Acces Au Reseau Etendu CCNA 4

Accès au réseau
étendu
CCNA 4
Préparé par : Tarek Abbes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1
Sommaire
1. Présentation des réseaux étendus
2. Protocole PPP
3. Protocole Frame Relay
4. Sécurité du réseau
5. Listes de contrôle d’accès
6. Services de télétravail
7. Services d’adressage IP
8. Dépannage du réseau
ITE PC v4.0
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 1 : Présentation des

réseaux étendus
ITE PC v4.0
Objectifs
Architecture d’entreprise Cisco qui fournit des services
intégrés sur un réseau d’entreprise
Principaux concepts de la technologie WAN
Sélection de la technologie de réseau étendu adaptée
aux diverses exigences de l’entreprise.
ITE PC v4.0
Presentation_ID.scr
Réseau étendu (WAN)
• Réseau de communication de données qui fonctionne au-
delà de la portée géographique d’un réseau local.
• Il transporte généralement divers types de trafic, tels que la
voix, des données et des images vidéo.
• Une entreprise doit s’abonner auprès d’un fournisseur de
services de réseau étendu
• Il utilise les installations fournies par un fournisseur de
services, ou opérateur, tel qu’une compagnie de téléphone
ou de câble, pour connecter :
• les sites d’une organisation entre eux,
• les sites d’une organisation à d’autres organisations,
• à des services externes
• à des utilisateurs distants.
ITE PC v4.0
Présentation des réseaux étendus
Branch office
Central office
ITE PC v4.0
Presentation_ID.scr
Évolution d’une l’entreprise
Petit bureau (réseau local unique) (A)
• Un seul local (1 LAN) + Service voix sur IP + DSL + Service d’hébergement (au
lieu d’avoir ses serveurs FTP et E-mail)
Campus (plusieurs réseaux locaux) (B)
• Autres locaux + Administrateurs + extranet (pour fournir des infos de projet à des
clients spécifiques)
Agence (réseau étendu) (C)
• Présences dans d’autres villes + 1 centre de calcul (contient des serveurs et
bases de données du groupe)
ville proche : lignes spécialisées louées d’un FS
Autres pays : Internet (~ problème de sécurité)
Distribué (Global) (D)
• Déménager certaines installations dans des régions moins chères
• Télétravail
• Applications Web (conférences Web, apprentissage en ligne, outils de
collaboration) pour augmenter la productivité et réduire les coûts
• Services convergés et sécurité de la connectivité + VPN
ITE PC v4.0
Evolution du réseau d’une entreprise (1/2)
(A)
(B)
ITE PC v4.0
Presentation_ID.scr
Evolution du réseau d’une entreprise (2/2)
(C)
(D)
ITE PC v4.0
Évolution du modèle de réseau (1/2)

Origine: modèle de réseau hiérarchique dans des
environnements de campus
Commutation à haut débit
Connectivité basée sur des stratégies
Accès local et distant (télétravail+site à distance)
évolution vers des réseaux de + en + intelligents

• Équipements réseaux conscients des caractéristiques du trafic
• Configurés pour fournir des services adaptés au trafic acheminé,
à la priorité des données voire aux besoins de sécurité
ITE PC v4.0
Presentation_ID.scr
Évolution du modèle de réseau (2/2)
Les réseaux deviennent complexes & gestion coûteuse
difficile à maintenir et gérer
pannes et les performances insuffisantes du réseau
Cisco fournit une feuille de route relative à la

croissance du réseau (qui s’articule sur des modules),
reflétant les diverses étapes de l’entreprise :
• Architecture de campus d’entreprise
• Architecture de succursale d’entreprise (agence, branch)
• Architecture de centre de calcul d’entreprise
• Architecture de télétravailleur d’entreprise
ITE PC v4.0
Architecture d’entreprise Cisco
ITE PC v4.0
Presentation_ID.scr
Feuille de route
ITE PC v4.0
Module de l’architecture d’entreprise Cisco

Module Architecture de campus d’entreprise :
• Un (ou groupe de) bâtiment connecté à un réseau d’entreprise de plusieurs LAN.
Module Architecture de périphérie d’entreprise :

• Lier le module de campus aux autres modules de l’architecture d’entreprise.
• Offre une connectivité aux services vocaux, vidéo et de données extérieurs à l’entreprise.
• Utiliser Internet et des ressources de partenaires, et fournir des ressources à ses clients.
Module Architecture de succursale d’entreprise :

• étendre les applications et services présents sur le campus vers des succursales.
Module Architecture de centre de calcul d’entreprise :

• Employés, partenaires et clients s’appuient sur les données et ressources du centre de calcul
pour créer, collaborer et interagir efficacement.
Module Architecture de télétravailleur d’entreprise :

• Se base sur des services à large bande tels que des modems câble ou DSL pour se
connecter via Internet au réseau d’entreprise.
• Utiliser les ressources du réseau de l’entreprise depuis un domicile.
ITE PC v4.0
Presentation_ID.scr
Exemple de topologie
ITE PC v4.0
Concepts de la technologie de réseau étendu
Normes
Terminologies
Périphériques
Protocoles de la couche liaison de données
Commutation WAN
ITE PC v4.0
Presentation_ID.scr
Vue d’ensemble de la technologie de
réseau étendu
Les opérations Wan concernent les couches 1 et 2.
Normes : ISO, TIA (Telecommunication Industry Association),
EIA (Electronic Industries Alliance)
• Méthodes de livraison de la couche physique
• Exigences de la couche liaison de données (adressage physique,
contrôle de flux, encapsulation, …).
Protocoles:
• Couche 1 OSI : propriétés électriques, mécaniques, opérationnelles
et fonctionnelles pour bénéficier des services offerts par un
fournisseur de services
• Couche 2 OSI : encapsulation des données (trame) et mécanismes
de transfert des trames résultantes
• Différentes technologies : relais de trames, ATM, HDLC.
ITE PC v4.0
Terminologie de couche physique du WAN
POP
ITE PC v4.0
Presentation_ID.scr
Terminologie de couche physique du WAN
Équipement d’abonné (CPE) : périphériques et câblage interne chez l’abonné
Équipement de communication de données (DCE) ou ETCD: équipement de
communication de données qui place des données sur la boucle locale.
Équipement terminal de traitement de données (ETTD) : périphérique de
client qui transmet des données depuis le réseau d’un client vers le WAN
Point de démarcation :
point établi dans un bâtiment (boitier) pour séparer (au niveau de la boucle locale)
l’équipement du client de celui du fournisseur de services
Boucle locale (ou last-mile): câble téléphonique de cuivre ou à fibre optique

qui connecte le CPE au central téléphonique du fournisseur de services.
Central téléphonique (CO) : installation du fournisseur de services local dans
lequel des câbles téléphoniques locaux relient des lignes de communications
grande distance, entièrement numériques et à fibre optique via un système de
commutateurs et d’autres équipements.
ITE PC v4.0
Périphériques de réseau étendu
ITE PC v4.0
Presentation_ID.scr
Périphériques de réseau étendu
Modem : module (et démodule) le signal d’opérateur analogique pour coder des infos
numériques. Divers types : analogique, câble ou DSL
CSU/DSU (Sur les lignes numériques: T1, T3, etc.) :
• CSU : terminaison du signal numérique. Il garantit l’intégrité de la connexion (correction des
erreurs, surveillance de ligne, etc.)
• DSU convertit les trames de ligne de système multiplex T en trames du LAN.
Serveur d’accès : concentre les communications utilisateur entrantes et sortantes. Il

peut comporter un mélange d’interfaces analogiques et numériques.
Commutateur de réseau étendu : commute le trafic FR, ATM ou X.25 (couche 2
OSI)
Routeur : connecte le LAN (Campus) au réseau du fournisseur de services.
• Contient des ports et des interfaces d’accès Wan.
• Certaines interfaces nécessitent un périphérique externe (DSU/CSU, modem) pour
connecter le routeur au point de présence (POP) local du fournisseur de services.
Routeur de cœur de réseau : réside au milieu ou sur le réseau fédérateur du WAN
ITE PC v4.0
Normes de la couche physique de réseau étendu

EIA/TIA-232 (Anciennement RS-232): 64 Kbits/s, connecteur de type D à 25
broches, courtes distances. La spec UIT-T V.24 est identique.
EIA/TIA-449/530 (ou RS422 et RS-423) : Jusqu’à 2 Mbits/s (ver. rapide de
EIA/TIA-232). Connecteur de type D à 36 broches. Portée plus grande. Il en
existe plusieurs versions.
EIA/TIA-612/613 : Décrit le protocole HSSI (High-Speed Serial Interface).
Jusqu’à 52 Mbits/s. Connecteur de type D à 60 broches.
V.35 : Norme ITU-T pour les communications synchrones entre un
périphérique d’accès réseau et un réseau de paquet. Vitesse origine 48
Kbits/s jusqu’à 2,048 Mbits/s. Connecteur rectangulaire à 34 broches.
X.21 : Norme ITU-T pour les communications numériques synchrones.
Connecteur de type D à 15 broches.
ITE PC v4.0
Presentation_ID.scr
Connecteurs de câble d’un réseau étendu
ITE PC v4.0
Protocoles de liaison de données

RNIS et X.25 : anciens protocoles, moins utilisés
HDLC, PPP, FR et « ATM – cellule de 53 octets »: les
plus courants
MPLS:
• peut fonctionner sur toutes les infrastructures existantes, telles
que IP, le relais de trames, ATM ou Ethernet.
• se trouve entre les couches 2 et 3 (couche 2.5)
01111110 Pas tjrs nécessaire
Nature données: contrôle, donnée L3

Formats d’encapsulation de trames de réseau étendu
ITE PC v4.0
Presentation_ID.scr
Commutation et utilisation des protocoles de
liaison de données
ITE PC v4.0
ITE PC v4.0
Presentation_ID.scr
Commutation dans le réseau étendu
Commutation de circuits (RTPC et RNIS)
• Etablir un circuit (ou canal) dédié entre les nœuds et les terminaux avant
la communication
• Méthode coûteuse (allocation de circuit de capacité fixe)
• Le chemin emprunté par le circuit peut être partagé pour supporter un
certain nombre de conversations (multiplexage temporel TDM)
Commutation de paquets (X.25, FR et ~ATM)

• Fractionner les données de trafic en paquets acheminés sur un réseau
partagé (avec circuits virtuels ou en datagram)
• 2 approches : sans connexion et avec connexion.
• Adresse dans le paquet pour déterminer le chemin
• Coût bas de la commutation (+), délais (latence) et la variabilité des
délais (gigue) plus importants (-).
ITE PC v4.0
Circuit virtuel
Circuit logique établi au sein d’un réseau entre deux
périphériques réseau.
o Circuit virtuel permanent (PVC) :
• constitué du mode transfert de données.
• consomme moins de BP lors de l’établissement et fermeture du
circuit (+)
• augmente le coût en raison de sa continuité de service (-)
• pour des transmissions constantes
o Circuit virtuel commuté (SVC) :
• 3 phases: établissement et fermeture du circuit, transfert données
• pour des transmissions de données intermittentes
ITE PC v4.0
Presentation_ID.scr
Connexion à un réseau à commutation de
paquets
Connexion à un réseau à commutation de paquets :
Via la boucle locale vers le point de présence (POP) du
fournisseur
Boucle locale peut être une ligne dédiée (plus courte d’une LS
entre sites, peut être sous-dimensionnée en cas d’utilisation non
simultanée)
ITE PC v4.0
Options de connexion de liaisons WAN
ITE PC v4.0
Presentation_ID.scr
Options de liaison de connexion dédiée
Plusieurs capacités, le prix dépend de la BP et la distance
Requiert un port série d’un routeur, une unité CSU/DSU et le circuit
provenant du FS
(+) Permet d’éviter la latence et la gigue entre les points d’extrémité.
(+) Offre une disponibilité constante, essentielle pour la VOIP,…
(-) Généralement plus coûteuses que les services partagés (FR…)
(-) la capacité du LS n’est pas toujours exploitée
(-) chaque point d’extrémité requiert une interface physique séparée
sur le routeur (coût )
ITE PC v4.0
Capacité des LS
(usa)
(europe)
ITE PC v4.0
Presentation_ID.scr
Options de connexion à commutation de circuits
Tarifs fondés sur la distance, l’heure du jour et la durée de l’appel.
Utilise des Modems, des lignes analogiques (RTCP) ou numérique
(RNIS)
(+) simplicité, disponibilité et faible coût d’implémentation.
(-) faibles débits (~voip), temps de connexion relativement long
RNIS (Réseau numérique à intégration de services) offre des
connexions commutées de plus haute capacité sur la boucle locale sur :
• Des canaux Bearer à 64 Kbits/s (B) pour transporter la voix ou les données
• Un canal delta de signalisation (D) pour la configuration de la communication et
à d’autres fonctions.
Utilisation RNIS : voix (1 ou 2 canaux B), connexion de secours qui

supplémente LS.
ITE PC v4.0
Interfaces RNIS
Interface de base RNIS (BRI) :
• destiné aux utilisateurs individuels et aux petites entreprises
• 2 canaux B à 64 Kbits/s et 1 canal D à 16 Kbits/s.
• Le canal D est sous utilisé (peu de canaux B à contrôler) l’exploiter
pour transporter des données à bas débit (connexions X.25 à 9,6 Kbits/s)
Accès primaire (PRI) :

• pour des installations de plus grande taille.
• En Amérique de nord, 23 canaux B à 64 Kbits/s et 1 canal D à 64 Kbits/s,
pour un débit total jusqu’à 1,544 Mbits/s (avec bits de synchro)
correspond à une connexion T1
• En Europe, 30 canaux B et 1 canal D, pour un débit total allant jusqu’à
2,048 Mbits/s (avec bits de synchro) correspond à une connexion E1
ou J1.
ITE PC v4.0
Presentation_ID.scr
Options de connexion à commutation de paquets
: X25
X.25 est un protocole traditionnel de
couche réseau qui fournit aux abonnés
une adresse réseau (X.121)
Le circuit virtuel commuté obtenu est
identifié par un numéro de canal.
Plusieurs canaux peuvent être actifs sur une seule connexion.

Parmi les applications X.25 typiques, on trouve les lecteurs de
carte sur point de vente (en mode commuté).
Les vitesses des liaisons X.25 varient de 2 400 bits/s à 2 Mbits/s.
Cependant, les réseaux publics offrent généralement un débit
faible, avec un maximum de 64 Kbits/s.
ITE PC v4.0

(~trames) : FR
Relais de Trames = fonctionne au niveau 2,
simplifie la commutation de trames en
évitant:
• Erreurs de la trame
• Contrôle de flux
• Séquencement,
• Temporisateur de reprise, …
FR intègre un mécanisme pour éviter l’accumulation
des trames (taux CIR, EIR; Bit DE, FECN, BECN)
Conséquence : réduction de la latence et de gigue
Un circuit virtuel identifié par DLCI, généralement
permanent
Le routeur ne nécessite qu’une interface, même avec
plusieurs circuits virtuels.
Débit jusqu’à 4Mb/s, voire +
ITE PC v4.0
Presentation_ID.scr
(~cellules) : ATM
ATM (Asynchronous Transfer Mode) est fondée sur une architecture à

cellules (taille fixe = 53 octets).
Conçue pour être hautement extensible, peut prendre en charge des
vitesses de liaison de T1/E1 à OC-12 (622 Mbits/s), voire plus.
Utile pour transférer la voix, la vidéo et les données
ATM offre des circuits virtuels permanents et des circuits virtuels
commutés, bien que les PVC soient plus courants avec les WAN.
ITE PC v4.0
Options de connexion Internet

DSL
• Un modem DSL convertit Ethernet en signal DSL, qui est transmis au central
téléphonique.
• Plusieurs lignes d’abonnés DSL sont multiplexées par un multiplexeur d’accès
DSL (DSLAM) dans les locaux du fournisseur d’accès.
• Les DSLAM utilisent TDM pour agréger un grand nombre de lignes d’abonnés sur
un support moins encombrant (T3/DS3).
• Débit jusqu’à 8,192 Mbits/s.
Modem câble
• Très répandu dans les zones urbaines pour distribuer la TV.
• BP plus importante que la boucle locale téléphonique conventionnelle.
• Le bureau local de télévision câblée, appelé tête de réseau câblé, comprend le
système informatique et les bases de données pour fournir l’accès Internet.
• Le composant le plus important situé au niveau de la tête de réseau est le
système de terminaison du modem câble (CMTS), qui envoie et reçoit des signaux
numériques du modem câble sur un réseau câblé
ITE PC v4.0
Presentation_ID.scr
Options de connexion Internet (suite …)
Sans fil à large bande
• Spectre des radiofréquences sans licence
• Avant, l’accès sans fil est limité à une portée locale (moins de 30 mètres).
• Récemment, diverses améliorations
• WiFi municipal : réseaux sans fil au niveau des municipalités.
• WiMAX (IEEE 802.16) vitesses plus élevées, grandes distances et un
nombre d’utilisateurs plus important % au WIFI
• Internet par satellite :
• Pour des zones rurales où les connexions câblées ou DSL ne sont
pas disponibles.
• Vitesse Upload environ 1/10e de celle du download ,qui est de
500 Kbits/s.
• Requiert une antenne parabolique, deux modems (downlink et
uplink), et des câbles coaxiaux reliant l’antenne au modem.
ITE PC v4.0
Technologie de réseau privé virtuel

Au lieu d’utiliser une connexion de couche 2 dédiée(LS, …), un
réseau privé virtuel (VPN) utilise des connexions virtuelles appelées
tunnels.
Les connexions virtuelles sont acheminées via Internet depuis le
réseau privé de l’entreprise vers le site distant ou l’hôte de l’employé.
Avantages : Économique ; Sécurité ; Extensibilité ; Compatibilité avec
la technologie à large bande (DSL et câble)
2 types d’accès VPN
• site à site : Chaque site est doté d’une passerelle VPN (routeur, FW,
Concentrateur VPN, autre dispositif de sécurité…)
• accès à distance :
• utile dans le cadre du télétravail, utilisateur mobile, extranet pour fournir
un accès sécurisé.
• L’hôte dispose généralement d’un logiciel client ou utilise application web.
ITE PC v4.0
Presentation_ID.scr
Technologie de réseau privé virtuel
Site à site
Accès à
distance
ITE PC v4.0
Metro Ethernet
Technologie de réseau en rapide évolution qui étend
Ethernet aux réseaux publics gérés par des sociétés de
télécommunications.
Avantages :
• Réduction des dépenses et d’administration : support des
données, et des signaux vocaux et vidéo sur une seule et
même infrastructure.
• Intégration simplifiée avec les réseaux existants : connexion
facile au LAN réduction des coûts et durée d’installation.
• Productivité d’entreprise améliorée : support d’applications IP
(VOIP, Streaming, Video Broadcast), souvent difficiles à
implémenter sur des réseaux TDM ou FR.
ITE PC v4.0
Presentation_ID.scr
Réseau Metro Ethernet
ITE PC v4.0
Sélection d’une connexion de liaison de réseau

étendu
Quel est l’objectif du réseau étendu ? connecter des succursales dans une
même zone urbaine, connecter des succursales distantes, vous connecter à
une succursale unique, vous connecter à des clients, à des partenaires
commerciaux,…
Quelle est la portée géographique ? locale, régionale, globale, une à une…
Quelles sont les exigences de trafic ? type, volume, exigences en matière
de qualité, besoins de sécurité…
Le réseau étendu doit-il utiliser une infrastructure privée ou publique ?
Un réseau étendu privé doit-il être dédié ou commuté ?
Pour un réseau étendu public, quel type d’accès de réseau privé virtuel ?
Quelles options de connexion sont disponibles localement ?
Combien coûtent les options de connexion disponibles ?
ITE PC v4.0
Presentation_ID.scr
Sélection d’une connexion de liaison de réseau
étendu
Option Avantages Inconvénients Exemples de
protocoles
Ligne louée Sécurité optimale Coûteuse PPP, HDLC,
SDLC, HNAS
Commutation de Moins coûteuse Établissement de PPP, RNIS
circuits la communication
Commutation de Support partagé X.25, Relais de
paquets sur une liaison trames
Relais de cellules Idéale pour Les surcharges ATM
l’utilisation simulée peuvent être
de voix et de importantes.
données
Internet Connexion la Sécurité Réseau privé
moins coûteuse, minimale virtuel, DSL,
disponible modem câble,
globalement sans fil
ITE PC v4.0
Summary
A WAN is defined as
- A data communications network that operates beyond the
geographic scope of a LAN
WAN primarily operate on layer 1 & 2 of the OSI model

WAN technologies include
–Leased line
–ISDN
–Frame relay
–X.25
–ATM
ITE PC v4.0
Presentation_ID.scr
Summary
Cisco Enterprise Architecture
–This is an expansion of the hierarchical model that further divides
the enterprise network into
•Physical areas
•Logical areas
•Functional areas
Selecting the appropriate WAN technology requires
considering some of the following:
–WAN’s purpose
–Geographic scope of WAN
–Traffic requirements
–If WAN uses a public or private infrastructure
ITE PC v4.0
Accès au réseau
étendu
Chapitre 2 : Protocole PPP
ITE PC v4.0
Presentation_ID.scr
Objectifs
Décrire les concepts fondamentaux de la
communication série point à point ;
Décrire les concepts essentiels du protocole PPP ;
Configurer l’encapsulation PPP ;
Expliquer et configurer l’authentification PAP et CHAP.
ITE PC v4.0
Liaison Synchrone / asynchrone

Sur une ligne asynchrone, Il n’y a pas une négociation préalable entre l’émetteur et la
récepteur : l’intervalle entre 2 caractères peut avoir une durée quelconque.
Chaque caractère est encadré par un bit start et un bit stop
Sur une ligne synchrone, l’émetteur et le récepteur se mettent d’accord sur une base de
temps (un top d’horloge) qui se répète régulièrement durant tout l’échange
Les caractères sont transmis sous forme de blocs (orienté caractère) ou de trames
(orienté bit)
ITE PC v4.0
Presentation_ID.scr
Introduction PPP
PPP : Point to Point Protocol
Fournit des connexions réseau local vers réseau étendu
multi-protocoles : TCP/IP, IPX et AppleTalk.
Utilisé sur plusieurs supports : paire torsadée, des lignes à
fibre optique et des transmissions par satellite.
Assure le transport de plusieurs liaisons ATM, FR, RNIS et
optiques.
Permet d’authentifier des connexions en utilisant le
protocole d’authentification du mot de passe (PAP) ou le
protocole d’authentification à échanges confirmés
(Challenge Handshake Authentication Protocol, CHAP).
ITE PC v4.0
Connexion série/parallèle
Connexion série:
• les informations circulent sur un fil, un bit de données à la fois.
• Connecteur série à 9 broches, un fil pour chaque direction d’envoi, d’autres
pour le contrôle (flux d’informations,..).
Connexion parallèle
• Envoi des bits sur plusieurs fils simultanément.
• Connecteur parallèle à 25 broches de votre PC, 8 fils porteurs de données
acheminent 8 bits simultanément dans une direction.
• (+) : plus rapide (8x)
• (-) : câblage plus complexe
• (-) : distorsion d’horloge (certains bits arrivent à destination plus tard que les
autres). Un verrou est utilisé pour stocker des informations dans des
systèmes logiques séquentiels.
• (-): interférence: les signaux peuvent se perturber mutuellement.
ITE PC v4.0
Presentation_ID.scr
Normes de communication série
RS-232 – (ou récemment RS-422 et RS-423)
• Disponible sur la plupart des ordinateurs
• Connecteurs de 9 broches à 25 broches
• Des périphériques réseau utilisent des connecteurs RJ-45 respectant RS-232.
V.35
• Pour des échanges de données synchrones et à haut débit
• Utilisée généralement entre des modem et multiplexeur et sur routeurs vers des
unités DSU connectés à des opérateurs T1
• Utilisée pour connectivité haut débit entre ETTD et ETCD
HSSI - (High-Speed Serial Interface, interface série à haut débit)

