Your Document

Université de Kinshasa
Cours : Réseaux Informatiques L2 Genie
Christian D. BOPE, PhD
2019-2020
1
Table of Contents
Objectif et plan du cours ........................................................... 6

Résultat d'apprentissage ............................................................. 7
Activités d’apprentissage ............................................................ 7
Analyse d’activités ..................................................................... 8
CHAPITRE I. GOUVERNANCE DE L’INTERNET,
NORMALISATION ET STANDARDISATION .......................... 8
I.1 NORMALISATION ......................................................................................... 8
I.1.1 Définition et but de la norme ...................................................................... 8
I.1.2 Groupements de construction d’une norme .................................................. 9
I.1.3 Principes d’élaboration d’une norme (ISO) .............................................. 10
I.1.4 Normes et agrément................................................................................... 11
I.1.5 Sortes de norme ......................................................................................... 11
I.1.5.2 Normes.................................................................................................... 15
I.2 GOUVERNANCE D’INTERNET ................................................................ 18
CHAPITRE II. ARCHITECTURE DE RESEAU AVANCE ......... 19
II.1 CONCEPTS DE BASE ................................................................................. 19
II.1.1 Principe de fonctionnement d’une architecture en couches.................... 19
II.2 Modèle OSI (Open System Interconnection) ................................................ 20
II.2.1 Modèle OSI (Open Interconnexion System) .......................................... 21
II.2.2 Différentes couches du modèle OSI ........................................................ 22
Transmission de Données.................................................................................. 35
II.2.5 Protocol Data Unit ................................................................................... 35
II.3 Modèle TCP-IP .............................................................................................. 36
II.3.1 Objectifs de TCP/IP ................................................................................. 36
II.3.2 Modèle TCP/IP à quatre couches............................................................ 37
II.3.3 Encapsulation de données ........................................................................ 38
II.3.4 Résumé des opérations............................................................................. 39
II.3.5 Modèles et protocoles en détail ............................................................... 41
II.3.6 Tableau comparatif entre le modèle OSI et TCP-IP .................................. 42
II.3.7 Adressage, identifiants et matériel ............................................................... 42
II.4 Adressage IP ................................................................................................... 43
II.4.1 Introduction .............................................................................................. 43
2
II.4.2 Routage interdomaine sans classe (CIDR, Classless Inter Domain
Routing) .............................................................................................................. 45
II.4.3 Algèbre de Boole (Circuit Logique OU & ET) ....................................... 47
II.4.4 Classes d’adresses IP ................................................................................ 48
II.4.4.4 Adresse IP Prive .................................................................................... 52
II.4.5 Sous Réseau et Masque de sous réseau ................................................... 52
II.4.6 VLSM (Variable Length Subnet Mask) ................................................... 55
II.5 Protocole de routage avance ........................................................................... 58
II.5.1 Le routage sur un réseau .......................................................................... 58
II.5.2 Algorithme de routage .............................................................................. 58
II.5.3 Principes du Routage IP ........................................................................... 58
II.6 Protocole de Routage IP ................................................................................. 59
II.6.1 Définition du routage statique et dynamique ........................................... 61
II.6.2 Protocole OSPF (Open Shortest Path First) ............................................ 62
II.6.3 Protocole ISIS (Intermediate System to Intermediate System) ............... 71
II.7.4 Protocole BGP ......................................................................................... 75
II.8 Architecture Avancée...................................................................................... 86
II.9 Technologie Internet : Point d’échange ......................................................... 92
II.9.1 Fonctionnement des IXP ......................................................................... 93
II.9.2 Avantages des IXP .................................................................................... 94
II.9.3 Les Point d’échanges en Afrique .............................................................. 95
CHAPITRE III. VIRTUALISATION ET CLOUD COMPUTING
............................................................................................... 98
III.1 VIRTUALISATION .................................................................................... 98
III.1.1 Hyperviseurs ........................................................................................... 99
III.1.1.1 Hyperviseur de type 1 .......................................................................... 99
III.1.1.2 Hyperviseur de type 2 ........................................................................ 100
III.1.2 Différents types de la Virtualisation ...................................................... 100
III.1.3 Principales solutions.............................................................................. 103
III.1.4 Domaines d’application ........................................................................ 105
III.1.5 Virtualisation de Stockage ..................................................................... 107
III.2 CLOUD COMPUTING (informatique dans le nuage) ............................ 107
III.2.1 Définition du Cloud Computing........................................................... 107
III.2.2 Différents types du Cloud ..................................................................... 108
III.2.3 Architectures Cloud .............................................................................. 110
III.2.4 Avantages et Bénéfices .......................................................................... 113
III.2.5 Différents acteurs du Cloud .................................................................. 114
CHAPITRE IV. GESTION DU RESEAU ................................ 117
IV.1 Objectifs généraux ....................................................................................... 117
3
IV.2 Objectifs spécifiques .................................................................................... 117
IV.3 Qu’est-ce que la gestion de réseau ? ........................................................... 118
IV.3.1 La gestion de la configuration ............................................................... 118
IV.3.2 La gestion des fautes.............................................................................. 119
IV.3.3 La gestion de la performance ................................................................ 120
IV.3.4 La gestion de la comptabilité................................................................. 122
IV.3.5 La gestion de la sécurité ........................................................................ 124
IV.4 Les environnements de gestion ................................................................... 125
IV.4.1 Les environnements de gestion standards ............................................ 126
IV.4.2 Conception d’un environnement de gestion ......................................... 128
IV.5 Qu’est-ce que le NOC ................................................................................. 129
IV.5.1 Coordination du travail des Ingénieurs à travers le NOC .................... 129
IV.5.2 Outil d’observation réseau ! .................................................................. 131
IV.6 LES MONITEURS DE SUPERVISIONS ............................................... 131
IV.6.1 LES MONITEURS DE SUPERVISIONS PAYANT ....................... 132
IV.6.2 LES MONITEURS DE SUPERVISION LIBRE .............................. 133
IV.7 TABLEAU COMPARATIF DE QUELQUES OUTILS DE
SUPERVISIONS ................................................................................................ 134
IV.8. CONCLUSION ......................................................................................... 137
IV.9 RESULTAT ET DISCUSSION ................................................................ 137
IV.10 Etude comparative entre NAGIOS, GRAFANA, PROMETHEUS. ..... 137
IV.10.1 OUTIL DE SUPERVISION NAGIOS ............................................ 138
IV.10.2 OUTIL DE MONITORING GRAFANA ...................................... 145
IV.10.3 Outil de supervision Prometheus ....................................................... 151
IV.10.4 Gestion de performance ..................................................................... 156
IV.10.5 Les outils d’administration réseau....................................................... 159
Système de ticket – RT (www.fsck.com/rt/) ..................................................... 162
CHAPITRE V. SECURITE RESEAU ET LOGICIEL ............... 180
V.1. Le système de management de la sécurité de l’information........................ 180
V.2 Sécurisation du système d’information ......................................................... 181
V.2.1 La sécurité physique ............................................................................... 181
V.2.2 Le système d’Identification et d’authentification .................................... 182
V.3 SECURITE RESEAU .................................................................................. 185
V.3.1 Architecture sécurisé du Réseaux ........................................................... 189
V.3.2 Serveur (s) LAN sécurisé (s) ................................................................... 191
V.3.3 Mécanismes symétriques ........................................................................ 192
V.3.4 Mécanismes Asymétriques ..................................................................... 193
V.3.5 Les tunnels et le VPN ............................................................................. 193
V.4 Solutions sécurisées classiques ...................................................................... 194
4
V.4.1 IPSEC ........................................................................................................ 194
V.4.2 TLS/SSL ................................................................................................. 195
V.4.3 Le VPN d’accès ...................................................................................... 196
V.4.4 L’Intranet VPN ....................................................................................... 196
V.4.5 L’Extranet VPN ...................................................................................... 197
V.5 LOGICIEL ................................................................................................... 198
V.5.1 Fonctionnement d’un logiciel ................................................................. 198
V.5.2 Fragilité logicielle .................................................................................... 199
CHAPITRE VI. EVOLUTION DES GENERATIONS DE RESEAU
GSM ..................................................................................... 200
VI.1 (1G) la première génération de réseau radio mobile cellulaire .................. 202
VI.2 (2G) la deuxième génération : GSM ........................................................... 202
VI.3 (3G) la troisième génération : UMTS ......................................................... 202
VI.4 (4G) la quatrième génération : LTE ............................................................ 203
VI.5 (5G) la cinquième génération ...................................................................... 207
CHAPITRE VII. PLAN NATIONAL NUMERIQUE CONGOLAIS
............................................................................................. 208
Bibliographie ......................................................................... 209
5
Objectif et plan du cours
Ce cours a pour objectif de donner aux étudiants de L2 Informatique, une

compréhension théorique et pratique sur la conception des architectures des
Réseaux. Pour les finalistes en Informatique, futurs ingénieurs et entrepreneurs,
ce cours sera orienté pratique, ouvert en échanges et discussions.
Et pour ce faire, le plan du cours se présente de la manière suivante : hormis

l’introduction générale (dans laquelle nous passerons en revue les notions
suivantes : Modèle OSI et Architecture TCP/IP, Adressage IPs, Topologie et
Architecture de réseau, Câblage réseau et protocole de routage) et la conclusion.
Le cours est subdivisé en sept chapitres dont : Chapitre 1, Gouvernance de
l’Internet, Normes et standardisation, à l’ère du numérique, il est
impérieux pour un ingénieur informaticien de connaître dans le moindre détail la
gouvernance de l’Internet, mais aussi ses normes et standards. Chapitre 2,
l’Architecture réseau avancée, le fondement de tout réseau repose sur son
architecture. Dans ce chapitre les étudiants seront initiés aux ‘meilleures
pratiques’ pour la conception d’une architecture réseau répondant aux normes et
standards en la matière. Chapitre 3, La Virtualisation et le Cloud
Computing, ici les étudiants s’imprégneront et seront en mesure de mettre en
place des systèmes informatiques basés sur les technologies révolutionnaires de la
virtualisation et du cloud computing. Chapitre 4, Gestion du Réseau, dans
ce chapitre, sera présenté les différents outils de monitoring des réseaux.
Chapitre 5, Sécurisation d’un Réseau, dans ce chapitre nous discuterons
sur les méthodes et technologies pour la sécurisation d’un réseau informatique.
Chapitre 6, Réseaux Wireless : Evolution des générations (1G -
5G), dans ce chapitre qui reste essentiellement théorique, les étudiants auront
une compréhension de l’évolution technologique des réseaux téléphoniques.
Chapitre 7, dans ce chapitre il sera question du Plan National Numérique
Congolais, d’aucun ne l’ignore la République Démocratique du Congo vient de
6
se doter d’un Plan National du Numérique qui est un cadre de référence du
Numérique sur le plan national.
Résultat d'apprentissage
L’étudiant qui suivra ce cours sera en mesure de :
1. Comprendre l’architecture (model OSI, plan d’adressage IPs (IPv4 &

IPv6), protocole de routage), la gestion du réseau et le fonctionnement de
la technologie Internet ;
2. Etre en mesure d’utiliser les applications et plateforme (Cloud Computing,
Virtualisation, Datacenter) et de lancer sa propre startup ;
3. Avoir une compréhension théorique et générale sur l’évolution des
générations des Réseaux Wireless
4. Comprendre le Plan National Numérique Congolais.
Activités d’apprentissage
1. L’étudiant trouvera sur sa table un questionnaire anonyme. Le

questionnaire est composé des concepts clés pour aider l’enseignant
d’évaluer le niveau des étudiants ;
2. Répondre aux questions et écrire en trois ligne vos attentes du cours ;
3. Après deux chapitres il y aura une interrogation. Le nombre total des
interrogations est de deux ;
4. Chaque chapitre constituera un TP qui sera coté ;
5. Les étudiants formeront des groupes de 5 et se verront attribuer un projet
qui sera défendu;
6. La présence au cours est obligatoire ;
7. L’examen final auras 2 parties (écrit et Oral).
7
Analyse d’activités
Les activités d’apprentissage ci-haut sont alignées avec les objectifs du cours qui
nous permettra d’atteindre les résultats d’apprentissage. Les activités 1 et 2
permettront aux enseignants de comprendre le niveau intellectuel des étudiants et
d’ajuster les contenus du cours pour une meilleur satisfaction et compréhension.
Les activités d’évaluation participative de 3 à 7 permettront aux enseignants
d’évaluer le niveau de compréhension des étudiants.
CHAPITRE I. GOUVERNANCE DE L’INTERNET,

NORMALISATION ET STANDARDISATION
I.1 NORMALISATION
I.1.1 Définition et but de la norme
La normalisation peut être vue comme un ensemble de règles destinées à

satisfaire un besoin de manière similaire. La norme a donc pour but une
standardisation de tous les processus entrant dans la chaîne de communication,
de la partie matérielle à celles logicielle et organisationnelle. La finalité étant une
communication simplifiée. Mais, produire des normes est une chose, les faire
respecter en est une autre. Les organismes qui les créent doivent avoir une forte
influence sur le monde de l’informatique ainsi que sur les composantes qui
gravitent autour.
La normalisation dans un domaine technique assure une réduction des coûts

d’étude, la rationalisation de la fabrication et garantit un marché plus vaste. Pour
le consommateur, la normalisation est une garantie d’interfonctionnement,
d’indépendance vis-à-vis d’un fournisseur et de pérennité des investissements. En
matière de télécommunication, la normalisation est issue d’organismes divers. Du
groupement de constructeurs aux organismes internationaux, la normalisation
couvre tous les domaines de la communication.
8
D’une manière générale, la normalisation ne s’impose pas, sauf celle émanant de
l’ETSI (European Telecommunications Standard Institute) qui normalise les
réseaux publics et leurs moyens d’accès.
I.1.2 Groupements de construction d’une norme

Les principaux groupements de constructeurs sont :
– ECMA (European Computer Manufactures Association), à l’origine constituée

uniquement de constructeurs européens (Bull, Philips, Siemens...) l’ECMA
comprend aujourd’hui tous les grands constructeurs mondiaux (DEC, IBM,
NEC, Unisys...).
En matière de télécommunications, l’ECMA comprend deux comités : le TC23

pour l’interconnexion des systèmes ouverts et le TC24 pour les protocoles de
communication ;
– EIA (Electronic Industries Association) connue, essentiellement, pour les

recommandations RS232C, 449 et 442.
Les principaux organismes nationaux auxquels participent des industriels,

administrations et utilisateurs sont :
▪ AFNOR, Association Française de NORmalisation,

▪ ANSI, American National Standard Institute (USA),
▪ DIN, Deutsches Institut für Normung (Allemagne), bien connu pour sa
normalisation des connecteurs (prises DIN) ;
▪ BSI, British Standard Institute (Grande Bretagne).
Les organismes internationaux :
▪ ISO, International Standardization Organization, regroupe environ 90 pays.

L’ISO est organisée en Technical Committee (TC) environ 200, divisés en
Sub-Committee (SC) euxmêmes subdivisés en Working Group (WG) ; la
France y est représentée par l’AFNOR ;
9
▪ CEI, Commission Électrotechnique Internationale, affiliée à l’ISO en est la
branche électricité ;
▪ UIT-T, Union Internationale des Télécommunications secteur des
télécommunications, qui a succédé en 1996 au CCITT (Comité Consultatif
International Télégraphie et Téléphonie), publie des recommandations.
Celles-ci sont éditées tous les 4 ans sous forme de recueils. Les domaines
d’application sont identifiés par une lettre : – V, concerne les modems et
les interfaces, – T, s’applique aux applications télématiques, – X, désigne
les réseaux de transmission de données, – I, se rapporte au RNIS, – Q,
intéresse la téléphonie et la signalisation.
▪ L’IEEE, Institute of Electrical and Electronics Enginers, société savante
constituée d’industriels et d’universitaires, est essentiellement connue par
ses spécifications sur les bus d’instrumentation (IEEE 488) et par ses
publications concernant les réseaux locaux (IEEE 802), reprises par l’ISO
(IS 8802). Le panorama serait incomplet si on omettait de citer l’IAB,
Internet Architecture Board (https://www.iab.org/about/iab-overview/), qui
a la charge de définir la politique à long terme d’Internet, tandis que l’IETF
(Internet Engineering Task Force) assure par ses publications (RFC
Request For Comments) l’homogénéité de la communauté TCP/IP et
Internet.
I.1.3 Principes d’élaboration d’une norme (ISO)
La rédaction d’une norme est une succession de publications, la durée entre le

projet et la publication définitive peut être très longue. En effet, chaque partie
tente d’y défendre ses intérêts économiques et commerciaux. D’une manière
générale, un projet de normalisation est formalisé dans un document brouillon
qui expose les concepts en cours de développement (Draft) ; lorsque ce
document arrive à une forme stable, les « drafts » sont publiés (Draft proposable),
chaque pays émet son avis (vote). Enfin, une forme quasi définitive est publiée,
10
elle constitue une base de travail pour les constructeurs (Draft International
Standard). La norme appelée International Standard (IS) est ensuite publiée.
I.1.4 Normes et agrément
Généralement, ce n’est pas parce qu’un équipement répond à une norme que
celui-ci est autorisé, de fait, à se raccorder à un réseau public. En effet, l’opérateur
public se doit de garantir aux usagers de son réseau une certaine qualité de
service. Il lui appartient de vérifier qu’un nouvel équipement ne perturbe ni le
fonctionnement du réseau sur lequel il est raccordé, ni d’autres services
télématiques. Cette mesure, souvent perçue comme une mesure protectionniste,
est en vigueur dans tous les pays. En France, c’est la Direction Générale des
Postes et Télécommunications (ex-Direction de la Réglementation Générale ou
DRG) qui est l’organe d’homologation des matériels de télécommunication.
I.1.5 Sortes de norme
I.1.5.1 Gestion Multi-acteurs
ICANN (Internet Corporation for Assigned Names and Numbers)

L’ICANN est une organisation de droit privé à but non lucratif. Son personnel et
ses participants viennent du monde entier. Elle est chargée d’allouer l’espace des
adresses de protocole Internet (IP), d’attribuer les identificateurs de protocole, de
gérer le système de nom de domaine de premier niveau pour les codes
génériques (gTLD) et les codes nationaux (ccTLD), et d’assurer les fonctions de
gestion du système de serveurs racines.
Cet organisme, qui existe depuis 1999, a pris le relais de l’IANA (Internet
Assigned Numbers Authority) lors du renouvellement du contrat avec le
gouvernement fédéral américain. Son responsable actuel est Vinton Gray Cerf
auparavant directeur de l’ISOC. Son mandat se termine en 2007.
11
L’ICANN est chargé de gérer, coordonner et centraliser les informations
concernant l’adressage public des matériels informatiques connectés sur le réseau
mondial. Il regroupe l’ensemble des acteurs du monde des télécommunications.
Il est chargé de gérer le site internet de l’interNIC qui propose la possibilité à
n’importe qui, d’obtenir des informations sur les noms de domaines
(fonctionnalité whois).
Figure I.1: Fonctionnement d’ICANN
Les trois missions principales de l’ICANN sont gérées chacune par une branche
appelée SO (Supporting Organizations) :
• La gestion des noms de domaines : DNSO (Domain Name SO)
• La gestion de l’adressage logique : ASO (Address SO)
12
• La gestion des protocoles réseaux : PSO (Protocol SO)
Le DNSO gère un DNS (Domaine Name Server) global, gère les « codes » à
savoir la dernière partie des noms de domaines. Les codes génériques, tels .com,
.org, .edu, .biz sont appelés gTLD (generic Top Level Domain), tandis que les
codes nationaux tels .fr, .uk, .ch sont appelés ccTLD (country code Top Level
Domains).
Le PSO gère tout ce qui touche aux protocoles réseaux utilisés sur Internet à
savoir les techniques qui permettent les échanges et communications entre
matériels. Il a été créé en 1999 par l’IETF (Internet Engineering Task Force), le
W3C (World Wide Web Consortium), l’ITU (International
Telecommunications Union) et l’ETSI (European Telecommunications
Standards Institute).
L’ASO gère l’adressage IP (Internet Protocol) version 4 et version 6.
Pour cela, l’ICANN s’appuie notamment sur un découpage du monde en cinq

régions géographiques. Chacune de ces régions, possède un organisme chargé de
gérer l’ensemble des adresses IP dont l’ICANN (auparavant l’IANA) l’a doté. Ce
sont les RIRs (Regional Internet Registry).
• AfriNIC (African Network information Center),
• APNIC (Asia Pacific Network Information Center),
• ARIN (American Registry for Internet Numbers),
• LACNIC (Latin-American and Caribbean Network Information

Center),
• RIPE NCC (Réseaux IP Européens Network Coordination Center).
En Juillet 1999, les RIRs se sont organisés autour d’un organisme l’ASO (Address
Supporting Organization) uniquement affecté aux problèmes d’adressage IP.
13
Les adresses IP ont été déployées pour la première fois en Juillet 1983 dans la
version 4. Mais comment l’utilisateur final obtient-il une adresse IP ? Il est évident
qu’il ne peut contacter l’organisme qui gère sa région de manière directe.
Lorsque vous vous abonnez à un fournisseur d’accès, celui-ci qui vous fournit une
adresse IP. Le problème est donc remonté d’un niveau. Comment ce fournisseur
d’accès obtient-il ces adresses ? L’organisation est un peu complexe.
L’organisation tourne autour de RIR (Regional Internet Registry), de NIR
(National Internet Registry), de LIR (Local Internet Registry) et d’ISP (Internet
Service Providers). La figure suivante permet de visualiser cette organisation.
Figure I.2 : Organisation pour l’attribution des adresses logiques
Seul l’APNIC possède des NIR, qui sont des organisations nationales de gestion
de l’adressage. Le japon, La Chine, La Korée, Taîwan ainsi que l’Indonésie sont
les cinq NIRs de l’APNIC. Par exemple, le NIR pour la chine se nomme CNNIC
(China Network National Internet Registry aussi appelé China Internet Network
Information Center). Selon, l’importance des fournisseurs d’accès (ISP), certains
peuvent être considérés comme des LIR tel France Telecom en France.
14
I.1.5.2 Normes
Internet Standard est une spécification normative d'une technologie ou d'une

méthodologie applicable à Internet. Les normes Internet sont créées et publiées
par l'Internet Engineering Task Force (IETF).
I.1.5.2.1 ISO (International Organization for Standardization)

L’ISO, créé en février 1947, est le plus grand organisme de normalisation au
monde. C’est une organisation internationale non gouvernementale dont le siège
social se situe en suisse à Genève. L’ISO travaille aussi bien sur la standardisation
d’éléments comme l’électronique, l’informatique, l’environnement et la
construction. Fin 2004, l’ISO avait déjà produit 14941 standards représentant plus
de 531000 pages de documents.
La partie électronique/informatique/télécommunication représente 15% de son

activité.
L’ISO est constitué d’instituts nationaux représentant 156 pays mais aussi de
représentants du secteur privé (industriels, représentants des consommateurs), lui
donnant ainsi une légitimité encore plus forte. Il est d’ailleurs à noter que le terme
ISO dérive du mot grec isos qui signifie « égal ».
Malgré tout, l’ISO ne possède pas la possibilité d’imposer ses normes. En effet,
l’ISO les développe, chaque membre y prenant part ou non selon ses propres
intérêts. Ensuite, une fois que le comité technique en charge de cette norme, l’a
validée, chaque pays décide ou non de les appliquer. De plus, les normes sont
revues environ tous les cinq ans à fin de les maintenir, de les mettre à jour ou de
les annuler selon leur pertinence à cette date.
De plus, l’ISO travaille en collaboration avec le CEI (Commission Electronique

Internationale) ou IEC (International Electrical Congress) première entité
internationale de normalisation créée en 1906 et l’ITU (International
Telecommunications Union). L’ISO collabore aussi avec d’autres organisations
15
internationales comme l’OMC (Organisation Mondiale du Commerce) mais aussi
l’ONU (Organisation des Nations Unies).
I.1.5.2.2 IEEE (Institute of Electronic and Electricity Engineers )

L’IEEE (prononcez I3E) « date » de 1884. Il est le résultat de la fusion de l’IRE
(Institute of Radio Engineers) et de l’AIEE (American Institute of Electrical
Engineers).
L’AIEE a été fondé le 13 Mai 1884 suite à la croissance des technologies autour
de l’électricité comme le télégraphe, l’électricité dans les villes comme New York
puis le téléphone. 25 des meilleurs ingénieurs américains décident alors de se
regrouper au sein de l’AIEE. On retrouve notamment Thomas Edison, Elihu
Thomson ainsi qu’Edwin Houston.
En 1912, deux organisations le SWTE (Society of Wireless and Telegraph

Engineers) et le WI (Wireless Institute) fusionnent pour donner l’IRE.
Il est à noter que l’IRE et l’AIEE possèdent un certain nombre de membres en

commun.
La fusion des deux organismes a lieu en 1963 pour donner l’IEEE. En effet, après
la seconde guerre mondiale, les 2 organismes travaillant sur des domaines
communs, il était difficile de distinguer leur travail.
L’IEEE a pour but de développer des standards dans les domaines suivants :
• Electricité,
• Electronique,
• Informatique,
• Télécommunication.
La gamme est très large. Pour cela, l’IEEE s’appuie sur plus de 365000 membres
répartis dans plus de 150 pays. Il est constitué de 39 groupes, 3 comités
techniques, plus de 300 sous-groupes, environ 1300 branches universitaires dans
16
les domaines aussi variés que la robotique, l’informatique, les lasers,
l’électronique. Il est à noter que 40% des membres se situent en dehors des
Etats-Unis. L’IEEE est piloté par un comité de direction ainsi qu’un comité
exécutif. Les membres représentent les 10 régions qui composent le monde. Les
régions 1 à 6 concernent les Etats-Unis, la région 7 le Canada, la région 8
l’Europe, l’Europe de l’Est ainsi que l’Afrique, la région 9 l’Amérique latine et
enfin la région 10 l’Asie et le Pacifique. L’IEEE-SA (IEEE Standards Association)
est chargée au sein de l’IEEE de proposer et de promouvoir les normes.
Les membres de l’IEEE participent financièrement et obtiennent des avantages

techniques (documentations, normes, stages).
I.1.5.2.3 ISOC (Internet SOCiety)

L’ISOC est une association constituée de professionnels intéressés par l’évolution
d’Internet tant au niveau politique, social que technique. Il est responsable d’un
certain nombre d’autres organismes notamment l’IAB (Internet Architecture
Board) responsable de l’architecture d’Internet. Ses membres sont d’ailleurs élus
par l’ISOC parmi les personnes proposées par le comité de nomination de
l’IETF (Internet Engineering Task Force) qui propose en fin de chaîne les
recommandations pour tout ce qui touche à l’Internet. L’ISOC est aussi
responsable de l’IESG (Internet Engineering Steering Group) organisme qui
contrôle la partie technique de l’IETF. L’ISOC a été créé en 1992 notamment
par de Vinton Gray Cerf créateur du modèle TCP/IP. Cette personnalité du
monde informatique en a été le responsable jusqu’en 1999.
I.1.5.2.4 IETF (Internet Engineering Task Force)

L’IETF est un organisme ou plutôt une communauté ouverte qui regroupe des
architectes réseaux, des entreprises privées, des chercheurs, toutes personnes
concernées par le développement de l’Internet et des éléments qui contribuent à
17
son fonctionnement. L’IETF a été créé en 1986 par l’IAB (Internet Architecture
Board) qui est responsable de l’architecture d’Internet.
L’IETF produit des documents gratuits (https://www.rfc-editor.org/standards)

(Request for Comments) ou des projets de recommandations appelés Draft. Les
drafts précédent toujours l’apparition d’un RFC. N’importe qui peut soumettre
une recommandation. Celle-ci est ensuite étudiée par les comités avant
transformations en RFC. A noter, les RFC sont gratuits et téléchargeables sur le
site de l’IETF au format texte compressé.
I.2 GOUVERNANCE D’INTERNET

L’ISOC est constitué de plus de 100 organisations et de 20000 individus
représentant plus de 180 pays. Elle a été créée en 1992.
"Le rôle de l’ISOC est d'assurer l'essor, l'évolution et l'utilisation de l'Internet pour
le bienfait de toutes et tous à travers le monde.".
18
CHAPITRE II. ARCHITECTURE DE RESEAU AVANCE
Le développement rapide des moyens de calcul et l’importance croissante des

systèmes d’information ont engendré la multiplicité des techniques réseaux. La
complexité croissante des besoins de communication et la diversité des solutions
adoptées ont très vite fait apparaître la nécessité de définir un modèle complet de
communication ou architecture protocolaire réseau. L’architecture réseau assure à
l’utilisateur l’accès aux ressources informatiques et lui procure un service
identique que les ressources soient locales ou distantes, pour cela elle doit être
transparente à l’utilisateur.
Connecter en transparence divers équipements provenant de constructeurs

différents pour qu’ils s’échangent des informations nécessite que ceux-ci utilisent,
non seulement, des techniques de connexion compatibles (raccordement, niveau
électrique...), mais aussi des protocoles d’échange identiques et une sémantique
de l’information compréhensible par les partenaires de la communication. Ces
problèmes, de nature différente, sont résolus chacun par une solution spécifique.
Aussi, pour éviter une description trop complexe, le système a été découpé en
entités fonctionnelles appelées couches. Une couche est donc un ensemble
homogène destiné à accomplir une tâche ou à rendre un service. L’approche en
couche garantit une évolutivité facile du système. La prise en compte d’une
nouvelle technologie ne remet en cause que la couche concernée. Le modèle de
référence est une architecture en couches.
II.1 CONCEPTS DE BASE
II.1.1 Principe de fonctionnement d’une architecture en couches
Considérons le modèle simplifié à 3 couches représenté figure ci-dessous. Pour

communiquer l’application cliente remet à la couche supérieure, ici la couche 3,
19
des données à destination de l’application serveur ainsi que les instructions
décrivant le service attendu et celles nécessaires à l’acheminement des données
vers l’application serveur. La couche 3 interprète les instructions reçues et
confectionne une structure de données à destination de la couche 3 distante, dite
couche homologue. Cette structure de données est constituée d’une part des
informations nécessaires à la couche 3 distante pour traiter ses données appelées
en-tête de niveau 3 (H3 pour Header de niveau 3) et des données elles-mêmes ;
l’ensemble forme une unité de données de niveau N. Les règles d’échange entre
données de même niveau constituent un protocole de niveau N.
Figure II.1 : Principe général de fonctionnement d’un modèle en couche
Puis, la couche 3 remet cette unité de données et des instructions (I3) à la couche
inférieure qui procède de même... Enfin les données sont émises vers le réseau.
En réception la couche la plus basse extrait l’en-tête protocolaire (H1),
l’interprète, et remet les données à la couche supérieure qui procède de même
jusqu’à remise des données à l’application distante.
II.2 Modèle OSI (Open System Interconnection)

