Académique Documents
Professionnel Documents
Culture Documents
2019-2020
1
Table of Contents
2
II.4.2 Routage interdomaine sans classe (CIDR, Classless Inter Domain
Routing) .............................................................................................................. 45
II.4.3 Algèbre de Boole (Circuit Logique OU & ET) ....................................... 47
II.4.4 Classes d’adresses IP ................................................................................ 48
II.4.4.4 Adresse IP Prive .................................................................................... 52
II.4.5 Sous Réseau et Masque de sous réseau ................................................... 52
II.4.6 VLSM (Variable Length Subnet Mask) ................................................... 55
II.5 Protocole de routage avance ........................................................................... 58
II.5.1 Le routage sur un réseau .......................................................................... 58
II.5.2 Algorithme de routage .............................................................................. 58
II.5.3 Principes du Routage IP ........................................................................... 58
II.6 Protocole de Routage IP ................................................................................. 59
II.6.1 Définition du routage statique et dynamique ........................................... 61
II.6.2 Protocole OSPF (Open Shortest Path First) ............................................ 62
II.6.3 Protocole ISIS (Intermediate System to Intermediate System) ............... 71
II.7.4 Protocole BGP ......................................................................................... 75
II.8 Architecture Avancée...................................................................................... 86
II.9 Technologie Internet : Point d’échange ......................................................... 92
II.9.1 Fonctionnement des IXP ......................................................................... 93
II.9.2 Avantages des IXP .................................................................................... 94
II.9.3 Les Point d’échanges en Afrique .............................................................. 95
CHAPITRE III. VIRTUALISATION ET CLOUD COMPUTING
............................................................................................... 98
III.1 VIRTUALISATION .................................................................................... 98
III.1.1 Hyperviseurs ........................................................................................... 99
III.1.1.1 Hyperviseur de type 1 .......................................................................... 99
III.1.1.2 Hyperviseur de type 2 ........................................................................ 100
III.1.2 Différents types de la Virtualisation ...................................................... 100
III.1.3 Principales solutions.............................................................................. 103
III.1.4 Domaines d’application ........................................................................ 105
III.1.5 Virtualisation de Stockage ..................................................................... 107
III.2 CLOUD COMPUTING (informatique dans le nuage) ............................ 107
III.2.1 Définition du Cloud Computing........................................................... 107
III.2.2 Différents types du Cloud ..................................................................... 108
III.2.3 Architectures Cloud .............................................................................. 110
III.2.4 Avantages et Bénéfices .......................................................................... 113
III.2.5 Différents acteurs du Cloud .................................................................. 114
CHAPITRE IV. GESTION DU RESEAU ................................ 117
IV.1 Objectifs généraux ....................................................................................... 117
3
IV.2 Objectifs spécifiques .................................................................................... 117
IV.3 Qu’est-ce que la gestion de réseau ? ........................................................... 118
IV.3.1 La gestion de la configuration ............................................................... 118
IV.3.2 La gestion des fautes.............................................................................. 119
IV.3.3 La gestion de la performance ................................................................ 120
IV.3.4 La gestion de la comptabilité................................................................. 122
IV.3.5 La gestion de la sécurité ........................................................................ 124
IV.4 Les environnements de gestion ................................................................... 125
IV.4.1 Les environnements de gestion standards ............................................ 126
IV.4.2 Conception d’un environnement de gestion ......................................... 128
IV.5 Qu’est-ce que le NOC ................................................................................. 129
IV.5.1 Coordination du travail des Ingénieurs à travers le NOC .................... 129
IV.5.2 Outil d’observation réseau ! .................................................................. 131
IV.6 LES MONITEURS DE SUPERVISIONS ............................................... 131
IV.6.1 LES MONITEURS DE SUPERVISIONS PAYANT ....................... 132
IV.6.2 LES MONITEURS DE SUPERVISION LIBRE .............................. 133
IV.7 TABLEAU COMPARATIF DE QUELQUES OUTILS DE
SUPERVISIONS ................................................................................................ 134
IV.8. CONCLUSION ......................................................................................... 137
IV.9 RESULTAT ET DISCUSSION ................................................................ 137
IV.10 Etude comparative entre NAGIOS, GRAFANA, PROMETHEUS. ..... 137
IV.10.1 OUTIL DE SUPERVISION NAGIOS ............................................ 138
IV.10.2 OUTIL DE MONITORING GRAFANA ...................................... 145
IV.10.3 Outil de supervision Prometheus ....................................................... 151
IV.10.4 Gestion de performance ..................................................................... 156
IV.10.5 Les outils d’administration réseau....................................................... 159
Système de ticket – RT (www.fsck.com/rt/) ..................................................... 162
CHAPITRE V. SECURITE RESEAU ET LOGICIEL ............... 180
V.1. Le système de management de la sécurité de l’information........................ 180
V.2 Sécurisation du système d’information ......................................................... 181
V.2.1 La sécurité physique ............................................................................... 181
V.2.2 Le système d’Identification et d’authentification .................................... 182
V.3 SECURITE RESEAU .................................................................................. 185
V.3.1 Architecture sécurisé du Réseaux ........................................................... 189
V.3.2 Serveur (s) LAN sécurisé (s) ................................................................... 191
V.3.3 Mécanismes symétriques ........................................................................ 192
V.3.4 Mécanismes Asymétriques ..................................................................... 193
V.3.5 Les tunnels et le VPN ............................................................................. 193
V.4 Solutions sécurisées classiques ...................................................................... 194
4
V.4.1 IPSEC ........................................................................................................ 194
V.4.2 TLS/SSL ................................................................................................. 195
V.4.3 Le VPN d’accès ...................................................................................... 196
V.4.4 L’Intranet VPN ....................................................................................... 196
V.4.5 L’Extranet VPN ...................................................................................... 197
V.5 LOGICIEL ................................................................................................... 198
V.5.1 Fonctionnement d’un logiciel ................................................................. 198
V.5.2 Fragilité logicielle .................................................................................... 199
CHAPITRE VI. EVOLUTION DES GENERATIONS DE RESEAU
GSM ..................................................................................... 200
VI.1 (1G) la première génération de réseau radio mobile cellulaire .................. 202
VI.2 (2G) la deuxième génération : GSM ........................................................... 202
VI.3 (3G) la troisième génération : UMTS ......................................................... 202
VI.4 (4G) la quatrième génération : LTE ............................................................ 203
VI.5 (5G) la cinquième génération ...................................................................... 207
CHAPITRE VII. PLAN NATIONAL NUMERIQUE CONGOLAIS
............................................................................................. 208
Bibliographie ......................................................................... 209
5
Objectif et plan du cours
6
se doter d’un Plan National du Numérique qui est un cadre de référence du
Numérique sur le plan national.
Résultat d'apprentissage
Activités d’apprentissage
7
Analyse d’activités
Les activités d’apprentissage ci-haut sont alignées avec les objectifs du cours qui
nous permettra d’atteindre les résultats d’apprentissage. Les activités 1 et 2
permettront aux enseignants de comprendre le niveau intellectuel des étudiants et
d’ajuster les contenus du cours pour une meilleur satisfaction et compréhension.
Les activités d’évaluation participative de 3 à 7 permettront aux enseignants
d’évaluer le niveau de compréhension des étudiants.
I.1 NORMALISATION
8
D’une manière générale, la normalisation ne s’impose pas, sauf celle émanant de
l’ETSI (European Telecommunications Standard Institute) qui normalise les
réseaux publics et leurs moyens d’accès.
9
▪ CEI, Commission Électrotechnique Internationale, affiliée à l’ISO en est la
branche électricité ;
▪ UIT-T, Union Internationale des Télécommunications secteur des
télécommunications, qui a succédé en 1996 au CCITT (Comité Consultatif
International Télégraphie et Téléphonie), publie des recommandations.
Celles-ci sont éditées tous les 4 ans sous forme de recueils. Les domaines
d’application sont identifiés par une lettre : – V, concerne les modems et
les interfaces, – T, s’applique aux applications télématiques, – X, désigne
les réseaux de transmission de données, – I, se rapporte au RNIS, – Q,
intéresse la téléphonie et la signalisation.
▪ L’IEEE, Institute of Electrical and Electronics Enginers, société savante
constituée d’industriels et d’universitaires, est essentiellement connue par
ses spécifications sur les bus d’instrumentation (IEEE 488) et par ses
publications concernant les réseaux locaux (IEEE 802), reprises par l’ISO
(IS 8802). Le panorama serait incomplet si on omettait de citer l’IAB,
Internet Architecture Board (https://www.iab.org/about/iab-overview/), qui
a la charge de définir la politique à long terme d’Internet, tandis que l’IETF
(Internet Engineering Task Force) assure par ses publications (RFC
Request For Comments) l’homogénéité de la communauté TCP/IP et
Internet.
10
elle constitue une base de travail pour les constructeurs (Draft International
Standard). La norme appelée International Standard (IS) est ensuite publiée.
Généralement, ce n’est pas parce qu’un équipement répond à une norme que
celui-ci est autorisé, de fait, à se raccorder à un réseau public. En effet, l’opérateur
public se doit de garantir aux usagers de son réseau une certaine qualité de
service. Il lui appartient de vérifier qu’un nouvel équipement ne perturbe ni le
fonctionnement du réseau sur lequel il est raccordé, ni d’autres services
télématiques. Cette mesure, souvent perçue comme une mesure protectionniste,
est en vigueur dans tous les pays. En France, c’est la Direction Générale des
Postes et Télécommunications (ex-Direction de la Réglementation Générale ou
DRG) qui est l’organe d’homologation des matériels de télécommunication.
Cet organisme, qui existe depuis 1999, a pris le relais de l’IANA (Internet
Assigned Numbers Authority) lors du renouvellement du contrat avec le
gouvernement fédéral américain. Son responsable actuel est Vinton Gray Cerf
auparavant directeur de l’ISOC. Son mandat se termine en 2007.
11
L’ICANN est chargé de gérer, coordonner et centraliser les informations
concernant l’adressage public des matériels informatiques connectés sur le réseau
mondial. Il regroupe l’ensemble des acteurs du monde des télécommunications.
Il est chargé de gérer le site internet de l’interNIC qui propose la possibilité à
n’importe qui, d’obtenir des informations sur les noms de domaines
(fonctionnalité whois).
Les trois missions principales de l’ICANN sont gérées chacune par une branche
appelée SO (Supporting Organizations) :
12
• La gestion des protocoles réseaux : PSO (Protocol SO)
Le DNSO gère un DNS (Domaine Name Server) global, gère les « codes » à
savoir la dernière partie des noms de domaines. Les codes génériques, tels .com,
.org, .edu, .biz sont appelés gTLD (generic Top Level Domain), tandis que les
codes nationaux tels .fr, .uk, .ch sont appelés ccTLD (country code Top Level
Domains).
Le PSO gère tout ce qui touche aux protocoles réseaux utilisés sur Internet à
savoir les techniques qui permettent les échanges et communications entre
matériels. Il a été créé en 1999 par l’IETF (Internet Engineering Task Force), le
W3C (World Wide Web Consortium), l’ITU (International
Telecommunications Union) et l’ETSI (European Telecommunications
Standards Institute).
En Juillet 1999, les RIRs se sont organisés autour d’un organisme l’ASO (Address
Supporting Organization) uniquement affecté aux problèmes d’adressage IP.
13
Les adresses IP ont été déployées pour la première fois en Juillet 1983 dans la
version 4. Mais comment l’utilisateur final obtient-il une adresse IP ? Il est évident
qu’il ne peut contacter l’organisme qui gère sa région de manière directe.
Lorsque vous vous abonnez à un fournisseur d’accès, celui-ci qui vous fournit une
adresse IP. Le problème est donc remonté d’un niveau. Comment ce fournisseur
d’accès obtient-il ces adresses ? L’organisation est un peu complexe.
L’organisation tourne autour de RIR (Regional Internet Registry), de NIR
(National Internet Registry), de LIR (Local Internet Registry) et d’ISP (Internet
Service Providers). La figure suivante permet de visualiser cette organisation.
Seul l’APNIC possède des NIR, qui sont des organisations nationales de gestion
de l’adressage. Le japon, La Chine, La Korée, Taîwan ainsi que l’Indonésie sont
les cinq NIRs de l’APNIC. Par exemple, le NIR pour la chine se nomme CNNIC
(China Network National Internet Registry aussi appelé China Internet Network
Information Center). Selon, l’importance des fournisseurs d’accès (ISP), certains
peuvent être considérés comme des LIR tel France Telecom en France.
14
I.1.5.2 Normes
L’ISO est constitué d’instituts nationaux représentant 156 pays mais aussi de
représentants du secteur privé (industriels, représentants des consommateurs), lui
donnant ainsi une légitimité encore plus forte. Il est d’ailleurs à noter que le terme
ISO dérive du mot grec isos qui signifie « égal ».
Malgré tout, l’ISO ne possède pas la possibilité d’imposer ses normes. En effet,
l’ISO les développe, chaque membre y prenant part ou non selon ses propres
intérêts. Ensuite, une fois que le comité technique en charge de cette norme, l’a
validée, chaque pays décide ou non de les appliquer. De plus, les normes sont
revues environ tous les cinq ans à fin de les maintenir, de les mettre à jour ou de
les annuler selon leur pertinence à cette date.
L’AIEE a été fondé le 13 Mai 1884 suite à la croissance des technologies autour
de l’électricité comme le télégraphe, l’électricité dans les villes comme New York
puis le téléphone. 25 des meilleurs ingénieurs américains décident alors de se
regrouper au sein de l’AIEE. On retrouve notamment Thomas Edison, Elihu
Thomson ainsi qu’Edwin Houston.
La fusion des deux organismes a lieu en 1963 pour donner l’IEEE. En effet, après
la seconde guerre mondiale, les 2 organismes travaillant sur des domaines
communs, il était difficile de distinguer leur travail.
L’IEEE a pour but de développer des standards dans les domaines suivants :
• Electricité,
• Electronique,
• Informatique,
• Télécommunication.
La gamme est très large. Pour cela, l’IEEE s’appuie sur plus de 365000 membres
répartis dans plus de 150 pays. Il est constitué de 39 groupes, 3 comités
techniques, plus de 300 sous-groupes, environ 1300 branches universitaires dans
16
les domaines aussi variés que la robotique, l’informatique, les lasers,
l’électronique. Il est à noter que 40% des membres se situent en dehors des
Etats-Unis. L’IEEE est piloté par un comité de direction ainsi qu’un comité
exécutif. Les membres représentent les 10 régions qui composent le monde. Les
régions 1 à 6 concernent les Etats-Unis, la région 7 le Canada, la région 8
l’Europe, l’Europe de l’Est ainsi que l’Afrique, la région 9 l’Amérique latine et
enfin la région 10 l’Asie et le Pacifique. L’IEEE-SA (IEEE Standards Association)
est chargée au sein de l’IEEE de proposer et de promouvoir les normes.
17
son fonctionnement. L’IETF a été créé en 1986 par l’IAB (Internet Architecture
Board) qui est responsable de l’architecture d’Internet.
"Le rôle de l’ISOC est d'assurer l'essor, l'évolution et l'utilisation de l'Internet pour
le bienfait de toutes et tous à travers le monde.".
