Cours de Réseau 2020

1
Introduction
La technologie est aujourd'hui un élément fondamental pour toute
entreprise. L'évolution dans le domaine de l'informatique offre des
opportunités pour améliorer les processus de flux des informations par son
traitement automatique et sa facilité de partager à une grande vitesse,
favoriser l'innovation et acquérir un avantage concurrentiel.
Toutefois, la technologie peut également être source de difficultés pour les
responsables de service qui doivent à la fois contrôler les coûts tout en veillant
à ce que l'infrastructure continue à répondre aux besoins de leur organisation.
Sans l'expertise et les ressources essentielles pour rester à l'avant-garde des
dernières avancées technologiques, les organisations risquent de manquer
des opportunités et de se faire dépasser par la concurrence.
L’organisation du système d’information est un atout dans toute compétition
commerciale, mais est aussi un élément hautement évolutif.
Ce cours offre un cadre pratique adéquat qui permet d’acquérir la maîtrise des
réseaux informatiques, en associant étroitement l’étude des mécanismes de
communication à celle des protocoles.
Objectifs
A l’issu de ce cours, l’étudiant qui l’a suivi en intégralité sera capable de :
− Définir les concepts de base de réseaux locaux virtuels et sans fil, et de
réseaux personnels virtuels ;
− Mettre en place un ou plusieurs vlan selon le niveau ;
− Mettre en œuvre un réseau local sans fil ;
− Configurer un réseau personnel virtuel.
Plan du cours
Chapitre I. Rappels
Chapitre II. Les réseaux sans fil
Chapitre III. Les réseaux locaux virtuels
Chapitre IV. Les réseaux personnels virtuels
Cours de Réseaux Informatiques II

2
Chapitre I. Rappels
Les réseaux informatiques sont devenus incontournables aujourd’hui. Ils sont
employés dans toutes les entreprises et même chez les particuliers. Ils
permettent de mettre en œuvre des applications très diverses, des plus
simples aux plus sophistiquées. La plus connue est la navigation sur le Web,
c’est-à-dire le partage d’informations grâce à Internet.
Qu’il s’agisse de réseaux locaux, de réseaux sans fil, de réseaux d’opérateurs
ou de petits réseaux privés, ils obéissent tous à des principes de structuration
qu’il est indispensable de comprendre. Ils utilisent une architecture en
couches, dans laquelle la communication entre ordinateurs obéit à des règles
précises définies par des protocoles de communication. Les protocoles les
plus connus sont TCP et IP, ils ont donné leur nom à l’architecture TCP/IP.
Les réseaux informatiques sont nés du besoin de relier des terminaux distants
à un site central puis des ordinateurs entre eux et enfin des machines
terminales, telles que stations de travail ou serveurs. Dans un premier temps,
ces communications étaient destinées au transport des données
informatiques. Aujourd’hui, l’intégration de la parole téléphonique et de la
vidéo est généralisée dans les réseaux informatiques, même si cela ne va pas
sans difficulté.
I.1. Définitions
Le terme réseau en fonction de son contexte peut désigner plusieurs choses.
Il peut désigner l'ensemble des machines, ou l'infrastructure informatique
d'une organisation avec les protocoles qui sont utilisés, ce qui est le cas
lorsque l'on parle de Internet. Le terme réseau peut également être utilisé
pour décrire la façon dont les machines d'un site sont interconnectées, c’est
le cas lorsque l'on dit que les machines d'un site (sur un réseau local) sont sur
un réseau Ethernet, Token Ring, réseau en étoile, réseau en bus.
Le terme réseau peut également être utilisé pour spécifier le protocole qui est
utilisé pour que les machines communiquent. On peut parler de réseau TCP/IP,
NetBeui (protocole Microsoft), DecNet (protocole DEC), IPX/SPX, ...

3
I.2. Différents types de réseaux

Il existe différents types de réseaux suivant la localisation, les distances entre
les systèmes informatiques et les débits maximum, et d’une manière
simpliste, on peut distinguer trois types de réseaux :
➢ Les réseaux locaux ou LAN (Local Area Network) qui correspondent par
leur taille aux réseaux intra-entreprise et qui permettent l’échange de
données informatiques ou le partage de ressources.
➢ Les réseaux métropolitains ou MAN (Metropolitain Area Network)
➢ Les réseaux longues distances ou WAN (Wide Area Network),
généralement publics (Renater), et qui assurent la transmission des
données numériques sur des distances à l’échelle d’un pays. Le support
utilisé peut-être terrestre (réseau maillé de type téléphonique ou ligne
spécialisée) ou hertzien (transmission par satellite). Là alors, dans une
grande entreprise, un réseau est généralement une combinaison plus
ou moins complexe de LAN et de WAN.
I.3. Composants actifs d’un réseau
a. Répéteur
Un répéteur reçoit des informations et les retransmets en régénérant un
signal. Un répéteur permet de connecter 2 segments Ethernet dans un LAN.
Un répéteur peut être aussi utilisé pour agrandir la portée d’un LAN.
b. HUB
Un Hub récupère les trames Ethernet en provenance d’un port et les renvoie
vers tous les autres ports. Toutes les trames en provenance d’une interface
Ethernet sont envoyées à toutes les autres interfaces présentes sur ce HUB.
Ainsi on est sûr que le destinataire recevra l’information.
Inconvénients : toutes les interfaces pour lesquelles la trame n’est pas
destinée la recevront également. Cela génère beaucoup de trafic inutile sur le
réseau, il y a risque de saturation.
c. Switch
Alors que les Hubs ne font que transférer de façon aveugle les trames à
travers le réseau, les switchs sont capables de connaître la destination en

4
consultant dans chaque trame l’adresse MAC de l’expéditeur et du

destinataire.
En conservant la trace de ces adresses MAC dans sa table d’adresse, un switch
est capable de transférer exactement la trame sur le port où est raccordé le
destinataire (sauf les trames de Broadcasts).
N.B : Le broadcast est un terme anglais définissant une diffusion de données
à un ensemble de machines connectées à un réseau. En français on utilise le
terme diffusion
d. Routeur
Les routeurs sont en général utilisés au niveau réseau de l’Entreprise, pour
relier différentes unités ou différents sites. Ils sont parfois associés à des
fonctions de sécurité de type pare-feu « (Firewall) » pour filtrer les accès
distants.
Un routeur doit être configuré pour pouvoir connaître où router les messages.
Les mécanismes de routage sont basés sur l’adresse IP. Les stations sont
regroupées sur un même sous-réseau selon leurs adresses IP et leur masque
de sous-réseau.
Chaque message adressé à un réseau distant sera transmis au routeur qui
assurera le routage vers la bonne destination.
e. Carte réseau
La carte réseau se présente sous la forme d’une carte d’extension connectée
à un bus (généralement PCI).
Elle permet le raccordement du PC au réseau et prend en charge la gestion
des collisions (une collision se produit lorsque deux machines émettent en
même temps).
Chaque carte réseau comporte une adresse physique unique (adresse MAC).
Une carte réseau doit être installée :
− sur chaque poste du réseau ;
− sur le serveur ;
− sur chaque imprimante reliée directement au réseau.

5
I.4. Le modèle ISO

En 1978 certaines règles sont établies pour donner un standard à TCP/IP pour
le développement de systèmes ouverts. La normalisation mise en place par
l’ISO (International Standards Organisation) définit un modèle théorique à 7
couches :
Le modèle OSI (Open System Interconnection) où chacune des couches est
encapsulée dans la couche inférieure.
1. La couche physique
Transmet les bits à travers le canal de communication, elle utilise les interfaces
mécaniques et électriques du média physique. La couche physique n’a aucune
connaissance des données à émettre ou à recevoir. Elle reçoit des signaux et
les convertis en bits de données pour les envoyer à la couche de liaison de
données. Elle s’occupe de problème strictement matériel.
Le support physique défini :
✓ nature du câble.
✓ les caractéristiques électriques.
✓ la vitesse de transmission.
✓ le codage des informations.
✓ le connecteur.
2. La couche de liaison de données
Elle prend les données venant de la couche physique pour les regrouper en
trame. Elle est chargée de la transmission et de la détection d’erreurs en
utilisant un checksum.
3. La couche réseau
La couche réseau gère les connexions entre les différents nœuds (appareils)
du réseau. Elle sert à acheminer les données (trouver un chemin - routage)
entre deux machines qui ne sont pas sur le même support physique.
Elle sert aussi à réguler le trafic afin d’éviter les congestions de données.
Les couches réseaux les plus connues :
✓ IP (devenu un standard)
✓ IPX (Netware)

6
✓ NetBeui (Microsoft)
4. La couche transport
La couche transport garantit que les données reçues sont celles qui ont étés
envoyées et contrôle de bout en bout le réseau.
Elle permet aussi le multiplexage de plusieurs connexions logiques sur la
partie physique. Il n'est par exemple pas du ressort de la couche réseau de
prendre des initiatives si une connexion est interrompue.
C'est la couche Transport qui va décider de réinitialiser la connexion et de
reprendre le transfert des données
5. La couche session
La couche session synchronise la communication entre les appareils, elle
permet des communications full-duplex ou half-duplex.
Une seule session peut ouvrir et fermer plusieurs connexions, de même que
plusieurs sessions peuvent se succéder sur la même connexion.
6. La couche présentation
Pour que deux systèmes se comprennent, ils doivent utiliser la même
représentation de données, c’est le rôle de cette couche.
Ex : Codage ASCII
7. La couche application
Interfaces utilisateurs, nécessaire aux applications qui accomplissent des
tâches de communications. Cette couche propose également des services :
Principalement des services de transfert de fichiers, (FTP), de messagerie
(SMTP) de documentation hypertexte (HTTP), etc.
Ex : logiciel de supervision, un navigateur, …
8. L'encapsulation
Au passage d'une couche N vers la couche inférieure (N-1), le flot de données
est enrichi de champs supplémentaires placés en début et/ou en fin. Dans le
premier cas, il s'agit d'un en-tête ou préfixe (header) ; dans le second, d'un
suffixe (trailer). Ces informations apportées renseignent la trame au niveau
de la couche qui les a émises (ici N). Ces champs servent donc, lors de la
réception par la couche de même niveau (N) de la station destinataire, au

7
traitement que celle-ci doit effectuer. On peut y trouver les adresses source
et destination (de niveau N), un contrôle de parité, la longueur concernant le
paquet, des bits de priorité, l'identification du protocole de niveau supérieur
(N+1) pour le décodage, des numéros d'acquittement, etc.
I.5. Le réseau internet (Modèle TCP/IP)
On désigne par internet, l’interconnexion des différents réseaux (inter
networking) dans un unique environnement de communication homogène
dont le point commun est de fonctionner en suivant les protocoles TCP/IP
(Transmission Control Protocol/Internet Protocol).
a. Adressage IP
L’adresse IP est un nombre binaire de 32 bits qui identifie, de manière unique,
un nœud (ordinateur, imprimante, routeur, etc.) d’un réseau TCP/IP. Les
adresses IP sont généralement exprimées dans un format décimal pointé, fait
de quatre nombres en base 10, compris entre 0 et 255, séparés par des points.
Exemple : adresse IP au format décimal pointé : 195.83.83.36
Adresse IP au format binaire : 11000011 01010011 01010011 00100100
Au même titre que l’adresse physique d’une personne est constituée de la ville
et de l’adresse de l’individu dans la ville, une adresse IP se décompose en une
adresse de réseau (ID réseau) et en une adresse d’hôte (ID hôte).
Il existe trois classes de réseaux : A, B, C. La classe définit aussi le nombre
maximal de réseaux et le nombre maximal d’hôtes par réseau.
Plage ID réseau Nombre de Nombre d’hôtes dans le
Classe
(1er octet) réseaux réseau
Classe A 1-126 126 16 777 214 (224 - 2)
Classe B 128-192 16 384 (214) 65 534 (216 - 2)
Classe C 192-223 2 097 152 (221) 254 (28 - 2)
Etendue de chaque classe :

Classe Première adresse Dernière adresse
A 0.0.0.1 127.255.255.254
B 128.0.0.1 191.255.255.254
C 192.0.0.1 223.255.255.254

8
Un masque de sous-réseau est une adresse sur 32 bits qui permet de masquer
une partie de l’adresse IP pour différencier l’ID de réseau de l’ID d’hôte. C’est
le masque de sous-réseau qui permet à TCP/ IP de savoir si une certaine
adresse IP se trouve sur le réseau local ou sur un autre réseau. Le masque par
défaut dépend de la classe d’adresses. Un réseau peut être découpé en sous-
réseau chacun disposant de son propre ID et de son propre sous-masque.
ID hôte 193.83.83.036
Masque sous-réseau 255.255.255.128
Adresse de diffusion 195.83.83.127
ID réseau 195.83.83.0 (mask host)
b. Nommage d’hôte
Bien que la numérotation IP à l’aide d’adresses numériques soit suffisante
techniquement, il est préférable pour un humain de designer une machine par
un nom explicite. Pour faire face à l’explosion du nombre de machine relié à
l’internet, un système de base de données distribuée a été mise en place :
système de noms de domaine (Domain Name System). Il fournit les
correspondances entre les noms d’hôtes et les numéro IP. La responsabilité
du nommage est subdivisée par niveau. Les espaces de noms de domaines
sont hiérarchisés.
Les serveurs de noms peuvent fonctionner en mode récursif ou non, mais ils
doivent toujours implanter le mode non récursif. Dans tous les cas, lorsqu’un
serveur de noms reçoit une demande, il vérifie si le nom appartient à l’un des
sous-domaines qu’il gère.
Si c’est le cas il traduit le nom en une adresse en fonction de sa base de
données et renvoie la réponse au demandeur. Sinon :
• en mode non-récursif : le serveur indique au client un autre serveur de
noms qui saura lui répondre ou à son tour transmettre la requête à un
autre serveur ;
• en mode récursif : c’est le serveur qui se charge de l’interrogation
successive des serveurs de noms et qui retourne finalement la réponse
au client.
On peut améliorer la résolution des noms en stockant les noms fréquemment
utilisés dans une mémoire cache afin de réduire le nombre de requêtes au

9
serveur du niveau supérieur. Afin de palier à d’éventuelle pannes matérielles,

les domaines sont munis de deux serveurs DNS : un primaire et un secondaire
(confer le cours d’administration système).
c. Les couches TCP/IP
1. La couche de liens (couche physique)
La couche de liens se charge de tout ce dont un paquet IP a besoin pour établir
une liaison physique, puis une autre liaison physique. Elle prend tous les détails
des couches physiques et liaisons de données du modèle OSI.
2. La couche IP (couche réseau)
Le protocole IP (Internet Protocol) est au cœur du fonctionnement de
l’internet. Il assure sans connexion un service non fiable de délivrance de
datagrammes IP.
Le rôle du protocole IP est centré autour des trois fonctionnalités qui sont les
suivantes :
• définir le format du datagramme IP qui est l’unité de base des données
circulant sur Internet ;
• définir le routage dans le réseau ;
• définir la gestion de la remise non fiable des datagrammes.
Un datagramme IP est constitué des champs suivants :
• numéro de version : (IPv4) ;
• longueur d’en-tête : parfois supérieure à 20 octets à cause des options ;
• un type de service : pour préciser la fiabilité, la priorité et la sécurité ;
• la longueur totale ;
• identification, drapeaux et déplacement de fragment : utilisés pour la
fragmentation ;
• la durée de vie : indique le nombre maximal de routeurs que peut
traverser le datagramme ;
• le type de protocole : 1 pour ICMP, 2 pour IGMP, 6 pour TCP ou 17 pour
TCP ;
• bits de contrôle d’en-tête ;
• adresse IP source ;
• adresse IP destination ;

10
• le champ options : pour les militaires ;