• Débit de transmission jusqu’à 52 Mbits/s.
• Connecter des routeurs à des réseaux étendus, sur des lignes à haut débit (T3…)
• Utile aussi pour fournir une connectivité à haut débit entre des réseaux locaux,
grâce à Token Ring ou Ethernet.
ITE PC v4.0
RS-232
•Les broches DCD et RI sont disponibles

uniquement lors des connexions à un
modem.
•Rarement utilisés car un modem envoi
des infos d’états au Pc quand un signal
est détecté.
ITE PC v4.0
Presentation_ID.scr
Schéma d’une interface avec Rs-232
DTE--DCE DTE--DTE
full NULL MODEM (connexion directe de
2 DTE, sans modems)
ITE PC v4.0
Multiplexage temporel
Le multiplexage temporel partage le temps de transmission
disponible sur un support en attribuant des tranches de
temps aux utilisateurs.
Exemple de multiplexage temporel synchrone: T1/E1 et les
lignes téléphoniques RNIS
Un multiplexeur d’entrée (MUX) accepte les données
provenant de périphériques reliés par recherche
séquentielle, puis transmet les données de façon continue.
• La technique d’entrelacement de bits conserve le nombre et la
séquence de bits pour chaque transmission spécifique
Un multiplexeur de sortie assemble le flux de multiplexage
temporel pour reconstituer les flux de données d’entrée, en
se basant uniquement sur la durée d’arrivée de chaque bit.
ITE PC v4.0
Presentation_ID.scr
Multiplexage temporel
TS plus petit
Transmission plus rapide
ITE PC v4.0
Multiplexage temporel statistique (STDM)

STDM ne gaspille pas de temps de ligne à haut débit
avec des canaux inactifs.
STDM utilise une longueur de tranche de temps
variable permettant à des canaux de convoiter les
espaces disponibles.
• Une mémoire tampon stocke temporairement les données lors
des périodes de trafic intense.
• Chaque transmission transporte des informations
d’identification (un identificateur de canal).
ITE PC v4.0
Presentation_ID.scr
Exemples de multiplexage temporel
RNIS
• L’accès de base (BRI) RNIS comporte 3 canaux, à savoir deux
canaux B à 64 Kbits/s (B1 et B2) et un canal D à 16 Kbits/s.
1 1 8 1 1 1 1 1 8 1 1 1 8 1 1 1 8 1 1 1 En
bit
F L B1 E D A Fa N B2 E D M B1 E D S B2 E D L
Réseau vers terminal

SONET (USA) \ SDH (Europe)
• Standard adopté par l’industrie des
STDM
télécoms.
• Transporte tous types de trafics (ATM,IP,…)
• Défini des taux standard, des formats et
des interfaces optiques
ITE PC v4.0
Multiplexage PDH (Plesiochronous Digital Hierarchy)

L’unité d’origine utilisée pour multiplexer des appels téléphoniques est 64 Kbits/s
DS0 (plus petit signal porté)
La porteuse T désigne le groupement de plusieurs DS0.
T désigne une porteuse, DS désigne le signal porté
Les lignes déjà multiplexées sont à nouveau multiplexées : T1, T2, T3, …
RQ: les horloges des lignes d’entrée ne sont pas exactement synchronisées (
plesio)
(-) ne permet pas d’avoir accès aux informations d’une voix directement sans
démultiplexer l’ensemble des voies
ITE PC v4.0
Presentation_ID.scr
Multiplexage PDH
ITE PC v4.0
SDH (Synchronous Digital Hierarchy)

SDH repose sur une structure de trame où les signaux
affluents destinés à être transportés sont initialement
"encapsulés" dans un conteneur de la trame
multiplexée
A chaque conteneur est associé un sur-débit de conduit
réservé à l'exploitation de celui-ci.
Le conteneur et son sur-débit forment un conteneur
virtuel
(+) débit plus important, facilité de brassage et
d’insertion ou d’extraction
ITE PC v4.0
Presentation_ID.scr
Multiplexage SDH/SONET : STM1 vs. OC1
La trame de base (STM-1) d’un signal SDH est représentée
sous la forme de 9 rangés.
• Chaque rangée comporte 270 octets dont les 9 premiers, appelés
TOH (Tansport Overhaed), contiennent des fanions et des
informations d’erreurs de trames.
• Les 261 octets restant contiennent
• décalage (pour adapter en temps et en longueur le format des
paquets),
• POH (Path Overhaed, pour caractériser le service transporté)
• paquets de données (des conteneurs virtuels)
La trame de base OC-1 d’un signal SONET (Synchronous
Optical NETwork – USA) est composée de 9 rangées de 90
octets avec 3 octets de contrôle.
ITE PC v4.0
Trame de base : STM-1
ITE PC v4.0
Presentation_ID.scr
C
A
B
ITE PC v4.0
Point de démarcation
Point de délimitation entre la partie du réseau appartenant à
la compagnie de téléphone et celle du client.
• Définition utile suite à l’opération de dégroupage (compagnies de
téléphone ne monopolisent pas la boucle locale mais autorisent
d’autres fournisseurs d’offrir des équipements et des services)
Peut se situer après (USA) ou avant (autres pays) le NTU
(Network Terminating Unit)
Appartient à
l’abonnée CPE
ITE PC v4.0
Presentation_ID.scr
ETTD et DCE
ETTD :
• Equipement d’abonné, généralement un routeur
• Il peut s’agir également d’un terminal, d’un ordinateur, d’une
imprimante ou d’un télécopieur s’il se connecte directement au
réseau du fournisseur de services.
DCE
• généralement un modem ou une unité CSU/DSU
• sert à convertir les données utilisateur de l’ETTD en une forme
compatible avec la liaison de transmission du fournisseur de
services de réseau étendu.
ITE PC v4.0
Jonction
Il existe 2 types de câblage des connecteurs RS-232: (1)
entre ETTD et ETCD ou (2) entre ETTD et ETTD.
L’interface ETTD/DCE d’une norme particulière définit les
spécifications
• Mécanique/physique - Nombre de broches et type de connecteur
• Électrique - Niveaux de tension pour 0 et 1
• Fonctionnelle - signification à chacune des lignes de transmission
de l’interface
• Procédurale - séquence d’événements pour la transmission des
données
L’interface ETTD/ETTD définit un modem null (pas de DCE)
ITE PC v4.0
Presentation_ID.scr
Câbles série
Extrémité des câbles

DB60 Smart Serial
(26 broches)
Densité de port élevée,
forme réduite
ITE PC v4.0
Conversion parallèle vers série

Les données du PC circulent le long de circuits
parallèles, la puce UART (Universal Asynchronous
Receiver/Transmitter) convertit les groupes de bits
parallèles en flux de bits série.
ITE PC v4.0
Presentation_ID.scr
Protocoles d’encapsulation de réseau WAN
ITE PC v4.0
Encapsulation HDLC
Norme = ISO 13239
Protocole de couche 2 OSI, synchrone, orienté-bit
Fournit des services avec connexion et sans
connexion.
HDLC utilise un délimiteur de trame.
cHDLC : version HDLC de Cisco qui prend en charge
plusieurs protocoles.
ITE PC v4.0
Presentation_ID.scr
Format de Trame HDLC • Protocole : type de
protocole encapsulé
dans la trame
(0x0800 pour IP).
• Données :
comprend une unité
d’informations de
chemin (PIU) ou des
informations
d’identification
d’échange (XID).
• Séquence de
Indicateur : 0111.1110 (il faut faire la transparence) contrôle de trame
(FCS) : Le calcul
Adresse - Le champ d’adresse comprend l’adresse CRC est de
HDLC de la station secondaire (nœud contrôlé par nouveau effectué
un autre nœud primaire). Cette adresse peut
contenir une adresse spécifique, une adresse de dans le récepteur
groupe ou une adresse de diffusion. pour détecter les
erreurs.
Contrôle : (voir suite)
ITE PC v4.0
Types de trame HDLC • Trame information:

transporte les données
des couches
supérieures.
• Trame de surveillance :
fournit des informations
de contrôle (demander
ou suspendre une
transmission, effectuer
un rapport sur l’état et
acquitter la réception de
trames); pas de champs
information
•Bit interrogation (P/F) : effectue un contrôle de
• Trame non numérotée:
flux et d’erreurs.
pour des opérations de
•Si primaire envoie P/F=1, il exige une réponse
contrôle (ex: initialiser
immédiate.
les nœuds secondaires).
•Si secondaire envoie P/F=1, il s’agit de la
dernière trame de la réponse en cours.
ITE PC v4.0
Presentation_ID.scr
Trames HDLC de type « I »
Technique « piggybacking » : données + ack

2 compteurs N(S) et N(R).
• N(S): numéro de la trame envoyé (modulo 8 ou 128)
• N(R): numéro de la prochaine trame d'information
attendue (modulo 8 ou 128).
N(R) acquitte implicitement toutes les trames de numéros
strictement inférieurs à N(R).
La perte d'un acquittement peut ainsi être compensée par le
prochain acquittement.
ITE PC v4.0
Trame HDLC de type « S »

10SS*=1000 RR ("Received & Ready") :
• confirme la réception des trames de données de nº < N(R) et
demande la transmission des trames suivantes
10SS=1010 RNR ("Received & Not Ready") :
• confirme la réception des trames de données de nº < N(R) et interdit
la transmission des trames suivantes
10SS=1001 REJ ("Reject") :
• confirme la réception des trames de données de nº < N(R) et
demande la retransmission des trames de nº ≥ N(R)
10SS=1011 SREJ ("Selective Reject") :
• confirme la réception des trames de données de nº < N(R), demande
la retransmission de la trame de nº = N(R) (N.B . non-utilisée par
LAP-B).
* : SS ordre croissant des bits (= ordre d’envoi des bits)
ITE PC v4.0
Presentation_ID.scr
Trame HDLC de type « U »
Trames de la gestion de la connexion.
Se basent sur 5 bits MMMMM (ordre croissant des bits)
Trame d'établissement de la connexion (commande) :
SABM ("Set asynchronous balanced mode") [11100]
SABME ("Set asynchronous balanced mode extended") [11110]
SARM [11000]
SARME [11010]
SNRM [00001]
SNRME [11011]
Trame de libération de la connexion (commande) :
DISC ("Disconnection") [00010]
Trame de confirmation (réponse) :
UA ("Unnumbered acknowledgment")[00110]
Trame de récupération des erreurs (réponse) :
FRMR ("Frame reject") [10001]
Trame d'indication de connexion libérée
DM ("Disconnected mode") [11 000]
ITE PC v4.0
Configuration de l’encapsulation HDLC

Activer l’encapsulation HDLC
• (config-if)# encapsulation hdlc
HDLC est l’encapsulation par défaut sur des interfaces

série synchrones
Utiliser le protocole PPP synchrone en cas de
connexion avec un périphérique non Cisco.
ITE PC v4.0
Presentation_ID.scr
Dépannage d’une interface série (1/5)
#show interface serial renvoie un des cinq états
possibles signalant un problème
• L’interface série x est désactivée [down] et le protocole de
ligne est désactivé [down]
Le routeur ne capte aucun signal de CD (Carrier Detect),
ce qui signifie que le CD n’est pas actif.
Un problème est survenu chez le FS du WAN.
Le câblage est défectueux ou incorrect.
Une défaillance matérielle est survenue (CSU/DSU).
vérifier les LEDs, le câble, le port du routeur, contacter
FS du LS pour éventuel problème de sa part
ITE PC v4.0

L’interface série x est activée [up] et le protocole de
ligne est désactivé [down] ---- (DTE)
•(DTE mode) Mettre le modem ou
Un routeur local ou distant est mal configuré. CSU/DSU en mode
Le matériel d’un routeur local ou distant est tombé en boucle locale (sans
panne.
Une unité CSU/DSU locale ou distante est tombée en
connexion distante) et
panne. vérifier show interface
Un problème au niveau d’une ligne louée ou d’un autre *Si proto active prob
service de l’opérateur est survenu (ligne parasitée ou FS
commutateur défaillant)
Aucun test d’activité n’est envoyé par le routeur distant. *Si proto non active
Un problème d’horloge est survenu sur le câble. prob routeur (changer
•(DCE mode) de port)
La configuration de l’horloge de l'interface est absente. ----- (DCE)
Le ETTD ne prend pas en charge ou n’est pas configuré Ajouter clock rate (en
pour le mode SCTE (horloge terminal; au lieu de l’horloge local et à distance)
interne).
Vérifier câble
L’unité CSU/DSU locale ou distant est tombée en panne.
Remplacer port
ITE PC v4.0
Presentation_ID.scr
L’interface série x est activée et le protocole de ligne
est activé [up], en boucle [up (looped)]
Il y a une boucle dans le circuit.
Si vous trouvez une entrée loopback, utilisez la commande de
configuration d’interface no loopback pour éliminer la boucle.
Sinon, examinez les unités CSU/DSU pour déterminer si elles
sont configurées en mode de boucle manuelle, désactivez le.
ITE PC v4.0

L’interface série x est activée [up] et le protocole de ligne
désactivé [ down (disabled)]
Un taux d’erreur élevé est survenu du fait d’un problème au
niveau du fournisseur d’accès de réseau étendu.
Un problème est survenu au niveau du matériel d’une unité CSU
ou DSU.
Le matériel du routeur (interface) est hors service.
Analyser les signaux CTS et DSR changeants.
Bouclez l’unité CSU/DSU (boucle ETTD).
* Si le problème persiste, un problème matériel local (remplacer).
* Si le problème est résolu, problème au niveau FS du WAN
ITE PC v4.0
Presentation_ID.scr
L’interface série x est désactivée pour des raisons
d’administration [administratively down] et le
protocole de ligne est désactivé [down]
La configuration du routeur inclut la commande de
configuration d’interface shutdown.
Il existe une adresse IP dupliquée. up, up (connected)
show running-config no shutdown ou modifier @IP
ITE PC v4.0
Inspection du câble série

#show controllers [cbus]
Si la sortie est différente de V.35 (UNKOUWN ou autre),

un câble est mal connecté et il est à l’origine du
problème
RQ: si UNKOWN show interface affiche [down] [down]
ITE PC v4.0
Presentation_ID.scr
Présentation du protocole PPP
HDLC est la méthode d’encapsulation série par défaut
cHDLC est la version Cisco de HDLC
PPP n’est pas propriétaire
PPP est utile en cas de connexion avec un routeur non Cisco
PPP encapsule des trames de données (couche 2)
PPP établit une connexion directe au moyen de câbles série, de
lignes téléphoniques, de lignes agrégées (connexion physique et
logique entre 2 commutateurs ATM), de téléphones portables, de
liaisons radio spécialisées ou de liaisons à fibres optiques.
Fonctionnalités en + de PPP (% HDLC): gestion de qualité de la
liaison, authentification (PAP, CHAP)
ITE PC v4.0
Composants de PPP
Protocole HDLC pour l’encapsulation de datagrammes

sur des liaisons point à point.
Protocole de contrôle de liaison extensible (LCP, Link
Control Protocol) pour établir, configurer et tester la
connexion des liaisons de données.
Une famille de protocoles de contrôle réseau (NCP,
Network Control Protocol) pour établir et configurer
différents protocoles de couche réseau
• TCP/IP, Novell IPX, SNA, CCP (Compression Control
Protocol).
ITE PC v4.0
Presentation_ID.scr
Architecture PPP
• Support physique synchrone

• Support physique asynchrone, tel que ceux utilisés par le service téléphonique de
base pour les connexions commutées par modem
ITE PC v4.0
Pré-requis de la Couche physique PPP

PPP supporte sur une plage d’interfaces : série
asynchrone ; série synchrone ; HSSI ; RNIS.
PPP fonctionne sur toutes les interfaces ETTD/DCE
(RS-232-C, RS-422, RS-423 ou V.35)
Pas de restriction quant au débit
La seule obligation imposée par le protocole PPP est
un circuit bidirectionnel, dédié ou commuté, en mode,
asynchrone ou synchrone, et est transparent pour les
trames de la couche de liaison PPP.
ITE PC v4.0
Presentation_ID.scr
Couche LCP (Link Control Protocol)
Il permet d’établir, de configurer et de tester la connexion de
liaison de données.
Il négocie également et configure des options de contrôle
sur la liaison de données de réseau étendu, qui sont gérées
par les protocoles NCP.
Il fournit la configuration automatique des interfaces à
chaque extrémité :
• gérer les limites variables de taille de paquets ;
• détecter les erreurs de configuration courantes ;
• mettre fin à la liaison ;
• déterminer si une liaison fonctionne correctement ou présente
des défaillances.
PPP utilise aussi LCP pour s’accorder automatiquement sur
des formats d’encapsulation (authentification, compression,
détection des erreurs) dès que la liaison est établie.
ITE PC v4.0
Couche NCP (Network Control Protocol)

A chaque protocole de couche réseau utilisé, le
protocole PPP utilise une couche NCP distincte.
• IP protocole de contrôle IP (IPCP),
• IPX protocole de contrôle Novell IPX (IPXCP).
Chaque couche NCP gère les besoins spécifiques

requis par ses protocoles de couche réseau spécifiques
(exemple : attribution et la gestion d’adresses IP).
ITE PC v4.0
Presentation_ID.scr
Structure de trame PPP
Adresse : 0xFF (adresse de diffusion standard)
Contrôle : 0x03
Protocole:
• De 8000 à BFFF : NCPs (8021 :IPCP, 8029 : Appletalk Control Protocol 802b :
Novell IPX Control Protocol)
• De C000 à FFFF (C021 : LCP, C023 : PAP, C025 : Link Quality Report (LQR))
En cas de compression, les champs Adresses et contrôle ne sont pas inclus.

Par ailleurs, le champ protocole est réduit à 1 octet.
La longueur maximale par défaut du champ « données » est 1500octets
ITE PC v4.0
Établissement d’une session PPP

Phase 1 : Établissement d’une liaison et négociation de la
configuration. Cette phase se termine lorsque le routeur récepteur
renvoie une trame d’accusé de réception de configuration (LCP)
Phase 2 : Détermination de la qualité de la liaison (facultatif)(LCP)
Phase 3 : Négociation de la configuration du protocole de couche
réseau (NCP)
La liaison reste configurée pour les communications jusqu’à ce que
des trames LCP ou NCP explicites ferment la liaison ou qu’un
événement extérieur se produise.
• Perte de l’opérateur, échec d’authentification, défaillance de la qualité de la
liaison, expiration d’un compteur de période d’inactivité ou de la fermeture
administrative de la liaison
Si le protocole LCP ferme la liaison, il en informe les protocoles de
couche réseau
ITE PC v4.0
Presentation_ID.scr
Fonctionnement de LCP
ITE PC v4.0
Classes de trames LCP

Trames d’établissement de liaison : ouvrent et configurent
une liaison
• Configure-Request, Configure-Ack, Configure-Nak et
Configure-Reject
Trames de maintenance de liaison : gèrent et déboguent une
liaison
• Code-Reject, Protocol-Reject – réception trame non valide car
code LCP non reconnu ou d’un id. de protocole incorrect.
• Echo-Request, Echo-Reply et Discard-Request - pour tester la
liaison.
Trames de fermeture de liaison : mettent fin à une liaison

• Terminate-Request et Terminate-Ack
ITE PC v4.0
Presentation_ID.scr
Négociation de la liaison LCP
ITE PC v4.0
Paquet LCP
Code : 1 Configure-Request; 2 Configure-Ack; 3 Configure-Nak; 4 Configure-

Reject ; 5 Terminate-Request ; 6 Terminate-Ack ; 7 Code-Reject ; 8 Protocol-
Reject ; 9 Echo-Request ; 10 Echo-Reply ; 11 Discard-Request
Identifiant = pour correspondre les requêtes aux réponses
ITE PC v4.0
Presentation_ID.scr
Options de configuration PPP
associe un ou plusieurs canaux en vue d’augmenter la bande passante

ITE PC v4.0
Présentation de NCP
LCP NCP approprié
IPCP négocie 2 options :
• Compression - négocier un algorithme pour compresser des
en-têtes TCP et IP, et économiser de la bande passante. La
compression d’en-tête TCP/IP Van Jacobson réduit la taille
des en-têtes TCP/IP à 3 octets minimum.
• Adresse IP - Permet au périphérique demandeur de spécifier
une adresse IP à utiliser pour le routage IP sur la liaison PPP,
ou de demander une adresse IP pour le répondeur.
ITE PC v4.0
Presentation_ID.scr
Processus NCP
ITE PC v4.0
Configuration du protocole PPP

Options de configuration PPP
• Authentification (type =3) :PAP ou CHAP
• Compression (type 7 compr proto et 8 compr @ et cntrl)
• 2 proto de compression sur routeur Cisco Stacker (LZS) et Predictor
• Détection des erreurs : Identifie les conditions d’échec. Les options
Quality (type =4) et Magic Number (type =5) aident à assurer que la
liaison de données reste fiable et sans boucle.
• Multiliaison répartition du trafic sur plusieurs liaisons physiques
• Rappel PPP (type =13) un routeur Cisco peut servir de client ou de
serveur de rappel
• Maximum Receive Unit (type =1)
• Asynchronous Control Character Map (ACCM) (type =2): autorise les
caractères d’échappement pour des liaisons asynchrones
ITE PC v4.0
Presentation_ID.scr
Commandes de configuration PPP
Activation du protocole PPP sur une interface B
(config-if)#encapsulation ppp (doit précéder les autres cmds)
Configurer la compression sur PPP

(config-if)#compress [predictor | stac]
Surveillance de la qualité de la liaison

(config-if)#ppp quality 80
=>Garantit que la liaison est conforme aux pourcentage de qualité définies.
Dans le cas contraire, la liaison est fermée. Un décalage temporel est pris en
compte pour ne pas désactiver rapidement.
Équilibrage de la charge sur les liaisons