18
CHAPITRE II. ARCHITECTURE DE RESEAU AVANCE
Aussi, pour éviter une description trop complexe, le système a été découpé en
entités fonctionnelles appelées couches. Une couche est donc un ensemble
homogène destiné à accomplir une tâche ou à rendre un service. L’approche en
couche garantit une évolutivité facile du système. La prise en compte d’une
nouvelle technologie ne remet en cause que la couche concernée. Le modèle de
référence est une architecture en couches.
19
des données à destination de l’application serveur ainsi que les instructions
décrivant le service attendu et celles nécessaires à l’acheminement des données
vers l’application serveur. La couche 3 interprète les instructions reçues et
confectionne une structure de données à destination de la couche 3 distante, dite
couche homologue. Cette structure de données est constituée d’une part des
informations nécessaires à la couche 3 distante pour traiter ses données appelées
en-tête de niveau 3 (H3 pour Header de niveau 3) et des données elles-mêmes ;
l’ensemble forme une unité de données de niveau N. Les règles d’échange entre
données de même niveau constituent un protocole de niveau N.
Puis, la couche 3 remet cette unité de données et des instructions (I3) à la couche
inférieure qui procède de même... Enfin les données sont émises vers le réseau.
En réception la couche la plus basse extrait l’en-tête protocolaire (H1),
l’interprète, et remet les données à la couche supérieure qui procède de même
jusqu’à remise des données à l’application distante.
20
à-vis des autres. Tout équipement (ou ensemble d’équipements) à interconnecter
est un système ouvert (un ordinateur, un terminal, un réseau…), s’il respecte des
normes d’interconnexion. Le modèle OSI est une architecture abstraite de
communication. Il est composé de sept couches, chacune remplissant une partie
bien définie des fonctions permettant l’interconnexion.
Il décrit sept couches portant les noms de couche physique, couche liaison,
couche réseau, couche transport, couche session, couche présentation et couche
application. Les divers protocoles qui définissent le réseau et les communications
sont donc répartis dans chaque couche, selon leur utilité. Il est d'usage de diviser
ces sept couches en deux : les couches basses, qui se limitent à gérer des
fonctionnalités de base, et les couches hautes, qui contiennent les protocoles plus
élaborés.
Les couches basses, aussi appelées couches matérielles, s'occupent de tout ce qui
a trait au bas-niveau, au matériel. Elles permettent d’envoyer un paquet de
données sur un réseau et garantir que celui-ci arrive à destination. Elle est
généralement prise en charge par le matériel et le système d'exploitation, mais pas
du tout par les logiciels réseaux. Les couches basses sont donc des couches assez
21
bas-niveau, peu abstraites. Les couches basses sont au nombre de trois. Pour
résumer, ces trois couches s'occupent respectivement de liaison point à point
(entre deux ordinateurs/équipements réseaux), des réseaux locaux, et des réseaux
Internet.
Unité de
Couches
données
Données Application
Couches hautes
Données Présentation
Données Session
Paquet Transport
Message Réseau
matérielles
Couches
Couche 1 : physique
22
Est chargée de générer les signaux électriques. Cette couche traite les bits, le
codage du signal et la mise à niveau du voltage, Couche basse (électronique ou
optique).
Les données seront converties en binaire 0 & 1. Les données seront sous forme
du signal électrique si le câble Coaxial ou câble Pair torsadé et en forme de
lumière si la fibre optique est utilisée. Equipement : Hubs, Répéteurs.
23
48 bit (12 digit nombre hexadécimal). Elle est aussi responsable de la
détection des erreurs. Equipement : Switch, Bridge, NIC.
Exemple : Switch
24
Couche 3 : Réseau
25
routage, de partager des informations de routage avec les autres routeurs
auxquelles il est connecté et de déterminer le meilleur chemin d’envoyer
les données au sein d’un inter réseau (exemple : RIP, IGRP, OSPF,
EIGRP).
Couche 4 : Transport
Est chargée de préparer l’information pour son transport. Pour cela, la
vérification de la taille maximum permise du paquet s’effectue sur cette couche.
Le cas échéant, le paquet est segmenté pour correspondre à la capacité de
transport. Cette couche vérifie les connections vers le destinataire, en conformité
avec les exigences de l’application venant de la couche supérieure.
Elle est responsable de la connectivité de bout en bout (end-to-end), et aussi
considéré comme le cœur du modèle OSI.
Les activités suivantes sont conduites par la couche transport :
• Identification de Service
• Multiplexage & Démultiplexage
• Segmentation
• Séquencement & Réassemblage
• Correction des erreurs
26
• Contrôle de flux des informations
(i) Identification de Service
(ii) Multiplexage & Démultiplexage
− Le multiplexage consiste à envoyer sur une même ligne de
transmission des informations provenant de plusieurs sources
différentes.
27
Une segmentation peut être requise lorsque :
- Le paquet de données est plus grand que l'unité de transmission
maximale prise en charge par le réseau.
- Le réseau n'est pas fiable et il est souhaitable de diviser les informations
en segments plus petits pour maximiser la probabilité que chacun d'eux
puisse être livré correctement à la destination.
(IV) Séquencement & Réassemblage :
(V) Correction des erreurs : Le contrôle des erreurs dans
TCP se fait principalement à l'aide de trois techniques simples :
1. Somme de contrôle (Checksum) - Chaque segment contient un champ de
somme de contrôle qui est utilisé pour trouver le segment corrompu. Si le
segment est corrompu, alors ce segment est rejeté par le TCP de
destination et est considéré comme perdu.
2. Accusé de réception (Acknowledgement)- TCP a un autre mécanisme
appelé accusé de réception pour affirmer que les segments de données
ont été livrés. Les segments de contrôle qui ne contiennent pas de
données mais ont un numéro de séquence sera également acquitté mais
les segments ACK ne seront pas acquittés.
3. Retransmission - Lorsqu'un segment est manquant, retardé pour être
remis au récepteur, corrompu lorsqu'il est vérifié par le récepteur, puis ce
segment est retransmis à nouveau. Les segments ne sont retransmis que
pendant deux événements : lorsque l'expéditeur reçoit trois accusés de
réception en double (ACK) ou lorsqu'un délai de retransmission expire.
a. Retransmission après RTO : TCP conserve toujours un temporisateur de
délai de retransmission (RTO) pour tous les segments envoyés mais non
acquittés. Lorsque la temporisation est épuisée, le premier segment est
retransmis. Ici, aucun temporisateur n'est réglé pour l'acquittement. Dans
TCP, la valeur RTO est de nature dynamique et elle est mise à jour en
utilisant le temps d'aller-retour (RTT) des segments. RTT est la durée
28
nécessaire à un segment pour atteindre le récepteur et un accusé de
réception à l'expéditeur.
b. Retransmission après trois segments ACK en double : la méthode RTO
fonctionne bien lorsque la valeur de RTO est petite. S'il est important, plus
de temps sont nécessaire pour obtenir la confirmation de la livraison ou
non d'un segment. Parfois, un segment est perdu et le récepteur reçoit
tellement de segments en panne qu'ils ne peuvent pas être enregistrés. Afin
de résoudre cette situation, trois méthodes d'accusé de réception en double
sont utilisées et le segment manquant est retransmis immédiatement au lieu
de retransmettre le segment déjà livré. Il s'agit d'une retransmission rapide
car elle permet de retransmettre rapidement les segments perdus au lieu
d'attendre la fin du temporisateur.
(i) Contrôle de flux des informations : Les mécanismes de contrôle de flux
utilisés dans la couche transport varient pour les différentes classes de
service. Puisque les différentes classes de service sont déterminées par la
qualité de service du réseau de données sous-jacent qui transporte les
unités de données de protocole de transport (TPDU), ce sont elles qui
influencent le type de contrôle de flux utilisé.
29
possibles qui se forment et quelles politiques de contrôle sont à l'œuvre ici.
L'entité de transport est chargée de générer une ou plusieurs unités de données
de protocole de transport (TPDU) pour passer sur la couche réseau. La couche
réseau délivre les TPDU à l'entité de transport réceptrice qui retire ensuite les
données et les transmet à l'utilisateur de destination. Il y a deux raisons pour
lesquelles l'entité de transport réceptrice voudrait contrôler le flux des TPDU :
- L’utilisateur récepteur ne peut pas suivre le flux de données.
- L’entité de transport destinataire elle-même ne peut pas suivre le flux de
TPDU. Elle est subdivisée en deux sous couches qui sont TCP et UDP.
30
Figure II.10 : TCP vis-à-vis à UDP
Identification de service
31
TCP UDP
TCP fournit des mécanismes UDP n'a que le mécanisme de base
étendus de vérification des erreurs. de vérification des erreurs utilisant
C'est parce qu'il fournit un contrôle des sommes de contrôle.
de flux et une reconnaissance des
données.
Le séquençage des données est une Il n'y a pas de séquence de données
fonctionnalité du Transmission dans UDP. Si la commande est
Control Protocol (TCP). Cela requise, elle doit être gérée par la
signifie que les paquets arrivent dans couche application.
l'ordre dans le récepteur
TCP est relativement plus lent que UDP est plus rapide, plus simple et
UDP plus efficace que TCP.
32
Couche 5 : Session
Est responsable de la gestion et de la sécurisation du dialogue (Nom, mot de
passe, etc.). Elle est responsable d’établir, maintenir et terminer une session
(RPC ‘Remote Procedure’, Call, SQL ‘Structured Query Language’,
NFS ‘Network File System’).
Couche 6 : Présentation
Est chargée de convertir l’information pour lui faire adopter une forme lisible par
l’être humain. Elle est responsable de la conversion des données dans un format
standard (ASCII, EBCDIC, JPEG, MPEG, BMP, MIDI, WAV, MP3). Les
taches suivantes sont effectuées par la couche présentation :
− Encodage – Décodage
− Encrypte – Décrypté
− Compression – Décompression
Couche 7 : Application
La couche application constitue l’interface entre l’utilisateur et les applications.
Elle est aussi connue comme la couche Desktop. Identification des services est
fait en utilisant les numéros des ports. Les Ports sont le point d’entrée et de sorti
des couches.
33
Exemples des services réseaux avec leur port :
HTTP 80
FTP 21
SMTP 25
TELNET 23
TFTP 69
SSH 22
34
Transmission de Données.
35
unit , (unités de données d'un protocole, en français). Ils portent des noms
différents selon la couche, vu qu'ils contiennent des en-têtes différents.
• Communiquer
36
o à l’échelle du globe
o de manière libérale (ouverte)
• quel que soit
o le contenu
o le support
o les hôtes
• de manière robuste
Application Application
Présentation
Session
Transport Transport
Réseau Internet
Liaison de données
Physique Accès-Réseau
Couche Application
37
• Les applications utiliseront TCP pour un transport fiable et UDP sans ce
service.
• Les routeurs NAT et les pares-feux opèrent un filtrage au niveau de la
couche transport.
Couche Internet : IP
Plus on monte dans les couches, plus on quitte les aspects matériels, plus on se
rapproche de problématiques logicielles.
38
Enfin, ces informations seront encapsulées au niveau de la couche Accès qui
s’occupera de livrer physiquement le message.
39
des pages web
transport TCP Offre un service Ordinateurs
fiable à http, un
port d’entré/sorti
et une session en
mode connecté
Internet IP Identifie les hôtes Ordinateurs,
de manière Routeur
unique et permet
l’acheminement
des paquets entre
deux hôtes
d’extrémité
Accès réseau WIFI S’occupe de la Ordinateur,
livraison locale commutateur,
point d’accès,
câblage,
cuivre/FO, paires
torsadées, paire
téléphoniques
40
Figure II.15 : Transmission de Données.
On sera attentif aux numéros de ports TCP et UDP associés aux protocoles de
couche Application.
41
Figure II.17 : Architecture OSI
42
Couche Identifiant Exemple
Couche Accès Adresse physique (MAC 802) 70 :56 :81 :bf :7c :37
II.4 Adressage IP
II.4.1 Introduction
IP version 4
01010101000001011011111100000001
Une adresse de 128 bits est divisée en limites de 16 bits et chaque bloc de 16 bits
est converti en un nombre hexadécimal à 4 chiffres et séparé par des deux points
(notation deux-hex)
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
Les adresses IPs peuvent être catégorise en deux groupes les IPs privées et
publiques. Après le développent et l’utilisation fulgurante de la technologie
Internet, le 4 milliards d’adresses IPs publiques deviennent insuffisant par rapport
au besoin. Et pour ce faire les mesures suivantes ont été prises :
Pour accéder à Internet, une seule adresse IP publique est nécessaire, mais nous
pouvons utiliser plusieurs adresses IP privée dans notre réseau privé. L'idée du
NAT est de permettre à plusieurs appareils d'accéder à Internet via une seule
adresse publique. Pour ce faire, la traduction d'une adresse IP privée en une
adresse IP publique est requise. La traduction d'adresses réseau (NAT) est un
processus dans lequel une ou plusieurs adresses IP locales sont traduite en une ou
plusieurs adresses IP globales et vice versa afin de fournir un accès Internet aux
hôtes locaux. En outre, il effectue la traduction des numéros de port, c'est-à-dire
masque le numéro de port de l'hôte avec un autre numéro de port, dans le paquet
qui sera acheminé vers la destination. Il effectue ensuite les entrées
correspondantes de l'adresse IP et du numéro de port dans la table NAT. NAT
fonctionne généralement sur un routeur ou un pare-feu.
44
frontière est configuré pour NAT, c'est-à-dire le routeur qui a une interface dans
le réseau local (intérieur) et une interface dans le réseau global (extérieur).
Lorsqu'un paquet traverse le réseau local (intérieur), NAT convertit cette adresse
IP locale (privée) en une adresse IP globale (publique). Lorsqu'un paquet entre
dans le réseau local, l'adresse IP globale (publique) est convertie en une adresse
IP locale (privée).
CIDR est connu sous le nom d'adressage sans classe. Dans l'adressage Classful, le
nombre d'hôtes au sein d'un réseau reste toujours le même en fonction de la
classe du réseau.
45
Soit une organisation nécessite 214 hôtes, alors elle doit avoir à acheter un réseau
de classe B. Dans ce cas, 49152 hôtes seront gaspillés. C'est l'inconvénient majeur
de l'adressage avec classe. Afin de réduire le gaspillage des adresses IP, le concept
de routage inter-domaine sans classe est introduit. IANA utilise cette technique
pour fournir les adresses IP.
Exemple :
Soit l’adresse 20.10.50.100/20
Règles de formation des blocs CIDR :
ü Toutes les adresses IP doivent être contiguës.
ü La taille du bloc doit être la puissance de 2 (2n). Si la taille du bloc est la
puissance de 2, il sera alors facile de diviser le réseau. Il est très facile de
trouver l'ID de bloc si la taille du bloc est de la puissance de 2.
Exemple :
Vérifiez si 100.1.2.32 à 100.1.2.47 est un bloc d'adresse IP valide ou non ?
ü Toutes les adresses IP sont contiguës.
ü Nombre total d'adresses IP dans le bloc = 16 = 24.
ü 1ère adresse IP : 100.1.2.00100000.
Depuis, Host Id contiendra les 4 derniers bits et tous les 4 bits les moins
significatifs sont nuls. Par conséquent, la première adresse IP est divisible
également par la taille du bloc.
46
II.4.3 Algèbre de Boole (Circuit Logique OU & ET)
II.4.3.1 Le circuit OU
C’est un dispositif électrique très simple mais très utile.