Pour optimiser le débit, il est préférable qu’un datagramme IP soit encapsulé
dans une seule trame de niveau inférieur (Ethernet par exemple). Mais,
comme un datagramme IP peut transiter à travers l’Internet sur un ensemble
de réseaux aux technologies différentes il est impossible de définir une taille
maximale des datagrammes IP qui permette de les encapsuler dans une seule
trame quel que soit le type de réseau.
On appelle la taille maximale d’une trame d’un réseau le MTU (Maximum
Transfert Unit) et elle va servir à fragmenter les datagrammes trop grands
pour le réseau qu’ils traversent.
Le protocole ICMP (Internet Control Message Protocol) organise un échange
d’information permettant aux routeurs d’envoyer des messages d’erreurs à
d’autres ordinateurs ou routeurs. Le but d’ICMP n’est pas de fiabiliser le
protocole IP, mais de fournir le compte-rendu d’une erreur détectée dans un
routeur.
3. La couche de transport
Les deux principaux protocoles de la couche transport d’Internet sont les
protocoles TCP (Transmission Control Protocol) et UDP (User Datagram
Protocol). Tous les deux utilisent IP comme couche réseau, mais TCP procure
une couche de transport fiable (alors même que IP ne l’est pas), tandis que
UDP ne fait que transporter de manière non fiable des datagrammes.
1. Le protocole UDP
Le protocole UDP utilise IP pour acheminer en mode non fiable des
datagrammes qui lui sont transmis par une application. Ce protocole n’assure
ni l’accusé de réception, ni le reséquençage, ni le contrôle de flux mais un
contrôle de l’intégrité du message.
UDP permet de distinguer plusieurs applications destinataires sur la même
machine par l’intermédiaire des ports. Un port est une destination abstraite
sur une machine, identifié par un numéro qui sert d’interface à l’application.
Le format d’un datagramme UDP est le suivant :
✓ port UDP source ;
✓ port UDP destination ;

11
✓ longueur ;
✓ bits de contrôle (checksum) ;
✓ données.
2. Le protocole TCP
TCP est un protocole qui procure un service de flux d’octets orienté connexion
et fiable. L’accusé de réception ainsi que la numérotation des messages pour
éviter la perte des messages et leur éventuelle duplication. L’acquittement de
données est cumulatif. Cette connexion est bidirectionnellement simultanée
(full duplex) et composée de deux flots de données indépendants de sens
contraire.
La terminaison d’une connexion peut être demandée par n’importe quelle
extrémité et se compose de deux demi-fermetures puisque des flots de
données peuvent s’écouler simultanément dans les deux sens.
4. La couche application
On propose ici une liste non-exhaustives des applications sur Internet. Elles
sont bâties sur le modèle client-serveur à savoir qu’une des deux extrémités
de la connexion (TCP UDP) /IP rend des services à l’autre extrémité.
✓ Telnet est une application qui permet à un utilisateur de se connecter à
distance sur un ordinateur, pourvu que cet utilisateur y dispose d’un
accès autorisé ;
✓ NFS (Network File System) est un système qui permet de rendre
transparente l’utilisation de fichiers repartis sur différentes machines ;
✓ FTP (File Transfer Protocol) permet de transférer des fichiers d’une
machine à une autre ;
✓ SMTP (Simple Mail Transfer Protocol) permet d’envoyer des messages
électroniques ;
✓ POP3, IMAP : permet de recevoir des messages électroniques ;
✓ NNTP (Network News Transfert Protocol) est le protocole d’échange
des news ou forums de discussions à travers Usenet (nom donné au
réseau logique constitué des serveurs de news dissémines sur la
planète).
✓ HTTP (HyperText Transfer Protocol) est le protocole de communication
du web permettant d’échanger des documents hypertextes contenant

12
des données sous la forme de texte, d’images fixes ou animées et de

sons.
I.6. Les topologies
a. Le bus
Le principe du "BUS" est extrêmement simple :
• Un conducteur unique représente le réseau.
• Chaque extrémité est bouclée sur un "bouchon" dont l'impédance
électrique est égale à l'impédance caractéristique du conducteur, ceci
afin d'éviter les réflexions des signaux en bout de câble.
• Chaque poste est "piqué" sur ce bus au moyen d'un "T" de
raccordement.
Cette technologie est adaptée aux petits réseaux.
Avantages Inconvénients
Après avoir vu les divers Si un défaut de connectique
constituants, il devient évident que apparaît, c'est tout le réseau qui
ce procédé est peu coûteux, facile et devient inopérant. En effet, tout se
rapide à mettre en œuvre. passe alors comme si l'on avait deux
réseaux, mais chacun d'eux ayant
une extrémité non adaptée. Plus rien
ne fonctionne et le défaut n'est pas
toujours visible. Les investigations
sont longues et laborieuses.
Malheureusement, ce type de réseau est limité à 10 Mbits/s et ne fait plus
partie des offres, bien qu'encore suffisant pour un réseau domestique.
b. Les réseaux en anneau
Les réseaux en anneau sont constitués d’un seul câble qui forme une boucle
logique. Les réseaux en anneau sont des réseaux déterministes. Le droit de
parler sur le réseau est matérialisé par un jeton qui passe de poste en poste.
Les postes reçoivent le jeton chacun son tour, et chaque station ne peut
conserver le jeton qu’un certain temps, ainsi le temps de communication est
équilibré entres toutes les stations. Le trafic est ainsi très réglementé, il n’y a
pas de collisions de paquets.

13
Pour simplifier : le signal électrique circule seul sur le câble, depuis la station
émettrice jusqu’à la station réceptrice, et cette dernière renvoi un accusé de
réception.
La méthode d’accès au réseau s’appelle le passage du jeton. La topologie en
anneau est dite « topologie active » parce que le signal électrique est
intercepté et régénéré par chaque machine. Il existe un mécanisme qui
permet de contourner une station qui est tombée en panne, c’est le « bypass
». Quand une station n’a pas reçu le jeton au bout d’un certain temps, une
procédure permet d’en créer un autre.
c. L’étoile
Chaque PC est relié par un câble constitué de 4 paires torsadées (dont deux
seulement servent, l'une pour l'émission et l'autre pour la réception) à un
concentrateur, encore appelé "HUB" ou à un commutateur encore appelé
"SWITCH".
Deux équipements connectés doivent faire correspondre le TX (Emission) de
l'un au RX (Réception) de l'autre, normalement, il faudrait donc des câbles
croisés, c'est ce qui est nécessaire si l'on souhaite relier directement deux PC
entre eux. Mais si l'un des équipements a sa prise déjà croisée, alors, il faut un
câble droit. Les SWITCHES ou les HUBS ont leurs prises croisées, c'est pour
cela qu'il y a un X marqué sur ses prises. Il faut donc un câble droit pour
connecter un PC à un SWITCH
Notez que les équipements récents (HUBS et SWITCH) sont capables de
détecter automatiquement les signaux d'entrée et de sortie présents sur la
prise et réagissent en conséquence. Autrement dit, l'équipement découvrira
automatiquement s'il est nécessaire de croiser ou non sa propre prise.
• D'un fonctionnement beaucoup • La longueur totale de câble mise
plus sûr que le bus, si un lien vient en œuvre est importante.
à se rompre, seul le PC connecté • Au voisinage du SWITCH, on
par ce lien est absent du réseau. obtient un faisceau de câbles
• Il est aisé d'ajouter des postes au imposant.
réseau, même s'ils sont dans une
pièce.

14
• Cette technologie permet de • Le coût est tout de même plus

réaliser un réseau 100 Mbits/s. élevé que dans une architecture
BUS.
• Si le concentrateur tombe en
panne, le réseau ne fonctionne
plus.
I.7. Architecture des réseaux
a. Poste à poste
Toutes les machines du réseau sont sur le même pied d’égalité. Chaque poste
peut être à la fois client ou serveur (mettre ses ressources à la disposition des
autres)
− Simplicité de mise en œuvre (tout − La sécurité est faible
poste possédant une carte réseau − La fiabilité est faible : le
peut être reliée à un réseau poste nombre de postes en réseau
à poste) ne doit pas dépasser 20 (sous
− Coût faible : il ne nécessite pas de Windows le système
logiciel spécifique (Windows d’exploitation bride le nombre
possède des fonctions simples de de postes)
mise en réseau)
− Toutes les machines du réseau
sont utilisables comme poste de
travail (y compris celles qui
partagent leurs ressources)
b. Client-serveur
Un ordinateur plus puissant met à la disposition des autres machines du
réseau (les clients) ses ressources.
− Système sécurisé : la − Le coût est élevé car il
connexion au réseau se fait à nécessite l’achat d’un système
l’aide d’un « login » et d’un mot d’exploitation réseau
de passe. Sans ces deux − Le coût du serveur est aussi
éléments, l’accès est refusé. élevé, il faut prévoir des

15
− Système fiable : le système équipements

d’exploitation réseau autorise complémentaires (onduleurs,
de nombreuses connexions périphériques de sauvegarde).
simultanées et sait gérer les Le serveur ne doit pas être
incidents utilisé comme une station de
travail ordinaire
− La mise en œuvre est
complexe et nécessite une
personne formée à
l’administration réseau
I.8. Les commutateurs et les routeurs
Les éléments des réseaux qui prennent en charge les paquets sont appelés
des nœuds, ou encore des nœuds de transfert, car ils transfèrent des paquets
d’une ligne d’entrée vers une ligne de sortie. Ces nœuds de transfert peuvent
être des routeurs ou des commutateurs. Les Routeurs et commutateurs font
l’objet d’un débat continuel car ils symbolisent deux manières opposées
d’acheminer l’information à l’intérieur d’un réseau maillé. Les deux solutions
présentent bien sûr des avantages et des inconvénients, notamment la
souplesse pour le routage et la puissance pour la commutation.
1) Les commutateurs
L’un des atouts majeurs des systèmes de commutation réside dans
l’architecture des commutateurs. Plusieurs types d’architecture ont été
proposés, dont les trois principaux sont dits à mémoire partagée (shared-
memory), à support partagé (shared-medium) et à division spatiale (space-
division). Étant donné les vitesses élevées des lignes de transmission et la
petite taille des paquets, appelés cellules, les commutateurs doivent pouvoir
commuter les paquets à des débits extrêmement élevés tout en étant
capables de traiter plusieurs milliers de circuits virtuels et donc de gérer des
tables de commutation à plusieurs milliers d’entrées. De tels commutateurs
sont réalisés de façon matérielle plutôt que logicielle.
Les différents commutateurs se distinguent les uns des autres en fonction de
critères de fonctionnement internes, tels que l’architecture, le type de liaison,

16
la technique de commutation, le contrôle et la gestion des blocages par les

mémoires tampons :
• Les architectures internes se différencient par le nombre d’étapes à
traverser. Une étape peut être considérée comme un bloc
monolithique, traversé en une seule tranche de temps de base. Plus le
nombre d’étapes est faible, plus le temps de réponse est court.
• La liaison à l’intérieur du commutateur de paquets peut être soit dédiée,
soit statistique. Sur une liaison dédiée, les paquets vont d’une porte
d’entrée à une porte de sortie, en transitant toujours par le même
chemin. Dans le cas d’une liaison statistique, tout paquet est apte à
emprunter une liaison quelconque à l’intérieur du commutateur. Le
routage est alors déterminé par un algorithme de contrôle.
• Les techniques de commutation interne peuvent être classées en deux
grandes catégories : la répartition dans l’espace et la répartition dans le
temps. Dans une répartition dans l’espace, plusieurs liaisons parallèles
peuvent être mises en place pour véhiculer les paquets. Dans une
répartition dans le temps, les paquets se partagent les ressources dans
le temps. Il peut aussi y avoir superposition des deux techniques de
commutation, plusieurs liaisons mettant chacune en œuvre un
multiplexage temporel.
• Le contrôle du commutateur s’effectue à l’aide d’algorithmes de
gestion des ressources. Ces algorithmes concernent, entre autres, le
routage des paquets et les contrôles de flux et de congestion.
• À l’intérieur du commutateur, il peut être nécessaire de mémoriser des
paquets en cas de blocage. Un blocage apparaît lorsque deux paquets
entrent en compétition pour obtenir une même ressource. Dans ce cas,
il faut mettre un paquet en attente. Les mémoires peuvent se situer à
l’entrée, à la sortie ou en différents points à l’intérieur du commutateur.
Il existe des commutateurs avec blocage et d’autres sans blocage.
En plus de ces fonctionnalités, certains commutateurs, dits haut débit,
peuvent supporter à la fois des services bande étroite et large bande. Ils
doivent satisfaire pour cela aux contraintes suivantes : haut débit, faible délai
de commutation, faible taux de perte de cellules, possibilité de
communication en multipoint, modularité et extensibilité et enfin faible coût

17
d’implémentation. Ils doivent en outre être pourvus de fonctions de

distribution et de priorité.
2) Les routeurs
Pendant de longues années, les routeurs ont été considérés comme des
machines lentes et complexes à gérer. La fonction de routage exige en effet
la connaissance de l’emplacement de tous les destinataires pouvant passer
par le même nœud de façon à pouvoir leur router les paquets, cet
emplacement étant déterminé par l’adresse complète du destinataire
transportée dans le paquet. De plus, la table de routage étant une ressource
partagée, elle doit pouvoir répondre à toutes les demandes émises par les
paquets en mémoire.
La table de routage est gérée par un processeur se trouvant dans le routeur.
Les accès à la table de routage sont distribués entre toutes les files d’entrée.
Cette architecture est toutefois celle d’un routeur relativement puissant.
3) Les routeurs-commutateurs
Certaines applications sont mieux prises en compte par un routage et d’autres
par une commutation. Par exemple, la navigation dans une base de données
Web distribuée au niveau mondial est préférable dans un environnement
routé. À l’inverse, la commutation est mieux adaptée au transfert de gros
fichiers. Ces constatations ont incité beaucoup d’industries à optimiser
l’acheminement des paquets en proposant des solutions mixtes, appelées
routeurs-commutateurs, superposant dans une même boîte un commutateur
et un routeur. Grâce à leur architecture double, les routeurs-commutateurs
peuvent répondre aux demandes de commutation ou de routage des clients
du réseau. Dans le premier cas, un paquet de signalisation met en place un
circuit virtuel, que tous les paquets du flot doivent suivre. Dans le second,
chaque paquet est livré à lui-même et, grâce au routage, arrive au destinataire.
Le choix de l’utilisateur n’est pas toujours simple, puisqu’il ne connaît pas
forcément la longueur de son flot. Même s’il le sait, il lui faut pouvoir l’indiquer
au réseau de façon que celui-ci prenne la bonne décision, entre routage et
commutation.

18
Chapitre II. Les réseaux sans fil

II.1. Introduction
Un réseau sans fil (en anglais wireless network) est, comme son nom l'indique,
un réseau dans lequel au moins deux terminaux peuvent communiquer sans
liaison filaire. Grâce aux réseaux sans fil, un utilisateur a la possibilité de rester
connecté tout en se déplaçant dans un périmètre géographique plus ou moins
étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité".
Les réseaux sans fil sont basés sur une liaison utilisant des ondes
radioélectriques (radio et infrarouges) en lieu et place des câbles habituels. Il
existe plusieurs technologies se distinguant d'une part par la fréquence
d'émission utilisée ainsi que le débit et la portée des transmissions. Les
réseaux sans fil permettent de relier très facilement des équipements distants
d'une dizaine de mètres à quelques kilomètres. De plus l'installation de tels
réseaux ne demande pas de lourds aménagements des infrastructures
existantes comme c'est le cas avec les réseaux filaires (creusement de
tranchées pour acheminer les câbles, équipements des bâtiments en câblage,
goulottes et connecteurs), ce qui a valu un développement rapide de ce type
de technologies. En contrepartie se pose le problème de la réglementation
relative aux transmissions radioélectriques. En effet, les transmissions
radioélectriques servent pour un grand nombre d'applications (militaires,
scientifiques, amateurs, ...), mais sont sensibles aux interférences, c'est la
raison pour laquelle une réglementation est nécessaire dans chaque pays afin
de définir les plages de fréquence et les puissances auxquelles il est possible
d'émettre pour chaque catégorie d'utilisation. De plus les ondes hertziennes
sont difficiles à confiner dans une surface géographique restreinte, il est donc
facile pour un pirate d'écouter le réseau si les informations circulent en clair
(c'est le cas par défaut). Il est donc nécessaire de mettre en place les
dispositions nécessaires de telle manière à assurer une confidentialité des
données circulant sur les réseaux sans fil.
II.2. Les avantages et les inconvénients des réseaux sans fil
1) Les avantages du déploiement d’un réseau sans fil
A. Pour les utilisateurs :