(config-if)#ppp multilink
=>MPPP fragmente les paquets et les envoie simultanément sur plusieurs
liaisons point à point vers la même adresse distante
ITE PC v4.0
Vérification d’une configuration de l’encapsulation PPP

série
#Show interfaces serial

#debug ppp débogue le protocole PPP
ITE PC v4.0
Presentation_ID.scr
Dépannage de l’encapsulation PPP
debug ppp {authentication | packet | negotiation | error |
compression | cbcp}
Paramètre Affichage
Packet paquets PPP envoyés et reçus
Negotiation paquets PPP transmis lors du démarrage de PPP et lors de
la négociation des options
error erreurs de protocole et les statistiques d’erreur associées à
la négociation et à l’utilisation de la connexion PPP
authentication échanges de paquets CHAP ou PAP
compression informations spécifiques de l’échange de connexions PPP
via MPPC (Microsoft Point-to-Point Compression)
cbcp erreurs de protocole et les statistiques d’erreur associées
aux négociations de connexion PPP via MSCB (Microsoft
Callback Control Protocol)
ITE PC v4.0
Exemples de débougage
Nom de la procédure : s send; r receve; lqr rapport de qualité
output Id proto LQM Boucle si i=o
Ouverture LCP
pourcentage d’erreur
maximal acceptable
Configuration
avec 75%
ITE PC v4.0
Presentation_ID.scr
Protocoles d’authentification PPP
La phase d’authentification d’une session PPP est
facultative.
PAP est un processus bidirectionnel très simple. Le
nom d’utilisateur et mot de passe sont envoyés en texte
clair.
CHAP est plus sécurisé que le protocole PAP. Il
implique un échange en trois étapes d’un secret
partagé.
ITE PC v4.0
Protocole d’authentification du mot de passe (PAP)
Lorsque la commande (config-if)#ppp authentication pap est utilisée, les nom

d’utilisateur et mot de passe sont envoyés en tant que paquet LCP unique,
évite au serveur d’envoyer une invite de connexion et d’attendre une réponse.
(-) faible
Utile :
• CHAP n’est pas supporté
• Implémentations CHAP de divers FS non compatibles
• mot de passe en clair doit être disponible pour simuler une connexion sur un hôte distant
ITE PC v4.0
Presentation_ID.scr
Protocole d’authentification à échanges confirmés (CHAP)
R3 veut authentifier R1
username R1 password cisco123
En 3 étapes: demande de confirmation réponse

accusé ou fin de connexion
La réponse est une valeur calculée par une fonction de
hachage unidirectionnelle (généralement MD5) du mot de
passe + message de demande de confirmation
Le protocole CHAP protège contre les attaques de lecture
répétée en utilisant une valeur de confirmation variable,
unique et imprévisible.
ITE PC v4.0
Processus d’encapsulation et d’authentification

PPP
username R1 password cisco123
ITE PC v4.0
Presentation_ID.scr
Exemple CHAP
S’il est correcte, la liaison est établie (type3), sinon, R2 envoie à R1

un paquet de type 4 pour indiquer l’échec d’authentification.
ITE PC v4.0
Configuration PPP avec l’authentification
Paramètre Rôle
chap Active CHAP sur une interface série.
pap Active PAP sur une interface série.
chap pap exécute l’authentification CHAP avant PAP
pap chap exécute l’authentification PAP avant CHAP
if-needed Utilisé avec TACACS et XTACACS. N’exécute pas l’authentification
(Facultatif) CHAP ou PAP si l’utilisateur a déjà fourni une authentification
nom-liste Utilisé avec AAA/TACACS+. Spécifie le nom d’une liste de méthodes
(Facultatif) TACACS+. Les listes sont créées grâce à la commande aaa
authentication ppp.
default Utilisé avec AAA/TACACS+
(Facultatif)
callin Authentification sur les appels entrants (reçus) uniquement.
ITE PC v4.0
Presentation_ID.scr
Exemples de configuration PAP
A B
B A
CHAP
ITE PC v4.0 Mot de passes chap doivent être les même 111
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
Dépannage d’une configuration PPP avec authentification
#debug ppp authentication

•1 = Demande de confirmation
•2 = Réponse
•3 = Réussite
•4 = Échec
ITE PC v4.0
Presentation_ID.scr
Summary
PPP is a widely used WAN protocol

PPP provides multi-protocol LAN to WAN connections
PPP session establishment – 4 phases
Link establishment
Link quality determination
Network layer protocol configuration negotiation
Link termination
WAN Encapsulation
–HDLC default encapsulation
–PPP
ITE PC v4.0
Summary
PPP authentication
–PAP
•2 way handshake
–CHAP
•3 way handshake
–Use debug ppp authentication to confirm authentication
configuration
PPP configuration
–Done on a serial interface
After PPP configuration, use show interfaces command to
display:
–LCP state
–NCP state
ITE PC v4.0
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 3 : Protocole Frame

Relay
ITE PC v4.0
Objectifs
Décrire les concepts fondamentaux de la technologie
Frame Relay : fonctionnement, exigences de mise en
œuvre, mappages et LMI
Configurer un circuit virtuel permanent (PVC) Frame
Relay et configurer un mappage Frame Relay statique
Décrire les concepts avancés de la technologie Frame
Relay : sous interface, BP, contrôle de flux
Configurer un circuit virtuel permanent Frame Relay
avancé et dépanner une configuration Frame Relay.
ITE PC v4.0
Presentation_ID.scr
Introduction
FR était destiné aux interfaces RNIS, en tant que
version simplifiée du protocole X.25.
Actuellement, les fournisseurs d’accès aux réseaux
utilisent FR comme technique d’encapsulation de
signaux vocaux et numériques.
Chaque utilisateur final obtient une ligne privée (ou
louée) connectée à un nœud du réseau Frame Relay.
Frame Relay est répandus dans le WAN grâce à son
faible coût par rapport aux lignes dédiées et sa
configuration simple.
ITE PC v4.0
Succès de Frame Relay

2 facteurs : Économique et Flexibilité
Economique
• Coût des lignes dédiées = de bout en bout Vs. Coût avec FR = utilisation
de la boucle locale et BP achetée du FS
• Partage de la BP entre un plus grand nombre de clients (40 clients à
56Kb/s sur un circuit T1)
• Moins d’équipements et de maintenance que LS (avec LS, beaucoup plus
de CSU/DSU et routage/commutation compliquée)
• Reviens moins cher que RNIS (frais initiaux de FR plus élevés mais
facturation est non liée à la durée de connexion)
Flexibilité
DLCI = id de l’extrémité de chaque liaison
• N’importe quelle station peut se connecter à une autre en indiquant son
adresse et le numéro DLCI de la ligne à utiliser.
• Le même port du routeur est utilisé pour tous les DLCI
ITE PC v4.0
Presentation_ID.scr
Réseau étendu Frame Relay
Un réseau WAN comporte au minimum 3 composants, 2 ETTD de
chaque site connectés au central téléphonique local (DCE)
FR demande moins de temps de traitement que le X.25 (moins de
fonctionnalités, ex : pas de correction d’erreur).
FR est efficace en volume et en vitesse, en réunissant les fonctions
des couches 2 et 3 en un seul protocole
• Couche 2: FR permet d’accéder à un réseau, il délimite et fournit les trames
dans l’ordre approprié et détecte les erreurs par CRC.
• Couche 3 : FR fournit plusieurs liaisons logiques sur un même circuit physique
et permet au réseau d’acheminer les données
FR intervient entre un périphérique d’utilisateur final et un réseau. Le

cœur du réseau utilise d’autres méthodes de transmission
compatibles (Frame Relay lui-même, rx à commutation de circuits
numériques, ATM)
ITE PC v4.0
Fonctionnement du protocole Frame Relay

2 sites sont connectés par FR
L’ETTD sur chacun site est un routeur.
Une connexion série, telle qu’une ligne louée T1/E1,
connecte le routeur à un commutateur Frame Relay au
niveau du point de présence (POP) le plus proche de
l’opérateur.
Le commutateur Frame Relay est un équipement DCE.
L’équipement informatique non connecté au un réseau local
(routeur) peut également envoyer des données dans un
réseau Frame Relay à travers un (FRAD)
Le FRAD, appelé aussi assembleur / désassembleur FR, est
un équipement dédié ou d’un routeur configuré pour la prise
en charge du protocole Frame Relay.
ITE PC v4.0
Presentation_ID.scr
Fonctionnement du protocole Frame Relay
POP
ITE PC v4.0
Circuits virtuels
FR partage la bande passante entre plusieurs
utilisateurs grâce aux circuits virtuels.
Un site quelconque peut donc communiquer avec
n’importe quel autre site sans utiliser plusieurs lignes
physiques dédiées.
2 types :
• CVP (fonctionne en modes DATA TRANSFER et IDLE)
• CVC (modes CALL SETUP, DATA TRANSFER, IDLE, CALL
TERMINATION)
Les circuits virtuels sont identifiés par (DLCI).
Les DLCI Frame Relay ont une signification locale.
ITE PC v4.0
Presentation_ID.scr
Utilisation des DLCI
DLCI UTILISATION
0 Etablissement de circuits (Q.933)
1-15 Réservés
16-1007 DLCI utilisateurs (PVC-SVC)
1008-1018 Réservés
1019-1022 Multicast
1023 Signalisation de congestion (CLLM ou LMI) et états de liens
CLLM (Consolited Link Layer Management) : permet aux nœuds en

état de congestion d’en avertir ses voisins ainsi que la source de la
congestion.
ITE PC v4.0
Identification des circuits virtuels
DLCI 102
signif. local
ITE PC v4.0
Presentation_ID.scr
Circuits virtuels multiples
Le réseau Frame Relay est statistiquement multiplexé.
Un FRAD ou le routeur connecté au réseau FR peut
être connecté à plusieurs périphériques finaux par
différents circuits virtuels.
Les différents circuits virtuels d’une même ligne
physique sont distincts du fait qu’ils sont identifiés par
leur propre DLCI.
chaque extrémité ne nécessite qu’une ligne d’accès
et une interface
Plus économique qu’un maillage des lignes d’accès.
ITE PC v4.0
Identificateur DLCI de Span Engineering Chicago
Chicago
17
ITE PC v4.0
Presentation_ID.scr
Encapsulation de Frame Relay
DLCI : les 10 bits.
End Address (EA) : EA= 1 dernier octet du DLCI
C/R n’est pas défini actuellement.
FECN, BECN, et DE : contrôlent les mécanismes de notification

d’encombrement
Rq: 2-PCI défini par la norme ITU Q.922-A relative aux services Bearer,
intitulée LAPF (Link Access Procedure for Frame Relay, LAPF).
ITE PC v4.0
TroisTopologies Frame Relay
Partial Mesh
Topology
ITE PC v4.0
Presentation_ID.scr
Topologie en étoile (Hub and Spoke)
L’emplacement du concentrateur est généralement
choisi en fonction du moindre coût de ligne louée.
Avec une topologie en étoile pour Frame Relay, chaque
site distant dispose d’une liaison d’accès au nuage
Frame Relay avec un seul circuit virtuel.
1 seul CV
ITE PC v4.0
Topologie à maillage global

Une topologie à maillage global convient dans le cas où
l’accès aux services doit être très fiable et que ces
services sont dispersés géographiquement.
Avec FR, le concepteur de réseau peut créer plusieurs
connexions en configurant tout simplement des CV
supplémentaires sur chaque liaison existante.
Les FS facturent BP supplémentaire, toutefois cette
solution est plus économique que les LS.
ITE PC v4.0
Presentation_ID.scr
Topologie à maillage partiel
Dans le cas de grands réseaux, le maillage global est
rarement abordable
Il ne s’agit pas d’un problème de coût en matériel, mais
bien de nombre de circuits virtuels dont la limite
théorique est de 1000 par liaison.
En pratique, la limite est inférieure à cette valeur
théorique.
ITE PC v4.0
Mappage des adresses Frame Relay

La transmission des données par FR requiert une
correspondance entre le DLCI local et l’adresse de
couche 3 de destination
Le mappage peut être statique ou dynamique.
Affichage: #show frame-relay map
IARP : Inverse ARP –id. 0x806 (≠ RARP, id 0x8036)
• Méthode utilisée pour créer des routes dynamiques dans un
réseau (FR et ATM).
• Permet à un serveur d’accès de découvrir l’adresse réseau
d’une unité associée à un circuit virtuel.
ITE PC v4.0
Presentation_ID.scr
IARP
ITE PC v4.0
Mappage dynamique
Le mappage dynamique s’appuie sur l’ARP inverse
Le routeur FR envoie des demandes d’ARP inverse sur son
circuit virtuel permanent pour détecter l’adresse de protocole
du périphérique distant
Le routeur utilise les réponses obtenues pour compléter une
table de mappage d’adresse en DLCI sur le routeur Frame
Relay ou sur le serveur d’accès.
Le routeur établit et entretient cette table de mappage qui
contient toutes les demandes d’ARP inverse résolues, y
compris les entrées de mappage statique et dynamique.
Rq: sur un routeur Cisco, ARP inverse est activé par défaut
pour tous les protocoles activés sur l’interface physique.
ITE PC v4.0
Presentation_ID.scr
Mappage statique
L’utilisateur peut décider de remplacer le protocole de
résolution inverse dynamique par un mappage manuel
statique
• un routeur situé de l’autre côté d’un réseau Frame Relay ne
prend pas en charge IARP
• un réseau Frame Relay dans une topologie en étoile.
• Il n’y a pas de connectivité entre les routeurs situés sur les
rayons, la résolution d’adresse inverse ne fonctionnerait
pas entre eux.
ITE PC v4.0
Configuration du mappage statique

Cmd : (config-if)# frame-relay map protocol
adresse-protocole dlci [broadcast] [ietf] [cisco]
• Si le routeur n’est pas cisco ietf
• Si Protocole SPF ouvert (OSPF) broadcast
(simplifie considérablement la configuration)
ITE PC v4.0
Presentation_ID.scr
Interface de supervision locale (LMI)
Cisco, DEC, Northern Telecom et StrataCom
constituèrent un consortium afin d’étendre le protocole
Frame Relay LMI « interface de supervision locale ».
LMI intègre un mécanisme de test d’activité
Chaque 10 secondes, le périphérique final interroge le
réseau
• Si le réseau ne fournit pas les informations demandées la
connexion est coupée.
• Si le réseau fournit une réponse à la demande FULL
STATUS, informations d’état sur les DLCI attribués à la
ligne en question.
ITE PC v4.0
Statistique LMI
Type de LMI
ITE PC v4.0
Presentation_ID.scr
Interface LMI Vs. encapsulation
LMI = messages utilisés entre l’ETTD (R1) et le DCE.
• Entre le commutateur et son routeur
Encapsulation = en-têtes utilisés par un ETTD pour

communiquer des informations à son homologue situé
à l’autre bout d’un circuit virtuel.
• Entre les routeurs d’extrémité (ETTD). Le commutateur n’est
pas concerné par l’encapsulation.
ITE PC v4.0
Extensions LMI
Messages d’état des circuits virtuels : informations sur l’intégrité
des CV signalant périodiquement la suppression ou la création des
CVP ( éviter l’envoi de données à des trous noirs)
Multidiffusion : permet à un émetteur de transmettre une même
trame à plusieurs destinataires.
Adressage global : donne une signification globale plutôt que locale
aux identificateurs DLCI, ce qui permet de les utiliser pour désigner
une interface spécifique du réseau Frame Relay.
Contrôle de flux simple : assure un mécanisme de contrôle de flux
XON/XOFF. Cette extension concerne les périphériques dont les
couches supérieures ne peuvent pas utiliser les bits de notification
d’encombrement.
Les extensions LMI se réservent certains identificateurs DLCI
ITE PC v4.0
Presentation_ID.scr
Types d’interfaces LMI
Cisco : extension LMI d’origine ;
Ansi : norme ANSI T1.617 annexe D ;
q933a : norme ITU Q933 annexe A.
Mutuellement incompatibles !!
Détection automatique du type de LMI pris en charge par le
DCE FR depuis la version 11.2 de l’IOS
Définir le type de LMI :
(config-if)# frame-relay lmi-type [cisco | ansi | q933a]
(config-if)#keepalive …. # éviter le dépassement de temps lors
des échanges d’état entre le routeur et le commutateur
ITE PC v4.0
Format des trames LMI
Les messages LMI sont contenus dans une variante des trames LAPF.
Le champ d’adresse contient l’un des identificateurs DLCI réservés.
Il est suivi des champs de contrôle (IE non numéroté=0x3), d’indicateur
de protocole (LMI 0x8) et de référence d’appel (0x0), qui restent
inchangés.
Le quatrième champ dans la partie donnés indique le type de message
LMI (Status-inquiry message, Status message ..)
ITE PC v4.0
Presentation_ID.scr
Exemple LMI
ITE PC v4.0
Utilisation de l’interface LMI et de l’ARP

inverse pour le mappage des adresses (1/2)
Les messages d’état LMI (type de message 75 ; type de
réponse 7D) associés aux messages d’ARP inverse
permettent à un routeur d’établir la correspondance entre les
adresses de couche 3 et de couche 2.
Étape 1: savoir les CV actif
ITE PC v4.0
Presentation_ID.scr
Utilisation de l’interface LMI et de l’ARP
inverse pour le mappage des adresses (2/2)
Etape 2: connaitre les adresses réseaux (pour chaque
proto de niveau 3)
ITE PC v4.0
Configuration Frame Relay de base

Tâches requises
• Activer l’encapsulation Frame Relay sur une interface
• Configurer le mappage d’adresse dynamique ou statique
Tâches facultatives
• Configurer l’interface LMI (type)
• Configurer les circuits virtuels commutés Frame Relay
(commutation)
• Configurer le formatage du trafic Frame Relay (type)
• Personnaliser Frame Relay selon les besoins du réseau client
(bandwith, CIR, ..)
• Surveiller et maintenir les connexions Frame Relay (show..)
ITE PC v4.0
Presentation_ID.scr
Activation de l’encapsulation Frame Relay
Définition de l’adresse IP sur l’interface :
(config-if)# ip address @ mask
Config de l’encapsulation :
(config-if)# encapsulation frame-relay [cisco | ietf]
Définition de la bande passante

(config-if)# bandwidth …..
Définition du type de LMI (facultatif) :

(config-if)# frame-relay lmi-type [cisco | ansi | q933a].
Vérification : #show interfaces serial 0/0/0
ITE PC v4.0
Configuration d’un mappage statique

Frame Relay
Le mappage dynamique est réalisé par la fonction d’ARP inverse
(activé par défaut)
Le mappage statique s’effectue manuellement sur un routeur
• frame-relay map protocole adresse-protocole dlci [broadcast]
Les réseaux Frame Relay, ATM et X.25 sont des réseaux à accès
multiple sans diffusion (NBMA)
Certains protocoles de routage (RIP, EIGRP et OSPF) requérir des
options de configurations supplémentaires pour leur prise en charge
sur des réseaux NBMA.
Le mot clé broadcast permet la diffusion et la multidiffusion sur le
circuit virtuel permanent. En réalité, il est converti en monodiffusion de
sorte que les autres nœuds reçoivent les mises à jour du routage.
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration
Configuration R1
ITE PC v4.0
Concepts avancés du protocole FR

Résolution des problèmes d’accessibilité
• Problème du découpage d’horizon
• Sous-interfaces Frame Relay
Paiement de Frame Relay

Contrôle de flux Frame Relay
ITE PC v4.0
Presentation_ID.scr
Diffusion dans FR
Un réseau FR fournit une connectivité de type NBMA
Les nuages NBMA présentent généralement une
topologie en étoile (« Hub and Spoke »).
Sur un routeur, de nombreux circuits virtuels
permanents aboutissent à une seule interface
R1 doit répliquer les paquets de diffusion, tels que les
mises à jour du routage, sur chaque circuit virtuel
permanent, pour atteindre les routeurs distants
consommation BP et latence
ITE PC v4.0
Problème du découpage d’horizon
La règle de découpage d’horizon empêche donc R1 de réacheminer les

mises à jour du routage par la même interface physique
Sol 1 : Désactiver Split Horizon. (-) augmente le risque de boucles de
routage dans le réseau (possible si un seul CVP par interface physique).
(-) désactivation possible sur RX IP mais pas sur IPX et Apple Talk.
Sol2 : utiliser une topologie à maillage global. En revanche, cette solution
est coûteuse
ITE PC v4.0
Presentation_ID.scr
Sous-interfaces Frame Relay
FR peut partitionner une interface physique en
plusieurs interfaces virtuelles appelées sous-interfaces
il est possible de configurer une sous-interface FR
pour chaque CVP connecté à une interface physique
série
2 modes possibles
• Point à point
• Multipoint
ITE PC v4.0
Sous interface FR en mode point à point

Une sous interface FR établit une connexion par CVP à
une interface physique ou à une sous-interface d’un
routeur distant.
Dans une topologie Hub and Spoke
• Les sous interfaces agissent comme des lignes louées
• Chaque sous interface point à point nécessite son propre rx
le trafic des mises à jour du routage n’est pas

soumis à la règle du découpage d’horizon.
ITE PC v4.0
Presentation_ID.scr
Sous interface FR en mode multipoint
Une seule sous-interface établit plusieurs connexions
de CVP à plusieurs interfaces physiques ou sous-
interfaces sur des routeurs distants.
Les Sous-interfaces multipoint dans des topologies à
maillage partiel et global :
• Les sous-interfaces agissent en tant que réseaux NBMA, elles
ne résolvent donc pas le problème de découpage d’horizon.
• Elles économisent l’espace d’adressage, car elles n’utilisent
qu’un seul sous-réseau.
ITE PC v4.0
Vitesse de ligne dans de Frame Relay

Les FS créent des réseaux FR à l’aide de commutateurs très
puissants et de très grande taille
• Du point de vue du client, FR ne constitue alors qu’une interface avec un ou
plusieurs circuits virtuels permanents
Généralement le cœur du réseau est élaboré à l’aide de technologies

à grand débit (T1, T3, SONET ou ATM)
Terminologies
• Débit d’accès ou vitesse de port : débit auquel les circuits accèdent au
réseau FR (56 Kbits/s, 1,536 Mbits/s (T1) ou d’un multiple de 56 ou 64 Kbits/s
(T1 fractionnée)).
• La vitesse de la ligne est assujettie au débit d’accès ou à la vitesse du port
• Débit de données garanti (CIR ou Committed Information Rate) : (=Débit
dans la boucle locale garanti par le fournisseur de services) : Toutes les
trames reçues à un débit égal ou inférieur au CIR sont acceptées.
ITE PC v4.0
Presentation_ID.scr
Paiement de Frame Relay
3 éléments définissent le coût FR pour un abonnée:
• Débit d’accès ou vitesse du port : coût de la liaison d’accès de l’ETTD au
DCE (entre client et fournisseur de services). Le coût de cette liaison est
facturé en fonction de la vitesse de port négociée et installée.
• Circuit virtuel permanent
• Débit de données garanti (CIR)
Gros avantage de FR : partager entre clients la capacité inutilisée du

réseau, en général sans coût supplémentaire les clients peuvent
ainsi bénéficier de « rafales » supérieures à leur CIR
~Surréservation : Les FS vendent parfois plus de BP qu’ils n’en
disposent, en supposant que les clients n’utilisent pas en
permanence toute la BP ( causer de l’encombrement ou l’abandon
de trafic)
ITE PC v4.0
Exemple de Paiement de Frame Relay
ITE PC v4.0
Presentation_ID.scr
Rafales de FR
Les trames dans les limites du CIR négocié ne sont pas sujettes à
l’abandon (DE = 0).
La transmission en rafale permet à des périphériques d’emprunter,
sans frais supplémentaire, de la BP à d’autres qui n’en ont pas
besoin temporairement (mais DE=1)
Terminologies
• Débit garanti en rafale (CBIR ou Committed Burst Information Rate) :
débit négocié en plus du CIR pour transmettre de courtes rafales (moins
de 3 à 4s).
• Débit garanti en excès (Be ou Excess Burst) : BP disponible au-dessus
du CBIR jusqu’au débit d’accès de la liaison.
• Ce surplus de débit n’est pas négocié.
• Des trames peuvent être transmises mais très probablement
abandonnées.
ITE PC v4.0
ITE PC v4.0
Presentation_ID.scr
Rafales de FR
ITE PC v4.0
Rafales de FR
ITE PC v4.0
Presentation_ID.scr
Utilisation du bit DE
Le commutateur FR du FS applique les règles logiques
selon que le CIR est dépassé ou non pendant les
périodes d’encombrement:
• si la trame entrante ne dépasse pas le CIR, la trame passe ;
• si une trame entrante dépasse le CIR, son bit DE est fixé à 1
• si une trame entrante dépasse le CBIR, elle est abandonnée.
Champ adresse
ITE PC v4.0
Contrôle de flux Frame Relay