La compatibilité (l’interopérabilité) entre équipements hétérogènes
(constructeurs, fonctions ou générations de matériels différents…) implique des
normes d’interconnexion définissant le comportement de chaque équipement vis-
20
à-vis des autres. Tout équipement (ou ensemble d’équipements) à interconnecter
est un système ouvert (un ordinateur, un terminal, un réseau…), s’il respecte des
normes d’interconnexion. Le modèle OSI est une architecture abstraite de
communication. Il est composé de sept couches, chacune remplissant une partie
bien définie des fonctions permettant l’interconnexion.
II.2.1 Modèle OSI (Open Interconnexion System)
Au début des années 70, chaque constructeur a développé sa propre solution

réseau autour de l’architecture et de protocoles privés (SNA : system Network
Architecture d’IBM ; DEC : Digital Equipment Corporation ; DSA, DEBULL,
TCP/ IP du DOD,…) et il est vite avéré qu’il serait impossibles d’interconnecter,
de faire communiquer et inter-opérer les équipements de différents Réseaux
propriétaires, si une norme internationale n’est pas établie. Cette norme établie
par l’International Standard Organization (ISO) en 1974 est la norme Open
System Interconnexion (OSI interconnexion de systèmes ouverts) [1].
Il décrit sept couches portant les noms de couche physique, couche liaison,
couche réseau, couche transport, couche session, couche présentation et couche
application. Les divers protocoles qui définissent le réseau et les communications
sont donc répartis dans chaque couche, selon leur utilité. Il est d'usage de diviser
ces sept couches en deux : les couches basses, qui se limitent à gérer des
fonctionnalités de base, et les couches hautes, qui contiennent les protocoles plus
élaborés.
Les couches basses, aussi appelées couches matérielles, s'occupent de tout ce qui
a trait au bas-niveau, au matériel. Elles permettent d’envoyer un paquet de
données sur un réseau et garantir que celui-ci arrive à destination. Elle est
généralement prise en charge par le matériel et le système d'exploitation, mais pas
du tout par les logiciels réseaux. Les couches basses sont donc des couches assez
21
bas-niveau, peu abstraites. Les couches basses sont au nombre de trois. Pour
résumer, ces trois couches s'occupent respectivement de liaison point à point
(entre deux ordinateurs/équipements réseaux), des réseaux locaux, et des réseaux
Internet.
Figure II.2 : Modèle OSI
Unité de
Couches
données
Données Application
Couches hautes
Données Présentation
Données Session
Paquet Transport
Message Réseau
matérielles
Couches
Trame Liaison de données

Bit Physique
Figure II.3: 7 Couches du Modèle OSI
II.2.2 Différentes couches du modèle OSI
Couche 1 : physique
22
Est chargée de générer les signaux électriques. Cette couche traite les bits, le
codage du signal et la mise à niveau du voltage, Couche basse (électronique ou
optique).
Elle est responsable de tous ce qui est électrique, mécanique et procédure de

vérification.
Les données seront converties en binaire 0 & 1. Les données seront sous forme
du signal électrique si le câble Coaxial ou câble Pair torsadé et en forme de
lumière si la fibre optique est utilisée. Equipement : Hubs, Répéteurs.
Couche 2 : Couche liaison de données
Est responsable de la construction des trames. Elle véhicule l’information. La

composition et l’organisation d’une trame varient en fonction de l’architecture
utilisée. La couche est responsable de l’acheminement des trames d’un nœud à
l’autre.
La Couche Liaison est divisée en 2 sous-groupes :
• LLC (Logical Link Control : IEE E 802.2) : Etablissement rupture de la

connexion, gestion de la liaison l. Le protocole LLC divisé en trois classes
de services
(i) LLC : mode non connecté (pas de reprise sur erreurs, pas de
contrôle de séquencement et duplication) ;
(ii) LLC2 : Mode connecté protocole d‟HDLC ;
(iii) LLC3 : Mode non connecté avec acquittement (détection
d’erreur).
Exemple : Wan protocoles e.g. PPP, HDLC, Frame-relay
§ MAC (Media Access Control) : contrôle de l’accès partagé au support,

contrôle d’erreur et éviter toute collision des trames. Elle est composée de
23
48 bit (12 digit nombre hexadécimal). Elle est aussi responsable de la
détection des erreurs. Equipement : Switch, Bridge, NIC.
Figure II.4 : Adresse MAC d’illustration
Exemple : Switch
Figure II.5 : Quelques IEEE Protocoles de la couche 2
24
Couche 3 : Réseau
Etablit le passage ou la route d’expéditeur vers le destinataire du paquet. Cette

couche gère donc l’adressage, le routage et le contrôle des flux. Elle est
responsable du choix de la meilleure route pour les données d’atteindre à une
destination. L’adresse logique fonctionne dans cette couche. Les informations
circulant dans la couche réseau est appelée ‘Paquets’.
Figure II.6 : Illustration du protocole route
Le Router est équipement de la couche Réseaux. Cette couche est divisée en 2

parties :
− Protocoles Routé : est un protocole qui fournit les instructions

nécessaires au niveau des équipements de la couche 3 du modèle OSI
pour roter les paquets. Ils transportent les données sur un réseau (IP, IPX,
Apple Talk).
− Protocoles de routage : est un protocole qui fournit les mécanismes qui
permet à un routeur de construire une table de routage (Une table de
routage est un ensemble de règles, souvent affichées sous forme de table,
qui est utilisé pour déterminer où les paquets de données voyageant sur un
réseau IP (Internet Protocol) seront dirigés. Tous les appareils compatibles
IP, y compris les routeurs et les commutateurs, utilisent des tables de
25
routage, de partager des informations de routage avec les autres routeurs
auxquelles il est connecté et de déterminer le meilleur chemin d’envoyer
les données au sein d’un inter réseau (exemple : RIP, IGRP, OSPF,
EIGRP).
Figure II.7 : Illustration de route de paquets par le protocole de routage
Couche 4 : Transport
Est chargée de préparer l’information pour son transport. Pour cela, la
vérification de la taille maximum permise du paquet s’effectue sur cette couche.
Le cas échéant, le paquet est segmenté pour correspondre à la capacité de
transport. Cette couche vérifie les connections vers le destinataire, en conformité
avec les exigences de l’application venant de la couche supérieure.
Elle est responsable de la connectivité de bout en bout (end-to-end), et aussi
considéré comme le cœur du modèle OSI.
Les activités suivantes sont conduites par la couche transport :
• Identification de Service
• Multiplexage & Démultiplexage
• Segmentation
• Séquencement & Réassemblage
• Correction des erreurs
26
• Contrôle de flux des informations
(i) Identification de Service
(ii) Multiplexage & Démultiplexage
− Le multiplexage consiste à envoyer sur une même ligne de
transmission des informations provenant de plusieurs sources
différentes.
Figure II.8 : le multiplexeur
− Le démultiplexage consiste à repartir sur plusieurs lignes des

informations qui arrivent en série sur une même ligne.
Figure II.9 : le démultiplexeur
(iii) Segmentation : la segmentation des paquets est le processus de

division d'un paquet de données en unités plus petites pour la
transmission sur le réseau. La segmentation des paquets se produit à la
couche quatre du modèle OSI ; la couche transport.
27
Une segmentation peut être requise lorsque :
- Le paquet de données est plus grand que l'unité de transmission
maximale prise en charge par le réseau.
- Le réseau n'est pas fiable et il est souhaitable de diviser les informations
en segments plus petits pour maximiser la probabilité que chacun d'eux
puisse être livré correctement à la destination.
(IV) Séquencement & Réassemblage :
(V) Correction des erreurs : Le contrôle des erreurs dans
TCP se fait principalement à l'aide de trois techniques simples :
1. Somme de contrôle (Checksum) - Chaque segment contient un champ de
somme de contrôle qui est utilisé pour trouver le segment corrompu. Si le
segment est corrompu, alors ce segment est rejeté par le TCP de
destination et est considéré comme perdu.
2. Accusé de réception (Acknowledgement)- TCP a un autre mécanisme
appelé accusé de réception pour affirmer que les segments de données
ont été livrés. Les segments de contrôle qui ne contiennent pas de
données mais ont un numéro de séquence sera également acquitté mais
les segments ACK ne seront pas acquittés.
3. Retransmission - Lorsqu'un segment est manquant, retardé pour être
remis au récepteur, corrompu lorsqu'il est vérifié par le récepteur, puis ce
segment est retransmis à nouveau. Les segments ne sont retransmis que
pendant deux événements : lorsque l'expéditeur reçoit trois accusés de
réception en double (ACK) ou lorsqu'un délai de retransmission expire.
a. Retransmission après RTO : TCP conserve toujours un temporisateur de
délai de retransmission (RTO) pour tous les segments envoyés mais non
acquittés. Lorsque la temporisation est épuisée, le premier segment est
retransmis. Ici, aucun temporisateur n'est réglé pour l'acquittement. Dans
TCP, la valeur RTO est de nature dynamique et elle est mise à jour en
utilisant le temps d'aller-retour (RTT) des segments. RTT est la durée
28
nécessaire à un segment pour atteindre le récepteur et un accusé de
réception à l'expéditeur.
b. Retransmission après trois segments ACK en double : la méthode RTO
fonctionne bien lorsque la valeur de RTO est petite. S'il est important, plus
de temps sont nécessaire pour obtenir la confirmation de la livraison ou
non d'un segment. Parfois, un segment est perdu et le récepteur reçoit
tellement de segments en panne qu'ils ne peuvent pas être enregistrés. Afin
de résoudre cette situation, trois méthodes d'accusé de réception en double
sont utilisées et le segment manquant est retransmis immédiatement au lieu
de retransmettre le segment déjà livré. Il s'agit d'une retransmission rapide
car elle permet de retransmettre rapidement les segments perdus au lieu
d'attendre la fin du temporisateur.
(i) Contrôle de flux des informations : Les mécanismes de contrôle de flux
utilisés dans la couche transport varient pour les différentes classes de
service. Puisque les différentes classes de service sont déterminées par la
qualité de service du réseau de données sous-jacent qui transporte les
unités de données de protocole de transport (TPDU), ce sont elles qui
influencent le type de contrôle de flux utilisé.
Ainsi, le contrôle de flux devient un problème beaucoup plus complexe au niveau

de la couche de transport qu'aux niveaux inférieurs comme le niveau de liaison de
données.
Deux raisons en cela :

- Le contrôle de flux doit interagir avec les utilisateurs de transport, les
entités de transport et le service réseau.
- Délais de transmission longs et variables entre les entités de transport.
Le contrôle de flux provoque la mise en file d'attente entre les utilisateurs de

transport, les entités et le service réseau. Nous examinons les quatre files d'attente
29
possibles qui se forment et quelles politiques de contrôle sont à l'œuvre ici.
L'entité de transport est chargée de générer une ou plusieurs unités de données
de protocole de transport (TPDU) pour passer sur la couche réseau. La couche
réseau délivre les TPDU à l'entité de transport réceptrice qui retire ensuite les
données et les transmet à l'utilisateur de destination. Il y a deux raisons pour
lesquelles l'entité de transport réceptrice voudrait contrôler le flux des TPDU :
- L’utilisateur récepteur ne peut pas suivre le flux de données.
- L’entité de transport destinataire elle-même ne peut pas suivre le flux de
TPDU. Elle est subdivisée en deux sous couches qui sont TCP et UDP.
TCP (Transmission Control Protocol) :

TCP est un protocole de la couche 4 qui fournit un accusé de réception des
paquets reçus et est également fiable car il renvoie les paquets perdus. Il est
meilleur que UDP mais en raison de ces fonctionnalités, il a une surcharge
supplémentaire. Il est utilisé par des protocoles d'application comme HTTP et
FTP.
UDP (User Datagram Protocol) :

UDP est également un protocole de la couche 4, mais contrairement à TCP, il ne
fournit pas d'accusé de réception des paquets envoyés. Par conséquent, il n'est pas
fiable et dépend des protocoles de couche supérieure pour le même. Mais d'un
autre côté, il est simple, évolutif et est livré avec une surcharge moindre par
rapport à TCP. Il est utilisé en streaming vidéo et vocal.
30
Figure II.10 : TCP vis-à-vis à UDP
Identification de service
TCP (Transmission Control Protocol) UDP (User Datagram Protocol)

- Connexion orientée - connexion pas orientée
- Acknowlegement - No Acknowlegement
- Faible - Pas Faible
- Lent - Rapide
- Port n° 6 - Port n° 17
- e.g HTTP, FTP, SMTP - e.g DNS, DHCP, TFTP
TCP est un protocole orienté connexion. L'orientation de la connexion signifie

que les appareils communicants doivent établir une connexion avant de
transmettre des données et fermer la connexion après avoir transmis les données.
UDP est le protocole orienté Datagram. En effet, il n'y a pas de surcharge pour
ouvrir une connexion, maintenir une connexion et mettre fin à une connexion.
UDP est efficace pour la transmission réseau de type diffusion et multidiffusion.
TCP est fiable car il garantit la livraison des données au routeur de destination.
La livraison des données à destination ne peut pas être garantie dans UDP.
31
TCP UDP
TCP fournit des mécanismes UDP n'a que le mécanisme de base
étendus de vérification des erreurs. de vérification des erreurs utilisant
C'est parce qu'il fournit un contrôle des sommes de contrôle.
de flux et une reconnaissance des
données.
Le séquençage des données est une Il n'y a pas de séquence de données
fonctionnalité du Transmission dans UDP. Si la commande est
Control Protocol (TCP). Cela requise, elle doit être gérée par la
signifie que les paquets arrivent dans couche application.
l'ordre dans le récepteur
TCP est relativement plus lent que UDP est plus rapide, plus simple et
UDP plus efficace que TCP.
La retransmission des paquets Il n'y a pas de retransmission des

perdus est possible dans TCP, mais paquets perdus dans le protocole
pas dans UDP UDP (User Datagram Protocol).
TCP a un en-tête de longueur UDP a un en-tête de longueur fixe
variable (20-80) octets de 8 octets.
TCP est lourd UDP est léger

TCP ne prend pas en charge la UDP prend en charge la diffusion.
diffusion UDP est utilisé par DNS, DHCP,
TFTP, SNMP, RIP et VoIP
32
Couche 5 : Session
Est responsable de la gestion et de la sécurisation du dialogue (Nom, mot de
passe, etc.). Elle est responsable d’établir, maintenir et terminer une session
(RPC ‘Remote Procedure’, Call, SQL ‘Structured Query Language’,
NFS ‘Network File System’).
Couche 6 : Présentation
Est chargée de convertir l’information pour lui faire adopter une forme lisible par
l’être humain. Elle est responsable de la conversion des données dans un format
standard (ASCII, EBCDIC, JPEG, MPEG, BMP, MIDI, WAV, MP3). Les
taches suivantes sont effectuées par la couche présentation :
− Encodage – Décodage
− Encrypte – Décrypté
− Compression – Décompression
Couche 7 : Application
La couche application constitue l’interface entre l’utilisateur et les applications.
Elle est aussi connue comme la couche Desktop. Identification des services est
fait en utilisant les numéros des ports. Les Ports sont le point d’entrée et de sorti
des couches.
− Total No. Ports 0 – 65535

− Ports Réservé 0 – 1023
− Ports Ouvert 1024 – 65535
33
Exemples des services réseaux avec leur port :
HTTP 80
FTP 21
SMTP 25
TELNET 23
TFTP 69
SSH 22
34
Transmission de Données.
Figure II.11 : (image source : https://www.frameip.com)
II.2.5 Protocol Data Unit
Si la couche physique s'occupe de la transmission de bits individuels, ce n'est pas

le cas des autres couches, qui traitent des paquets (données + en-tête/pied)
contenant plusieurs bits. Les couches réseau, liaison et transport traitent des
paquets de données de taille fixe (leur nombre de bits est fixé). Au-delà de la
couche transport, les données ne sont pas structurées en paquets de taille fixe,
mais en paquets de taille variable, qui dépendent du logiciel utilisé. Pour les
couches liaison, réseau et transport, les paquets sont appelés des protocol data
35
unit , (unités de données d'un protocole, en français). Ils portent des noms
différents selon la couche, vu qu'ils contiennent des en-têtes différents.
• Pour la couche liaison, l'unité est la trame.

• Pour la couche réseau, l'unité est le paquet.
• Pour la couche transport, l'unité est le segment pour le protocole TCP et le
datagramme pour le protocole UDP
Couche OSI Unité de transfert de Taille du PDU

données (PDU)
Physique Bit Bits/ symbole unique
Liaison de données Trame Taille fixe, plusieurs bits
Réseau Paquet dépendent du protocole
Transport Segment (TCP), utilisé
Datagramme (UDP)
Session Données (paquet de taille variable)
Présentation
Application
II.3 Modèle TCP-IP

Le modèle TCP/IP est fondé sur quatre couches qui enveloppent les messages
originaux avant qu’ils soient placés sur le support physique sous forme d’ondes
représentant les données de la communication.
Chaque couche assure une fonction de maintenance et de service de la
communication. TCP/IP ne se préoccupe pas du contenu (les propos tenus par
les utilisateurs dans les messages); il se contente d’assurer des fonctions qui
facilitent les communications, le partage et la diffusion des informations.
II.3.1 Objectifs de TCP/IP
• Communiquer
36
o à l’échelle du globe
o de manière libérale (ouverte)
• quel que soit
o le contenu
o le support
o les hôtes
• de manière robuste
II.3.2 Modèle TCP/IP à quatre couches
Se présente de la manière suivante :
Application Application
Présentation
Session
Transport Transport
Réseau Internet
Liaison de données
Physique Accès-Réseau
Figure II.12 : Modèle TCP/IP
Couche Application
• Elle est la couche de communication qui s’interface avec les utilisateurs.

• Exemples de protocoles applicatifs : HTTP, DNS, DHCP, FTP, …
• Elle s’exécute sur les machines hôtes.
Couche Transport : TCP
• Elle est responsable du dialogue entre les hôtes terminaux d’une

communication.
37
• Les applications utiliseront TCP pour un transport fiable et UDP sans ce
service.
• Les routeurs NAT et les pares-feux opèrent un filtrage au niveau de la
couche transport.
Couche Internet : IP
ü Elle permet de déterminer les meilleurs chemins à travers les réseaux en

fonction des adresses IPv4 ou IPv6 à portée globale.
ü Les routeurs transfèrent le trafic IP qui ne leur est pas destiné.
Couche Accès au réseau
• TCP/IP ne s’occupe pas de la couche Accès Réseau

• Elle organise le flux binaire et identifie physiquement les hôtes
• Elle place le flux binaire sur les supports physiques
• Les commutateurs, cartes réseau, connecteurs, câbles, etc. font partie de
cette couche
Plus on monte dans les couches, plus on quitte les aspects matériels, plus on se
rapproche de problématiques logicielles.
II.3.3 Encapsulation de données
Pour transmettre du contenu d’un ordinateur à un autre, l’utilisateur va utiliser un

programme qui construit un message enveloppé par un en-tête applicatif (exemple
http). Le message subit une première encapsulation.
Le logiciel va utiliser un protocole de couche transport correspondant pour établir
la communication avec l’hôte distant en ajoutant un en-tête TCP ou UDP.
Ensuite, l’ordinateur va ajouter un en-tête de couche Internet, IPv4 ou IPv6 qui
servira à la livraison des informations auprès de l’hôte destinataire. L’en-tête
contient les adresses d’origine et de destination des hôtes.
38
Enfin, ces informations seront encapsulées au niveau de la couche Accès qui
s’occupera de livrer physiquement le message.
Figure II.13 : Processus d’encapsulation des données

À la réception, l’hôte récepteur réalise l’opération inverse en vérifiant les en-têtes
de chaque protocole correspondant à une des couches décrites. Ce processus
s’appelle la dés-encapsulation.
Figure II.14 : Processus de dés encapsulation des données
II.3.4 Résumé des opérations
On peut résumer cet exemple de transmission par le tableau suivant :
Couche Protocole Rôle de la Matériel

couche
Application http Offre un service Ordinateurs
de communication
utile : échanger
39
des pages web
transport TCP Offre un service Ordinateurs
fiable à http, un
port d’entré/sorti
et une session en
mode connecté
Internet IP Identifie les hôtes Ordinateurs,
de manière Routeur
unique et permet
l’acheminement
des paquets entre
deux hôtes
d’extrémité
Accès réseau WIFI S’occupe de la Ordinateur,
livraison locale commutateur,
point d’accès,
câblage,
cuivre/FO, paires
torsadées, paire
téléphoniques
On peut résumer cet exemple de transmission par le tableau suivant :
40
Figure II.15 : Transmission de Données.
II.3.5 Modèles et protocoles en détail
On sera attentif aux numéros de ports TCP et UDP associés aux protocoles de
couche Application.
Figure II.16 : Modèle Protocolaire…
41
Figure II.17 : Architecture OSI
II.3.6 Tableau comparatif entre le modèle OSI et TCP-IP
Figure II.18 : Tableau comparatif entre le modèle OSI et TCP-IP
II.3.7 Adressage, identifiants et matériel
Les machines et leurs interfaces disposent d’identifiants au niveau de chaque

couche.
42
Couche Identifiant Exemple
Couche Application Protocole et nom de domaine http:// suivi de

www.cisco.com
Couche Transport Port TCP ou UDP TCP 80 comme port par

défaut pour http
Couche Internet Adresse IPv4 et/ou IPv6 192.168.150.252 ou

2001 :db8 ::1/64
Couche Accès Adresse physique (MAC 802) 70 :56 :81 :bf :7c :37
II.4 Adressage IP
II.4.1 Introduction
L’adressage c’est le numéro qu’on attribue à une machine de manière unique.
• L'adressage IP est un adressage logique

• Cela fonctionne sur la couche réseau (couche 3)
Deux versions du schéma d'adressage
ü IP version 4 - Adressage 32 bits

ü IP version 6 - Adressage 128 bits
IP version 4
Bit est une valeur qui représentera 0 ou 1 (binaire)
01010101000001011011111100000001
32 bits sont divisés en 4 octets appelés notation décimale pointée
01010101. 00000101. 10111111. 00000001
1er Octet 2ième Octet 3ième Octet 4ième Octet

43
IP version 6
Une adresse de 128 bits est divisée en limites de 16 bits et chaque bloc de 16 bits
est converti en un nombre hexadécimal à 4 chiffres et séparé par des deux points
(notation deux-hex)
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
Les adresses IPs peuvent être catégorise en deux groupes les IPs privées et
publiques. Après le développent et l’utilisation fulgurante de la technologie
Internet, le 4 milliards d’adresses IPs publiques deviennent insuffisant par rapport
au besoin. Et pour ce faire les mesures suivantes ont été prises :
- NAT : Network Adress Transalation

- CIDR : Classless Inter-Domain Routing
- IPv6 : ~340 1018
(i) NAT : Network Address Translation
Pour accéder à Internet, une seule adresse IP publique est nécessaire, mais nous
pouvons utiliser plusieurs adresses IP privée dans notre réseau privé. L'idée du
NAT est de permettre à plusieurs appareils d'accéder à Internet via une seule
adresse publique. Pour ce faire, la traduction d'une adresse IP privée en une
adresse IP publique est requise. La traduction d'adresses réseau (NAT) est un
processus dans lequel une ou plusieurs adresses IP locales sont traduite en une ou
plusieurs adresses IP globales et vice versa afin de fournir un accès Internet aux
hôtes locaux. En outre, il effectue la traduction des numéros de port, c'est-à-dire
masque le numéro de port de l'hôte avec un autre numéro de port, dans le paquet
qui sera acheminé vers la destination. Il effectue ensuite les entrées
correspondantes de l'adresse IP et du numéro de port dans la table NAT. NAT
fonctionne généralement sur un routeur ou un pare-feu.
Fonction de traduction d'adresses réseau (NAT) - Généralement, le routeur
44
frontière est configuré pour NAT, c'est-à-dire le routeur qui a une interface dans
le réseau local (intérieur) et une interface dans le réseau global (extérieur).
Lorsqu'un paquet traverse le réseau local (intérieur), NAT convertit cette adresse
IP locale (privée) en une adresse IP globale (publique). Lorsqu'un paquet entre
dans le réseau local, l'adresse IP globale (publique) est convertie en une adresse
IP locale (privée).
Figure II.19 : Exemple du fonctionnement du NAT
II.4.2 Routage interdomaine sans classe (CIDR, Classless Inter

Domain Routing)
CIDR est connu sous le nom d'adressage sans classe. Dans l'adressage Classful, le
nombre d'hôtes au sein d'un réseau reste toujours le même en fonction de la
classe du réseau.
Le réseau de classe A contient 224 hôtes,

Le réseau de classe B contient 216 hôtes,
Le réseau de classe C contient 28 hôtes
45
Soit une organisation nécessite 214 hôtes, alors elle doit avoir à acheter un réseau
de classe B. Dans ce cas, 49152 hôtes seront gaspillés. C'est l'inconvénient majeur
de l'adressage avec classe. Afin de réduire le gaspillage des adresses IP, le concept
de routage inter-domaine sans classe est introduit. IANA utilise cette technique
pour fournir les adresses IP.
La représentation d'une adresse 32 bits, qui comprend un numéro spécial qui

représente le nombre de bits présents dans l'ID de bloc.
a. b. c. d / n
Où, n est le nombre de bits présents dans l'ID de bloc / l'ID de réseau.
Exemple :
Soit l’adresse 20.10.50.100/20
Règles de formation des blocs CIDR :
ü Toutes les adresses IP doivent être contiguës.
ü La taille du bloc doit être la puissance de 2 (2n). Si la taille du bloc est la
puissance de 2, il sera alors facile de diviser le réseau. Il est très facile de
trouver l'ID de bloc si la taille du bloc est de la puissance de 2.
Exemple :
Vérifiez si 100.1.2.32 à 100.1.2.47 est un bloc d'adresse IP valide ou non ?
ü Toutes les adresses IP sont contiguës.
ü Nombre total d'adresses IP dans le bloc = 16 = 24.
ü 1ère adresse IP : 100.1.2.00100000.
Depuis, Host Id contiendra les 4 derniers bits et tous les 4 bits les moins
significatifs sont nuls. Par conséquent, la première adresse IP est divisible
également par la taille du bloc.
46
II.4.3 Algèbre de Boole (Circuit Logique OU & ET)
II.4.3.1 Le circuit OU
C’est un dispositif électrique très simple mais très utile.
Il reçoit les données en deux points et donne le résultat à la sortie en un point.
ü Ici le circuit OU traite deux séquences de 9 valeurs et il s’agit bien d’un

traitement de l’information.
ü Pour un circuit OU, le résultat est froid si les deux points d’entrée sont
simultanément froids et le résultat est chaud si l’un au moins des points
d’entrée est chaud.
Figure II.20 : le circuit OU
II.4.3.2 Le circuit ET
IP Address : 192.168.1.1
Masque de sous-réseau : 255.255.255.0
Calcul du masque du sous-réseau :
192.168.1.1 = 11000000.10101000.00000001.00000001
255.255.255.0= 11111111.11111111.11111111.00000000
=======================================
192.168.1.0 = 11000000.10101000.00000001.00000000
=======================================
La sortie d'une table ET est 1 si ses deux entrées sont 1. Pour toutes les autres
entrées possibles, la sortie est 0.
47
II.4.4 Classes d’adresses IP
Le schéma d'adressage IP total est divisé en 5 classes
II.4.4.1 Concept de Bit Priorité

Pour identifier la plage de chaque classe, un bit appelé bit de priorité est utilisé.
Le bit de priorité est le bit le plus à gauche dans le premier octet.
• CLASSE A bit de priorité est 0
• CLASSE B bit de priorité est 10
• CLASSE C bit de priorité est 110
• CLASSE D bit de priorité est 1110
• CLASSE E bit de priorité est 1111
CLASSE A
Pour la plage de classe A : premier bit du premier octet doit être réservé pour le
bit de priorité.
0xxxxxxx. xxxxxxxx. xxxxxxxx. Xxxxxxxx
La plage d’adresse varie de 0.0.0.0 à 126.255.255.255
CLASSE B
Pour la plage de classe B : les deux premiers bits du premier octet doit être
réservé pour le bit de priorité
10xxxxxx. xxxxxxxx. xxxxxxxx. Xxxxxxxx
CLASSE C
Pour la plage de classe C : Les trois premiers bits du premier octet doivent être
réservés pour le bit de priorité.
48
110xxxxx. xxxxxxxx. xxxxxxxx. Xxxxxxxx
CLASSE D
Pour la plage de classe D : les quatre premiers bits du premier octet doivent être
réservés pour le bit de priorité
1110xxxx. xxxxxxxx. xxxxxxxx. Xxxxxxxx
CLASSE E
Pour la plage de classe E : les quatre premiers bits du premier octet doivent être
réservés pour le bit de priorité.
1111xxxx. xxxxxxxx. xxxxxxxx. Xxxxxxxx
II.4.4.2 Octet Format

