Technologies WAN

Les WAN couvrent une plus grande zone géographique que les LAN.
o Les clients auront accès aux services internet d'entreprise par l'intermédiaire d'un WAN public implémenté par un
fournisseur de services et non par l'entreprise elle-même.
o Les employés sont répartis entre plusieurs sites.
o Les WAN connectent les particuliers à Internet.
o Les réseaux d'entreprise utilisent des solutions de confidentialité et de sécurité sur Internet pour connecter des sites
distants et des utilisateurs.
Les appareils WAN sont notamment les suivants :
o Modem commuté
o Serveur d'accès
o CSU/DSU
o Modem haut-débit
o Routeur principal / commutateur multicouche
Une entreprise peut obtenir un accès WAN de deux façons :

o DWDM (Dense Wavelength Division Multiplexing) est une technologie de couche 1, qui permet de réaliser des
communications bidirectionnelles sur une seule fibre.
o La commutation MPLS est une technologie WAN à protocoles multiples présentant des performances élevées. Elle
redirige les données d'un routeur vers le suivant en se basant sur des étiquettes de chemin le plus court plutôt que sur
les adresses réseau IP.
o Technologie de connexion permanente qui utilise les lignes téléphoniques à paire torsadée existantes pour transmettre
les données à haut-débit et offrir des services IP aux abonnés. Pour les connexions DSL, plusieurs lignes d'abonnés DSL
sont multiplexées dans une seule liaison à haute capacité grâce à un multiplexeur d'accès DSL (DSLAM) chez
l'opérateur.
o La technologie ATM est une technologie basée sur des cellules, chaque cellule possédant une longueur fixe de 53
octets. La cellule contient un en-tête ATM de 5 octets, suivi de 48 octets de données utiles ATM. La cellule ATM de 53
octets est moins efficace que les trames et paquets de plus grande taille de Frame Relay. Une ligne ATM standard
nécessite un débit supérieur de presque 20 % à celui de Frame Relay pour transporter le même volume de données de
couche réseau. La technologie ATM prend en charge SVC, est extrêmement évolutive et peut prendre en charge des
vitesses de liaison de 622 Mbit/s et plus.
o Relais de trames (Frame relay) utilise des circuits virtuels permanents (PVC) qui transportent le trafic de voix et de
données. Les circuits virtuels permanents sont identifiés exclusivement grâce à un identifiant de connexion de liaison
de données (DLCI).
o RNIS utilise des canaux bearer ou DS0 pour transporter le trafic de voix et de données sur des lignes téléphoniques.
RNIS de base (BRI) utilise 3 canaux (2 canaux B de 64 bits/s et 1 canal D de 16 bits/s soit un débit de 144 kbits/s) et
RNIS Primaire (PRI) qui utilise 24 canaux pour USA (23 canaux B et 1 canal D de 64kibt/s soit un débit de 1,544 Mbits/s
ou T1) et 31 canaux pour l’Europe (30 canaux B et 1 canal D de 64kibt/s soit un débit de 2,048 Mbits/s ou E1).
 o La technologie VSAT (Very Small Aperture Terminal) est une solution qui utilise les communications satellite pour créer
un WAN privé.
o Certains fournisseurs de télévision par câble proposent un accès réseau. Les modems câble offrent une connexion
permanente et sont simples à installer. Contrairement aux technologies DSL et ADSL qui sont sensibles à la distance
(5.5km) et connaissent une diminution de leur bande passante sur les longues distances.
o Les fournisseurs de services proposent maintenant un service WAN Ethernet basé sur un câblage à fibre optique. Il est
connu sous les désignations Ethernet métropolitain (MetroE), Ethernet sur MPLS (EoMPLS) et service de LAN privé
virtuel (VPLS). Il sert généralement à remplacer les liaisons WAN classiques à relais de trames et ATM.
Infrastructures WAN publiques sans fil
o Wi-Fi municipal
o WiMAX: WiMAX (Worldwide Interoperability for Microwave Access)
o Internet par satellite
o Sans fil 3G/4G
o LTE (Long-Term Evolution)
Les WAN publics s'appuient sur les VPN (IPSec) pour sécuriser les données qui transitent entre des réseaux privés lorsqu'elles
traversent un réseau public, tel qu'Internet.
o Bénéfices : Économies, Sécurité, Évolutivité, Compatibilité avec la technologie haut-débit
o Il y a trois types de VPN : VPN de site à site, VPN d'accès à distance (télétravailleurs) et DMVPN (Dynamic Multipoint
VPN : utilise le protocole NHRP (Next Hop Resolution Protocol) où il peut créer une base de données de mappage des
adresses IP publiques pour chaque point de terminaison tunnel)
Les FAI WAN peuvent fournir les services suivants :