19
− Premièrement, la portabilité : un ordinateur portable ou un ordinateur

de poche suffit pour se connecter ;
− Deuxièmement, le choix du lieu de connexion, sous contrainte d’être
toujours sous la couverture du réseau ;
− Troisièmement, la flexibilité : la connexion est indépendante de la
marque ou des caractéristiques techniques des appareils connectés.
Seules les cartes réseaux doivent garantir une compatibilité avec la
norme à laquelle elles font référence ;
− Quatrièmement, la facilité : pas de câble signifie moins
d’encombrement. Les appareils sur le marché tendent à se connecter
automatiquement ;
− Cinquièmement, la mobilité : les utilisateurs peuvent se déplacer sans
couper la connexion au réseau ;
− Sixièmement, le prix : ils tendent à baisser suivant l’évolution du
marché. Il est difficile d’acheter un ordinateur portable sans carte
réseau sans fil intégrée.
B. Pour les responsables du déploiement du réseau sans fil :
− D’abord, moins de câble à déployer, et donc une diminution de
l’investissement en câble ainsi que la charge de travail lors de
l’installation ;
− Ensuite, facilité et souplesse de déploiement : une machine
supplémentaire peut se connecter sans pour autant réserver un espace
tel qu’une prise RJ45. Qu’il y ait 10 ou 15 machines utilisateurs, la
différence n’est pas aussi critique qu’avec un réseau filaire, en termes
d’espace de connexion (et pas en termes d’analyse réseau) ;
− Enfin, le prix : Une solution sans fil peut être largement moins chère
pour une entreprise. Toutefois, une sérieuse analyse est nécessaire en
tenant compte des particularités des utilisateurs de l’entreprise.
2) Les inconvénients des réseaux sans fils
− Le premier consiste à disposer d’un débit souvent plus faible qu’un
réseau câblé ;
− Le deuxième consiste, selon les cas, en une atténuation rapide du signal
en fonction de la distance qui induit l’impossibilité pour un émetteur de
détecter une collision au moment même. En effet, le medium utilisé est

20
dit half-duplex, ce qui correspond à un medium sur lequel l’émission et

la réception sont impossibles en même temps ;
− Le troisième réside dans l’inévitabilité des interférences. Les
transmissions radios ne sont pas isolées, et le nombre de canaux
disponibles est limité, ce qui force le partage. Les interférences peuvent
être de natures diverses à savoir des émetteurs travaillant à des
fréquences trop proches ; des bruits parasites dus à l’environnement ;
des phénomènes d’atténuation, de réflexion et de chemins multiples
dus à l’environnement… ;
− Le quatrième réside dans les limitations de la puissance du signal par
des règlementations strictes en vigueur ;
− Le cinquième réside dans la limitation de l’énergie par l’autonomie de
batteries. En effet, les applications relatives aux réseaux sans fil ont un
caractère nomade portable. Emettre ou recevoir des données
consomme de l’énergie ;
− L’avant dernier problème réside dans la faible sécurité : il est facile
”d’espionner” passivement un canal radio ;
− Enfin, le dernier réside dans les changements provoqués par la mobilité
des nœuds sur la topologie du réseau.
II.3. Les catégories des réseaux sans fil
On distingue habituellement plusieurs catégories de réseaux sans fil, selon le
périmètre géographique offrant une connectivité (appelé zone de
couverture) :

21
1) Réseaux personnels sans fil (WPAN)

Le réseau personnel sans fil (appelé également réseau individuel sans fil ou
réseau domestique sans fil et noté WPAN pour Wireless Personal Area
Network) concerne les réseaux sans fil d'une faible portée (de l'ordre de
quelques dizaines mètres). Ce type de réseau sert généralement à relier des
périphériques (imprimante, téléphone portable, appareils domestiques, ...)
ou un assistant personnel (PDA) à un ordinateur sans liaison filaire ou bien à
permettre la liaison sans fil entre deux machines très peu distantes. Outre le
Bluetooth, il existe plusieurs technologies utilisées pour les WPAN :
➢ HomeRF
HomeRF (pour Home Radio Frequency), lancée en 1998 par le HomeRF
Working Group (formé notamment par les constructeurs Compaq, HP, Intel,
Siemens, Motorola et Microsoft) propose un débit théorique de 10 Mbps avec
une portée d'environ 50 à 100 mètres sans amplificateur. La norme HomeRF
soutenue notamment par Intel, a été abandonnée en Janvier 2003,
notamment car les fondeurs de processeurs misent désormais sur les
technologies Wi-Fi embarquée (via la technologie Centrino, embarquant au
sein d'un même composant un microprocesseur et un adaptateur Wi-Fi).
➢ Liaisons Infra rouge
Enfin les liaisons infrarouges permettent de créer des liaisons sans fil de
quelques mètres avec des débits pouvant monter à quelques mégabits par
seconde. Cette technologie est largement utilisée pour la domotique
(télécommandes) mais souffre toutefois des perturbations dues aux
interférences lumineuses. L'association irDA (infrared data association)
formée en 1995 regroupe plus de 150 membres. La technologie infrarouge a
pour caractéristique principale d'utiliser une onde lumineuse pour la
transmission de données. Ainsi les transmissions se font de façon
unidirectionnelle, soit en "vue directe" soit par réflexion. Le caractère non
dissipatif des ondes lumineuses offre un niveau de sécurité plus élevé. Il est
possible grâce à la technologie infrarouge d'obtenir des débits allant de 1 à 2
Mbit/s en utilisant une modulation appelé PPM (pulse position modulation).

22
2) Réseaux locaux sans fil (WLAN)

Le réseau local sans fil (noté WLAN pour Wireless Local Area Network) est un
réseau permettant de couvrir l'équivalent d'un réseau local d'entreprise, soit
une portée d'environ une centaine de mètres. Il permet de relier entre eux les
terminaux présents dans la zone de couverture. Il existe plusieurs
technologies concurrentes :
➢ Le WIFI
Le Wifi (ou IEEE 802.11), soutenu par l'alliance WECA (Wireless Ethernet
Compatibility Alliance) offre des débits allant jusqu'à 54Mbps sur une distance
de plusieurs centaines de mètres.
➢ HiperLAN2
HiperLAN2 (HIgh PERformance Radio LAN 2.0), norme européenne élaborée
par l'ETSI (European Telecommunications Standards Institute). HiperLAN 2
permet d'obtenir un débit théorique de 54 Mbps sur une zone d'une centaine
de mètres dans la gamme de fréquence comprise entre 5 150 et 5 300 Mhz.
3) Réseaux métropolitains sans fil (WMAN)
Le réseau métropolitain sans fil (WMAN pour Wireless Metropolitan Area
Network) est connu sous le nom de Boucle Locale Radio (BLR). Les WMAN
sont basés sur la norme IEEE 802.16. La boucle locale radio offre un débit utile
de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine
principalement cette technologie aux opérateurs de télécommunication.
4) Réseaux étendus sans fil (WWAN)
Le réseau étendu sans fil (WWAN pour Wireless Wide Area Network) est
également connu sous le nom de réseau cellulaire mobile. Il s'agit des réseaux
sans fil les plus répandus puisque tous les téléphones mobiles sont connectés
à un réseau étendu sans fil. Les principales technologies sont les suivantes :
• GSM (Global System for Mobile Communication ou en français Groupe
Spécial Mobile) ;
• GPRS (General Packet Radio Service) ;
• UMTS (Universal Mobile Telecommunication System).

23
II.4. Les topologies de réseaux locaux sans fil

Les WLAN de norme 802.11 offrent trois types de topologies pour concevoir
un WLAN :
• L’IBSS (Independent Basic Service Set) ;
• Le BSS (Basic Service Set) ;
• L’ESS (Extended Service Set).
Un ensemble de service (Service Set) consiste en un groupement logique
d’équipements. Dans un réseau sans fil, les données sont transmises sur une
porteuse radio. Il est fréquent qu’une station réceptrice d’un groupe se trouve
dans la même plage de fréquence de plusieurs stations émettrices d’autres
groupes. Afin de trier les signaux reçus, la station émettrice préfixe un
identifiant de service set, appelé SSID (Service Set Identifier), aux données à
transmettre.
− Un IBSS est un ensemble de stations communiquant directement entre
elles. Un WLAN IBSS (aussi appelé ad hoc) est donc formé par au moins
deux stations, et représente un réseau autonome. Les clients sont
directement reliés les uns aux autres. La synchronisation est gérée par
les clients eux-mêmes. Ce genre de réseau est généralement petit et
n’est utilisé, en général, que pour l’échange occasionnel de fichiers.
− Un BSS est un ensemble de stations communiquant entre elles via
l'intermédiaire d’une station spéciale, appelée AP (Acces Point ou point
d’accès). L’AP peut disposer d’une connexion (uplink) vers un réseau
câblé, on est alors dans le cas d’un BSS d’infrastructure. Cette topologie
est généralement utilisée pour un réseau domestique.
− Un ESS est un ensemble de BSS interconnecté via un système de
distribution (DS pour Distribution System). La plupart du temps, le DS
est un réseau câblé.
II.4.1. L’accès au support
Pour détecter les collisions, les WLAN 802.11 utilisent une méthode proche de
celle des réseaux Ethernet 802.3, l’accès partagé par l’écoute de la porteuse,
ou CSMA/CA (CSMA with Collision Avoidance). Cela consiste, pour une station,
à écouter le support pour détecter s’il y a un signal porteur et attendre, si c’est
le cas, qu’il soit libre avant de transmettre. Sur un réseau Ethernet, lorsque

24
deux stations émettent simultanément, le niveau du signal sur le câble

augmente, leur indiquant qu’une collision à lieu. Les WLAN n’ayant
évidemment pas cette capacité, le mécanisme d’accès est pensé pour éviter
les collisions. Une collision est donc détectée implicitement lorsque
l’émetteur ne reçoit pas l'acquittement de son envoi.
Une autre caractéristique importante des réseaux sans fil est la fragmentation
des trames qui est une fonction de la sous-couche MAC, elle vise à augmenter
la fiabilité des transmissions en décomposant chaque trame en fragment plus
petit envoyé individuellement. Le principe étant qu’un petit fragment a plus
de chances d’être transmis correctement. De plus, si un fragment subit une
altération ou une collision, seul le fragment, et non la trame entière, doit être
retransmis.
II.4.2. Les fonctions de la sous-couche MAC 802.11
Voici les trois échanges requis entre une station et un AP pour communiquer :
• Le processus de sondage, ou probe ;
• Le processus d’authentification ;
• Le processus d’association.
Le processus de sondage consiste à émettre une trame de requête probe sur
chaque canal. Cette trame contient notamment des informations sur la
station émettrice (les plus importantes sont les débits supportés (IE
Supported Rates et l’ensemble de services auquel elle appartient (IE SSID)).
Ce processus a pour but de permettre à la station de connaître les AP qui se
trouvent à proximité.
Lorsqu’un AP reçoit une telle requête, il répond par une trame de réponse
probe dont les champs principaux sont :
• Le Timestamp : c’est la valeur du temporisateur TSF qui sert à
synchroniser l’horloge de la station avec celle de l’AP ;
• Le Beacon Interval : contient le nombre d’unités de temps entre les
trames de balisage ;
• Le Capability Information : contient les informations sur les capacités
des couches MAC et PHY ;
• L’IE SSID : contient le SSID avec lequel l’AP est configuré ;
• L’IE Supported Rates : indique les débits supportés par l’AP ;

25
• L’IE PHY Parameters : fourni à la station des informations spécifiques à

la couche PHY.
Lorsque la station reçoit les trames de réponse probe des AP, elle peut,
suivant la configuration, se connecter automatiquement ou alors attendre la
décision de l’utilisateur de la station.
Le processus d’authentification est très important dans les WLAN, il permet
de déterminer qui est autorisé à accéder au réseau. Le standard 802.11
possède deux modes différents : Open System et Shared Key. Pour simplifier,
la station envoie une requête d’authentification et l’AP lui renvoie une
réponse d’authentification.
Le processus d’association autorise ou non un AP à assigner un port logique à
la station sans fil. Il est initié par la station au moyen d’une trame de requête
et se termine par une réponse de l’AP lui indiquant le succès ou l’échec.
Une des fonctions intéressantes de la sous-couche MAC 802.11, est l’économie
d’énergie. Le principe est simple, la station désactive son dispositif sans fil.
L’AP auquel elle est associée met alors les trames destinées à la station dans
un tampon. À intervalles réguliers, la station réactive le dispositif radio et
attend l’arrivée d’une trame beacon d’AP lui indiquant la présence de trames
à son intention. En mode unicast, un intervalle d’écoute ou de réveil est défini
par le client.
II.4.3. La couche physique 802.11
La couche physique (couche 1 du modèle OSI) est chargée de gérer les
connexions matérielles. Elle est divisée en deux parties : PLCP (Physical Layer
Convergence Protocol) et PMD (Physical Medium Dependant).
L’encapsulation des informations fournies par la couche liaison de données
est réalisée par la sous-couche PMD grâce à deux méthodes : il faut, en
premier lieu, choisir une méthode de transmission des informations, puis une
méthode de codage.
Pour que les stations puissent communiquer entre elles, le standard 802.11
définit trois couches physiques :
− Le FHSS (Frequency Hopping Spread Spectrum) ;
− Le DSSS (Direct Sequence Spread Spectrum) ;

26
− L’IR (Infra-Red).
La technique DSSS consiste à émettre sur plusieurs fréquences données, on
appelle cela “étalement du spectre”. La bande allant de 2400 à 2483,5 MHz
est divisée en quatorze canaux de 20 MHz chacun. L’émetteur et le récepteur
communiquent sur un canal sélectionné (donc sur plusieurs fréquences). C’est
sur cette technique que s’appuie la norme 802.11. Elle a pour avantage
d’augmenter le débit en utilisant, au mieux, la bande passante, mais est très
sensible aux interférences. La grande popularité des appareils Wi-Fi™ a eu
pour effet, de générer des saturations dans les WLAN de plusieurs zones
urbaines, leurs utilisateurs souffrent alors d’un débit amoindri.
La technique FHSS, quant à elle, consiste à découper la bande de fréquence
en septante-neuf canaux afin de “sauter” d’une fréquence à une autre. Ce
découpage nécessite de l’AP et de la station une synchronisation sur une
séquence de sauts précise. Ces derniers s’effectuent, en général, toutes les
300 à 400 ms.
L’objectif étant la diminution de collisions de trames lorsque plusieurs stations
sans fil sont dans la même zone géographique. Beaucoup moins sensible aux
interférences, cette technique est notamment utilisée par la technologie
Bluetooth.
Les WLAN 802.11b utilisent le DSSS haut débit (HR-DSSS) en utilisant des
techniques de modulations supplémentaires pour arriver à un débit de
11Mbit/s.
Les WLAN 802.11g introduisent la couche ERP (Extended Rate Physical) pour
atteindre des débits atteignant 54Mbit/s. Diverses autres techniques de
modulation sont utilisées pour arriver à un tel débit.
II.4.4. Les trames 802.11
Elles contiennent quatre champs principaux :
− Le préambule. Il contient deux éléments différents : Synch. qui est une
séquence de 128 bits utilisée pour la détection et la synchronisation et
SFD (Start Frame Delimiter) qui détermine le début de la trame.
− L’en-tête PCPL. Contient quatre sous-champs. Le premier, appelé
Signal, indique la modulation qui doit être utilisée pour la transmission
et la réception des données MAC. Le second, nommé Service, n’est pas

27
encore utilisé par le standard 802.11. Le troisième champ, intitulé

Lenght, indique le nombre d’octets que contient la trame. Enfin, le
dernier champ appelé CRC (Cyclic Redundancy Check), permet la
détection d’erreurs de transmission.
− Les données MAC. Cette partie sera détaillée ci-dessous.
− Le CRC. Contient un code binaire généré pour l’envoi afin de détecter la
présence d’erreurs survenues lors de la transmission.
A noter que dans le cas du DSSS, le préambule peut être court ou long et que
les trames PLCP sur FHSS sont légèrement différentes.
Les trames 802.11 au niveau de la couche MAC sont divisées en trois grandes
parties :
− L’en-tête. Il contient le Contrôle de trame, la Durée/ID qui indique la
valeur d’une durée ou l’ID de la station dans le cas d’une trame de
pooling, Adresse 1 qui est l’adresse du récepteur, Adresse 2 qui est
l’adresse de l'émetteur, Adresse 3 qui est l’adresse de l’émetteur
original ou celle de destination, le Contrôle de séquence qui est utilisé
pour représenter l’ordre des différents fragments appartenant à la
même trame et reconnaître des objets dupliqués, et, enfin, Adresse 4
qui est utilisée lors d’une transmission d’un AP à un autre.
− Le corps de la trame. Contient des informations sur la couche
supérieure.
− CRC. Calculé à partir de l’en-tête MAC afin de détecter d’éventuelles
erreurs de transmission.
Le Contrôle de trame est utilisé pour définir le type d’information envoyé. Et
il est constitué de :
− Version de protocole. Ce champ contient 2 bit qui pourront être utilisés
pour reconnaître des versions futures possibles du standard 802.11.
Dans la version actuelle, la valeur est fixée à 0.
− Type et sous-type. Ils définissent le type et sous-type des trames.
− ToDS. Bit, dont la valeur est 1 lorsque la trame est adressée à l’AP pour
qu’il la fasse suivre au DS (Distribution System).
− FromDS. Bit dont la valeur est 1 lorsque la trame provient du DS.