II.4.3.2 Le circuit ET
IP Address : 192.168.1.1
Masque de sous-réseau : 255.255.255.0
Calcul du masque du sous-réseau :
192.168.1.1 = 11000000.10101000.00000001.00000001
255.255.255.0= 11111111.11111111.11111111.00000000
=======================================
192.168.1.0 = 11000000.10101000.00000001.00000000
=======================================
La sortie d'une table ET est 1 si ses deux entrées sont 1. Pour toutes les autres
entrées possibles, la sortie est 0.
47
II.4.4 Classes d’adresses IP
49
= 16777216 - 2
= 16777214 Hôtes/Réseaux
CLASSE B – Nombre de Réseaux & Hôtes
• Classe B Octet Format est N.N.H.H
Bits réseaux : 16 Hôtes bits : 16
Nombre de Réseaux
= 216-2 (-2 est la priorité de la classe B)
= 214
= 16384 Réseaux
Nombre de Hôtes
= 216 – 2 (-2 est réseaux ID & la diffusion ID)
= 65536 - 2
= 65534 Hôtes/Réseaux
CLASSE C – Nombre de Réseaux & Hôtes
• Class C Octet Format est N.N.N.H
Bits Réseaux : 24 Hôtes bits : 8
Nombre de Réseaux
= 224-3 (-3 est le bit de priorité de la classe)
= 221
= 2097152 Réseaux
Nombre de hôtes
= 28 – 2 (-2 est le réseau ID & diffusion ID)
= 256 - 2
= 254 Hôtes/Réseaux
50
l'adresse réseau et l'adresse de diffusion. Seules les adresses IP valides sont
attribuées aux hôtes / clients.
Exemple - Classe A
Class A : N.H.H.H
Adresse Réseau :
0xxxxxxx.00000000.00000000.00000000
Adresse de diffusion :
0xxxxxxx.11111111.11111111.11111111
CLASSE A
10.10.0.0 Adresse réseau
10.0.0.1
10.0.0.2 Adresse IP valide
10.0.0.3
10.255.255.254
10.255.255.255 Adresse broadcast
Exemple - Class B
Classe B : N.N.H.H
Adresse Réseau :
10xxxxxx.xxxxxxxx.00000000.00000000
Adresse de diffusion :
10xxxxxx.xxxxxxxx.11111111.11111111
CLASSE B
172.16.1.0 Adresse réseau
172.16.1.1
172.16.1.2 Adresse IP valide
172.16.1.3
172.16.1.254
172.16.1.255 Adresse broadcast
51
Exemple de la Classe C
Classe C : N.N.N.H
Adresse Réseau
110xxxxx.xxxxxxxx.xxxxxxxx.00000000
Adresse de diffusion :
110xxxxx.xxxxxxxx.xxxxxxxx.11111111
CLASSE C
192.168.1.0 Adresse réseau
192.168.1.1
192.168.1.2
192.168.1.3 Adresse IP valide
valide
192.168.1.254
192.168.1.255 Adresse broadcast
CLASSE A
10.0.0.0 à 10.255.255.255
CLASSE B
172.16.0.0 à 172.31.255.255
CLASSE C
192.168.0.0 à 192.168.255.255
52
ü Le masque de sous-réseau a été attribué à l’identification de l’ID réseau par
l’hôte.
ü Représenté avec tous les 1 dans la partie réseau et avec tous les 0 dans la
partie hôte.
Classe A : N.H.H.H
11111111.00000000.00000000.00000000
Le masque de sous-réseau par défaut pour la classe A est 255.0.0.0
Classe B : N.N.H.H
11111111.11111111.00000000.00000000
Le masque de sous-réseau par défaut pour la classe B est 255.255.0.0
Classe C : N.N.N.H
11111111.11111111.11111111.00000000
Le masque de sous-réseau par défaut pour la classe C est 255.255.255.0
Scenario
Soit l’entreprise NSAT SARL avec 100 machines et qui a 5 départements avec 20
ordinateurs chacun. La plage d’adressage est de 192.168.1.0/24. Supposons que
les IPs pour chaque département sont les suivants :
- Marketing à 192.168.1.1 à 192.168.1.20
- CISCO à 192.168.1.21 à 192.168.1.40
- FIREWALL à192.168.1.41 à192.168.1.60
- Finance à 192.168.1.61 à 192.168.1.80
- TRAINING à 192.168.1.81 à 192.168.1.100
Inconvénient de ce plan d’adressage est que tout ce réseau a un seul domaine de
diffusion. La solution est d’alloue un réseau diffèrent à chaque département.
- Marketing à 192.168.1.1 à 192.168.1.20
- CISCO à 192.168.2.1 à 192.168.2.20
- FIREWALL à192.168.3.1 à 192.168.3.20
- Finance à 192.168.4.1 à 192.168.4.20
53
- TRAINING à 192.168.5.1 à 192.168.5.20
L’inconvénient avec le scenario ci-haut est :
- Perte de la bande passante car la diffusion est effectuée pour le 254
ordinateur plutôt que pour 200 machines ;
- Gaspillage des adresses ;
- Pas de sécurité.
Tableau de valeur de masque de sous-réseau
Classe C : N.N.N.H
110XXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXX
54
- Nombre de sous-réseau
= 2n – 2 >= Nbre de sous-réseau
= 23 - 2 >= 5 (-2 est le premier et la dernière plage de sous-réseau)
= 8-2
= 6 sous-réseaux
- Nombre des Hôtes
= 2h – 2 >= Nbre de Hôtes
=25 – 2 = 32
= 32 -2 = 30 Hôtes pour chaque sous-réseau
255.255.255.224
55
réseaux car ils peuvent être de taille variable. Il est également défini comme le
processus de sous-réseau d'un sous-réseau.
Example :
IPV6
− IPv6 a été conçus en tant que successeur de l'IPv4
− Espace d'adressage étendu
− Longueur d’adresse quadruplé pour atteindre 16 octets (128 bits)
− Simplification du format header
56
− Longueur fixe, les headers facultatifs sont chainés
− Pas de Checksum au niveau de la couche réseau
− Pas de fragmentation par le routeur
− Découverte du Path MTU
− Champs alignés sur 64 bits dans le header
− Fonctions d'authentification et de confidentialité
− IPsec est créé
− Pas de broadcast
57
II.5 Protocole de routage avance
Processus par lequel un élément (courrier, appels téléphoniques, trains, paquets
IP, …) va être acheminé d’un endroit à un autre.
Un élément faisant du routage doit connaître :
ü La destination,
ü De quelle source il peut apprendre les chemins d’accès à la destination
voulue,
ü Les itinéraires possibles pour atteindre la destination,
ü Le(s) meilleur(s) itinéraire(s) pour atteindre la destination,
ü Un moyen d’actualiser les itinéraires.
C’est un :
ü Un équipement sur un réseau local
ü Qui peut atteindre directement les machines sur le même segment sans
routage (ARP),
ü Et ne peut pas atteindre les équipements sur un autre réseau (ou sous -
réseau) sans un intermédiaire.
58
Chaque équipement du réseau sait atteindre un équipement d’un autre réseau, s’il
existe au moins un équipement de routage pour acheminer les paquets à
l’extérieur du réseau local. Les informations de routage sont mémorisées dans la
table de routage des équipements (routeurs).
ü Cette table doit être périodiquement mise à jour
- Manuellement : routage STATIQUE
- Automatiquement : routage DYNAMIQUE
Le routage s’effectue sur deux opérations :
ü La sélection de la meilleure voie,
ü La commutation du paquet sur l’interface appropriée
Les protocoles de routage établissent des règles d’échange entre routeurs pour
mettre à jour leurs tables selon des critères de coût comme, par exemple, la
distance, l’état de la liaison, le débit. Ils améliorent ainsi l’efficacité du routage. La
diversité des réseaux et de leurs services fait du routage un élément clé de leur
bon fonctionnement.
59
ü Le protocole de routage interne (IGP) : définit les routes sur base
de vecteur distant.
60
Figure II.22 : Exemple de la configuration du Protocol de routeur par défaut.
ü Routage statique
61
ü Routage dynamique
(i) Open :
− Signifie un standard ouvert
− Développé par IETF (OSPF Working Group for IP – RFC1247)
− Standard actuel est OSPFv2 (RFC2328)
(ii) Shortest Path First : Algorithme d’Edsger Dijkstra’s pour fournir l’arbre
62
des plus courts chemins à travers un graphe (Dijkstra, E. W. (1959). “A
note on two problems in connexion with graphs”. Numerische Mathematik
1: 269–271).
(iii) Classé comme un Protocole de Routage à Etat de Liens. L’autre
protocole de routage à état de liens est ISIS. Chaque nœud dans le réseau
découvre la carte de connectivité(topologie) à travers le réseau du réseau(iv)
L’autre famille de protocole de routage dynamique qui existe est le Vecteur
à Distance Comme EIGRP ou RIP. Chaque nœud partage sa propre vue
de la table de routage avec les autres nœuds.
Les routeurs sur lesquels OSPF est activé vont chercher leurs voisins qui
exécutent aussi OSPF
- En utilisant le protocole “Hello”
- Le paquet “Hello” contient le masque de sous-réseau, la liste des voisins connus,
et d’autres détails comme “hello interval” et “router dead interval”
Hello interval : intervalle au bout duquel le routeur va envoyer les paquets Hellos
Router dead interval : temps pendant lequel un routeur attend avant de
considérer que son voisin a disparu. Les valeurs “hello interval”, “router dead
interval” et masque de sous-réseau doivent correspondre dans les deux extrémités
Quand un routeur voisin répond avec des paramètres identiques, une relation de
voisinage relationship est formée.
63
II.6.2.2 Adjacences OSPF
• Une fois une adjacence formée, les voisins partagent leurs informations sur
l’état de leurs liens
-Ces informations sont placées dans un Link State Packet (LSP)
-Les LSPs envoyés à un voisin sont appelés Link State Announcements (LSA)
• Pour toute nouvelle information reçue des voisins, le routeur exécute à
nouveau un algorithme pour avoir une nouvelle vue du réseau
• Sur un lien défaillant
- De nouveaux LSPs sont diffusés à tous
- Les routeurs ré exécutent l’algorithme pour obtenir la nouvelle table de routage
− Tous les routeurs dans le réseau forment des relations de voisinage avec
leurs voisins directement connectés.
− Chaque routeur calcule la table de routage.
− Une fois que chacun des routeurs a la même vue de la topologie du réseau,
on dit que le réseau a convergé.
− La conception du protocole de routage IGP dans le réseau est extrêmement
importante pour garantir l’évolutivité et une convergence rapide.
− Généralement : plus le nombre de préfixes est petit, plus la convergence est
rapide
64
taille petite ou moyenne (jusqu’à~300 routeurs) peuvent utiliser une seule
zone
II.6.2.5 OSPF
− OSPFv2 est pour IPv4 : Pour transporter uniquement les préfixes IPv4
préfixes OSPFv3 est pour IPv6 : Pour transporter uniquement les préfixes
IPv6.
− Il est basé sur OSPFv2 mais n’est conçu que pour IPv6.
− Documenté dans RFC5340.
− Est totalement indépendant d’OSPFv2.
− Les concepts syntaxes de configuration sont très similaires (il existe
cependant des différences subtiles/améliorations).
OSPF dans des environnements de réseaux à accès multiple doit être optimisé
pour être évolutif
Deux routeurs sont élus pour générer les elected to LSAs pour tout le réseau à
accès multiple. Ils sont appelés “Routeur Désigné” (DR) et “ Routeur Désigné de
secours” (BDR). Les autres routeurs dans le réseau forment des adjacences avec
le DR et le BDR.
Routeur Désigné
Il n’y a qu’un SEUL routeur désigné par réseau à accès multiple qui :
− Génère les LSA
65
− Aide à la synchronisation de la base de données
− Permet d’optimiser OSPF pour les réseaux à accès multiple
66
ü Les bases de donées sont synchronisées
ü Les LSAs sont propagées à travers les adjacences
Les relations de voisinage entre les routeurs qui ne sont ni DR ni BDR sont
appelées 2WAY
ü Ces voisins se voient à travers les paquets HELLO packets mais ne
s’échangent pas d’information sur la topologie. Les voisins ne sont donc
pas adjacents
67
OSPF dans le routeur Cisco
ü Démarrer avec OSPFv2 (IPv4) dans l’IOS Cisco router ospf 42
68
N.B : Evitez d’activer le protocole avec des routeurs appartenant à des réseaux de
tiers (e.i. ceux qui sont en dehors de votre système autonome).
69
La clé d’authentification doit être configurée sur l’interface, e.i. POS4/0
Ce qui permet de générer une route par défaut dans OSPF si une route par
défaut existe dans RIB
ü OSPF sur un lien point-à-point ethernet :
L’élection de DR et de BDR n’est pas requise sur un lien point à point, ainsi
il est recommandé de le désactiver
70
infinité d’options et de fonctionnalités pour être déployé sur presque tout type de
topologie de réseaux. Les ISPs conçoivent des architectures OSP très SIMPLE et
~300 routeurs dans une seule est bien possible 24.
Adjacences IS-IS
Une fois l’adjacence formée, les voisins partagent les informations sur l’état des
71
liens.
- L’information est envoyée à travers le Link State PDU (LSP)
- Les LSPs sont envoyées à tous les voisins
Une nouvelle information reçue d’un voisin est utilisée pour créer une nouvelle
vue de la topologie du Réseau. Si une liaison est indisponible, de nouveaux LSPs
sont envoyées et les routeurs reconstruisent la table de routage.
Niveaux IS-IS
IS-IS a deux couches hiérarchiques
- Level-2 (Pour le BackBone)
- Level-1 (Pour l’accès)
Un routeur peut être
- Level-1 (L1) router
- Level-2 (L2) router
- Level-1-2 (L1/L2) router
Liens dans IS-IS
Deux types de liens IS-IS :
ü Lien Point-to-Point
- Seulement deux routeurs sur le lien pour former l’adjacence.
ü Multi-access network (c.-à-d. Ethernet)
- Plusieurs routeurs dans le Réseau avec plusieurs adjacences.
IS-IS dans les réseaux multi-access networks nécessite des optimisations pour
faciliter la convergence
ü Un routeur est élu pour l’envoi des LSPs à tous les autres routeurs. Il
est appelé “Designated Information System”
ü Les routeurs dans le Réseau Multi-access forment l’adjacence avec le
routeur DIS
Sélection du Routeur Désigné
Configuration de la priorité (par interface)
72
ü Configurer la plus haute priorité sur le routeur pour qu'il soit le DIS
Adjacences : Exemples
73
- Le process ID n’est pas utilisé pour la communication entre
routeurs.
- Quelques ISPs utilise la valeur de leur AS BGP comme
process ID de IS-IS
Adresse NSAP IS-IS
ü Les protocoles de routage IP disposent d’un router-id pour identifier de
façon unique un routeur.
ü IS-IS utilise l’adresse NSAP
Peut-être de taille variable entre 64 et 160 bits
ü Les ISPs choisissent généralement les adresses NSAP ainsi :
- 8 premiers bits – Choisissez un nombre (généralement la
valeur 49)
- Les prochains 16 bits définissent l’area
- Les prochains 48 bits définissent le system ID
- Les derniers 8 bits sont définis à zéro
Example :
74
ü Configurer le NET address
net
49.0001.<loopback>.00
Mise à jour d’interface dans IS-IS
ü Pour active l’IS-IS sur une interface :
75
détection simple et efficace des boucles, adapté à des topologie complexes (RFC
1105, BGP-1, RFC 1163, BGP-2, RFC 1267, BGP-3).