IP adresse est divise en Réseaux et Hôtes
• CLASSE A est écrit comme N.H.H.H
• CLASSE B est écrit comme N.N.H.H
• CLASSE C est écrit comme N.N.N.H
CLASSE A – Nombre de Réseaux & Hôtes
• Classe A Octet Format est N.H.H.H
Bits réseaux : 8 Host bits : 24
Nombre de Réseaux
= 28-1 (-1 est le bit de priorité de la classe)
= 27
= 128 – 2 (-2 est pour 0 & 127 Réseaux)
= 126 Réseaux
Nombre de Hôtes
= 224 – 2 (-2 est pour le Réseau ID & diffusion ID)
49
= 16777216 - 2
= 16777214 Hôtes/Réseaux
CLASSE B – Nombre de Réseaux & Hôtes
• Classe B Octet Format est N.N.H.H
Bits réseaux : 16 Hôtes bits : 16
Nombre de Réseaux
= 216-2 (-2 est la priorité de la classe B)
= 214
= 16384 Réseaux
Nombre de Hôtes
= 216 – 2 (-2 est réseaux ID & la diffusion ID)
= 65536 - 2
CLASSE C – Nombre de Réseaux & Hôtes
• Class C Octet Format est N.N.N.H
Bits Réseaux : 24 Hôtes bits : 8
Nombre de Réseaux
= 224-3 (-3 est le bit de priorité de la classe)
= 221
= 2097152 Réseaux
Nombre de hôtes
= 28 – 2 (-2 est le réseau ID & diffusion ID)
= 256 - 2
II.4.4.3 Adresse réseau & Adresse de diffusion

L'adresse réseau est représentée avec tous les bits par ZERO dans la partie hôte
de l'adresse. L’adresse de diffusion (Broadcast) est représentée avec tous les bits
par 1 dans la partie hôte de l’adresse. Les adresses IP valides se situent entre
50
l'adresse réseau et l'adresse de diffusion. Seules les adresses IP valides sont
attribuées aux hôtes / clients.
Exemple - Classe A
Class A : N.H.H.H
Adresse Réseau :
0xxxxxxx.00000000.00000000.00000000
Adresse de diffusion :
0xxxxxxx.11111111.11111111.11111111
CLASSE A
10.10.0.0 Adresse réseau
10.0.0.1
10.0.0.2 Adresse IP valide
10.0.0.3
10.255.255.254
10.255.255.255 Adresse broadcast
Exemple - Class B
Classe B : N.N.H.H
Adresse Réseau :
10xxxxxx.xxxxxxxx.00000000.00000000
10xxxxxx.xxxxxxxx.11111111.11111111
CLASSE B
172.16.1.1
172.16.1.3
172.16.1.254
51
Exemple de la Classe C
Classe C : N.N.N.H
Adresse Réseau
110xxxxx.xxxxxxxx.xxxxxxxx.00000000
110xxxxx.xxxxxxxx.xxxxxxxx.11111111
CLASSE C
192.168.1.1
192.168.1.2
valide
192.168.1.254
II.4.4.4 Adresse IP Prive
ü Certaines adresses de chaque classe d’adresses IP sont réservées au réseau

local. Ces adresses sont appelées adresses privées
ü Ils peuvent être utilisés pour : les réseaux domestiques et professionnels, les
réseaux non connectés à Internet
CLASSE A
10.0.0.0 à 10.255.255.255
CLASSE B
172.16.0.0 à 172.31.255.255
CLASSE C
192.168.0.0 à 192.168.255.255
II.4.5 Sous Réseau et Masque de sous réseau
Le masque de sous-réseau différencie la partie réseau et la partie hôte
52
ü Le masque de sous-réseau a été attribué à l’identification de l’ID réseau par
l’hôte.
ü Représenté avec tous les 1 dans la partie réseau et avec tous les 0 dans la
partie hôte.
Classe A : N.H.H.H
11111111.00000000.00000000.00000000
Le masque de sous-réseau par défaut pour la classe A est 255.0.0.0
Classe B : N.N.H.H
11111111.11111111.00000000.00000000
Le masque de sous-réseau par défaut pour la classe B est 255.255.0.0
Classe C : N.N.N.H
11111111.11111111.11111111.00000000
Le masque de sous-réseau par défaut pour la classe C est 255.255.255.0
Scenario
Soit l’entreprise NSAT SARL avec 100 machines et qui a 5 départements avec 20
ordinateurs chacun. La plage d’adressage est de 192.168.1.0/24. Supposons que
les IPs pour chaque département sont les suivants :
- Marketing à 192.168.1.1 à 192.168.1.20
- CISCO à 192.168.1.21 à 192.168.1.40
- FIREWALL à192.168.1.41 à192.168.1.60
- Finance à 192.168.1.61 à 192.168.1.80
- TRAINING à 192.168.1.81 à 192.168.1.100
Inconvénient de ce plan d’adressage est que tout ce réseau a un seul domaine de
diffusion. La solution est d’alloue un réseau diffèrent à chaque département.
- Marketing à 192.168.1.1 à 192.168.1.20
- CISCO à 192.168.2.1 à 192.168.2.20
- FIREWALL à192.168.3.1 à 192.168.3.20
- Finance à 192.168.4.1 à 192.168.4.20
53
- TRAINING à 192.168.5.1 à 192.168.5.20
L’inconvénient avec le scenario ci-haut est :
- Perte de la bande passante car la diffusion est effectuée pour le 254
ordinateur plutôt que pour 200 machines ;
- Gaspillage des adresses ;
- Pas de sécurité.
Tableau de valeur de masque de sous-réseau
Exemple 1 : Soit l’exemple de l’entreprise NSAT SARL qui a 5 départements et

chaque département 25 ordinateurs. Définir le plan d’adressage pour chaque
sous-réseau et les adresses hôtes. En convertissant 3 bits de la partie hôte en bits
de réseau nous aurons 6 sous réseaux et 30 hôtes/ sous-réseaux.
Classe C : N.N.N.H
110XXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXX
54
- Nombre de sous-réseau
= 2n – 2 >= Nbre de sous-réseau
= 23 - 2 >= 5 (-2 est le premier et la dernière plage de sous-réseau)
= 8-2
= 6 sous-réseaux
- Nombre des Hôtes
= 2h – 2 >= Nbre de Hôtes
=25 – 2 = 32
= 32 -2 = 30 Hôtes pour chaque sous-réseau
Masque de sous réseaux
255.255.255.224
Plage de sous réseaux
192.168.1.32 à 192.168.1.63 à Marketing
192.168.1.64 à 192.168.1.95 à Cisco
192.168.1.96 à 192.168.1.127 à Firewall
192.168.1.128 à 192.168.1.159 à Finance
192.168.1.160 à 192.168.1.191 à Training
192.168.1.192 à 192.168.1.223 à Usage future
II.4.6 VLSM (Variable Length Subnet Mask)
Subdivisé un réseau en sous-réseau est appelé Variable Length Subnet Mask.

VLSMs offre la possibilité d'inclure plus d'un masque de sous-réseau dans un
réseau principal. VLSM signifie Masque de sous-réseau à longueur variable où la
conception de sous-réseau utilise plus d'un masque dans le même réseau, ce qui
signifie que plus d'un masque est utilisé pour différents sous-réseaux d'une même
classe A, B, C ou d'un réseau. Il est utilisé pour augmenter l'utilisabilité des sous-
55
réseaux car ils peuvent être de taille variable. Il est également défini comme le
processus de sous-réseau d'un sous-réseau.
Example :
L’adresse de classe C 192.168.10.0/24 a été attribuée. Perth, Sydney et Singapore

sont reliés par une connexion WAN à Kuala Lumpur.
• Perth a besoin d’une capacité de 60 hôtes.
• Kuala Lumpur a besoin d’une capacité de 28 hôtes.
• Sydney et Singapore ont chacun besoin d’une capacité de 12 hôtes.
Pour calculer les sous-réseaux VLSM et leurs hôtes respectifs, attribuez d’abord
les besoins les plus importants à l’aide de la plage d’adresses. Les niveaux de
besoin doivent être classés du plus grand au plus petit. Dans cet exemple, Perth a
besoin d’une capacité de 60 hôtes. Utilisez donc 6 bits, étant donné que 26 – 2 =
62 adresses hôte utilisables. Ainsi, 2 bits seront utilisés à partir du quatrième octet
pour représenter le préfixe réseau étendu /26 et les 6 bits restants seront utilisés
pour les adresses hôte.
IPV6
− IPv6 a été conçus en tant que successeur de l'IPv4
− Espace d'adressage étendu
− Longueur d’adresse quadruplé pour atteindre 16 octets (128 bits)
− Simplification du format header
56
− Longueur fixe, les headers facultatifs sont chainés
− Pas de Checksum au niveau de la couche réseau
− Pas de fragmentation par le routeur
− Découverte du Path MTU
− Champs alignés sur 64 bits dans le header
− Fonctions d'authentification et de confidentialité
− IPsec est créé
− Pas de broadcast
57
II.5 Protocole de routage avance
Processus par lequel un élément (courrier, appels téléphoniques, trains, paquets
IP, …) va être acheminé d’un endroit à un autre.
Un élément faisant du routage doit connaître :
ü La destination,
ü De quelle source il peut apprendre les chemins d’accès à la destination
voulue,
ü Les itinéraires possibles pour atteindre la destination,
ü Le(s) meilleur(s) itinéraire(s) pour atteindre la destination,
ü Un moyen d’actualiser les itinéraires.
II.5.1 Le routage sur un réseau
C’est un :
ü Un équipement sur un réseau local
ü Qui peut atteindre directement les machines sur le même segment sans
routage (ARP),
ü Et ne peut pas atteindre les équipements sur un autre réseau (ou sous -
réseau) sans un intermédiaire.
II.5.2 Algorithme de routage
1. Belleman Ford Algorithm

2. Dijestra Algorithme
Le routage sur un réseau c’est fait sur :
ü Équipement connecté à 2 réseaux ou sous-réseaux au moins,
ü Station de travail avec 2 interfaces réseau au moins,
ü Routeur (CISCO, Juniper, BayNetworks, …)
II.5.3 Principes du Routage IP
Routage IP basé uniquement sur l’adresse du destinataire :
58
Chaque équipement du réseau sait atteindre un équipement d’un autre réseau, s’il
existe au moins un équipement de routage pour acheminer les paquets à
l’extérieur du réseau local. Les informations de routage sont mémorisées dans la
table de routage des équipements (routeurs).
ü Cette table doit être périodiquement mise à jour
- Manuellement : routage STATIQUE
- Automatiquement : routage DYNAMIQUE
Le routage s’effectue sur deux opérations :
ü La sélection de la meilleure voie,
ü La commutation du paquet sur l’interface appropriée
II.6 Protocole de Routage IP

Le protocole de routage fourni l’information nécessaire pour effectuer un routage,
c’est-à-dire la détermination d’un chemin à travers le réseau entre une machine
émettrice et une machine réceptrice, toutes deux identifiées par leur adresse.
Les protocoles de routage établissent des règles d’échange entre routeurs pour
mettre à jour leurs tables selon des critères de coût comme, par exemple, la
distance, l’état de la liaison, le débit. Ils améliorent ainsi l’efficacité du routage. La
diversité des réseaux et de leurs services fait du routage un élément clé de leur
bon fonctionnement.
Il est subdivisé en trois grandes catégories :
Le protocole statique, le protocole par défaut et le protocole dynamique.
ü Le protocole statique définit les routes manuellement.

ü Le protocole par défaut : il y a une route par défaut lorsque tout trafic non
définit envoie le paquet.
ü Le protocole dynamique : est regroupé en deux catégories :
Le protocole de routage interne (IGP) et le protocole de routage externe (EGP)
59
ü Le protocole de routage interne (IGP) : définit les routes sur base
de vecteur distant.
IGP est subdivisé en trois catégories :
- Le protocole vecteur à distant : RIP et IGRP

- Le protocole à état de lien : OSPF et IS-IS
- Le protocole hybride : EIGRP : c’est un protocole propriétaire Cisco.
ü Le protocole de routage externe (EGP) : fait la configuration à

partir de l’extérieur avec ASN (Autonome System Networks) BGP.
Le protocole de routage se résume par la figure ci-dessous :
Figure II.21 : Protocoles de routage
ü Protocol de Routage par défaut: est une configuration du protocole

Internet (IP) qui établit une règle de transfert pour les paquets
lorsqu'aucune adresse spécifique d'un hôte de saut suivant n'est disponible à
partir de la table de routage ou d'autres mécanismes de routage.
60
Figure II.22 : Exemple de la configuration du Protocol de routeur par défaut.
II.6.1 Définition du routage statique et dynamique
ü Routage statique
Les informations sont mises à jour manuellement à chaque modification

topologique de l'inter-réseau. Est une forme de routage qui se produit lorsqu'un
routeur utilise une entrée de routage configurée manuellement, plutôt que des
informations provenant du trafic de routage dynamique
Figure II.23 : Exemple de la configuration du Protocol de routeur statique
61
ü Routage dynamique
Les informations relatives à la route sont mises à jour automatiquement entre

les routages IP Statique. Il échange périodique des tables de routage et met à
jour automatique de la table de routage. Egalement appelé routage adaptatif,
est un processus dans lequel un routeur peut transférer des données via une
route différente ou une destination donnée en fonction des conditions
actuelles des circuits de communication dans un système
Figure II.24 : Exemple de la configuration du Protocol de routeur dynamique
II.6.2 Protocole OSPF (Open Shortest Path First)
(i) Open :
− Signifie un standard ouvert
− Développé par IETF (OSPF Working Group for IP – RFC1247)
− Standard actuel est OSPFv2 (RFC2328)
(ii) Shortest Path First : Algorithme d’Edsger Dijkstra’s pour fournir l’arbre
62
des plus courts chemins à travers un graphe (Dijkstra, E. W. (1959). “A
note on two problems in connexion with graphs”. Numerische Mathematik
1: 269–271).
(iii) Classé comme un Protocole de Routage à Etat de Liens. L’autre
protocole de routage à état de liens est ISIS. Chaque nœud dans le réseau
découvre la carte de connectivité(topologie) à travers le réseau du réseau(iv)
L’autre famille de protocole de routage dynamique qui existe est le Vecteur
à Distance Comme EIGRP ou RIP. Chaque nœud partage sa propre vue
de la table de routage avec les autres nœuds.
Les routeurs sur lesquels OSPF est activé vont chercher leurs voisins qui
exécutent aussi OSPF
- En utilisant le protocole “Hello”
- Le paquet “Hello” contient le masque de sous-réseau, la liste des voisins connus,
et d’autres détails comme “hello interval” et “router dead interval”
Hello interval : intervalle au bout duquel le routeur va envoyer les paquets Hellos
Router dead interval : temps pendant lequel un routeur attend avant de
considérer que son voisin a disparu. Les valeurs “hello interval”, “router dead
interval” et masque de sous-réseau doivent correspondre dans les deux extrémités
Quand un routeur voisin répond avec des paramètres identiques, une relation de
voisinage relationship est formée.
II.6.2.1 Relation de voisinage dans OSPF

Une relation est formée entre les voisins dans le but d’échanger des informations
de routage
- C’est ce qu’on appelle une ADJACENCE. Ce n’est pas forcément tous les
couples de routeurs voisins qui forment une adjacence
- Dans des réseaux à accès multiple, (e.i. ethernet), seulement les routeurs
sélectionnés forment des adjacences.
63
II.6.2.2 Adjacences OSPF
• Une fois une adjacence formée, les voisins partagent leurs informations sur
l’état de leurs liens
-Ces informations sont placées dans un Link State Packet (LSP)
-Les LSPs envoyés à un voisin sont appelés Link State Announcements (LSA)
• Pour toute nouvelle information reçue des voisins, le routeur exécute à
nouveau un algorithme pour avoir une nouvelle vue du réseau
• Sur un lien défaillant
- De nouveaux LSPs sont diffusés à tous
- Les routeurs ré exécutent l’algorithme pour obtenir la nouvelle table de routage
II.6.2.3 OSPF dans un réseau
− Tous les routeurs dans le réseau forment des relations de voisinage avec
leurs voisins directement connectés.
− Chaque routeur calcule la table de routage.
− Une fois que chacun des routeurs a la même vue de la topologie du réseau,
on dit que le réseau a convergé.
− La conception du protocole de routage IGP dans le réseau est extrêmement
importante pour garantir l’évolutivité et une convergence rapide.
− Généralement : plus le nombre de préfixes est petit, plus la convergence est
rapide
II.6.2.4 Zones OSPF

− Dans OSPF, nous avons la notion de zones. Tous les réseaux doivent avoir
une zone All, Appelée “default” zone
− Les zones sont utilisées pour un fonctionnement optimal d’OSPF dans les
grands réseaux. Il y a plusieurs types de zones, pour répondre aux
différents types d’infrastructure et de topologies. La plupart des réseaux de
64
taille petite ou moyenne (jusqu’à~300 routeurs) peuvent utiliser une seule
zone
II.6.2.5 OSPF
− OSPFv2 est pour IPv4 : Pour transporter uniquement les préfixes IPv4
préfixes OSPFv3 est pour IPv6 : Pour transporter uniquement les préfixes
IPv6.
− Il est basé sur OSPFv2 mais n’est conçu que pour IPv6.
− Documenté dans RFC5340.
− Est totalement indépendant d’OSPFv2.
− Les concepts syntaxes de configuration sont très similaires (il existe
cependant des différences subtiles/améliorations).
II.6.2.6 Liens dans OSPF

Il existe deux types de liens dans OSPF :
Point-to-point. Seulement deux routeurs, une à chaque extrémité du lien,
formant ainsi une adjacence point à point.
Multi-access network (e.i. ethernet): Possibilité d’avoir plus d’un routeur
sur le réseau partagé, avec la possibilité d’avoir plusieurs adjacences
OSPF dans des environnements de réseaux à accès multiple doit être optimisé
pour être évolutif
Deux routeurs sont élus pour générer les elected to LSAs pour tout le réseau à
accès multiple. Ils sont appelés “Routeur Désigné” (DR) et “ Routeur Désigné de
secours” (BDR). Les autres routeurs dans le réseau forment des adjacences avec
le DR et le BDR.
Routeur Désigné
Il n’y a qu’un SEUL routeur désigné par réseau à accès multiple qui :
− Génère les LSA
65
− Aide à la synchronisation de la base de données
− Permet d’optimiser OSPF pour les réseaux à accès multiple
Sélection du Routeur Désigné

Priorité configurée (par interface)
− Configurer la plus grande priorité sur les routeurs choisis comme DR et
BDR
− Sinon la priorité est déterminée par la plus grande valeur router ID :
ü Router ID est un entier sur 32 bits
ü Fixé manuellement, sinon dérivé à partir de l’adresse IPv4 de l’interface
loopback, sinon la plus grande adresse IPv4 sur le routeur
Adjacences dans les réseaux à accès multiple

Le DR et le BDR forment des adjacences complètes :
ü Entre eux
ü Avec tous les autres routeurs dans le réseau à accès multiple
66
ü Les bases de donées sont synchronisées
ü Les LSAs sont propagées à travers les adjacences
Les relations de voisinage entre les routeurs qui ne sont ni DR ni BDR sont
appelées 2WAY
ü Ces voisins se voient à travers les paquets HELLO packets mais ne
s’échangent pas d’information sur la topologie. Les voisins ne sont donc
pas adjacents
Exemple Etat d’adjacences
67
OSPF dans le routeur Cisco
ü Démarrer avec OSPFv2 (IPv4) dans l’IOS Cisco router ospf 42
Où “42” est l’ID du process

ü Démarrer avec OSPFv6 (IPv6) dans l’IOS Cisco ipv6 router ospf 42
Où “42” est l’ID du process

ü L’ID du process OSPF est unique au routeur
- Donne la possibilité d’exécuter plusieurs instances multiple OSPF sur
le même routeur
- L’ID du process n’est pas envoyé entre dans un AS
- Certains ISPs configurent l’ID du process OSPF comme étant le même
que leur ASN BGP
ü Configuration des interfaces dans OSPF :
- Si OSPF est configuré pour un sous-réseau ou une interface, le routeur
va automatiquement s’attendre à trouver des voisins sur ledit subnet ou
sur cette interface the router
- Une bonne pratique des ISPs pour désactiver ce comportement
ü Ensuite de façon explicite, on active OSPF sur l’interface sur laquelle

on souhaite qu’il cherche des voisins :
L’activation d’OSPF sur une interface a deux résultats :

1. Active le protocole Hello pour former des relations de
voisinage/adjacences avec les autres routeurs connectés via cette interface
2. Annoncer les réseaux sur cette interface dans OSPF
68
N.B : Evitez d’activer le protocole avec des routeurs appartenant à des réseaux de
tiers (e.i. ceux qui sont en dehors de votre système autonome).
Création des relations de voisinage

ü OSPF a besoin d’être activé sur tout interface où une relation de
voisinage doit être tissée :
Authentification du voisin dans OSPF

ü L’authentification entre voisins est fortement recommandée
Permets de bloquer les routeurs non autorisés à former des relations de voisinage
et le risque de compromettre le fonctionnement de votre réseau
ü OSPFv2
− Authentification est intégrée
− Il y en a deux types :
▪ Mot de passe en clair
▪ Hash MD5
ü OSPFv3
− Utilise l’entête du standard IPSec
− Il y en a deux types :
▪ Hash MD5
▪ SHA1
Authentification du voisin dans OSPFv2
ü Configuration de l’authentification pour la zone 0
69
La clé d’authentification doit être configurée sur l’interface, e.i. POS4/0
ü Configuration de l’authentification par interface :
ü Configuration de l’authentification sur toutes les interfaces de la zone 0

La clé est incluse dans la commande ce qui permet d’activer
l’authentification pour la zone 0 :
ü Configuration de l’authentification par interface :
D’autres fonctionnalités OSPF

ü Générer une route par défaut dans OSPF :
Ce qui permet de générer une route par défaut dans OSPF si une route par
défaut existe dans RIB
ü OSPF sur un lien point-à-point ethernet :
L’élection de DR et de BDR n’est pas requise sur un lien point à point, ainsi
il est recommandé de le désactiver
ü Y a des commandes équivalentes pour OSPFv3

En résume, OSPF est un protocole de routage à Etat de Lien. Il possède d’une
70
infinité d’options et de fonctionnalités pour être déployé sur presque tout type de
topologie de réseaux. Les ISPs conçoivent des architectures OSP très SIMPLE et
~300 routeurs dans une seule est bien possible 24.
II.6.3 Protocole ISIS (Intermediate System to Intermediate System)
ü ISO 10589 spécifie le protocole de routage IS-IS dans le modèle OSI

pour le traffic CLNS. Est un protocole à état de lien avec deux niveaux
d’architecture hiérarchique
ü RFC 1195 a ajouté le support de IP
- Integrated IS-IS
- I/IS-IS fonctionne au-dessus de la couche Data Link
ü Les routeurs avec IS-IS activé recherchent les routeurs voisins qui
exécutent également IS-IS
- Hello Protocol Data Units (PDUs) sont échangés
- Le “Hello” paquet inclus la liste des voisins connus et les
détails tels que “Interval Hello” et “Router dead interval”
• Hello interval – A quelle fréquence le routeur enverra les paquets
Hello
• Router dead interval – Quel est le temps d’attente avant de décider
que le routeur n’est plus disponible
• Les valeurs de “hello interval” et “router dead interval” doivent
concorder sur les voisins.
- Lorsqu’un voisin répond avec des valeurs concordant aux
valeurs du paquet Hello, l’adjacence se forme.
Relations de Voisinage IS-IS
Une relation est établie entre des routeurs voisins dans le but d’echanger des
informations de routage. Cela est appelé Adjacence/Voisinage.
Adjacences IS-IS
Une fois l’adjacence formée, les voisins partagent les informations sur l’état des
71
liens.
- L’information est envoyée à travers le Link State PDU (LSP)
- Les LSPs sont envoyées à tous les voisins
Une nouvelle information reçue d’un voisin est utilisée pour créer une nouvelle
vue de la topologie du Réseau. Si une liaison est indisponible, de nouveaux LSPs
sont envoyées et les routeurs reconstruisent la table de routage.
Niveaux IS-IS
IS-IS a deux couches hiérarchiques
- Level-2 (Pour le BackBone)
- Level-1 (Pour l’accès)
Un routeur peut être
- Level-1 (L1) router
- Level-2 (L2) router
- Level-1-2 (L1/L2) router
Liens dans IS-IS
Deux types de liens IS-IS :
ü Lien Point-to-Point
- Seulement deux routeurs sur le lien pour former l’adjacence.
ü Multi-access network (c.-à-d. Ethernet)
- Plusieurs routeurs dans le Réseau avec plusieurs adjacences.
IS-IS dans les réseaux multi-access networks nécessite des optimisations pour
faciliter la convergence
ü Un routeur est élu pour l’envoi des LSPs à tous les autres routeurs. Il
est appelé “Designated Information System”
ü Les routeurs dans le Réseau Multi-access forment l’adjacence avec le
routeur DIS
Sélection du Routeur Désigné
Configuration de la priorité (par interface)
72
ü Configurer la plus haute priorité sur le routeur pour qu'il soit le DIS
Sinon la priorité est déterminée par la plus grande adresse MAC

ü Les bonnes pratiques exigent de mettre au moins deux routeurs souhaités
avec les grandes valeurs pour avoir un DIS primaire et secondaire.
Adjacences : Exemples
Pour voir l'état d'une adjacence CLNS :
Pour voir l’état de l’adjacence IS-IS :
IS-IS sur Cisco IOS

ü Démarrer les configurations IS-IS sur CISCO par la commande
router isis as42 ou “as42” est l’ID de processus (Process ID)
ü IS-IS process ID est unique sur le routeur
- Donne la possibilité de lancer plusieurs instances de IS- IS
73
- Le process ID n’est pas utilisé pour la communication entre
routeurs.
- Quelques ISPs utilise la valeur de leur AS BGP comme
process ID de IS-IS
Adresse NSAP IS-IS
ü Les protocoles de routage IP disposent d’un router-id pour identifier de
façon unique un routeur.
ü IS-IS utilise l’adresse NSAP
Peut-être de taille variable entre 64 et 160 bits
ü Les ISPs choisissent généralement les adresses NSAP ainsi :
- 8 premiers bits – Choisissez un nombre (généralement la
valeur 49)
- Les prochains 16 bits définissent l’area
- Les prochains 48 bits définissent le system ID
- Les derniers 8 bits sont définis à zéro
Example :
IS-IS sur Cisco IOS

Les routeurs Cisco ont par défaut le niveau L1/L2. Une fois IS-IS est démarré,
d’autres configurations sont requises sous le process IS- IS :
ü Afficher les changements d’adjacence dans les logs
systemes
log-adjacency-changes
ü Configure le metric-style à la valeur wide
metric-style wide
ü Definir le type d’IS au niveau 2
is-type level-2-only
74
ü Configurer le NET address
net
49.0001.<loopback>.00
Mise à jour d’interface dans IS-IS
ü Pour active l’IS-IS sur une interface :
- Met l’adresse de sous-Réseau dans la LSDB

- Active le CLNS sur cette interface
ü Pour désactiver IS-IS sur une interface :
- Désactive CLNS sur une interface

Authentification de voisins IS-IS
ü Authentification entre voisins est hautement recommandée
- Empêche les routeurs non autorisés pour la formation
d’adjacence.
II.7.4 Protocole BGP
BGP (Border Gateway Protocole), est le seul protocole de routage EGP

actuellement viable utilisé par Internet. BGP est un protocole à vecteur de
chemin qui peut utiliser de nombreux attributs différents pour mesurer des
routes. Le BGP transmet le "chemin d’AS" entre la source et la destination, la
75
détection simple et efficace des boucles, adapté à des topologie complexes (RFC
1105, BGP-1, RFC 1163, BGP-2, RFC 1267, BGP-3).
Transit : Transport de trafic à travers un réseau. Le transit du trafic a un prix.
Peering : Echange d’information de routage et de trafic. Le peering n’a pas de

prix. C’est aussi appelé settlement free peering, en anglais.
Figure II.25 : Exemple du protocole BGP

A et B échangent du trafic gratuitement, mais achètent du transit à C et D pour
obtenir de la connectivité de E et F.
Techniques d’Optimisation BGP (BGP Scaling)

ü Les spécifications et techniques de déploiement originelles de BGP
étaient appropriées pour l’Internet du début des années 1990s
- Mais Ne « scale » pas aux réseaux d’aujourd’hui
ü Les problèmes rencontrés lorsque l’Internet s’est agrandi incluent :
- Optimisation du maillage iBGP au-delà de quelques pairs ?
- Implémentation de nouvelles politiques sans causer
d’oscillations (ap) et d’incohérences dans les mises à jour de
routes (churn)?
- Maintenir le réseau stable, évolutif et simple ?
ü Les meilleures techniques actuelles d’optimisation
76
- Route Refresh
- Peer-groups
- Route re ector (et confédérations)
ü Techniques d’optimisation obsolètes
- Soft Recon guration
- Route Flap Damping
Reconfiguration dynamique
Route Refresh
ü Changement de politiques :
Réinitialisation dure avec les pairs BGP requise après chaque changement de
politique car le routeur ne stocke pas les pré xes qui sont rejetés par les
politiques
ü Réinitialisation abrupte avec le peer BGP :
- Casse la session BGP
- Consomme du CPU
- Perturbe considérablement la connectivité pour tous les
réseaux
ü Solution :
- Route Refresh
Capabilité de Route Refresh

ü Facilite les changements de politiques - non destructifs
ü Pas de configuration spécifique requise
- Négocié automatiquement à l’établissement de la session
ü Pas de mémoire additionnelle requise
ü Requière que les routeurs pairs supportent la capabilité “route refresh”
– RFC2918
ü Comment dire au pair de renvoyer toutes les annonces BGP
77
clear ip bgp x.x.x.x [soft] in
ü Comment Renvoyer toutes les annonces BGP aux paires
clear ip bgp x.x.x.x [soft] out
Reconfuguration dynamique
ü Utiliser la capabilité Route Refresh
- Supportée par presque tous les routeurs
- Se renseigner avec la commande
“show ip bgp neighbor”
- Non-perturbateur, “Bon pour l’Internet”
ü Réinitialisation dure à utiliser seulement en dernier recours
Soft Reconfiguration de Cisco