28
− More Fragments. Bit, dont la valeur vaut 1 lorsque d’autres fragments

suivent le fragment en cours.
− Retry. Ce bit indique si le fragment est une retransmission.
− Power Management. Ce bit indique si la station sera en mode
d’économie d'énergie après la transmission de cette trame.
− More Data. Également utilisé pour la gestion de l’énergie, ce champ est
employé par l’AP pour indiquer que d’autres trames sont stockées dans
la mémoire tampon pour cette station.
− WEP. Ce bit indique si le corps de la trame est sécurisé ou non.
− Order. Ce bit indique si cette trame est envoyée en utilisant la classe de
service strictement ordonnée. Cette classe est définie pour les
utilisateurs qui ne peuvent accepter de changement d’ordre entre les
trames unicast et multicast.
II.5. La sécurité des WLAN
La sécurité est le plus gros problème des réseaux sans fil. Les équipements
802.11 communicants par onde radio, ils couvrent une zone plus étendue
qu’on ne le désirerait. Les AP transmettent les données en broadcast dans
l'espoir que la station réceptrice opère dans la même plage de fréquences,
n’importe quelle autre station opérant dans cette même plage reçoit aussi ces
données. Bon nombre de personnes ayant acquis un équipement 802.11, ne
sachant pas sécuriser leurs réseaux, laissent une porte grande ouverte à leurs
voisins. Il est, en effet, un peu plus simple de se connecter à un réseau dit
“ouvert” pour utiliser la connexion internet ou encore explorer le contenu des
ordinateurs attachés à ce réseau.
Deux composants sont requis pour assurer une sécurité minimale à un WLAN :
• Un moyen de déterminer qui peut exploiter le WLAN ;
• Un moyen de garantir la confidentialité des données transmises.
La première exigence est assurée par des mécanismes d’authentification
permettant le contrôle d’accès au réseau local. La seconde est satisfaite par
des algorithmes de chiffrement. Les spécifications 802.11 définissent plusieurs
algorithmes de chiffrement, dont WEP (Wired Equivalent Privacy) et WPA
(WiFi Protected Acces) qui sont les plus populaires, ainsi que deux méthodes

29
d’authentification : Open System Authentification et Shared Key

Authentification.
II.5.1. Le protocole WEP
Le protocole WEP utilise un algorithme de chiffrement par flot RC4.
Également utilisé dans SSL, cet algorithme fonctionne de la façon suivante :
“la clé RC4 permet d’initialiser un tableau de 256 octets en répétant la clé
autant de fois que nécessaire pour remplir le tableau. Par la suite, des
opérations très simples sont effectuées : les octets sont déplacés dans le
tableau, des additions sont effectuées, etc. Le but est de mélanger autant que
possible le tableau. Au final, on obtient une suite de bits qui parait tout à fait
aléatoire. Par la suite, on peut extraire des bits par conséquent pseudo-
aléatoires.”
Abordons maintenant les deux mécanismes d’authentification spécifiés par le
standard 802.11. L’authentification Open System repose sur un algorithme qui
accepte toutes les requêtes d’authentification. Le contrôle d’accès, avec
l’authentification Open System, s’appuie sur la clé WEP ou WPA utilisée par
l’AP et le client. Ils ne peuvent communiquer que s’ils ont la même clé, dans le
cas contraire, les trames sont supprimées par le client et par l’AP. Si ce dernier
n’a pas été configuré pour utiliser une clé de chiffrement, n’importe quel
équipement peut accéder au WLAN et les trames sont transmises sans être
cryptées.
L’authentification Shared Key exige que le chiffrement soit activé avec une
même clé sur le client et l’AP. Voici les étapes du processus :
1. Le client envoie à l’AP une requête pour l’authentification Shared Key.
2. L’AP répond avec un texte-challenge en clair.
3. Le client chiffre le texte-challenge et place le résultat dans une trame de
réponse.
4. Si l’AP peut déchiffrer la trame et extraire le texte-challenge initial, le
client reçoit un message de réussite.
5. Le client peut accéder au WLAN.”
Contrairement à l’authentification Open System, le mode Shared Key requiert
que le chiffrement soit activé sur l’AP et la station pour permettre au client de
s’associer.

30
En complément à ces deux modes d’authentification spécifiés par le standard

802.11, de plus en plus de fabricants proposent l’authentification par adresse
MAC. Le principe est simple ; il consiste à configurer l’AP avec une liste des
adresses MAC des stations autorisées à accéder au réseau. Lors de
l’authentification, l’AP compare l’adresse MAC du client effectuant la requête
avec celles étant dans sa liste des adresses autorisées, le processus
d’authentification continue uniquement si l’adresse du client est présente
dans cette liste.
II.5.2. Le protocole WPA
La première chose à retenir sur WPA, c’est qu’il permet une authentification
via deux méthodes.
La première c’est l’identification classique via un mot de passe. Cette
authentification est destinée aux petits réseaux, les réseaux domestiques
(entres autres) et nécessite donc l’utilisation d’un mot de passe qui permet de
se connecter au réseau. C’est ce qu’on appelle WPA PSK (Pre Shared Keys) ou
aussi WPA Personnal.
La seconde est destinée aux larges réseaux (entreprise, hôpitaux, hôtels
etc…). C’est une méthode d’identification beaucoup plus sécurisée
(puisqu’elle ne repose pas sur un mot de passe) mais aussi plus compliquée à
mettre en œuvre. On l’appelle WPA MGT ou encore WPA Enterprise. Il existe
beaucoup de déclinaisons de WPA MGT et la plus courante utilise un serveur
RADIUS.
Un serveur RADIUS (Remote Autentification Dial-In User Service) est un
serveur dont le seul but est de gérer l’authentification. Pour se connecter il
suffit d’avoir un couple login/mot de passe valide (donné par l’administrateur
réseau).
Ce serveur était à l’origine utilisé par les fournisseurs d’accès afin de
permettre à leurs clients de se connecter au réseau à distance. Il est toujours
utilisé et son fonctionnement est assez simple à comprendre.
Un serveur RADIUS gère l’authentification (qui parle), l’autorisation (que
peut-il faire) et l’accouting (que fait-il).
Donc lorsqu’un utilisateur va vouloir se connecter au réseau, il va passer par
un client RADIUS qui va lui demander son identifiant et son mot de passe. Le

31
client RADIUS va transmettre (de manière cryptée) les informations au

serveur RADIUS qui va s’occuper de vérifier l’exactitude des données. Pour
cela il va interroger une base de données. Puis le serveur RADIUS va renvoyer
3 types de réponse, une réponse positive (l’utilisateur est connecté au
réseau), une réponse négative (l’utilisateur n’est pas connecté) ou une
réponse dites « challenge ». Dans ce cas-là le serveur RADIUS va demander des
informations supplémentaires à l’utilisateur comme par exemple un autre
login/mot de passe.
II.5.3. Le protocole WPA2
En fait, les deux protocoles (WPA et WPA2) sont quasi identiques. WPA2 est
identique dans le fonctionnement à WPA, cependant WPA2 n’utilise pas le
protocole TKIP mais CCMP.
CCMP (Counter-Mode/CBC-Mac protocol) est un protocole qui, tout comme
TKIP, gère le roulement des clés de chiffrement ainsi que le contrôle
d’intégrité des messages. Ce protocole est basé sur l’algorithme AES
(Advanced Encrytion Standard). C’est un algorithme extrêmement puissant. Il
est considéré comme étant le plus sûr et le plus utilisé des algorithmes de
chiffrement (il est utilisé par la NSA).
II.5.4. Les failles du standard 802.11
Après avoir survolé les différentes stratégies de sécurités des WLAN. Elles
n’en restent, cependant, pas inviolables. En voici d’ailleurs, les différentes
vulnérabilités de ces mécanismes.
L’authentification Open System, comme cela a déjà été dit, ne permet pas de
vérifier si un client voulant se connecter à l’AP est autorisé à le faire. N’importe
qui peut donc accéder au réseau.
Plus ennuyeux, l’authentification Shared Key présente une faille importante.
Comme cela a été exposé préalablement, il y a une transmission en clair durant
l’authentification, d’un texte challenge par l’AP, celui-ci est ensuite renvoyé
chiffré par le client. N'importe quelle station, se trouvant dans la zone de
couverture peut recevoir ces deux textes. Il a aussi été dit que la séquence clé
et le texte sont combinés au moyen d’un “ou exclusif” (l’opérateur booléen
XOR) dans le processus de chiffrement WEP. Si l’attaquant capture le texte
challenge et le texte chiffré, il lui suffit d’appliquer l’opération XOR pour

32
découvrir la séquence clé. Il peut alors déchiffrer les trames de même

longueur que la séquence, à condition que le vecteur d’initialisation (IV) utilisé
pour produire cette dernière soit le même que celui ayant servi à chiffrer la
trame.
L’authentification par adresse MAC n’est pas infaillible non plus. Les adresses
MAC sont transmises en clair dans les trames 802.11. Lorsqu’un client a accès
au réseau, il est alors possible de connaître son adresse MAC en collectant une
trame. Certaines cartes réseau 802.11, permettent de remplacer l’adresse MAC
imposée par le fabricant (UAA - Universally Administered Address) par une
adresse voulue (LAA - Locally Administered Address). Il s’agit donc
d’usurpation de l’adresse MAC d’un client valide.
Le problème de sécurité le plus important concerne le chiffrement WEP. Il est
en effet possible, en collectant passivement quelques centaines de milliers de
trames d’un WLAN, de connaître la clé WEP de ce dernier. Sur un WLAN à fort
trafic, cette opération peut être faite en quelques heures. Cette faille a trait à
la façon dont WEP implémente un des algorithmes de RC4. Un certain nombre
de vecteurs d’initialisation (IV) permettent d’obtenir des octets de la clé WEP
par analyse statistique. Il existe, aujourd’hui, des programmes collectant
automatiquement le nombre de trames nécessaire et délivrant
instantanément la clé WEP.
Pour pallier à ces problèmes, l’IEEE a développé des extensions améliorant la
sécurité au sein des WLAN. Inclus dans la norme 802.11i ratifiée en 2003, le
WPA est une solution pour corriger les problèmes du WEP. Il est maintenant
supporté par tous les fabricants d’équipement WLAN.
II.6. La configuration
1) Le SSID
Service Set Identifier également appelé SSID. Il en existe plusieurs formes
dont le BSSID (Basic SSID) et le ESSID (Extend SSID). Ces deux appellations
différencient leurs utilisations. Lorsqu’un client voudra s'assigner à un AP, il
devra fournir cet identifiant.
a) BSSID
Cette appellation désigne le SSID assigné à un point d'accès isolé.

33
b) ESSID
Cette appellation est utilisée lorsque le SSID est le même pour tous les APs
ainsi cela permet de pouvoir couvrir une plus grande zone avec le même
réseau ainsi lorsqu’une personne se déplace entre des APs assignés avec le
même SSID, il pourra toujours être connecté au même réseau.
2) Le DHCP
DHCP signifie Dynamic Host Configuration Protocol. Cela veut donc dire qu'il
n'y a rien à configurer du côté client, un client une fois connecté au point
d'accès reçoit automatiquement toutes les informations nécessaires à son
bon fonctionnement (proxy, dns, ...). Il n'y a absolument aucune configuration
à faire du coté client.
Faites donc attention si vous avez chez vous un point d'accès avec un serveur
DHCP sans cryptage wep, les intrusions seront grandement simplifiées.
3) Configuration
a) Notion de plages
Une plage d'adresse IP se configure depuis le serveur DHCP (votre point
d'accès par exemple) permettra de déterminer le nombre de PCs qui pourront
se connecter à votre réseau et leurs adresses IP.
Une plage ressemblera à ça :
Adresse de départ : 192.168.1.20
Adresse de fin : 192.168.1.50
Le nombre maximal de pcs recevant leurs paramètres par DHCP seront donc
de 30 (50 - 20).
Notez que cela ne correspond en aucun cas au nombre maximum de pcs
pouvant se connecter à votre réseau mais seulement au nombre de pcs
recevant automatiquement leurs paramètres.
b) Notion d'exclusion
Le problème qui peut donc se poser est le suivant, vous désirez définir une
grande plage d'adresses IP mais votre serveur principal qui lui à une adresse
IP fixe (conseillé) se trouve en plein milieu de cette plage.
Les plages d'exclusions sont conçues pour ça.

34
Exemple :
Plage :
Adresse du serveur : 192.168.1.50
L'exclusion peut se configurer de 2 manières. Le plus souvent une plage
d'exclusion nous aurons donc :
Exclusion :
(On prend un peu de marge, en effet 3 adresses seront bloquées
(1.49,1.50,1.51) mais vous pouvez aussi marquer (192.168.1.50 - 192.168.1.50)
Certaines fois il n'est possible de ne rentrer que des adresses pour l’exclusion :
Adresse d'exclusion 1 : 192.168.1.50
Adresse d'exclusion 2 : ...
II.7. Exemple de la configuration d'un point d'accès
Les routeurs sans fil peuvent être configurés selon plusieurs modes en
fonction du but recherché :
− Point d'accès serveur si l'on veut que le routeur serve de serveur d'accès
sans fil à des clients (adaptateurs ou cartes réseau Wifi). Lorsqu'on parle
de point d'accès, il s'agit de ce mode car c'est celui qui est configuré par
défaut dans la plupart sinon la totalité des routeurs ;
− Point d'accès client si l'on veut que le routeur se connecte à un point
d'accès serveur pour donner accès à Internet, via une connexion filaire,
à une machine dépourvue d'adaptateur ou de carte réseau sans fil ;
− Répéteur si l'on veut que le routeur se connecte, en tant que point
d'accès serveur, à un point d'accès principal pour répéter le signal et
étendre ainsi la couverture du réseau à destination de clients sans fil.
− etc.

35
On va étudier uniquement le mode point d'accès serveur en prenant comme

exemple le routeur sans fil Linksys WRT54G. La procédure de configuration,
notamment les étapes 1 à 7, est la même quels que soient la marque ou le
modèle de votre routeur. Seuls changent les menus à partir de l'étape 8.
1. Mettez en marche le routeur et reliez-le à un ordinateur à l'aide du câble

Ethernet fourni (côté routeur, c'est la prise LAN). En l'absence de câble
fourni, débranchez le câble qui relie l'ordinateur au switch pour le
brancher sur la prise LAN du routeur Wifi.
2. Vérifiez les paramètres TCP/IP de l'ordinateur. Si l'ordinateur est
configuré pour recevoir une IP dynamique, le DHCP du routeur lui
attribuera une IP, le faisant entrer automatiquement dans le réseau
local du routeur (ici 192.168.1.0/24). Vous pouvez vérifier cela en lançant
un shell (Invite de commande sous Windows) :

36
Si l'ordinateur est configuré pour recevoir une IP statique, fixez l'IP de

l'ordinateur sur le même réseau que le routeur (ici, 192.168.1.0/24) pour
pouvoir communiquer avec ce dernier.
3. Tapez l'IP par défaut du routeur (ici 192.168.1.1 ; pour celle de votre
routeur, regardez sur la notice de l'appareil car elle varie d'un
constructeur à un autre) dans un navigateur Internet (Internet Explorer,
Firefox, Safari, Chrome, Opera, ...).
4. Saisissez les paramètres de connexion (identifiant et mot de passe).
Pour le modèle de routeur Linksys WRT54G, mettez admin comme mot
de passe et laissez le champ Utilisateur vierge :

37
5. Modifiez l'adresse IP par défaut du routeur pour mettre la plage du

réseau local de votre choix (ex. : 10.0.0.254/24 c-à-d le masque de sous-
réseau 255.255.255.0), puis cliquez sur le bouton Save Settings :

38
Remarques
• Avec un masque de sous-réseau de 255.255.255.0, le dernier nombre (en
réseau, on parle d'octet) de l'adresse IP du routeur peut être n'importe
quel octet compris impérativement entre 1 et 254. L’essentiel, ici, c'est
de ne pas mettre 0 ou 255 (donc ne mettez pas 10.0.0.0 ou 10.0.0.255
car ce sont des adresses particulières interdites avec ce masque). Notez
cette adresse pour vous connecter dessus plus tard (à l'étape 7) ou pour
ne pas attribuer la même à un hôte, une machine du réseau (à l'étape 6
par exemple).
6. Vérifiez les paramètres TCP/IP de l'ordinateur. Si l'ordinateur en
question est configuré sur Obtenir automatiquement les adresses IP,
débranchez puis rebranchez le câble Ethernet (ou redémarrez
l'ordinateur) pour qu'il se voie attribuer automatiquement une nouvelle
adresse IP par le DHCP du routeur sur le nouveau réseau (ici 10.0.0.0/24).
Si l'ordinateur en question est configuré pour utiliser l'adresse IP
statique, modifiez-la en donnant une autre que celle déjà attribuée au
routeur, appartenant au nouveau réseau de l'étape 5 (ex. : 10.0.0.253) :

39
7. Tapez la nouvelle adresse IP du routeur de l'étape 5 (ici 10.0.0.254) dans

un navigateur Internet, saisissez le mot de passe (ici admin) et laissez le
champ utilisateur vierge comme à l'étape 4 :
8. Paramétrez le SSID, la sécurité, etc.