Protocoles WAN
Sur chaque connexion WAN, les données sont encapsulées dans des trames avant de franchir la liaison WAN.
o HDLC est le type d'encapsulation par défaut sur les connexions point à point, les liaisons dédiées, les interfaces série
et les connexions à commutation de circuits qui utilisent deux appareils Cisco.
o Le protocole HDLC utilise un délimiteur de trame, ou indicateur, pour marquer le début et la fin de chaque trame.
o Les trames Cisco HDLC comprennent un champ permettant d'identifier le protocole réseau encapsulé.
Utilisez l'encapsulation PPP pour connecter un routeur Cisco à un routeur tiers.
o Le protocole PPP et le modèle OSI partagent la même couche physique, mais PPP répartit différemment les fonctions
LCP (négocie et configure les options de contrôle sur la liaison tels que l'authentification, la compression et la détection
d'erreurs) de données WAN et NCP (permet d’activer et désactiver le protocole de couche 3 à chaque extrémité de la
liaison. Il négocie également d'autres options de couche 3).
o Le protocole PPP prend en charge l'authentification PAP et CHAP, Multiliaisons, Rappel Automatique, Quality de
Ligne, Compression.
o PPP multilink (show ppp multilink)
o PPP authentication (debug ppp authentication)
o PPP quality percentage
 o PPP compress (stacker ou predictor)
o La technologie PPPoE a été développée en guise de solution pour les FAI qui souhaitaient bénéficier des avantages des
connexions PPP sur leurs réseaux DSL. La technologie point à point sur Ethernet, PPPoE, permet d'encapsuler les
trames PPP et de les envoyer sur un réseau Ethernet.
L'établissement d'une session PPP se déroule en trois étapes
o Étape 1 : établissement de la liaison et négociation de la configuration (LCP)
o Étape 2 : détermination de la qualité de la liaison + Authentification (facultatif)
o Le protocole PAP est un processus bidirectionnel simple. Il ne comporte pas de chiffrement. Le nom
d'utilisateur et le mot de passe sont envoyés en texte clair.
o CHAP est plus sécurisé que le protocole PAP. Il implique un échange en trois étapes d'un secret partagé.
o Étape 3 : négociation de la configuration du protocole de la couche réseau (NCP)
Show interface serial 0/0
o LCP Open
o Open: IPCP, CDPCP
Indique que l'interface et le protocole de ligne sont tous deux actifs et indique que les phases de négociation de LCP
et de NCP ont abouti.
Protocole PPPoE
o Le protocole PPP permet d'attribuer des adresses IP aux extrémités distantes d'une liaison PPP.
o Le protocole PPP prend en charge l'authentification CHAP.
o Les liaisons Ethernet ne prennent pas en charge le protocole PPP de manière native. Le protocole PPPoE (PPP
over Ethernet) fournit une solution à ce problème. Le protocole PPPoE crée un tunnel PPP sur une connexion
Ethernet.
o Configuration de PPPoE
• interface dialer numéro.
• authentification unidirectionnelle; c'est le FAI qui authentifie le client.
• L'interface Ethernet physique qui se connecte au modem DSL est ensuite activée à l'aide de la
commande pppoe enable.
• L'interface de numérotation est liée à l'interface Ethernet à l'aide des commandes dialer pool et
pppoe-client, en utilisant le même numéro.
• L'unité de transmission maximale (MTU) doit être diminuée à la valeur 1492, afin de prendre en
compte les en-têtes PPPoE.
• ip tcp adjust-mss taille-max-segment,
• Créer une route par défaut qui pointe l’interface Dialer numéro
Protocole GRE
o Le protocole de tunneling GRE est utilisé pour les VPN de site à site et non pour les VPN d'accès à distance des
utilisateurs mobiles. Le protocole GRE seul ne fournit aucun chiffrement, de telle sorte que le trafic n'est pas sécurisé
entre les points d'extrémité.
Protocole BGP
o BGP externe (eBGP) est le protocole de routage utilisé entre les routeurs de différents systèmes autonomes.
o BGP interne (iBGP) est le protocole de routage utilisé entre les routeurs d'un même système autonome.
Les ACL IPv4
o Une liste de contrôle d'accès IPv4 standard peut filtrer le trafic en fonction des adresses IP source uniquement.
Contrairement à une liste de contrôle d'accès étendue, elle ne peut pas filtrer le trafic en fonction des ports de couche
4, adresse IP source et adresse IP destination. Cependant, les listes de contrôle d'accès standard et étendues peuvent
toutes deux être identifiées par un numéro ou un nom, et toutes deux sont configurées en mode de configuration
globale.
o L’administrateur peut ajouter une nouvelle ACE manuellement en utilisant les numéros de séquence.

