République Algérienne Démocratique et Populaire

Ministère de l’enseignement supérieur et de la recherche scientifique

UNIVERSITE des FRERES MENTOURI CONSTANTINE 1
FACULTE DE SCIENCE DE La TECHNOLOGIE
DEPARTEMENT D’ELECTRONIQUE

Exposé
Matière : Réseaux Haut-débits
Master 1 :
Spécialité : Réseaux et Télécommunications
THEME

Tunneling Protocol

Présenté par :
- GUEDRI Khensa

2019/2020
Introduction :

Dans les réseaux informatiques , un protocole de tunneling est un protocole de

communication qui permet le mouvement des données d'un réseau à un autre. Il s'agit
d'autoriser l' envoi de communications de réseau privé sur un réseau public (comme Internet )
via un processus appelé encapsulation .
Étant donné que la tunnellisation implique le reconditionnement des données de trafic sous une
forme différente, peut-être avec le cryptage en standard, elle peut masquer la nature du trafic
qui passe par un tunnel.
Le protocole de tunneling fonctionne en utilisant la partie données d'un paquet (la charge utile )
pour transporter les paquets qui fournissent réellement le service. Le tunneling utilise un modèle
de protocole en couches tel que ceux de la suite de protocoles OSI ou TCP / IP , mais viole
généralement la superposition lors de l'utilisation de la charge utile pour transporter un service
qui n'est pas normalement fourni par le réseau. En règle générale, le protocole de livraison
fonctionne à un niveau égal ou supérieur dans le modèle en couches que le protocole de charge
utile.
Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un
protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une
couche de niveau supérieur.
Le protocole HDLC :

HDLC (High level Data Link Control) est un protocole de couche liaison de données (couche
2 du modèle OSI), c’est un ensemble de classes, de procédures et de fonctionnalités optionnelles
(normalisée par l'ISO en 1976).
Chaque liaison de données choisit sa procédure en fonction de ses besoins (coûts, ressources...).

Statuts des stations :

Liaison point-à-point :

➢ Dissymétrique
Commande Réponse

Primaire Secondaire

➢ Symétrique

Liaison multipoint :

➢ Dissymétrique (seulement)
Les différents modes de HDLC :
➢ Le mode synchrone ou normal
NRM (Normal Response Mode)
• Liaison multipoint dissymétrique
• Relation maître/esclave : le primaire invite le secondaire à parler
➢ Le mode asynchrone dissymétrique
ARM (Asynchronous Response Mode)
• Liaison peut être point-à-point ou multipoint
• Liaison dissymétrique :
▪ 1 équipement est station principale, tous les autres sont secondaires
▪ a station principale a l'initiative de l'initialisation de la liaison de données
➢ Le mode asynchrone symétrique (le plus courant)
ABM(Asynchronous Balanced Mode )
• Liaison point-à-point uniquement
▪ Full duplex_(LAP-Balanced adopter par RNIS)
▪ Half duplex_(LAP-X transmission télétex)
• Liaison symétrique :
▪ tous les équipements agissent de la même façon: primaire en émission et
secondaire en réception _ mode équilibré (balanced)

Format des Trames HDLC :

➢ Le champ « fanion » indique les bordures de la trame (début et fin)
➢ Il est représenté par un 0 suivi de 111111 suivis de 0.
➢ Que faire si la donnée contient la même séquence de bits (donnée=
...01111110...) ?
• Solution : ajouter un 0 après chaque 11111 (5 un consécutifs au niveau de
l’émetteur).
➢ Le champ adresse identifie la station secondaire dans le cas d’une liaison multipoint
• Dans une commande il représente la station destinataire
• Dans une réponse il représente la station émetteur
➢ Dans le cas de liason point-à-point il n’est pas pris en compte
➢ Le champ « données » peut être vide
• Taille minimale (sans fanion) =32 bits (4 octets)
➢ le champ FCS (Frame Check Sequence) permet la détection d’erreurs
• De longueur 16 bits (2 octets)
• Porte sur les champs (adresse, contrôle, données)
• constitué du reste de la division polynomiale des N bits de la trame par un polynôme
« générateur » normalisé de degré 16
• le récepteur fait de même avec les N bits de la trame reçue et si le reste est égal à
celui de la zone FCS on admet que la transmission s'est passée correctement sinon
la trame est rejetée.