• Dans le menu Setup, section Network Address Server Settings (DHCP),
paramétrez éventuellement l'adresse de départ (a), le nombre maximal
de clients DHCP (b), les serveurs DNS (c) uniquement si vous ne voulez
pas vous servir de celui de votre Fournisseur d’accès Internet (sinon, ne
modifiez rien), puis cliquez sur Save Settings (d).

40
• Dans le menu Wireless, onglet Basic Wireless Settings, modifiez le SSID

par défaut pour lui donner un nom à votre convenance. Ce sera le nom
du réseau Wifi à configurer plus tard sur les stations clientes
(ordinateurs, tablettes, smartphones, etc.). Validez les modifications.
Cliquez ensuite sur l'onglet Wireless Security pour activer le mode de
sécurité et définir les paramètres d'accès au réseau Wifi. Validez les
modifications en cliquant sur le bouton Save Settings. L'onglet Wireless
MAC Filter permet de déterminer les autorisations d'accès au réseau :
c'est là qu'on insère les adresses MAC des adaptateurs et cartes réseau
installés sur les machines. Ce n'est pas nécessaire de le configurer mais

41
tout de même recommandé pour éviter des intrusions dans votre

réseau :
ISTIA
1234578
• Dans le menu Security, assurez-vous que l'option Firewall Protection est

activée (Enable). Laissez tels quels les autres paramétrages. Sauf si vous
savez ce que vous faites... Validez les éventuelles modifications en
cliquant sur le bouton Save Settings :

42
• Dans le menu Administration, modifiez impérativement le mot de passe

de l'administrateur et notez-le en lieu sûr. Une fois modifié, l'accès à
l'interface Web d’administration du routeur ne se fera plus par « admin
» mais par le nouveau mot de passe :
9. Débranchez le câble Ethernet qui reliait le routeur à l'ordinateur.

Branchez-le sur le switch pour reconnecter l'ordinateur au réseau
d'origine. Vérifiez les paramètres réseau de l'ordinateur en question de
sorte qu'il obtienne une IP dynamique.
10. Enfin, à l'aide du câble fourni avec le routeur ou d'un nouveau câble
Ethernet, reliez le routeur Wifi au switch comme suit : connexion à la
prise WAN (Internet) côté routeur Wifi, à la prise RJ45 côté switch.
11. Le réseau WiFi étant configuré et le routeur connecté à Internet via le
switch, vous pouvez à présent vous connecter au point d'accès en
repérant son SSID. Pour ce faire, sur un PC portable, cliquez

43
successivement sur l'icône du réseau sans fil près de l'horloge et sur le

SSID de votre point d'accès, cochez la case Connexion automatique,
cliquez sur Connecter puis renseignez la clé de sécurité :
Si le point d'accès a été créé pour votre domicile, cliquez sur Réseau
domestique. Si le point d'accès a été créé pour votre entreprise, cliquez sur
Réseau de bureau (si l'OS installé est Windows 7 Pro) ou Réseau professionnel
(si l'OS installé est Windows 7 Entreprise) :

44
Chapitre III. Les réseaux locaux virtuels

III.1. Introduction
Un réseau local virtuel est un regroupement virtuel d’au moins deux
périphériques. Ce regroupement virtuel peut s’étendre au-delà de plusieurs
commutateurs. Les périphériques sont regroupés sur la base d’un certain
nombre de facteurs suivant la configuration du réseau.
Comme avec n’importe quelle technologie de mise en réseau, il convient de
bien comprendre les caractéristiques opérationnelles des réseaux VLAN avant
de les mettre en œuvre dans votre réseau. Vous pourrez ainsi mettre en
œuvre des réseaux VLAN bien conçus et réduire les délais de dépannage, le
cas échéant.
En effet, dans un réseau local la communication entre les différentes
machines est régie par l'architecture physique. Grâce aux réseaux virtuels
(VLAN) il est possible de s'affranchir des limitations de l'architecture physique
(contraintes géographiques, contraintes d'adressage, ...) en définissant une
segmentation logique (logicielle) basée sur un regroupement de machines
grâce à des critères (adresses MAC, numéros de port, protocole, etc.).
Les réseaux virtuels (Virtual LAN) sont apparus comme une nouvelle
fonctionnalité dans l’administration réseau avec le développement des
commutateurs. La notion de VLAN est un concept qui permet de réaliser des
réseaux de façon indépendante du système de câblage. Ces réseaux
permettent de définir des domaines de diffusions restreints, cela signifie
qu’un message émis par une station du VLAN ne pourra être reçu que par les
stations de ce même VLAN.
Un VLAN est donc, un regroupement logique et non physique de plusieurs
stations. Pour réaliser ce regroupement, on intervient directement par voie
logicielle sur les éléments actifs qui sont les commutateurs VLAN.
III.2. Les avantages d’un VLAN
Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique
et à ce titre offre les avantages suivants :

45
• Plus de souplesse pour l'administration et les modifications du réseau

car toute l'architecture peut être modifiée par un simple paramétrage
des commutateurs ;
• Gain en sécurité car les informations sont encapsulées dans un niveau
supplémentaire et éventuellement analysées. Réduction de la diffusion
du trafic sur le réseau ;
• Ils permettent de supporter les organisations virtuelles, en rendant
l’appartenance à un groupe indépendant de sa position géographique.
• Ils optimisent la bande passante, en réalisant des réseaux disjoints,
donc en réalisant des domaines de collision disjoints.
III.3. Le partitionnement du réseau sans les VLANs
1. Réseaux physiquement disjoints
La première technique consiste à séparer un réseau en deux sous réseaux en
utilisant un routeur. C’est la technique employée lorsque l’on met en place des
réseaux sous IP.
2. Séparer les réseaux par un switch

La seconde technique consiste à séparer les réseaux par un switch, les
paquets d’un réseau IP ne voyant pas les paquets des autres réseaux IP. En
utilisant, deux ou plusieurs LANS avec des adresses IP réseaux différentes, le
commutateur est tout à fait capable de séparer les réseaux.

46
Cette technique pourrait être satisfaisante dans une architecture réseau

simple, mais peu recommandable dans une architecture complexe, car ne
disposant d’aucun outil pour une gestion centralisée du réseau.
III.4. La technique des VLAN
Pour réaliser des VLANS, il faut tout d’abord des commutateurs spéciaux qui
supportent le VLAN. Ces produits combinent tous les avantages des solutions
précédentes :
− Partitionnement en plusieurs domaines de broadcast ;
− Affectation d’un ou plusieurs ports à un VLAN depuis une console
centrale ;
− Amélioration de la bande passante par la fonction de commutation ;
− Adaptation de la vitesse du switch à la capacité du réseau ;
− Regroupement des VLAN sur un même segment backbone (réseaux
distants avec des Vlan commun de bout en bout) ;
− Gestion d’une bonne étanchéité entre VLAN
III.4.1. Les types de VLAN
Il existe plusieurs types de VLAN, en fonction de leurs méthodes de travail,
nous pouvons les associer à une couche particulière du modèle OSI.
− VLAN de niveau 1 associé à la couche physique (basé sur les ports) ;
− VLAN de niveau 2 associé à la couche liaison (basé sur les adresses
MAC) :
− VLAN de niveau 3 associé à la couche réseau (basé sur les protocoles).
III.4.1.1. VLAN de niveau 1
Le VLAN de niveau 1 correspond à une configuration physique du réseau, il
s’agit d’associer chaque port du switch à un VLAN.
Dans ce type de VLAN :
✓ C’est le port qui détermine le VLAN auquel appartient les stations
associées ;
✓ Il n’y a pas de traitement lourd pour chaque trame dans le processus de
routage.
Toutefois, ce type de VLAN comporte quelques inconvénients importants :

47
− Un brassage est nécessaire en cas de déménagement géographique des

stations ;
− Nécessitée de modifier les VLAN en cas d’ajout ou de retrait
d’utilisateurs ;
− Ne permet pas de traiter les switchs cascadés
Avec ce type de VALN, on ne dispose pas d’une souplesse très importante, et
c’est pourquoi ils sont peu utilisés.
A titre d’exemple, voici le genre de commandes d’assignation à insérer dans

le switch
− assign port 1,2,3,4,5 to VLAN 1
− assign port 6,7,8 to VLAN2
Dans ce type de VLAN, c’est l’adresse MAC de la carte réseau de la station, qui
détermine le VLAN auquel elle appartient. Cela offre une grande souplesse et
permet d’avoir des stations sur un même port du switch et pourtant
appartenant à des VLAN différents.
Ce point est très important car il permet alors, d’autoriser des switchs en
cascades sur le switch configuré en VLAN. Le switch VLAN, placé en tête de

48
pont, fera alors le routage sans difficultés, puisque la lecture de l’adresse MAC
de la trame lui indiquera le numéro de VLAN associé.
La souplesse qui en découle donne la pleine puissance des VLAN, car en cas
de mouvement de postes, toute reconfiguration est inutile, le switch VLAN
saura toujours associer l’adresse MAC de la carte réseau au bon VLAN.
Le seul bémol à ce type de VLAN est la nécessité de maintenir un fichier de
correspondance entre adresse_mac et VLAN, le switch l’ayant créé lors de sa
configuration, il suffit de l’exporter. Bien entendu, tout changement de carte
réseau sur un poste nécessite un changement similaire sur son association
VLAN.

On peut considérer que c’est le niveau de VLAN par défaut, en effet, au niveau
3, c’est l’adresse IP de la station qui détermine le VLAN auquel elle appartient.
Plus précisément, on associera un VLAN à une plage d’adresse.
Avec les VLAN de niveau 3, la configuration est aisée car on se trouve au niveau
IP, donc loin de toute configuration matérielle tels que ports ou adresses
MAC. On retrouve bien entendu, la puissance des VLAN, c'est-à-dire que des
stations sur un même port du switch peuvent appartenir à des VLAN
différents.

49
Le niveau 3 est adapté au réseau complexe et aux entreprises possédant de

nombreux portables avec ou sans fils.
La puissance des OS intégrés dans les switchs VLAN leur permet de traiter
rapidement des milliers de trames en parallèle. En effet, si nous rentrons plus
en détails dans le traitement de la trame, nous trouvons une trame Ethernet
classique avec un champ de données contenant un paquet IP. Le
commutateur devra avant tout routage de la trame, extraire le paquet IP de
la trame Ethernet, et ensuite extraire de ce paquet IP, l’adresse IP destination
de la trame et le masque de sous réseau associé.
On peut, au sein d’un même réseau IP définir des groupes de stations

appartenant à des différents VLAN et cela de manière totalement
transparente, sans multiplier le nombre de sous réseaux à gérer.
III.4.2. Le fonctionnement interne des switchs VLAN
A présent que le principe des VLAN a été vu alors passons sans plus tarder sur
le fonctionnement interne du VLAN, et étudions les problématiques
suivantes :
Comment transporter et reconnaître à l’arrivée sur un même segment physique,
des trames issues de plusieurs VLAN ? (1er problème)

50
III.4.2.1. Le marquage des trames

Pour réaliser cette opération, les systèmes d’exploitation des switchs VLAN
réalisent le marquage des trames en rattachant un champ de quatre octets à
toutes trames traversant le réseau. Ce champ (tag) identifie le VLAN auquel
appartient la trame, il est ajouté à la trame par la station émettrice ou par un
périphérique en réseau, par exemple, un commutateur. Outre les
informations VLAN, la priorité relative de la trame sur le réseau peut être
spécifiée par l'étiquette.
La trame Ethernet ci-dessous, présent le point où sera inséré le tag VLAN.
Les différents champs de la trame sont :

adresse MAC destination (6octets) : Permet de connaître la destination
de la trame ;
adresse MAC source (6 octets) : Permet en cas de problèmes sur la
trame, d’avertir la station émettrice que sa trame n’a pu être livrée, et
de redemander une retransmission
Etype (2 octets) : Champ défini avec le code 0800
Tag Vlan (4 octets) : Définit l’identifiant VLAN et sa priorité
Long/type : (2 octets) : Définit la taille des données utiles dans le champ
des données, sachant que ce champ doit faire au minimum 46 octets et
maximum 1500. Si la trame ne contient que 10 octets utiles, 36 octets de
bourrage seront insérés dans le champ données. La valeur du champ
Long/type sera alors définie à 10.
FCS (4 octets) : Ce Frame Control Sequence est un contrôle basé sur une
division polynomiale des en têtes de la trame, sans le champ des
données. Ce FCS correspond au reste obtenu en divisant la trame par un
polynôme normalisé CRCx. Ce contrôle est également appelé Contrôle
à Redondance Cyclique.
Comment étendre un même VLAN sur plusieurs commutateurs ? (2ème problème)

51
Pour résoudre ce problème, les constructeurs proposent des solutions, en

particulier CISCO qui propose le protocole ISL (Inter Switch Link). Et de façon
plus ouverte, il a été défini par la norme IEEE 802.1Q
III.4.2.2. Le protocole ISL
ISL est un protocole propriétaire CISCO, il a pour objectif de permettre un
marquage des trames afin d’en effectuer un routage correct sur des liens
communs à plusieurs VLAN, typiquement un backbone en fibre optique.
Voici un schéma représentant l’encapsulation de la trame Ethernet par des en-

têtes spécifiques ISL
Voici une définition succincte des champs composant ces deux entêtes
• Entête ISL
Adresse destination (40 bits)
Type (Ethernet, Token Ring, ATM, FDDI, …) (4 bits)
Utilisateur (Priorité) (4 bits)
Adresse émetteur (@ MAC du port émetteur) (48 bits)
Longueur (16 bits)
Constante (AAAA03) (24 bits)
Bits de poids forts de l’adresse source (24 bits) – Réseau virtuel (16
bits)
BPDU : 1 si paquet de gestion du protocole Spanning tree (1 bit)

52
Index (utilisé en maintenance) (16 bits)

• CRC ISL
CRC (32 bits) (Contrôle à Redondance Cyclique Division polynomiale)
III.4.2.3. La norme IEEE 802.1Q
Le standard IEEE 802.1Q fournit un mécanisme d'encapsulation très répandu
et implanté dans de nombreux équipements de marques différentes. Comme
dans le cas de l'encapsulation ISL précédente, l'en-tête de trame est complété
par une balise de 4 octets.
Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag)
avec laquelle on complète l'en-tête de trame Ethernet.
Ce VLAN tag est placé à la suite du champ Ethertype de la trame Ethernet, qui
lui-même est juste derrière l’adresse MAC Source.
Structure du VLAN Tag

VLAN Identifier (12
Priority (3bits) Canonical Format Identifier (1bit)
bits)
Le champ Priority
Ce champ de 3 bits fait référence au standard IEEE 802.1P. Sur 3 bits
on peut coder 8 niveaux de priorités de 0 à 7.
La notion de priorité dans les VLANs est sans rapport avec les
mécanismes de priorité IP.
Ces 8 niveaux sont utilisés pour fixer une priorité aux trames d'un
VLAN relativement aux autres VLAN. La priorité du routage d’un
VLAN par rapport à l’autre est définie lors de la définition des VLANS.
Le champ Canonical Format Identifier

53
Ce champ codé sur 1 bit assure la compatibilité entre les adresses MAC
Ethernet et Token Ring dans le cas d’architecture réseau mixte, plutôt
rare à présent.
Un commutateur Ethernet fixera toujours cette valeur à 0. Si un port
Ethernet reçoit une valeur 1 pour ce champ, alors la trame ne sera pas
propagée puisqu'elle est destinée à un port « sans balise » (untagged
port).
Le champ VLAN Identifier, vlan id, VID
Ce champ de 12 bits sert à identifier le VLAN auquel appartient la trame.
Il est possible de coder 4094 VLANS avec ce champ.
III.4.3. Les liens TRUNK et Les liens MESH
III.4.3.1. Le Trunking
Un trunk est une connexion physique unique sur laquelle on transmet le trafic
de plusieurs réseaux virtuels. Les différents liens constituant ce trunk seront
alors utilisés simultanément, permettant ainsi d'augmenter le débit inter-
switch. Du point de vue du switch, la connexion à un trunk est vue comme un
seul port. La distribution du trafic sur chacun des liens du trunk est effectuée
sur la base d'une résolution d'adresse source et/ou destination, voire d'une
négociation.
Les trames qui traversent le trunk sont complétées avec un identificateur de
réseau local virtuel (VLAN id). Grâce à cette identification, les trames sont
conservées dans un même VLAN (ou domaine de diffusion).
Les trunks peuvent être utilisés :
✓ Entre deux commutateurs
C'est le mode de distribution des réseaux locaux le plus courant.
✓ Entre un commutateur et un hôte
C'est le mode de fonctionnement à surveiller étroitement. Un hôte qui
supporte le trunking a la possibilité d'analyser le trafic de tous les réseaux
locaux virtuels.