FR réduit la charge de contrôle du réseau par la mise en œuvre de
mécanismes de notification d’encombrement simples plutôt qu’un
contrôle de flux explicite par CV.
• notification explicite d’encombrement au destinataire (FECN)
• notification explicite d’encombrement à la source (BECN).
Les ETTD qui reçoivent des trames avec des bits ECN sont censés
réduire le flux de trames.
Si l’encombrement se produit sur une agrégation interne, les ETTD
peuvent recevoir une notification, même s’ils ne sont pas à l’origine de
l’encombrement.
Même les périphériques ETTD peuvent fixer la valeur du bit DE à 1
pour indiquer qu’une trame a moins d’importance que les autres
trames.
ITE PC v4.0
Presentation_ID.scr
Configuration de sous-interfaces FR
Les sous-interfaces apportent une solution aux limitations
des réseaux FR en permettant de subdiviser un réseau à
maillage partiel en un certain nombre de sous-réseaux à
maillage global plus petits.
Exemple:
• R1(config-if)#interface serial 0/0/0.num [point-to-point | multipoint]
• R1(config-subif)#frame-relay interface-dlci 103
Rq:
• Il est nécessaire parfois d’enregistrer la configuration et de
recharger le routeur pour avoir le résultat attendu !
Rq:
• Avec le protocole IP, les sous-interfaces point à point peuvent
être utilisées sans numéro, ce qui réduit la charge d’adressage
(cmd: ip unnumbered ….)
ITE PC v4.0
Etapes de configuration
Étape 1. Supprimez l’adresse de couche réseau attribuée à l’interface
physique.
• Si cette dernière comporte une adresse, les sous-interfaces ne reçoivent pas de trames.
Étape 2. Configurez l’encapsulation Frame Relay sur l’interface physique au

moyen de la commande encapsulation frame-relay
Étape 3. Pour chacun des circuits virtuels permanents définis, créez une
sous-interface logique. Indiquez le numéro de port, suivi d’un point (.) et du
numéro de sous-interface (utiliser l’identificateur DLCI comme numéro de sous-
interface)
Étape 4. Configurez une adresse IP pour l’interface et définissez la bande
passante.
Étape 5. Configurez le DLCI local de la sous-interface à l’aide de la
commande frame-relay interface-dlci.
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration
ITE PC v4.0
Vérification du fonctionnement de FR (1/4)
Afficher le mode d’encapsulation, ainsi que des

informations d’état utiles sur les couches 1 et 2 (type de
LMI ; DLCI LMI; ETTD/DCE Frame Relay.
show interfaces
ITE PC v4.0
Presentation_ID.scr
Examiner certaines statistiques (recherchez les
éléments « Invalid » différents de zéro trouver les
problème de communication FR)
• show frame-relay lmi
ITE PC v4.0

Afficher les statistiques du trafic et du CVP
• show frame-relay pvc [interface interface] [dlci]
Rq: pour réinitialiser les compteurs et découvrir de

nouveau les erreurs
• clear counters
ITE PC v4.0
Presentation_ID.scr
Vérifier que la cmd "frame-relay inverse-arp" a résolu
des @ IP distante en un DLCI local Afficher les
entrées de mappage actuelles ainsi que des
informations sur les connexions
• show frame-relay map Val. du champ Diffusion est
100=0x64 adresse activée sur CVP
CVP active
Rq: activer inverse-arp:

(config-if)#frame-relay inverse-arp
ITE PC v4.0
Dépannage de configuration Frame Relay

But: déterminer si le routeur et le commutateur FR envoient et reçoivent
correctement les paquets LMI
Cmd: debug frame-relay lmi Msg LMI envoyés (out) Status enquery
et réçus (in) au routeur.
RT Report Type info Elt
KA Keepalive Info Elt
Type 1= Échange LMI

Type 0 = msg état complet LMI
ITE PC v4.0
Presentation_ID.scr
Dépannage de configuration Frame Relay
Les messages d’états LMI dans IE de type 0
Lorsqu’une ARP inverse est demandée, le routeur met à jour sa
table de mappage en utilisant 3 états de connexion LMI possibles
(voir #show frame-relay map)
• « ACTIVE » le circuit fonctionne de bout en bout (entre 2 ETTD)
• « INACTIVE » connexion au commutateur sans qu’un ETTD distant ait été détecté à l’autre
extrémité
• « DELETED » l’ETTD est configuré pour un DLCI non valide pour cette interface.
Les valeurs possibles du champ d’état

• 0x0 : un DLCI a été programmé, mais qu’il n’est pas utilisable.
• 0x2 : le commutateur FR dispose du DLCI et que tout est opérationnel.
• 0x4 : le commutateur FR n’a programmé aucun DLCI pour le routeur, mais qu’il en a existé
un dans le passé.
ITE PC v4.0
Configuration d’un switch FR

Comm-FR(config)#interface serial 0/0/0
Comm-FR(config)#clock rate 64000
Comm-FR(config-if)#encapsulation frame-relay
Comm-FR(config-if)#frame-relay intf-type dce
Comm-FR(config-if)#frame-
relay route 102 interface serial 0/0/1 201
Comm-FR(config-if)#no shutdown
ITE PC v4.0
Presentation_ID.scr
Summary
Frame relay is the most widely used WAN technology
because it:
–Provides greater bandwidth than leased line
–Reduces cost because it uses less equipment
–Easy to implement
Frame relay is associated with layer 2 of the OSI model
and encapsulates data packets in a frame relay frame
Frame relay is configured on virtual circuits
–These virtual circuits may be identified by a DLCI
Frame relay uses inverse ARP to map DLCI to IP
addresses
ITE PC v4.0
Summary
Configuring frame relay requires
–Enable frame relay encapsulation
–Configuring either static or dynamic mapping
–Considering split horizon problems that develop when multiple
VCs are placed on a single physical interface
Factor affecting frame relay configuration
–How service provider has their charging scheme set up
Frame relay flow control
–DE
–FECN
–BECN
ITE PC v4.0
Presentation_ID.scr
Summary
The following commands can be used to help verify
frame relay configuration
–Show interfaces
–Show frame-relay lmi
–Show frame-relay pvc ###
–Show frame-relay map
Use the following command to help troubleshoot a

frame relay configuration
–Debug frame-relay lmi
ITE PC v4.0
Accès au réseau
étendu
Chapitre 4: Sécurité du réseau
ITE PC v4.0
Presentation_ID.scr
Objectifs
Identifier les menaces de sécurité dans les réseaux des
entreprises ;
Décrire les méthodes permettant de faire face aux menaces
de sécurité dans ces réseaux ;
Configurer la sécurité de base d’un routeur ;
Désactiver les interfaces et les services non utilisés du
routeur ;
Utiliser la fonction de verrouillage de Cisco SDM ;
Gérer des fichiers et des images logicielles à l’aide du
système de fichier intégré (IFS) de Cisco IOS.
ITE PC v4.0
Nécessité de la sécurité des réseaux

Conséquences graves si la sécurité d’un réseau est
compromise,
• Atteinte à la vie privée,
• Vol d’informations
• Engagement de la responsabilité civile.
Problème de plus en plus difficile car

• Evolution constante des types de menaces potentielles
• Ouverture des réseaux due à la croissance des applications
Internet et le commerce électronique
• Demande des solutions de sécurité intégrées plus
transparentes et plus flexibles.
ITE PC v4.0
Presentation_ID.scr
Types d’attaquant
Fouineur (white hat) : découvrir les vulnérabilités sans usage
abusif)
Bidouilleur (hacker) : expert en programmation ; accéder aux
ressources de manière non autorisée avec mal intension
Pirate (black hat) : profiter des connaissances des SI pour accéder
d’une manière non autorisé dans un but personnel ou lucratif
Pirate informatique (cracker) : =black hat
Pirate téléphonique (phreaker)
Spammeur : envoyer des mails non sollicités et en masse
Hameçonneur (phisher) : se baser sur le mail ou web au autre
pour tromper des utilisateurs et voler des données sensibles
ITE PC v4.0
Scénario d’attaque
1. Analyse d’empreinte (reconnaissance).
2. Enumération des informations.
3. Manipulation des utilisateurs pour obtenir un accès.
4. Escalade des privilèges.
5. Collecte d’autres mots de passe et secrets.
6. Installation de portes dérobées.
7. Exploitation du système compromis
ITE PC v4.0
Presentation_ID.scr
Types de délits informatiques
Accès abusif au réseau par des Accès abusif à un réseau sans fil
personnes autorisées
Intrusion dans un système
Virus
Fraude financière
Vol d’équipement mobile
Interception de mots de passe
Hameçonnage où une organisation est
usurpée par l’expéditeur Enregistrement des frappes
Abus de messagerie instantanée Dégradation d’un site Web
Déni de service Abus d’une application Web publique

Accès non autorisé à des informations Vol d’informations propriétaires
Robots au sein de l’organisation Exploitation du serveur DNS d’une organisation
Vol de données des clients ou des Fraude aux télécommunications
employés
Sabotage
ITE PC v4.0
Réseau ouvert/restrictif/fermé
Réseau ouvert : Réseau restrictif : Réseau fermé :
•Plus difficile à • Pas de connexion à des
•Facile à configurer
configurer et à réseaux publics.
et à gérer •Pas de menaces
gérer
•Accès facile des externes (les menaces
•Accès plus difficile
utilisateurs finaux internes sont possibles)
des utilisateurs
aux ressources du •Le plus difficile à
finaux aux
réseau configurer et à gérer
ressources du
•Accès le plus difficile
•Frais de réseau
aux ressources du
sécurisation les •Frais de
réseau pour les
moins élevés sécurisation plus
utilisateurs finaux
élevés
•Frais de sécurisation les
plus élevés
Défi de sécurité globale: trouver un équilibre

ITE PC v4.0
Presentation_ID.scr
Développement d’une stratégie (politique)
de sécurité
Constitue la première étape qu’une organisation doit entreprendre
« une stratégie de sécurité est une déclaration formelle des règles
qui doivent être respectées par les personnes qui ont accès aux
ressources technologiques et aux données vitales de l’entreprise »
RFC 2196
Une stratégie de sécurité vise les buts suivants :
• informer les utilisateurs, le personnel et les responsables de leur
obligation de protéger les données vitales et les ressources
technologiques de l’entreprise ;
• spécifier les mécanismes permettant de respecter ces exigences ;
• fournir une base de référence à partir de laquelle acquérir, configurer et
auditer les systèmes informatiques pour qu’ils soient conformes à la
stratégie.
ITE PC v4.0
Norme ISO/CEI 27002

Base commune et de ligne directrice pratique pour
élaborer les référentiels de sécurité de l’organisation et
les pratiques efficaces de gestion de la sécurité.
Comprend 12 sections : 7. Gestion opérationnelle et
1. Évaluation des risques gestion des communications
2. Stratégie de sécurité 8. Contrôle d’accès
3. Organisation de la sécurité 9. Acquisition, développement
des informations et maintenance des
4. Gestion des biens systèmes d’information
5. Sécurité liée aux ressources 10.Gestion des incidents liés à
humaines la sécurité des informations
6. Sécurité physique et 11.Gestion de la continuité de
environnementale l’activité
ITE PC v4.0
12.Conformité
Presentation_ID.scr
Vulnérabilités
= Degré de faiblesse inhérent à tout réseau ou
périphérique
• Faiblesses technologiques
• Faiblesses de configuration
• Faiblesses dans la stratégie de sécurité
Les menaces viennent d’individus compétents

intéressés par l’exploitation des faiblesses de sécurité.
ITE PC v4.0
Faiblesses technologiques
Vulnérabilité du protocole TCP/IP
• FTP, HTTP, ICMP, SNMP et SMTP non sécurisés
• TCP est vulnérable (SYN Flood, détournement,..)
Vulnérabilité des systèmes d’exploitation
• Les OS présentent des failles, corrigées par des correctifs
• Problèmes annoncés par CERT
Vulnérabilité des équipements réseau
• Manque de protection des mdp,
• Manque d’authentification,
• Failles des protocoles de routage
• Ouvertures dans les fw
ITE PC v4.0
Presentation_ID.scr
Faiblesses de configuration
Comptes utilisateurs non sécurisés
• Transmission en clair des mdp
Comptes système avec mots de passe faciles à deviner
Services Internet mal configurés
• Autorisation des scripts, qui peuvent être malveillants
Paramètres par défaut non sécurisés dans les produits
logiciels
Équipement réseau mal configuré
• ACL mal écrite, communauté par défaut SNMP, protocole de
routage non sécurisé
ITE PC v4.0
Faiblesses dans la stratégie de sécurité

Absence de stratégie de sécurité écrite
Politique incohérente
Manque de continuité
Contrôle des accès logiques non appliqué
Installation de logiciels et de matériels et modifications
non conformes à la stratégie de sécurité
Absence d’un plan de reprise après sinistre
ITE PC v4.0
Presentation_ID.scr
Menaces pour l’infrastructure physique
4 catégories :
• Menaces matérielles entraînant des dommages physiques
aux équipements
• Menaces environnementales dues aux variations extrêmes de
la température ou du taux d’humidité.
• Menaces électriques provenant d’une absence, baisse ou
une pointe de tension et d’une alimentation non filtrée (bruit)
• Menaces de maintenance au manque de pièces de rechange
critiques, à un mauvais câblage et à un mauvais étiquetage.
ITE PC v4.0
Solutions aux menaces

Limiter les menaces matérielles Limiter les menaces électriques
• Fermer à clé • Onduleur (UPS)
• Surveillance électronique • Installation de groupes de secours
• Caméras de surveillance • Plan de maintenance préventive
Limiter les menaces • Alimentation redondante
environnementales • Système de surveillance et d'alarme à
• Régulation de la température distance
• Régulation du taux Limiter les menaces de maintenance :
d'humidité • Chemins de câblage bien nets
• Flux d'air dirigé vers • Etiquetage des câbles
l'extérieur
• stock de pièces de rechange critiques
• Système de surveillance,
d'enregistrement et d'alarme • contrôle des accès aux ports de console
à distance
ITE PC v4.0
Presentation_ID.scr
Menaces envers les réseaux
Menaces non organisées (non structurées)
• Individus inexpérimentés qui utilisent des outils de piratage à emploi facile
Menaces organisées (structurées)
•Individus isolés ou en groupes, motivés et techniquement compétents.
•Souvent impliqués dans des cas de fraude ou de vol signalés
•Utilisent des technique de piratage très complexe (il faut des enquêteurs
très spécialisés)
Menaces externes :
Individus ou organisations agissant depuis l’extérieur d’une entreprise
Tentent de pénétrer dans un réseau à partir d’Internet ou de serveurs
d’accès commuté.
Gravité variables selon que l’assaillant est un amateur ou expert
Menaces internes
ITE PC v4.0
Piratage psychologique (Social Engineering)
Un intrus tente de tromper un membre de l’organisation

But: obtenir des informations précieuses
• Emplacement des fichiers
• Mots de passe
• etc.
Le hameçonnage (phishing) est un type de piratage

psychologique
• emploie un courriel ou d’autres types de messages
• tenter d’obtenir par la ruse des informations confidentielles
ITE PC v4.0
Presentation_ID.scr
Types d’attaques d’un réseau
4 catégories principales:
• Reconnaissance :
• OS, adresses, services, vulnérabilités, etc.
• Gain d’accès :
• via un moyen de piratage, un script ou un outil exploitant une
vulnérabilité connue de l’OS et des applications
• Déni de services :
• désactiver ou altérer un réseau, des systèmes ou des services
• Logiciels malveillants :
• Des vers, virus et chevaux de Troie pour endommager ou altérer un
système, se reproduire ou empêcher l’accès à des réseaux, systèmes
ou services
ITE PC v4.0
Attaques de reconnaissance
Plusieurs formes:
• Demandes d’informations Internet (nslookup et whois),
Balayages ping, Balayages de ports, Analyseurs de paquets
(écoute électronique)
Buts : collecte d’informations, vol de données

Parades:
• Utilisation de commutateurs au lieu de concentrateurs
• Utilisation d’une méthode de chiffrement
• Établissement et mise en application de directives qui
interdisent l’utilisation de protocoles susceptibles d’écoute
électronique.
ITE PC v4.0
Presentation_ID.scr
Attaques d’accès (AA)
exploitent des vulnérabilités connues dans les services
d’authentification, les services FTP et les services Web
Diverses formes:
• Attaque de mot de passe,
• Exploitation de confiance,
• redirection de port,
• l’homme du milieu
ITE PC v4.0
Attaque de mot de passe (AA)

Méthodes
• attaques en force ou attaques par dictionnaire
• outils: L0phtCrack ou Cain & Abel
• technique de l’arc-en-ciel : variations successives de mdps possibles
• Rq: une attaque en force peut aussi s’effectuer hors ligne
• programmes de type cheval de Troie
• analyseurs de paquets
Parades
• définir des mots de passe complexes et longs
• limiter les échecs de connexion.
ITE PC v4.0
Presentation_ID.scr
Attaque par exploitation de confiance (AA)
Exemple de scénario
• Un hôte interne protégé par un pare-feu partage une relation
de confiance avec un autre hôte externe
Exploitation de l’hôte externe puis de la relation de confiance
pour accéder à l’hôte interne
Parades:
• Déployer des VLAN privés dans des segments de services
publics comportant plusieurs serveurs publics.
• Limiter la confiance à des protocoles spécifiques
• Se baser sur une authentification par des éléments autres que
l’adresse IP.
ITE PC v4.0
VLAN privé (private VLAN)
Configuration de réseau informatique où certains ports

des commutateurs sur lesquels sont définis des VLAN
sont restreints.
En général, on ne leur permet de communiquer qu'avec
un certain « lien ascendant » (uplink).
les ordinateurs membres d'un VLAN ne peuvent pas
forcément communiquer entre eux.
ITE PC v4.0
Presentation_ID.scr
Principe des VLAN privés
Un VLAN privé est un VLAN primaire découpé en plusieurs VLAN
secondaires.
VLAN primaire : VLAN d'origine, utilisé pour envoyer les trames
« descendantes » vers tous les VLAN secondaires.
VLAN secondaires : possèdent un numéro de VLAN et peuvent être
• Isolé:
• les ports du VLAN isolé peuvent atteindre le VLAN primaire, mais aucun
autre VLAN secondaire.
• les hôtes du même VLAN isolé ne peuvent pas communiquer entre eux.
• Il n'est possible d'avoir qu'un seul VLAN isolé au sein d'un VLAN privé.
• Communauté :
• les ports d'un même VLAN communautaire peuvent communiquer entre eux
et avec le VLAN primaire.
• Ils ne peuvent pas communiquer avec d'autres VLAN secondaires.
• Il peut y avoir plusieurs VLAN communautaires au sein d'un VLAN privé.
ITE PC v4.0
Types de ports dans le VLAN privé
Port en mode de promiscuité (P) : c'est le port du

commutateur qui est branché au routeur, pare-feu, etc.
Ce port peut communiquer avec tout ce qui fait partie
du VLAN primaire ou d'un des VLAN secondaires. En
d'autres termes, il peut envoyer et recevoir des
données depuis n'importe quel autre port du VLAN.
Port isolé (I) : port qui ne peut communiquer qu'avec
les ports P.
Port communautaire (C): communique avec les ports P
et les ports de la même communauté.
ITE PC v4.0
Presentation_ID.scr
ITE PC v4.0
Autres technologies VLAN : mux vlan
MUX VLAN
• similaire à un Cisco VLAN privé,
• fournit une isolation du trafic de la couche entre des ports de
VLAN.
• Types de ports: Subordinate separate port (isolated port),
Subordinate group port (community port) et MUX VLAN port
(promiscuous port).
ITE PC v4.0
Presentation_ID.scr
Mux vlan
Host A can ping Host B and Host C; Host
B and Host C can also ping Host A.
Host A can ping Host D and Host E; Host
D and Host E can also ping Host A.
Host B and Host C can ping each other.
Host D and Host E cannot ping each
other.
Host B and Host C are isolated from Host
D and Host E, that is, they cannot ping
each other.
ITE PC v4.0
Autres technologies VLAN : Super-VLAN
Super-VLAN
• VLAN aggregation is also known as super-VLAN.
• A super-VLAN contains multiple sub-VLANs.
• Each sub-VLAN is a broadcast domain. Sub-VLANs are
separated in Layer 2.
• Layer 3 interfaces can be configured in a-super VLAN, but
cannot be configured in a sub-VLAN.
• When a user in a sub-VLAN needs to communicate at Layer 3,
the IP address of a Layer 3 interface in the super-VLAN is
used as the gateway IP address.
• Multiple sub-VLANs share one IP network segment, saving IP
addresses.
ITE PC v4.0
Presentation_ID.scr
Super-VLAN
Interface 1 of the switch connects to
Host1, Interface 2 to Host2, Interface
3 to Host3, and Interface 4 to Host4.
Host1 and Host2 belong to sub-VLAN
2.
Host3 and Host4 belong to sub-VLAN
3.
Sub-VLAN 2 and sub-VLAN 3 belong
to super-VLAN 4.
The default gateway IP address of
Host1 to Host4 is 100.1.1.1.
Proxy ARP enables VLAN 2 to
communicate with VLAN 3 through
Layer 3.
ITE PC v4.0
Autres technologies VLAN : QinQ

QinQ, also known as stacking VLAN, is standardized by IEEE
802.1ad.
QinQ encapsulates the VLAN tag of a private network in the VLAN
tag of the public network.
The frame travels across the backbone network (public network) of
a carrier with double VLAN tags.
Packets are forwarded based on their outer VLAN tags on the public
network.
Inner VLAN tags of packets are transmitted as data on the public
network.
The QinQ is a flexible and easy-to-implement Layer 2 VPN
technique, which is an extension to Multi-Protocol Label Switching
(MPLS) VPN on the core network.
QinQ can be used with MPLS VPN to form an end-to-end VPN
solution.
ITE PC v4.0
Presentation_ID.scr
QinQ encapsulation
ITE PC v4.0
QinQ 1.Switch LS-1 receives a frame with VLAN IDs of

10 and 20 and sends the frame to switch LS-2.
2.After receiving the frame, LS-2 adds an outer

tag with VLAN 100.
3.The frame carrying double tags is forwarded

on the network based on the Layer 2
forwarding process.
4.After receiving the frame from VLAN 100,

switch LS-3 strips off the outer VLAN tag with
VLAN 100. LS-3 sends the frame to switch LS-
4. The frame has only one tag with VLAN 10 or
20.
5.After receiving the frame, LS-4 forwards the

frame based on the VLAN ID and destination
ITE PC v4.0
MAC address.
Presentation_ID.scr
Attaque par redirection de port (AA)
Variante de l’exploitation de confiance
Se baser sur un hôte compromis (dans DMZ) pour faire
passer, au travers d’un pare-feu, un trafic qui serait
normalement bloqué.
Parades
• Modèles de confiance
appropriés
• IDS pour
surveiller/empêcher des
utilitaires de redirection sur
le DMZ
ITE PC v4.0
Attaque de l’homme du milieu (MITM) (AA)