Reconfiguration dynamique
Route Refresh
ü Changement de politiques :
Réinitialisation dure avec les pairs BGP requise après chaque changement de
politique car le routeur ne stocke pas les pré xes qui sont rejetés par les
politiques
ü Réinitialisation abrupte avec le peer BGP :
- Casse la session BGP
- Consomme du CPU
- Perturbe considérablement la connectivité pour tous les
réseaux
ü Solution :
- Route Refresh
77
clear ip bgp x.x.x.x [soft] in
ü Comment Renvoyer toutes les annonces BGP aux paires
clear ip bgp x.x.x.x [soft] out
Reconfuguration dynamique
ü Utiliser la capabilité Route Refresh
- Supportée par presque tous les routeurs
- Se renseigner avec la commande
“show ip bgp neighbor”
- Non-perturbateur, “Bon pour l’Internet”
ü Réinitialisation dure à utiliser seulement en dernier recours
78
ü Ensuite lors de changement de politique, nous lançons la commande
clear ip bgp 1.1.1.1 soft [in | out]
ü Note : Lorsque “soft reconfiguration” est activé, nous n’avons pas accès
à la capabilité route refresh
clear ip bgp 1.1.1.1 [in | out] fait aussi un soft refresh
Peer Groups
ü Problème – comment rendre iBGP scalable
- Le maillage complet iBGP est lente à construire
- Les voisins iBGP recoivent les mêmes updates
- CPU du routeur gaspillé alors que les calculs sont identiques
ü Solution – peer-groups
- Groupe les pairs avec les mêmes politiques de sortie
- Les mises à jours (updates) sont générées une seule fois par
groupe
Avantages
79
- Facilite la configuration
- Moins d’erreurs de configuration
- Configuration plus lisible
- Diminue la charge CPU du routeur
- Maillage iBGP se construit plus rapidement
- Membres peuvent avoir des politiques d’entrées différentes
- Peut être utilisé pour les voisins eBGP également !
Configuration d'un Peer Group
80
- Particulièrement utile lorsque plusieurs clients utilisent le
même AS (RFC2270)
- Utile aussi aux points d’échanges (IXP) où les politiques sont
généralement les mêmes pour tous les pairs
ü Peer-groups sont obsolètes
- Mais encore largement considérés comme bonne pratique
- Remplacés par update-groups (codés en interne – pas
configurable)
- Amélioré avec les peer-templates (permettant des
conceptions plus complexes).
Les réflecteurs de route
Réduisent le nombre de connexions requises dans un AS. Un seul routeur (ou
deux pour la redondance) peut être transformé en réflecteur de route : les autres
routeurs de l'AS doivent uniquement être configurés en tant qu'homologues pour
eux. Un réflecteur de route offre une alternative à l'exigence logique de maillage
complet du protocole de passerelle de frontière interne (IBGP). Un RR sert de
point focal [clarifier] pour les sessions IBGP. Le but du RR est la concentration.
Plusieurs routeurs BGP peuvent homologue avec un point central, le RR -
agissant comme un serveur de réflecteur de route - plutôt que d'homologue avec
tous les autres routeurs dans un maillage complet. Tous les autres routeurs IBGP
deviennent des clients réflecteurs de route. Cette approche, similaire à la fonction
DR / BDR d'OSPF, fournit aux grands réseaux une évolutivité IBGP
supplémentaire.
Dans un réseau IBGP entièrement maillé de 10 routeurs, 90 instructions CLI
individuelles (réparties sur tous les routeurs de la topologie) sont nécessaires pour
définir l'AS distant de chaque homologue : cela devient rapidement un casse-tête
à administrer. Une topologie RR pourrait réduire ces 90 instructions à 18, offrant
une solution viable pour les réseaux plus importants administrés par les FAI. Un
réflecteur de route est un point de défaillance unique, par conséquent au moins
81
un deuxième réflecteur de route peut être configuré afin de fournir une
redondance. Comme il s'agit d'un homologue supplémentaire pour les 10 autres
routeurs, il est fourni avec le nombre d'instructions supplémentaires pour doubler
ce moins 2 de la configuration de Route Reflector unique. 11 * 2-2 = 20
instructions supplémentaires dans ce cas en raison de l'ajout du routeur
supplémentaire. De plus, dans un environnement à chemins d'accès multiples
BGP, cela peut également être avantageux en ajoutant un débit de commutation /
routage local si les RR agissent comme des routeurs traditionnels au lieu d'un rôle
de serveur Route Reflecteur dédié.
82
En résumé, le réflecteur de route remplis les fonctions suivantes :
- Le réflecteur reçoit les chemins des clients et des non-clients
- Sélectionne le meilleur chemin
- Si le meilleur chemin est d’un client, envoyer aux autres
clients et aux non- clients
- Si le meilleur chemin est d’un non-client, envoyer seulement
aux clients
- Plus de maillage entre les clients
- Décrit dans RFC4456
Topologie Route Réflecteur
- Diviser le backbone en groupes/clusters
- Au moins un route reflector et quelques clients par cluster
- Route reflectors forment un maillage complet(full-mesh)
- Clients dans un cluster peuvent former un maillage
- Un seul IGP pour transporter les next-hop et les routes
83
locales
Route Re fl ectors : Eviter les boucles
ü Attribut Originator_ID
- Transporte le Router ID du routeur d’origine dans l’AS local
(crée par le RR).
ü Attribut Cluster_list
- Le cluster-id local est ajouté lorsque l’update est envoyé par le
RR
- Cluster-id est le router-id (adresse loopback)
- Pas utiliser bgp cluster-id x.x.x.x
Route Reflectors: Redondance
ü Plusieurs RRs peuvent être configurés dans le même cluster – pas
recommandé !
- Tous les RRs du cluster doivent avoir le même cluster-id (sinon ils sont
dans un cluster différent)
ü Un routeur peut être client de RRs de clusters différents
- Il est fréquent de voir aujourd’hui dans les réseaux d’ISP que
les clusters se recouvrent – moyen pour obtenir de la
redondance
- Chaque client a deux RRs = redondance
84
Figure II.27 : Architecture de configuration redondante
Route Réflecteur : Intérêt
- Résout le problème du maillage iBGP
- Pas d’effet sur le transfert des paquets
- Les speakers BGP normaux co-existent
- Plusieurs réflecteurs pour un client pour avoir la redondance
- Migration facile
- Plusieurs niveaux de route réflecteurs
Route Réflecteurs : Migration
85
ü Configuration du routeur D :
Ces 3 techniques d'optimisation BGP sont primordiales pour tous les ISPs
- Route Refresh (ou Soft Reconfiguration)
- Peer groups
- Route Reflecteurs
87
- Sécurité
88
ü Le modèle Cisco Enterprise Composite Model (ECM) ou Enterprise
Composite Network Model (ECNM) fournit une conception détaillée pour
le réseau du campus d'entreprise et une infrastructure convergente et
intelligente pour accéder aux ressources informatiques sur les sites de
l'entreprise. Ce modèle développe les concepts hiérarchiques traditionnels
des couches de base, de distribution et d'accès et est basé sur les principes
décrits dans la description de Cisco des réseaux convergents. Il est donc
important de garder à l'esprit qu'il ne s'agit pas d'une norme de l'industrie
mais plutôt d'une recommandation de Cisco.
ü Le modèle fournit un cadre pour la conception et la mise en œuvre
recommandées d'un réseau de campus d'entreprise. Le réseau d'entreprise
comprend deux domaines fonctionnels, à savoir le campus d'entreprise et
la périphérie d'entreprise. Ces deux zones sont ensuite divisées en modules
ou blocs qui définissent en détail les différentes fonctions de chaque zone.
Le campus d'entreprise est composé des modules suivants:
90
enterprise edge distribution module).
Comprend les modules suivants:
- Le module Internet d'entreprise
- Le module VPN et accès à distance
- Le module WAN
- Le module de commerce électronique
ü Le module Internet d'entreprise offre aux utilisateurs internes une
connectivité aux services Internet.
ü Il permet également aux utilisateurs Internet d'accéder aux informations sur
les serveurs publics ;
ü de l'entreprise, tels que les serveurs de messagerie accessibles au public, par
exemple.
ü Pour protéger ces serveurs, des dispositifs de sécurité tels que les systèmes
de détection
des Intrusions (IDS) ou les systèmes de prévention des intrusions (IPS), ainsi que
les pare-feu,
sont généralement intégrés dans la conception de ce module.
ü Le trafic entrant circule de ce module vers le module VPN et d'accès
distant, où la terminaison VPN a lieu. Il est important de se rappeler que ce
module n'est pas conçu pour servir des applications de type E-Commerce.
91
Figure II.31 : Architecture réseau d’Entreprise pour le Client Corporate
92
Figure II.32 : Architecture Couche 2 IXP
Certains des types de réseaux qui se connectent au trafic d’échange sont : les
fournisseurs de services Internet (FAI), les opérateurs mobiles et les réseaux de
distribution de contenu (CDN) tels que Google, Baidu, Akamai et Facebook.
Les IXP aident à créer des itinéraires plus courts, et plus directs, pour le trafic
Internet. Ils offrent une alternative plus abordable à l’envoi de trafic Internet local
93
à l’étranger, uniquement pour renvoyer ce trafic via une liaison internationale, ce
qui peut être une entreprise coûteuse.
Les IXP sont essentiels pour offrir un Internet plus rapide et plus abordable aux
gens. Ils font de l’Internet :
Moins cher : les IXP garantissant que le trafic entre les expéditeurs locaux et les
destinataires locaux utilise des connexions locales relativement bon marché, plutôt
que des liaisons internationales coûteuses, les économies de coûts pour les FAI
peuvent être importantes – 20% ou plus dans certains pays.
Plus rapide : en fournissant des connexions réseau plus directes, les IXP
améliorent la qualité d’accès pour les utilisateurs locaux. Les vitesses d’accès au
contenu local s’améliorent jusqu’à dix fois avec un IXP en place, car le trafic est
acheminé plus directement.
94
opportunités commerciales – ceci encourage les populations locales à produire
des contenus et applications locaux plus pertinents.
Service
ü unicast
Les membres qui échanges les trafing sur KINIX avec leurs ASN Number sont
les suivants :
96
Statistique du Point d’échange de Kinshasa.
97
CHAPITRE III. VIRTUALISATION ET CLOUD COMPUTING
III.1 VIRTUALISATION
Un serveur est un ordinateur utilisé à distance depuis différents postes de travail,
ou autres serveurs. Il possède des ressources matérielles, principalement CPU,
mémoire, disques et interfaces réseau. Ces ressources sont utilisées par des
applications, non pas de manière directe, mais en s’appuyant sur un système
d’exploitation. La virtualisation de serveurs est un ensemble de techniques et
d’outils permettant de faire tourner plusieurs systèmes d’exploitation sur un
même serveur physique. Le principe de la virtualisation est donc un principe de
partage : les différents systèmes d’exploitation se partagent les ressources du
serveur. Pour être utile de manière opérationnelle, la virtualisation doit respecter
deux principes fondamentaux :
98
Figure III.1 : Illustration d’un virtualisation des Postes de Travail
III.1.1 Hyperviseurs
99
plus besoin d’être modifié pour pouvoir être exécuté dans un hyperviseur de type
1.
Quelques exemples de tels hyperviseurs plus récents sont Xen, Oracle VM, ESX
Server de VMware.
100
l’utilisateur final, ce type de virtualisation est la plus simple à mettre en place et est
la plus pratique.
− VirtualBox
− KVM
III.1.2.2 Para-Virtualisation
La para virtualisation fait intervenir un hyperviseur. Il s’agit d’un noyau allégé au-
dessus duquel viendront se greffer les systèmes invités. Contrairement à un
système traditionnel de machines virtuelles où la virtualisation est transparente,
101
avec la para virtualisation, le système invité doit avoir conscience qu’il tourne dans
un environnement virtuel ce qui implique d’employer un noyau modifié. Ce type
de virtualisation permet des performances bien plus importantes que la
virtualisation totale (assistée par matériel, que nous avons vu plus haut).
- XEN
- VMWare ESX/ESXi
- Hyper-V ( Microsoft )
- xVM
III.1.2.3 Isolateurs
Un isolateur est un logiciel permettant d’isoler l’exécution des applications dans
ce qui sont appelés des contextes, ou bien zones d’exécution. L’isolateur permet
ainsi de faire tourner plusieurs fois la même application dans un mode multi-
instance (plusieurs instances d’exécution) même si elle n’était pas conçue pour ça.
Cette solution est très performante, du fait du peu d’overhead (temps passé par
un système à ne rien faire d’autre que se gérer), mais les environnements
virtualisés ne sont pas complètement isolés.
102
Figure III.5 : isolateur de la virtualisation
La performance est donc au rendez-vous, cependant on ne peut pas vraiment
parler de virtualisation de systèmes d’exploitation. Uniquement liés aux systèmes
Linux, les isolateurs sont en fait composés de plusieurs éléments et peuvent
prendre plusieurs formes.
III.1.3.1 XEN
Xen est une solution de virtualisation open source développée initialement par le
département informatique de l’Université de Cambridge. Son développement est
aujourd’hui activement sponsorisé par Citrix, qui a racheté l’éditeur initial
XenSource. Citrix distribue une version commerciale de Xen, nommée Citrix
XenServer, particulièrement adaptée à la virtualisation des OS Microsoft
Windows et Linux RHEL et SLES. Elle est dotée d’une interface
d’administration avancée, et d’un accès au support technique. Quant aux
fonctionnalités, elles sont les mêmes que dans la version distribuée librement.
III.1.3.4 Hyper-V
Hyper-V, également connu sous le nom de Windows Server Virtualization, est un
système de virtualisation basé sur un hyperviseur 64 bits de la version de
Windows Server 2008.
Il est possible d’utiliser la console Hyper-V sur Windows 7. Dans le sens inverse,
de nombreux systèmes d’exploitation peuvent tourner à l’intérieur de Hyper-V.
104
III.1.3.5 OpenVZ
Une des solutions les plus avancées et matures dans le domaine de l’isolation est
OpenVZ. Ce produit se présente sous la forme d’un patch pour le noyau Linux,
et d’un ensemble d’outils d’administration. Le patch du noyau permet à un
système GNU/Linux de gérer des contextes virtualisés. Les outils d’administration
permettent de créer, d’instancier, et de contrôler les environnements virtuels.
III.1.3.6 LXC
LXC est une solution de virtualisation de type isolateur. Cette solution permet la
virtualisation par container au niveau du noyau. LXC est très récent et remplace
Linux-VServer et OpenVZ. Aussi, LXC est dès à présent intégré au noyau, ce qui
n’a jamais été le cas des deux solutions citées précédemment.
105
Avec un hébergement mutualisé, le fournisseur utilise un même serveur pour
plusieurs de ses clients. Il utilise différentes solutions de cloisonnement pour
maintenir une certaine étanchéité entre ces environnements.
C’est le mode que l’on appelle VDS pour Virtual Dedicated Server, un serveur
dédié virtuel.