ü Le routeur normalement stocke les préfixes qui ont été reçus d’un pair
après application des politiques
- Activer soft-reconfiguration signifie que le routeur stocke
aussi les préfixes/attributs reçus avant d’appliquer les
politiques
- Utilise plus de mémoire pour garder les pré xes dont les
attributs ont été changés ou les pré xes qui n’ont pas été
acceptés
ü Seulement utile lorsque l’opérateur veut savoir quels sont les pré xes qui
ont été envoyés à un routeur avant que le routeur n’ait appliqué ses
politiques d’entrées
78
ü Ensuite lors de changement de politique, nous lançons la commande
clear ip bgp 1.1.1.1 soft [in | out]
ü Note : Lorsque “soft reconfiguration” est activé, nous n’avons pas accès
à la capabilité route refresh
clear ip bgp 1.1.1.1 [in | out] fait aussi un soft refresh
Peer Groups
ü Problème – comment rendre iBGP scalable
- Le maillage complet iBGP est lente à construire
- Les voisins iBGP recoivent les mêmes updates
- CPU du routeur gaspillé alors que les calculs sont identiques
ü Solution – peer-groups
- Groupe les pairs avec les mêmes politiques de sortie
- Les mises à jours (updates) sont générées une seule fois par
groupe
Avantages
79
- Facilite la configuration
- Moins d’erreurs de configuration
- Configuration plus lisible
- Diminue la charge CPU du routeur
- Maillage iBGP se construit plus rapidement
- Membres peuvent avoir des politiques d’entrées différentes
- Peut être utilisé pour les voisins eBGP également !
Configuration d'un Peer Group
Nota : Remarquez que 2.2.2.2 a des politiques d’entrées di érentes du peer-group

!
ü Toujours configurer des peer-groups pour iBGP

- Même s’il n’y a que quelques pairs iBGP
- Plus facile pour faire évoluer le réseau dans le futur
- Considérer l’utilisation des peer-groups pour eBGP
80
- Particulièrement utile lorsque plusieurs clients utilisent le
même AS (RFC2270)
- Utile aussi aux points d’échanges (IXP) où les politiques sont
généralement les mêmes pour tous les pairs
ü Peer-groups sont obsolètes
- Mais encore largement considérés comme bonne pratique
- Remplacés par update-groups (codés en interne – pas
configurable)
- Amélioré avec les peer-templates (permettant des
conceptions plus complexes).
Les réflecteurs de route
Réduisent le nombre de connexions requises dans un AS. Un seul routeur (ou
deux pour la redondance) peut être transformé en réflecteur de route : les autres
routeurs de l'AS doivent uniquement être configurés en tant qu'homologues pour
eux. Un réflecteur de route offre une alternative à l'exigence logique de maillage
complet du protocole de passerelle de frontière interne (IBGP). Un RR sert de
point focal [clarifier] pour les sessions IBGP. Le but du RR est la concentration.
Plusieurs routeurs BGP peuvent homologue avec un point central, le RR -
agissant comme un serveur de réflecteur de route - plutôt que d'homologue avec
tous les autres routeurs dans un maillage complet. Tous les autres routeurs IBGP
deviennent des clients réflecteurs de route. Cette approche, similaire à la fonction
DR / BDR d'OSPF, fournit aux grands réseaux une évolutivité IBGP
supplémentaire.
Dans un réseau IBGP entièrement maillé de 10 routeurs, 90 instructions CLI
individuelles (réparties sur tous les routeurs de la topologie) sont nécessaires pour
définir l'AS distant de chaque homologue : cela devient rapidement un casse-tête
à administrer. Une topologie RR pourrait réduire ces 90 instructions à 18, offrant
une solution viable pour les réseaux plus importants administrés par les FAI. Un
réflecteur de route est un point de défaillance unique, par conséquent au moins
81
un deuxième réflecteur de route peut être configuré afin de fournir une
redondance. Comme il s'agit d'un homologue supplémentaire pour les 10 autres
routeurs, il est fourni avec le nombre d'instructions supplémentaires pour doubler
ce moins 2 de la configuration de Route Reflector unique. 11 * 2-2 = 20
instructions supplémentaires dans ce cas en raison de l'ajout du routeur
supplémentaire. De plus, dans un environnement à chemins d'accès multiples
BGP, cela peut également être avantageux en ajoutant un débit de commutation /
routage local si les RR agissent comme des routeurs traditionnels au lieu d'un rôle
de serveur Route Reflecteur dédié.
Figure II.26 : Exemple d’un iBGP
82
En résumé, le réflecteur de route remplis les fonctions suivantes :
- Le réflecteur reçoit les chemins des clients et des non-clients
- Sélectionne le meilleur chemin
- Si le meilleur chemin est d’un client, envoyer aux autres
clients et aux non- clients
- Si le meilleur chemin est d’un non-client, envoyer seulement
aux clients
- Plus de maillage entre les clients
- Décrit dans RFC4456
Topologie Route Réflecteur
- Diviser le backbone en groupes/clusters
- Au moins un route reflector et quelques clients par cluster
- Route reflectors forment un maillage complet(full-mesh)
- Clients dans un cluster peuvent former un maillage
- Un seul IGP pour transporter les next-hop et les routes
83
locales
Route Re fl ectors : Eviter les boucles
ü Attribut Originator_ID
- Transporte le Router ID du routeur d’origine dans l’AS local
(crée par le RR).
ü Attribut Cluster_list
- Le cluster-id local est ajouté lorsque l’update est envoyé par le
RR
- Cluster-id est le router-id (adresse loopback)
- Pas utiliser bgp cluster-id x.x.x.x
Route Reflectors: Redondance
ü Plusieurs RRs peuvent être configurés dans le même cluster – pas
recommandé !
- Tous les RRs du cluster doivent avoir le même cluster-id (sinon ils sont
dans un cluster différent)
ü Un routeur peut être client de RRs de clusters différents
- Il est fréquent de voir aujourd’hui dans les réseaux d’ISP que
les clusters se recouvrent – moyen pour obtenir de la
redondance
- Chaque client a deux RRs = redondance
84
Figure II.27 : Architecture de configuration redondante
Route Réflecteur : Intérêt
- Résout le problème du maillage iBGP
- Pas d’effet sur le transfert des paquets
- Les speakers BGP normaux co-existent
- Plusieurs réflecteurs pour un client pour avoir la redondance
- Migration facile
- Plusieurs niveaux de route réflecteurs
Route Réflecteurs : Migration
ü Où placer les routes réflecteurs ?

- Suivre la topologie physique !
- Ceci garantit que le transfert de paquets ne sera pas impacté
ü Configurer un RR à la fois
- Eliminer les sessions iBGP redondantes
- Placer un RR par cluster
ü Migrer de petits morceaux du réseau, un morceau à la fois.
85
ü Configuration du routeur D :
Ces 3 techniques d'optimisation BGP sont primordiales pour tous les ISPs
- Route Refresh (ou Soft Reconfiguration)
- Peer groups
- Route Reflecteurs
II.8 Architecture Avancée

Le modèle hiérarchique suit le même concept de base que le modèle de
référence OSI, qui est la superposition. Étant donné que chaque couche est
responsable d'une fonction ou d'ensembles de fonctions particuliers, une
approche en couches simplifie les tâches requises pour que les hôtes
communiquent, ainsi que d'autres tâches de réseau de base telles que la résolution
des problèmes de connectivité entre les hôtes. Le modèle hiérarchique LAN n'est
pas différent.
En utilisant une conception de réseau hiérarchique, les modifications de réseau

sont plus faciles à effectuer et à mettre en œuvre. De plus, une telle conception
86
permet aux ingénieurs réseau de créer des éléments de conception qui peuvent
être répliqués à mesure que le réseau se développe. Étant donné que chaque
élément de la conception du réseau doit être modifié, le coût et la complexité de
la mise à niveau sont limités à un petit sous-ensemble du réseau global, tandis que
dans un grand réseau plat ou maillé, ces changements ont tendance à affecter un
grand nombre de systèmes.
Le modèle hiérarchique LAN comprend les trois couches suivantes :
- La couche principale (Core)

- La couche de distribution
- La couche d'accès
La couche principale (Core), ou colonne vertébrale, assure un transport

optimal entre les sites. Il s'agit d'une dorsale de commutation à grande vitesse et
doit être conçue pour commuter les paquets le plus rapidement possible. Cette
couche du réseau ne doit effectuer aucune manipulation de paquets, comme des
listes d'accès et un filtrage, qui ralentirait la commutation des paquets.
La couche de distribution fournit une connectivité basée sur des règles ;

c'est-à-dire que la couche de distribution est l'endroit où la manipulation des
paquets a lieu. La couche de distribution fournit la définition des limites et est le
point de démarcation entre les couches d'accès et de base. Cette couche permet
également de définir et de différencier la couche centrale. Dans un
environnement de réseau de campus, la couche de distribution peut inclure
plusieurs fonctions, comme suit:
- Agrégation d'adresse ou de zone

- Accès départemental ou groupe de travail
- Routage VLAN
- Définition de domaine de diffusion ou de multidiffusion
- Transitions médiatiques
87
- Sécurité
La couche d'accès fournit un accès de groupe de travail ou d'utilisateur au

LAN. En d'autres termes, la couche d'accès est le point auquel les utilisateurs
locaux se connectentphysiquement au réseau. La couche d'accès peut également
utiliser des listes ou des filtres d'accès, tels que des filtres d'adresse MAC, pour
optimiser les besoins d'un ensemble particulier d'utilisateurs ou pour assurer la
sécurité. Dans un environnement de réseau de campus, les fonctions de la couche
d'accès peuvent inclure les éléments suivants :
-Bande passante partagée (c'est-à-dire via la connectivité concentrateur)

-Bande passante commutée (c'est-à-dire en utilisant des commutateurs
LAN)
-Couche MAC et filtrage des adresses MAC
-Microsegmentation
Figure II.29 : Architecture Réseau à 3 couches
Le modèle composite du réseau d'entreprise
88
ü Le modèle Cisco Enterprise Composite Model (ECM) ou Enterprise
Composite Network Model (ECNM) fournit une conception détaillée pour
le réseau du campus d'entreprise et une infrastructure convergente et
intelligente pour accéder aux ressources informatiques sur les sites de
l'entreprise. Ce modèle développe les concepts hiérarchiques traditionnels
des couches de base, de distribution et d'accès et est basé sur les principes
décrits dans la description de Cisco des réseaux convergents. Il est donc
important de garder à l'esprit qu'il ne s'agit pas d'une norme de l'industrie
mais plutôt d'une recommandation de Cisco.
ü Le modèle fournit un cadre pour la conception et la mise en œuvre
recommandées d'un réseau de campus d'entreprise. Le réseau d'entreprise
comprend deux domaines fonctionnels, à savoir le campus d'entreprise et
la périphérie d'entreprise. Ces deux zones sont ensuite divisées en modules
ou blocs qui définissent en détail les différentes fonctions de chaque zone.
Le campus d'entreprise est composé des modules suivants:
- Le module de construction ou de commutation

- Le module principal
- Le module de gestion
- Le module serveur
- Le module de distribution Enterprise Edge
ü Le module de construction ou de commutation (Switch) est

défini comme la partie du réseau qui contient les postes de travail des
utilisateurs finaux, les téléphones et leurs points d'accès de couche 2
associés. Son objectif principal est de fournir des services aux utilisateurs
finaux. Ce module comprend des commutateurs de couche d'accès ainsi
que leurs commutateurs de couche de distribution associés.
ü Le module principal (Core) est la partie du réseau qui achemine et
89
commute le trafic le plus rapidement possible d'un réseau à un autre. Il
s'agit simplement de la couche centrale du modèle de réseau hiérarchique.
ü Le module de gestion permet la gestion sécurisée de tous les appareils
et hôtes au sein
de l'entreprise. Dans ce module, les informations de journalisation et de rapport
circulent des
périphériques vers les hôtes de gestion, tandis que le contenu, les configurations
et les nouveaux logiciels circulent vers les périphériques depuis les hôtes de
gestion.
ü Le module serveur ou batterie de serveurs fournit des services
d'application aux utilisateurs finaux et aux appareils. Les flux de trafic sur le
module serveur sont inspectés par la détection d'intrusion intégrée dans les
commutateurs de couche 3. Ce module est lié au bloc de commutation.
Figure II.30 : Architecture réseau d’Entreprise

Le module de distribution de périphérie d'entreprise (The
90
enterprise edge distribution module).
Comprend les modules suivants:
- Le module Internet d'entreprise
- Le module VPN et accès à distance
- Le module WAN
- Le module de commerce électronique
ü Le module Internet d'entreprise offre aux utilisateurs internes une
connectivité aux services Internet.
ü Il permet également aux utilisateurs Internet d'accéder aux informations sur
les serveurs publics ;
ü de l'entreprise, tels que les serveurs de messagerie accessibles au public, par
exemple.
ü Pour protéger ces serveurs, des dispositifs de sécurité tels que les systèmes
de détection
des Intrusions (IDS) ou les systèmes de prévention des intrusions (IPS), ainsi que
les pare-feu,
sont généralement intégrés dans la conception de ce module.
ü Le trafic entrant circule de ce module vers le module VPN et d'accès
distant, où la terminaison VPN a lieu. Il est important de se rappeler que ce
module n'est pas conçu pour servir des applications de type E-Commerce.
91
Figure II.31 : Architecture réseau d’Entreprise pour le Client Corporate
II.9 Technologie Internet : Point d’échange

Un point d’échange Internet (IXP) permet aux réseaux locaux d’échanger
efficacement des informations dans un même pays à partir d’un point commun
sans devoir échanger du trafic Internet local a l’étranger.
Par conséquent, un IXP est un élément de l’infrastructure Internet qui peut

augmenter l’accessibilité et la qualité de l’Internet pour les communautés locales.
92
Figure II.32 : Architecture Couche 2 IXP
Un IXP est une infrastructure technique essentielle où les réseaux se réunissent

pour se connecter et échanger du trafic Internet (https://www.internetsociety.org).
Certains des types de réseaux qui se connectent au trafic d’échange sont : les
fournisseurs de services Internet (FAI), les opérateurs mobiles et les réseaux de
distribution de contenu (CDN) tels que Google, Baidu, Akamai et Facebook.
Construire un IXP plein de succès n’est pas seulement un travail d’ingénierie

technique. Il faut aussi du temps et des efforts doivent être investis pour
développer la confiance, la compréhension commune et les accords mutuels dans
la communauté locale.
Beaucoup de personnes et d’organisations impliquées dans la mise en place d’un

IXP sont traditionnellement des concurrents. En décidant de travailler ensemble,
ils contribuent à une infrastructure Internet locale meilleure et plus résiliente.
Cela se produit lorsqu’il y a des gens sur le terrain, défendant l’accès à Internet
pour tout le monde et construisant une communauté pour soutenir cette cause.
Pour un IXP, une communauté forte est la base du succès.
Figure II.33 : Diagramme IXP architecture (Christophe Dietzel)
II.9.1 Fonctionnement des IXP
Les IXP aident à créer des itinéraires plus courts, et plus directs, pour le trafic
Internet. Ils offrent une alternative plus abordable à l’envoi de trafic Internet local
93
à l’étranger, uniquement pour renvoyer ce trafic via une liaison internationale, ce
qui peut être une entreprise coûteuse.
Pour qu’un IXP fonctionne, il a besoin d’un (Switch) commutateur, de routeurs,

de serveurs, d’un emplacement neutre, de sources d’alimentation appropriées, de
systèmes de refroidissement, de sécurité et d’experts techniques pour le faire
fonctionner, et le gérer. Pour que cela fonctionne bien, il faut aussi des gens qui
croient qu’en établissant des liens humains, nous pouvons créer des réseaux
techniques plus solides.
II.9.2 Avantages des IXP
Les IXP sont essentiels pour offrir un Internet plus rapide et plus abordable aux
gens. Ils font de l’Internet :
Moins cher : les IXP garantissant que le trafic entre les expéditeurs locaux et les
destinataires locaux utilise des connexions locales relativement bon marché, plutôt
que des liaisons internationales coûteuses, les économies de coûts pour les FAI
peuvent être importantes – 20% ou plus dans certains pays.
Meilleur : les capacités de commutation des IXP permettent de rediriger le

trafic Internet en cas de problèmes de connectivité sur le réseau. Ainsi, par
exemple, en cas de panne de la connectivité internationale, un IXP peut
maintenir le trafic local dans le pays. Cela contribue à un Internet plus résilient.
Plus rapide : en fournissant des connexions réseau plus directes, les IXP
améliorent la qualité d’accès pour les utilisateurs locaux. Les vitesses d’accès au
contenu local s’améliorent jusqu’à dix fois avec un IXP en place, car le trafic est
acheminé plus directement.
Plus d’opportunités : les IXP attirent un large éventail d’opérateurs locaux et

internationaux car ils leur offrent un moyen plus rentable d’accéder aux
utilisateurs Internet locaux potentiels. Cela stimule l’innovation et crée des
94
opportunités commerciales – ceci encourage les populations locales à produire
des contenus et applications locaux plus pertinents.
II.9.3 Les Point d’échanges en Afrique
Figure II.34 : point d’échanges en Afrique
KINIX (KINshasa Internet eXchange point) est un point d’échange Internet

associatif neutre de couche 2 découlant du projet RDC-IX.
Service
KINIX est offre les services suivants :
ü peering local et national ;

95
ü peering remote ;
ü unicast
Les membres qui échanges les trafing sur KINIX avec leurs ASN Number sont
les suivants :
96
Statistique du Point d’échange de Kinshasa.
Figure II.35 : Statistique du Point d’échange de Kinshasa
97
CHAPITRE III. VIRTUALISATION ET CLOUD COMPUTING
III.1 VIRTUALISATION
Un serveur est un ordinateur utilisé à distance depuis différents postes de travail,
ou autres serveurs. Il possède des ressources matérielles, principalement CPU,
mémoire, disques et interfaces réseau. Ces ressources sont utilisées par des
applications, non pas de manière directe, mais en s’appuyant sur un système
d’exploitation. La virtualisation de serveurs est un ensemble de techniques et
d’outils permettant de faire tourner plusieurs systèmes d’exploitation sur un
même serveur physique. Le principe de la virtualisation est donc un principe de
partage : les différents systèmes d’exploitation se partagent les ressources du
serveur. Pour être utile de manière opérationnelle, la virtualisation doit respecter
deux principes fondamentaux :
Le cloisonnement : chaque système d’exploitation a un fonctionnement

indépendant, et ne peut interférer avec les autres en aucune manière.
La transparence : le fait de fonctionner en mode virtualisé ne change rien au

fonctionnement du système d’exploitation et a fortiori des applications.
La transparence implique la compatibilité : toutes les applications peuvent tourner

sur un système virtualisé, et leur fonctionnement n’est en rien modifié. .
98
Figure III.1 : Illustration d’un virtualisation des Postes de Travail
III.1.1 Hyperviseurs
Un hyperviseur est une plate-forme de virtualisation qui permet à plusieurs

systèmes d’exploitation de travailler sur une même machine physique en même
temps.
III.1.1.1 Hyperviseur de type 1
Un hyperviseur de Type 1, ou natif, voire "bare metal" (littéralement "métal nu"),

est un logiciel qui s’exécute directement sur une plateforme matérielle ; cette
plateforme est alors considérée comme outil de contrôle de système
d’exploitation. Un système d’exploitation secondaire peut, de ce fait, être exécuté
au-dessus du matériel. L’hyperviseur type 1 est un noyau hôte allégé et optimisé
pour ne faire tourner initialement que des noyaux de systèmes d’exploitation
invités adaptés et optimisés à cette architecture spécifique, ces systèmes invités
ayant "conscience" d’être virtualisés. Sur des processeurs ayant les instructions de
virtualisation matérielle (AMD-V et Intel VT), le système d’exploitation invité n’a
99
plus besoin d’être modifié pour pouvoir être exécuté dans un hyperviseur de type
1.
Quelques exemples de tels hyperviseurs plus récents sont Xen, Oracle VM, ESX
Server de VMware.
Figure III.2 : Architecture de virtualisation du Type 1 et Type 2
III.1.1.2 Hyperviseur de type 2
Un hyperviseur de Type 2 est un logiciel qui s’exécute à l’intérieur d’un autre

système d’exploitation. Un système d’exploitation invité s’exécutera donc en
troisième niveau au-dessus du matériel. Les systèmes d’exploitation invités n’ayant
pas conscience d’être virtualisés, ils n’ont pas besoin d’être adaptés. Quelques
exemples de tels hyperviseurs sont VMware Workstation, VMware Fusion,
l’hyperviseur open source QEMU, les produits Microsoft Virtual PC et Virtual
Server, VirtualBox d’Oracle, de même que Parallels Workstation de SWsoft et
Parallels Desktop.
III.1.2 Différents types de la Virtualisation
III.1.2.1 Virtualisation Complète

La virtualisation dite complète permet de faire fonctionner n’importe quel
système d’exploitation en tant qu’invité dans une machine virtuelle. Pour
100
l’utilisateur final, ce type de virtualisation est la plus simple à mettre en place et est
la plus pratique.
Figure III.3 : Architecture d’une virtualisation complète
Principe : L’hyperviseur crée un environnement virtuel complet simulant

littéralement un nouvel ordinateur complet, avec du "faux matériel". À quelques
rares exceptions, le système d’exploitation invité (installé dans la machine
virtuelle) ne communique qu’avec ce faux matériel simulé, rendant étanche
l’environnement virtualisé.
Limitations : Ce type de virtualisation ne permet de virtualiser que des systèmes

d’exploitation prévus pour la même architecture matérielle que le processeur
physique de l’ordinateur hôte.
Quelques hyperviseurs de virtualisation complète :
− VirtualBox
− VMWare Player, VMWare Workstation
− Parallels Desktop for Windows et Linux
− KVM
III.1.2.2 Para-Virtualisation
La para virtualisation fait intervenir un hyperviseur. Il s’agit d’un noyau allégé au-
dessus duquel viendront se greffer les systèmes invités. Contrairement à un
système traditionnel de machines virtuelles où la virtualisation est transparente,
101
avec la para virtualisation, le système invité doit avoir conscience qu’il tourne dans
un environnement virtuel ce qui implique d’employer un noyau modifié. Ce type
de virtualisation permet des performances bien plus importantes que la
virtualisation totale (assistée par matériel, que nous avons vu plus haut).
Figure III.4 : Architecture du Para virtualisation
Quelques hyperviseurs de virtualisation assisté :
- XEN
- VMWare ESX/ESXi
- Hyper-V ( Microsoft )
- xVM
III.1.2.3 Isolateurs
Un isolateur est un logiciel permettant d’isoler l’exécution des applications dans
ce qui sont appelés des contextes, ou bien zones d’exécution. L’isolateur permet
ainsi de faire tourner plusieurs fois la même application dans un mode multi-
instance (plusieurs instances d’exécution) même si elle n’était pas conçue pour ça.
Cette solution est très performante, du fait du peu d’overhead (temps passé par
un système à ne rien faire d’autre que se gérer), mais les environnements
virtualisés ne sont pas complètement isolés.
102
Figure III.5 : isolateur de la virtualisation
La performance est donc au rendez-vous, cependant on ne peut pas vraiment
parler de virtualisation de systèmes d’exploitation. Uniquement liés aux systèmes
Linux, les isolateurs sont en fait composés de plusieurs éléments et peuvent
prendre plusieurs formes.
III.1.3 Principales solutions
III.1.3.1 XEN
Xen est une solution de virtualisation open source développée initialement par le
département informatique de l’Université de Cambridge. Son développement est
aujourd’hui activement sponsorisé par Citrix, qui a racheté l’éditeur initial
XenSource. Citrix distribue une version commerciale de Xen, nommée Citrix
XenServer, particulièrement adaptée à la virtualisation des OS Microsoft
Windows et Linux RHEL et SLES. Elle est dotée d’une interface
d’administration avancée, et d’un accès au support technique. Quant aux
fonctionnalités, elles sont les mêmes que dans la version distribuée librement.
III.1.3.2 KVM (Kernel Virtual Machine)

KVM, est intégré depuis le noyau 2.6.20 et permet une virtualisation matérielle et
donc une accélération de la virtualisation de système d’exploitation.
C’est un système optimisé pour la virtualisation de serveur. Pour virtualiser des

systèmes de type desktop, on peut lui préférer VirtualBox. KVM semble en effet
plus performant en consommation de processeur mais plus lent pour l’émulation
du périphérique graphique. L’utilisation d’un bureau virtualisé dans VirtualBox
103
pourra donc laisser une meilleure impression à l’utilisateur. Vous pouvez tout de
même préférer KVM pour sa meilleure compatibilité avec des systèmes
d’exploitation anciens ou peu populaires.
Néanmoins, KVM est complètement libre, performant et très facile à installer et à

utiliser. L’interface graphique virt-manager pourra aider à paramétrer KVM et
pourra rendre la vie plus simple aux administrateurs réseaux.Mais Vous ne
pouvez pas utiliser KVM en même temps que VirtualBox. Il faudra en effet
fermer KVM pour utiliser VirtualBox et vice versa. Ou désactiver le support de la
virtualisation processeur dans VirtualBox.
III.1.3.3 VMware ESX

VMware vSphere est un logiciel d’infrastructure de Cloud computing de l’éditeur
VMware, c’est un hyperviseur de type 1 (Bare Metal), basé sur l’architecture
VMware ESXi. VMware vSphere nécessite une configuration matérielle restreinte
précisée dans le guide de comptabilité VMware.
La gestion de ce serveur hôte peut se faire via plusieurs possibilités : par le

navigateur Web avec une connexion directe, par une console cliente avec une
connexion directe ou par un outil de gestion centralisée nommé VMware vCenter
Server qui permet d’administrer l’ensemble des machines virtuelles, des hôtes
physiques, de leurs ressources et des options de l’environnement (High
Availability, vMotion, Storage vMotion, Distributed Resource Scheduler, Fault
Tolerance) depuis une seule console.
III.1.3.4 Hyper-V
Hyper-V, également connu sous le nom de Windows Server Virtualization, est un
système de virtualisation basé sur un hyperviseur 64 bits de la version de
Windows Server 2008.
Il est possible d’utiliser la console Hyper-V sur Windows 7. Dans le sens inverse,
de nombreux systèmes d’exploitation peuvent tourner à l’intérieur de Hyper-V.
104
III.1.3.5 OpenVZ
Une des solutions les plus avancées et matures dans le domaine de l’isolation est
OpenVZ. Ce produit se présente sous la forme d’un patch pour le noyau Linux,
et d’un ensemble d’outils d’administration. Le patch du noyau permet à un
système GNU/Linux de gérer des contextes virtualisés. Les outils d’administration
permettent de créer, d’instancier, et de contrôler les environnements virtuels.
III.1.3.6 LXC
LXC est une solution de virtualisation de type isolateur. Cette solution permet la
virtualisation par container au niveau du noyau. LXC est très récent et remplace
Linux-VServer et OpenVZ. Aussi, LXC est dès à présent intégré au noyau, ce qui
n’a jamais été le cas des deux solutions citées précédemment.
L’isolateur tire avantage de la possibilité, unique sous UNIX et Linux, de partager

le noyau avec d’autres processus du système. Cette virtualisation à noyau partagé
utilise une fonctionnalité nommée chroot. Cette fonctionnalité modifie le système
de fichiers racine d’un processus pour l’isoler de manière à fournir une certaine
sécurité.
III.1.4 Domaines d’application
Voici quelques exemples d’application de ces techniques de virtualisation, dans

les domaines où elles sont couramment mises en place.
Les offres d’hébergement étaient traditionnellement distinguées en deux

catégories : hébergement dédié et hébergement mutualisé.
Dans un hébergement dédié, le fournisseur met à disposition de son client un ou

plusieurs serveurs, configurés selon ses besoins. Selon les cas, le contrat peut
prévoir une plus ou moins grande autonomie du client par rapport à la
configuration et l’exploitation de son serveur, mais du moins au plan technique,
rien ne s’oppose à ce que le contrôle soit total.
105
Avec un hébergement mutualisé, le fournisseur utilise un même serveur pour
plusieurs de ses clients. Il utilise différentes solutions de cloisonnement pour
maintenir une certaine étanchéité entre ces environnements.
Le partage de la ressource serveur permet bien sûr un coût très inférieur,

particulièrement attractif pour les sites à faible trafic. Mais l’hébergement
mutualisé simple a plusieurs handicaps :
− L’allocation des ressources du serveur n’est pratiquement pas contrôlée, de

sorte que la qualité de service de chaque site peut être pénalisée par un pic
de trafic, ou par la boucle d’un programme sur un autre site.
− La configuration logicielle est unique, et dictée par l’hébergeur. Elle fait le
choix, en général, d’un même serveur Http, mais aussi très souvent d’un
même outil de gestion de contenus et de base de données. La simple
installation de telle ou telle librairie spécifique nécessaire à l’un des clients
n’est en général pas possible. Et a fortiori, des configurations globales sur
mesure sont interdites.
− En termes d’exploitation, chaque client est extrêmement confiné, de peur
qu’il ne perturbe la configuration. Il dispose le plus souvent d’un simple
accès en transfert de fichier sur son répertoire privé, et dans tous les cas n’a
jamais l’accès root (administrateur) sur le serveur.
Entre ces deux modes d’hébergement, la virtualisation a permis un mode

combinant les bénéfices de l’un et de l’autre : le partage de ressources d’une part,
l’autonomie et le contrôle d’autre part.
C’est le mode que l’on appelle VDS pour Virtual Dedicated Server, un serveur
dédié virtuel.
106
III.1.5 Virtualisation de Stockage
Dans tout projet de virtualisation se pose, à un moment ou un autre, la question

du stockage.Quelque soit la technologie utilisée, une machine virtuelle se
compose de deux éléments :
Des ressources : part de CPU alloués, mémoire vive autorisée, nombre de

cartes réseau virtuelles...
Des données : comme un serveur normal, on doit disposer d’un système

d’exploitation, de bibliothèques, d’outils, d’applications et de leurs données.
Le stockage dépend de la technologie de virtualisation utilisée, et surtout de sa ń

profondeur ż.
Dans les technologies de machine virtuelle, l’hyperviseur ne fournit au système

virtualisé qu’un espace de stockage. Il peut s’agir d’un volume, ou simplement
d’un fichier, on peut placer l’intégralité de cet espace sur un disque local, un
réseau de stockage ou un autre serveur...
L’utilisation d’un disque local est la solution la plus avantageuse en terme de

performances et de facilité d’administration. Cependant, l’utilisation d’un stockage
en réseau permet d’ouvrir la voie à de nouvelles fonctionnalités.
III.2 CLOUD COMPUTING (informatique dans le nuage)
III.2.1 Définition du Cloud Computing
Le Cloud Computing est une technique permettant de gérer des ressources