Un pirate qui s’arrange pour se placer entre deux hôtes
légitimes.
1. La victime demande une
page Web à une faux
serveur
2. L’assaillant reçoit la
demande et récupère la page
du site légitime.
3. L’assaillant peut altérer la
page légitime et transformer
à sa guise ses données
4. L’assaillant envoie la page
demandée à la victime.
Parades:
•VPN sur un Wan
•Sécurité des ports dans un LAN (l’attaque se fait par ARP poisonning)
ITE PC v4.0
Presentation_ID.scr
Attaques DoS
Empêcher l’utilisation d’un service par les personnes autorisées en
épuisant les ressources du système.
Diverses formes
• Surcharge des ressources
• Espace disque, bande passante, tampons, …
• Inondation de paquets ping (Smurf)
• Inondation de paquets (bombe UDP – eg: attaque Fraggle=echo-chargen)
• Données mal formées
• Paquets surdimensionnés (ping fatal ou ping of death)
• Chevauchement de paquets (WinNuke= tcp/139 + URG)
• Données non traitées (Teardrop) (teardrop1 : fragment contenu dans un
autre, Teardrop2 : taille de fragment différente de la taille indiquée)
• Bombe de courrier
• Applet hostile:
• code Java, JavaScript ou ActiveX qui détruit ou monopolise les ressources
ITE PC v4.0
Attaques Ddos
DDoS comprend en général 3 éléments

• client (master): lance l’attaque.
• « gestionnaire » (handlers): exécute le programme de
l’assaillant et commande plusieurs « agents ».
• Agents (zombies) : exécutent le programme de l’assaillant et
génèrent un flux de paquets dirigé vers la victime.
Exemples d’attaque DDoS :

• SMURF, Tribe flood network (TFN), Stacheldraht, MyDoom.
ITE PC v4.0
Presentation_ID.scr
Attaques de programmes malveillants
Diverses formes :
• Ver : exécute un code et se reproduit seul dans la mémoire de
l’ordinateur infecté ( infecter rapidement d’autres machines)
• Virus : code malveillant intégré dans un autre programme afin
d’exécuter des fonctions indésirables sur l’ordinateur
• Cheval de Troie : ressemble à une application normale, alors
qu’il s’agit d’un instrument d’attaque.
ITE PC v4.0
Vers
Programmes autonomes qui attaquent un système en tentant
d’exploiter une vulnérabilité spécifique
Phases d’attaque
• Exploitation de la vulnérabilité : un ver s’installe en exploitant les
vulnérabilités,
• Propagation : le ver s’y reproduit, et sélectionne d’autres cibles.
• Charge : une fois l’hôte infecté, l’assaillant peut y accéder. Il peut exploiter
une faille locale pour augmenter son privilège.
Solutions:
• Confinement : limiter la diffusion du ver
• Inoculation : chercher les machines vulnérables et appliquer les correctifs
• Quarantaine: Déconnectez ou bloquez les machines infectées du réseau
• Traitement : nettoyez tous les systèmes infectés
ITE PC v4.0
Presentation_ID.scr
Virus et chevaux de Troie
Virus :
• Logiciel malveillant intégré à un autre programme pour exécuter
des fonctions indésirables.
• Nécessite un mécanisme de livraison (vecteur de transmission),
comme un fichier zip ou exécutable joint à un courriel, pour
transmettre son code
• Se distingue fondamentalement du ver par le fait qu’une
interaction humaine est nécessaire pour le propager.
Cheval de Troie :
• Logiciel conçu pour ressembler à une application normale, alors
qu’il s’agit d’un instrument d’attaque.
Solution : Anti-virus
ITE PC v4.0
Techniques générales d’atténuation des risques
Sécurité basée sur les hôtes et les serveurs

Détection des intrusions et méthodes de prévention
Appareils et applications de sécurité courants
ITE PC v4.0
Presentation_ID.scr
Sécurité basée sur les hôtes et les serveurs
Durcissement des périphériques
• Enlever les comptes par défaut, désactivation des services inutiles, restreindre
l’accès aux ressources aux personnes autorisées, etc.
Logiciel antivirus
• Détection par signature, surveillance des processus suspects (saisie de
données, appels systèmes, ports)
Pare-feu personnel
• Surveillance de la connexion internet par RTC, DSL, câble…
Correctifs du système d’exploitation

• Peut s’effectuer depuis un le fournisseur de l’OS, de l’application ou à partir d’un
serveur spécial pour les mises à jour
• Mise à jour plus complexe pour les systèmes connectés à distance (VPN, RAS)
• Supplémenter par des outils d’audit pour chercher les vulnérabilités
ITE PC v4.0
Détection des intrusions et méthodes de

prévention
IDS: détecte les attaques contre un réseau et envoie des données de
journalisation à une console de gestion
IPS: empêche les attaques contre le réseau. En plus de la détection, il
est doté de
• Un mécanisme de prévention pour empêcher l’exécution de l’attaque
détectée.
• Un mécanisme de réaction pour immuniser le système contre les attaques
ultérieures provenant d’une source malveillante.
IDS et IPS agissent au niveau réseau ou hôte (sous catég.

application)
Cisco dispose de :
• Cisco IPS 4240, 4255 et 4260 et des modules IDSM, AIM, NME NIPS
• Cisco security agent HIPS (doit être installé sur plusieurs hôtes),
protection contre attaques ciblées, Spyware, Rootkit et attaques « jour zéro ».
ITE PC v4.0
Presentation_ID.scr
Appareils et applications de sécurité courants
Un FW n’est désormais plus suffisant pour sécuriser un réseau
adopter une approche intégrant pare-feu, prévention contre les
intrusions et réseau privé virtuel.
Une approche intégrée comprend en général:
• Contrôle de menaces: régule les accès au réseau, isole les systèmes
infectés, empêche les intrusions et protège les biens
• Sécurisation des communications: VPN
• Contrôle d’accès au réseau (NAC)
Périphériques Cisco
• Routeurs Cisco à services intégrés (ISR), Cisco ASA (Adaptive Security
Appliance ) 55xx, IPS 42xx, Cisco NAC, Agent de sécurité Cisco (CSA)
• ASA = FW + sécurité VoIP + SSL + VPN ipsec + IPS + sécurité

du contenu
ITE PC v4.0
Roue de la sécurité des réseaux

Le processus de cette roue de la sécurité
commence par le développement d’une
stratégie qui permet l’application de mesures
de sécurité.
Une stratégie de sécurité comprend les
objectifs suivants :
•identifier les objectifs de sécurité de l’entreprise ;
•documenter les ressources à protéger ;
•identifier l’infrastructure réseau par des schémas et
des inventaires à jour ;
•identifier les ressources vitales qui doivent être
protégées
ITE PC v4.0
Presentation_ID.scr
Étapes de la roue de sécurité
1. Mise en œuvre des solutions suivantes : 3. Test
• Protection contre les menaces • Tester de manière
• Inspection dynamique et filtrage des paquets proactive les mesures
de sécurité.
• Systèmes de prévention contre les intrusions
• Vérification les
• Correction des vulnérabilités solutions de des
• Désactivation des services inutiles étapes 1 & 2
(sécurisation, audit,
• Sécurisation de la connectivité : VPN, détection d’intrusion)
confiance et identité, authentification,
Respect de la stratégie de sécurité • Outils : SATAN,
Nessus ou Nmap
2. Surveillance
4. Amélioration
• Passive : IDS nécessite moins de
présence que les méthodes actives • Analyse des données
collectées pendant les
• Active : audit des fichiers journaux des hôtes phases de
surveillance et de test
ITE PC v4.0
Stratégie de sécurité de l’entreprise

Def: Une stratégie de sécurité est une déclaration formelle des
règles qui doivent être respectées par les personnes qui ont accès
aux ressources technologiques et aux données vitales de
l’entreprise (RFC 2196)
Avantages
• Fournir les moyens d’auditer la sécurité et comparer l’existant aux
exigences
• Planifier des améliorations de sécurité
• Définir les rôles et responsabilités (cadres, administrateurs, utilisateurs..)
• Définir les comportements autorisés et ceux qui ne le sont pas (AUP)
• Définir une procédure de traitement des incidents de sécurité (PRA, PCA)
• Mise en œuvre et application d’une sécurité globale en tant que norme
• Base d’actions en justice lorsque cela s’avère nécessaire.
ITE PC v4.0
Presentation_ID.scr
Fonctions d’une stratégie de sécurité
Protéger les personnes et les informations.
Définir les règles de comportement des utilisateurs, des
administrateurs système, de la direction et du
personnel de sécurité.
Autoriser le personnel de sécurité à surveiller et à
effectuer des sondages et des enquêtes.
Définir les conséquences des violations et les applique.
ITE PC v4.0
Éléments d’une stratégie de sécurité

Fournis par SANS en coopération d’autres entreprises
(Cisco, …)
• Déclaration d’autorité et de portée
• Règles de bon usage
• Stratégie d’identification et d’authentification
• Stratégie d’accès Internet
• Stratégie d’accès interne
• Stratégie d’accès à distance
• Procédure de gestion des incidents.
ITE PC v4.0
Presentation_ID.scr
Autres éléments d’une stratégies de sécurité
Stratégie de demande d’accès et de Mail

compte • Stratégie d’envoi automatisé
Stratégie d’évaluation des acquisitions • Stratégie de messagerie
électronique
Stratégie d’audit • Stratégie sur le courrier indésirable
Stratégie sur les informations Accès à distance
confidentielles • Stratégie d’accès des appels
Stratégie relative aux mots de passe entrants
• Stratégie d’accès à distance
Stratégie d’évaluation des risques
• Stratégie de sécurité des réseaux
Stratégie globale sur les serveurs privés virtuels
Web
ITE PC v4.0
Problèmes de sécurité des routeurs

Les routeurs sont des cibles potentielles d’attaque car :
• Ils annoncent les réseaux
• Ils fournissent des accès aux segments de réseau.
Problèmes de sécurité rencontrés sur un routeur:
• contrôle d’accès compromis révéler et modifier la configuration
• tables de routage compromises réduire les performances,
refuser des communications et exposer des données sensibles.
• ACL mal configurée exposer les parties internes du réseau à
des attaques, et faciliter l’accès des attaquants.
Manières de compromettre un routeur :
• exploitation de la confiance, mystification d’adresse IP, piratage
de session, attaques du MITM, etc.
ITE PC v4.0
Presentation_ID.scr
Sécurisation du routeur
Sécurité physique
• Local fermé à clé, régulation température et humidité, UPS, stock
de rechange, mémoire suffisante meilleur support du DoS ou
de nouveaux services de sécurité
Mise à jour du logiciel IOS du routeur (version stable)
Sauvegarde de la configuration du routeur et de l’IOS
(serveur TFTP)
Durcissement du routeur
• Renforcer et personnaliser l’accès au routeur
• Routage sécurisé
• Éliminer les services inutiles
• Journalisation,….
ITE PC v4.0
Application des fonctions de sécurité

Cisco IOS aux routeurs
Plan de sécurité :
1. Gestion de la sécurité du routeur
2. Sécurisation des accès administratifs à distance aux
routeurs
3. Journalisation de l’activité du routeur
4. Sécurisation des services et des interfaces
vulnérables du routeur
5. Sécurisation des protocoles de routage
6. Contrôle et filtrage du trafic réseau
ITE PC v4.0
Presentation_ID.scr
Gestion de la sécurité des routeurs
Définir des mots de passe fort
Par défaut, IOS affiche les mots de passe en texte clair (option 0)
Il existe 2 types de chiffrement du mot de passe
• Chiffrement simple, type 7 : codage Vigenère
• Réalisé par « service password-encryption »
• Chiffrement complexe, type 5 : hachage MD5, plus sûr.
Quelques processus et protocoles (PAP, CHAP) ne peuvent pas

utiliser des mots de passe chiffrés avec MD5
Depuis IOS, il est possible d’imposer une taille min des mdp
• (config)# security passwords min-length 10
•S’applique sur les nouveaux mdp enable, secret ou de ligne
ITE PC v4.0
Sécurisation des accès administratifs à

distance aux routeurs
Divers accès au routeur : Telnet, SSH, HTTP, HTTPS
ou SNMP
Démarche:
• Établir un réseau de gestion spécialisé (que des machines
admin), à travers un VLAN ou un autre réseau physique
• Chiffrement du trafic (SSH)
• Accorder l’accès SSH uniquement aux machines autorisées
• Désactiver les lignes d’entrées si elles ne sont pas utilisées
(no password) sinon les contrôler
ITE PC v4.0
Presentation_ID.scr
Contrôle des lignes VTY
Par défaut, VTY est configurée pour accepter n’importe quel type de
connexion à distance.
Pour autoriser uniquement SSH
• (config-line)# no transport input
• (config-line)#transport input ssh
Contrôler l’accès via des ACL appliquées sur VTY

• (config-line)# access-class
configurer des délais d’attente

• (config-line)# exec-timeout …
Test d’activité TCP sur les connexions entrantes (en cas

d’interruption, la ligne VTY sera libérée) (éviter les sessions
orphelines)
• (config)#service tcp-keepalives-in
ITE PC v4.0
Sessions orphelines Telnet
The remote terminal user gains access to a server across a network thanks to an
autocommand telnet in the configuration of Router 2.
If, however, Router 2 is reloaded for any reason, the terminal will not be able to get
back into the server.
•The user will see a "Connection refused by remote host" message
Solution 1 : administrator executes the clear line cmd on Router 1

•(-) Network administrators may be unavailable.
• (-) For security reasons, the enable password is not iven out to users.
Solution 2 : Turn on TCP keepalives on both routers (so that one router will notice
when the connection to the other router goes away)
• Router1(config)# service tcp-keepalives-in
• Router1(config)# service tcp-keepalives-out
ITE PC v4.0
Presentation_ID.scr
Mise en œuvre du protocole SSH
Les images IOS (K8 et K9) prennent en charge SSH (tcp/22)
Les routeurs agissent en tant que client ou serveur SSH
SSH sécurise les communications (authentification et chiffrement)
Configuration de la sécurité SSH
• Définir le nom d’hôte et le domaine: (config)# ip domain-name
• Créer les clés : (config)# crypto key generate rsa //(clés 1024 bits)
• Authentification locale ((config-line)#login local) qui nécessite la création de compte :
(config)#username … secret ….
• Autoriser ssh sur vty: (config-line)#transport input ssh
Configurations facultatives sur un routeur

• Délais d’attente : (config)# ip ssh time-out secondes
• Nombre de tentatives : (config)# ip ssh authentication-retries entier
Client SSH sur une machine: intégré dans OS, PuTTY ou TeraTerm
ITE PC v4.0
Journalisation de l’activité du routeur

Utile pour un but de traçabilité
Envoyer les fichiers journaux vers un serveur Syslog spécialisé,
réservé au stockage des logs, sur un réseau de confiance.
Les journaux peuvent être transférés à différents emplacements et
doivent être consultés.
Les routeurs prennent en charge 8 niveaux de journalisation.
• 0 (urgences, système instable)
• 7 (messages de débogage)
Horodatage important dans la journalisation (protocole NTP).
•R2(config)#service timestamps ?
debug Timestamp debug messages
log Timestamp log messages
ITE PC v4.0
Presentation_ID.scr
Services de routeur vulnérables
Les routeurs Cisco prennent en charge un grand nombre de
services
• Désactiver les services inutiles
• Restreindre les services utiles aux personnes autorisées
Exemple de service (désactiver des soulignées)

cdp, petits serveurs TCP (echo, chargen, etc), petits serveurs UDP, finger,
http, bootp, chargement automatique de configuration par tftp, routage par
la source ip, proxy arp, diffusion ip dirigé, routage sans classe, notification
@ IP inaccessibles, envoi du masque ip, redirection IP, NTP, SNMP,
service de noms de domaine
Uniquement
Exemple de désactivation configuration Uniquement les
locale routes explicites
• no service tcp-small-servers
• no ip bootp server
Évite le
détournement ip Éviter la fuite
d’info
ITE PC v4.0
Vulnérabilités de SNMP, NTP et DNS

Les versions SNMP < 3 véhiculent les informations en
texte clair
NTP laisse des ports d’écoute ouverts et vulnérables
Le protocole DNS de base n’offre aucune assurance
d’authentification ou d’intégrité
• Par défaut (pas de serveur DNS configurés), les demandes
d’adresse sont envoyées à l’adresse de diffusion
255.255.255.255
• Si la résolution dns est nécessaire ip name-server
adresses
• Si la résolution dns est inutile no ip domain-lookup
ITE PC v4.0
Presentation_ID.scr
Sécurisation des interfaces
Désactiver les interfaces non utilisées: shutdown
Éviter le smurf:no ip directed-broadcast
Éviter le releyage à la volée: no ip proxy-arp
ITE PC v4.0
Sécurisation des protocoles de routage

Le routage peut être attaqué de 2 façons :
• Interruption entre homologues (moins critique, rétablissement
auto)
• Falsification des informations de routage, mène à redirection
du trafic pour créer des boucles, voler infos ou les rejeter.
Protection : authentifier les paquets de routage par
MD5 nécessite :
• Algorithme de chiffrement,
• Clé utilisée par l’algorithme (secret partagé entre 2 routeurs)
• Contenu du paquet lui-même.
Sécurisation : RIPv2, EIGRP, OSPF, IS-IS et BGP
ITE PC v4.0
Presentation_ID.scr
Exemple d’attaque de routage
ITE PC v4.0
Configuration sécurisée de RIPv2

Démarche :
1. Empêcher la propagation des mises à jour de routage RIP.
Désactiver le routage de toutes les interfaces: passive-
interface default
Activer que les interfaces connectées à des routeurs
2. Empêcher la réception non autorisée de mises à jour RIP.
Créer une chaîne de clés
Chg du appelée RIP_KEY
prompt (contiendra une seule clé)
Configurer les
protocoles
d’authentification
3. Vérifier le fonctionnement du routage RIP (show ip route)
ITE PC v4.0
Presentation_ID.scr
Authentification de routage EIGRP et OSPF
EIGRP
(similaire au RIP)
spécifier la clé utilisée

activer l’authentification
MD5
ITE PC v4.0
Verrouillage du routeur à l’aide de Cisco

AutoSecure
La cmd « #autoSecure » désactive toute seule les
processus et les services non essentiels du système.
S’exécute en 2 modes
• Mode interactif (par défaut): invite permettant d’activer ou de
désactiver des services et autres fonctions de sécurité:
• Éléments d’interface spécifiques, Bannières, Mots de passe, SSH,
fonctions de pare-feu, etc.
• Mode non interactif (auto): avec l’option no-interact
Security Device Manager (SDM) offre une fonction

similaire à Cisco AutoSecure.
ITE PC v4.0
Presentation_ID.scr
Présentation de Cisco SDM
Outil Web de gestion des périphériques facile à utiliser
• Configurer les fonctions LAN, WAN et sécurité sur les routeurs
Il est préinstallé par défaut sur les nouveaux routeurs

ISR (mémoire flash). Cisco le recommande pour la
configuration initiale
S’il n’est pas préinstallé, les fichiers SDM peuvent être
installés sur le routeur, sur un PC ou les deux.
L’avantage de l’installer sur le PC est d’économiser la
mémoire du routeur
Nouvelle version: Cisco Configuration Professional
ITE PC v4.0
Fonctionnalités de Cisco SDM

Outil de gestion intégré à interface Web
Assistants intelligents
• Guider les utilisateurs dans la configuration et la sécurisation
• Détecter automatiquement les erreurs de configuration et
proposent des corrections.
Outils pour utilisateurs avancés

• ACL
• Éditeur « crypto map » pour VPN
• Aperçu de l’interface CLI de Cisco IOS
ITE PC v4.0
Presentation_ID.scr
Prise en charge de Cisco SDM
Activez les serveurs

HTTP et HTTPS
Créez un compte
utilisateur avec
niveau de privilège 15
Configurez SSH et
Telnet
ITE PC v4.0
Interface de Cisco SDM
Zone About Your Router

Host Name, Hardware,
Software, barre Feature
Availability
Zone Configuration
Overview
Interfaces and
Connections,
Firewall
Policies, VPN,
Routing,
Intrusion
prevention et
zone view
running config
ITE PC v4.0
Presentation_ID.scr
Zone About Your Router
Interface de Cisco SDM Assistants
ITE PC v4.0
Verrouillage d’un routeur à l’aide de SDM
Rq:
SDM n’utilise pas toutes les
fonctions de Cisco AutoSecure
( il faut vérifier le niveau de
sécurité après avoir lancer le
verrouillage)
ITE PC v4.0
Presentation_ID.scr
Mise à jour des images logicielle Cisco IOS
Utile pour résoudre des vulnérabilités connues, inclure de
nouvelles fonctions et augmenter les performances
Avant la migration, vérifier l’espace disponible Flash, tester la
communication routeur-terminal, arrêter les interfaces
inutilisées, sauvegarder l’ancien IOS
Gestion et exploitation de l’IOS en 4 phases
• Planification : définir les objectifs, identifier les ressources, définir
le profil matériel et logiciel, créer un calendrier de migration
• Conception : choisir les nouvelles versions IOS
• Mise en œuvre : programmation et exécution de la migration.
• Exploitation : surveillance de la migration. Si elle est bonne,
résilier les anciennes copies de sauvegarde IOS.
ITE PC v4.0
Assistance Cisco
Sur le site Cisco.com et sans mot de passe
• Cisco IOS Reference Guide
• Documents techniques sur le logiciel Cisco IOS : info des versions IOS.
• Software Center : centre de téléchargement du logiciel Cisco IOS (~mdp)
• Cisco IOS Software Selector : application Web pour rechercher les
fonctions requises pour une technologie donnée.
Sur le site Cisco.com et avec mot de passe:

• Bug Toolkit : chercher des correctifs
• Cisco Feature Navigator : chercher et comparer des versions
• Software Advisor : comparer des versions, chercher les versions
logicielles qui prennent en charge un matériel donné.
• Cisco IOS Upgrade Planner : chercher les versions par matériel, version
et jeu de fonctions, Télécharger des images IOS.
ITE PC v4.0
Presentation_ID.scr
Gestion des images logicielles Cisco IOS
Un attaquant qui accède au routeur, peut
• altérer ou supprimer des fichiers de configuration.
• charger des IOS incompatibles ou compromis
• supprimer l’image IOS.
nécessité d’enregistrer, sauvegarder et restaurer les
configurations et les images IOS.
IFS = SGF sur les périphériques Cisco IOS (Cisco
Integrated File System)
• Permet de créer des répertoires, déplacer des fichiers, etc.
#show file systems : afficher tous les systèmes de fichiers,
taille, espace disponible, type, etc.
#copy tftp … : Copie à partir d’une source distante
ITE PC v4.0
Systèmes de fichier dans un périphérique Cisco
Par défaut
Amorçable
ITE PC v4.0
Presentation_ID.scr
Conventions de nom du fichier IOS
5 parties : platfome, jeu de fonctions, 2ème partie:
emplacement, version et extension • « ipbase » image des
interréseaux IP de base
• i : jeu de fonctions IP.
• j : jeu de fonctions pour
entreprises (tous protocoles).
• s : jeu de fonctions PLUS
(mise en file d’attente, …).
• 56i : chiffrement DES à 56 bits
de l’IPsec.
• o3: système de détection des
intrusions / pare-feu.
• k2 : désigne le chiffrement
3DES à 168 bits de l’IPsec.
ITE PC v4.0
Gestion des images logicielles Cisco IOS