106
III.1.5 Virtualisation de Stockage
107
nuage ż formé de l’interconnexion de serveurs géographiquement distincts
réalisée au niveau de fermes de serveurs géantes (également appelées
datacenters). Ceci est rendu possible par le procédé de virtualisation qui consiste à
faire fonctionner plusieurs systèmes d’exploitation ainsi que leurs applications
associées sur un seul serveur physique. La virtualisation permet ainsi de recréer
plusieurs ordinateurs virtuels sur une seule et même machine physique.
SaaS est un mode d’utilisation d’une solution logicielle que se fait en utilisant
l’application à distance qui est hébergée par l’éditeur. Le mode SaaS se rencontre
couramment pour des applications logiciels relatives au CRM ou au
webmarketing. La solution logicielle étant utilisée, le plus souvent, à partir d’un
simple navigateur Internet, elle permet à l’entreprise d’être dégagée de toute
contrainte d’installation, de mise à jour ou de maintenance technique.
Avantage : plus d’installation, plus de mise à jour (elles sont continues chez le
fournisseur), plus de migration de données etc. Paiement à l’usage. Test de
nouveaux logiciels avec facilité.
Inconvénient : limitation par définition au logiciel proposé. Pas de contrôle sur
le stockage et la sécurisation des données associées au logiciel. Réactivité des
applications Web pas toujours idéale.
ü PAAS (Plateform as a Service)
108
Il s’agit des plateformes du nuage, regroupant principalement les serveurs
mutualisés et leurs systèmes d’exploitation. En plus de pouvoir délivrer des
logiciels en mode SaaS, le PaaS dispose d’environnements spécialisés au
développement comprenant les langages, les outils et les modules nécessaires.
L’avantage est que ces environnements sont hébergés par un prestataire basé à
l’extérieur de l’entreprise ce qui permet de ne disposer d’aucune infrastructure et
de personnel de maintenance et donc de pouvoir se consacrer au développement.
Avantage : le déploiement est automatisé, pas de logiciel supplémentaire à
acheter ou à installer.
Inconvénient : limitation à une ou deux technologies (ex. : Python ou Java pour
Google AppEngine, .NET pour Microsoft Azure, propriétaire pour force.com).
Pas de contrôle des machines virtuelles sous-jacentes.Convient uniquement aux
applications Web. Les cibles sont les développeurs. Google App Engine est le
principal acteur proposant ce genre d’infrastructures.
ü IAAS (Infrastructure as a Service)
109
Figure III.6 : Types de solutions Cloud
110
Figure III.7 : architecture Cloud Privé
On distingue les Cloud privés internes, utilisés par une entreprise pour satisfaire
ses propres besoins. Ils sont administrés en interne par l’entreprise même. Il y a
aussi les Cloud privés externes, destinés à satisfaire les besoins propres d’une
entreprise cliente. Leurs gestions sont confiées à un prestataire extérieur. On
parle alors de gestion externalisée. Dans ce cas, une partie de ses services
externalisés, est prise en charge par un prestataire de confiance.
Les exemples les plus évidents de Cloud computing ont tendance à tomber sous
le modèle de Cloud public, car ils sont, par définition, accessibles au public. Les
offres de Software as a Service (SaaS), comme le stockage Cloud et les
applications office en ligne, sont peut-être les plus connues, mais les offres
111
largement disponibles d’Infrastructure as a Service (IaaS) et de Platform as a
Service (PaaS), Cloud hybride qui incluent de l’hébergement web et des
environnements de développement basés sur le Cloud, peuvent également
correspondre à ce modèle (bien que toutes puissent exister au sein de Clouds
privés).
Les Clouds publics sont largement utilisés dans les offres adressées aux personnes
privées, moins susceptibles d’avoir besoin de l’infrastructure et de la sécurité de
Clouds privés. Toutefois, les entreprises peuvent toujours avoir recours au Cloud
public pour rendre leurs opérations plus efficaces, par exemple pour le stockage
de contenu non-sensible, la collaboration avec des documents en ligne et la
messagerie web.
112
susceptibles d’être plus avantageux au niveau des coûts et plus évolutifs que des
Clouds privés. C’est pourquoi une organisation peut maximiser son efficacité en
utilisant des services de Cloud public pour ses opérations non sensibles, et
s’appuyer en revanche sur un Cloud privé lorsqu’elle en a besoin, faisant en sorte
que toutes ses plateformes soient intégrées harmonieusement.
Modèle de prix basé sur l’utilisation : les services de Cloud public utilisent
souvent un modèle de tarification basée sur l’utilisation, selon lequel le
consommateur peut accéder aux ressources dont il a besoin, quand il en a besoin,
113
et ne paie que ce qu’il a effectivement utilisé, évitant ainsi un gaspillage de
capacités.
114
III.2.5.1 Amazon
En 2002 Amazon, le site marchand de renommée internationale, lançait "Amazon
Web Services". Le ’fait divers’ relatant la location des ressources non-utilisées par
le site-marchand à des entreprises, a donné l’idée à la société de Seattle de mettre
en place un ensemble de services web destinés à plusieurs types de clients.
III.2.5.2 SalesForce
Le pionnier des offres Cloud Computing SalesForce, ou plutôt
Salesforce.com est une société qui a lancé en 2003 des offres de Cloud Public.
C’est donc officiellement le plus ancien prestataire dans ce domaine. Aujourd’hui
encore, leurs offres sont uniquement composées de Cloud Public, et adressées
aux entreprises (surtout les grands comptes). Sur leur site, on constate que les
outils proposés sont résolument tournés vers le travail collaboratif, la gestion des
ventes et le marketing relationnel. Certes, le grand public peut utiliser certains
outils dans certaines conditions, mais l’offre gratuite est plutôt limitée, ce qui
risque d’en arrêter plus d’un.
III.2.5.3 Microsoft
Office 365, c’est un peu la transformation de la suite bureautique Microsoft en
version Online. L’objectif est simple : concurrencer la suite bureautique en ligne
115
de Google, et reconquérir les clients perdus au profit de google. Microsoft entend
adapter ses prix en fonction du client, à savoir que les petites structures paieront
un prix plus adapté à leur structure. Là encore, on ne s’adresse pas vraiment au
grand public.
III.2.5.4 Google
Lancé en 2008, Google AppEngine est disponible uniquement en Cloud Public,
sous la forme d’une offre gratuite. Sa grande force réside dans le fait qu’il soit
justement gratuit, et propose des applications de qualité, malgré le très grand
nombre de requête effectuées sur les serveurs.
III.2.5.5 OpenStack
OpenStack est un logiciel gratuit beaucoup plus complet et ambitieux que les
autres. Son but est de fournir toutes les briques nécessaires à la mise en place
d’un service IaaS : Infrastructure as a Service. L’IaaS est l’une des facettes du
Cloud Computing : il s’agit de fournir des ressources informatiques sous forme de
machine virtuelles prêtes à l’emploi, et ce directement à la demande des
utilisateurs, sans passer par la mise en place à la main des VM par un
administrateur système. Le système IaaS gère la mise à disposition de la ressource
en fonction de la capacité actuelle de la plateforme, et assure le suivi de
consommation à des fins de facturation.
116
CHAPITRE IV. GESTION DU RESEAU
118
Elle couvre l’ensemble des fonctionnalités suivantes :
− démarrage, initialisation des équipements ;
− positionnement des paramètres ;
− cueillette des informations d’état et intervention dans les paramètres ;
− modification de la configuration du système ;
− association des noms aux objets gérés ;
− changement de l’adresse IP d’une machine ;
− changement de l’adresse IP d’un routeur ;
− changement de la table de routage.
121
trafic. Ces mesures, de par leurs natures, sont prises afin de répondre à
un problème déjà existant.
La gestion proactive consiste à prendre des mesures initiales permettant
d’éviter d’arriver à une situation critique. Cette tâche est effectuée en temps
différé et comporte quant à elle un ensemble de sous-tâches :
La gestion de la comptabilité permet de connaître les charges des objets gérés, les
coûts de communication, etc. Cette évaluation est établie en fonction du volume
et de la durée de la transmission.
122
Figure IV.4 : Gestion de la comptabilité
Elle couvre l’ensemble des fonctionnalités suivantes :
− les mesures sur l’utilisation des ressources, et leur enregistrement en vue
d’obtenir des historiques ;
− le contrôle des quotas par utilisateur en faisant des mises à jour des
consommations courantes et en vérifiant les autorisations de consommation
;
− le suivi et le contrôle des dépenses par stockage et mise à jour des tarifs des
opérateurs, par gestion des tickets de taxation, par évaluation en temps réel
de la consommation courante, par vérification des factures, et enfin par
suivi des coûts d’exploitation et de matériels (investissement, amortissement
et maintenance) ;
− la gestion financière : bien évidemment, on retrouve dans la gestion
comptable une partie financière qui consiste à ventiler les coûts (par
service, par utilisateur ou encore par application), à analyser et prévoir les
dépenses et enfin à étudier les possibilités de réduction des coûts ;
− la facturation : finalement, l’activité de gestion comptable aboutit à une
facturation interne, ce qui implique la gestion des clients et des trafics, la
production de tickets de taxation et de factures, le contrôle de la facturation
et enfin le stockage des historiques.
123
Exemples :
• Coût d’utilisation d’un réseau RNIS.
• Coût d’utilisation d’un lien T1.
124
gestion des listes d’autorisation (aux machines, à différents services ou à
divers éléments de réseau) ; il faut évidemment en outre effectuer un
contrôle des accès (identités, horaires, temps de connexion, destination) et
une détection des tentatives d’accès frauduleuses (enregistrement,
compilation de statistiques et déclenchement d’alarmes si nécessaire).
(iii) Enfin, il faut garantir la sécurité de l’information par la gestion de
mécanismes de protection, de cryptage et de décryptage, et par la
détection d’incidents et de tentatives de fraude.
Voici les fonctions de gestion de sécurité qui doivent être mises en œuvre pour
supporter cette activité :
a. Soutien à l’authentification.
b. Contrôle et maintenance des autorisations.
c. Contrôle et maintenance des commandes d’accès.
d. Gestion des clés.
e. Maintenance et examen des fichiers de sécurité.
Nous ne traiterons pas vraiment de la gestion de sécurité mais seulement des
besoins sécurisés pour les opérations de gestion.
Exemples :
− Détection d’intrusions.
− Détection d’une attaque par IP Flooding.
− Détection de virus.
125
Les environnements propriétaires sont basés sur des protocoles de
communication non standards et n’autorisent en général que la gestion des
équipements particuliers d’un équipementier.
En revanche, les environnements standards sont basés sur une architecture
ouverte et des protocoles standardisés qui permettent de gérer tous les
équipements qui mettent en œuvre des fonctionnalités de gestion standards.
Dans ce chapitre, nous mettrons l’accent sur ces environnements et nous
montrerons comment ils peuvent interagir avec des systèmes non standards.
126
(Telecommunication management network) et le protocole CMIP
(Common management information protocol) constituent la norme dans le
domaine de la gestion de réseau de télécommunication. CMIP présente
une version améliorée de SNMP tandis que TMN introduit un cadre de
travail pour planifier, installer, maintenir, utiliser et administrer un réseau
de télécommunication et les services associés. La complexité de ces deux
entités a été un frein à leur expansion dans les petits réseaux et ils sont
quasi exclusivement utilisés dans les réseaux opérateurs.
▪ WEBM/DMI/CIM : proposés par les fabricants des postes de travail et les
serveurs regroupés dans le consortium DMTF (Desktop management task
force, dénommé aujourd’hui Distributed management task force). Leur
objectif est de pousser les aspects gestion jusqu’aux postes de travail et les
serveurs incluant ainsi tous les éléments du système d’information de
l’entreprise. Différents environnements ont été proposés : DMI (Desktop
management interface), CIM (Common information model),
WBEM (Web based management) et DEN (Directorie enabled network),
qui représentent différentes approches d’intégration mais qui sont en train
d’être intégrés dans la même architecture.
▪ DME : proposée par les fabricants de logiciels regroupés dans l’OSF
(Open software
fundation), cette architecture dite DME (Distributed management
environnement) est orientée vers la gestion exclusive des postes Unix. Nous
ne traiterons pas de ce modèle car il est très orienté poste Unix mais ne
prend pas en compte la gestion des équipements réseaux.
127
broker architecture) et se propose d’apporter une solution de gestion
distribuée intégrant les différentes approches suscitées.
▪ JMX : proposée par le consortium Java, JMX (JavaTM management
extensions) est un ensemble de spécifications et API pour la gestion de
réseau, faisant partie de la solution
J2EETM. Elle se propose également de fournir une solution unifiée par
rapport aux solutions SNMP/TMN/WEBM.
Nous avons établi un distinguo entre les technologies qui sont
opérationnelles depuis plusieurs années et celles qui sont introduites au fur
et à mesure que leur maturité est reconnue. Ces dernières sont plus
particulièrement évoquées dans le chapitre traitant des nouvelles
technologies dans la gestion de réseau.
128
convient de l’utiliser et enfin pour être à même de faire des choix optimaux en
termes d’outils et de plates-formes pour mettre en place sa solution.
129
(i) Gestions des erreurs et disfonctionnements
(ii) Gestion des configurations/modifications
(iii) Gestion de la performance
(iv) Gestion de la sécurité
130
Détection de disfonctionnement
Les opérations suivantes sont conduites après la détection d’un incident par
l’équipe du centre d’opération (24x7)
− Ouvre des tickets d’incidents pour suivre les problèmes
− Procède au diagnostic préliminaire (1er Niveau)
− Assigne le problème à un ingénieur, ou met à jour le statut des tickets
− Contacte les clients
131
service. En se basant sur le coût d'achat de ces logiciels peut les classer en deux
grands groupes qui sont : les logiciels payants et logiciels libres.
Les moniteurs de supervision payant sont proposés par les éditeurs de logiciel qui
ont compris rapidement dès le début des réseaux que superviser sera la clé de
réussite des systèmes informatiques et un atout pour les entreprises. C'est pour
cela que les entreprises n'hésitent pas à investir pour l'obtention d'une solution de
supervision. Alors vu la demande croissante, le nombre d'éditeurs augmente
donnant naissance à une variété de logiciels et parmi eux ont peut citer :
Ø HP OpenView : c'est un logiciel destiné aux petites et moyennes entreprises
et permet de centraliser les informations de supervision sur un seul poste. Il
favorise la gestion du réseau en offrant aux administrateurs une vue globale
du système d'information, un contrôle homogène des différents composants
du système informatique et une vision des incidents et leur impact.
Ø IBM Tivoli Monitoring : c'est un logiciel conçu pour aider les entreprises à
surveiller et gérer les matériels et les logiciels essentiels notamment les
systèmes d'exploitation, les bases de données et les applications sur des
environnements répartis. Il permet la surveillance de manière proactive des
ressources systèmes vitales, détecte efficacement les goulets d'étranglement et
les problèmes potentiels des applications et répond automatiquement aux
évènements.
Ces logiciels possèdent tous les avantages dans le domaine de la supervision mais
leur inconvénient face à la concurrence est leur coût d'achat élevé. Ainsi les
entreprises ont tendance à se tourner vers le monde libre où les logiciels proposés
commencent à être compétitifs et deviennent de plus en plus professionnels.2
2
HIEN K. Rodrigue Romaric, Etude et proposition d’une solution de supervision basée sur le logiciel
libre Nagios, Edition, 2010, p.20.