(serveurs) et d’adapter très rapidement une infrastructure à des variations de
charge de manière totalement transparente pour l’administrateur et les
utilisateurs.
Les applications proposées en mode Cloud Computing ne se trouvent plus

forcément sur un serveur informatique hébergé chez l’utilisateur mais dans un ń
107
nuage ż formé de l’interconnexion de serveurs géographiquement distincts
réalisée au niveau de fermes de serveurs géantes (également appelées
datacenters). Ceci est rendu possible par le procédé de virtualisation qui consiste à
faire fonctionner plusieurs systèmes d’exploitation ainsi que leurs applications
associées sur un seul serveur physique. La virtualisation permet ainsi de recréer
plusieurs ordinateurs virtuels sur une seule et même machine physique.
III.2.2 Différents types du Cloud
ü SAAS (Software as a Service)
SaaS est un mode d’utilisation d’une solution logicielle que se fait en utilisant
l’application à distance qui est hébergée par l’éditeur. Le mode SaaS se rencontre
couramment pour des applications logiciels relatives au CRM ou au
webmarketing. La solution logicielle étant utilisée, le plus souvent, à partir d’un
simple navigateur Internet, elle permet à l’entreprise d’être dégagée de toute
contrainte d’installation, de mise à jour ou de maintenance technique.
Elle permet également d’être utilisée par les collaborateurs en situation de

mobilité. La mise à disposition d’une solution Saas peut être facturée par
abonnement ou proportionnellement à l’usage et peut parfois comporter des frais
de personnalisation et de mise à disposition du service. Dans le domaine du
webmarketing, les plateformes de gestion des campagnes email, les outils de web
analytique et les serveurs publicitaires sont généralement proposés en mode Saas.
Avantage : plus d’installation, plus de mise à jour (elles sont continues chez le
fournisseur), plus de migration de données etc. Paiement à l’usage. Test de
nouveaux logiciels avec facilité.
Inconvénient : limitation par définition au logiciel proposé. Pas de contrôle sur
le stockage et la sécurisation des données associées au logiciel. Réactivité des
applications Web pas toujours idéale.
ü PAAS (Plateform as a Service)
108
Il s’agit des plateformes du nuage, regroupant principalement les serveurs
mutualisés et leurs systèmes d’exploitation. En plus de pouvoir délivrer des
logiciels en mode SaaS, le PaaS dispose d’environnements spécialisés au
développement comprenant les langages, les outils et les modules nécessaires.
L’avantage est que ces environnements sont hébergés par un prestataire basé à
l’extérieur de l’entreprise ce qui permet de ne disposer d’aucune infrastructure et
de personnel de maintenance et donc de pouvoir se consacrer au développement.
Avantage : le déploiement est automatisé, pas de logiciel supplémentaire à
acheter ou à installer.
Inconvénient : limitation à une ou deux technologies (ex. : Python ou Java pour
Google AppEngine, .NET pour Microsoft Azure, propriétaire pour force.com).
Pas de contrôle des machines virtuelles sous-jacentes.Convient uniquement aux
applications Web. Les cibles sont les développeurs. Google App Engine est le
principal acteur proposant ce genre d’infrastructures.
ü IAAS (Infrastructure as a Service)
Il s’agit de la mise à disposition, à la demande, de ressources d’infrastructures

dont la plus grande partie est localisée à distance dans des Datacenters. L’IaaS
permet l’accès aux serveurs et à leurs configurations pour les administrateurs de
l’entreprise. Le client a la possibilité de louer des clusters, de la mémoire ou du
stockage de données. Le coût est directement lié au taux d’occupation.
Avantage : grande flexibilité, contrôle total des systèmes (administration à

distance par SSH ou Remote Desktop, RDP), qui permet d’installer tout type de
logiciel métier.
Inconvénient : besoin d’administrateurs système comme pour les solutions de
serveurs classiques sur site.
Les cibles sont les responsables d’infrastructures informatiques. Amazon EC2 est
le principal qui propose ce genre d’infrastructures. OpenStack est un exemple
d’infrastructure.
109
Figure III.6 : Types de solutions Cloud
III.2.3 Architectures Cloud
III.2.3.1 Cloud Privé

Le Cloud privé est prévu pour offrir aux entreprises, des services qui leur
permettront de mieux maîtriser leurs ressources informatiques. L’entreprise peut
gérer son infrastructure en solitaire, au rythme de ses besoins, ou passer par la
mutualisation. Ce type de stockage peut être ainsi considéré d’une part, comme
l’installation d’un réseau informatique propriétaire. D’autre part, on peut le
désigner comme un centre de données qui fournit des services hébergés pour un
certain nombre d’usagers. Il leur délivre des accès particulièrement favorables
pour leurs applications hébergées.
110
Figure III.7 : architecture Cloud Privé
On distingue les Cloud privés internes, utilisés par une entreprise pour satisfaire
ses propres besoins. Ils sont administrés en interne par l’entreprise même. Il y a
aussi les Cloud privés externes, destinés à satisfaire les besoins propres d’une
entreprise cliente. Leurs gestions sont confiées à un prestataire extérieur. On
parle alors de gestion externalisée. Dans ce cas, une partie de ses services
externalisés, est prise en charge par un prestataire de confiance.
III.2.3.2 Cloud Public

Les ressources sont fournies par un prestataire et mutualisées pour un usage
partagé par plusieurs clients. L’infrastructure est mise à la disposition du grand
public (c’est-à-dire de plusieurs entreprises) mais elle appartient à un fournisseur
de services informatiques, le niveau de service étant défini par le fournisseur et
identique pour tous les utilisateurs.
Les exemples les plus évidents de Cloud computing ont tendance à tomber sous
le modèle de Cloud public, car ils sont, par définition, accessibles au public. Les
offres de Software as a Service (SaaS), comme le stockage Cloud et les
applications office en ligne, sont peut-être les plus connues, mais les offres
111
largement disponibles d’Infrastructure as a Service (IaaS) et de Platform as a
Service (PaaS), Cloud hybride qui incluent de l’hébergement web et des
environnements de développement basés sur le Cloud, peuvent également
correspondre à ce modèle (bien que toutes puissent exister au sein de Clouds
privés).
Figure III.8: architecture Cloud publique
Les Clouds publics sont largement utilisés dans les offres adressées aux personnes
privées, moins susceptibles d’avoir besoin de l’infrastructure et de la sécurité de
Clouds privés. Toutefois, les entreprises peuvent toujours avoir recours au Cloud
public pour rendre leurs opérations plus efficaces, par exemple pour le stockage
de contenu non-sensible, la collaboration avec des documents en ligne et la
messagerie web.
III.2.3.3 Cloud Hybride

Un Cloud hybride est un service Cloud intégré utilisant à la fois des Clouds privés
et des Clouds publics pour remplir différentes fonctions au sein d’une même
organisation. Si tous les types de services Cloud sont sensés offrir un certain
niveau d’efficacité, à des degrés divers, les services de Cloud public sont
112
susceptibles d’être plus avantageux au niveau des coûts et plus évolutifs que des
Clouds privés. C’est pourquoi une organisation peut maximiser son efficacité en
utilisant des services de Cloud public pour ses opérations non sensibles, et
s’appuyer en revanche sur un Cloud privé lorsqu’elle en a besoin, faisant en sorte
que toutes ses plateformes soient intégrées harmonieusement.
Figure III.9 : architecture Cloud Hybride

III.2.4 Avantages et Bénéfices
Le Cloud Computing offre les fonctionnalités et avantages suivants :
Une grande extensibilité : les ressources Cloud sont disponibles à la

demande depuis les vastes pools de ressources du Cloud public, afin que les
applications qu’elles supportent puissent répondre de manière flexible aux
fluctuations d’activités.
Avantages en termes de coûts : les Cloud publics rassemblent de plus

grandes quantités de ressources afin de pouvoir bénéficier de vastes économies
d’échelle. L’exploitation et la gestion centralisées des ressources sous-jacentes sont
partagées entre tous les services Cloud alors que les composants, comme les
serveurs, nécessitent moins de configuration personnalisée. Certaines offres
figurant sur le marché sont même gratuites pour les clients, comptant sur la
publicité pour alimenter leurs revenus.
Modèle de prix basé sur l’utilisation : les services de Cloud public utilisent
souvent un modèle de tarification basée sur l’utilisation, selon lequel le
consommateur peut accéder aux ressources dont il a besoin, quand il en a besoin,
113
et ne paie que ce qu’il a effectivement utilisé, évitant ainsi un gaspillage de
capacités.
Fiabilité : la grande quantité de serveurs et de réseaux impliqués pour créer un

Cloud public et les configurations redondantes signifient qu’en cas de panne de
l’un des composants, le service Cloud peut continuer à fonctionner sur les autres
composants. Dans les cas où les Clouds tirent leurs ressources de nombreux data
centres, un data centre entier peut tomber en panne et les services Cloud n’en
seront pas affectés. En d’autres mots, il n’existe aucun point unique de défaillance
susceptible de rendre un service de Cloud public vulnérable.
Flexibilité : il existe une multitude de services IaaS, PaaS et SaaS disponibles

sur le marché et qui répondent au modèle de Cloud public, prêts à être utilisés en
tant que services et accessibles depuis tout équipement disposant d’une connexion
à Internet. Ces services peuvent remplir la plupart des exigences en matière
informatiques et fournir leurs avantages tant aux clients privés qu’aux entreprises.
Les entreprises peuvent même ajouter des aspects de Cloud privé à leurs services
de Cloud public en créant un Cloud hybride, notamment si elles doivent exécuter
des fonctions sensibles.
Indépendance de l’emplacement : la disponibilité des services de Cloud

public par connexion Internet assure que les services sont disponibles où que se
trouve le client. Cela représente un nombre immense d’opportunités pour les
entreprises, notamment l’accès distant à l’infrastructure IT (en cas d’urgence etc.)
ou la collaboration avec des documents en ligne depuis de multiples
emplacements.
III.2.5 Différents acteurs du Cloud
Amazon, Microsoft, Google, Salesforce, Oracle, IBM, OpenStack : autant

d’acteurs majeurs dont il faut parler pour comprendre les directions que prendra
le Cloud Computing d’ici peu.
114
III.2.5.1 Amazon
En 2002 Amazon, le site marchand de renommée internationale, lançait "Amazon
Web Services". Le ’fait divers’ relatant la location des ressources non-utilisées par
le site-marchand à des entreprises, a donné l’idée à la société de Seattle de mettre
en place un ensemble de services web destinés à plusieurs types de clients.
Le catalogue de services s’est enrichi avec le temps, et on ne compte pas moins

d’une quinzaine d’offres de services à l’heure actuelle. L’offre la plus connue est
certainement Amazon Elastic Compute Cloud, ou EC2, qui permet un
déploiement de machines virtuelles directement par le client, de manière
automatisée, et en fonction du besoin, d’où le terme élastique. Les possibilités
sont multiples et la technologie Xen, évoquée au chapitre sur la virtualisation,
permet de définir chaque machine virtuelle comme un serveur virtuel privé. Les
coûts sont calculés en fonction du temps d’utilisation. La localisation
géographique semble également jouer un rôle dans la variation du prix à l’heure.
III.2.5.2 SalesForce
Le pionnier des offres Cloud Computing SalesForce, ou plutôt
Salesforce.com est une société qui a lancé en 2003 des offres de Cloud Public.
C’est donc officiellement le plus ancien prestataire dans ce domaine. Aujourd’hui
encore, leurs offres sont uniquement composées de Cloud Public, et adressées
aux entreprises (surtout les grands comptes). Sur leur site, on constate que les
outils proposés sont résolument tournés vers le travail collaboratif, la gestion des
ventes et le marketing relationnel. Certes, le grand public peut utiliser certains
outils dans certaines conditions, mais l’offre gratuite est plutôt limitée, ce qui
risque d’en arrêter plus d’un.
III.2.5.3 Microsoft
Office 365, c’est un peu la transformation de la suite bureautique Microsoft en
version Online. L’objectif est simple : concurrencer la suite bureautique en ligne
115
de Google, et reconquérir les clients perdus au profit de google. Microsoft entend
adapter ses prix en fonction du client, à savoir que les petites structures paieront
un prix plus adapté à leur structure. Là encore, on ne s’adresse pas vraiment au
grand public.
Windows Azure, la seconde offre commerciale proposée par Microsoft, peut

être vue comme la base d’une solution SaaS.
III.2.5.4 Google
Lancé en 2008, Google AppEngine est disponible uniquement en Cloud Public,
sous la forme d’une offre gratuite. Sa grande force réside dans le fait qu’il soit
justement gratuit, et propose des applications de qualité, malgré le très grand
nombre de requête effectuées sur les serveurs.
III.2.5.5 OpenStack
OpenStack est un logiciel gratuit beaucoup plus complet et ambitieux que les
autres. Son but est de fournir toutes les briques nécessaires à la mise en place
d’un service IaaS : Infrastructure as a Service. L’IaaS est l’une des facettes du
Cloud Computing : il s’agit de fournir des ressources informatiques sous forme de
machine virtuelles prêtes à l’emploi, et ce directement à la demande des
utilisateurs, sans passer par la mise en place à la main des VM par un
administrateur système. Le système IaaS gère la mise à disposition de la ressource
en fonction de la capacité actuelle de la plateforme, et assure le suivi de
consommation à des fins de facturation.
116
CHAPITRE IV. GESTION DU RESEAU
IV.1 Objectifs généraux

− Comprendre ce qu’est la gestion de réseau et les concepts fondamentaux
de la communication des données à travers un réseau ;
− Comprendre les enjeux stratégiques de la gestion ;
− Se familiariser avec les fonctions de la gestion de réseau ;
− S’initier aux différentes architectures de gestion de réseau ;
− Reconnaître les limites actuelles de la gestion de réseau.
IV.2 Objectifs spécifiques

− Connaître les caractéristiques et les fonctions des réseaux téléinformatiques
et savoir différencier les domaines d’un réseau ;
− Différencier le réseau téléinformatique du réseau de télécommunication ;
− Définir les fonctions de base de la gestion de réseau téléinformatique ;
− Distinguer les divers besoins de gestion de réseau ;
− Reconnaître et différencier les architectures de protocoles de
communication ;
− Associer les architectures de gestion de réseau aux différents types de
réseaux ;
− Comparer et différencier les approches OSI, l’approche SNMP et les
approches propriétaires ;
− Identifier et décrire les cinq fonctions de bases que la gestion de réseau
cherche à résoudre.
Dans ce chapitre, nous allons décrire le processus qui permet de concevoir un
environnement de gestion de réseau qui réponde aux exigences d’une
organisation conformément au Service Level Aggrement (SLA) et Key
Performance Indicator (KPI). Nous déclinerons dans ses sections successives les
principales étapes de ce processus de conception de cet environnement.
117
IV.3 Qu’est-ce que la gestion de réseau ?
La gestion de réseau a trait à l’ensemble des activités permettant d’assurer le
fonctionnement du réseau afin qu’il livre les services attendus.
Ces activités peuvent être regroupées selon leurs fonctionnalités. La
décomposition fonctionnelle établie par l’OSI a arrêté cinq domaines de gestion :
la gestion de configuration, des fautes, des performances, des coûts et de la
sécurité.
Pour chacun de ces domaines, le gestionnaire réalisera la collecte des données de
gestion, leur interprétation et le contrôle des éléments de réseaux. Ces activités
sont réalisées à distance sur les éléments de son réseau.
IV.3.1 La gestion de la configuration
La gestion de la configuration permet de désigner et de paramétrer différents

objets. Les procédures requises pour gérer une configuration sont la collecte
d’informations, le contrôle de l’état du système et enfin la sauvegarde de l’état
dans un historique.
Figure IV.1 : Gestion de la configuration
118
Elle couvre l’ensemble des fonctionnalités suivantes :
− démarrage, initialisation des équipements ;
− positionnement des paramètres ;
− cueillette des informations d’état et intervention dans les paramètres ;
− modification de la configuration du système ;
− association des noms aux objets gérés ;
− changement de l’adresse IP d’une machine ;
− changement de l’adresse IP d’un routeur ;
− changement de la table de routage.
IV.3.2 La gestion des fautes
La gestion des fautes permet la détection, la localisation, la réparation des pannes

et le rétablissement du service et l’ensemble des fonctionnalités suivantes :
− La détection des fautes : elle comprend la préparation de rapports
d’incidents de fonctionnement, la gestion de compteurs ou des seuils
d’alarme, le filtrage d’événements par filtrage en amont des informations,
l’affichage des dysfonctionnements.
− La localisation : on y procède au moyen de rapports d’alarme, de mesures
et de tests.
− La réparation : elle consiste à prendre les mesures correctives (réaffectation
de ressources, «reroutage », limitation du trafic par filtrage, maintenance),
ou encore à rétablir du service (tests de fonctionnement, gestion de
systèmes de secours, etc.).
− L’enregistrement des historiques d’incidents et statistiques : la gestion des
fautes ne peut se limiter à ces actions ponctuelles, nécessaires mais
insuffisantes pour donner le service attendu. C’est la raison pour laquelle
elle comporte aussi, d’une part, l’enregistrement d’historiques d’incidents et
la compilation de statistiques qui peuvent porter sur la probabilité des
pannes, leur durée, les délais de réparation et, d’autre part, un rôle
119
d’interface avec les usagers qui consiste à les informer des problèmes
réseau et à leur donner la possibilité de signaler eux-mêmes des incidents :
(i) la déconnexion d’un câble ;
(ii) une mauvaise configuration d’un équipement ;
(iii) une interface défectueuse d’un routeur ;
(iv) la réinitialisation accidentelle.
Figure IV.2 : Gestion des fautes
IV.3.3 La gestion de la performance
La gestion de la performance comprend les procédures de collecte de données et

d’analyse statistique devant aboutir à la production de tableaux de bord.
Figure IV.3 : Gestion des performances

Elle fournit des fonctions qui permettent à des fins de planification des ressources
du réseau, planification des maintenances et optimisation :
120
(i) de recueillir des données statistiques (taux d’erreurs, temps de transit, débit,
etc.) ;
(ii) de maintenir et analyser des journaux sur l’historique de l’état du système
(événements).
Les informations obtenues serviront à l’analyse et à la planification du réseau. On
peut diviser cette partie en deux : l’une traitant de la gestion de la performance en
temps réel et l’autre en temps différé.
Pour gérer la performance d’un réseau en temps réel, il faut mettre en place les
fonctionnalités suivantes :
(i) Enregistrements des mesures de performance : cela passe par
l’établissement et la mise à jour des critères et des conditions de
mesure, la gestion de la collecte d’informations, le filtrage, la
compilation de statistiques, l’adoption de mesures à la demande ou
encore la gestion des fichiers de collecte ;
(ii) Surveillance de l’activité du réseau par visualisation de l’utilisation des
ressources, le signalement des dépassements de seuils et l’analyse de la
performance : cela implique une visualisation du fonctionnement du
réseau (avec comme variables pertinentes par exemple la répartition de
la charge, les différents débits, les temps de réponse ou encore la
disponibilité) et une analyse des causes possibles de dépassement de
seuil par corrélation avec les pannes d’équipements, au moyen de
divers indicateurs.
(iii) Changement de configuration proactive et réactive : le fait de gérer la
performance en temps réel suppose que l’on soit capable de prendre
des mesures correctives (ou réactives) et préventives (ou proactives). La
gestion réactive vise à établir lors de la détection d’un problème de
performance des mesures de réaffectation des ressources par
modification des paramètres de configuration ou par redistribution du
121
trafic. Ces mesures, de par leurs natures, sont prises afin de répondre à
un problème déjà existant.
La gestion proactive consiste à prendre des mesures initiales permettant
d’éviter d’arriver à une situation critique. Cette tâche est effectuée en temps
différé et comporte quant à elle un ensemble de sous-tâches :
(i) l’analyse des informations par la compilation de statistiques, d’historiques

ou encore d’indicateurs de qualité du service ;
(ii) l’édition de tableaux de bord et de rapports, qu’ils soient périodiques ou
qu’ils soient effectués à la demande ;
(iii) une certaine forme d’analyse prévisionnelle par la constitution de
matrices de trafic, par la détection de risques de saturation ou
d’engorgement, par des simulations de scénarios, par le suivi de la
gestion corrective, et enfin par la planification et le dimensionnement du
réseau.
Exemples
• Relevé des pertes de connexions entre deux routeurs.
• Relevé des taux d’utilisation d’un lien T1.
• Relevé des temps de réponse entre deux sites.
IV.3.4 La gestion de la comptabilité
La gestion de la comptabilité permet de connaître les charges des objets gérés, les
coûts de communication, etc. Cette évaluation est établie en fonction du volume
et de la durée de la transmission.
122
Figure IV.4 : Gestion de la comptabilité
Elle couvre l’ensemble des fonctionnalités suivantes :
− les mesures sur l’utilisation des ressources, et leur enregistrement en vue
d’obtenir des historiques ;
− le contrôle des quotas par utilisateur en faisant des mises à jour des
consommations courantes et en vérifiant les autorisations de consommation
;
− le suivi et le contrôle des dépenses par stockage et mise à jour des tarifs des
opérateurs, par gestion des tickets de taxation, par évaluation en temps réel
de la consommation courante, par vérification des factures, et enfin par
suivi des coûts d’exploitation et de matériels (investissement, amortissement
et maintenance) ;
− la gestion financière : bien évidemment, on retrouve dans la gestion
comptable une partie financière qui consiste à ventiler les coûts (par
service, par utilisateur ou encore par application), à analyser et prévoir les
dépenses et enfin à étudier les possibilités de réduction des coûts ;
− la facturation : finalement, l’activité de gestion comptable aboutit à une
facturation interne, ce qui implique la gestion des clients et des trafics, la
production de tickets de taxation et de factures, le contrôle de la facturation
et enfin le stockage des historiques.
123
Exemples :
• Coût d’utilisation d’un réseau RNIS.
• Coût d’utilisation d’un lien T1.
IV.3.5 La gestion de la sécurité
La gestion de la sécurité est une fonction de gestion qui concerne le contrôle et la

distribution des informations utilisées pour la sécurité. Elle englobe le cryptage et
la liste des droits d’accès.
Figure IV.5 : Gestion de la sécurité

À l’appui des politiques de réseau, la gestion de réseau consiste à collecter les
informations de gestion et à les interpréter. Voici les fonctionnalités qui doivent
être mises en œuvre :
(i) Dans ce contexte, il faut dans un premier temps assurer la sécurité relative à
l’administration de réseau elle-même, c’est-à-dire gérer les droits d’accès
aux postes de travail, gérer les droits liés aux attentes des opérateurs, et
enfin les autorisations d’accès aux informations de gestion.
(ii) Ensuite, il faut garantir la sécurité des accès au réseau géré ; pour cela, il
faut mettre en place des mécanismes qui impliquent des fonctions telles
que la définition des conditions d’utilisation, l’activation ou la désactivation
des mécanismes, la modification de certains paramètres ou encore la
124
gestion des listes d’autorisation (aux machines, à différents services ou à
divers éléments de réseau) ; il faut évidemment en outre effectuer un
contrôle des accès (identités, horaires, temps de connexion, destination) et
une détection des tentatives d’accès frauduleuses (enregistrement,
compilation de statistiques et déclenchement d’alarmes si nécessaire).
(iii) Enfin, il faut garantir la sécurité de l’information par la gestion de
mécanismes de protection, de cryptage et de décryptage, et par la
détection d’incidents et de tentatives de fraude.
Voici les fonctions de gestion de sécurité qui doivent être mises en œuvre pour
supporter cette activité :
a. Soutien à l’authentification.
b. Contrôle et maintenance des autorisations.
c. Contrôle et maintenance des commandes d’accès.
d. Gestion des clés.
e. Maintenance et examen des fichiers de sécurité.
Nous ne traiterons pas vraiment de la gestion de sécurité mais seulement des
besoins sécurisés pour les opérations de gestion.
Exemples :
− Détection d’intrusions.
− Détection d’une attaque par IP Flooding.
− Détection de virus.
IV.4 Les environnements de gestion

Un environnement de gestion est un ensemble d’outils, basé sur une même
technologie, qui permet de mettre en place les objectifs de gestion de l’entreprise.
Il existe deux catégories d’environnements de gestion : standards et propriétaires.
125
Les environnements propriétaires sont basés sur des protocoles de
communication non standards et n’autorisent en général que la gestion des
équipements particuliers d’un équipementier.
En revanche, les environnements standards sont basés sur une architecture
ouverte et des protocoles standardisés qui permettent de gérer tous les
équipements qui mettent en œuvre des fonctionnalités de gestion standards.
Dans ce chapitre, nous mettrons l’accent sur ces environnements et nous
montrerons comment ils peuvent interagir avec des systèmes non standards.
IV.4.1 Les environnements de gestion standards
Nombre d’organisations se sont intéressées au problème de la gestion de réseau et

de service. Il n’est pas possible de les énumérer toutes mais il est important de
présenter celles qui ont eu le plus grand impact dans ce domaine.
Voici sous forme de tableau les principaux environnements de gestion sur le
marché :
Les organismes de normalisation et les consortiums internationaux ont proposé

plus d’une dizaine de solutions dont les plus populaires sont :
▪ SNMP : proposé par l’IETF en 1988 pour la gestion des environnements
TCP/IP.
SNMP (Simple network management protocol) est devenu le protocole de
gestion de référence en raison du succès des protocoles de l’IETF (tels que
IP, TCP). Cet environnement est actuellement le plus déployé et utilisé.
▪ TMN/CMIP : proposés respectivement par l’UIT-T et l’ISO.
L’architecture TMN
126
(Telecommunication management network) et le protocole CMIP
(Common management information protocol) constituent la norme dans le
domaine de la gestion de réseau de télécommunication. CMIP présente
une version améliorée de SNMP tandis que TMN introduit un cadre de
travail pour planifier, installer, maintenir, utiliser et administrer un réseau
de télécommunication et les services associés. La complexité de ces deux
entités a été un frein à leur expansion dans les petits réseaux et ils sont
quasi exclusivement utilisés dans les réseaux opérateurs.
▪ WEBM/DMI/CIM : proposés par les fabricants des postes de travail et les
serveurs regroupés dans le consortium DMTF (Desktop management task
force, dénommé aujourd’hui Distributed management task force). Leur
objectif est de pousser les aspects gestion jusqu’aux postes de travail et les
serveurs incluant ainsi tous les éléments du système d’information de
l’entreprise. Différents environnements ont été proposés : DMI (Desktop
management interface), CIM (Common information model),
WBEM (Web based management) et DEN (Directorie enabled network),
qui représentent différentes approches d’intégration mais qui sont en train
d’être intégrés dans la même architecture.
▪ DME : proposée par les fabricants de logiciels regroupés dans l’OSF
(Open software
fundation), cette architecture dite DME (Distributed management
environnement) est orientée vers la gestion exclusive des postes Unix. Nous
ne traiterons pas de ce modèle car il est très orienté poste Unix mais ne
prend pas en compte la gestion des équipements réseaux.
▪ OMA : proposée par le consortium OMG (Object management group),

cette architecture de gestion orientée objets distribués, dite OMA (Object
management architecture) est basée sur Corba (Common objet request
127
broker architecture) et se propose d’apporter une solution de gestion
distribuée intégrant les différentes approches suscitées.
▪ JMX : proposée par le consortium Java, JMX (JavaTM management
extensions) est un ensemble de spécifications et API pour la gestion de
réseau, faisant partie de la solution
J2EETM. Elle se propose également de fournir une solution unifiée par
rapport aux solutions SNMP/TMN/WEBM.
Nous avons établi un distinguo entre les technologies qui sont
opérationnelles depuis plusieurs années et celles qui sont introduites au fur
et à mesure que leur maturité est reconnue. Ces dernières sont plus
particulièrement évoquées dans le chapitre traitant des nouvelles
technologies dans la gestion de réseau.
IV.4.2 Conception d’un environnement de gestion
La conception d’un environnement de gestion est le processus qui permet

d’aboutir à une solution architecturale et technologique du système de gestion.
Cela suppose impérativement une grande rigueur dans les choix qui président à la
réalisation d’un tel environnement afin d’éviter des échecs en termes de
réalisation des objectifs et/ou des coûts. Il est donc extrêmement important de
définir une démarche sur laquelle les gestionnaires de réseau pourront s’appuyer
pour faire les bons choix architecturaux et technologiques qui répondent aux
besoins de l’entreprise.
La démarche proposée passe par l’identification préalable des besoins, puis la

détermination et la sélection des services nécessaires, un choix technologique de
plate-forme et enfin l’établissement d’une formule d’exploitation.
Ce processus qui comporte cinq étapes est décrit dans la figure IV.7. Pour
pouvoir effectuer ces différentes étapes, l’administrateur réseau doit acquérir un
savoir-faire qui lui permette de maîtriser la technologie, de savoir dans quels cas il
128
convient de l’utiliser et enfin pour être à même de faire des choix optimaux en
termes d’outils et de plates-formes pour mettre en place sa solution.
Figure IV.6 : Les étapes de la conception d’un environnement de gestion
IV.5 Qu’est-ce que le NOC