Avant de changer l’image IOS sur un routeur,
• Déterminer (~ajouter) la quantité de mémoire nécessaire pour la maj
• Installer et tester la fonction de transfert de fichiers
• Programmer la maj du routeur (en dehors des heures de travail)
Lors de la mise à jour :

• Désactivez toutes les interfaces du routeur non utiles pour la maj
• Sauvegardez IOS et la configuration sur un serveur TFTP.
• Chargez la mise à jour du système d’exploitation ou du fichier de
configuration.
• Effectuez des tests de confirmation du bon fonctionnement
Rq: Cisco IOS est doté d’une fonction qui assure la résilience
(#secure boot-image + #secure boot-config) : créer des copies de
secours, utiles en cas d’échec de la migration ou en cas d’attaque
ITE PC v4.0
Presentation_ID.scr
Sauvegarde et mise à niveau de l’image IOS
Sauvegarde
• Ping serveur TFTP + vérifier espace DD + copy flash: tftp:
Mise à niveau des images

• copy tftp: flash
ITE PC v4.0
Restauration des images logicielles IOS

Un IOS corrompu ne sera pas chargé par le routeur invite ROMmon
Procédure de restauration:
• Connectez le routeur affecté au serveur tftp
• Démarrez le routeur et définissez les variables ROMmon.
• Tapez la commande tftpdnld à la suite de l’invite ROMmon.
• Utiliser la commande reset pour recharger la nouvelle image du logiciel Cisco IOS sur
le routeur.
L’utilisation de Xmodem (avec un logiciel hyperterminal, vitesse 9,6Kb/s ou

même 115Kb/s) remplace tftpdnld
• Connectez le PC au port console routeur
• Démarrer le routeur et lancer la commande Xmodem
• Sélectionner Transfert > Envoyer un fichier
• Sélectionner le fichier IOS et choisir le protocole Xmodem
ITE PC v4.0
Presentation_ID.scr
Dépannage des configurations Cisco IOS
Show : statique, faible surcharge, recueillir des faits
Debug: dynamique, surcharge élevée, observer des
processus
Rq: il est possible rediriger les sorties vers un serveur
syslog
• logging ip-address
Ajouter un horodatage aux messages:
• service timestamps debug datetime localtime msec
Afficher les sorties debug sur vty (accès via telnet,ssh)
• logging monitor
ITE PC v4.0
Récupération des mots de passe d’un

routeur
Récupérer mdp : enable possible; secret
impossible
Registre de configuration : une valeur personnalisable
de 16 bits qui détermine le fonctionnement des routeurs
pendant l’initialisation (par défaut 0x2102)
ITE PC v4.0
Presentation_ID.scr
Procédure de récupération du mot de
passe d’un routeur
1. Redémarrer le routeur avec son 8. Tapez #show running-config
interrupteur
9. Vous voyez à présent les mots de passe
2. Appuyez sur la touche crtl +Pause
(enable, enable secret, vty, console) soit
ROMmon
en clair, soit sous forme chiffrée.
3. Tapez confreg 0x2142. Le routeur
ignore la configuration de démarrage. 10.Tapez (config)#enable
4. Tapez reset redémarrage secretmot_de_passe pour changer le
mot de passe « enable secret ».
5. Eviter le mode setup
11.Tapez (config)#config-register 0x2102
6. Tapez enable à la suite de l’invite
Router 12.Tapez copy running-config startup-
7. Tapez copy startup-config running- config pour confirmer vos modifications
config (attention l’inverse efface
votre configuration)
ITE PC v4.0
Summary
Security Threats to an Enterprise network include:
–Unstructured threats
–Structured threats
–External threats
–Internal threats
Methods to lessen security threats consist of:
–Device hardening
–Use of antivirus software
–Firewalls
–Download security updates
ITE PC v4.0
Presentation_ID.scr
Summary
Basic router security involves the following:
–Physical security
–Update and backup IOS
–Backup configuration files
–Password configuration
–Logging router activity
Disable unused router interfaces & services to minimize their

exploitation by intruders
Cisco SDM
–A web based management tool for configuring security measures on Cisco
routers
Cisco IOS Integrated File System (IFS)

–Allows for the creation, navigation & manipulation of directories on a cisco
device
ITE PC v4.0
Accès au réseau
étendu
Chapitre 5: Listes de contrôle

d’accès
ITE PC v4.0
Presentation_ID.scr
Objectifs
Expliquer comment les listes de contrôle d’accès permettent
de sécuriser un réseau pour une agence d’entreprise de
taille moyenne (branch office)
Configurer des listes de contrôle d’accès standard sur un
réseau pour une agence d’entreprise de taille moyenne
Configurer les listes de contrôle d’accès étendues sur un
réseau pour une agence d’entreprise de taille moyenne
Décrire les listes de contrôle d’accès complexes sur un
réseau pour une agence d’entreprise de taille moyenne :
ACL dynamiques, réflexives et basées sur le temps,
vérification et dépannage des ACL
ITE PC v4.0
Conversation TCP
Les ACL permettent de contrôler le trafic entrant et sortant

d’un réseau,
en autorisant ou refusant des hôtes, des adresses réseaux et
des services.
ITE PC v4.0
Presentation_ID.scr
Numéros de ports de la conversation TCP
ITE PC v4.0
Filtrage des paquets

Le filtrage des paquets, appelé aussi filtrage des paquets
statique, fonctionne sur la couche 3 du modèle OSI
Les routeurs filtrant prennent les décisions d’autorisation ou
de refus en fonction des critères suivants :
• Adresse IP source
• Adresse IP de destination
• Type de message ICMP
Ou selon des informations sur la couche supérieure :

• Port source TCP/UDP
• Port de destination TCP/UDP
ITE PC v4.0
Presentation_ID.scr
Exemple de filtrage de paquets
ITE PC v4.0
Liste de contrôle d’accès

Une ACL est un script de configuration de routeur contrôlant
l’autorisation ou le refus de passage des paquets,
conformément aux critères stipulés dans leur en-tête.
Quelques instructions pour utiliser les ACL:
sur le routeur pare-feu, entre le
réseau interne et un réseau externe
(Internet)
entre deux sections du réseau
interne pour contrôler le trafic
entrant ou sortant
sur les routeurs périphériques
(border router) situés à la frontière Routeur
de vos réseaux périphérique
pour tout protocole réseau
configuré sur les interfaces du
routeur périphérique
ITE PC v4.0
Presentation_ID.scr
Règle des trois P
Configurer une ACL par protocole, par direction et
par interface.
• Une ACL par protocole (exemple : IP ou IPX)
• Une ACL par direction (exemple : IN ou OUT)
• Une ACL par interface (exemple : FastEthernet0/0)
Un routeur qui a 2 interfaces configurées pour IP,

AppleTalk et IPX peut nécessiter 12 listes de contrôle
d’accès.
ITE PC v4.0
Tâches des ACL

Elles limitent le trafic réseau pour accroître les performances
réseau (pas de vidéos en continue -streaming)
Elles contrôlent le flux de trafic (pas de mises à jour de routage)
Elles fournissent un niveau de sécurité de base pour l’accès
réseau (qlq Adresses sources autorisées)
Elles déterminent le type de trafic à acheminer ou bloquer sur
les interfaces de routeur (type de trafic autorisé)
Elles contrôlent les zones auxquelles un client peut accéder
sur un réseau. (destination autorisée)
Elles filtrent les hôtes pour autoriser ou refuser l’accès aux
services sur le réseau (utilisateur autorisé pour un service)
ITE PC v4.0
Presentation_ID.scr
Fonctionnement des ACL (1/2)
ACL entrantes
(Inbound ACLs) :
les paquets ACL entrante
entrants sont
traités avant d’être
routés vers
l’interface de
sortie.
ACL sortantes
(Outbound
ACLs) : les
paquets sont
routés vers
l’interface de sortie
puis traités par le
biais de la ACL
sortante.
ITE PC v4.0
Fonctionnement des ACL (2/2)

ACL sortante
ITE PC v4.0
Presentation_ID.scr
Routage et processus ACL sur un routeur
1. Vérification de l’adresse MAC destination (MAC routeur ou de diffusion)
2. Dé-encapsulation du paquet et recherche d’une ACL sur l’interface
d’entrée.
3. En cas de correspondance, le paquet est accepté ou refusé + routage
vers l’interface de sortie
4. Recherche d’une ACL sur l’interface de sortie
5. En cas de correspondance, le paquet est accepté ou refusé
6. En l’absence d’une ACL ou si le paquet est accepté, ce dernier est
encapsulé dans une nouvelle trame et acheminé vers le périphérique
suivant.
Rq: l’action par défaut est « refus » il est recommandé d’inclure dans
ACL des instructions explicites pour autoriser le routage dynamique
ITE PC v4.0
Routage et processus ACL sur un routeur
ITE PC v4.0
Presentation_ID.scr
More details about (ACL, NAT & routing) order
Inside-to-Outside Outside-to-Inside
•If IPSec then check input access list •If IPSec then check input access list
•decryption - for CET (Cisco Encryption •decryption - for CET or IPSec
Technology) or IPSec
•check input access list •check input access list
•check input rate limits •check input rate limits
•input accounting •input accounting
•redirect to web cache •redirect to web cache
•policy routing •NAT outside to inside (global to local
•routing translation)
•NAT inside to outside (local to global •policy routing
translation) •routing
•crypto (check map and mark for •crypto (check map and mark for
encryption) encryption)
•check output access list •check output access list
•inspect (Context-based Access Control •inspect CBAC
(CBAC))
•TCP intercept •TCP intercept
•encryption •encryption
•Queueing
ITE PC v4.0
•Queueing
TCP intercept feature
ITE PC v4.0
Presentation_ID.scr
Types de ACL Cisco
ACL standard
• Autoriser et refuser le trafic en provenance d’adresses IP
source (adresse destination et ports n’ont aucune incidence)
ACL étendues une meilleure précision du contrôle

• Filtrer les paquets IP en fonction de plusieurs attributs :
• type de protocole,
• adresse IP source et destination,
• ports TCP ou UDP source et destination
• autres informations facultatives selon le type de protocole
ITE PC v4.0
Fonctionnement d’une ACL standard

Le logiciel Cisco IOS vérifie les correspondances d’adresses
les unes après les autres. La première correspondance
détermine si le logiciel accepte ou refuse l’adresse.
Les deux tâches principales liées aux ACL sont :
• Étape 1. Création d’une ACL en spécifiant un numéro ou un nom
de liste et des conditions d’accès.
(config)#access-list …..
• Étape 2. Application d’une ACL aux interfaces ou aux lignes du
terminal.
(config-if)#ip access-group …
ou (config-line)#access-class ….
ITE PC v4.0
Presentation_ID.scr
Numérotation et attribution d’un nom aux ACL
ACL numérotée :
• (1 à 99) et (1300 à 1999) : ACL IP standard
• (100 à 199) et (2000 à 2699) : ACL IP étendue
• Les numéros 200 à 1299 sont ignorés pour les ACL
numérotées car ils sont utilisés par d’autres protocoles (600 à
699 : AppleTalk, 800 à 899 : IPX)
ACL nommée :
• Affecter un nom en indiquant celui de la liste de contrôle
d’accès.
• Les noms peuvent comporter des caractères alphanumériques
(de pref. MAJUSCULES).
• Les espaces et les caractères de ponctuation sont interdis.
ITE PC v4.0
Positionnement des ACL

ACL étendues : le plus près possible de la source du
trafic refusé. Ainsi, le trafic indésirable est filtré sans
traverser l’infrastructure réseau.
ACL standard : le plus près possible de la destination
(cet ACL protège la destination ce n’est pas la peine
de les inclure assez proche de la source où il existe
plusieurs autres destinations).
ITE PC v4.0
Presentation_ID.scr
Exemple 1 de positionnement des ACL
Empêcher l’accès du trafic provenant du réseau 192.168.10.0/24 au réseau 192.168.30.0/24
Placer l’acl sur S0/0/1 (évite le routage sur R3) ou de préférence sur Fa0/1 (nécessaire s’il existe F0/2)
ITE PC v4.0
Exemple 2 de positionnement des ACL
Refuser l’accès du trafic Telnet et FTP depuis le réseau

192.168.11.0/24 au réseau 192.168.30.0/24.
placer une ACL étendue sur l’interface d’entrée Fa0/2 de R1
ITE PC v4.0
Presentation_ID.scr
Directives générales sur la création des ACL
Créer les ACL conformément à la stratégie de sécurité

de l’entreprise.
Préparez une description des tâches que devront
effectuer les ACL.
Utilisez un éditeur de texte pour créer, modifier et
enregistrer les ACL.
Testez les ACL sur un réseau de développement avant
de les implémenter sur un réseau de production.
ITE PC v4.0
Configuration des ACL standard

Une ACL doit comporter au moins une instruction d’autorisation, sans quoi
tout le trafic est bloqué
Routeur(config)#access-list numéro-liste-accès (deny | permit | remark)
source [masque] [log]
• Num : 1 et 99, ou entre 1300 et 1999
• Remark : faciliter la compréhension et recherche de l’ACL. Commencer la remarque par -
--
• Any : equiv à (0.0.0.0 … 255.255.255.55)
• [masque] : générique ; sans masque equiv 0.0.0.0
• Log : un message de journalisation à propos du paquet sur la console. La commande
logging console contrôle le niveau des messages enregistrés.
show access-list affiche les ACL

no access-list : supprimer une ACL (après avoir tapé « no ip acces-group.. »)
ITE PC v4.0
Presentation_ID.scr
Masque générique des ACL
Le masque détermine la portion d’une adresse IP
source ou de destination à appliquer
• Bit 0 : vérifier la valeur du bit correspondant dans l’adresse.
• Bit 1 : ignorer la valeur du bit correspondant dans l’adresse
• Masque générique= 255.255.255.255 – masque classique
Autoriser l’accès réseau à 14 utilisateurs dans le sous-
réseau 192.168.3.32 /28 masque=0.0.0.15
Rq:
• L’option host remplace le masque 0.0.0.0.
• L’option any remplace une adresse IP et le masque
255.255.255.255
ITE PC v4.0
Application de ACL standard aux interfaces

Une ACL standard peut être liée à une interface
• Routeur(config-if)#ip access-group {numéro-liste-accès | nom-liste-accès}
{in | out}
Une ACL permet de contrôler l’accès aux lignes

• Utile pour sécuriser l’accès au routeur
• Alternative de sécurité si l’IOS ne supporte pas ssh
• Les ACL standard et étendues s’appliquent aux paquets traversant le routeur.
Elles ne bloquent pas les paquets créés par le routeur (i.e. un routeur peut
lancer des sessions Telnet même s’il existe une ACL étendue pour les filtrer)
Syntaxe: access-class numéro-liste-accès {in [vrf-also] | out}

Rq: Seules des ACL numérotées peuvent être appliquées aux lignes
Rq: Définir les mêmes restrictions sur toutes les lignes VTY car un
utilisateur peut tenter de se connecter à n’importe laquelle.
ITE PC v4.0
Presentation_ID.scr
Exemple 1 d’application d’une ACL standard
1) Autoriser uniquement le
transfert du trafic sur s0/0/0
à partir du réseau source
192.168.10.0
2) Refuser l’accès
uniquement à PC1. les
autres hôtes sont autorisés
2
ITE PC v4.0
Exemple 2 d’application d’une ACL standard
Autoriser les
réseaux
192.168.10.0 et
192.168.11.0 à
accéder aux
lignes VTY 0 - 4.
L’accès aux
lignes VTY est
refusé à tous les
autres réseaux
ITE PC v4.0
Presentation_ID.scr
Édition des ACL numérotées
Les règles sont ajoutées dans leur ordre de saisie à la
fin de la liste de contrôle d’accès
Il n’existe aucune fonction d’édition intégrée permettant
de modifier des règles (ordre, valeur, action, …) dans
une ACL
Astuce
• Afficher, copier et coller la ACL existante via show running-
config
• Utiliser un éditeur de texte, tel que le Bloc-notes pour modifier
l’ACL
ITE PC v4.0
Création de ACL standard nommées

Le nom aide à comprendre la fonction de l’ACL
L’édition de l’ACL est possible
Création en 3 étapes
ITE PC v4.0
Presentation_ID.scr
Contrôle et vérification des ACL
#show access-lists [num | nom]
ITE PC v4.0
Édition des ACL nommées
ITE PC v4.0
Presentation_ID.scr
ACL étendues
Permet un filtrage plus précis du trafic
Numérotées (100..199+2000..2699) ou nommées
Filtrer en fonction de adr src port src adr dest port dst
action
En 2 étapes : création activation sur une interface
• Established : (Facultatif) indique une connexion TCP établie, (ACK or RST)

• Opérateur: (eq), non égal (neq), supérieur à (gt) et inférieur à (lt).
• Nom des protos (services): (config)#access-list 101 permit tcp any eq ?
ITE PC v4.0
Exemples d’ACL étendue
ACL 104 permet de recevoir des réponses Web.
ITE PC v4.0
Presentation_ID.scr
Exemple 1 d’application de ACL étendues aux
interfaces
Rq: ACL étendu créée du

coté source. L’idée est de
refuser le trafic internet à
l’exception des connexions
Web sortantes
Lorsqu’il s’agit d’appliquer une ACL à une interface, les termes

« entrant » ou « sortant » prennent une autre signification en
fonction de votre point de vue.
Le routeur R1 comprend deux interfaces. Le trafic Internet entrant
accède à l’interface S0/0/0 mais quitte l’interface Fa0/0
ITE PC v4.0
Exemple 2 d’application de ACL étendues

aux interfaces
A
Refus du trafic FTP en provenance du
B réseau 192.168.11.0 à destination du
réseau 192.168.10.0
ITE PC v4.0
Presentation_ID.scr
Création de ACL étendues nommées
La création de
ACL étendues
nommées est
quasiment
identique à
celle des ACL
standard
nommées
ITE PC v4.0
Types de ACL complexes

Les ACL standard et étendues forment la base des
ACL complexes, qui fournissent des fonctions
supplémentaires
ACL complexes Description

ACL dynamiques Les utilisateurs souhaitant traverser le routeur sont bloqués
(verrou) tant qu’ils n’utilisent pas Telnet pour se connecter au routeur
et tant qu’ils n’ont pas été authentifiés.
ACL réflexives Autorisent le trafic sortant et limitent le trafic entrant en
réponse aux sessions provenant du routeur lui-même.
ACL basées sur le Autorisent le contrôle d’accès en fonction du jour et de la
temps semaine.
ITE PC v4.0
Presentation_ID.scr
ACL dynamiques (verrou ou Lock-and-key)
La fonction de verrou est disponible pour le trafic IP uniquement.
Elle dépend de Telnet, l’authentification (locale ou distante) et des
ACL étendues.
Un utilisateur désire accéder un hôte protégé par un verrou
• Il se connecte à Telnet et s’authentifie (locale ou distante) (ACL étendue)
• La connexion Telnet dévient ensuite non nécessaire, une règle est
ajoutée dans une ACL étendue autorisant le trafic de l’utilisateur pendant
une période de temps (possibilité de période IDLE et absolute Timeout)
Utilisation
• Un admin octroie le droit d’accès pour un utilisateur distant (connecté via
Intenet) pour atteindre un hôte du réseau interne
• Donner à un ensemble d’hôtes du réseau interne, la possibilité de se
connecter à un hôte distant après avoir réussi une authentification via un
serveur AAA, TACACS+
ITE PC v4.0
Exemples d’ACL dynamiques

PC1 obtient un
accès momentané
au réseau
(192.168.30.0 /24)
via le routeur R3.
Autorise l'utilisateur d'établir

une connexion Telnet.
L'ACL est ignorée tant que le
verrou n'est pas ôté.
Durée max d'activité 15 min
Après auth, la cmd autocommad

s'exécute et Telnet est arrêtée.
Déconnexion automatique après
5 min d'inactivité.
ITE PC v4.0
Presentation_ID.scr
Avantages des ACL dynamiques
Mécanisme d’authentification des utilisateurs ;
Gestion simplifiée sur les inter-réseaux de grande taille ;
Réduction du traitement des ACL sur un routeur
Limitation des éventuelles infractions du réseau par des
pirates informatiques ;
Création d’un accès utilisateur dynamique via un pare-
feu, sans compromettre les autres restrictions de
sécurité configurées.
ITE PC v4.0
ACL réflexives
ACL nommée
Le routeur examine le trafic sortant. Lorsqu’il détecte une nouvelle
connexion, il ajoute une entrée à une ACL provisoire pour autoriser
les réponses.
Comportement similaire à « permit established » mais plus efficace
• fonctionne également pour les protocoles UDP et ICMP,
• established vérifie que les bits ACK ou RST mais ignore adr. Src. ou Dest.
• established ne fonctionne pas avec les applications qui modifient de manière
dynamique le port source pour le trafic de session
Les ACL réflexives ne s’appliquent pas directement à une interface.