132
IV.6.2 LES MONITEURS DE SUPERVISION LIBRE
Les moniteurs de supervision libre sont des logiciels proposés gratuitement par
des développeurs qui cherchent à se faire connaître à travers leurs produits en
œuvrant dans le social. Parmi ces logiciels on peut citer :
Ø Nagios : c'est le moniteur de supervision le plus rependu parmi les logiciels
open source et est suivi par toute une communauté de développeurs. Il
permet la supervision du réseau et des systèmes et s'adapte aux systèmes
d'information de moyenne taille au plus important. Nous allons l'étudier
plus en détail dans la suite de ce rapport.
Ø MRTG (Multi Router Traffic Grapher) : ce moniteur de supervision génère
des pages HTML qui représentent en temps réelle trafic réseau. Son
architecture logicielle permet l'intégration de composants hétérogènes, ainsi
il s'intègre étroitement avec Nagios.
Ø CACTI : principal successeur de MRTG, il est basé sur RRDTool et
permet de représenter graphiquement le statut des périphériques réseaux
en utilisant le protocole SNMP ou grâce à des scripts écrit en perl, en C, ou
en PHP.
Le monitoring de CACTI est fondé sur la supervision réseau et la métrologie et
cependant il est très efficace dans la gestion des données de performances.
Ø ZABBIX : c'est un moniteur qui est beaucoup plus orienté du côté de la
supervision système. Il a une architecture tout-en-un avec des agents dédiés
que l'on doit installer sur les éléments distants. Il est facile à installer et à
configurer mais le revers de la médaille est qu'il ne gère pas les éléments
imprévus que l'on souhaitera ajouter au plus tard.
Ø Nmap, Wireshark, Solarwinds, Grafana, Prometheus, Etc.
Ces logiciels cités offrent tous l'avantage commun d'être gratuit, donc en fonction
des besoins de supervision nous devons faire un choix parmi eux.
Nous choisirons comme logiciel de base pour la supervision du réseau :
133
IV.7 TABLEAU COMPARATIF DE QUELQUES OUTILS DE
SUPERVISIONS
134
GNU MacOs, surveiller l’état
HP-UX, de divers
Net BSD, services
IBM réseaux,
Power serveurs et
System, et autres
AIX matériels
réseaux et
produisant des
graphiques
dynamiques de
consommation
des ressources.
Nmap Sécurité GNU GPL Linux, Multiplatefo Nmap est
informatiq Microsoft rme scanner de
ue Windows, ports libre crée
MacOs, par Flyodor et
Free BSD, conçu pour
Net BSD, détecter les
Open ports ouverts,
BSD et identifier les
Solaris. services
hébergés et
obtenir les
informations
sur le système
d’exploitation
d’un
ordinateur
distant.
Nagios Network Licence Type Unix Linux, NIX Nagios
monitoring publique (anciennement
générale appelé
GNU Netsaint) est
une application
permettant la
surveillance
135
système réseau.
Elle surveille
les hôtes et
services
spécifiés
alertant lorsque
les systèmes
ont des
dysfonctionne
ments et quand
ils repassent en
fonctionnemen
t normal.
Grafana Application Licence Microsoft Multiplatefo Grafana est un
web apache Windows, rme outil libre sous
version 2.0 Linux et licence apache
MacOs 2.0 qui permet
la visualisation
de données. Il
permet de
réaliser des
tableaux de
bord et de
graphiques
depuis
plusieurs
sources dont
des bases de
données
temporelles
comme
graphite (en),
Influx DB et
openSDB
Prometh Application Licence Linux, net X86_64, IA- Prometheus est
eus de apache BSD, 32(en), un logiciel libre
supervision version 2.0 Open Architecture de surveillance
136
(d) Times BSD, Free MIPS, informatique et
séries BSD, Power PC et générateur
database Microsoft architecture d’alertes. Il
(en) linux Windows, Arm enregistre en
foundation Darwin et temps réel
project Dragonfly dans une base
BSD de données de
séries
temporelles
(avec une
capacité
d’acquisition
élevée) en se
basant sur le
contenu de
point d’entrée
exposé à l’aide
du protocole
http
IV.8. CONCLUSION
Nous avons abordé ici la supervision, et la supervision informatique pour nous
faire une idée de comment nous pouvons connaitre l’état des hôtes et des
services. Dans la prochaine section nous allons aborder une étude comparative de
quelques outils.
137
Tout ceci se fera à l’aide d’un dispositif mis en place pour surveillance et la
gestion de trafic internet tel qu’un contrôleur de trafic qui s’assurera de faire de
capture d’écran en temps réel des informations qui y circulent dans le réseau. Le
logiciel va alerter à chaque fois notre administrateur réseau de
dysfonctionnement, anomalie du système par message ou courriel.
Nagios est un logiciel de supervision de réseau libre sous licence GPL qui
fonctionne sous
Linux. Il a pour fonction de surveiller les hôtes et services spécifiés, alertant
l'administrateur des états des machines et équipements présents sur le réseau.
Bien qu'il fonctionne dans un environnement Linux, ce logiciel est capable de
superviser
Toutes sortes de systèmes d'exploitation (Windows XP, Windows 2000,
Windows 2003
Server, Linux, Mac OS entre autres) et également des équipements réseaux grâce
au protocole SNMP.
138
Figure IV.7: Nagios (wikipedia.org)
Cette polyvalence permet d'utiliser Nagios dans toutes sortes d'entreprises, quelle
que soit la topologie du réseau et les systèmes d'exploitation utilisés au sein de
l'entreprise.
Ce logiciel est composé de trois parties :
Ø Le moteur de l'application qui gère l’ordonnance, les supervisions des
différents équipements.
Ø Les Plugins qui servent d'intermédiaire entre les ressources que l'on
souhaite superviser et le moteur de Nagios. Il faut bien noter que pour
accéder à une certaine ressource sur un Hôte, il faut un plugin coté Nagios
et un autre coté hôte administré.
Ø L'interface web qui permet d'avoir une vue d'ensemble des états de chaque
machine du Parc informatique superviser et ainsi pouvoir intervenir le plus
rapidement possible en Ciblant la bonne panne.
139
Ø La supervision des services réseaux (SMTP, http…), des hôtes et des
ressources
Systèmes (CPU, charge mémoire…)
Ø La détermination à distance et de manière automatique
l’état des objets et les ressources nécessaires au bon fonctionnement du
système grâce à ses plugins.
Ø Représentation coloriée des états des services et hôtes définies.
Ø Génération de rapports.
Ø Cartographie du réseau.
Ø Gestion des alertes.
Ø Surveillance des processus (sous Windows, Unix…).
Ø Superviser des services réseaux : (SMTP, POP3, HTTP, ICMP, SNMP,
DAP, etc.)
Ø La supervision à distance peut utiliser SSH ou un tunnel SSL.
Ø Les plugins sont écrits dans les langages de programmation les plus adaptés
à leur tâche (Bash, C++, Python, Perl, PHP, C#, etc.).
140
surcharge du serveur et des machines à surveiller.3
3
Ahmed mamlouk, mise en place d’une solution de supervision Nagios, Tunis, Edition, 2013-2014, page17-18.
141
- Solution complète permettant le reporting, la gestion des pannes et d’alarmes,
gestion
Des utilisateurs…
- Des plugins permettent aux utilisateurs de développer facilement ces propres
Vérifications de leurs services.
- Possibilité de repartir la supervision entre plusieurs administrateurs.
- Offre la possibilité de développer ses propres modules.
Ø Inconvénients
- Configuration complexe mais peut s’améliorer en ajoutant Centreon.
- Interface peu ergonomique et intuitive.
IV.10.1.3 Plugins
Nagios fonctionne grâce à des plugins écris en Perl ou en C. Sans eux, il est
totalement Incapable de superviser et se résume en un simple noyau. Ces plugins
sont des programmes externes au serveur, des exécutables qui peuvent se lancer
en ligne de commande afin de tester une station ou service. Ils fonctionnent sous
le principe D’envoi de requêtes vers les hôtes ou services choisis lors d’un appel
du processus de Nagios, et la transmission du code de retour au serveur
principale qui par la suite se charge D’interpréter les résultats et déterminer l’état
de l’entité réseau testée. La relation entre le noyau et les plugins sont assurés
d’une part par les fichiers de Configuration (définitions des commandes) et
d’autre part par le code retour d’un plugin. Cette relation peut se résumer par le
tableau suivant :
Tableau 2 : Signification des codes de retours
CODE RETOUR ETAT SIGNIFACATION
1 OK TOUT VA BIEN
LE SEUIL D’ALERTE EST
2 WARNING
DEPASSE
3 CRITICAL LE SERVICE A PROBLEME
142
IMPOSSIBLE DE
4 UNKOWN CONNAITRE L’ETAT DU
SERVICE
Nagios est livré avec un « package » de greffons standards regroupant les plus
utilisés. Pour une utilisation basique et simple, ils devraient être suffisants. En
voilà quelques exemples :
Ø Check_http : Vérifie la présence d'un serveur web.
Ø Check_load : Vérifie la charge CPU locale.
Ø Check_ping : Envoie une requête Ping à un hôte.
Ø Check_pop : Vérifie la présence d'un serveur POP3.
Ø Check_procs : Compte les processus locaux.
Ø Check_smtp : Vérifie la présence d'un serveur SMTP.
Ø Check_snmp : Envoie une requête SNMP (passée en argument) à un hôte.
Ø Check_ssh : Vérifie la présence d'un service SSH.
Ø Check_tcp : Vérifie l'ouverture d'un port TCP (passé en argument).
Ø Check_users : Compte le nombre d'utilisateurs sur la machine locale.
Ø Il est possible de créer son propre plugin et l’interfacer avec Nagios tout en
respectant les conventions des codes de retours précédemment expliqués.
La vivacité de la communauté Open Source et celle de Nagios 2 en particulier
permet de disposer d'un grand nombre de plugins supplémentaires. Comme on
peut le constater, les plugins peuvent fonctionner soit en effectuant des tests en
local, à distance par le biais de divers moyens comme l’installation des agents
NRPE sous Linux ou NSClient sous Windows ou autres.
143
Ø Nagios.cfg est le fichier de configuration principal de Nagios. Il contient la
liste des autres fichiers de configuration et comprend l'ensemble des
directives globales de fonctionnement.
Ø Cgi.cfg contient un certain nombre de directives qui affectent le mode de
fonctionnements des CGI. Il peut être intéressant pour définir les
préférences concernant l'interface web de Nagios.
Ø Resource.cfg permet de définir des variables globales réutilisables dans les
autres fichiers.
Etant inaccessible depuis les CGI qui génèrent l'interface, ce fichier peut être
utilisé pour stocker des informations sensibles de configuration.
Ø Commands.cfg contient les définitions des commandes externes, telles que
celles qui seront utiles pour la remontée d'alerte.
Ø Checkcommands.cfg contient les définitions des commandes de
vérification prédéfinies et celles définies par l'utilisateur.
Ø Hosts.cfg définit les différents hôtes du réseau à superviser. A chaque hôte
est associé son nom, son adresse IP, le test à effectuer par défaut pour
caractériser l'état de l'hôte, etc.
Ø Services.cfg associe à chaque hôte ou à chaque groupe d'hôtes l'ensemble
des services qui doivent être vérifiés.
Ø Hostsgroups.cfg définit des groupes d'hôtes pour regrouper des hôtes selon
des caractéristiques communes. Un hôte peut appartenir à plusieurs
groupes.
Ø Contacts.cfg déclare les contacts à prévenir en cas d'incident et de définir
les paramètres des alertes (fréquences des notifications, moyens pour
contacter ces personnes, plages horaires d'envoi des alertes...).4
4
Ahmed mamlouk, mise en place d’une solution de supervision Nagios, Tunis, Edition, 2013-2014, page18-21.
144
IV.10.1.5 Conclusion
Le présent point a illustré ensuite l’outil de monitoring Nagios ses composants,
fonctionnalité, et architecture. Finalement une partie a été consacrée pour la
définition des différents fichiers de configurations générés par la solution de
supervision Nagios, précédé par l’énumération des différents plugins de base
responsable de l’exécution des tests nécessaires.
GRAFANA :
Ø Est une application open source dont le socle de base est écrit en langage
GO ce qui permet de la rendre très performante ;
Ø S'appuie sur une base MySQL qui lui permet de stocker certains
paramètres liés à son propre fonctionnement ;
Ø Embarque son propre serveur web, et utilise le format JSON pour
présenter et formater l'intégralité des informations liées à un tableau de
bord. L'affichage graphique des données est réalisé dynamiquement.
Pour mieux comprendre son principe voici un schéma qui décrit en mieux son
fonctionnement :
145
Figure IV.10 : Schéma de principe grafana (Conf-ng.jres.org)
Grafana est logiciel libre sous licence Apache 2.0 qui permet la visualisation de
données. Il permet de réaliser des tableaux de bord et des graphiques depuis
plusieurs sources dont des bases de données temporelles comme GRAPHITE,
en INFLUXDB et OPEN TSDB. Il est multiplateforme, il s’appuie sur un
stockage dans une base de données. Il peut être déployé avec un Docker. Il est
écrit en GO et dispose d’une API http complète. Outre la gestion des tableaux de
bord classique (ajouts, suppression, favoris), grafana propose le partage d’un
tableau de bord actuel en créant un lien ou en créant un instantané statique de
celui-ci. Tous les tableaux de bord et toutes les sources de données sont liés à une
organisation et les utilisateurs de l’application sont liés aux organisation via des
rôles.
Grafana empêche les utilisateurs d’écraser accidentellement un tableau de bord
dont. Une protection similaire existe lors de la création d’un nouveau tableau de
146
bord dont le nom existe déjà. L’outil offre la possibilité de mettre en place des
alertes.5
Une fois les premières configurations effectuées, l’organisation par défaut est
déployée et le service est opérationnel. Le cœur s’appuie sur trois types de plugins
qui seront définis pour l’une de la plateforme et ce quelle que soit l’organisation :
Ø Les DataSources : le plugin qui correspond au type de base que l’on
souhaite requêter (InfluxDB, Elstic Search, MySQL, …) un plugin est
installé pour chaque type de connecteur ;
Ø Les App : des plugins spécifiques permettant de se connecter directement à
une application définie.
Ø Les Panels : plugins permettant d’afficher les données selon le format
souhaité : courbes, affichage de valeurs unique, compteurs, listes. Il y en a
pour tous les besoins et aussi pour tous les goûts.
Tout s’articule ensuite autour des organisations qui sont des entités dédiées et
cloisonnées sur lesquelles nous pouvons définir :
Ø Nos comptes utilisateurs et leurs droits ;
Ø La connexion aux datasources pour un panel donné ;
Ø La mise en forme des données collectées grâce aux différents panels à
notre disposition;
Ø L’ordre souhaité de lecture des dashboards grâce à la fonction Playlist.
De façon générale, il est intéressant de voir que l'architecture de Grafana peut
fournir le service en mode SAAS. En effet, il est possible de déléguer une
organisation à un service tiers dans lequel les administrateurs auront toute latitude
pour organiser de façon autonome leurs tableaux de bord et filtrer leurs propres
autorisations.