o Les listes d'accès numérotées et nommées peuvent être utilisées sur les lignes vty pour contrôler l'accès distant
o Access-list crée l’ACL.
o Access-class Numo in, applique la liste d'accès à une ligne vty.

Les ACL IPv6

Bien que les ACL IPv4 et IPv6 soient très similaires, il existe trois différences entre elles.
o Application d'une ACL IPv6
o IPv6 utilise ipv6 traffic-filter pour exécuter la même fonction pour les interfaces IPv6.
o Aucun masque générique
o La longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source ou de destination
doit correspondre.
o Instructions supplémentaires par défaut (automatiquement)
o permit icmp any any nd-na
o permit icmp any any nd-ns
o deny ipv6 any any

Sécurité Réseau Local :

o Les attaques courantes de l'infrastructure LAN de couche 2 sont les suivantes :
o Attaques de reconnaissance de CDP : Activez CDP sur certains ports seulement.
o Attaques Telnet : Sécurisation de l'accès administratif à l'aide d'AAA (Radius et TACACS +)
o Attaques par inondation (flooding) de la table d'adresses MAC : Lorsque la table des adresses MAC du
commutateur est pleine, le commutateur transmettra les trames destinées aux adresses MAC inconnues dans
 chaque port du VLAN. En engorgeant la table d'adresses MAC, un cybercriminel peut voir les trames destinées
aux autres périphériques solution Sécuriser les ports.
o Attaques de VLAN : Utilisez un VLAN de gestion dédié.
o Attaques DHCP : Limitation des attaques de DHCP à l'aide de la surveillance DHCP.
Protocole SNMP
o SNMP permet aux administrateurs de gérer et de surveiller les appareils sur un réseau IP.
o Éléments SNMP
o Gestionnaire SNMP (surveillant)
o Agent SNMP (équipement surveillé)
o Base de données MIB (Management Information Base)
o Fonctionnement de SNMP
o Trap (Déroutement): L’équipement génère un envoi vers son manager pour signaler un événement,
un changement d’état ou un défaut. L’agent n’attend pas d’acquittement de la part du manager.
Offre une solution à l’inconvénient principal de l’interrogation SNMP,
o Get (Obtenir) : Le manager interroge un agent pour obtenir la valeur de l’objet suivant dans l’arbre
des objets de l’agent.
o Set (Définir) : Le manager positionne ou modifie la valeur d’un objet dans l’agent.

Qualité de Service
o Hiérarchisation du trafic : Bande passante, encombrement, délai et gigue, Perte de paquets
o Les ingénieurs réseau utilisent les mécanismes de QoS pour classer les paquets vocaux afin d'arriver à une perte de
paquets nulle.
o Algorithmes de mise en file d'attente :
• WFQ: Weighted Fair Queuing - Méthode de programmation automatisée grâce à laquelle la bande
passante est allouée à l'ensemble du trafic réseau de façon équitable. Elle n'est pas prise en charge en
cas de tunnélisation et de chiffrement
• CBWFQ : Class-Based Weighted Fair Queueing - Étend la fonctionnalité de mise en file d'attente
pondérée (WFQ) standard afin de fournir la prise en charge des classes de trafic définies par l’utilisateur.
• LLQ : Low Latency Queueing) - assure une mise en file d'attente prioritaire stricte pour CBWFQ, réduisant
ainsi la gigue dans les conversations vocales. LLQ permet d'envoyer en premier les données sensibles aux
retards, telles que la voix avant les paquets dans d'autres files d'attente.
o Techniques de mise en œuvre de QoS
o Marquage au niveau de la couche 2 :
 o Marquage au niveau de la couche 3

o Limites de confiance « La ligne de confiance »