NOC, Network Operating Center (Centre d’Opération Réseau), son rôle est
d’observer et gérer les services d’un fournisseur de services. Il peut aussi :
(i) Recueillir et gérer les disfonctionnements
(ii) Statistique sur l’état opérationnel du réseau
(iii) Historique sur le fonctionnement du système.
IV.5.1 Coordination du travail des Ingénieurs à travers le NOC
IV.5.1.1 Les composants de l’administration réseau

Cette composante consiste à :
129
(i) Gestions des erreurs et disfonctionnements
(ii) Gestion des configurations/modifications
(iii) Gestion de la performance
(iv) Gestion de la sécurité
IV.5.1.2 Gestion des incidents et disfonctionnements

(i) Identifier les problèmes
(ii) Sonder/vérifier régulièrement le réseau.
(iii) Isoler les disfonctionnements
(iv) Diagnostic des équipements du réseau.
(v) Résoudre les disfonctionnements.
● Allouer des ressources pour résoudre les problèmes
● Priorité des interventions
● Intervention technique par pallier (escalassions)
(vi) Informer
(vii) Alerter
Gestion des incidents

(i) Mécanisme d'alerte
● Lien vers le NOC
● Alerte Téléphonique/Mail
(ii) Mettre en œuvre et contrôler les procédures d’alarme.
(ii) Procédure de récupération
(iv) Système de Ticket
130
Détection de disfonctionnement
Les opérations suivantes sont conduites après la détection d’un incident par
l’équipe du centre d’opération (24x7)
− Ouvre des tickets d’incidents pour suivre les problèmes
− Procède au diagnostic préliminaire (1er Niveau)
− Assigne le problème à un ingénieur, ou met à jour le statut des tickets
− Contacte les clients
IV.5.2 Outil d’observation réseau !
− Ping (test de disponibilité)

− Trace route (topologie, atteignabilité)
− SNMP (collecte de données, pour statistiques)
IV.5.2.1 Observation Système

− Nagios
− Analyse de logs (syslog) (Signaler les incidents et les inaccessibilités,
détecter les nœuds qui ne répondent pas problèmes de routage)
− MRTG
− CATIC
− Autres.
IV.6 LES MONITEURS DE SUPERVISIONS

De nos jours, superviser son réseau devient facile car les logiciels de supervision
sont légions de nos jours. Ces logiciels qui existent sur le marché de la supervision
sont fiables, sécuriser et permettent d'effectuer des vérifications sur les machines
et les services sur le réseau local et distant, de collecter et vérifier les résultats des
tests de supervision envoyés par les agents de supervision et d'alerter
l'administrateur réseaux en cas de fonctionnement anormale d'un hôte ou d'un
131
service. En se basant sur le coût d'achat de ces logiciels peut les classer en deux
grands groupes qui sont : les logiciels payants et logiciels libres.
IV.6.1 LES MONITEURS DE SUPERVISIONS PAYANT
Les moniteurs de supervision payant sont proposés par les éditeurs de logiciel qui
ont compris rapidement dès le début des réseaux que superviser sera la clé de
réussite des systèmes informatiques et un atout pour les entreprises. C'est pour
cela que les entreprises n'hésitent pas à investir pour l'obtention d'une solution de
supervision. Alors vu la demande croissante, le nombre d'éditeurs augmente
donnant naissance à une variété de logiciels et parmi eux ont peut citer :
Ø HP OpenView : c'est un logiciel destiné aux petites et moyennes entreprises
et permet de centraliser les informations de supervision sur un seul poste. Il
favorise la gestion du réseau en offrant aux administrateurs une vue globale
du système d'information, un contrôle homogène des différents composants
du système informatique et une vision des incidents et leur impact.
Ø IBM Tivoli Monitoring : c'est un logiciel conçu pour aider les entreprises à
surveiller et gérer les matériels et les logiciels essentiels notamment les
systèmes d'exploitation, les bases de données et les applications sur des
environnements répartis. Il permet la surveillance de manière proactive des
ressources systèmes vitales, détecte efficacement les goulets d'étranglement et
les problèmes potentiels des applications et répond automatiquement aux
évènements.
Ces logiciels possèdent tous les avantages dans le domaine de la supervision mais
leur inconvénient face à la concurrence est leur coût d'achat élevé. Ainsi les
entreprises ont tendance à se tourner vers le monde libre où les logiciels proposés
commencent à être compétitifs et deviennent de plus en plus professionnels.2
2
HIEN K. Rodrigue Romaric, Etude et proposition d’une solution de supervision basée sur le logiciel
libre Nagios, Edition, 2010, p.20.
132
IV.6.2 LES MONITEURS DE SUPERVISION LIBRE
Les moniteurs de supervision libre sont des logiciels proposés gratuitement par
des développeurs qui cherchent à se faire connaître à travers leurs produits en
œuvrant dans le social. Parmi ces logiciels on peut citer :
Ø Nagios : c'est le moniteur de supervision le plus rependu parmi les logiciels
open source et est suivi par toute une communauté de développeurs. Il
permet la supervision du réseau et des systèmes et s'adapte aux systèmes
d'information de moyenne taille au plus important. Nous allons l'étudier
plus en détail dans la suite de ce rapport.
Ø MRTG (Multi Router Traffic Grapher) : ce moniteur de supervision génère
des pages HTML qui représentent en temps réelle trafic réseau. Son
architecture logicielle permet l'intégration de composants hétérogènes, ainsi
il s'intègre étroitement avec Nagios.
Ø CACTI : principal successeur de MRTG, il est basé sur RRDTool et
permet de représenter graphiquement le statut des périphériques réseaux
en utilisant le protocole SNMP ou grâce à des scripts écrit en perl, en C, ou
en PHP.
Le monitoring de CACTI est fondé sur la supervision réseau et la métrologie et
cependant il est très efficace dans la gestion des données de performances.
Ø ZABBIX : c'est un moniteur qui est beaucoup plus orienté du côté de la
supervision système. Il a une architecture tout-en-un avec des agents dédiés
que l'on doit installer sur les éléments distants. Il est facile à installer et à
configurer mais le revers de la médaille est qu'il ne gère pas les éléments
imprévus que l'on souhaitera ajouter au plus tard.
Ø Nmap, Wireshark, Solarwinds, Grafana, Prometheus, Etc.
Ces logiciels cités offrent tous l'avantage commun d'être gratuit, donc en fonction
des besoins de supervision nous devons faire un choix parmi eux.
Nous choisirons comme logiciel de base pour la supervision du réseau :
133
IV.7 TABLEAU COMPARATIF DE QUELQUES OUTILS DE
SUPERVISIONS
Tableau 1. Comparaison et étude de quelques logiciels de supervisions

OUTILS TYPES LICENC S.E ENVIRO OBSERVAT
E NNEMEN IONS
T
Wireshar Analyseur GNU GPL GNU Multiplatefo Wireshark est
k de paquets (linux, rme un analyseur
BSD(d), de paquets
Microsoft libre et gratuit.
Windows Il est utilisé
et MacOs dans le
dépannage et
l’analyse de
réseaux
informatiques,
le
développement
de protocoles,
l’éducation et
la rétro-
ingénierie.
CACTI Supervisi GNU free Type Unix Unix, linux Cacti est un
on et logiciel libre de
Microsoft mesure de
Windows performance
réseau et
serveur basé
sur la
puissance de
stockage
RRDTOOL.
ZABBIX Supervisio Licence GNU/Lin Zabbix est un
n publique ux, logiciel libre
générale Solaris, permettant de
134
GNU MacOs, surveiller l’état
HP-UX, de divers
Net BSD, services
IBM réseaux,
Power serveurs et
System, et autres
AIX matériels
réseaux et
produisant des
graphiques
dynamiques de
consommation
des ressources.
Nmap Sécurité GNU GPL Linux, Multiplatefo Nmap est
informatiq Microsoft rme scanner de
ue Windows, ports libre crée
MacOs, par Flyodor et
Free BSD, conçu pour
Net BSD, détecter les
Open ports ouverts,
BSD et identifier les
Solaris. services
hébergés et
obtenir les
informations
sur le système
d’exploitation
d’un
ordinateur
distant.
Nagios Network Licence Type Unix Linux, NIX Nagios
monitoring publique (anciennement
générale appelé
GNU Netsaint) est
une application
permettant la
surveillance
135
système réseau.
Elle surveille
les hôtes et
services
spécifiés
alertant lorsque
les systèmes
ont des
dysfonctionne
ments et quand
ils repassent en
fonctionnemen
t normal.
Grafana Application Licence Microsoft Multiplatefo Grafana est un
web apache Windows, rme outil libre sous
version 2.0 Linux et licence apache
MacOs 2.0 qui permet
la visualisation
de données. Il
permet de
réaliser des
tableaux de
bord et de
graphiques
depuis
plusieurs
sources dont
des bases de
données
temporelles
comme
graphite (en),
Influx DB et
openSDB
Prometh Application Licence Linux, net X86_64, IA- Prometheus est
eus de apache BSD, 32(en), un logiciel libre
supervision version 2.0 Open Architecture de surveillance
136
(d) Times BSD, Free MIPS, informatique et
séries BSD, Power PC et générateur
database Microsoft architecture d’alertes. Il
(en) linux Windows, Arm enregistre en
foundation Darwin et temps réel
project Dragonfly dans une base
BSD de données de
séries
temporelles
(avec une
capacité
d’acquisition
élevée) en se
basant sur le
contenu de
point d’entrée
exposé à l’aide
du protocole
http
IV.8. CONCLUSION
Nous avons abordé ici la supervision, et la supervision informatique pour nous
faire une idée de comment nous pouvons connaitre l’état des hôtes et des
services. Dans la prochaine section nous allons aborder une étude comparative de
quelques outils.
IV.9 RESULTAT ET DISCUSSION
IV.10 Etude comparative entre NAGIOS, GRAFANA, PROMETHEUS.

Il est à noter qu’à l’issu de ce travail, tout administrateur réseau doit être capable
de gérer le trafic ou faire la supervision de son réseau et ce en temps en réel, tout
en recevant des alertes venant de moniteurs de supervisions.
137
Tout ceci se fera à l’aide d’un dispositif mis en place pour surveillance et la
gestion de trafic internet tel qu’un contrôleur de trafic qui s’assurera de faire de
capture d’écran en temps réel des informations qui y circulent dans le réseau. Le
logiciel va alerter à chaque fois notre administrateur réseau de
dysfonctionnement, anomalie du système par message ou courriel.
IV.10.1 OUTIL DE SUPERVISION NAGIOS
Nagios est un logiciel de supervision de réseau libre sous licence GPL qui
fonctionne sous
Linux. Il a pour fonction de surveiller les hôtes et services spécifiés, alertant
l'administrateur des états des machines et équipements présents sur le réseau.
Bien qu'il fonctionne dans un environnement Linux, ce logiciel est capable de
superviser
Toutes sortes de systèmes d'exploitation (Windows XP, Windows 2000,
Windows 2003
Server, Linux, Mac OS entre autres) et également des équipements réseaux grâce
au protocole SNMP.
138
Figure IV.7: Nagios (wikipedia.org)
Cette polyvalence permet d'utiliser Nagios dans toutes sortes d'entreprises, quelle
que soit la topologie du réseau et les systèmes d'exploitation utilisés au sein de
l'entreprise.
Ce logiciel est composé de trois parties :
Ø Le moteur de l'application qui gère l’ordonnance, les supervisions des
différents équipements.
Ø Les Plugins qui servent d'intermédiaire entre les ressources que l'on
souhaite superviser et le moteur de Nagios. Il faut bien noter que pour
accéder à une certaine ressource sur un Hôte, il faut un plugin coté Nagios
et un autre coté hôte administré.
Ø L'interface web qui permet d'avoir une vue d'ensemble des états de chaque
machine du Parc informatique superviser et ainsi pouvoir intervenir le plus
rapidement possible en Ciblant la bonne panne.
IV.10.1.1 Fonctionnalité Nagios
Figure IV.8 : Centralisation d’informations par Nagios. (Mémoire online-

Monitoring)
Les fonctionnalités de Nagios sont très nombreuses, parmi les plus communes
que nous pouvons cités sont les suivantes :
139
Ø La supervision des services réseaux (SMTP, http…), des hôtes et des
ressources
Systèmes (CPU, charge mémoire…)
Ø La détermination à distance et de manière automatique
l’état des objets et les ressources nécessaires au bon fonctionnement du
système grâce à ses plugins.
Ø Représentation coloriée des états des services et hôtes définies.
Ø Génération de rapports.
Ø Cartographie du réseau.
Ø Gestion des alertes.
Ø Surveillance des processus (sous Windows, Unix…).
Ø Superviser des services réseaux : (SMTP, POP3, HTTP, ICMP, SNMP,
DAP, etc.)
Ø La supervision à distance peut utiliser SSH ou un tunnel SSL.
Ø Les plugins sont écrits dans les langages de programmation les plus adaptés
à leur tâche (Bash, C++, Python, Perl, PHP, C#, etc.).
IV.10.1.2 Architecture Nagios.

L’architecture de Nagios se base sur le paradigme serveur-agent. D’une manière
spécifique, un serveur fessant office de point central de collecte des informations
tandis que les autres machines du réseau exécutent un agent chargé de renvoyer
les informations au serveur.
L’architecture globale de Nagios peut être décomposée en 3 parties coopératives
entre elles :
Un noyau qui est le cœur du serveur Nagios, lancé sous forme de démon et
responsable de la collecte et l’analyse des informations, la réaction, la prévention,
la réparation et l’ordonnancement des vérifications (quand et dans quel ordre).
C’est le principe de répartition des contrôles au mieux dans le temps qui nous
évites la
140
surcharge du serveur et des machines à surveiller.3
Figure IV.9 : Architecture Nagios (Mémoire Online)

Ø Des exécutants : ce sont les plugins dont un grand nombre est fourni de
base, responsables de l’exécution des contrôles et tests sur des machines
distantes ou locales et du renvoie des résultats au noyau du serveur Nagios
Ø Une IHM : C’est une interface graphique accessible par le web conçu pour
rendre plus exploitable les résultats. Elle est basée sur les CGI (Common
Gateway Interface) fournis par défaut lors de l’installation de Nagios qui
interprètent les réponses des plugins pour les présenter dans l’interface.
Cette interface sert à afficher de manière claire et concise une vue d’ensemble du
système
D’information et l’état des services surveillés, de générer des rapports et de
visualiser
L’historique. D’une manière générale avoir la possibilité de détecter en un simple
coup d’œil,
Les services ou hôtes ayant besoin d’une intervention de leur administrateur.
Ø Avantages
- Des plugins qui étendent les possibilités de Nagios.
- Une très grande communauté qui participe activement au développement.
- Un moteur performant.
3
Ahmed mamlouk, mise en place d’une solution de supervision Nagios, Tunis, Edition, 2013-2014, page17-18.
141
- Solution complète permettant le reporting, la gestion des pannes et d’alarmes,
gestion
Des utilisateurs…
- Des plugins permettent aux utilisateurs de développer facilement ces propres
Vérifications de leurs services.
- Possibilité de repartir la supervision entre plusieurs administrateurs.
- Offre la possibilité de développer ses propres modules.
Ø Inconvénients
- Configuration complexe mais peut s’améliorer en ajoutant Centreon.
- Interface peu ergonomique et intuitive.
IV.10.1.3 Plugins
Nagios fonctionne grâce à des plugins écris en Perl ou en C. Sans eux, il est
totalement Incapable de superviser et se résume en un simple noyau. Ces plugins
sont des programmes externes au serveur, des exécutables qui peuvent se lancer
en ligne de commande afin de tester une station ou service. Ils fonctionnent sous
le principe D’envoi de requêtes vers les hôtes ou services choisis lors d’un appel
du processus de Nagios, et la transmission du code de retour au serveur
principale qui par la suite se charge D’interpréter les résultats et déterminer l’état
de l’entité réseau testée. La relation entre le noyau et les plugins sont assurés
d’une part par les fichiers de Configuration (définitions des commandes) et
d’autre part par le code retour d’un plugin. Cette relation peut se résumer par le
tableau suivant :
Tableau 2 : Signification des codes de retours
CODE RETOUR ETAT SIGNIFACATION
1 OK TOUT VA BIEN
LE SEUIL D’ALERTE EST
2 WARNING
DEPASSE
3 CRITICAL LE SERVICE A PROBLEME
142
IMPOSSIBLE DE
4 UNKOWN CONNAITRE L’ETAT DU
SERVICE
Nagios est livré avec un « package » de greffons standards regroupant les plus
utilisés. Pour une utilisation basique et simple, ils devraient être suffisants. En
voilà quelques exemples :
Ø Check_http : Vérifie la présence d'un serveur web.
Ø Check_load : Vérifie la charge CPU locale.
Ø Check_ping : Envoie une requête Ping à un hôte.
Ø Check_pop : Vérifie la présence d'un serveur POP3.
Ø Check_procs : Compte les processus locaux.
Ø Check_smtp : Vérifie la présence d'un serveur SMTP.
Ø Check_snmp : Envoie une requête SNMP (passée en argument) à un hôte.
Ø Check_ssh : Vérifie la présence d'un service SSH.
Ø Check_tcp : Vérifie l'ouverture d'un port TCP (passé en argument).
Ø Check_users : Compte le nombre d'utilisateurs sur la machine locale.
Ø Il est possible de créer son propre plugin et l’interfacer avec Nagios tout en
respectant les conventions des codes de retours précédemment expliqués.
La vivacité de la communauté Open Source et celle de Nagios 2 en particulier
permet de disposer d'un grand nombre de plugins supplémentaires. Comme on
peut le constater, les plugins peuvent fonctionner soit en effectuant des tests en
local, à distance par le biais de divers moyens comme l’installation des agents
NRPE sous Linux ou NSClient sous Windows ou autres.
IV.10.1.4 Les fichiers de configurations

Nagios s'appuie sur différents fichiers textes de configuration pour construire son
infrastructure de supervision. Nous allons à présent citer et définir ceux qui sont
les plus importants :
143
Ø Nagios.cfg est le fichier de configuration principal de Nagios. Il contient la
liste des autres fichiers de configuration et comprend l'ensemble des
directives globales de fonctionnement.
Ø Cgi.cfg contient un certain nombre de directives qui affectent le mode de
fonctionnements des CGI. Il peut être intéressant pour définir les
préférences concernant l'interface web de Nagios.
Ø Resource.cfg permet de définir des variables globales réutilisables dans les
autres fichiers.
Etant inaccessible depuis les CGI qui génèrent l'interface, ce fichier peut être
utilisé pour stocker des informations sensibles de configuration.
Ø Commands.cfg contient les définitions des commandes externes, telles que
celles qui seront utiles pour la remontée d'alerte.
Ø Checkcommands.cfg contient les définitions des commandes de
vérification prédéfinies et celles définies par l'utilisateur.
Ø Hosts.cfg définit les différents hôtes du réseau à superviser. A chaque hôte
est associé son nom, son adresse IP, le test à effectuer par défaut pour
caractériser l'état de l'hôte, etc.
Ø Services.cfg associe à chaque hôte ou à chaque groupe d'hôtes l'ensemble
des services qui doivent être vérifiés.
Ø Hostsgroups.cfg définit des groupes d'hôtes pour regrouper des hôtes selon
des caractéristiques communes. Un hôte peut appartenir à plusieurs
groupes.
Ø Contacts.cfg déclare les contacts à prévenir en cas d'incident et de définir
les paramètres des alertes (fréquences des notifications, moyens pour
contacter ces personnes, plages horaires d'envoi des alertes...).4
4
Ahmed mamlouk, mise en place d’une solution de supervision Nagios, Tunis, Edition, 2013-2014, page18-21.
144
IV.10.1.5 Conclusion
Le présent point a illustré ensuite l’outil de monitoring Nagios ses composants,
fonctionnalité, et architecture. Finalement une partie a été consacrée pour la
définition des différents fichiers de configurations générés par la solution de
supervision Nagios, précédé par l’énumération des différents plugins de base
responsable de l’exécution des tests nécessaires.
IV.10.2 OUTIL DE MONITORING GRAFANA
GRAFANA :
Ø Est une application open source dont le socle de base est écrit en langage
GO ce qui permet de la rendre très performante ;
Ø S'appuie sur une base MySQL qui lui permet de stocker certains
paramètres liés à son propre fonctionnement ;
Ø Embarque son propre serveur web, et utilise le format JSON pour
présenter et formater l'intégralité des informations liées à un tableau de
bord. L'affichage graphique des données est réalisé dynamiquement.
Pour mieux comprendre son principe voici un schéma qui décrit en mieux son
fonctionnement :
145
Figure IV.10 : Schéma de principe grafana (Conf-ng.jres.org)
Grafana est logiciel libre sous licence Apache 2.0 qui permet la visualisation de
données. Il permet de réaliser des tableaux de bord et des graphiques depuis
plusieurs sources dont des bases de données temporelles comme GRAPHITE,
en INFLUXDB et OPEN TSDB. Il est multiplateforme, il s’appuie sur un
stockage dans une base de données. Il peut être déployé avec un Docker. Il est
écrit en GO et dispose d’une API http complète. Outre la gestion des tableaux de
bord classique (ajouts, suppression, favoris), grafana propose le partage d’un
tableau de bord actuel en créant un lien ou en créant un instantané statique de
celui-ci. Tous les tableaux de bord et toutes les sources de données sont liés à une
organisation et les utilisateurs de l’application sont liés aux organisation via des
rôles.
Grafana empêche les utilisateurs d’écraser accidentellement un tableau de bord
dont. Une protection similaire existe lors de la création d’un nouveau tableau de
146
bord dont le nom existe déjà. L’outil offre la possibilité de mettre en place des
alertes.5
Une fois les premières configurations effectuées, l’organisation par défaut est
déployée et le service est opérationnel. Le cœur s’appuie sur trois types de plugins
qui seront définis pour l’une de la plateforme et ce quelle que soit l’organisation :
Ø Les DataSources : le plugin qui correspond au type de base que l’on
souhaite requêter (InfluxDB, Elstic Search, MySQL, …) un plugin est
installé pour chaque type de connecteur ;
Ø Les App : des plugins spécifiques permettant de se connecter directement à
une application définie.
Ø Les Panels : plugins permettant d’afficher les données selon le format
souhaité : courbes, affichage de valeurs unique, compteurs, listes. Il y en a
pour tous les besoins et aussi pour tous les goûts.
Tout s’articule ensuite autour des organisations qui sont des entités dédiées et
cloisonnées sur lesquelles nous pouvons définir :
Ø Nos comptes utilisateurs et leurs droits ;
Ø La connexion aux datasources pour un panel donné ;
Ø La mise en forme des données collectées grâce aux différents panels à
notre disposition;
Ø L’ordre souhaité de lecture des dashboards grâce à la fonction Playlist.
De façon générale, il est intéressant de voir que l'architecture de Grafana peut
fournir le service en mode SAAS. En effet, il est possible de déléguer une
organisation à un service tiers dans lequel les administrateurs auront toute latitude
pour organiser de façon autonome leurs tableaux de bord et filtrer leurs propres
autorisations.
Pour résumer, Grafana fournit l'intégralité des outils pour agréger, organiser et
analyser les données issues de bases hétérogènes ou d'applicatifs différents avec
une souplesse assez déconcertante. Nous allons maintenant vous décrire plus
5
http://wikipédia/grafana.com
147
précisément les briques qui composent Grafana ainsi que les méthodes de
collecte et d'analyse en prenant quelques exemples de tableaux de bord déjà
réalisés. 6
IV.10.2.1 Panels
Afin de réaliser des tableaux de bord conviviaux, Grafana fournit des plugins de
type panels pour mettre en forme les données collectées. Ces dernières peuvent
être visualisées sous diverses formes pour les séries chronologiques et non
chronologiques :
Ø Des tableaux ;
Ø Des histogrammes ;
Ø Des diagrammes circulaires ;
Ø Des gauges ;
Ø Du texte ;
Ø etc.
Entrons un peu plus dans le détail du tableau de bord de la figure 2 composé de
quatre lignes :
Ø Sur la première, nous utilisons trois panels différents. Le panel Clock pour
afficher l'heure, sur les deux suivants de type Text contenant du code html,
nous affichons l'humeur du jour (un peu d'humour …) et le trafic en temps
réel, idéal quand nous partons du bureau le soir ;
Ø Sur la seconde, le panel Singlestat permet d'afficher la dernière valeur des
températures dans les salles. Pour cela nous utilisons une instance de
connecteur à la base InfluxDB dans laquelle nous envoyons les données
obtenues par nos différents scripts ;
Ø Sur la troisième, le panel est du même type que précédemment mais avec
un affichage au format jauge ainsi que les tendances temporelles en arrière-
plan ;
6
Julien Camoin et Ali, Optimisez et communiquer grâce à la supervision, Nantes, Edition, 2017, page3-4.
148
Ø Sur la dernière ligne, nous nous appuyons sur le panel Zabbix Triggers qui
nous remonte de façon harmonieuse les alertes en temps réel.
IV.10.2.2 DataSources et Alimentations

Comme vu précédemment, Grafana utilise des plugins de type datasources pour
stocker des informations. Ils sont associés à des bases de données et sont
accessibles par des langages de requêtes. Ainsi, nous pouvons combiner les
données de plusieurs sources de données datasources au sein d’un unique tableau
de bord et même au sein d’un panel unique. L’interface graphique de Grafana
nous permet facilement de choisir entre les différents datasources installées
comme le montre l’illustration ci-dessous.
Figure IV.11 : Exemples de data sources.

Comme nous possédons une multitude de données issues de plusieurs sources («
scripts maison », interfaces de monitoring, console d’administration, etc.), nous
étions à la recherche d’une base de données centralisée et multi-sources
répondant à des besoins de fiabilité et de performances.
IV.10.2.3 L’exemple d’un InfluxDB

Pour cela, nous avons installé la base de données open source InfluxDB. Elle a
l’avantage d’être fiable, rapide dans le stockage d’informations, de pouvoir
récupérer celles-ci de manière instantanée et fournit un langage similaire à SQL.
149
InfluxDB stocke des données de série temporelle (i.e. l’information avec son
horodatage) qui nous permet de réaliser des requêtes continues et des analyses en
temps réel sans submerger la base de données. En raison de ses nombreux
avantages, InfluxDB est largement utilisé dans le domaine de l’Internet des objets
(IOT).
Le langage SQL-like permet d’obtenir des informations composées de mesures
(measurements), de séries (series) et de points. Chaque point est constitué de
paires Clefs et Valeurs et d’un TimeStamp. Des points groupés forment une série
et des séries sont groupées pour former une mesure.
InfluxDB au travers de son API accepte les données de n’importe quel langage de
programmation capable d’envoyer des requêtes HTTP de type POST. Ces
données peuvent être de type :
Ø Entiers ;
Ø Flottants ;
Ø Chaines de caractère ;
Ø Booléens.
Cette API permet d’interagir avec une base de données de type InfluxDB (créée
par l’utilisateur au préalable). L’API utilise des codes de réponses HTTP,
différents types d’authentification et les réponses sont au format JSON.
Ø Création d’un DataSource
Nous passons ensuite au paramétrage du datasource. Un autre avantage de
Grafana est que toute la configuration des dashboards, plugins et datasource se
réalise facilement depuis l’interface graphique. De façon générale, le
paramétrage de chaque datasource s’effectue quasiment de la même façon
quel que soit le type de base de données accédée. Pour le bon fonctionnement
du datasource souhaité, il convient d’indiquer les informations de connexion.
IV.10.2.4 Alimentation
Pour alimenter un datasource, plusieurs possibilités s’offrent à nous. Soit par
l’intermédiaire d’une API comme c’est le cas pour Zabbix, soit par des scripts
150
utilisant le protocole HTTP. Nous allons présenter la deuxième méthode, plus
particulièrement avec les langages PowerShell - PowerCli et Bash.
IV.10.3 Outil de supervision Prometheus
Prometheus est un logiciel libre de surveillance informatique et générateur

d'alertes. Il enregistre des métriques en temps réel dans une base de données de
séries temporelles (avec une capacité d'acquisition élevée) en se basant sur le
contenu de point d'entrée exposé à l'aide du protocole HTTP. Ces métriques
peuvent ensuite être interrogé à l'aide d'un langage de requête simple (PromQL)
et peuvent également servir à générer des alertes. Le projet est écrit en Go et est
disponible sous licence Apache 2. Le code source est disponible sur GitHub, et
est un projet maintenu par la Cloud Native Computing Foundation à côté d'autres
projets comme Kubernetes et Envoy. Prometheus a été développé
chez SoundCloud partir de 2012, lorsque la société s'est rendu compte que ses
solutions de surveillance (StatsD et Graphite) n'étaient pas adaptées à leurs
besoins. Prometheus a donc été conçu pour répondre à ces problèmes : disposer
d'une base de données multidimensionnelle, un outil simple à faire fonctionner,
un mécanisme de collecte simple et évolutif et un langage de requête puissant, le
tout dans un seul outil. Le code source du projet a été dès le départ livré sous une
licence libre. Cette caractéristique a aidé à une adoption rapide notamment par
Boxever et Docker. Bien qu'il n'ait pas été explicitement annoncé. Prometheus
s'est inspiré de l'outil de surveillance Borgmon utilisé par Google. Depuis 2013,
Prometheus est utilisé pour la surveillance de la production chez SoundCloud.
L'annonce publique officielle a été faite en janvier 2015. En mai 2016,
Prometheus a été le second projet incubé au sein de la Cloud Native Computing
Foundation après Kubernetes. Le blog annonçant cette nouvelle indiquait que
l'outil était utilisé dans de nombreuses entreprises, notamment Digital
Ocean, Ericsson, CoreOS, Weaveworks, Red Hat et Google. La version 1.0 de
Prometheus est sortie en juillet 2016. En novembre 2017, sortait la version 2.0
151
Prometheus. En août 2018, la Cloud Native Computing Foundation annonçait
que Prometheus était utilisable en production.
IV.10.3.1 Principe de fonctionnement
Figure IV.12 : Architecture Prometheus (Découverte de l’outil Prometheus –

linuxFr.org)
Dans les éléments qui vont nous intéresser, nous retiendrons les briques
suivantes :
Ø Prometheus server : c’est le moteur permettant de stocker les métriques
collectées ;
Ø Jobs exporters : il s’agit d’agents sur lesquels Prometheus viendra collecter
les différentes métriques ;
Ø Web UI : restitution des métriques à l’utilisateur ;
Ø Altertmanager : gestionnaire d’envoi des alertes aux utilisateurs.
IV.10.3.2 Principe de fonctionnement du stockage Prometheus