54
✓ Entre un commutateur et un routeur

C'est le mode fonctionnement qui permet d'accéder aux fonctions de
routage ; donc à l'interconnexion des réseaux virtuels par routage inter-VLAN.
Tous les VLAN véhiculés dans le même trunk partagent la bande passante du
média utilisé. Si un trunk utilise un lien 100Mbps, la bande passante de tous les
VLAN associés est limitée à ces 100Mbps.
III.4.3.2. Le Meshing
Une autre manière d'agréger plusieurs liens est le meshing. Cette technique
ne se limite pas à des liaisons point à point entre deux switchs puisqu'elle peut
regrouper tout un maillage de switchs (plusieurs switchs reliés entre eux de
façon redondante).
À l'intérieur d'un même mesh, le trafic est distribué dynamiquement vers les
liens offrant l'accès le plus rapide, l’objectif ici est de partager la charge réseau
sur plusieurs liens, évitant ainsi toute saturation et assurant un Qos de qualité
0.
Un ensemble de switchs reliés (de manière redondante) par des liens
paramétrés comme mesh constitue un meshed domain. Ce dernier détermine
régulièrement les "meilleurs" chemins à l'intérieur de ce domaine selon
plusieurs critères : en fonction de la taille de la file d'attente des buffers
associés aux ports du switch, de leur configuration en vitesse et de la quantité
de paquets jetés qui illustre l'occupation du port.
Un chemin déterminé comme "meilleur" entre deux adresses MAC reste
valable tant que l'entrée de ces adresses MAC n'expire pas dans la table
d'adressage. La différence principale avec le trunk est que tous les liens
restent actifs et qu'ils peuvent rapidement être sollicités pour répondre à une
augmentation du trafic.
III.4.3.3. Conclusion
Ainsi dit, pour traiter le premier et le second problème, il est donc nécessaire
d'élaborer une technique de partage des réseaux locaux entre équipements.
Cette technique consiste à étiqueter les trames pour identifier le trafic des
différents réseaux locaux sur un même canal physique.

55
Ainsi, les réseaux locaux sont distribués sur les différents équipements via des
liaisons logiques dédiées appelées trunks. Le trunk est une connexion
physique unique sur laquelle on transmet le trafic de plusieurs réseaux
virtuels. Les trames qui traversent le trunk sont complétées avec un
identificateur de réseau local virtuel (VLAN id). Grâce à cette identification, les
trames sont conservées dans un même VLAN (ou domaine de diffusion).
III.5. Commandes de base
Nous utiliserons ici le 802.1Q qui est le protocole utilisé par défaut. Avant
d’exécuter les commandes, il faut se connecter en mode console en cliquant
sur le switch ou routeur et ensuite sur CLI.
1. enable (ena) : se connecter en mode privilégié
2. configure terminal (conf t) : Passage en mode de configuration
globale.
3. enable password : Choix d’un mot de passe pour la protection de la
session du mode privilégié
4. hostname : attribution d’un nom au switch ou au routeur
5. write mem ou copy running-config startup-config : enregistrer les
modifications apportées
6. exit (end): quitter le mode configuration.
7. vlan database: passage au mode de création de vlan.
8. vlan x nom: donner le nom à un vlan
9. vlan brief : affiche le vlan configuré sur le switch
10. interface FastEhernet0/x: passage au mode de configuration des
interfaces
11. switchport mode access: définir le fonctionnement de l’interface
12. switchport access vlan x: associer un port à un vlan
13. interface s0/x : accéder à l’interface d’un routeur
14. ip address: attribuer une adresse ip et le masque de sous-réseau
Travail pratique1
Soit la topologie suivante où l’on a :

56
❖ Configuration de VLANS
Nous allons maintenant créer deux VLANS. Sur le Switch la configuration des
VLANS devra respecter le tableau suivant :
Pour cela, nous allons nous connecter sur le switch en mode console et rentrer
les commandes suivantes :
switch >enable
switch # vlan database
switch (vlan) # vlan 10
switch (vlan) # vlan 20
switch (vlan) # exit
switch # configure terminal
switch (config)# interface range fa0/1 – 4
switch (config-if)# switchport mode access
switch (config-if)# switchport access vlan 10
switch (config-if)# no shutdown
switch (config-if)# exit
switch (config)# interface range fa0/5 – 8
etc…
Au moyen de la commande sh vlan, vérifiez l’état de vos vlans
Branchez PC1 et PC2 dans le même vlan, et vérifiez qu’un ping entre les deux
PCs fonctionne. Branchez PC1 dans le vlan 10 et PC2 dans le vlan 20, et vérifiez
qu’un ping entre les deux PCs ne fonctionne pas.
Déplacez l’un des PCs sur l’un des ports non intégrés au vlan, et vérifiez que le
port ne "monte" pas ?
❖ Routage inter-VLANS
On complète la topologie précédente par l'adjonction d'un routeur à deux
interfaces dont une interface dans chaque vlan :

57
La configuration de notre switch devra légèrement changer puisqu’un lien de

type 802.1q devra être créé entre le routeur et le commutateur. Ce lien appelé
port trunk sera situé sur le neuvième port du commutateur. Pour cela,
saisissez en mode console les commandes suivantes :
switch # configure terminal
switch (config)#int fa0/9
switch (config-if)# switchport mode trunk
switch (config-if)# no shutdown
Continuez ensuite par la configuration du routeur. Il va être nécessaire de

défaire ce que l'on a configuré à l'étape précédente, puis de définir des sous-
interfaces (une par vlan) sur l’interface fa0/0 (celle qui sera reliée au
commutateur) afin que chacune de ces sous-interfaces prennent en charge le
trafic lié à un vlan.
routeur # configure terminal
routeur (config)#interface FastEthernet0/1
routeur (config-if)# no ip address
routeur (config-if)# shutdown
routeur (config-if)# exit
routeur (config)#interface FastEthernet0/0
routeur (config-if)# no ip address
routeur (config-if)# no shutdown
routeur (config)#interface FastEthernet0/0.1
routeur (config-if)# encapsulation dot1Q 10
routeur (config-if)# ip address 10.10.10.1 255.255.255.0
routeur (config)#interface FastEthernet0/0.2
routeur (config-if)# encapsulation dot1Q 20
routeur (config-if)# ip address 10.10.20.1 255.255.255.0
Ajouter l’adresse IP du port 0/0.1 comme passerelle du pc2 et celle du

port0/0.2 comme passerelle du pc1. Essayer de faire un ping entre PC1 et PC2.
Le ping a-t-il réussi ?

58
Relier au vlan10 un switch avec trois PCs avec comme adresses IP : 101, 102 et
103. Faire la même chose pour le vlan20 et les PCs auront les adresses 101, 102
et 103.
La topologie devient :
Faire un ping entre les PCs du premier switch ajouté, puis du deuxième et
entre les PCs de deux switchs ; donner le résultat.
Travail pratique 2
❖ Schéma du réseau
Plan d’adressage
Client1 Client2 client1 client2 client1 client2
Nom
Vlan100 vlan100 Vlan200 Vlan200 Vlan300 Vlan300
Adresse IP 10.10.0.1 10.10.0.2 10.20.0.1 10.20.0.2 10.30.0.1 10.30.0.2
Masque de S/R 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0
Passerelle 10.10.0.254 10.10.0.254 10.20.0.254 10.20.0.254 10.30.0.254 10.30.0.254
Vlan Vlan 100 Vlan 100 Vlan 200 Vlan 200 Vlan 300 Vlan 300
❖ Création et configuration des VLAN

o Configuration du Switch1

59
Nous commençons par configurer le Switch1. On va lui donner un nom, on va

lui dire de ne pas résoudre les noms (commandes "no ip domain-lookup"), et
on va déclarer les Vlans :
Switch# configure terminal
Switch(config)# hostname Switch1
Switch1(config)# no ip domain-lookup
Switch1(config)# vlan 100
Switch1(config-vlan)# exit
Switch1(config)# vlan 200
Switch1(config-vlan)# exit
Nous intégrons ensuite les interfaces dans les Vlans :

Switch1(config)#interface fastEthernet 0/1
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan 100
Switch1(config-if)#exit
Et pour finir nous créons le lien trunk permettant aux Vlans d’échanger entre
eux.
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#switchport trunk native vlan 1
Switch1(config-if)#switchport trunk allowed vlan 100
Switch1(config-if)#switchport trunk allowed vlan add 200
Nous continuons ensuite la configuration avec le switch2 :
Switch#configure terminal
Switch(config)#hostname Switch2
Switch2(config)#no ip domain-lookup
Switch2(config)#vlan 100
Switch2(config-vlan)#exit


60
Et pour finir nous créons le lien trunk permettant aux Vlans d’échanger entre
eux.
Pour finir nous configurons le Switch0, qui est notre switch central.
Switch#configure terminal
Switch(config)#hostname Switch0
Switch0(config)#no ip domain-lookup

Et nous configurons les 2 ports qui nous servent de lien trunk.

❖ TESTS :
Si nous réalisons quelques tests, nous pouvons observer que :
• Client1Vlan100 vers Client2VLAN100 fonctionne bien

61

Mais nous observons aussi que les ping entre les PCs qui ne sont pas dans le
même vlan ne fonctionnent pas.
❖ Routage Inter-Vlans
Pour que les machines puissent se pinger entre elles, même si elles ne font pas
partie du même vlan, il faut ajouter un routeur, car le système ne doit pas
utiliser un câble par vlan, ce qui serait trop encombrant et trop onéreux
suivant le nombre de vlan. Nous utilisons à la place le routeur Inter-vlans. Le
routage inter-vlans consiste à faire passer tous les vlans dans un seul lien via
un lien trunk connecté à des sous-interfaces sur le routeur en déclarant le vlan
auquel elles appartiennent.
❖ Schéma :
❖ Configuration du Switch0
Nous commençons par configurer un lien trunk sur notre Switch0 :
❖ Configuration du Routeur
Nous nous attaquons ensuite à la configuration de notre routeur : Nous
configurons son nom et on lui désactive la résolution de nom.

62
Router#configure terminal
Router(config)#hostname Routeur
Routeur(config)#no ip domain-lookup
On active ensuite l’interface fastethernet 0/0

Routeur(config)#interface fastEthernet 0/0
Routeur(config-if)#no shutdown
Routeur(config-if)#exit
On déclare la première sous-interface :

Routeur(config)#interface fastEthernet 0/0.100
Nous déclarons ensuite le type d’encapsulation trunk ainsi que le Vlan :

Routeur(config-subif)#encapsulation dot1Q 100
Et nous terminons par la configuration de l’adresse IP et l’activation de la

sous-interface :
Routeur(config-subif)#ip address 10.10.0.254 255.255.0.0
Routeur(config-subif)#no shutdown
Routeur(config-subif)#exit
Nous refaisons la même chose pour les deux autres Vlans :


63
Chapitre IV. Les réseaux personnels virtuels

Les réseaux locaux type LAN permettent de faire communiquer les
ordinateurs d'un site d'une société ensemble. Ces réseaux sont relativement
sûrs car ils sont quasiment toujours derrière une série de pare-feu ou coupés
d'Internet et que le chemin emprunté par les données ne quitte pas
l'entreprise et est connu. Ils peuvent toutefois être soumis à des attaques
dites du « man-in-the-middle ».
Sur Internet, on ne sait pas par où passent les données car les chemins
changent. Ces données peuvent donc être écoutées ou interceptées. Il n'est
donc pas envisageable de faire connecter deux LAN entre eux par Internet
sans moyen de sécuriser le cheminement des données échangées.
Il existe alors deux solutions :
− relier les deux sites par une ligne spécialisée mais hors de prix ;
− créer un réseau privé virtuel sécurisé autrement dit un VPN. On
encapsule (en anglais tunneling) les données dans un tunnel crypté.
IV.1. Définition
En informatique, un réseau privé virtuel (RPV) ou réseau virtuel privé (RVP),
plus communément abrégé en VPN (de l'anglais : Virtual Private Network), est
un système permettant de créer un lien direct entre des ordinateurs distants,
qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de
télécommunication publics.
On utilise notamment ce terme dans le télétravail, ainsi que dans le cadre de
l'informatique en nuage.

64
Mais alors pourquoi réseau virtuel privé. Virtuel simplement parce que le VPN
relie deux réseaux physiques LAN par une liaison qui n'est pas réellement sûre
et surtout pas dédiée à cet usage. Et privé parce que les données sont
encryptées et que seuls les deux réseaux se voient mais ne sont pas vus de
l'extérieur.
Pour résumé le VPN permet de mettre deux sites en relation de façon
sécurisée à très faible coût par une simple connexion Internet. Mais cela se
fait au détriment des performances car le passage par Internet est plus lent
que sur une liaison dédiée.
IV.2. Types
Le VPN repose sur un protocole de tunnelisation qui est un protocole
permettant de chiffrer les données par un algorithme cryptographique entre
les deux réseaux.
Il existe deux catégories de VPN :
✓ le VPN d'accès permet à un utilisateur isolé de se connecter dans un
réseau local interne (par exemple, de son entreprise). Dans ce cas, il
peut avoir son propre client VPN afin de se connecter directement au
réseau. Sinon, il doit demander à son FAI (Provider) de lui fournir un
serveur d'accès qui se chargera de la connexion cryptée. Seul problème,
la connexion entre l'utilisateur isolé et le serveur d'accès n'est pas
crypté.
✓ l'intranet ou extranet VPN permet de relier deux réseaux LAN entre eux.
Dans le cas de l'extranet, il peut s'agir par exemple, d'un réseau d'une
société et de ses clients. Dans les deux cas, les deux réseaux doivent se
voir comme-ci le réseau était en un seul morceau. Par exemple, on peut
faire en sorte d'avoir une passerelle dans chaque réseau qui se
connecterait ensemble par Internet de façon cryptée et achemineraient
donc les données entre les deux réseaux.
Le VPN peut être de type point à point, utilisé entre un client et un
concentrateur VPN (routeur spécialisé, pare-feu, ou logiciel sur ordinateur),
sur Internet par le biais d'un logiciel de VPN.
Dans une autre acception, le VPN peut exister sous la forme d'un réseau privé
virtuel étanche et distribué sur un nuage MPLS. Les ordinateurs sur ce VPN y