Le champ contrôle :

Le champ contrôle peut-être sur 2 octets Ns et Nr sont alors sur 7 bits et la numérotation
se fait modulo 28 =128.
Trame I : d’Information
➢ Ns : numéro de la trame courante
➢ Nr:numéro de la prochaine trame attendue
• Nr=x_ acquitte tous les trames jusqu’à (x-1)
➢ Le bit P/F (“Poll/Final”) :
• Dans le mode équilibré du protocole : LAP-B
▪ dans une commande : demande de réponse immédiate
▪ dans une réponse : réponse à la demande de réponse médiate
• Dans le mode normal (historique) du protocole : LAP
▪ code le passage de l’alternance du droit d’émission (maître/esclave)

Les trames S : de supervision

➢ 4 sous types de trames de supervision: selon la valeur de deux bits S.
➢ RR (“Received & Ready”) - 00
• confirme la réception des trames de données de nº < N(R)
• Envoyer pour signaler que le récepteur est prêt à recevoir des trames suivantes ou
pour acquitter la trame N(R) en cas d’absence de données à envoyer.
➢ RNR (“Received & Not Ready”) - 10
• confirme la réception des trames de données de nº < N(R)
• Demande d’arrêter, temporairement, la transmission de l’émetteur
➢ REJ (“Reject”) - 01
• confirme la réception des trames de données de nº < N(R)
• demande la retransmission des trames de nº >=N(R)
➢ SREJ (“Selective Reject”) - 11
• confirme la réception des trames de données de nº < N(R)
• demande la retransmission de la trame de nº = N(R)

Les trames U : non numérotées

➢ Utilisées pour la gestion de la connexion
➢ Plusieurs sous types selon la valeur des bits U
➢ Trame non numérotées de commande (primaire secondaire)
• établissement de la connexion :
▪ SABM (Set asynchronous balanced mode) - en format normal
 ▪ SABME (Set asynchronous balanced mode extended) - en format étendu
• libération de la connexion : DISC (Disconnection)
➢ Trame non numérotées de réponse (secondaire primaire)
• acquittement d’une trame non-numérotée: UA (“Unnumbered acknowledgment”)
• récupération des erreurs : FRMR (“Frame reject”)
• Trame d’indication de connexion libérée : DM (“Disconnected mode”)

Le protocole PPP

Point-to-Point Protocol est un protocole de transmission pour internet, décrit par le standard
RFC 1661, fortement basé sur HDLC, qui permet d'établir une connexion entre deux hôtes sur
une liaison point à point. Il fait partie de la couche liaison de données du modèle OSI.

Format de l’entête

La trame PPP est constituée d’un entête et d’un bloc de données. Cette encapsulation nécessite
l’usage d’un tramage dont le but principal est d’indiquer le début et la fin de l’encapsulation.
Les champs ci-dessous sont toujours transmis de gauche à droite.

Etablissement d’une connexion

Pour établir une connexion sur un lien Point à Point, chaque extrémité doit dans un premier
temps émettre des paquets LCP pour configurer et tester le support de liaison.
Ensuite, PPP envoie des paquets NCP pour choisir et configurer un ou plusieurs protocoles
réseau disponibles. Une fois ces protocoles configurés, les datagrammes peuvent être envoyés
sur la liaison. Celle-ci reste disponible jusqu’à ce que des paquets LCP ou NCP spécifiques ne
la ferment explicitement.