Prometheus utilise un stockage spécifique pour ses métriques. De ce stockage
découlent les atouts et inconvénients de ce moteur. Avant la version 2, il existait
trois formats V0, V1 et V2 (ce n’est plus le cas depuis la version 2). Dans la suite,
nous reviendrons sur cette évolution et en quoi elle permet d’en tirer des
avantages. Au niveau de ce stockage, certains aspects ne seront pas abordés
comme, par exemple, la structure des tampons utilisés ou l’écriture sur le disque.
152
Le format de cette base de données est spécifique (série temporelle ou time
series) et diffère de celui qu’on pourrait retrouver dans une base de données
classique (SQL ou NoSQL). En effet, les données collectées ont des
caractéristiques connues :
Ø Collecte de métrique à intervalle connu (toutes les 60 secondes)
Ø Similarité de données d’une collecte sur l’autre (généralement, l’espace
disque des partitions sur un serveur ne change pas).
Du fait de ces caractéristiques, Prometheus compresse les données en mémoire et
sur un disque. Il en résulte une bien meilleure utilisation des ressources mémoire,
processeur et disque.
IV.10.3.3 Présentation des données à stocker

Chaque collecte de métrique ramènera un groupe de métrique. Ces métriques
seront toutes associées à une date stockée sous la forme d’un entier représentant
le nombre de millisecondes écoulées depuis le 1er janvier 1970. Chaque métrique
sera représentée sous la forme d’un chiffre à virgule flottante de type float64.
IV.10.3.4 Stockage par double delta

Comme on peut le voir, les données ont comme caractéristiques d’être collectées
à intervalles réguliers (ici environs toutes les deux secondes) et d’avoir des valeurs
proches d’une collecte à une autre. Afin de réduire la place prise par les données,
il est possible de ne stocker que le delta de ces mesures. Lors de la première
mesure, l’horodatage consommera bien huit octets (un entier sur 64bits). La
donnée quant à elle consommera huit octets (Prometheus stocke toutes ses
valeurs au format float64), soit 16 octets au total. Dans le cas de l’horodatage, le
delta pourra être stocké sous forme d’un entier de longueur variable en fonction
du delta avec la valeur précédente. Pour le stockage de la métrique, le moteur fait
appel à un ou exclusif (opération xor) pour comparer l’ancienne et la nouvelle
valeur. En fonction de ce résultat, le moteur stockera une représentation
compressée de la différence constatée. Si ce n’est pas possible, le moteur utilisera
153
une valeur sur huit octets. Mais en réalité, Prometheus fait appel à un stockage
par double delta. Le principe est simple : pour la première mesure, il utilise un
stockage brut, pour la seconde mesure il fait la différence par rapport à la
première mesure et toutes les autres mesures sont stockées par rapport au delta
du delta de la valeur précédente. Sur une grande quantité de données, cet
algorithme permet de réduire l’espace consommé pour arriver à une moyenne de
l’ordre de 1.37 octet par échantillon de métrique (au lieu des 16 octets initiaux.)
IV.10.3.5 Prometheus server

Ce processus a en charge la collecte à intervalles réguliers de l’état des différents
exporters.
Il stocke les métriques collectées dans sa base de données et peut ensuite être
interrogé au travers de son API (via http). Un autre rôle du serveur est d’évaluer à
intervalles réguliers les définitions d’alertes. Ces dernières s’appuient sur l’état des
métriques internes collectées.7
IV.10.3.6 Gestion des incidents - Système de Tickets

Le système doit :
− Favoriser l’archivage des incidents sur du long terme
− Faciliter la programmation des tâches (fenêtre de maintenance)
− Aider à la surveillance
− Permettre des analyse statistiques (incidents / période, type, temps moyen
de résolution, etc...)
− Servir de base de connaissances (knowledge base): RT, RTFM
IV.10.3.7 Gestion des incidents - Utilisation de Tickets

− Créer un ticket pour TOUS les appels
− Créer un ticket pour chaque problème signalé
− Créer un ticket pour chaque évènement planifié
7
https://linuxfr.org/news/decouverte-de-l-outil-de-supervision-prometheus.com
154
− Distribuer le ticket à tous les techniciens
− Durant toutes les étapes de la résolution d’un problème, on doit garder le
même numéro de ticket.
− Les tickets doivent rester ouverts jusqu’à résolution du problème telque
signalé.
EXEMPLE DE TICKET
155
IV.10.4 Gestion de performance
Les informations permettant de définir une référence de niveau de performance

pour satisfaire le SLA et KPI sont les suivantes :
− Collecte de Données ;
− États des interfaces ;
− Trafic de sortie ;
− Taux d’erreur ;
− Utilisation ;
− Pourcentage de disponibilité ;
− Analyse des données pour évaluer les performances ;
− Établir les seuils de performance ;
− Planifier l’évolution de la capacité ;
IV.10.4.1 Importance de statistique réseau

− Pour la comptabilité ;
− Diagnostique (erreur récurrentes, corrélation) ;
− Analyse pour l’évolution à long terme ;
− Planification de capacité ;
− Mesure actives (ping, traceroute, telnet, snmpget ifStatus) ;
− Mesures passives (traps SNMP, logs syslogs, netflow) ;
− Les outils de gestion réseau ont des fonctionnalités de statistiques ;
IV.10.4.2 Outil de gestion de performance
1. netflow
− Collecte les informations sur le flux réseau au travers des routeurs Cisco (et
certains autres)
− Information AS <-> AS
156
− Information IP/ports source et destination utiles pour une
− comptabilité de donnée et les statistiques.
o _ Quel part de mon trafic a rapport avec le port 80?
o _ Quel part de mon trafic va vers l’AS237?
Exemple Netflow
IV.10.4.3 Gestion de configuration
Qu’est –ce que SNMP ?

SNMP signifie Simple Network Management Protocol, c’est un protocole qui
permet comme son nom l’indique, de gérer les équipements réseaux ainsi que les
machines informatiques et de diagnostiquer les problèmes du réseau.
− Simple Network Management Protocol
− Système de requête – réponse
− Peut obtenir des informations sur l’état d’un élément réseau
157
(i) Requête standard
(ii) Requêtes spécifiques a une entreprise
− Utiliser les données de la MIB
Avec le protocole SNMP, le système de gestion du réseau est basé sur trois
éléments principaux : Les équipements gérés, des agents et Les systèmes de
management de réseau.
− Les équipements gérés : ce sont des éléments du réseau (ponts, hubs,
routeurs ou serveurs), contenant des "objets de gestion" pouvant être des
informations sur le matériel, des éléments de configuration ou des
informations statistiques ;
− Les agents : c'est-à-dire une application de gestion de réseau résidant dans
un périphérique et chargé de transmettre les données locales de gestion du
périphérique au format SNMP ;
− Les systèmes de management de réseau (network management systems
notés NMS), c'est-à-dire une console à travers laquelle les administrateurs
peuvent réaliser des tâches d'administration.
Pourquoi utiliser le protocole SMNP

Le protocole SNMP peut :
− Interroger les routeurs pour avoir :
− Le nombre d’octet en entrée et sortie par seconde
− Charge du Processeur.
− Le temps total de marche.
− État des sessions BGP.
− Interroger des machines pour avoir
− L’état du réseau
− Web trafic
− La charge du proxy Squid
158
− Les logiciels installés, ...
Le schéma suivant présente quelques éléments du protocole SNMP :
Figure IV.13 : éléments de base du protocole SNMP

Ces objets sont classés dans une base de données nommée MIB ("Management
Information Base") qui est un ensemble d'informations structuré
hiérarchiquement sur une entité réseau.
IV.10.5 Les outils d’administration réseau
− MRTG http://www.ee-staff.ethz.ch/~oetiker/webtools/mrtg/
− RRD tool http://ee-staff.ethz.ch/~oetiker/webtools/rrdtool/
− Cricket http://cricket.sourceforge.net/
IV.10.5.1 1Avantage
− Simple à utiliser et à configurer
− Identifier rapidement les pointes et les creux du trafic
− Afficher n’importe quelle information transmis à travers SNMP
IV.10.5.2 MRTG
Traffic Analysis for 2 -- noc.ws.afnog.org
Maintainer: postmaster@localhost
159
Description: fxp1
ifType: ethernetCsmacd (6)
ifName:
Max Speed: 100.0 Mbits/s Ip: 81.199.109.1 (host-81-199-109-1)
The statistics were last updated Thursday, 12 June 2003 at 13:50,
at which time 'noc.ws.afnog.org' had been up for 1 day, 15:20:26.
160
NOC en pratique : Observation du réseau et services – Nagios
(http://www.nagios.org/)
− Observe l’état du réseau
− Signale les problèmes
− Observe le changement d’état des problèmes
− Résoudre les problèmes
− Statistiques
Figure IV.14 : Observation du réseau et services Nagios
161
Figure IV.15 : Système de ticket
Système de ticket – RT (www.fsck.com/rt/)
− Création de tickets
(i)En tant que client
(ii)En tant qu’ingénieur
− Consulter les tickets
− Prendre/Assigner des tickets
− Suivi par mail et Web
− Base de connaissances RTfm
162
163
IV.10.5.3 Netdisco
164
IV.10.5.4 NTOP
IV.10.5.4 Cacti
Les principales caractéristiques de ce logiciel :
165
Cacti-http://raxnet.net/products/cacti/
Outils de diagnostic
166
Architecture d’un système de gestion réseau
Conception d’un monitoring avec CACTI

Cacti est un logiciel de supervision réseau sous licence GNU GPL qui fonctionne
sur les plateformes Linux/Unix et Windows.
Il est utile pour connaître et comprendre les flux circulant sur le réseau.
Présentation de CACTI
Cacti est un outil de graphage à la fois puissant, rapide et relativement simple
d'utilisation et de prise en main. Il se distingue par l'interface graphique complète
167
de paramétrage qu'il propose et les nombreuses options de personnalisation qu'il
offre. Il possède les caractéristiques suivantes :
• Gratuit/Sous licence GNU v2 Open Source.
• Fonctionne sous différentes plateformes dont GNU/Linux et
Microsoft Windows.
• Basé sur RRDTool pour le système graphique et la conservation des
données.
• Permet de récupérer les données à grapher en SNMP ou grâce à des
scripts librement réalisables. • Configurable grâce à une interface web
sécurisée très conviviale.
• Graphiques totalement personnalisables avec un système de modèles
exportables en XML
Nous allons tout d'abord voir les prérequis à posséder avant d'installer cet outil, en
présentant aussi les outils annexes qu'il requiert. Nous allons ensuite nous attacher
à expliquer les bases concernant l'installation du programme et l'utilisation de
celui-ci.
b. Pré-requis
IV.10.5.5 RRDTool
RRDTool (Round Robin Database Tool) n'est pas un logiciel à proprement
parler. C'est un ensemble d'outils permettant de stocker des données et de les
restituer sous forme de graphiques.
Les données sont organisées selon un format très compact (les bases RRD), qui
ne retient que les données nécessaires à la création des graphes.
L'auteur de cette suite d'outils est Tobias Oetiker, le créateur de MRTG. On peut
dire que Cacti est une sorte de frontend à RRDTool, car il sert d'interface
graphique à la création et à la manipulation de ces bases RRD (bien que ce ne soit
pas son seul rôle).
SNMP en cacti
168
L'utilisation que Cacti fait du SNMP est en mode pull (Cacti vient récupérer des
données sur le matériel réseau en l'interrogeant). Il faut savoir que le matériel
réseau lui-même peut envoyer des informations (des « trappes ») via le protocole
SNMP à un collecteur de données lorsqu'il se produit un évènement important
(coupure réseau, défaillance matérielle, etc.) mais Cacti ne sait pas les exploiter.
Installation de CACTI [ 9-14]
Cacti utilise RRDTool, PHP, SNMP et MySQL. Tous ces graphiques
permettront à l'administrateur réseau d'anticiper et de résoudre les problèmes
réseaux et systèmes.
- Installer les dépendances (dont un LAMP)
# apt-get install apache2 libapache2-mod-php5 php5 php5-cli php5-mysql php5-gd php5-snmp

mysql-client mysql-server libmysqlclient15-dev snmp snmpd rrdtool
- Installer CACTI
#apt-get install cacti
- On doit configurer les paramètres de MYSQL via un Assistant
- Nouveau MySQL cacti user password:
169
- Confirmer MySql cacti user password
- Web server utilisé par cacti :
Cacti est maintenant prêt a être utilisé via: http://localhost/cacti

Cacti License:
170
Vous devez sélectionner le type d'installation comme nouvelle installation et
cliquez sur continuer.
Vérifiez si les outils requis sont correctement vu par cacti
171
Maintenant l'écran de connexion de cacti s’affiche comme suit :
Ici, on a besoin d’entrer le nom d'utilisateur et le mot de passe comme

admin/admin, puis cliquez sur login
172
La première fois il nous invite à changer le mot de passe de l'utilisateur admin
cacti pour des raisons de sécurité, puis on clique sur Enregistrer
Une fois vous connecter, l'écran suivant s’affiche comme ci-dessous :
173
d. Configuration de CACTI :
Faire un graphique d’un hôte pour la première fois se fait simplement en 3 étapes
:
1. Créer l’hôte
2. Créer le graphique
3. Déclarer l’hôte dans l’arbre de présentation
Ø Créer l’hôte :
Dans la catégorie MANAGEMENT, cliquez sur DEVICES, puis sur ADD en
haut à droite.
Le formulaire propose les champs suivants :
174
▪ Description : nom de l’hôte qui apparaîtra dans Cacti et non une véritable
description
▪ Hostname : adresse IP ou nom DNS de l’hôte
▪ Host Template : modèle de template qui sera appliqué sur l’hôte (on peut
créer un modèle dans lequel on indique tous les scripts qui s’appliqueront
sur un hôte)
Disable Host : désactive l’hôte

SNMP Community : nom de la communauté SNMP utilisé pour la lecture
(par défaut : public)
SNMP Username et SNMP Password : login et mot de passe de l’utilisateur
autorisé lorsque le SNMP est de version 3
SNMP Version : version du protocole SNMP (par défaut : 1)
SNMP Port : port UDP du serveur SNMP (par défaut : 161)
SNMP Timeout : temps de réponse maximum à Cacti
175
Cliquez sur CREATE. Cacti affiche alors la liste des hôtes créés, c’est-à-dire
celui que l’on vient de faire à l’instant, ainsi que le localhost.
§ Créer le graphique :
Dans la catégorie CREATE, cliquez sur NEW GRAPHS. Choisissez dans le
menu déroulant, l’hôte qui nous intéresse. On choisit les graphes qu’on veut
afficher puis on clique sur create.
Déclarer l’hôte dans l’arbre de présentation :
Nous allons indiquer à Cacti comment nous présenter les différents graphiques
que vous allez créer. Dans la catégorie MANAGEMENT, cliquez sur GRAPH
TREES. Nous choisissons ici la catégorie dans laquelle va apparaître notre hôte.
Par défaut il en existe déjà une, DEFAULT TREE.
Pour cela, cliquez sur ADD en haut à droite. Dans la case NAME, donnez un
nom à votre catégorie. La case SORTING TYPE permet de choisir la façon dont
Cacti va trier les différents hôtes :
Manuel Ordering : tri manuel
Alphabetic Ordering : tri par ordre alphabétique
Numeric Ordering : tri par valeurs numériques
Puis cliquez sur CREATE. Dans la nouvelle fenêtre, nous allons y inscrire l’hôte.
Cliquez sur ADD.
Le menu TREE ITEM TYPE contient trois options :
Header : la branche d’un arbre. Title contient le nom de la branche, et

Sorting Type la méthode de tri.
Graph : affiche un graphique. Graph permet de choisir quel graphique
afficher, Round Robin Archive permet de choisir sur quelle période
s‘étend le graphique
Host : affiche tous les graphiques d’un hôte, l’option Host permet de
choisir quel hôte, Graph Grouping Style indique l’ordre de présentation.
176
Puis cliquez sur CREATE. Maintenant votre hôte apparaît dans la catégorie
que vous avez créée. Vous pouvez admirer le résultat en cliquant sur le
bouton GRAPHS en haut à gauche. Il se peut que le graphique mette
quelques minutes à se créer.
Une fois ces étapes réalisées les graphes choisis sont affiché dans l’onglet graphe
comme suit : Exemples de graphe pour localhost :
Graphe « Moyenne de téléchargement »
Graphe « Utilisateurs en ligne »
177
Exemples de graphe pour le host nommé laptop :
Graphe « Utilisation de mémoire »
Graphe « Espace utilisé dans la machine virtuelle »
178
Graphe « Utilisation de CPU »
Graphe « Traffic du carte réseau »
179
CHAPITRE V. SECURITE RESEAU ET LOGICIEL
V.1. Le système de management de la sécurité de l’information

La norme IS 27001 est destinée à s’appliquer à un système de management de la
sécurité de l’information (SMSI) ; elle comporte notamment un schéma de
certification susceptible d’être appliqué au SMSI au moyen d’un audit. Comme
toutes les normes relatives aux systèmes déménagement, IS 27001 repose sur une
approche par processus, et plus précisément sur le modèle de processus formulé
par W.E. Deming, du MIT, et nommée roue de Deming, ou PDCA, comme :
Plan, Do, Check, Act :
- Phase Plan : définir le champ du SMSI, identifier et évaluer les risques, produire
le document (Statement of applicability, SOA) qui énumère les mesures de
sécurité à appliquer ;
- Phase Do : affecter les ressources nécessaires, rédiger la documentation, former
le personnel, appliquer les mesures décidées, identifier les risques résiduels ;
- Phase Check : audit et revue périodiques du SMSI, qui produisent des constats
et permettent d’imaginer des corrections et des améliorations ;
- Phase Act : prendre les mesures qui permettent de réaliser les corrections et les
améliorations dont l’opportunité a été mise en lumière par la phase Check,
préparer une nouvelle itération de la phase Plan.
Le SMSI a pour but de maintenir et d’améliorer la position de l’organisme qui le
met en œuvre du point de vue, selon les cas, de la compétitivité, de la
profitabilité, de la conformité aux lois et aux règlements, et de l’image de marque.
Pour cela il doit contribuer à protéger les actifs (assets) de l’organisme, définis au
sens large comme tout ce qui compte pour lui. Pour déterminer les mesures de
sécurité dont la phase Plan devra fournir une énumération, la norme IS 27001
s’appuie sur le catalogue de mesures et de bonnes pratiques proposé par la norme
IS 17799, « International Security Standard » plus volumineuse et au contenu plus
180
technique.
IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour
la réaliser : l’auteur du SMSI est libre de choisir la méthode qui lui convient, à
condition qu’elle soit documentée et qu’elle garantisse que les évaluations
réalisées avec son aide produisent des résultats comparables et reproductibles. Un
risque peut être accepté, transféré à un tiers (assurance, prestataire).
Un exemple de méthode d’analyse de risque utilisable dans le cadre d’IS 27001
est la méthode EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité), qui « permet d’apprécier et de traiter les risques relatifs à la sécurité des
systèmes d’information (SSI).
La norme IS 27001 précise la démarche qui doit être suivie pour élaborer et
mettre en place le SMSI : sans entrer trop dans les détails, ce qui risquerait
d’enfreindre les droits des organismes de normalisation qui vendent fort cher les
textes des normes, disons que l’organisme désireux
V.2 Sécurisation du système d’information
V.2.1 La sécurité physique
Toute mesure de protection logique est vaine si la sécurité physique des données
et des traitements n’est pas convenablement assurée. Il est conseillé de tenir
compte des points suivants :
− Qualité du bâtiment qui abrite données et traitements, à l’épreuve des
intempéries et des inondations, protégées contre les incendies et les
intrusions ;
− Contrôles d’accès adéquats ;
− Qualité de l’alimentation électrique ;
− Certification adéquate du câblage du réseau local et des accès aux réseaux
extérieurs ; la capacité des infrastructures de communication est très
sensible à la qualité physique du câblage et des connexions ;
181
− Pour l’utilisation de réseaux sans fil, placement méticuleux des bornes
d’accès, réglage de leur puissance d’émission et contrôle des signaux en
provenance et à destination de l’extérieur. Ces précautions prises, il faut
néanmoins envisager qu’elles puissent se révéler insuffisantes, et que
l’intégrité physique de votre système d’information soit alors compromise.
La compromission d’un système d’information désigne le fait qu’un intrus
ait pu, d’une façon ou d’une autre, en usurper l’accès pour obtenir des
informations qui auraient dû rester confidentielles. Pour éviter que cette
circonstance n’entraîne la disparition de l’entreprise, il aura fallu prendre
les mesures suivantes :
▪ Sauvegarde régulière des données sur des supports physiques
adéquats distincts des supports utilisés en production et conserver
ses données dans un endroit ;
▪ Transport régulier de copies de sauvegarde en dehors du site
d’exploitation ;
▪ Aménagement d’un site de secours pour les applications vitales.
V.2.2 Le système d’Identification et d’authentification
Le système d'authentification est la procédure qui consiste, pour un système

informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin
d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications,
etc.).
L'authentification permet donc de valider l'authenticité de l'entité en question.
L'identification permet donc de connaître l'identité d'une entité alors que
l'authentification permet de vérifier cette identité.
Le contrôle permanent de l'intégrité et de l'accès (usage, identité du destinataire,
émetteur, propriétaire) à un contenu ou à un service constitue le fondement de la
traçabilité des transactions. Ce contrôle permet :
− la protection des intérêts supérieurs de l'État et du patrimoine informatique
182
des entreprises, donc de leurs intérêts commerciaux. Pour les entreprises, il
s'agit de réduire le coût qui résulte d'attaques, de la perte de temps, de la
perte d'informations, de l'espionnage, ou des fuites involontaires
d'informations, etc. ;
− le développement du commerce et des échanges électroniques.
L’authentification contribue à la facturation des services et contribue à la
confiance dans l’économie numérique, condition indispensable du
développement économique ;
− la protection de la vie privée. Les données personnelles véhiculées dans les
systèmes d'information sont des données sensibles à protéger.
Les techniques d'authentification font partie des technologies clés. En France,
elles sont identifiées comme telles dans le rapport sur les technologies clés 2010
(voir site sur les technologies clés 2010). Les efforts entrepris par les constructeurs
et fournisseurs de services Internet (Ebay, Yahoo, PayPal, etc.) pour mettre en
œuvre des systèmes d'authentification, notamment d'authentification forte, nous
montrent clairement que l'authentification est un des enjeux majeurs pour le futur.
V.2.2.1 La Preuve
Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que
celui-ci possède une preuve de son identité ou de son statut, sous l'une des formes
(éventuellement combinées) suivantes :
− Ce qu'il sait (mot de passe, numéro d'identification personnel) ;
− Ce qu'il possède3 (acte de naissance, carte grise, carte d'identité, carte à
puce, droit de propriété, certificat électronique, diplôme, passeport, carte
Vitale, Token OTP, Carte OTP, Téléphone portable, PDA, etc.) ;
− Ce qu'il est (photo, caractéristique physique, voire biométrie) ;
− Ce qu'il sait faire (geste, signature). Avec l’importance et la sensibilité des
informations, plusieurs méthodes d’authentifications ont vu le jour. Nous
allons nous intéresser à la biométrie
183
V.2.2.2 La Biométrie
Nous entendons parler de plus en plus de la biométrie car elle est chaque jour
plus présente dans notre entourage. Les systèmes d’authentification biométriques
peuvent être une solution fiable et rapide pour contrôler notre identité et
surveiller des zones sensibles.
Cette technologie émergente est certes intéressante dans bien des situations, mais
il est nécessaire de prendre en considération certains points avant d’envisager de
telles solutions : Les appareils de reconnaissance automatique ne sont pas fiables
à 100 % ; il faut être conscient qu’il peut y avoir des défauts. Il en va de même
pour les logiciels qui les exploitent. De ce fait, il faut définir les conditions de
fiabilité d’une signature numérique afin de calculer les risques d’erreur ;
V.2.2.2.1 Analyse morphologique

a. L’Identification par l’empreinte digitale réduite (EDR)
Ce procédé est le plus répandu et le plus ancien puisqu’il a été inauguré par
Alphonse Bertillon en 1882. La donnée de base est le dessin représenté par les
crêtes et sillons de l'épiderme (jonctions, terminaisons aveugles, croisements...).
Une empreinte est caractérisée par une centaine de points particuliers (appelés
minuties), dont seuls une douzaine suffisent pour une identification. Certains
modules de reconnaissance d'empreintes vérifient la température du doigt, sa
conductivité, les battements de cœur, ainsi que d'autres paramètres biologiques -
pour éviter de confondre un vrai doigt avec une fausse empreinte en gélatine.
Identification par la morphologie de la main, ou « empreinte palmaire » 90
caractéristiques de la main sont analysées, dont la forme générale, les longueurs et
largeurs des doigts, les formes des articulations... Le taux d'erreurs peut être élevé
entre personnes d’une même famille.
V.2.2.2.2 L’Identification par l’iris

Cette technique peut être exploitable très tôt dans la vie d’une personne car la
structure de l’iris est définitive dès la 8ième semaine de maternité ! Elle est très
184
fiable du fait qu’il est possible de définir plus de 240 points caractéristiques.
Certains systèmes d’identification évolués permettent de contrôler que l'iris
change bien de taille avec l'intensité de la lumière.
V.2.2.2.3 L’Identification par la rétine

Les schémas des vaisseaux sanguins de la rétine sont uniques pour chaque
individu. Jusqu’à 400 points caractéristiques permettent de les différencier. La
contrainte majeure de ce procédé est la proximité de l’œil par rapport au capteur
(collaboration étroite de la part du sujet).
V.2.2.2.4 La reconnaissance faciale

Elle se base sur une photographie du visage décomposée en plusieurs images
faites de nuances de gris, chacune mettant en évidence une caractéristique
particulière non sujette à modification (haut des joues, coins de la bouche, ...).
Elle est très variable selon l’éclairage, l’expression, etc.
V.2.2.2.5 L’Identification par thermographie

Une caméra infrarouge établit une cartographie des températures des différentes
régions du visage - une caractéristique biologique qui est propre à chaque
individu. On peut aller même aller plus loin, en établissant une cartographie du
système veineux [22].
V.3 SECURITE RESEAU

ü La sécurité du réseau combine plusieurs couches de défenses en périphérie
et dans le réseau. Chaque couche de sécurité réseau met en œuvre des
politiques et des contrôles. Les utilisateurs autorisés ont accès aux
ressources du réseau, mais les acteurs malveillants sont empêchés de
mener des exploits et des menaces.
ü La numérisation a transformé notre monde. La façon dont nous vivons,
travaillons, jouons et apprenons a changé. Toute organisation qui souhaite
fournir les services demandés par les clients et les employés doit protéger
185
son réseau. La sécurité du réseau vous aide également à protéger les
informations propriétaires contre les attaques. En fin de compte, cela
protège votre réputation.
Un réseau assure le transport des messages échangés entre deux applications
distantes. Dans le modèle OSI les services déployés par le réseau sont classés en
sept couches, physique, données, réseau, transport, session, présentation et
application. Le modèle classique des réseaux TCP/IP ne comporte que 5
couches, physique (PMD+PHY), données (MAC+LLC), réseau (IP), transport
(UDP+TCP) et applications.
Dans cette section nous ne prendrons en compte que ce dernier modèle, qui est
aujourd’hui le standard de facto pour l’échange d’informations numériques.
Figure V.1 : les protocoles de couche du modèle OSI

Des mécanismes tels que confidentialité ou intégrité des données peuvent être
intégrés à tous les niveaux et sur les différents tronçons (arcs) qui composent le
réseau. La gestion des clés cryptographiques sera par exemple réalisée
manuellement. L’identification l’authentification la non répudiation les
autorisations sont des procédures mises en œuvre dans le réseau d’accès (sans fil
par exemple), le réseau de transport (IP), le réseau de destination (intranet …). De
même ces services peuvent également être offerts au niveau applicatif.
186
Figure V.2 : Catégories des infrastructures de sécurité de réseau
Schématiquement nous classerons les infrastructures de sécurité des réseaux en
cinq catégories,
A. Le chiffrement au niveau physique sur des liaisons point à point. Par
exemple cryptographie quantique (PMD), saut de fréquences pseudo
aléatoire, ou chiffrement 3xDES du flux octets (une méthode couramment
déployée par les banques).
Dans ces différentes procédures les clés sont distribuées manuellement.
B. Confidentialité, intégrité de données, signature de trames MAC. C’est la
technique choisie par les réseaux sans fil 802.11. La distribution des clés est
réalisée dans un plan particulier (décrit par la norme IEEE 802.1x). Dans,
ce cas on introduit la notion de contrôle d’accès au réseau LAN, c’est à
dire à la porte de communication avec la toile d’araignée mondiale. C’est
une notion juridique importante, le but est d’interdire le transport des
informations à des individus non authentifiés (et donc potentiellement
malveillants…)
C. Confidentialité, intégrité de données, signature des paquets IP et/ou TCP.
C’est typiquement la technologie IPSEC en mode tunnel. Un paquet IP
chiffré et signé est encapsulé dans un paquet IP non protégé. En effet le
routage à travers l’Internet implique l’analyse de l’entête IP, par les
passerelles traversées. IPSEC crée un tunnel sécurisé entre le réseau
d’accès et le domaine du fournisseur de service. On peut déployer une
gestion manuelle des clés ou des protocoles de distribution automatisés tels
187
que ISAKMP et IKE. La philosophie de ce protocole s’appuie sur la libre
utilisation du réseau d’accès ce qui n’est pas sans soulever des problèmes
juridiques. Par exemple des pirates protègent leurs échanges de données, il
est impossible aux réseaux traversés de détecter leur complicité dans le
transport d’informations illégales.
D. Insertion d’une couche de sécurité additive assurant la protection
d’application telles que navigateurs WEB ou messageries électroniques. Par
exemple le protocole SSL basé sur la cryptographie asymétrique réalise
cette fonction. Généralement ce dernier conduit une simple
authentification entre serveur et client. Il utilise un secret partagé (Master
Secret) à partir duquel on dérive des clés de chiffrements utilisées par
l’algorithme négocié entre les deux parties. Par exemple dans le cas d’une
session entre un navigateur et un serveur bancaire, le client authentifie son
service bancaire. Une fois le tunnel sécurisé établit le client s’authentifie à
l’aide d’un login et d’un mot de passe. Il obtient alors une identité
temporaire associée à un simple cookie.
E. Gestion de la sécurité par l’application elle-même. Ainsi le protocole S-
MIME réalise la confidentialité, l’intégrité et la signature des contenus
critiques d’un message électronique.
Authentification – Autorisation
Figure V.3 : Processus d’authentification