65
sont souvent raccordés physiquement, la notion de « virtuel » se rapportant

alors au fait que l'infrastructure MPLS fait circuler plusieurs réseaux virtuels
étanches entre eux.
De façon plus générale les VPN peuvent être classés selon les protocoles,
services, et type de trafic (couche OSI 2 ou 3) pouvant circuler en son sein.
IV.2.1. VPN client / concentrateur
La connexion entre les ordinateurs est gérée de façon transparente par un
logiciel de VPN, créant un tunnel entre eux. Les ordinateurs connectés au VPN
sont ainsi sur le même réseau local (virtuel), ce qui permet de passer outre
d'éventuelles restrictions sur le réseau (comme des pares-feux ou des
proxys).
IV.2.2 VPN sur les routeurs
Avec l’utilisation croissante des VPN, beaucoup ont commencé à déployer la
connectivité VPN sur les routeurs. Ainsi, l’objectif étant de renforcer la
sécurité et le chiffrement de la transmission de données en utilisant diverses
techniques cryptographiques. À domicile, les utilisateurs déploient
généralement des réseaux privés virtuels sur leurs routeurs pour protéger des
périphériques : tels que des téléviseurs intelligents ou des consoles de jeux
qui ne sont pas pris en charge par les clients VPN natifs. Les périphériques pris
en charge ne sont pas limités à ceux capables d’exécuter un client VPN.
De nombreux fabricants de routeurs fournissent des routeurs avec des clients
VPN intégrés. Certains utilisent des microprogrammes open-source tels que
DD-WRT, OpenWRT et Tomato, afin de prendre en charge des protocoles
supplémentaires tels que OpenVPN.
IV.3. Intérêt
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était
connecté au réseau local. Il permet d'avoir un accès au réseau interne (réseau
d'entreprise, par exemple) ou de créer un réseau de pairs.
Un VPN dispose généralement aussi d'une « passerelle » permettant
d'accéder à l'extérieur, ce qui permet de changer l'adresse IP source
apparente de ses connexions. Cela rend plus difficile l'identification et la
localisation approximative de l'ordinateur émetteur par le fournisseur de

66
service. Cependant, l'infrastructure de VPN (généralement un serveur)

dispose des informations permettant d'identifier l'utilisateur : par exemple,
les sociétés proposant des VPN gratuits ou payants peuvent récolter les
données de navigation de leurs clients, ce qui relativise l'anonymat de ces
services. Cela permet aussi de contourner les restrictions géographiques de
certains services proposés sur Internet.
Le VPN permet également de construire des « réseaux overlay », en
construisant un réseau logique sur un réseau sous-jacent, faisant ainsi
abstraction de la topologie de ce dernier.
IV.4. Les fonctionnalités du VPN
Le VPN n'est qu'un concept, ce n'est pas une implémentation. Il se caractérise
par les obligations suivantes :
✓ authentification des entités communicantes : le serveur VPN doit
pouvoir être sûr de parler au vrai client VPN et vice-versa
✓ authentification des utilisateurs : seuls les bonnes personnes doivent
pouvoir se connecter au réseau virtuel. On doit aussi pouvoir conserver
les logs de connexions
✓ gestion des adresses : tous les utilisateurs doivent avoir une adresse
privée et les nouveau client en obtenir une facilement
✓ cryptage du tunnel : les données échangées sur Internet doivent être
dûment cryptées entre le client VPN et le serveur VPN et vice-versa
✓ les clés de cryptage doivent être régénérées souvent
(automatiquement)
✓ le VPN dit supporter tous les protocoles afin de réaliser un vrai tunnel
comme s'il y avait réellement un câble entre les deux réseaux.
IV.5. Les implémentations de VPN
a) Catégories de protocoles
1) Classement par Niveau OSI
Il existe deux catégories de protocoles VPN :
✓ Les protocoles nécessitant parfois/souvent du matériel particulier :
o Les protocoles de niveau 2 (Couche Liaison) dans la pile TCP/IP :
PPTP, L2F et L2TP

67
o Les protocoles de niveau 3 (Couche Réseau) dans la pile TCP/IP :

IPSec
✓ Les protocoles ne nécessitant qu'une couche logicielle :
o Les protocoles de niveau 4 (Couche Transport) : OpenVPN en SSL
2) Classement par Système d'exploitation
Voici les protocoles classés par OS :
✓ Disponibles nativement sous Windows
o PPTP et IPSec/L2TP
✓ Protocoles disponibles sous Linux et Windows par logiciel annexe :
o OpenVPN
✓ Disponibles sous Linux
o Tous
b) Les principaux protocoles de VPN
Les principaux protocoles de tunneling VPN sont les suivants :
− PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2
développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
− L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par
Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète
− L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux
de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et
L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
− IPSec est un protocole de niveau 3, issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP.
1) Le protocole PPTP
Le principe du protocole PPTP (RFC2637) (Point To Point Tunneling Protocol)
est de créer des trames avec le protocole PPP et de les crypter puis de les
encapsuler dans un paquet IP.
Cela permet de relier les deux réseaux par une connexion point-à-point
virtuelle acheminée par une connexion IP sur Internet. Cela fait croire aux
deux réseaux qu'ils sont reliés par une ligne directe. On garde, ainsi les
adresses des réseaux physiques dans la trame PPP cryptées et cette trame est
acheminée normalement sur Internet vers l'autre réseau.

68
Il permet les opérations suivantes :

− L'authentification se fait par le protocole MS-CHAP (Challenge
Handshake Authentification Protocol) version 2 ou avec le protocole
PAP (Password Authentification Protocol)
− L'encryption se fait par le procotole MPPE (Microsoft Point-to-Point
Encryption). Cela crée un tunnel de niveau 3 (Réseau) géré par le
protocole GRE (Generic Routing Encapsulation).
− La compression peut se faire avec le protocole MPPC (Microsoft Point
to Point Compression)
− On peut ajouter autant de protocole que l'on veut dans le protocole
PPTP pour l'encryption et la compression des données
La connexion se passe donc ainsi :
− Le client se connecte à Internet par son modem par le protocole PPP
(classiquement)
− Le client se connecte alors au serveur VPN par une connexion IP
encapsulant les paquets GRE/PPP cryptés. Ainsi cela forme deux
connexions l'une sur l'autre
o la connexion normale à Internet : elle achemine le traffic
vers/depuis Internet
o la connexion virtuelle au-dessus de la connexion Internet : elle
achemine le traffic vers/depuis le réseaux VPN
− A la fin de la connexion c'est le serveur qui ferme le tunnel
On obtient donc une connexion PPP au-dessus de la connexion Internet ou

Ethernet qui nous donne accès au serveur VPN pptpd. Cette connexion PPP
obtient une IP de la plage définie dans la configuration de pptpd. Sur le

69
serveur, on a une connexion de son IP publique vers l'IP virtuelle du client et

sur le client c'est l'inverse.
Voici ce que cela donne avec un ping vers une machine derrière le serveur :
• ping
11:00:17.003113 IP IP_client > IP_serveur: GREv1, call 128, seq
120, length 101: compressed PPP data
11:00:17.503088 IP IP_client > IP_serveur: GREv1, call 128, ack
116, no-payload, length 12
• pong
11:02:12.840243 IP IP_serveur > IP_client: GREv1, call 0, seq 135,
ack 139, length 105: compressed PPP data
On voit donc uniquement les paquets cryptés.
Un paquet d'une connexion PPTP ressemble donc à ceci :
Il est encore beaucoup utilisé du fait qu'il est nativement intégré aux systèmes
Windows. Mais les protocoles tels que IPSec ou OpenVPN sont bien meilleurs
en sécurité et en performances.
2) Le protocole L2TP
C'est un protocole très proche des protocoles PPTP et L2F et est normalisé
dans un RFC. Cette fois les trames PPP sont encapsulées dans le protocole
L2TP lui-même et les trames PPP peuvent encapsuler des paquets IP, IPX,
NetBIOS ou autre. Il se base aussi souvent sur IPSec.
Il y faut deux types de serveurs pour utiliser L2TP :
− LAC (L2TP Access Concentrator) : concentrateur d'accès L2TP. Il sert à
fournir un moyen physique pour se connecter à un ou plusieurs LNS par
le protocole L2TP. Il est responsable de l'identification et construit le
tunnel vers les LNS. Il se trouve obligatoirement dans l'infrastructure du
FAI de chaque utilisateur du VPN. Cela est donc très lourd (et cher) à

70
mettre en place dans la mesure où il faut louer une place dans un

serveur de connexion du FAI.
− LNS (L2TP Network Server) : serveur réseau L2TP, il assure la
communication entre le réseau auquel il est connecté et les LAC vers
lesquels il a un tunnel. Il se trouve généralement dans l'entreprise ou le
service auquel appartient l'utilisateur distant.
Plus techniquement, voici l'encapsulation qu'engendre L2TP (de bas en haut,
dans le cas d'un HTTP) :
− couche 2 -> IP -> UDP -> L2TP -> PPP -> IP -> TCP -> HTTP
Il est donc relativement lourd, d'autant que les MTU (taille max des paquets)
des lignes traversées peuvent générer de la fragmentation. Son seul avantage
est de pouvoir terminer une session PPP n'importe quand ce qui permet à un
utilisateur mobile de pouvoir se connecter facilement en VPN.
L2TP est encapsulé dans des paquets UDP entre le LAC et le LNS et utilise le
port 1701.
La connexion d'un utilisateur se passe donc comme suit :
− Un utilisateur se connecte à un LAC par le biais de sa connexion Internet
ou d'un Modem bas débit. Ce LAC fait partie de l'infrastructure du FAI
de l'utilisateur.
− Il s'authentifie auprès de ce LAC. Ce dernier transmet les informations
de login/mot de passe fournies au serveur RADIUS d'authentification.
Ce dernier contient une liste associative
login/nom_de_domaine/mot_passe <--> LNS.
− Si le login/mot de passe est valide, cela permet au LAC de connaître le
LNS auquel l'utilisateur peut se connecter pour être sur le VPN de son
entreprise.
− Si aucun tunnel n'existe entre le LAC et le LNS, un tunnel est créé à
l'initiative du LAC
− Une session PPP est créée à l'intérieur de ce tunnel
− L'utilisateur obtient donc une connexion PPP virtuelle entre lui et le
réseau de son entreprise.

71
Pour Linux, il existe l'implémentation RP-L2TP

3) Le protocole IPSec
Mode de transport
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges
au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des
améliorations au niveau de la sécurité au protocole IP afin de garantir la
confidentialité, l'intégrité et l'authentification des échanges.
Il existe deux modes pour IPSec :
− le mode transport permet de protéger principalement les protocoles de
niveaux supérieurs :
o IPSec récupère les données venant de la couche 4
(TCP/transport), les signe et les crypte puis les envoie à la couche
3 (IP/réseau). Cela permet d'être transparent entre la couche TCP
et la couche IP et du coup d'être relativement facile à mettre en
place.
o Il y a cependant plusieurs inconvénients :
− l'entête IP est produite par la couche IP et donc IPSec ne peut pas la
contrôler dans ce cas.
− Il ne peut donc pas masquer les adresses pour faire croire à un réseau
LAN virtuel entre les deux LAN reliés
− cela ne garantit donc pas non plus de ne pas utiliser des options Ips non
voulues

72
Mode tunnel
Le mode tunnel permet d'encapsuler des datagrammes IP dans des
datagrammes IP
− les paquets descendent dans la pile jusqu'à la couche IP et c'est la
couche IP qui passe ses données à la couche IPSec. Il y a donc une entête
IP encapsulée dans les données IPSec et une entête IP réelle pour le
transport sur Internet (on pourrait imaginer que ce transport se fasse
sur de l'IPX ou NetBIOS puisqu'il n'y a pas de contrainte dans ce mode)
− Cela a beaucoup d'avantages :
o l'entête IP réelle est produite par la couche IPSec. Cela permet
d'encapsuler une entête IP avec des adresses relative au réseau
virtuel et en plus de les crypter de façon à être sûr qu'elles ne sont
pas modifiées.
o On a donc des adresses IP virtuelles donc tirant partie au mieux
du concept de VPN
o On a le contrôle total sur l'entête IP produite par IPSec pour
encapsuler ses données et son entête IPSec.
Les composantes d'IPSec

Le protocole IPSec est basé sur quatre modules :
✓ IP Authentification Header (AH) gère

73
o l'intégrité : on s'assure que les champs invariants pendant la

transmission, dans l'entête IP qui précède l'entête AH et les
données
o l'authentification pour s'assurer que l'émetteur est bien celui qu'il
dit être
o la protection contre le rejeu : un paquet intercepté par un pirate
ne peut pas être renvoyé
o il ne gère pas la confidentialité : les données sont signées mais pas
cryptées
✓ Encapsulating Security Payload (ESP)
o en mode transport, il assure :
▪ confidentialité : les données du datagramme IP encapsulé
sont cryptées
▪ authentification : on s'assure que les paquets viennent bien
de l'hôte avec lequel on communique (qui doit connaître la
clé associée à la communication ESP pour s'authentifier)
▪ l'unicité optionnelle contre le rejeu des paquets
▪ l'intégrité des données transmises
o en mode tunnel, c'est l'ensemble du datagramme IP encapsulé
dans ESP qui est cryptéet subit les vérifications suivantes. On peut
donc se passer de AH.
✓ Security Assocation (SA) définit l'échange des clés et des paramètres de
sécurité. Il existe une SA par sens de communication. Les paramètres de
sécurité sont les suivants :
o protocole AH et/ou ESP
o mode tunnel ou transport
o les algo de sécurité utiliser pour encrypter, vérifier l'intégrité
o les clés utilisées
✓ La SAD (Security Association Database) stocke les SA afin de savoir
comment traiter les paquets arrivant ou partant. Elles sont identifiées
par des triplets :
o adresse de destination des paquets
o identifiant du protocole AH ou ESP utilisé
o un index des paramètres de sécurité (Security Parameter Index)
qui est un champ de 32 bits envoyer en clair dans les paquets

74
✓ La SPD (Security Policy Database) est la base de configuration de IPSec.

Elle permet de dire au noyau quels paquets il doit traiter. C'est à sa
charge de savoir avec quel SA il fait le traitement.
En résumé, le SPD indique quels paquets il faut traiter et le SAD indique
comment il faut traiter un paquet sélectionné.
L'échange des clés

L'échange des clés nécessaires au cryptage des données dans IPSec peut se
faire de trois façons différentes :
✓ à la main : pas très pratique
✓ IKE (Internet Key Exchange) : c'est un protocole développé pour IPSec.
ISAKMP (Internet Security Association and Key Management Protocol)
en est la base et a pour rôle la création (négociation et mise en place),
la modification et la suppression des SA. Elle se compose de deux
phases :
o la première permet de créer un canal sécurisé (par Diffie-Hellman)
et authentifié à travers duquel on échange un secret pour dériver
les clés utilisées dans la phase 2.
o la seconde permet de mettre en place IPSec avec ses paramètres
et une SA par sens de communication. Les données échangées
sont protégées par le canal mis en place dans la phase 1.
A l'issue de ces deux phases, le canal IPSec est mis en place.

75
4) Le protocole MPLS
C'est un protocole développé en partie par Cisco pour faciliter le routage IP
par les commutateurs. Il est assez peu employé. Il repose sur la commutation
de Label (ce qui n'a rien de particulier au VPN).
Le principe est de mettre un entier (le label) entre les couches 2 (liaison) et 3
(réseau) qui évite au routeur de remonter plus haut qu'il n'en a besoin. Ainsi,
il a une table pour lui dire « si je reçois un paquet avec le numéro n je le réémet
sur ma sortie S avec le label m ». Ceci évite d'avoir besoin de lire l'entête IP et
de consulter sa table de routage IP.
c) L'implémentation OpenVPN
OpenVPN est une solution qui se base sur SSL. Cela permet d'assurer deux
choses à la fois, sans avoir besoin de beaucoup de logiciel côté client :
✓ l'authentification du client et du serveur
✓ la sécurisation du canal de transmission
Il permet par exemple de résoudre les problèmes de NAT en offrant la même
protection qu'IPSec mais sans les contraintes.
IV.6. Configuration du VPN
Comme déjà vu ci-haut, un vpn peut être configuré soit au niveau OSI soit au
niveau du système d’exploitation. Dans cette partie du cours, l’on va
configurer les deux niveaux pour vous permettre d’avoir des idées claires,
nettes et précises sur ce que serait votre vie future.
IV.6.1. Configuration du VPN sur un routeur Cisco
La configuration que nous allons effectuer ici est celle appelée de VPN site à
site, qui est une communication entre 2 LAN distants via un tunnel sécurisé à
travers internet.
Exemple: nous avons un réseau LAN sur le campus de l’ISTIA et un réseau LAN
à la Direction générale que nous devons interconnecter. A moins de tirer une
fibre optique entre les deux sites, ce qui est difficile à réaliser, le seul moyen
de les raccorder est de passer par internet. Pour cela il nous faut créer un lien
sécurisé qu’on appelle un VPN.