LCP – Link Control Protocol

LCP transporte les paquets permettant d’établir, de maintenir et de terminer PPP. Pour
l’établissement de PPP, il faut négocier de paramètres de fonctionnement. LCP gère les options
PPP indépendantes des protocoles de la couche réseau. Les premiers paquets envoyés par les
extrémités PPP négocient les options configurables au début d’une connexion. Il existe trois
classes de paquets LCP :

• Les paquets de Configuration de Liaison utilisés pour établir et configurer une

communication (Requête-Configuration, Configuration-Acquittée, Configuration-
NonAcquittée et Configuration-Rejetée).

• Les paquets de Fermeture de Liaison utilisés pour couper une communication (Requête-
Fermeture et Fermeture-Acquittée).

• Les paquets de Maintenance de Liaison utilisés pour gérer et déterminer une liaison
(Code-Rejeté, Protocole-Rejeté, Requête-Echo, Réponse-Echo, et Requête-
Elimination).

Lorsque le champ Protocole du paquet PPP indique une valeur hexadécimale c021 (Link
Control Protocol). Format d’un paquet LCP :
NCP – Network Control Protocols

L’état réseau d’une connexion PPP suit soit l’état d’authentification, soit l’état d’établissement.
A ce stade, LCP a déjà établi toutes les options de PPP. La connexion est active et presque prête
à transporter les données de l’utilisateur. Le NCP configure les protocoles de la couche réseau
que la connexion PPP va transporter (IP pour PPPoE). Il existe trois classes de paquets NCP :

• Les paquets de Configuration, utilisés pour établir et configurer une communication

(Requête-Configuration, Configuration-Acquittée, Configuration-NonAcquittée et
Configuration-Rejetée).

• Les paquets de Fermeture, utilisés pour couper une communication (Requête-Fermeture

et Fermeture-Acquittée).

• Le paquet erreur (Code-Rejeté).

Entete NCP :
Authentification

PPP peut supporter les opérations d’authentifications au début d’une connexion.

L’état d’authentification fait suite à l’état d’établissement si l’une ou l’autre des extrémités est
d’accord pour utiliser un protocole d’authentification. La négociation de cette option s’effectue
lors de la montée du niveau LCP. Les deux protocoles d’authentifications :

• Password Authentication Protocol (PAP) – PAP implémente la méthode traditionnelle

avec l’utilisation d’un nom d’utilisateur et d’un mot de passe. Sur demande d’un
authentificateur , le récepteur répond avec le nom et le mot de passe, l’authentificateur
valide l’information et envoie un accusé de réception positif ou négatif.

• Challenge Handshake Authentification Protocol (CHAP) – CHAP implémente une

authentification utilisant un nom d’utilisateur et une chaîne aléatoire CHAP.
L’authentificateur envoie son nom et sa chaîne aléatoire, le récepteur transforme cette
chaîne par un algorithme de calcul et une clé CHAP secrète. Il envoie ensuite le résultat
avec son propre nom, l’authentificateur compare la réponse avec sa propre copie de la
clé secrète. Enfin, il envoie un accusé de réception indiquant un échec ou un succès.

Le protocole PPPoE :

Les technologies d’accès modernes font face à quelques problèmes et buts contradictoires. Il
est souhaitable de connecter des hôtes multiples à un site distant à travers un même dispositif
d’accès client. Un autre but est de fournir un contrôle d’accès et facturer selon la même méthode
que celle utilisée par PPP sur réseau commuté. Dans beaucoup de technologies d’accès, la
méthode la plus avantageuse financièrement pour rattacher des hôtes multiples à un dispositif
d’accès client est l’utilisation d’Ethernet. Enfin, la minimisation des coûts est importante ; il
faut utiliser la plus petite configuration possible ou mieux aucune configuration.

