,
 Irréfutable : l’utilisateur n’est pas en mesure de nier les actions qu’il ait
effectué ;
 Bonne disponibilité : le système doit être stable.
Il est à noter que la vraie sécurité de tout un système, que ca soit dans une
entreprise est former d’abord les utilisateurs. Une personne qui sait comment se
protéger des menaces saura comment utiliser ses ressources de la meilleure
façon pour éviter les attaques ou les accidents.
En bref, la sécurité informatique a pour but de veiller à ce que les ressources d’un
système d’information puissent être utilisées tel qu’une organisation ou qu’un
utilisateur l’ait décidé, sans interférences
3. Les objectifs de la sécurité informatique
La sécurité informatique à plusieurs objectifs. Ces derniers sont donc liés aux
types de menaces ainsi qu'aux types de ressources, etc... Dans les lignes qui
suivent, nous tentons de donner les principaux points:
 empêcher la divulgation non-autorisée de données
 empêcher la modification non-autorisée de données
 empêcher l'utilisation non-autorisée de ressources réseau ou informatiques
de façon générale.
4. Les champs d'application de la sécurité informatique
Ces objectifs s'appliquent dans différents domaines ou champs d'applications,

chacun faisant appel à des techniques différentes pour atteindre le ou les mêmes
objectifs; ces champs sont :
 la sécurité physique
 la sécurité personnelle
 la sécurité procédurale (audit de sécurité, procédures informatiques...)
 la sécurité des émissions physiques (écrans, câbles d'alimentation, courbes
de consommation de courant...)
 la sécurité des systèmes d'exploitation
 la sécurité des communications
5. Types d'attaques
A première vue, nous pouvons distinguer deux grandes catégories d’attaques:
1. Les attaques passives : consistent à écouter sans modifier les données ou

le fonctionnement du réseau. Elles sont généralement indétectables mais
une prévention est possible. Noter qu'une attaque active peut être
exécutée sans la capacité d'écoute. De plus, il n'y a généralement pas de
prévention possible pour ces attaques, bien qu'elles soient détectables
(permettant ainsi une réponse adéquate).
2. Les attaques actives : consistent à modifier des données ou des messages,

à s'introduire dans des équipements réseau ou à perturber le bon
fonctionnement de ce réseau.
Les menaces dues aux accidents : (<30% des causes) incendies, inondations,
pannes d’équipements, catastrophes naturelles. . .
Les menaces dues à la malveillance : (>60%, en croissance, souvent d’origine
interne) vols d’équipements, copies illicites, sabotage matériel, attaques logiques,
intrusion et écoute, actes de vengeance, Etc.
Les menaces actives appartiennent principalement à quatre catégories :

 Interruption = problème lié à la disponibilité des données
 Interception = problème lié à la confidentialité des données
 Modification = problème lié à l’intégrité des données
 Fabrication = problème lié à l’authenticité des données
La figure ci-dessous présente les types de menaces actives :
Les auteurs de ces attaques sont notamment les hackers (agissant souvent par
défi personnel), les concurrents industriels (vol d’informations concernant la
stratégie de l’entreprise ou la conception de projets), les espions, la presse ou
encore les agences nationales.
6. Profils et capacités des attaquants
Les attaquants peuvent être classés non-seulement par leurs connaissances

(newbies, experts, etc...) mais également suivant leurs capacités d'attaques dans
une situation bien définie. Ainsi, on dénombrera les capacités suivantes :
 transmission de messages sans capacité d'écoute (IP spoofing...)

 écoute et transmission de messages
 écoute et perturbation des communications (blocage de paquets, DoS et
DDoS...)
 écoute, perturbation et transmissions de messages
 écoute et relai de messages (attaques type man-in-the-middle)
Une autre caractéristique des attaquants va être leur emprise uni-directionnelle
ou bi-directionnelle sur les communications, du fait de la nature asymétrique de
celles-ci. En effet, la plupart des canaux de transmissions sur Internet ou sur tout
autre réseau hétérogène sont uni-directionnels et empruntent des chemins
différents suivant les règles de routage. Ainsi, de nombreux protocoles de sécurité
sont également unidirectionnels et il faut établir plusieurs canaux pour permettre
un échange en "duplex". Ces canaux qui sont au nombre de 2 minimum, sont la
plupart du temps gérés de façon totalement indépendante par les protocoles de
sécurité. C'est le cas pour SSL (Secure Socket Layer)/TLS (Transport Layer Security)
mais également pour IPSec dont les associations de sécurité (SA) sont
unidirectionnelles et indépendantes, chacune définissant son propre jeu de clés,
algorithmes, etc...
7. Services principaux de la sécurité informatique
Pour remédier aux failles et pour contrer les attaques, la sécurité informatique se
base sur un certain nombre de services qui permettent de mettre en place une
réponse appropriée à chaque menace. A ce niveau, aucune technique n'est
encore envisagée; il ne s'agit que d'un niveau d'abstraction visant à obtenir une
granularité minimale pour déployer une politique de sécurité de façon optimale
(les aspects pratiques tels qu'analyses de risques, solutions technologiques et
coûts viendront par la suite. Voir le "Site Security Handbook", RFC 1244 pour plus
de détails).
Les principaux services de sécurité sont les suivants:
 Confidentialité
 authentification (entité, origine des données)
 intégrité
 contrôle d'accès (c’est l’autorisation, à différentier de l'authentification)
 non-répudiation (avec preuve d'émission ou avec preuve