76
Chaque site reproduit l'image d’un petit réseau local accédant à internet via
un routeur NAT avec fonction ''overload''. Le routeur utilisé est le 2811 auquel
on doit ajouter le port serial.
La topologie utilisée pour la maquette
Configuration de base de routeur1

Router>enable
Router(config)#hostname Routeur1
Routeur1(config)#interface FastEthernet 0/0
Routeur1(config-if)#no shutdown
Routeur1(config-if)#ip address 10.0.0.254 255.0.0.0
Routeur1(config-if)#ip nat inside
Routeur1(config-if)#exit
Routeur1(config)#interface Serial 0/0/0
Routeur1(config-if)#ip nat outside
Routeur1(config)#ip route 0.0.0.0 0.0.0.0 101.0.0.254
Routeur1(config)#do wr
Mise en place de la fonction NAT sur Routeur1

Routeur1(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255
30.0.0.0 0.255.255.255
Routeur1(config)#access-list 100 permit ip 10.0.0.0 0.255.255.255 any
Routeur1(config)#ip nat inside source list 100 interface Serial 0/0/0
overload
Configuration de base de routeur2

Router>enable
Routeur2(config)#interface FastEthernet 0/0
Routeur2(config-if)#ip nat inside

77
Routeur2(config)#interface Serial 0/0/0
Routeur2(config-if)#ip nat outside
Mise en place de la fonction NAT sur Routeur2

Routeur2(config)#access-list 100 deny ip 30.0.0.0 0.255.255.255
10.0.0.0 0.255.255.255
Routeur2(config)#access-list 100 permit ip 30.0.0.0 0.255.255.255 any
Routeur2(config)#ip nat inside source list 100 interface Serial 0/0/0
overload
Configuration de base de routeur3 (le routeur central)

Router>enable
Router3(config)#interface Serial 0/0/0
Router3(config-if)#clock rate 2000000
Router3(config)#interface Serial 0/0/1
Router3(config-if)#clock rate 2000000
Routeur3(config-if)#do wr
Mise en place du tunnel VPN IPsec

Configuration de la négociation des clés (phase 1)
Détail de la configuration sur Routeur1
L'objectif est d’activer le protocole 'IKE', configurer le protocole 'ISAKMP' qui
gère l’échange des clés et établir une stratégie de négociation des clés et
d’établissement de la liaison VPN.
La clé pré partagée (PSK) sera définie avec pour valeur 'CLESECRETE'.
On va ici utiliser les paramètres suivants :
• Encryptage AES
• Mode de secret partagé PSK
• Authentification par clé pré-partagées

78
• Algorithme de hachage SHA (valeur par défaut)

• Méthode de distribution des clés partagées DH-2 (clés Diffie-Hellman
groupe 2 - 1024bits)
• Durée de vie 86400 secondes (valeur par défaut)
On spécifie le protocole de hash utilisé, le type et la durée de validité des clés
de sessions.
On indique ensuite si le routeur 'peer' (celui situé au bout du tunnel) est
identifié par un nom ou son adresse.
Routeur1(config)#crypto isakmp enable → active IKE
Routeur1(config)#crypto isakmp policy 10 → active une politique IKE
Routeur1(config-isakmp)# encryption aes → fixe l'algorithme de
cryptage
Routeur1(config-isakmp)# authentication pre-share → fixe la méthode
d'authentification
Routeur1(config-isakmp)# hash sha → fixe l'algorithme de hachage
Routeur1(config-isakmp)# group 2 → définit le groupe Diffie Hellman
Routeur1(config-isakmp)# lifetime 86400 → fixe la durée de vie de la
SA
Routeur1(config-isakmp)#exit
Routeur1(config)# crypto isakmp key CLESECRETE address 102.0.0.253 →
indique la clé partagée et l'adresse du routeur pair qui doit être
contacté
Configuration de la méthode de chiffrage des données (phase 2)

Il faut établir l'opération en trois phases
1. Création la méthode de cryptage (transform-set) nommée ''VPNLABO'',
avec ''espaes'' comme méthode de cryptage et ''esp-sha-hmac'' comme
méthode d’authentification. On définit la durée de vie de la clé soit en
durée (secondes).
2. Création ensuite une liste de contrôle d'accés (access-list) que je
nomme ''VPN'', servant à identifier le trafic à traiter par le tunnel VPN.
Pour Routeur1, ce sera le trafic d'origine 10.0.0.0/8 à destination de
30.0.0.0/8.
3. Déclaration finalement une carte de cryptage (crypto-map) appelée
''CARTEVPN'', servant à spécifier le pair distant, le 'transform set' et
l'access list.
Voici le détail de la configuration sur Routeur1
Routeur1(config)#crypto ipsec transform-set VPNLABO esp-aes esp-sha-
hmac

79
Routeur1(config)#crypto ipsec security-association lifetime seconds

86400
Routeur1(config)#ip access-list extended VPN
Routeur1(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 30.0.0.0
0.255.255.255
Routeur1(config-ext-nacl)#exit
Routeur1(config)#crypto map CARTEVPN 10 ipsec-isakmp
Routeur1(config-crypto-map)# match address VPN
Routeur1(config-crypto-map)#set peer 102.0.0.253
Routeur1(config-crypto-map)#set transform-set VPNLABO
Routeur1(config-crypto-map)#exit
Il faut maintenant appliquer la crypto-map à l’interface WAN de Routeur1.
Routeur1(config)# interface serial 0/0/0
Routeur1(config-if)#crypto map CARTEVPN
Le Routeur1 est prêt, il reste à faire l’équivalent sur Routeur2.
Voici le détail de la configuration sur Routeur2
La configuration est très similaire, il suffit d'adapter les adresses des réseaux
à filtrer et préciser l'adresse du routeur pair.
Routeur2(config)#crypto isakmp enable
Routeur2(config)#crypto isakmp policy 10
Routeur2(config-isakmp)# encryption aes
Routeur2(config-isakmp)#authentication pre-share
Routeur2(config-isakmp)#hash sha
Routeur2(config-isakmp)#group 2
Routeur2(config-isakmp)#lifetime 86400
Routeur2(config-isakmp)#exit
Routeur2(config)# crypto isakmp key CLESECRETE address 101.0.0.253
Routeur2(config)# crypto ipsec transform-set VPNLABO esp-aes esp-sha-
hmac
Routeur2(config)# crypto ipsec security-association lifetime seconds
86400
Routeur2(config)# ip access-list extended VPN
Routeur2(config-ext-nacl)# permit ip 30.0.0.0 0.255.255.255 10.0.0.0
0.255.255.255
Routeur2(config-ext-nacl)# exit
Routeur2(config)# crypto map CARTEVPN 10 ipsec-isakmp
Routeur2(config-crypto-map)# match address VPN
Routeur2(config-crypto-map)#set peer 101.0.0.253
Routeur2(config-crypto-map)#set transform-set VPNLABO
Routeur2(config-crypto-map)#exit
Routeur2(config)# interface serial 0/0/0
Routeur2(config-if)#crypto map CARTEVPN
Vérification du fonctionnement tunnel VPN

Pour établir la liaison VPN et vérifier le fonctionnement, il faut envoyer du
trafic au travers du tunnel, en faisant un ping entre les stations.

80
Une fois le tunnel configuré, plusieurs commandes permettent de vérifier si le

tunnel fonctionne
Routeur1#show crypto isakmp policy
Routeur1#show crypto isakmp sa
Routeur1#show crypto ipsec sa
IV.6.2. Configuration du VPN sur Windows Server

Nous allons voir ici comment utiliser le rôle de serveur VPN sur un serveur
Windows Server 2012. Tout d’abord, sachez qu’il est nécessaire de disposer de
deux interfaces réseaux pour installer le rôle de serveur VPN. En effet, il faudra
configurer une interface pour communiquer avec le réseau local (même pool
que le réseau local), et l’autre avec une adresse différente (qui sera le pool
d’adressage à travers le VPN).
Dans mon exemple par exemple, considérons que le réseau local est
192.168.1.0/24. On paramétrera l’interface réseau pour le VPN en
192.168.2.0/24 Vous l’aurez compris, on devra rediriger le flux VPN sur le
firewall en direction de l’interface adéquat sur le serveur. Les clients sur le
réseau ne feront donc pas parti du même réseau (pratique à plusieurs niveaux,
même si je ne me lancerais pas sur une explication réseau ici). Gardez
simplement à l’esprit que le serveur à “un pied” (une interface) sur chaque
réseau (local et VPN distant).
CONFIGURATION VPN SOUS WINDOWS SERVER 2012 AVEC NPS
Ce point vous guide pour la configuration d'un VPN sous Windows Server 2012
R2. L’installation suivante sera faite sur un serveur Windows Server 2012 avec
un serveur Active Directory, et un DNS.

81
Nous allons non seulement voire comment mettre en place un accès VPN,
mais en même temps comment le sécuriser.
En effet, tout d’abord nous allons mettre en place le service d’accès à
distance, puis nous allons ensuite mettre en place un certificat de connexion
avec Active Directory Certificates Server, puis utiliser le serveur Network
Policies Server, afin d’effectuer un control sur l’utilisateur qui demande la
connexion. Nous obtiendrons une connexion VPN parfaitement sécurisée.
PREREQUIS
− Un Active Directory (AD DS)
o Avec un groupe d’utilisateur créé.
o Un Utilisateur (ex : admin) rattaché au groupe utilisateur.
− Un Serveur Windows 2012 r2
− Un Ordinateur client
INSTALLATION ET CONFIGURATION VPN DE BASE
AJOUTER DES ROLES ET DES FONCTIONNALITES.
Pour ajouter des rôles, ouvrez Gestionnaire de Serveur puis, en haut à droite,
cliquez sur Gérer, puis sur Ajouter des rôles et fonctionnalités.
INSTALLATION ET CONFIGURATION DU ROLE D’ACCES A DISTANCE

Installation du service Accès à distance.
Une fois ceci-fait, ajoutez le rôle Accès à distance (Remote Access en anglais)
puis sur Suivant.

82
Un fois arrivé sur Service de Rôle, sélectionnez DirectAccess et VPN (accès à

distance) puis suivant et Terminez l’installation de ce rôle.
Configuration du service accès à distance.

Une fois le rôle installé, cliquez sur le Drapeaux à coté de Gérer, et Ouvrir
l’Assistant Mise en route.

83
Vous devriez obtenir une nouvelle fenêtre, choisissez Déployer VPN

seulement.
A la suite de cette manipulation, une deuxième nouvelle fenêtre s’ouvre
Routage et accès distant.
Clic Droit sur NomDeVotreServeur (local) puis sur Configurer et activer le
routage et l’accès à distance.
Un Assistant d’installation s’ouvre, choisissez Configuration personnalisée.

84
Ensuite choisissez Accès VPN.
Puis Terminer l’installation. Alors une fenêtre s’ouvre pour le démarrage du

service. Faite Démarrer le service.
INSTALLATION ET CONFIGURATION DE BASE NPS SOUS WINDOWS SERVER 2012
Installation du service NPS.
Ajouter le rôle Services de stratégie et d’accès réseau.

85
Puis Terminer l’installation de ce rôle en laissant les paramètre par défaut.

Configuration du service NPS.
Ouvrer l’utilitaire Outils d’administration et chercher dans la liste Serveur NPS
(Network Policy Server). Vous allez ouvrir ce service.
Une fois ceci fait, vous pouvez descendre dans l’arborescence à droite et allez
dans Stratégie puis Stratégie réseau.

86
Commencer par Clic Droit sur Stratégie réseau puis Nouveau.
Donner à la politique un nom et choisissez Serveur d’accès à distance (VPN-

Dial up) dans Type de serveur d'accès au réseau.

87
Cliquez sur Suivant puis sur Ajouter. Choisissez Groupe Utilisateurs. Ensuite
ajouter un groupe d’accès utilisateurs préalablement créé. Si cela n’est pas le
cas, créé en un dans l’Active directory.
Vous verrez donc votre groupe ajouté sur l’écran.

88
Cliquez sur Suivant, puis choisissez Accès accordé.
Cliquez sur Suivant, et décocher Authentification chiffrée Microsoft (MS-

CHAP)

89
Laissez les paramètres suivant par default, sauf si vous voulez modifier les
configurations de contrainte de connexion. Puis Terminer l’installation.
Votre politique NPS est créé. Vous obtenez donc ceci.
Votre stratégie créée précédemment remontez cette dernière en première

position (visible dans Ordre de traitement) pour cela Clic Droit puis Monter.
CONFIGURATION D'UNE CONNEXION VPN SUR LE CLIENT WINDOWS 10
− Tout d’abord allumer votre PC distant.
− Aller dans Panneau de Paramètres, puis Réseau et Internet.

90
− Choisissez l’option VPN.
− Cliquer sur Ajouter une connexion VPN

91
− Les deux options : Autoriser les connexions sur des réseaux limités et
Autoriser les connexions VPN en itinérance peuvent en premier temps
rester désactivées.
− Remplir les champs de ce formulaire en déterminant :

o Fournisseur VPN : comme le cas actuel, Windows intégré, le
fournisseur par lequel passé pour se connecter au réseau ;
o Nom de la connexion : le nom de la connexion est celui qu’on
avait attribué pendant la configuration du VPN au niveau serveur ;
o Nom du serveur : le nom du serveur, en d’autres termes le réseau
de l’entreprise ;

92
o Type de réseau privé virtuel : le protocole de tunnelisation à

utiliser ;
o Type d’informations de connexion : les informations à fournir
pour se connecter au réseau ;
o Le nom d’utilisateur et le mot de passe sont facultatifs en raison
du type d’informations.
− Et cliquer sur le bouton Enregistrer.
Si les informations fournies sont correctes, une connexion sera établie entre
le client et le serveur.

Cours de Réseau 2020

Transféré par

Informations du document

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Cours de Réseau 2020

Transféré par

Droits d'auteur :

1

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

I.2. Différents types de réseaux

Cours de Réseaux Informatiques II

consultant dans chaque trame l’adresse MAC de l’expéditeur et du

Cours de Réseaux Informatiques II

I.4. Le modèle ISO

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

Etendue de chaque classe :

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

serveur du niveau supérieur. Afin de palier à d’éventuelle pannes matérielles,

Cours de Réseaux Informatiques II

• le champ options : pour les militaires ;

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

des données sous la forme de texte, d’images fixes ou animées et de

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

• Cette technologie permet de • Le coût est tout de même plus

Cours de Réseaux Informatiques II

− Système fiable : le système équipements

Cours de Réseaux Informatiques II

la technique de commutation, le contrôle et la gestion des blocages par les

Cours de Réseaux Informatiques II

d’implémentation. Ils doivent en outre être pourvus de fonctions de

Cours de Réseaux Informatiques II

Chapitre II. Les réseaux sans fil

Cours de Réseaux Informatiques II

− Premièrement, la portabilité : un ordinateur portable ou un ordinateur

Cours de Réseaux Informatiques II

dit half-duplex, ce qui correspond à un medium sur lequel l’émission et

Cours de Réseaux Informatiques II

1) Réseaux personnels sans fil (WPAN)

Cours de Réseaux Informatiques II

2) Réseaux locaux sans fil (WLAN)

Cours de Réseaux Informatiques II

II.4. Les topologies de réseaux locaux sans fil

Cours de Réseaux Informatiques II

deux stations émettent simultanément, le niveau du signal sur le câble

Cours de Réseaux Informatiques II

• L’IE PHY Parameters : fourni à la station des informations spécifiques à

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

encore utilisé par le standard 802.11. Le troisième champ, intitulé

Cours de Réseaux Informatiques II

− More Fragments. Bit, dont la valeur vaut 1 lorsque d’autres fragments

Cours de Réseaux Informatiques II

d’authentification : Open System Authentification et Shared Key

Cours de Réseaux Informatiques II

En complément à ces deux modes d’authentification spécifiés par le standard

Cours de Réseaux Informatiques II

client RADIUS va transmettre (de manière cryptée) les informations au

Cours de Réseaux Informatiques II

découvrir la séquence clé. Il peut alors déchiffrer les trames de même

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

Cours de Réseaux Informatiques II

On va étudier uniquement le mode point d'accès serveur en prenant comme

1. Mettez en marche le routeur et reliez-le à un ordinateur à l'aide du câble

Cours de Réseaux Informatiques II

Si l'ordinateur est configuré pour recevoir une IP statique, fixez l'IP de

Cours de Réseaux Informatiques II

5. Modifiez l'adresse IP par défaut du routeur pour mettre la plage du

Cours de Réseaux Informatiques II