PPP sur Ethernet (PPPoE) fournit la capacité de connecter un réseau d’hôtes vers un
concentrateur d’accès distant à travers un simple dispositif d’accès ponté. Avec ce modèle,
chaque hôte utilise sa propre pile PPP et l’utilisateur garde une interface familière. Le contrôle
d’accès, la facturation et les autres services peuvent être réalisés par un utilisateur final plutôt
que par un site final (la base).
Pour fournir une connexion point à point à travers Ethernet, chaque session PPP doit apprendre
l’adresse Ethernet de la machine distante afin d’établir et d’identifier une session unique. PPPoE
inclut donc un protocole de découverte.

Format de l’entête

L’entête pour PPPoE se définie comme suit :

Voilà comment l’entête Ethernet spécifie l’intégration de PPP

Principe de fonctionnement

PPPoE est composé de deux étapes distinctes : la découverte et la session PPP. Quand un hôte
veut initier une session PPPoE, il doit tout d’abord lancer une requête de découverte afin
d’identifier l’adresse Ethernet MAC de son vis à vis puis définir un identificateur de session
PPPoE. Alors que PPP définit une liaison de bout en bout, la phase de découverte correspond à
un rapport client-serveur. Lors du processus de découverte, un hôte (le client) découvre un
concentrateur d’accès (le serveur). Selon la topologie du réseau, il peut y avoir plus d’un
concentrateur d’accès avec lequel l’hôte peut communiquer. L’étape de la découverte permet à
l’hôte de découvrir tous les concentrateurs d’accès et d’en sélectionner un. Quand la découverte
s’achève avec succès, l’hôte et le concentrateur d’accès sélectionné possèdent les informations
qu’ils emploieront pour construire leur connexion point à point sur Ethernet.

L’étape de la découverte attend alors jusqu’à ce qu’une session PPP soit établie. Une fois qu’une
session PPP est établie, l’hôte et le concentrateur d’accès doivent allouer les ressources pour
une interface virtuelle PPP.

Sécurité

Afin de se protéger contre d’éventuels actes de piratage, le point d’accès (AC : Access
Concentrator) peut utiliser le TAG AC-Cookie. Ce dernier doit être en effet capable de générer
de manière unique une valeur de TAG basée sur l’adresse MAC source d’une requête PADR,
identifiant l’hôte émetteur. Cet identifiant permettra ainsi au point d’accès de limiter le nombre
de sessions simultanées pour un hôte donné. L’algorithme utilisé pour la génération d’un
identifiant unique à partir de l’adresse MAC est laissé au choix des constructeurs (détail
d’implémentation). L’algorithme HMAC (Keyed-Hashing for Message Authentication) peut
par exemple être mis en place. Il nécessite une clé privée qui n’est connue que du point d’accès.
Attention toutefois à l’utilisation du TAG AC-Cookie, car il est une méthode de protection
contre certaines attaques, mais il n’offre pas une garantie de sécurité totale.

Certains point d’accès ne souhaitent pas forcément diffuser l’ensemble des services qu’ils
implémentent à des hôtes non authentifiés. Dans ce cas, deux stratégies peuvent être employées
:

• Ne jamais refuser une requête basée sur le TAG Service-Name, et toujours lui retourner
la valeur du service demandé. Il y a donc correspondance entre le service demandé et
le service retourné à l’hôte émetteur.

• N’accepter que les requêtes Service-Name ayant une longueur de TAG nulle (indiquant
n’importe quel service). L’hôte émetteur et le point d’accès connaissent déjà le type
de service utilisé pour cette session. L’information sur le service ne circule donc plus
sur le réseau.
Le protocole L2TP :

L2TP a été conçu pour transporter des sessions PPP au travers d’un réseau IP, et de terminer
physiquement les sessions PPP en un point de concentration déterminé dans le réseau.

Le protocole L2TP (Layer 2 Tunneling Protocol), développé à partir du protocole point à point
PPP, est sans conteste l’une des pierres angulaires des réseaux privés virtuels d’accès. Il
rassemble en effet les avantages de deux autres protocoles L2F et PPTP. L2TP est une norme
préliminaire de l’IETF (Engineering Task Force) actuellement développée et évaluée
conjointement par Cisco Systems, Microsoft, Ascend, 3Com et d’autres acteurs clés du marché
des réseaux.