La procédure d’authentification d’une paire d’entités informatiques, parfois
dénommée phase d’autorisation, consiste typiquement à échanger les identités
188
(IDTA et IDTB) d’un couple d’interlocuteurs (appelés client/serveur ou
initiateur/répondeur), deux nombres aléatoires (RA, RB) formant un identifiant
unique de la session (RA||RB), puis d’effectuer un calcul cryptographique (F,
une fonction de type Pseudo Random Function - PRF).
Ce dernier produit, à l’aide d’une valeur secrète (KS) un secret maître (KM), à
partir duquel on déduit (à l’aide d’une fonction G, de type Key Data
Function - KDF) des clés de chiffrement (KC) et d’intégrité (KI) permettant de
créer un canal sécurisé.
Dans un contexte de cryptographie symétrique la clé KS est statique et distribuée
manuellement ; dans un contexte de cryptographie asymétrique la clé KS sera par
exemple générée par A, mais chiffrée par la clé publique (e,n)
de B ( Ks e mod n ), ou bien déduit d’un échange de Diffie-Hellman (Ks=gxy)
La protection de l’identité est une préoccupation croissante avec l’émergence des
technologies sans fil. Il existe divers mécanismes permettant d’obtenir cette
propriété avec des degrés de confiance différents, par exemple grâce à la mise en
œuvre de pseudonymes (tel que le TIMSI du GSM), du protocole de Diffie-
Hellman, ou du chiffrement de certificats à l’aide la clé publique du serveur.
V.3.1 Architecture sécurisé du Réseaux
ü Le schéma architectural typique présenté ci-dessous n'offre que deux

couches minces de protection, mais il est largement admis que plus de
couches équivaut à un environnement plus sécurisé. Dans le schéma ci-
dessous, un attaquant doit compromettre un seul serveur pour avoir accès
aux applications Web fournies sur le même système
189
Figure V.3 : Chiffrement et déchiffrement
ü Un autre problème des implémentations de base est leur utilisation par
défaut des ports TCP et UDP bien connus pour la communication.
Malheureusement, les applications Web de nombreuses entreprises sont
des solutions packagées, ce qui empêche l’organisation de modifier les
ports prescrits. En conséquence, une fois que les systèmes de la DMZ sont
compromis, l'attaquant peut facilement compromettre d'autres systèmes à
cause des ports tcp / udp par défaut. En outre, les systèmes de la zone
démilitarisée bénéficient de peu ou pas de contrôles de surveillance ou de
sécurité.
ü En outre, l'architecture réseau de base basée sur le Web ne protège pas
contre les attaques d'applications (par exemple, les dépassements de
mémoire tampon ou les injections), car sa principale source de protection
est les pare-feu réseau. À mesure que les attaques d'applications gagnent en
popularité, les pare-feu basés sur le réseau seront insuffisants pour
empêcher efficacement les attaques de cette nouvelle menace. Alors que
certains pare-feu réseau ont des capacités de pare-feu d'application, la
plupart des experts en sécurité considèrent ces offres sous-alimentées
comme moins protectrices que les pare-feu d'application à usage unique
disponibles. En fait, les pare-feu réseaux ne peuvent pas du tout protéger
les applications Web personnalisées.
ü Le diagramme ci-dessous représente l'architecture réseau ultra-sécurisée de
base, qui répond à toutes les exigences réglementaires et limite la
probabilité d'obtenir des informations tant que tous les composants
architecturaux sont correctement gérés, entretenus et surveillés. Bien qu'il
emploie un certain nombre de couches de sécurité implémentées à travers
une variété de mesures de sécurité, aucun système ne peut fournir une
protection absolue de vos informations. Ce n'est que par une vigilance
constante que le système peut être correctement sécurisé.
190
FigureV.4 : architecture sécurisé
V.3.2 Serveur (s) LAN sécurisé (s)
Les serveurs situés dans le LAN sécurisé offrent leur propre niveau de sécurité en
ne stockant que des informations cryptées. Mais ce n'est qu'une partie de
l'histoire. La clé de la sécurisation des serveurs dans le LAN sécurisé utilise le
concept de «motel de gardons»: les informations circulent, sont cryptées et
stockées, mais elles ne s'écoulent pas sans un cas de force majeure.
191
Figure V.5 : LAN Sécurisé
Serveur Kerberos
Kerberos est un protocole d'authentification réseau. Il est conçu pour fournir une
authentification forte pour les applications client / serveur en utilisant la
cryptographie à clé secrète. Une implémentation gratuite de ce protocole est
disponible auprès du Massachusetts Institute of Technology. Kerberos est
également disponible dans de nombreux produits commerciaux.
Internet est un lieu peu sûr. De nombreux protocoles utilisés sur Internet
n'offrent aucune sécurité. Les outils permettant de "renifler" les mots de passe
hors du réseau sont couramment utilisés par les pirates malveillants. Ainsi, les
applications qui envoient un mot de passe non chiffré sur le réseau sont
extrêmement vulnérables. Pire encore, d'autres applications client / serveur
comptent sur le programme client pour être "honnête" quant à l'identité de
l'utilisateur qui l'utilise. D'autres applications comptent sur le client pour limiter
ses activités à celles qu'il est autorisé à faire, sans autre application par le serveur.
Figure V.6 : Serveur d’authentification
V.3.3 Mécanismes symétriques
Nous divisons les méthodes symétriques en trois classes
192
− Les mots de passe. Un mot de passe est une suite de caractères qui peut
être facilement mémorisée par un être humain. Il ne s’agit pas d’un
nombre aléatoire mais au contraire d’une concaténation de mots, de
chiffres et de signes. De tels secrets peuvent être devinés à l’aide d’une
attaque par dictionnaire, c’est à dire un programme utilisant une base de
données pour la génération de ces valeurs.
Les secrets partagés Il s’agit en fait d’un nombre aléatoire, dont la taille est
l’ordre de 128 à 160 bits. Un cerveau humain éprouve beaucoup de
difficultés à mémoriser ces informations. Le stockage sécurisé du secret est
réalisé par exemple par le système d’exploitation d’un ordinateur personnel
ou par une carte à puce.
− Le mode provisioning. Dans les réseaux GSM ou UMTS une base de
données centralisée gère les comptes utilisateurs, en particulier leur PSK.
Afin d’éviter des interrogations fréquentes les méthodes d’authentification
sont conçues de telle manière que le site central puisse produire des
vecteurs d’authentification (triplets GSM ou quadruplets UMTS),
réutilisables par des agents de confiance.
V.3.4 Mécanismes Asymétriques
Ces procédures sont basées sur des algorithmes tels que ECC, RSA ou
Diffie-Hellman. Le protocole SSL/TLS est généralement utilisé pour le transport
de ces échanges.
V.3.5 Les tunnels et le VPN
Ainsi que nous l’avons souligné précédemment les méthodes d’authentification

basées sur des mots de passe, sont sujettes à des attaques par dictionnaire. Ainsi le
protocole MSCHAP assure une protection jugée raisonnable dans des
environnements sures (par exemple des intranets ou des connexions par modem),
mais n’est plus adapté lors d’une mise en œuvre dans un milieu hostile, tel que IP
sans fil, abritant potentiellement de nombreuses oreilles électroniques indiscrètes.
193
Les tunnels, s’appuyant fréquemment sur la technologie SSL/TLS, protègent un
dialogue d’authentification grâce au chiffrement des données échangées. Il existe
aujourd’hui de multiples standards devenus nécessaires, en raison des nombreux
logiciels disponibles sur le WEB qui cassent les protocoles à base de mot de
passe.
V.4 Solutions sécurisées classiques
V.4.1 IPSEC
IPSEC assure l’intégrité, l’authentification et la confidentialité des charges
transportées par le protocole IP. Les ressources cryptographiques sont déduites
d’une association de sécurité (SA) basée sur un secret partagé entre les deux
entités de la session sécurisée IP. La difficulté de déploiement du protocole
IPSEC est liée au mécanisme d’établissement d’un SA, à l’aide du protocole IKE
(qui réalise un premier tunnel sécurisé à l’aide d’un protocole de Diffie-Hellman).
Bien que l’usage de certificats soit possible, c’est généralement une clé pré définie
(PreShareKey) qui permet l’authentification des deux extrémités de la
communication.
Figure V.7 : Mode de Transport et Tunnel
Mode Transport et Tunnel dans le protocole ESP, IPSEC
194
Figure V.6 : En tête du protocole ESP
V.4.2 TLS/SSL
Le protocole SSL/TLS délivre des services analogues à IPSEC, mais au niveau

applicatif. Cependant le mécanisme d’établissement du secret partagé maître
repose généralement sur des clés RSA et des certificats X509. De manière
classique le certificat du serveur est vérifié relativement à une chaîne de confiance
(suite de certificats délivrés à partir d’un certificat racine). Côté client les points
critiques sont l’installation d’un nouveau certificat d’une autorité de certification,
et la vérification des certificats serveurs.
Le VPN8
Un réseau privé virtuel est une technique permettant à un ou plusieurs postes
distantes de communiquer de manière sure, tout en empruntant les
infrastructures publiques. Ce type de liaison est apparu suite à un besoin croissant
des entreprises de relier les différents sites, et de façon simple et économique.
Jusqu’à l’avènement des VPN, les sociétés devaient utiliser des liaisons transpac,
ou des lignes louées, ou encore des lignes dédiées. Les VPN ont permis de
démocratiser ce type de liaison.
TYPES DE VPN
Suivant les besoins, nous distinguons les types de VPN suivants :
Le VPN d’accès ;
195
L’internet VPN ;
L’extranet VPN.
V.4.3 Le VPN d’accès
Il est utilisé pour permettre à des utilisateurs itinérants d’accéder au réseau de leur
entreprise. L’utilisateur se sert d’une connexion internet afin d’établir une liaison
sécurisée.
Figure V.9 : VPN d’accès
V.4.4 L’Intranet VPN
Il est utilisé pour relier deux ou plusieurs intranets d’une même entreprise entre
eux, ce type de réseau est particulièrement utilise au sein d’une entreprise
possédant plusieurs sites distants.
Cette technique est également utilisée pour relier des réseaux d’entreprise, sans
qu’il soit question d’intranet (partage de données, de ressources, exploitation de
serveurs distants.)
196
Figure V.10 : Intranet VPN
V.4.5 L’Extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires.
Figure V.11 : Extranet VPN

Test de vulnérabilité
Source: https://rsmus.com
Monitoring: Wireshark, Nagios, Zabix, MRTG
197
Source: https://rsmus.com
La disponibilité est devenue un sujet très important surtout où les besoins de
service ne cessent pas d’accroitre et surtout que les attaque comme le déni de
service est beaucoup plus utilise par les attaquants.
V.5 LOGICIEL
V.5.1 Fonctionnement d’un logiciel
Figure V.12 : Fonctionnement d’un logiciel
Un programme s’exécute de façon conforme à sa spécification (son code)
198
• Le comportement d’un programme dépend de ses données (et de son
environnement)
V.5.2 Fragilité logicielle
✔ Le maillon faible
C’est l’humain
• « Idée » : bugs de conception
• « Écriture » : bugs d’implémentation
✔ Bug (bogue)
• défaut de conception
• d’un programme informatique
• à l’origine d’un dysfonctionnement
199
CHAPITRE VI. EVOLUTION DES GENERATIONS DE RESEAU
GSM
Les télécommunications recouvrent toutes les techniques (filaires, radio, optiques,

etc.) de transfert d’information quelle qu’en soit la nature (symboles, écrits,
images fixes ou animées, son, ou autres).
Aujourd’hui, avec la déferlante Internet, les télécommunications ont débordé les
domaines de la télégraphie et de la téléphonie. Une ère nouvelle est née, celle de
la communication. Cette révolution n’a été rendue possible que par une
formidable évolution des technologies. Les progrès réalisés dans le traitement du
signal ont autorisé la banalisation des flux de données et la convergence des
techniques. Cette dernière ne sera possible que si l’ingénieur ou le technicien
possède une base de connaissance suffisamment vaste.
Notons que la transmission de données sur le réseau téléphonique fut interdite
par France Télécom jusqu’en 1960. Lors de la libéralisation de ce service, le débit
autorisé était d’abord limité à 1 200 bit/s, puis 2 400 bit/s en 1976 et 4 800 bit/s en
1980. Dans la seconde étape, la voix fait l’objet d’une numérisation. Les flux
physiques sont banalisés et comme tel, peuvent être transportés par un même
réseau (réseau de transport). Cependant, les réseaux d’accès restent
fonctionnellement différents et les usagers accèdent toujours aux services par des
voies distinctes.
200
Figure VI.1 : Schématisation de l’évolution des télécommunications (source :
https://prc.chapters.comsoc.org )
La troisième étape poursuit la banalisation des flux. La voix n’est plus seulement
numérisée, les différents éléments d’informations sont rassemblés en paquets,
comme la donnée. On parle alors de « voix paquétisée », permettant ainsi un
traitement de bout en bout identique pour les deux flux. Dans cette approche, le
protocole de transport est identique, mais les protocoles usagers restent différents.
L’usager n’a plus besoin que d’un seul accès physique au réseau de transport
(réseau voix/données).
Les flux sont séparés par un équipement (équipement voix/données) localisé chez
l’usager et sont traités par des systèmes différents. La quatrième étape consiste en
une intégration complète, les équipements terminaux ont une interface d’accès
identique mais des fonctionnalités applicatives différentes. La voix et la donnée
peuvent, non seulement cohabiter sur un même réseau, mais collaborer dans les
201
applications informatiques finales : c’est le couplage informatique téléphonie de
manière native.
VI.1 (1G) la première génération de réseau radio mobile cellulaire

C’est le 3 avril 1973, que Martin Cooper, alors Directeur Général de la division
Télécom de Motorola, aurait passé le premier appel à partir d’un téléphone
portable dans les rues de New-York. Mais ce n’est qu’en 1986, treize ans plus
tard, qu’apparait en France « Radiocom 2000 » de France Télécom. A cette
époque, la France est très en retard dans le mobile. Mais, ces premiers réseaux de
radiotéléphones, bien qu’étant encore analogiques, utilisent déjà une topologie
cellulaire qui, tout en permettant une meilleure utilisation des fréquences,
permettent déjà d’accueillir un grand nombre d’utilisateurs.
VI.2 (2G) la deuxième génération : GSM

C’est en 1992, avec le GSM (Global System for Mobile communications), que la
deuxième génération de mobile est lancée en Europe. C’est le résultat du travail
d’un consortium d’opérateurs et d’industriels européens initié dès 1982. C’est
pour la première fois une technologie entièrement numérique de la voix. Le
GSM connait un grand succès et il est rapidement adopté par le monde entier à
l’exception toutefois des Etats-Unis et du Japon qui ont développé chacun leur
propre standard.
VI.3 (3G) la troisième génération : UMTS

Surpris par le succès mondial du GSM, et des industriels européens qui le
développent et le commercialisent, les japonais, qui s’étaient enfermés dans leur
norme 2G spécifique (PDC), cherchent à reprendre la main. Pour cela, ils
préparent hâtivement la génération suivante (3G UMTS) afin de remettre
l’industrie japonaise dans la course mondiale des infrastructures et des mobiles.
L’UMTS (Universal Mobile Telecommunication System) est lancée fin 2001 au
202
Japon. Mais, dans les premières années de son existence, l’UMTS n’apporte que
peu de différenciation et de gain en performance avec la 2G version EDGE.
L’évolution des usages :
Parallèlement aux évolutions de l’offre technologique décrite précédemment
l’engouement du public pour ce moyen de communication croît à grande vitesse.
En effet le numérique ouvre des possibilités nouvelles. A partir de la 3G, si
l’utilisation du « mobile » pour téléphoner continue de croître, elle se fait
rapidement dépasser par les « applis » sur internet.
C’est autour de ces nouvelles technologies et nouveaux services que, désormais,
se développent les nouvelles générations de « transmissions vers les mobiles ».
Figure VI.2 : Evolution des usages
VI.4 (4G) la quatrième génération : LTE

C’est en 2013 que la 4G est enfin déployée en France. Elle est basée sur la
technologie LTE (Long Term Evolution), adoptée mondialement comme « la »
norme.
C’est la première fois qu’un standard de réseau mobile est le même sur tous les
continents.
Le choix du protocole IP est la raison principale de la supériorité de la 4G LTE
sur les générations radio mobile précédentes (2G & surtout 3G). On peut dire,
sous forme de raccourci, que ces anciens réseaux sont « ubérisés » par la 4G (et la
5G à venir).
203
La 4G tente de répondre aux évolutions et à la massification des usages en
adoptant des solutions augmentant l’efficacité d’utilisation des gammes de
fréquences disponibles. Elle concrétise aussi la volonté des opérateurs de réduire,
dans un double objectif de cohérence technique et de réduction des coûts, la
variété des solutions techniques utilisées dans les différents pays pour véhiculer
des informations, en adoptant des protocoles qui sont désormais universellement
utilisés.
Outre l’adaptation en débits et en capacité de toute l’infrastructure des réseaux
fixes, ce qui change en LTE :
Ø Tout d’abord le réseau, dans sa globalité, est « tout IP ». Cela signifie que
du mobile jusqu’aux plateformes de service, en passant par le cœur de

réseau, l’information circule dans un réseau parfaitement homogène,
conforme de bout en bout au protocole internet.
Ø Ensuite, l’implantation rapide de la 4G sur tous les continents a entrainé
abondance et plus grande maturité des terminaux disponibles. Outre les

traditionnels smartphones, tablettes et pc portables qui dorénavant
fonctionnent tous en 4G, de nouveaux terminaux sont apparus, comme par
exemple les « galets », les « box » et les voitures connectées.
Conçue comme un réseau purement « data », la 4G est une innovation
technologique majeure en matière de réseaux mobiles, en forte différenciation
avec les générations précédentes. C’est aussi un prolongement logique et
prometteur du passage de la voix aux données bien qu’insuffisant pour couvrir
tous les usages envisagés :
Ø Les débits constatés sont souvent éloignés des débits théoriques :
Le débit observé par l’utilisateur d’un réseau 4G LTE peut être très
fortement réduit par rapport aux débits théoriques annoncés du fait des
nombreux facteurs qui ont une influence sur le débit effectif vu par l’utilisateur :
204
• Les types d’antennes utilisées côté terminal et côté réseau (antennes
relais) ainsi que la distance entre le terminal et la (ou les) antennes
fixe(s).
• Le débit est très inférieur en périphérie de cellules radio à cause des
interférences avec les cellules adjacentes.
• Les utilisateurs se partageant la bande passante au sein d’une cellule,
plus ils sont nombreux et moins chacun a de débit unitaire.
• Même si LTE fonctionne encore à 350 km/h, le mouvement du
terminal influe sur le débit utile qui se réduit au fur et à mesure que
la vitesse du terminal augmente.
Ø Des difficultés sont constatées dans la couverture de certains usages,
comme, par exemple, les rassemblements importants tels que

manifestations sportives ou concerts.
Ø La transmission de l’information présente encore des diversités de qualité
de service. Elle n’est pas toujours « instantanée », interdisant ainsi le «

temps réel ».
Mais, néanmoins, la 4G repose sur des technologies recelant encore un très
fort potentiel d’innovation et donc offrant de nouvelles opportunités et
permettant à de nouveaux usages d’éclore de manière continue durant la fin de la
décennie en cours.
ü Résumer sur l’évolution des générations des
réseaux
Débits
Date Génération Sigle Nom
théorique/Utile
1G R 2000 Radiocom 2000 Analogique
1981 Global System
2G GSM 9 Kbps
For Mobile
205
Global Packet
2,5 G GPRS 170 Kbps/50/17
Radio Services
1992
Enhanced Data
2,8 G EDGE 384 Kbps/240
Rate
Universal
2001 3G UMTS Mobile Telco 384 Kbps/300
Syst
Higth Speed
2007 3G + HSPA 14,4 Mbps/ 3,6
Packet Access
Higth Speed
2009 3G H+ HSPA+ 21 Mbps/5
Packet Access +
2011 3G H+ DC DC HSPA+ Dual Cell HSPA 42 Mbps /10
Long Term 300 Mbps pour 20
2012 4G LTE
Evolution Mhz
Capacité des
2019 5G
données illimitées.
Face aux bouleversements de toute nature apportés par les smartphones, le succès
de la 4G (en grande partie lié à l’adoption du protocole IP), l’apparition de
nouveaux usages et de nouveaux besoins très prometteurs, les opérateurs, les
industriels des télécommunications et les autorités publiques (comme la
Commission Européenne) ont décidé de réfléchir ensemble à l’évolution de la
4G, non plus simplement au niveau des réseaux, mais aussi au niveau des services
et du système complet de transmission d’information adapté. Cette réflexion s’est
établie sur des bases ambitieuses :
− Un réseau basé sur une terminaison radio garantissant raccordement aisé et
liaison continue avec tous les mobiles, totalement compatible avec les
solutions filaires.
206
− Des capacités fortement augmentées (redéfinies autour des besoins de
transmission et d’échange de données, distribution télévision et jeux,
relation avec big data et cloud, suivi de process à distance, échanges entre
voitures autonomes …) nécessitant l’usage de nouvelles bandes de
fréquence (plus élevées).
− Un temps de transmission très réduit, quasi « temps réel »,
− Une approche globale, une vision mondiale.
− Un outil multiforme à tous les niveaux de la transmission mais totalement
basé sur IP.
VI.5 (5G) la cinquième génération
La 5G est le réseau mobile de 5e génération. Il s'agit d'une nouvelle norme

mondiale sans fil après les réseaux 1G, 2G, 3G et 4G. La 5G permet un nouveau
type de réseau conçu pour connecter pratiquement tout le monde et tout, y
compris les machines, les objets et les appareils. La technologie sans fil 5G est
destinée à offrir des vitesses de pointe de données multi-Gbps plus élevées, une
latence ultra faible, plus de fiabilité, une capacité réseau massive, une disponibilité
accrue et une expérience utilisateur plus uniforme à plus d'utilisateurs. Des
performances accrues et une efficacité améliorée permettent de nouvelles
expériences utilisateur et connectent de nouvelles industries.
207
CHAPITRE VII. PLAN NATIONAL NUMERIQUE CONGOLAIS
Pour le développement du Numérique qui est devenu un domaine transversal et

porteur de croissances, la RDC a adopté son plan national du Numérique 05
Septembre 2019. Ce plan fut développé pour matérialiser la vison du Chef de
l’Etat qui se résume en : "Faire du Numérique congolais un levier d’intégration, de
bonne gouvernance, de croissance économique et de progrès social" Félix -
Antoine TSHISEKEDI TSHILOMBO Président de la République
Démocratique du Congo.
Il est important pour des futurs Ingénieurs de s’imprégner de ce plan qui est une
référence du secteur de TIC. Le Plan peut être télécharger sur
https://presidence.cd/services/1/plan_national_du_numerique_horizon_2025
208
Bibliographie
[1] Emonet JEAN-BRUNO, ‘’Algorithmes de chiffrement Mesures de

performances réseaux ‘’, Documentation version 1.0 créé le 22 juin 2005,
Dernière mise à jour le 24 juin 2005
[2] Cédric LLORENS,LaurentLEVIER,DenisVALOI S, ‘’Tableaux de bord de la
sécurité réseau ‘’, Eyrolles, 2006
[3] L a u r e n t B L O C H ,C h r i s t o phe W O L F H U GEL , ‘’Sécurité
informatique Principes et méthode‘’ ; Eyrolles , 2007
[4] Moira J. WEST-BROWN, Don STIKVOORT, Klaus-Peter

KOSSAKOWSKI, Georgia KILLCRECE, Robin RUEFLE, Mark ZAJICEK
‘’Handbook for Computer Security Incident Response Teams (CSIRTs) ‘’,First
release: December 1998 2nd Edition: April 2003 , HANDBOOk CMU/SEI-
2003-HB-002
[5] Keisuke KAMATA, ‘’Introduction to International cyber security Situation ‘’,
JPCERT Coordination Center, Japan, 2010
[6] Keisuke KAMATA, ‘’Fundamentals of Computer Incident Handling ‘’
,JPCERT/Coordination Center , Japan ,2010
[7] Keisuke KAMATA, ‘’ Creating A CISRT‘’, JPCERT/Coordination Centre,
Japan, 2010 CERT/CC, ‘’ Creating a Computer Security Incident Response
Team: A Process for Getting Started ‘’, http://www.cert.org/cisrt/Creating-A-
CISRT.html
[8] Christian BOPE, ‘’ CISRT Tools ‘’ Serekunda, the Gambia 2012
[9] Cédric LLORENS,LaurentLEVIER,DenisVALOI S, ‘’Tableaux de bord de la
sécurité réseau ‘’, Eyrolles, 2006
[10] L a u r e n t B L O C H , C h r i s t o phe W O L F H U GEL , ‘’Sécurité
informatique Principes et méthode‘’ ; Eyrolles , 2007
Christophe Dietzel, Improving Improving Security and Resilience Capabilities of
the Internet Infrastructure, Technische Universität Berlin, Berlin 2019.
209

Your Document

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Your Document

Transféré par

Droits d'auteur :

Formats disponibles

Université de Kinshasa

Cours : Réseaux Informatiques L2 Genie

Christian D. BOPE, PhD

Objectif et plan du cours ........................................................... 6

Ce cours a pour objectif de donner aux étudiants de L2 Informatique, une

Et pour ce faire, le plan du cours se présente de la manière suivante : hormis

L’étudiant qui suivra ce cours sera en mesure de :

1. Comprendre l’architecture (model OSI, plan d’adressage IPs (IPv4 &

1. L’étudiant trouvera sur sa table un questionnaire anonyme. Le

CHAPITRE I. GOUVERNANCE DE L’INTERNET,

I.1.1 Définition et but de la norme

La normalisation peut être vue comme un ensemble de règles destinées à

La normalisation dans un domaine technique assure une réduction des coûts

I.1.2 Groupements de construction d’une norme

– ECMA (European Computer Manufactures Association), à l’origine constituée

En matière de télécommunications, l’ECMA comprend deux comités : le TC23

– EIA (Electronic Industries Association) connue, essentiellement, pour les

Les principaux organismes nationaux auxquels participent des industriels,

▪ AFNOR, Association Française de NORmalisation,

Les organismes internationaux :

▪ ISO, International Standardization Organization, regroupe environ 90 pays.

I.1.3 Principes d’élaboration d’une norme (ISO)

La rédaction d’une norme est une succession de publications, la durée entre le

I.1.4 Normes et agrément

I.1.5 Sortes de norme

I.1.5.1 Gestion Multi-acteurs

ICANN (Internet Corporation for Assigned Names and Numbers)

Figure I.1: Fonctionnement d’ICANN

• La gestion des noms de domaines : DNSO (Domain Name SO)

• La gestion de l’adressage logique : ASO (Address SO)

L’ASO gère l’adressage IP (Internet Protocol) version 4 et version 6.

Pour cela, l’ICANN s’appuie notamment sur un découpage du monde en cinq

• AfriNIC (African Network information Center),

• APNIC (Asia Pacific Network Information Center),

• ARIN (American Registry for Internet Numbers),

• LACNIC (Latin-American and Caribbean Network Information

• RIPE NCC (Réseaux IP Européens Network Coordination Center).

Figure I.2 : Organisation pour l’attribution des adresses logiques

Internet Standard est une spécification normative d'une technologie ou d'une

I.1.5.2.1 ISO (International Organization for Standardization)

La partie électronique/informatique/télécommunication représente 15% de son

De plus, l’ISO travaille en collaboration avec le CEI (Commission Electronique

I.1.5.2.2 IEEE (Institute of Electronic and Electricity Engineers )

En 1912, deux organisations le SWTE (Society of Wireless and Telegraph

Il est à noter que l’IRE et l’AIEE possèdent un certain nombre de membres en

Les membres de l’IEEE participent financièrement et obtiennent des avantages

I.1.5.2.3 ISOC (Internet SOCiety)

I.1.5.2.4 IETF (Internet Engineering Task Force)

L’IETF produit des documents gratuits (https://www.rfc-editor.org/standards)

I.2 GOUVERNANCE D’INTERNET

Le développement rapide des moyens de calcul et l’importance croissante des

Connecter en transparence divers équipements provenant de constructeurs

II.1 CONCEPTS DE BASE

II.1.1 Principe de fonctionnement d’une architecture en couches

Considérons le modèle simplifié à 3 couches représenté figure ci-dessous. Pour

Figure II.1 : Principe général de fonctionnement d’un modèle en couche

II.2 Modèle OSI (Open System Interconnection)

II.2.1 Modèle OSI (Open Interconnexion System)

Au début des années 70, chaque constructeur a développé sa propre solution

Figure II.2 : Modèle OSI

Trame Liaison de données

Figure II.3: 7 Couches du Modèle OSI

II.2.2 Différentes couches du modèle OSI

Elle est responsable de tous ce qui est électrique, mécanique et procédure de