Pour résumer, Grafana fournit l'intégralité des outils pour agréger, organiser et
analyser les données issues de bases hétérogènes ou d'applicatifs différents avec
une souplesse assez déconcertante. Nous allons maintenant vous décrire plus
5
http://wikipédia/grafana.com
147
précisément les briques qui composent Grafana ainsi que les méthodes de
collecte et d'analyse en prenant quelques exemples de tableaux de bord déjà
réalisés. 6
IV.10.2.1 Panels
Afin de réaliser des tableaux de bord conviviaux, Grafana fournit des plugins de
type panels pour mettre en forme les données collectées. Ces dernières peuvent
être visualisées sous diverses formes pour les séries chronologiques et non
chronologiques :
Ø Des tableaux ;
Ø Des histogrammes ;
Ø Des diagrammes circulaires ;
Ø Des gauges ;
Ø Du texte ;
Ø etc.
Entrons un peu plus dans le détail du tableau de bord de la figure 2 composé de
quatre lignes :
Ø Sur la première, nous utilisons trois panels différents. Le panel Clock pour
afficher l'heure, sur les deux suivants de type Text contenant du code html,
nous affichons l'humeur du jour (un peu d'humour …) et le trafic en temps
réel, idéal quand nous partons du bureau le soir ;
Ø Sur la seconde, le panel Singlestat permet d'afficher la dernière valeur des
températures dans les salles. Pour cela nous utilisons une instance de
connecteur à la base InfluxDB dans laquelle nous envoyons les données
obtenues par nos différents scripts ;
Ø Sur la troisième, le panel est du même type que précédemment mais avec
un affichage au format jauge ainsi que les tendances temporelles en arrière-
plan ;
6
Julien Camoin et Ali, Optimisez et communiquer grâce à la supervision, Nantes, Edition, 2017, page3-4.
148
Ø Sur la dernière ligne, nous nous appuyons sur le panel Zabbix Triggers qui
nous remonte de façon harmonieuse les alertes en temps réel.
149
InfluxDB stocke des données de série temporelle (i.e. l’information avec son
horodatage) qui nous permet de réaliser des requêtes continues et des analyses en
temps réel sans submerger la base de données. En raison de ses nombreux
avantages, InfluxDB est largement utilisé dans le domaine de l’Internet des objets
(IOT).
Le langage SQL-like permet d’obtenir des informations composées de mesures
(measurements), de séries (series) et de points. Chaque point est constitué de
paires Clefs et Valeurs et d’un TimeStamp. Des points groupés forment une série
et des séries sont groupées pour former une mesure.
InfluxDB au travers de son API accepte les données de n’importe quel langage de
programmation capable d’envoyer des requêtes HTTP de type POST. Ces
données peuvent être de type :
Ø Entiers ;
Ø Flottants ;
Ø Chaines de caractère ;
Ø Booléens.
Cette API permet d’interagir avec une base de données de type InfluxDB (créée
par l’utilisateur au préalable). L’API utilise des codes de réponses HTTP,
différents types d’authentification et les réponses sont au format JSON.
Ø Création d’un DataSource
Nous passons ensuite au paramétrage du datasource. Un autre avantage de
Grafana est que toute la configuration des dashboards, plugins et datasource se
réalise facilement depuis l’interface graphique. De façon générale, le
paramétrage de chaque datasource s’effectue quasiment de la même façon
quel que soit le type de base de données accédée. Pour le bon fonctionnement
du datasource souhaité, il convient d’indiquer les informations de connexion.
IV.10.2.4 Alimentation
Pour alimenter un datasource, plusieurs possibilités s’offrent à nous. Soit par
l’intermédiaire d’une API comme c’est le cas pour Zabbix, soit par des scripts
150
utilisant le protocole HTTP. Nous allons présenter la deuxième méthode, plus
particulièrement avec les langages PowerShell - PowerCli et Bash.
151
Prometheus. En août 2018, la Cloud Native Computing Foundation annonçait
que Prometheus était utilisable en production.
153
une valeur sur huit octets. Mais en réalité, Prometheus fait appel à un stockage
par double delta. Le principe est simple : pour la première mesure, il utilise un
stockage brut, pour la seconde mesure il fait la différence par rapport à la
première mesure et toutes les autres mesures sont stockées par rapport au delta
du delta de la valeur précédente. Sur une grande quantité de données, cet
algorithme permet de réduire l’espace consommé pour arriver à une moyenne de
l’ordre de 1.37 octet par échantillon de métrique (au lieu des 16 octets initiaux.)
154
− Distribuer le ticket à tous les techniciens
− Durant toutes les étapes de la résolution d’un problème, on doit garder le
même numéro de ticket.
− Les tickets doivent rester ouverts jusqu’à résolution du problème telque
signalé.
EXEMPLE DE TICKET
155
IV.10.4 Gestion de performance
1. netflow
− Collecte les informations sur le flux réseau au travers des routeurs Cisco (et
certains autres)
− Information AS <-> AS
156
− Information IP/ports source et destination utiles pour une
− comptabilité de donnée et les statistiques.
o _ Quel part de mon trafic a rapport avec le port 80?
o _ Quel part de mon trafic va vers l’AS237?
Exemple Netflow
157
(i) Requête standard
(ii) Requêtes spécifiques a une entreprise
− Utiliser les données de la MIB
Avec le protocole SNMP, le système de gestion du réseau est basé sur trois
éléments principaux : Les équipements gérés, des agents et Les systèmes de
management de réseau.
− Les équipements gérés : ce sont des éléments du réseau (ponts, hubs,
routeurs ou serveurs), contenant des "objets de gestion" pouvant être des
informations sur le matériel, des éléments de configuration ou des
informations statistiques ;
− Les agents : c'est-à-dire une application de gestion de réseau résidant dans
un périphérique et chargé de transmettre les données locales de gestion du
périphérique au format SNMP ;
− Les systèmes de management de réseau (network management systems
notés NMS), c'est-à-dire une console à travers laquelle les administrateurs
peuvent réaliser des tâches d'administration.
158
− Les logiciels installés, ...
− MRTG http://www.ee-staff.ethz.ch/~oetiker/webtools/mrtg/
− RRD tool http://ee-staff.ethz.ch/~oetiker/webtools/rrdtool/
− Cricket http://cricket.sourceforge.net/
IV.10.5.1 1Avantage
− Simple à utiliser et à configurer
− Identifier rapidement les pointes et les creux du trafic
− Afficher n’importe quelle information transmis à travers SNMP
IV.10.5.2 MRTG
Traffic Analysis for 2 -- noc.ws.afnog.org
Maintainer: postmaster@localhost
159
Description: fxp1
ifType: ethernetCsmacd (6)
ifName:
Max Speed: 100.0 Mbits/s Ip: 81.199.109.1 (host-81-199-109-1)
The statistics were last updated Thursday, 12 June 2003 at 13:50,
at which time 'noc.ws.afnog.org' had been up for 1 day, 15:20:26.
160
NOC en pratique : Observation du réseau et services – Nagios
(http://www.nagios.org/)
− Observe l’état du réseau
− Signale les problèmes
− Observe le changement d’état des problèmes
− Résoudre les problèmes
− Statistiques
161
Figure IV.15 : Système de ticket
Système de ticket – RT (www.fsck.com/rt/)
− Création de tickets
(i)En tant que client
(ii)En tant qu’ingénieur
− Consulter les tickets
− Prendre/Assigner des tickets
− Suivi par mail et Web
− Base de connaissances RTfm
162
163
IV.10.5.3 Netdisco
164
IV.10.5.4 NTOP
IV.10.5.4 Cacti
Les principales caractéristiques de ce logiciel :
165
Cacti-http://raxnet.net/products/cacti/
Outils de diagnostic
166
Architecture d’un système de gestion réseau
IV.10.5.5 RRDTool
RRDTool (Round Robin Database Tool) n'est pas un logiciel à proprement
parler. C'est un ensemble d'outils permettant de stocker des données et de les
restituer sous forme de graphiques.
Les données sont organisées selon un format très compact (les bases RRD), qui
ne retient que les données nécessaires à la création des graphes.
L'auteur de cette suite d'outils est Tobias Oetiker, le créateur de MRTG. On peut
dire que Cacti est une sorte de frontend à RRDTool, car il sert d'interface
graphique à la création et à la manipulation de ces bases RRD (bien que ce ne soit
pas son seul rôle).
SNMP en cacti
168
L'utilisation que Cacti fait du SNMP est en mode pull (Cacti vient récupérer des
données sur le matériel réseau en l'interrogeant). Il faut savoir que le matériel
réseau lui-même peut envoyer des informations (des « trappes ») via le protocole
SNMP à un collecteur de données lorsqu'il se produit un évènement important
(coupure réseau, défaillance matérielle, etc.) mais Cacti ne sait pas les exploiter.
Installation de CACTI [ 9-14]
Cacti utilise RRDTool, PHP, SNMP et MySQL. Tous ces graphiques
permettront à l'administrateur réseau d'anticiper et de résoudre les problèmes
réseaux et systèmes.
- Installer CACTI
169
- Confirmer MySql cacti user password
170
Vous devez sélectionner le type d'installation comme nouvelle installation et
cliquez sur continuer.
171
Maintenant l'écran de connexion de cacti s’affiche comme suit :
172
La première fois il nous invite à changer le mot de passe de l'utilisateur admin
cacti pour des raisons de sécurité, puis on clique sur Enregistrer
173
d. Configuration de CACTI :
Faire un graphique d’un hôte pour la première fois se fait simplement en 3 étapes
:
1. Créer l’hôte
2. Créer le graphique
3. Déclarer l’hôte dans l’arbre de présentation
Ø Créer l’hôte :
Dans la catégorie MANAGEMENT, cliquez sur DEVICES, puis sur ADD en
haut à droite.
Le formulaire propose les champs suivants :
174
▪ Description : nom de l’hôte qui apparaîtra dans Cacti et non une véritable
description
▪ Hostname : adresse IP ou nom DNS de l’hôte
▪ Host Template : modèle de template qui sera appliqué sur l’hôte (on peut
créer un modèle dans lequel on indique tous les scripts qui s’appliqueront
sur un hôte)
Puis cliquez sur CREATE. Dans la nouvelle fenêtre, nous allons y inscrire l’hôte.
Cliquez sur ADD.
Le menu TREE ITEM TYPE contient trois options :
Une fois ces étapes réalisées les graphes choisis sont affiché dans l’onglet graphe
comme suit : Exemples de graphe pour localhost :
Graphe « Moyenne de téléchargement »
177
Exemples de graphe pour le host nommé laptop :
Graphe « Utilisation de mémoire »
178
Graphe « Utilisation de CPU »
179
CHAPITRE V. SECURITE RESEAU ET LOGICIEL
180
technique.
IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour
la réaliser : l’auteur du SMSI est libre de choisir la méthode qui lui convient, à
condition qu’elle soit documentée et qu’elle garantisse que les évaluations
réalisées avec son aide produisent des résultats comparables et reproductibles. Un
risque peut être accepté, transféré à un tiers (assurance, prestataire).
Un exemple de méthode d’analyse de risque utilisable dans le cadre d’IS 27001
est la méthode EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité), qui « permet d’apprécier et de traiter les risques relatifs à la sécurité des
systèmes d’information (SSI).
La norme IS 27001 précise la démarche qui doit être suivie pour élaborer et
mettre en place le SMSI : sans entrer trop dans les détails, ce qui risquerait
d’enfreindre les droits des organismes de normalisation qui vendent fort cher les
textes des normes, disons que l’organisme désireux
Toute mesure de protection logique est vaine si la sécurité physique des données
et des traitements n’est pas convenablement assurée. Il est conseillé de tenir
compte des points suivants :
− Qualité du bâtiment qui abrite données et traitements, à l’épreuve des
intempéries et des inondations, protégées contre les incendies et les
intrusions ;
− Contrôles d’accès adéquats ;
− Qualité de l’alimentation électrique ;
− Certification adéquate du câblage du réseau local et des accès aux réseaux
extérieurs ; la capacité des infrastructures de communication est très
sensible à la qualité physique du câblage et des connexions ;
181
− Pour l’utilisation de réseaux sans fil, placement méticuleux des bornes
d’accès, réglage de leur puissance d’émission et contrôle des signaux en
provenance et à destination de l’extérieur. Ces précautions prises, il faut
néanmoins envisager qu’elles puissent se révéler insuffisantes, et que
l’intégrité physique de votre système d’information soit alors compromise.
La compromission d’un système d’information désigne le fait qu’un intrus
ait pu, d’une façon ou d’une autre, en usurper l’accès pour obtenir des
informations qui auraient dû rester confidentielles. Pour éviter que cette
circonstance n’entraîne la disparition de l’entreprise, il aura fallu prendre
les mesures suivantes :
▪ Sauvegarde régulière des données sur des supports physiques
adéquats distincts des supports utilisés en production et conserver
ses données dans un endroit ;
▪ Transport régulier de copies de sauvegarde en dehors du site
d’exploitation ;
▪ Aménagement d’un site de secours pour les applications vitales.
182
des entreprises, donc de leurs intérêts commerciaux. Pour les entreprises, il
s'agit de réduire le coût qui résulte d'attaques, de la perte de temps, de la
perte d'informations, de l'espionnage, ou des fuites involontaires
d'informations, etc. ;
− le développement du commerce et des échanges électroniques.
L’authentification contribue à la facturation des services et contribue à la
confiance dans l’économie numérique, condition indispensable du
développement économique ;
− la protection de la vie privée. Les données personnelles véhiculées dans les
systèmes d'information sont des données sensibles à protéger.
Les techniques d'authentification font partie des technologies clés. En France,
elles sont identifiées comme telles dans le rapport sur les technologies clés 2010
(voir site sur les technologies clés 2010). Les efforts entrepris par les constructeurs
et fournisseurs de services Internet (Ebay, Yahoo, PayPal, etc.) pour mettre en
œuvre des systèmes d'authentification, notamment d'authentification forte, nous
montrent clairement que l'authentification est un des enjeux majeurs pour le futur.
V.2.2.1 La Preuve
Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que
celui-ci possède une preuve de son identité ou de son statut, sous l'une des formes
(éventuellement combinées) suivantes :
− Ce qu'il sait (mot de passe, numéro d'identification personnel) ;
− Ce qu'il possède3 (acte de naissance, carte grise, carte d'identité, carte à
puce, droit de propriété, certificat électronique, diplôme, passeport, carte
Vitale, Token OTP, Carte OTP, Téléphone portable, PDA, etc.) ;
− Ce qu'il est (photo, caractéristique physique, voire biométrie) ;
− Ce qu'il sait faire (geste, signature). Avec l’importance et la sensibilité des
informations, plusieurs méthodes d’authentifications ont vu le jour. Nous
allons nous intéresser à la biométrie
183
V.2.2.2 La Biométrie
Nous entendons parler de plus en plus de la biométrie car elle est chaque jour
plus présente dans notre entourage. Les systèmes d’authentification biométriques
peuvent être une solution fiable et rapide pour contrôler notre identité et
surveiller des zones sensibles.
Cette technologie émergente est certes intéressante dans bien des situations, mais
il est nécessaire de prendre en considération certains points avant d’envisager de
telles solutions : Les appareils de reconnaissance automatique ne sont pas fiables
à 100 % ; il faut être conscient qu’il peut y avoir des défauts. Il en va de même
pour les logiciels qui les exploitent. De ce fait, il faut définir les conditions de
fiabilité d’une signature numérique afin de calculer les risques d’erreur ;
184
fiable du fait qu’il est possible de définir plus de 240 points caractéristiques.