Le protocole L2TP est un protocole réseau qui encapsule des trames PPP pour les envoyer sur
des réseaux IP, X25, relais de trames ou ATM. Lorsqu’il est configuré pour transporter les
données sur IP, le protocole L2TP peut être utilisé pour faire du tunnelling sur Internet. Dans
ce cas, le protocole L2TP transporte des trames PPP dans des paquets IP. La maintenance du
tunnel est assurée à l’aide de messages de commandes au format L2TP tandis que le protocole
UDP est utilisé pour envoyer les trames PPP au sein de trames L2TP.

Format de l’entête

Les concentrateurs d’accès – LAC

Les concentrateurs d’accès L2TP, signifiant L2TP Access Concentrateur (LAC), peuvent être
intégrés à la structure d’un réseau commuté comme le réseau téléphonique commuté (RTC) ou
encore associés à un système d’extrémité PPP prenant en charge le protocole L2TP.
Le rôle du concentrateur d’accès LAC se limite à fournir un support physique qui sera utilisé
par L2TP pour transférer le trafic vers un ou plusieurs serveurs réseau L2TP (LNS). Il assure le
fractionnement en canaux pour tout protocole basé sur PPP. Le concentrateur d’accès LAC joue
le rôle de serveur d’accès, il est à l’origine du tunnel et est responsable de l’identification du
VPN.

Les serveurs réseau – LNS

Les serveurs réseau L2TP, signifiant L2tp Network Server (LNS), peuvent fonctionner sur toute
plate-forme prenant en charge la terminaison PPP. Les serveurs réseaux L2TP gèrent le
protocole L2TP côté serveur. Les serveurs LNS sont les émetteurs des appels sortants et les
destinataires des appels entrants. Ils sont responsables de l’authentification du tunnel.

Avantages et inconvénients

L2TP repose sur UDP qui lui même repose sur IP. Au total, l’empilement total des couches
protocolaires est le suivant (en partant du backbone) : IP/PPP/L2TP/UDP/IP/Couche2. A cela
se rajoutent TCP/HTTP si l’utilisateur surfe sur le web. L’ensemble n’est donc pas très léger,
et une attention particulière doit être portée sur ce qui est de l’accordement de MRU (pour PPP)
avec la MTU de tous les équipements IP traversés, de telle façon à éliminer la fragmentation
sur les paquets de grande taille. L’overhead représente donc l’inconvénient de L2TP.

L2TP permettant de terminer des sessions PPP n’importe où. Cela permet à un opérateur ou
plus généralement au propriétaire d’un réseau d’accès (boucle locale) de collecter pour le
compte d’un tiers des connexions et de lui laisser le soin de terminer les sessions PPP associées.
C’est vraiment la fonction VPN de L2TP : permettre à un utilisateur mobile de se connecter à
un réseau particulier, éventuellement privé, tout en utilisant une infrastructure publique et
partagée. Ainsi un salarié d’une entreprise peut être sûr de se connecter à un VPN particulier de
son entreprise (correspondant à son groupe de travail), quelque soit le POP de son entreprise
auquel il se connecte. Il peut ainsi conserver les droits, et les restrictions définies par son profil.
Les concepts de mobilité et de Wholesale représentent donc les avantages de L2TP.

VPN IPSec

IPSec est une suite de protocoles largement utilisée pour établir un tunnel VPN. IPSec n'est pas
un protocole unique, mais une suite de protocoles pour sécuriser les communications IP. Il
comprend les en-têtes d'authentification (AH), l'encapsulation de la charge utile de sécurité
(ESP), l'échange de clés Internet (IKE) et certaines méthodes d'authentification et algorithmes
de chiffrement. Le protocole IPSec définit comment choisir les protocoles et algorithmes de
sécurité, ainsi que la méthode d'échange de clés de sécurité entre homologues de
communication, offrant aux protocoles de couche supérieure des services de sécurité réseau
comprenant le contrôle d'accès, l'authentification de la source de données, le cryptage des
données, etc.