Elles sont « imbriquées » (mot clé evaluate) dans une ACL IP
étendue nommée appliquée à cette interface.
Avantages: protection du réseau, résiste mieux au mystification et
certaines attaques DOS, emploi facile
ITE PC v4.0
Presentation_ID.scr
Exemple d’ACL réflexives
ITE PC v4.0
ACL basées sur le temps

Ressemble à l’ACL réflexive
Nécessite la création d’une plage horaire, qui définit
certains moments de la journée et de la semaine.
Avantages
• Renforce le contrôle des administrateurs réseau en autorisant
ou en refusant l’accès aux ressources.
• Contrôler la journalisation : les entrées des ACL peuvent
enregistrer le trafic à certains moments de la journée, mais
pas tout le temps
ITE PC v4.0
Presentation_ID.scr
Exemple d’ACL basée sur le temps
Étape 1. Définissez la
plage horaire
Étape 2. Appliquez la plage
horaire à l’ACL
Étape 3. Appliquez l’ACL à
l’interface.
ITE PC v4.0
Dépannage des erreurs courantes relatives

aux ACL
Erreurs dues à un mauvais ordre ou la non-application
des critères adéquats aux règles.
intérêt de la cmd: show access-lists, show run, show
interfaces But: autoriser Telnet
Erreur: 192.168.10.10
n'a établi aucune
connexion avec
192.168.30.12
Cause: d’ordre 1 &2
But: autoriser TFTP Erreur:
192.168.10.0/24 ne
peut pas utiliser TFTP
vers 192.168.30.0/24
Cause: règle 3
(utiliser IP)
ITE PC v4.0
Presentation_ID.scr
aux ACL
But: refuserTelnet sortant
Erreur:
192.168.10.0/24 peut
utiliser Telnet (interdite)
vers 192.168.30.0/24
Cause: port src au lieu
dst
But: refuser Telnet sortant pour 192.168.10.10

Erreur: 192.168.10.10
peut utiliser Telnet
(interdite) vers
192.168.30.12
Cause: saisie dans @
règle 10: 1 au lieu 10
ITE PC v4.0

aux ACL But: refuser Telnet sortant pour 192.168.10.10
Application:
« in » sur
S0/0/0 de R1
Cause: sens s0/0/0 IN

au lieu de OUT
ITE PC v4.0
Presentation_ID.scr
Summary
An Access List (ACL) is:
A series of permit and deny statements that are used to filter traffic
Standard ACL
–Identified by numbers 1 - 99 and 1300 - 1999
–Filter traffic based on source IP address
Extended ACL
–Identified by number 100 -199 & 2000 - 2699
–Filter traffic based on
•Source IP address
•Destination IP address
•Protocol
•Port number
ITE PC v4.0
Summary
Named ACL
–Used with IOS 11.2 and above
–Can be used for either standard or extended ACL
ACL’s use Wildcard Masks (WCM)
–Described as the inverse of a subnet mask
•Reason
–0 check the bit
–1 ignore the bit
ITE PC v4.0
Presentation_ID.scr
Summary
Implementing ACLs
–1st create the ACL
–2nd place the ACL on an interface
•Standard ACL are placed nearest the destination
•Extended ACL are placed nearest the source
Use the following commands for verifying & troubleshooting an ACL
–Show access-list
–Show interfaces
–Show run
Complex ACL
–Dynamic ACL
–Reflexive ACL
–Time based ACL
ITE PC v4.0
Accès au réseau
étendu
Chapitre 6: Services de
télétravail
ITE PC v4.0
Presentation_ID.scr
Objectifs
Décrire les besoins d’une entreprise pour fournir les services
adaptés aux télétravailleurs
Décrire les besoins des télétravailleurs et l’architecture
recommandée pour fournir les services relatifs au télétravail
Expliquer comment les services à large bande passante
élargissent les réseaux des entreprises
Décrire l’importance de la technologie du réseau privé virtuel
Décrire comment optimiser la technologie du réseau privé
virtuel pour fournir des services sécurisés
ITE PC v4.0
Introduction au télétravail
Télétravail = travailler loin de son poste habituel,

généralement à domicile.
•Performant = Internet à haut débit et à large bande
(DSL, Fibre optique, câble, technologie sans fil,
satellite), VPN, Nouvelles technologies (VoIP,
vidéoconférence, …)
•Economique : réduire les frais de déplacement,
d’infrastructure et d’équipements
ITE PC v4.0
Presentation_ID.scr
Avantages du Télétravail
Avantages organisationnels :
• Continuité opérationnelle (en cas de catastrophe, intempérie, etc.)
• Temps de réponse accéléré
• Accès sécurisé, fiable et gérable aux informations
• Intégration rentable des données, des communications vidéo et
vocales et des applications
• Productivité, satisfaction et fidélisation accrues des télétravailleurs
Avantages sociaux :
• Meilleures opportunités d’emploi pour les groupes marginalisés
• Déplacements réduits et limitation du stress lié aux transports
Avantages écologiques :
• Réduction des émissions du CO2
ITE PC v4.0
Contraintes professionnelles des services

de télétravail
Les entreprises et les télétravailleurs peuvent coopérer
efficacement à condition de :
• sélectionner les technologies appropriées
• concevoir avec soin les services de télétravail.
Les concepteurs doivent tenir compte de :

• Exigences organisationnelles
sécurité, gestion des infrastructures, évolutivité, d’accessibilité
financière
• Besoins pratiques des télétravailleurs
facilité d’utilisation, vitesse de connexion, fiabilité du service.
ITE PC v4.0
Presentation_ID.scr
Solution du télétravailleur
Les entreprises doivent identifier des moyens rentables,
fiables et sécurisés pour connecter et offrir ses ressources
(sur son site) à des particuliers dans:
• Petit bureau ou bureau à domicile (Small Office / Home Office ou
SOHO),
• Autres sites distants.
Le télétravail nécessite les composants suivants :
• Composants du bureau à domicile: ordinateur, accès large
bande ou commuté (en cas de déplacement), routeur ou logiciel
client VPN, Point d’accès, …
• Composants du siège : routeur, concentrateur VPN, application
de sécurité multifonction, authentification, solution de gestion, …
• Composants de téléphonie IP d’entreprise en option
ITE PC v4.0
Connexions des télétravailleurs
connexions de
site à site
Technologies WAN
de couche 2
VPN -IPSEC
L’agence est connectée au siège et aux sites de partenaires, alors que le

télétravailleur dispose d’une connexion unique au siège.
ITE PC v4.0
Presentation_ID.scr
Méthodes de connexion des télétravailleurs
3 technologies de connexion à distance pour prendre en
charge les services des télétravailleurs
• Technologies privées et traditionnelles de WAN de couche 2,
telles que FR, ATM et LS (La sécurité de ces connexions
dépend du FS)
• Réseaux privés virtuels (VPN) IPsec garantissent une
connectivité évolutive et souple (couche 3)
• Connexions de site à site pour une connexion à distance, fiable,
rapide et sécurisée (la plus courante, associée à un accès à
distance à large bande, pour établir un VPN sur le réseau
Internet public).
Rq: Large Bande si D > 200Kb/s dans au moins un sens.
Technologie DSL, Fibre, câble, satellite, sans fil.
ITE PC v4.0
Besoins pour la connectivité des télétravailleurs
Composants Composants
VOIP du siège
Composants du
bureau à domicile
• Un VPN représente un réseau de données privé sollicitant

l’infrastructure publique de télécommunication.
• Le VPN protège la confidentialité des données à l’aide d’une
transmission tunnel et de procédures de sécurité
ITE PC v4.0
Presentation_ID.scr
Services à large bande
ITE PC v4.0
Services à large bande
Les télétravailleurs utilisent plusieurs applications

(courriel, Web, collaboration en temps réel, voix, vidéo
et vidéoconférence) nécessité d’une large bande
passante
Plusieurs choix
• Accès par ligne téléphonique : lente, utilisateur mobile dans
une zone géographique où il n’y a pas de connexion rapide
• Ligne DSL: large bande, internet en continue + téléphone,
modem dédié
• Modem câble : large bande, par de FS de télévision câblée,
modem dédié
• Satellite : large bande, par des FS par satellites, modem
dédié qui transmet les signaux au POP sur le réseau satellite
ITE PC v4.0
Presentation_ID.scr
Câble
Le système de câblage utilise un câble coaxial qui transmet des
signaux de radiofréquence (RF) sur le réseau.
CATV signifiait à l’origine « antenne de télévision commune ». Ce
type de transmission partageait les signaux de télévision.
Les câblo-opérateurs utilisent des antennes paraboliques pour
capter les signaux de télévision + amplificateurs en cascade
placés en série pour compenser la perte de signaux
ITE PC v4.0
Services des câblo-opérateurs

De nos jours, les câblo-opérateurs
• Assurent une communication bidirectionnelle entre les
abonnés et le câblo-opérateur
• Fournissent à leurs clients des services de
télécommunications avancés: Internet à haut débit + TV +
Téléphonie.
• Déploient des réseaux hybrides fibres et coaxiaux (HFC)
pour une transmission à haut débit jusqu’aux modems
ITE PC v4.0
Presentation_ID.scr
Ondes radioélectriques
Appelées RF, Spectre électromagnétique entre 1 Kilo-
hertz (kHz) à 1 Téra-hertz environ.
Le câble utilise une partie des fréquences RF. La
transmission est simultanée dans toutes les directions.
La portion RF utilisée est subdivisée en BP:
• En aval (descendante): tête de réseau abonné; bande large
RF de 810 MHz.
• En amont (voie de retour ou inverse): abonné tête de
réseau, bande large RF de 37 MHz.
ITE PC v4.0
Spectre des ondes RF
ITE PC v4.0
Presentation_ID.scr
DOCSIS
Norme de certification pour les périphériques des fournisseurs en
équipements câblés (modems câble CM et Système de terminaison
du modem câble CMTS).
DOCSIS concerne les couches physiques et MAC.
DOCSIS définit les exigences en termes d’interface RF pour un
système de données sur câble.
Les fournisseurs en équipements câblés doivent demander leur
certification à CableLabs.
Diverses normes TV ce qui influe sur les variantes DOCSIS
• NTSC : Amérique du Nord et certaines régions du Japon
• PAL : Europe, d’Asie, Australie, Brésil et Argentine
• SECAM : France, qlq pays d’Europe de l’Est.
Euro-DOCSIS : Norme adaptée en Europe pour la répartition de la

bande de fréquence (qui diffère de DOCSIS en USA)
ITE PC v4.0
DOCSIS -- Couches physique et MAC

Couche physique
• Largeurs de canaux pour les signaux de données : 200 kHz,
400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz et 6,4 MHz.
• Spécifie également les techniques de modulation.
Couche MAC
• Méthode d’accès déterministe :
Accès multiple par répartition dans le temps (TDMA)
Accès multiple par répartition de code synchrone (S-
CDMA version propriétaire de CDMA élaborée par
Terayon Corporation et destinée à la transmission de
données sur des réseaux de câbles coaxiaux).
ITE PC v4.0
Presentation_ID.scr
Equipements et réseau par câble
2 types d’équipements
• Système de terminaison du modem câble, ou CMTS, à la tête de réseau du
câblo-opérateur
= routeur avec des BD, qui fournit des services Internet aux abonnés.
Support du câble et la fibre optique (pour +BP)
• Modem câble, ou CM, du côté des abonnés.
Dans un réseau hybride fibre et coaxial, 500 à 2 000 abonnés actifs

sont connectés à un segment de réseau câblé et partagent la BP.
La BP réelle pour les services Internet sur une ligne CATV peut
atteindre 27 Mbits/s en download et 2,5 Mbits/s en upload.
Un abonné peut bénéficier d’une vitesse d’accès de 256 Kbits/s à 6
Mbits/s, en fonction de l’architecture du réseau câblé, des pratiques
d’approvisionnement de l’opérateur et de la charge du trafic.
ITE PC v4.0
Envoi des données par câbles
Le service de données est exécuté entre CM et CTMS

Les utilisateurs d'un segments partagent la BP en amont et en aval
ITE PC v4.0
Presentation_ID.scr
Gestion de congestion dans CATV
Octroyer un canal télévisé supplémentaire pour les
données haut débit ( double la BP en aval)
Réduire le nombre d’abonnés desservis sur chaque
segment, via les démarches :
• Sous-diviser le réseau en rapprochant les POP
• Utiliser de plus en plus la fibre optique sur des distances plus
grandes
ITE PC v4.0
Ligne DSL
Connexion entre l’abonné et le central téléphonique.
Technologie permettant de fournir une bande à haut
débit sur des lignes en cuivre standard.
Fréquences de transmission élevées (jusqu’à 1 MHz).
ITE PC v4.0
Presentation_ID.scr
Fournisseur de transport DSL
Modifications relativement minimes à l’infrastructure des
compagnies de téléphone pour supporter des vitesses élevées
2 Types DSL
• ligne numérique à paire asymétrique (ADSL)– Fréq: 20 kHz à 1 MHz
• ligne numérique à paire symétrique (SDSL)
Diverses variétés de DSL avec des BP différentes et des capacités

> ligne louée T1 ou E1 (HDSL, ADSL, SDSL, RADSL, VDSL)
Les vitesses de transfert dépendent
• longueur effective de la boucle locale (< 5,5KM pour un service
satisfaisant)
• type et état des câbles.
• Mode de transmission et modulation
ITE PC v4.0
Technologies xDSL
ITE PC v4.0
Presentation_ID.scr
Connexion DSL
Émetteur-récepteur (Modem DSL): équipé d’un câble USB ou Ethernet, peut être intégré à
routeur de petite taille avec plusieurs ports de commutation pour les bureaux à domicile
DSLAM : situé au central téléphonique ; il concentre les connexions de plusieurs abonnés

DSL.
ITE PC v4.0
Avantages DSL
Le support n’est pas partagé comme dans CATV (
L’ajout de nouveaux utilisateurs n’entrave pas les
performances à moins que les connexions (DSLAM-
FAI) ou (FAI-Internet) soient saturées
Services POTS + données (la séparation s’effectue via
un microfiltre ou un répartiteur)
ITE PC v4.0
Presentation_ID.scr
Microfiltre Cisco EZ-DSL
Filtre passe-bas passif avec deux extrémités

Évite le déplacement du technicien
Utiliser sur chaque prise dans la maison
ITE PC v4.0
Répartiteur DSL
Périphérique passif. En cas de panne de
courant, le trafic vocal passe.
Se trouve
• au central (sépare le trafic POTS du trafic de
données vers DSLAM)
Ou
• Site du client : sur le périphérique de l’interface
réseau, ce qui nécessite la venue d’un
technicien se déplace
ITE PC v4.0
Presentation_ID.scr
Accès à large bande sans fil
Avant, l’accès sans fil dans une zone petite (30 m du AP
ou du routeur sans fil + connexion Internet filaire)
De nos jours, grâce au chevauchement des AP, la
couverture peut atteindre plusieurs kilomètres carrés.
Avantages de la connexion sans fil:
• Absence installation de connexions réseau filaires
• Mobilité
• d’augmenter la flexibilité et la productivité des télétravailleurs
En règle générale, les équipements du télétravailleur
fonctionnent en 2,4 GHz (conforme normes IEEE
802.11b,g, e)
ITE PC v4.0
Types d’accès à large bande sans fil
Déploiement à domicile
Un seul routeur sans fil
réseaux sans fil
municipaux
Connexion
par satellite
Wimax
ITE PC v4.0
Presentation_ID.scr
Topologies des accès à large bande sans fil
Déploiement à domicile avec un routeur sans fil unique
modèle Hub and Spoke
Réseaux sans fil municipaux : topologie maillée ; fiable (un
nœud peut remplacer un autre en panne) ; déploiement
rapide, facile et pas chère (moins de câbles) ;
WiMAX : connexion rapide sur de longues distances de
diverses manières : point à point, point à multipoint.
Services Internet par satellite : zones où l’accès Internet au
sol n’est pas disponible. Divers manières: multidiffusion
unidirectionnelle, retour terrestre unidirectionnel,
Bidirectionnel
ITE PC v4.0
WiMAX
Worldwide Interoperability for Microwave Access; IEEE 802.16
Vitesse : 70 Mb/s, porté: 50 km ; BP avec ou sans licence (2 à 6 GHz)
%WIFI : + (Vitesse ; distance ; utilisateurs)
Peut remplacer les réseaux municipaux sans fil
Deux composants principaux
• Station tour : même concept que BTS ; couverture: jusqu’à 7,5KM²
• Récepteur WIMAX : taille et la forme d’une carte PCMCIA, ou intégré dans
un périphérique sans fil
La tour WiMAX peut se connecter

• directement à Internet à l’aide d’une connexion à large BP (ex ligne T3).
• à d’autres tours WiMAX grâce aux liaisons micro-ondes en visibilité directe
( couvrir les zones rurales, hors de portée de la boucle locale et DSL)
ITE PC v4.0
Presentation_ID.scr
Services Internet par satellite
Utilisation : zones rurales, installations provisoires en
déplacement constant.
3 manières de connexion à Internet par satellite :
• multidiffusion unidirectionnelle : distribution vidéo, audio et la
distribution de données à multidiffusion IP (pas d’interactivité)
• retour terrestre unidirectionnel : Upload via des modems,
réception en satellite)
• Bidirectionnel : envoyer les données par satellite vers un
concentrateur, qui à son tour envoie à Internet.
• L’antenne parabolique doit être bien positionnée (vers
l’Équateur où il existe bcq satellites en orbite) pour éviter
interférence
• Upload 1/10ème du (download= ~de 500 Kbit/s).
ITE PC v4.0
VPN
Déf: Réseau étendu privé établi en créant des liaisons
permanentes (tunnels) spécialisées (authentification +
chiffrement) entre réseaux d'entreprises à travers des
réseaux publics afin de répondre aux besoins en partage
des ressources de ses utilisateurs
L’utilisation d’un réseau public (Internet) est bcq moins cher
qu’une connexion dédiée de couche 2 (LS)
Utile pour connecter les agences, les bureaux à domicile, les
sites de leurs partenaires commerciaux et les télétravailleurs
distants à une partie ou à tout leur réseau
Deux opérations principales: encapsulation + chiffrement
ITE PC v4.0
Presentation_ID.scr
Connexions VPN
Virtuel: réseau privé sur un réseau public

Privé: trafic chiffré ( confidentialité)
ITE PC v4.0
Avantages des VPN

Économies : pas de liaisons dédiées et de pile de
modems.
Sécurité : chiffrement + d’authentification
Évolutivité : l’utilisation d’Internet supporte l’ajout de
nouveaux utilisateurs
ITE PC v4.0
Presentation_ID.scr
Types de réseau privé virtuel
Site à site
Accès distant
A
B
ITE PC v4.0
VPN Site à Site

Connecter des réseaux (des différents sites) les uns aux
autres extension du réseau étendu classique
Remplace une connexion LS ou FR ( - cher + secure)
Connexion entre passerelles de chaque site: routeur,
Firewall (PIX), Appliance ASA, concentrateur VPN
Passerelle : bout du tunnel, elle chiffre (déchiffre) et
envoie (reçoit) les données
ITE PC v4.0
Presentation_ID.scr
VPN accès à distance (remote access)
Pour se connecter à l’entreprise, les employées
utilisent :
• (Avant) des réseaux commutés ( frais pour les appels
longue distance et interurbains); (possibilité de callback)
• (mnt), Internet, avec des VPN et des connexions large bande
VPN accès disant utiles pour connecter des
télétravailleurs, utilisateurs mobiles et consommateurs
sur Extranet.
Chaque hôte dispose généralement d’un logiciel client
vpn (ou d’une application web) qui chiffre le trafic avant
de l’envoyer sur Internet à la passerelle à la périphérie
du réseau cible.
ITE PC v4.0
Composants du réseau privé virtuel

Un réseau +
connexion Internet ;
Des passerelles
VPN (routeurs,
pare-feu,
concentrateurs
VPN, ASA) pour
établir, gérer et
contrôler les
connexions du
réseau privé
virtuel ;
Logiciel client VPN
pour créer et gérer
les tunnels
ITE PC v4.0
Presentation_ID.scr
Caractéristiques des VPN sécurisés
Les VPN ont recours à des techniques de chiffrement
avancées et à la transmission tunnel pour que les
entreprises puissent établir des connexions réseau
privées sécurisées de bout en bout sur Internet.
Assurent les attributs de sécurité
• Confidentialité des données,
• Intégrité des données,
• Authentification.
ITE PC v4.0
Transmission tunnel des VPN

Fait recours à divers protocoles
• Protocole de l’opérateur sur lequel circulent les informations
(Frame Relay, mode ATM, MPLS).
• Protocole d’encapsulation qui conditionne les données
originales (GRE, IPSec, L2F, PPTP, L2TP).
• Protocole passager sur lequel les données originales ont été
transférées (IPX, AppleTalk, IPv4, IPv6).
GRE est propriétaire Cisco. Il encapsule une grande

variété de protocoles passagers dans des tunnels IP
ITE PC v4.0
Presentation_ID.scr
Encapsulation des paquets dans le tunnel VPN
ITE PC v4.0
Liste des algorithmes de chiffrement VPN

Chiffrement VPN = algorithme + une clé.
Degré de sécurité d’un algorithme de chiffrement est
fonction de la longueur de la clé
Liste des algorithmes de chiffrement
• DES (Data Encryption Standard): par IBM, symétrique, clé de 56
bits
• 3DES (DES triple) : Variante de DES, plus robuste. Chiffrer avec
une clé 1, déchiffrer avec clé 2, puis chiffrer avec clé 3.
• AES (Advanced Encryption Standard) : par NIST pour remplacer
DES, symétrique. +Robuste %DES. Traitement + efficace %
3DES. 3 longueurs de clé : 128, 192 et 256 bits.
• RSA (Rivest, Shamir et Adleman): asymétrique. La longueur des
clés 512, 768, 1024 bits ou plus.
ITE PC v4.0
Presentation_ID.scr
Chiffrement symétrique
Exemple : DES, 3DES, AES
Nécessitent une clé partagée secrète pour chiffrer et
déchiffrer
Distribution de clé est une opération essentielle et
critique
• Courriel, courrier, livraison chrono
• Chiffrement asymétrique (plus efficace)
ITE PC v4.0
Chiffrement asymétrique
Plusieurs clés pour procéder au chiffrement et au
déchiffrement.
Impossible de déduire une clé à partir d’une autre
Chiffrement à clé publique = variante du chiffrement
asymétrique qui associe 2 clés privée et publique.
• L’expéditeur partage sa clé publique avec le destinataire.
• L’expéditeur utilise la clé privée pour chiffrer le message.
• Le destinataire utilise la clé publique pour déchiffrer le message.
ITE PC v4.0
Presentation_ID.scr
Hachage
VPN utilise un algorithme « code d’authentification des
messages avec hachages et clés » (HMAC) pour vérifier
l’intégrité et l’authenticité d’un message
L’expéditeur du message utilise HMAC pour produire une
valeur en condensant la clé secrète et le texte du message.
Le code d’authentification du message est envoyé avec le
message.
Le destinataire recalcule le code d’authentification du
message pour vérifier l’intégrité, s’il y a correspondance des
codes.
La puissance cryptographique de la fonction HMAC dépend
de la fonction de hachage sous-jacente, la taille et la qualité
de la clé, ainsi que de la taille condensat.
ITE PC v4.0
Algorithmes HMAC
Message Digest 5 (MD5)
• Utilise une clé secrète partagée de 128 bits.
• Algorithme de hachage HMAC-MD5.
• Sortie de hachage de 128 bits.
Secure Hash Algorithm 1 (SHA-1)

• utilise une clé secrète de 160 bits.
• Algorithme de hachage HMAC-SHA-1.
• Sortie de hachage de 160 bits.
ITE PC v4.0
Presentation_ID.scr
Authentification VPN
Il est nécessaire d’authentifier le périphérique à l’autre extrémité du
tunnel
Il existe 2 méthodes d’authentification des homologues :
Clé pré-partagée (PSK)
• Clé PSK entrée manuellement à chaque extrémité
• À chaque extrémité, la clé PSK est associée à d’autres informations pour
constituer la clé d’authentification.
• Se base sur des algorithmes cryptographiques à clé symétrique.
Signature RSA
• Echange de certificats numériques pour authentifier les homologues.
• Le périphérique local calcule un hachage et le chiffre avec sa clé privée.
• L’extrémité distante déchiffre le hachage reçu et recalcule le hachage.
• En cas de correspondance signature authentique.
ITE PC v4.0
Protocoles de sécurité IPsec

Ensemble de protocoles pour sécuriser les
communications IP et garantir le chiffrement, l’intégrité
et l’authentification.
2 protocoles IPsec principaux.
Authentication Header (AH)
• Assure l’authentification et l’intégrité des données
• Protection faible: pas de chiffrement ( l’utiliser avec ESP)
Encapsulating Security Payload (ESP)