• Le classement et le marquage du trafic doivent s'effectuer le plus près possible,
techniquement et administrativement, de l'appareil source.
• La ligne de confiance indique l'endroit où les marquages de QoS sur un paquet qui entre
dans le réseau d'une entreprise sont jugés fiables.
o Mise en forme et régulation
• La mise en forme du trafic met en mémoire tampon les paquets en excès dans une file d'attente et
planifie une transmission ultérieure, répartie graduellement dans le temps, ce qui lisse le
débit de sortie des paquets.
• La régulation est appliquée au trafic entrant sur une interface.
• Lorsque le débit du trafic atteint le débit maximal configuré, le trafic en excès est rejeté (ou
marqué).
Éléments de l'Internet des objets

Les principaux composants du système IoT de Cisco sont les solutions de :

• Connectivité du réseau,
• Fog computing,
• Traitement analytique des données,
• Sécurité physique et de cybersécurité,
• Gestion et automatisation,
• La plate-forme d'activation des applications,
Cloud Computing
• Le cloud computing fournit un accès à la demande aux ressources partagées. Il est possible de déployer les ressources
dans les data centers rapidement et en toute simplicité.
• Implique un grand nombre d'ordinateurs connectés via un réseau qui peut être situé physiquement n'importe où.
Virtualisation
• La virtualisation sépare le système d'exploitation du matériel, permettant à plusieurs systèmes d'exploitation d'exister
sur une plate-forme matérielle unique.
• L'hyperviseur ajoute une couche d'abstraction par-dessus le matériel physique réel qui sert à créer des machines
virtuelles qui ont accès à tout le matériel des machines physiques, tel que les processeurs, la mémoire, les contrôleurs
de disque et les cartes d'interface réseau.
• Les hyperviseurs de type 1 sont installés directement sur le serveur et sont des solutions dites « bare metal » qui
permettent l'accès direct aux ressources matérielles. Ils exigent également une console de gestion et sont mieux
adaptés aux environnements d'entreprise.
• La méthode de type 2, « Hébergé », dans laquelle l'hyperviseur est installé sur un système d'exploitation existant.
• La technologie de virtualisation permet la reprise sur sinistre car elle prend en charge l'indépendance sur le plan des
équipements, ce qui signifie que la reprise sur sinistre n'a pas à avoir les mêmes équipements que le site utilisé pour
la production.
Réseaux SDN
• SDN (Software Defined Network) virtualise le réseau, retirant la fonction de plan de contrôle de chaque appareil et
l'exécutant sur un contrôleur centralisé.
• Une API (Application Program Interface) est un ensemble de requêtes normalisées qui définissent la façon dont une
application soumet une requête de services à une autre application.
• Le contrôleur SDN définit les flux de données qui se produisent dans le plan de données SDN.
• Cisco a développé l'infrastructure ACI (Application Centric Infrastructure) pour automatiser les activités réseau,
accélérer le déploiement des applications et aligner les infrastructures informatiques afin de mieux répondre aux
objectifs métier.
• Il y a trois types de SDN de base :
o SDN basé sur les appareils
o SDN basé sur les contrôleurs
o SDN basé sur les politiques

Dépannage Réseau
Le processus de dépannage comporte trois grandes étapes :
• Étape 1 : collecte des données sur les symptômes
• Étape 2 : isolation du problème
• Étape 3 : implémentation d'une mesure corrective
Si la mesure ne résout pas le problème, les modifications sont annulées et la procédure de dépannage doit reprendre au début.
Trois principales méthodes de dépannage découlent de la prise en compte des différentes couches du réseau :
• Approche ascendante – On commence par la couche physique pour aller vers les couches supérieures
• Approche descendante – On commence avec les applications des utilisateurs pour aller vers les couches inférieures
• Approche « Diviser et conquérir » – On s'appuie sur ses connaissances et son expérience pour choisir un peu au hasard
à quelle couche commencer l'examen
Problème récurrent de la couche Réseau :
• Problème d’adressage IP
• Problème communication entre les routeurs
• Absence de la passerelle par défaut ou mal configurée

IP SLA
▪ Utilisation de la qualité de service IP
▪ Les contrats de niveau de service (SLA) IP Cisco génèrent du trafic pour mesurer les performances du réseau et détecter
une panne au plus tôt.
▪ Le service offre également les avantages suivants :
• Surveillance, mesure et vérification des contrats de niveau de service (SLA)
• Mesure de la gigue, de la latence ou de la perte de paquets sur le réseau
• Évaluation de l'intégrité du réseau de services IP
• Disponibilité du réseau de périphérie à périphérie
▪ Configuration de l'écho ICMP de la qualité de service IP.