• En-tête d'authentification (AH): AH est membre de la suite de protocoles IPsec. AH

garantit l'intégrité sans connexion et l'authentification de l'origine des données des
paquets IP et, en outre, il protège contre les attaques de relecture. AH peut fournir des
authentifications suffisantes pour les en-têtes IP et les protocoles de couche supérieure.

• Encapsulating Security Payload (ESP): ESP est membre de la suite de protocoles

IPsec. ESP fournit le chiffrement des données confidentielles et met en œuvre un
contrôle d'intégrité des données des données ESP IPSec afin de garantir la
confidentialité et l'intégrité. ESP et AH peuvent fournir un service de confidentialité
(cryptage), et la principale différence entre eux est la couverture.

• Internet Key Exchange (IKE): IKE est utilisé pour négocier l'algorithme de mot de
passe AH et ESP et mettre la clé nécessaire de l'algorithme au bon endroit.

Association de sécurité (SA)

IPSec fournit une communication cryptée entre deux homologues appelés passerelles IPSec
ISAKMP. Security Association (SA) est la base et l'essence d'IPSec. SA définit certains
facteurs des pairs de communication comme les protocoles, les modes de fonctionnement, les
algorithmes de chiffrement (DES, 3DES, AES-128, AES-192 et AES-256), les clés partagées
de protection des données dans des flux particuliers et le cycle de vie de SA, etc. .

SA est utilisé pour traiter le flux de données dans une direction. Par conséquent, dans une
communication bidirectionnelle entre deux homologues, vous avez besoin d'au moins deux
associations de sécurité pour protéger le flux de données dans les deux directions.

Création de SA

Il existe deux façons d'établir SA: la négociation manuelle et IKE automatique (ISAKMP).
La configuration manuelle de SA est compliquée car toutes les informations seront configurées
par vous-même et certaines fonctionnalités avancées d'IPSec ne sont pas prises en charge (par
exemple, l'actualisation temporisée), mais l'avantage est que SA configuré manuellement peut
remplir indépendamment les fonctionnalités IPSec sans s'appuyer sur IKE. Cette méthode
s'applique à un petit nombre de périphériques ou à un environnement d'adresses IP statiques.

La méthode de négociation automatique IKE est relativement simple. Il vous suffit de

configurer les informations de négociation IKE et de laisser les autres tâches de création et de
maintenance de SA à la fonction de négociation automatique IKE. Cette méthode est destinée
aux réseaux dynamiques de moyenne et grande taille. L'établissement de la négociation
automatique SA par IKE comprend deux phases. La phase 1 négocie et crée un canal de
communication (ISAKMP SA) et authentifie le canal pour fournir des services de
confidentialité, d'intégrité des données et d'authentification de la source de données pour une
communication IKE ultérieure; la Phase 2 crée IPSec SA en utilisant l'ISAKMP
établi. L'établissement de SA en deux phases peut accélérer l'échange de clés.

Utilisation du VPN IPSec

Pour appliquer la fonctionnalité de tunnel VPN dans l'appareil, vous pouvez utiliser un VPN
basé sur des règles ou un VPN basé sur un itinéraire.

• VPN basé sur une stratégie: applique le tunnel VPN configuré à une stratégie afin que
le flux de données conforme aux paramètres de stratégie puisse passer par le tunnel
VPN.

• VPN basé sur la route: lie le tunnel VPN configuré à l'interface de tunnel et définit le
prochain saut de la route statique comme interface de tunnel.

Deux façons de configurer le VPN IPSec:

• VPN manuel

• VPN IKE