Certains systèmes d’identification évolués permettent de contrôler que l'iris
change bien de taille avec l'intensité de la lumière.
185
son réseau. La sécurité du réseau vous aide également à protéger les
informations propriétaires contre les attaques. En fin de compte, cela
protège votre réputation.
Un réseau assure le transport des messages échangés entre deux applications
distantes. Dans le modèle OSI les services déployés par le réseau sont classés en
sept couches, physique, données, réseau, transport, session, présentation et
application. Le modèle classique des réseaux TCP/IP ne comporte que 5
couches, physique (PMD+PHY), données (MAC+LLC), réseau (IP), transport
(UDP+TCP) et applications.
Dans cette section nous ne prendrons en compte que ce dernier modèle, qui est
aujourd’hui le standard de facto pour l’échange d’informations numériques.
186
Figure V.2 : Catégories des infrastructures de sécurité de réseau
Schématiquement nous classerons les infrastructures de sécurité des réseaux en
cinq catégories,
A. Le chiffrement au niveau physique sur des liaisons point à point. Par
exemple cryptographie quantique (PMD), saut de fréquences pseudo
aléatoire, ou chiffrement 3xDES du flux octets (une méthode couramment
déployée par les banques).
Dans ces différentes procédures les clés sont distribuées manuellement.
B. Confidentialité, intégrité de données, signature de trames MAC. C’est la
technique choisie par les réseaux sans fil 802.11. La distribution des clés est
réalisée dans un plan particulier (décrit par la norme IEEE 802.1x). Dans,
ce cas on introduit la notion de contrôle d’accès au réseau LAN, c’est à
dire à la porte de communication avec la toile d’araignée mondiale. C’est
une notion juridique importante, le but est d’interdire le transport des
informations à des individus non authentifiés (et donc potentiellement
malveillants…)
C. Confidentialité, intégrité de données, signature des paquets IP et/ou TCP.
C’est typiquement la technologie IPSEC en mode tunnel. Un paquet IP
chiffré et signé est encapsulé dans un paquet IP non protégé. En effet le
routage à travers l’Internet implique l’analyse de l’entête IP, par les
passerelles traversées. IPSEC crée un tunnel sécurisé entre le réseau
d’accès et le domaine du fournisseur de service. On peut déployer une
gestion manuelle des clés ou des protocoles de distribution automatisés tels
187
que ISAKMP et IKE. La philosophie de ce protocole s’appuie sur la libre
utilisation du réseau d’accès ce qui n’est pas sans soulever des problèmes
juridiques. Par exemple des pirates protègent leurs échanges de données, il
est impossible aux réseaux traversés de détecter leur complicité dans le
transport d’informations illégales.
D. Insertion d’une couche de sécurité additive assurant la protection
d’application telles que navigateurs WEB ou messageries électroniques. Par
exemple le protocole SSL basé sur la cryptographie asymétrique réalise
cette fonction. Généralement ce dernier conduit une simple
authentification entre serveur et client. Il utilise un secret partagé (Master
Secret) à partir duquel on dérive des clés de chiffrements utilisées par
l’algorithme négocié entre les deux parties. Par exemple dans le cas d’une
session entre un navigateur et un serveur bancaire, le client authentifie son
service bancaire. Une fois le tunnel sécurisé établit le client s’authentifie à
l’aide d’un login et d’un mot de passe. Il obtient alors une identité
temporaire associée à un simple cookie.
E. Gestion de la sécurité par l’application elle-même. Ainsi le protocole S-
MIME réalise la confidentialité, l’intégrité et la signature des contenus
critiques d’un message électronique.
Authentification – Autorisation
189
Figure V.3 : Chiffrement et déchiffrement
ü Un autre problème des implémentations de base est leur utilisation par
défaut des ports TCP et UDP bien connus pour la communication.
Malheureusement, les applications Web de nombreuses entreprises sont
des solutions packagées, ce qui empêche l’organisation de modifier les
ports prescrits. En conséquence, une fois que les systèmes de la DMZ sont
compromis, l'attaquant peut facilement compromettre d'autres systèmes à
cause des ports tcp / udp par défaut. En outre, les systèmes de la zone
démilitarisée bénéficient de peu ou pas de contrôles de surveillance ou de
sécurité.
ü En outre, l'architecture réseau de base basée sur le Web ne protège pas
contre les attaques d'applications (par exemple, les dépassements de
mémoire tampon ou les injections), car sa principale source de protection
est les pare-feu réseau. À mesure que les attaques d'applications gagnent en
popularité, les pare-feu basés sur le réseau seront insuffisants pour
empêcher efficacement les attaques de cette nouvelle menace. Alors que
certains pare-feu réseau ont des capacités de pare-feu d'application, la
plupart des experts en sécurité considèrent ces offres sous-alimentées
comme moins protectrices que les pare-feu d'application à usage unique
disponibles. En fait, les pare-feu réseaux ne peuvent pas du tout protéger
les applications Web personnalisées.
ü Le diagramme ci-dessous représente l'architecture réseau ultra-sécurisée de
base, qui répond à toutes les exigences réglementaires et limite la
probabilité d'obtenir des informations tant que tous les composants
architecturaux sont correctement gérés, entretenus et surveillés. Bien qu'il
emploie un certain nombre de couches de sécurité implémentées à travers
une variété de mesures de sécurité, aucun système ne peut fournir une
protection absolue de vos informations. Ce n'est que par une vigilance
constante que le système peut être correctement sécurisé.
190
FigureV.4 : architecture sécurisé
Les serveurs situés dans le LAN sécurisé offrent leur propre niveau de sécurité en
ne stockant que des informations cryptées. Mais ce n'est qu'une partie de
l'histoire. La clé de la sécurisation des serveurs dans le LAN sécurisé utilise le
concept de «motel de gardons»: les informations circulent, sont cryptées et
stockées, mais elles ne s'écoulent pas sans un cas de force majeure.
191
Figure V.5 : LAN Sécurisé
Serveur Kerberos
Kerberos est un protocole d'authentification réseau. Il est conçu pour fournir une
authentification forte pour les applications client / serveur en utilisant la
cryptographie à clé secrète. Une implémentation gratuite de ce protocole est
disponible auprès du Massachusetts Institute of Technology. Kerberos est
également disponible dans de nombreux produits commerciaux.
Internet est un lieu peu sûr. De nombreux protocoles utilisés sur Internet
n'offrent aucune sécurité. Les outils permettant de "renifler" les mots de passe
hors du réseau sont couramment utilisés par les pirates malveillants. Ainsi, les
applications qui envoient un mot de passe non chiffré sur le réseau sont
extrêmement vulnérables. Pire encore, d'autres applications client / serveur
comptent sur le programme client pour être "honnête" quant à l'identité de
l'utilisateur qui l'utilise. D'autres applications comptent sur le client pour limiter
ses activités à celles qu'il est autorisé à faire, sans autre application par le serveur.
192
− Les mots de passe. Un mot de passe est une suite de caractères qui peut
être facilement mémorisée par un être humain. Il ne s’agit pas d’un
nombre aléatoire mais au contraire d’une concaténation de mots, de
chiffres et de signes. De tels secrets peuvent être devinés à l’aide d’une
attaque par dictionnaire, c’est à dire un programme utilisant une base de
données pour la génération de ces valeurs.
Les secrets partagés Il s’agit en fait d’un nombre aléatoire, dont la taille est
l’ordre de 128 à 160 bits. Un cerveau humain éprouve beaucoup de
difficultés à mémoriser ces informations. Le stockage sécurisé du secret est
réalisé par exemple par le système d’exploitation d’un ordinateur personnel
ou par une carte à puce.
− Le mode provisioning. Dans les réseaux GSM ou UMTS une base de
données centralisée gère les comptes utilisateurs, en particulier leur PSK.
Afin d’éviter des interrogations fréquentes les méthodes d’authentification
sont conçues de telle manière que le site central puisse produire des
vecteurs d’authentification (triplets GSM ou quadruplets UMTS),
réutilisables par des agents de confiance.
Ces procédures sont basées sur des algorithmes tels que ECC, RSA ou
Diffie-Hellman. Le protocole SSL/TLS est généralement utilisé pour le transport
de ces échanges.
V.4.1 IPSEC
IPSEC assure l’intégrité, l’authentification et la confidentialité des charges
transportées par le protocole IP. Les ressources cryptographiques sont déduites
d’une association de sécurité (SA) basée sur un secret partagé entre les deux
entités de la session sécurisée IP. La difficulté de déploiement du protocole
IPSEC est liée au mécanisme d’établissement d’un SA, à l’aide du protocole IKE
(qui réalise un premier tunnel sécurisé à l’aide d’un protocole de Diffie-Hellman).
Bien que l’usage de certificats soit possible, c’est généralement une clé pré définie
(PreShareKey) qui permet l’authentification des deux extrémités de la
communication.
194
Figure V.6 : En tête du protocole ESP
V.4.2 TLS/SSL
195
L’internet VPN ;
L’extranet VPN.
Il est utilisé pour permettre à des utilisateurs itinérants d’accéder au réseau de leur
entreprise. L’utilisateur se sert d’une connexion internet afin d’établir une liaison
sécurisée.
Il est utilisé pour relier deux ou plusieurs intranets d’une même entreprise entre
eux, ce type de réseau est particulièrement utilise au sein d’une entreprise
possédant plusieurs sites distants.
Cette technique est également utilisée pour relier des réseaux d’entreprise, sans
qu’il soit question d’intranet (partage de données, de ressources, exploitation de
serveurs distants.)
196
Figure V.10 : Intranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires.
Source: https://rsmus.com
Monitoring: Wireshark, Nagios, Zabix, MRTG
197
Source: https://rsmus.com
La disponibilité est devenue un sujet très important surtout où les besoins de
service ne cessent pas d’accroitre et surtout que les attaque comme le déni de
service est beaucoup plus utilise par les attaquants.
V.5 LOGICIEL
198
• Le comportement d’un programme dépend de ses données (et de son
environnement)
✔ Le maillon faible
C’est l’humain
• « Idée » : bugs de conception
• « Écriture » : bugs d’implémentation
✔ Bug (bogue)
• défaut de conception
• d’un programme informatique
• à l’origine d’un dysfonctionnement
199
CHAPITRE VI. EVOLUTION DES GENERATIONS DE RESEAU
GSM
200
Figure VI.1 : Schématisation de l’évolution des télécommunications (source :
https://prc.chapters.comsoc.org )
La troisième étape poursuit la banalisation des flux. La voix n’est plus seulement
numérisée, les différents éléments d’informations sont rassemblés en paquets,
comme la donnée. On parle alors de « voix paquétisée », permettant ainsi un
traitement de bout en bout identique pour les deux flux. Dans cette approche, le
protocole de transport est identique, mais les protocoles usagers restent différents.
L’usager n’a plus besoin que d’un seul accès physique au réseau de transport
(réseau voix/données).
Les flux sont séparés par un équipement (équipement voix/données) localisé chez
l’usager et sont traités par des systèmes différents. La quatrième étape consiste en
une intégration complète, les équipements terminaux ont une interface d’accès
identique mais des fonctionnalités applicatives différentes. La voix et la donnée
peuvent, non seulement cohabiter sur un même réseau, mais collaborer dans les
201
applications informatiques finales : c’est le couplage informatique téléphonie de
manière native.
202
Japon. Mais, dans les premières années de son existence, l’UMTS n’apporte que
peu de différenciation et de gain en performance avec la 2G version EDGE.
L’évolution des usages :
Parallèlement aux évolutions de l’offre technologique décrite précédemment
l’engouement du public pour ce moyen de communication croît à grande vitesse.
En effet le numérique ouvre des possibilités nouvelles. A partir de la 3G, si
l’utilisation du « mobile » pour téléphoner continue de croître, elle se fait
rapidement dépasser par les « applis » sur internet.
C’est autour de ces nouvelles technologies et nouveaux services que, désormais,
se développent les nouvelles générations de « transmissions vers les mobiles ».
203
La 4G tente de répondre aux évolutions et à la massification des usages en
adoptant des solutions augmentant l’efficacité d’utilisation des gammes de
fréquences disponibles. Elle concrétise aussi la volonté des opérateurs de réduire,
dans un double objectif de cohérence technique et de réduction des coûts, la
variété des solutions techniques utilisées dans les différents pays pour véhiculer
des informations, en adoptant des protocoles qui sont désormais universellement
utilisés.
Outre l’adaptation en débits et en capacité de toute l’infrastructure des réseaux
fixes, ce qui change en LTE :
Ø Tout d’abord le réseau, dans sa globalité, est « tout IP ». Cela signifie que
204
• Les types d’antennes utilisées côté terminal et côté réseau (antennes
relais) ainsi que la distance entre le terminal et la (ou les) antennes
fixe(s).
• Le débit est très inférieur en périphérie de cellules radio à cause des
interférences avec les cellules adjacentes.
• Les utilisateurs se partageant la bande passante au sein d’une cellule,
plus ils sont nombreux et moins chacun a de débit unitaire.
• Même si LTE fonctionne encore à 350 km/h, le mouvement du
terminal influe sur le débit utile qui se réduit au fur et à mesure que
la vitesse du terminal augmente.
Ø Des difficultés sont constatées dans la couverture de certains usages,
205
Global Packet
2,5 G GPRS 170 Kbps/50/17
Radio Services
1992
Enhanced Data
2,8 G EDGE 384 Kbps/240
Rate
Universal
2001 3G UMTS Mobile Telco 384 Kbps/300
Syst
Higth Speed
2007 3G + HSPA 14,4 Mbps/ 3,6
Packet Access
Higth Speed
2009 3G H+ HSPA+ 21 Mbps/5
Packet Access +
2011 3G H+ DC DC HSPA+ Dual Cell HSPA 42 Mbps /10
Long Term 300 Mbps pour 20
2012 4G LTE
Evolution Mhz
Capacité des
2019 5G
données illimitées.
Face aux bouleversements de toute nature apportés par les smartphones, le succès
de la 4G (en grande partie lié à l’adoption du protocole IP), l’apparition de
nouveaux usages et de nouveaux besoins très prometteurs, les opérateurs, les
industriels des télécommunications et les autorités publiques (comme la
Commission Européenne) ont décidé de réfléchir ensemble à l’évolution de la
4G, non plus simplement au niveau des réseaux, mais aussi au niveau des services
et du système complet de transmission d’information adapté. Cette réflexion s’est
établie sur des bases ambitieuses :
− Un réseau basé sur une terminaison radio garantissant raccordement aisé et
liaison continue avec tous les mobiles, totalement compatible avec les
solutions filaires.
206
− Des capacités fortement augmentées (redéfinies autour des besoins de
transmission et d’échange de données, distribution télévision et jeux,
relation avec big data et cloud, suivi de process à distance, échanges entre
voitures autonomes …) nécessitant l’usage de nouvelles bandes de
fréquence (plus élevées).
− Un temps de transmission très réduit, quasi « temps réel »,
− Une approche globale, une vision mondiale.
− Un outil multiforme à tous les niveaux de la transmission mais totalement
basé sur IP.
207
CHAPITRE VII. PLAN NATIONAL NUMERIQUE CONGOLAIS
208
Bibliographie
209