Langue

Cours de Télématique Et Internet Engineering - 2018 - Selain

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Cours de Télématique Et Internet Engineering - 2018 - Selain

Transféré par

Droits d'auteur :

Chef de Travaux Selain Kasereka, M.Sc.

 Permettre à l’étudiant d’appliquer les différentes notions vues pendant les

 Notion des graphes, fonctionnements des systèmes d’exploitation Linux et

Chapitre 1. Rappels sur les réseaux Informatiques

L’évaluation sera faite sur base de la présence, la participation au cours, les

Dans le monde actuel où tout devient automatisé, la connaissance du

Ce cours prévoit des séances des travaux en salle machine. Le système

A la fin du cours, une visite guidée dans un Datacenter est prévue. En

Ces notes de cours et travaux pratiques évolueront en fonction du niveau de

Lorsque nous avons deux ou plusieurs dispositifs informatiques interconnectés

2. Typologies des réseaux informatiques

3. Topologie des réseaux informatiques

La topologie désigne la façon dont les équipements réseaux sont interconnectés

Deux topologies sont distinguées:

 Topologie physique: Comment les équipements sont –ils interconnectés

Plusieurs topologies physiques peuvent être répertoriées:

Cette topologie a pour avantage d'être facile à mettre en œuvre et de posséder

Notons aussi que si le répartiteur est un concentrateur (HUB), les informations

Cette topologie se rencontre dans les grands réseaux de distribution (Exemple :

La commutation c'est l'établissement d'un lien temporaire entre deux abonnés.

3 modes de commutation peuvent être répertoriés :

Il s'agit notamment de la méthode utilisée dans le réseau téléphonique commuté

b. Commutation des paquets

Dans le mode de commutation des paquets, il existe deux modes

2. Mode d’acheminement Circuit Virtuel

b. Internet (World Wide Web)

Le fonctionnement du web peut être illustré comme sur le schéma ci-dessous :

d. Deux différents types de ressources

• URN : Uniform Ressource Name

Fonctionnement d’un serveur http

• Serveur : application qui écoute un port de communication (Port standard

S’il possède déjà la page, il la renvoie, sinon il va la chercher.

• le client effectue une requête (GET) via un proxy cache

Quelques limités sont à signaler :

EXERCICE 1 : On souhaite implanter un petit réseau local, une vingtaine de poste

EXERCICES 2 : Un réseau est constitué de noeuds connectés selon le schéma ci-

Du fait du grand nombre de fonctionnalités implémentées dans les réseaux,

Pour une couche de niveau N, ces objets sont les suivants :

OSI (Open Systèmes Interconnexion), qui se traduit par Interconnexion de

Implémentation des 7 couches sur les équipements réseau

6 Présentation Présentation PPDU

5 Session Session SPDU

4 Transport Transport TPDU

1 Physique Physique Physique Bit

4. Les commutateurs ou switch

6 Présentation Présentation PPDU

5 Session Session SPDU

4 Transport Transport TPDU

1 Physique Physique Physique Bit

7 Application Application APDU

6 Présentation Présentation PPDU

5 Session Session SPDU

4 Transport Transport TPDU

3 Réseau Réseau Paquet

Liaison de Liaison de Liaison de

1 Physique Physique Physique Bit

IP (Internet Protocol, Protocole Internet)

Le datagramme correspond au format de paquet défini par le protocole Internet.

La longueur théorique maximale d'un datagramme IP est de 65535 octets. En

Dans un réseau TCP/IP, on assigne généralement une adresse IP à chaque hôte.

1. LE PROTOCOLE IP DE LA COUCHE RESEAU

Le modèle TCP/IP utilise un système particulier d'adressage qui porte le nom de la

• L'espace d'adressage IPV4

L'espace d'adressage est défini en fonction du nombre de bits nécessaires pour

• Le masque de sous réseau