• Assure la confidentialité et l’authentification grâce au
chiffrement
ITE PC v4.0
Presentation_ID.scr
IPSec en mode transport
VPN Server B
Workstation A
Internet
Security Security
gateway 1 gateway 2
encrypted
A B data
ITE PC v4.0
IPSec en mode tunnel
VPN Server B
A B data
Workstation A
Internet
Security Security
source destination gateway 1 gateway 2
A B data encrypted
1 2 A B data
ITE PC v4.0
Presentation_ID.scr
Modes IPSec
Mode Transport Mode nesting
tunnel transport
Mode Tunnel
ITE PC v4.0
Opérations de chiffrement et authentification
Mode Transport Mode Tunnel

AH Authentifie le contenu du paquet Authentifie tout le paquet interne
et quelques champs de l’entête et quelques champs de l’entête
IP IP externe
ESP Chiffre le contenu des paquets Chiffre le paquet interne

ESP + Chiffre le contenu de paquet et Chiffre le paquet interne et
Authentific authentifie le contenu du paquet authentifie le paquet interne
ation (sans entête)
(optionnel)
ITE PC v4.0
Presentation_ID.scr
Algorithmes de chiffrement et d’authentification
DES : chiffrer et déchiffrer les données du paquet.
3DES : puissance de chiffrement importante % DES 56 bits.
AES : chiffrement plus puissant, en fonction de la longueur
de clé utilisée, ainsi qu’un débit accéléré.
MD5 : authentifier les données du paquet à l’aide d’une clé
secrète partagée de 128 bits.
SHA-1 : authentifier les données du paquet à l’aide d’une clé
secrète partagée de 160 bits.
DH : Etablir une clé secrète partagée pour le chiffrement et
les algorithmes de hachage sur un canal de communication
non sécurisé.
ITE PC v4.0
Cadre IPSEC
Étape 1
Étape 2
Étape 3
ITE PC v4.0
Presentation_ID.scr
Configuration VPN (site à site) -- central
Nom tunnel site-to-site

3DES-AH
PSK=cisco123
Routeur
Linksys WRVS4400N
ITE PC v4.0
Configuration VPN (accès à distance) --

central
User:
BobV
Pwd:
cisco123
Routeur
Linksys
WRVS4400N
ITE PC v4.0
Presentation_ID.scr
Configuration VPN (accès à distance) -- client
Profile:
site
central
User:
BobV
Pwd:
cisco123
ITE PC v4.0
Summary
Requirements for providing teleworker services are:

–Maintains continuity of operations
–Provides for increased services
–Secure & reliable access to information
–Cost effective
–Scalable
Components needed for a teleworker to connect to an

organization’s network are:
–Home components
–Corporate components
ITE PC v4.0
Presentation_ID.scr
Summary
Broadband services used
–Cable
• transmits signal in either direction simultaneously
–DSL
• requires minimal changes to existing telephone
infrastructure
• delivers high bandwidth data rates to customers
–Wireless
• increases mobility
• wireless availability via:
» municipal WiFi
» WiMax
» satellite internet
ITE PC v4.0
Summary
Securing teleworker services

–VPN security achieved through using
•Advanced encryption techniques
•Tunneling
–Characteristics of a secure VPN
•Data confidentiality
•Data integrity
•authentication
ITE PC v4.0
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 7: Services
d’adressage IP
ITE PC v4.0
Objectifs
Configurer et dépanner le protocole DHCP dans un
réseau d’entreprise
Configurer et dépanner la fonction NAT sur un routeur
Cisco
Expliquer IPv6
Décrire les stratégies de transition pour la mise en
œuvre de IPv6
configurer, vérifier et dépanner RIPng pour IPv6
ITE PC v4.0
Presentation_ID.scr
Introduction
Diminution des adresses IP disponibles

Sol à court terme: adresses privées + NAT, DHCP
pour attribuer les adresses automatiquement
Autre sol: IPv6 (128 bits)
ITE PC v4.0
Présentation du protocole DHCP

Le protocole DHCP attribue automatiquement diverses informations
• Adresses IP, Masque de sous-réseau, Passerelle par défaut, Serveur de
noms de domaine (DNS) , etc.
Dans une grande entreprise, les admins préfèrent un serveur DHCP

(plus évolutive et relativement faciles à gérer).
Dans une petite filiale, un petit bureau ou un bureau à domicile, un
routeur Cisco fournit les services DHCP, évitant ainsi l’achat d’un
serveur dédié.
Easy IP est une suite de combinaison de fonctionnalités du logiciel
Cisco IOS qui permet à un routeur de négocier sa propre adresse IP,
en tant que client DHCP, et de faire le NAT à travers cette adresse.
ITE PC v4.0
Presentation_ID.scr
Fonctionnement du protocole DHCP
3 mécanismes d’allocation d’adresses
• Allocation manuelle : l’administrateur attribue une @IP
préallouée au client. DHCP communique cette @ au périphérique
• Allocation automatique : DHCP attribue de façon automatique
et permanente (pas de bail) une @IP statique à un périphérique à
partir d’un pool d’adresses
• Allocation dynamique : DHCP attribue, ou loue, de façon
automatique et dynamique une @IP à partir d’un pool d’adresses
pour une durée limitée définie par le serveur ou jusqu’à ce que le
client indique au serveur DHCP qu’il n’a plus besoin de cette @.
ITE PC v4.0
Allocation dynamique
udp/67 udp/68
ITE PC v4.0
Presentation_ID.scr
Étapes de l’allocation dynamique
Etape 1 : l’hôte diffuse (en L2 & L3) DHCPDISCOVER vers le serveur
Etape 2 : Le serveur DHCP trouve une adresse IP disponible à louer,
crée une entrée ARP (@MAC de l’hôte demandeur, @IP louée), puis
transmet DHCPOFFER (le msg peut parfois être diffusé).
Etape 3 : Le client renvoie DHCPREQUEST dans 2 cas.
• Emettre le bail et confirmer @ IP allouée (refus implicite d’autres @)
• Renouveler et vérifier le bail
Etape 4 : Le serveur vérifie les informations sur le bail, crée une entrée
ARP pour le bail du client, puis transmet DHCPACK.
RQ: DHCPACK est une copie du message DHCPOFFER (type de champ ≠)
Lorsque le client reçoit le message DHCPACK, il lance une recherche

ARP sur l’adresse attribuée. S’il ne reçoit pas de réponse, alors
l’adresse IP est valide et il peut l’utiliser.
ITE PC v4.0
Protocole BOOTP
Bootstrap (BOOTP), RFC 951, prédécesseur DHCP
BOOTP permet d’envoyer des configurations d’adresse
et d’amorçage pour les terminaux sans disque.
BOOTP DHCP
Mappages statiques (redonner Mappages dynamiques

tjrs la même @IP grâce au MAC)
Affectation permanente Bail
Ne prend en charge que quatre Prend en charge plus de 20

paramètres de configuration paramètres de configuration
(@IP, mask, gtw, serv DNS)
ITE PC v4.0
Presentation_ID.scr
Format du message DHCP
Si client connait son adresse

@ attribuée par le serveur
Utile pour le relais DHCP
Rep et nom du fichier de démarrage
ITE PC v4.0
Explication des champs du msg DHCP (1/2)

Code d’opération (OP) : type général du msg. 1, requête ;
2 réponse
Type de matériel : type matériel. 1 Ethernet, 15 FR ; 20
ligne série.
Longueur de l’adresse matérielle
Sauts : mis à zéro par le client et utilisé par les agents de relais
pour contrôler les messages DHCP.
Identificateur de transaction: associer réponse au requête
Secondes : # secondes depuis le début de la tentative
d’acquisition du bail. Les serveurs commencent par servir les
anciennes requêtes.
Indicateurs : un seul bit utilisé. Si =1 dans requête, hôte ne
connait pas son @ IP le serveur DHCP ou l’agent de relais
renvoie la réponse en diffusion.
ITE PC v4.0
Presentation_ID.scr
Explication des champs du msg DHCP (2/2)
Adresse IP du client : si le client connait son @IP
Votre adresse IP : @IP attribuée par le serveur
Adresse IP du serveur : @IP du serveur que le client doit utiliser dans l’étape
suivante du processus de bootstrap (peut être différente du serveur envoyant
la réponse)
Adresse IP de la passerelle : utile si client et serveur DHCP sur 2 réseaux ≠
( agents de relais DHCP)
Adresse matérielle du client
Nom du serveur
Nom du fichier de démarrage : dans DHCPDISCOVER: nom du fichier de
démarrage demandé. Dans DHCPOFFER : répertoire et nom du fichier
Options : de taille variable, plusieurs paramètres possibles
ITE PC v4.0
Message DHCPDISCOVER
• Le serveur note que le champ GIADDR est vide, ce qui signifie que le
client est sur le même segment.
• Le client définit le CIADDR uniquement lorsqu’il a déjà confirmé et il
utilise l’adresse IP
ITE PC v4.0
Presentation_ID.scr
Message DHCPRESPONSE
• Le serveur DHCP choisit une adresse IP dans le pool

du segment concerné et d'autres paramètres.
ITE PC v4.0
Configuration d’un serveur DHCP

Étape 1. Définissez une plage d’adresses que le
protocole DHCP ne doit pas allouer (@IP statiques
réservées au routeur, gestion de commutateur, aux
serveurs et aux imprimantes LAN…)
Étape 2. Créez le pool DHCP à l’aide de la commande
ip dhcp pool.
Étape 3. Configurez le pool.
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration DHCP
Passerelle (cmd default-router) : 1 @ est requise (jusqu’à 8)

Serveur de noms de domaine (DNS) (cmd dns-server) : 1 @ est
requise (jusqu’à 8)
Durée du bail DHCP (cmd lease {jours [heures] [minutes] | infinite}.)
Autres commandes: network, domain-name, netbios-name-server
ITE PC v4.0
Manipulation du serveur DHCP (1/2)

Service DHCP activé par
défaut. Pour le désactiver:
(config)#no service dhcp
Vérifier le fonctionnement
DHCP: #show ip dhcp
binding
ITE PC v4.0
Presentation_ID.scr
Manipulation du serveur DHCP (2/2)
Assurer que les messages sont
reçus ou envoyés par le routeur :
#show ip dhcp server
statistics.
Afficher le pool DHCP: # show
ip dhcp pool
ITE PC v4.0
Configuration d’un client DHCP

Dans la plupart des cas, les routeurs personnels acquièrent
automatiquement une adresse IP auprès du FAI.
Pour configurer une interface d’un routeur comme client

DHCP : (config-if)#ip address dhcp
ITE PC v4.0
Presentation_ID.scr
Relais DHCP
• PC1 essaie
d’avoir une @IP
• ipconfig
/release pour
libérer son @
0.0.0.0
• ipconfig /renew
pour solliciter
une autre @
Pas d’@ ou
169.254.x.x
(Automatic
Private IP
Addressing)
Solution: configurer la fonction
« ip helper-address» sur le routeur
agent de relais DHCP
ITE PC v4.0
Fonction « ip helper-address »
Elle s’applique sur l’interface qui n’a pas le service
voulu
Elle permet de transférer des paquets reçus en
diffusion vers une autre adresse située dans un autre rx
Elle transfère par défaut huit services UDP
Time (37); TACACS (49) ; DNS (53) ; BOOTP/DHCP server
and client (67/68) ; TFTP (69) ; NetBios (137/138)
Pour ajouter d’autres ports, cmd: (config)#ip forward-

protocol
ITE PC v4.0
Presentation_ID.scr
Configuration d’un serveur DHCP à l’aide de SDM
(Cisco Device Manager)
ITE PC v4.0
Dépannage du protocole DHCP

Tâche 1 : Résolution des conflits d’adresses IP
Tâche 2 : Vérification de la connectivité physique
Tâche 3 : Test de la connectivité du réseau en
configurant la station de travail cliente avec une
adresse IP statique
Tâche 4 : Vérification de la configuration du port du
commutateur (STP Portfast et autres commandes)
Tâche 5: Déterminer si les clients DHCP obtiennent
l’adresse IP sur le même sous-réseau ou réseau local
virtuel que le serveur DHCP
ITE PC v4.0
Presentation_ID.scr
Etape 1: Résolution des
conflits d’adresses IP
Un bail d’adresse IP peut expirer alors qu’un client est

toujours connecté à un réseau.
Si le client ne renouvelle pas le bail, le serveur DHCP peut
réattribuer cette adresse IP à un autre client.
Afficher tous les conflits d’adresses enregistrés par le
serveur DHCP : #show ip dhcp conflict
Le serveur utilise la commande ping pour détecter les
conflits.
Le client utilise le protocole ARP pour détecter les conflits
Si un conflit d’adresse est détecté, l’adresse est retirée du
pool et n’est pas attribuée qu’après résolution
ITE PC v4.0
Etapes 2, 3, 4 et 5 du dépannage
Étape 2: vérification de la connectivité physique
#show interface interface, confirmer que l’interface GTW du client
(routeur) est opérationnelle
Étape 3: test de la connectivité du réseau en utilisant des
adresses statiques
Si le client ne peut pas atteindre une ressource réseau avec une
@ IP statique, alors le problème ne vient pas de DHCP
Étape 4: vérification de la configuration du switch
Si un commutateur se trouve entre le client et le serveur DHCP,
vérifier que le port STP PortFast est activé et que l’agrégation
(Trunk) est désactivé
Etape 5 : déterminer si les clients DHCP obtiennent
l’adresse IP du bon sous réseau
ITE PC v4.0
Presentation_ID.scr
Autres opérations de dépannage
Vérification de la configuration du relais DHCP/BOOTP du
routeur
#show running-config
ip helper-address ...
pas de « no service dhcp »
Vérification de la réception par le routeur des requêtes DHCP
• configurer une acl pour le résultat du débogage :
(config)#access-list 100 permit ip host 0.0.0.0 host 255.255.255.255
• + #debug ip packet detail 100
Vérification de la réception et du transfert par le routeur de la
requête DHCP
• #debug ip dhcp server packet
ITE PC v4.0
Adressage IP privé et public

Toutes les adresses Internet publiques doivent être
enregistrées auprès d’un organisme d’enregistrement
Internet local.
• ARIN (amérique du nord), RIPE (europe), APNIC (Asie),
LACNIC (amérique latine), AfriNIC (afrique).
Prob1: Il n’existe pas suffisamment d’adresses publiques
Sol 1: Utiliser les adresses Internet privées réservées :
10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16 (RFC 1918)
Prob2: les adresses privées sont non routables :
Sol2: Traduction d’adresses de réseau (NAT) privé
public
ITE PC v4.0
Presentation_ID.scr
Fonctions NAT
Ne pas gaspiller les adresses IP publics en autorisant
les réseaux à utiliser des adresses IP privées.
Traduire les adresses non routables, privées et internes
en adresses routables publiques.
Ajouter un niveau de confidentialité et de sécurité à un
réseau (empêche les réseaux externes de voir les
adresses IP internes)
Terminologie
• Réseau interne : ensemble des réseaux soumis à la traduction.
• Réseau externe : toutes les autres adresses.
ITE PC v4.0
Fonctionnement du NAT et Terminologie
Adresse locale interne:

@ généralement privée
Adresse globale interne:

@ attribuée à l’hôte interne
Adresse globale externe:

@ IP accessible attribuée
à un hôte sur Internet
NAT : adresse locale interne
Adresse locale externe:
@ IP locale attribuée à un
adresse globale interne
hôte du réseau externe =(généralement)
adresse globale externe
ITE PC v4.0
Presentation_ID.scr
Mappage dynamique et statique
NAT dynamique : utilise un pool d’adresses publiques
et les attribue selon la méthode du premier arrivé,
premier servi.
NAT statique : utilise un mappage biunivoque des
adresses locales et globales ; ces mappages restent
constants.
• Utile pour les serveurs Web ou les hôtes qui doivent disposer
d’une adresse permanente, accessible depuis Internet.
Les fonctions NAT statique et dynamique nécessitent

suffisamment d’adresses publiques
ITE PC v4.0
Surcharge NAT
Surcharge NAT = traduction d’adresses de port = PAT
Mappe plusieurs adresses IP privées à une seule adresse IP publique ou
à quelques adresses (utile quand le FAI attribue une adresse public)
PAT s’assure que les clients utilisent sur le réseau externe un numéro de
port source différent pour chaque session client avec un serveur
Lors du retour, le port source devient port de destination déterminer
l’adresse privée du client
+ de sécurité (le port dest doit être déjà vu)
PAT essaye de conserver le même port source d’origine dans les réseaux
interne et externe. A défaut, il attribue le premier port disponible de son
groupe dans les plages 0-511, 512-1023 ou 1024-65535
ITE PC v4.0
Presentation_ID.scr
Fonctionnement du PAT
NAT ne traduit en général que des adresses IP
PAT modifie à la fois l’adresse IP privée et le numéro de port de ’expéditeur.
ITE PC v4.0
Avantages de la fonction NAT

Economise le modèle d’adressage enregistré
légalement
Augmente la souplesse des connexions vers le réseau
public (pools multiples, pools de sauvegarde (backup),
pools pour équilibrage de la charge + de fiabilité)
Cohérence des schémas d’adressage du réseau
interne (changer de FAI sans changer les @ locales)
Assure la sécurité du réseau (ne pas divulguer la
topologie interne)
ITE PC v4.0
Presentation_ID.scr
Inconvénients de la fonction NAT
Performances dégradées (Frais du NAT: recherche table, modif.
entête IP, TCP, UDP CRC)
Fonctionnalités de bout en bout affectées (certaines applications (ex.
signatures numériques) échouent)
Traçabilité IP de bout en bout perdue (modifier les en-têtes n’arrange
pas les contrôles d’intégrité effectués par IPsec et autres protocoles
de tunnelisation)
Etablissement de connexions TCP perturbé.
• Si le routeur NAT ne fait pas un effort spécifique, les paquets entrants
n’atteignent pas leur destination.
• Certains protocoles acceptent une instance NAT (ex. FTP en mode passif),
mais échouent si NAT dans les deux systèmes
Architectures doivent être remodelées pour tenir compte des

modifications.
ITE PC v4.0
Configuration de la NAT statique

Etape 1 : Établissez la traduction statique entre une adresse
locale interne et une adresse globale interne.
Router(config)#ip nat inside source static ip-locale ip-globale
Etape2 : Spécifiez l’interface interne.
Router(config)#interface numéro type
Etape3 : Signalez l’interface comme connectée à l’intérieur.
Router(config-if)#ip nat inside
Etape4: Spécifiez l’interface externe.
Router(config)#interface numéro type
Etpae5 : Signalez l’interface comme connectée à l’extérieur.
Router(config-if)#ip nat outside
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration du NAT statique
ITE PC v4.0
Configuration de la NAT dynamique

Etape1 : Définissez un pool d’adresses Etape 4 : Spécifiez l’interface
globales interne.
Router(config)#ip nat pool nom ip-début Router(config)#interface
ip-fin {netmask masque-réseau | prefix- numéro type
length longueur-préfixe}
Etape 5 : Signalez l’interface
Etape2 : Définissez une liste d’accès comme connectée à l’intérieur.
standard autorisant les adresses qui Router(config-if)#ip nat inside
doivent être traduites.
Router(config)#access-list numéro-liste- Etape 6 : Spécifiez l’interface
d’accès permit source [masque- externe.
générique-source] Router(config)#interface
numéro type
Etape 3 : Établissez une source
dynamique de traduction, en spécifiant la Etape 7 : Signalez l’interface
liste d’accès définie à l’étape précédente. comme connectée à l’extérieur.
Router(config)#ip nat inside source list Router(config-if)#ip nat
numéro-liste-d’accès pool nom outside
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration du NAT dynamique
ITE PC v4.0
Configuration de la surcharge NAT (PAT)

2 méthodes selon les adresses IP publiques
• Cas1 : FAI alloue une seule adresse IP publique
• Cas2: il existe plusieurs adresses IP publiques
ITE PC v4.0
Presentation_ID.scr
Configurer la surcharge NAT avec une
adresse IP unique
Etape 1 : Définissez une liste d’accès standard autorisant les adresses
qui doivent être traduites.
Router(config)#access-list num-acl permit source [masque-générique-src]
Etape 2 : Établissez une source dynamique de traduction, en spécifiant la
liste d’accès définie à l’étape précédente.
Router(config)#ip nat inside source list num-acl interface NOM_INTERFACE
overload
Etape 3 : Spécifiez l’interface interne.
Router(config)#interface type numéro
Router(config-if)#ip nat inside
Etape 4 : Spécifiez l’interface externe.
Router(config-if)#interface type numéro
Router(config-if)#ip nat outside
ITE PC v4.0
Exemple : PAT avec une seule @ publique
ITE PC v4.0
Presentation_ID.scr
Configurer la surcharge NAT avec
plusieurs adresses IP
Similaire au NAT avec pool. La seule différence est + overload
Etape 1 : Définissez une liste d’accès standard autorisant les adresses
qui doivent être traduites.
Router(config)#access-list num-acl permit source [masque-générique-src]
Etape 2 : Spécifiez l’adresse globale, en tant que pool
Router(config)#ip nat pool nom ip-début ip-fin {netmask masque-réseau |
prefix-length longueur-préfixe}.
Etape 3 : Établissez la traduction de surcharge.
Router {config}#ip nat inside source list num-acl pool nom overload.
Etape 4 : Spécifiez l’interface interne.
Router(config)#interface type numéro ; Router(config-if)#ip nat inside
Etape 5 : Spécifiez l’interface externe.
Router(config-if)#interface type numéro ; Router(config-if)#ip nat outside
ITE PC v4.0
Exemple : PAT avec plusieurs @ publiques
ITE PC v4.0
Presentation_ID.scr
Transfert de port
La fonction NAT n’autorise pas les requêtes provenant
de l’extérieur (il faut qu’il ait déjà des requêtes
sortantes)
Sol: Le transfert de port (= transmission tunnel)
correspond au transfert du port réseau d’un nœud
réseau à un autre.
un utilisateur externe atteint un port sur une @ IP
privée via un routeur compatible NAT (utile pour un
trafic peer-to peer, un serveur web interne, …)
Pour des raisons de sécurité, le transfert de port est
désactivé par défaut
ITE PC v4.0
Configuration d’un transfert de port

Dépend du modèle du routeur large bande
www.portforward.com propose des instructions pour
divers routeurs à large bande.
ITE PC v4.0
Presentation_ID.scr
Vérification de NAT et de la surcharge NAT
#show ip nat translations
Ajoutez l’instruction verbose à la commande pour afficher des
informations supplémentaire
ITE PC v4.0
Autres commandes de manipulation NAT/PAT
#show ip nat statistics

• Affiche les informations sur le nombre total de traductions actives,
les paramètres de configuration NAT, le nombre d’adresses dans
le pool et le nombre d’adresses attribuées.
(config)#ip nat translation timeout délai_secondes
• Par défaut, les entrées NAT se désactivent au bout de 24 h
(config)#clear ip nat translation
• Effacer des entrées dynamiques avant expiration du délai
• Seules les traductions dynamiques sont effacées de la table
clear ip nat translation protocole inside ip-globale port-
global ip-locale port-local [outside ip-locale port-local
ip-globale port-global]
• Effacer une entrée étendue de traduction dynamique :
ITE PC v4.0
Presentation_ID.scr
Exemples de statistiques NAT
ITE PC v4.0
Dépannage de la configuration NAT et PAT

Étape 1. En fonction de la configuration, définissez
clairement ce que la fonction NAT est censée faire.
Étape 2. Assurez-vous que les bonnes traductions
existent : show ip nat translations.
Étape 3. Utilisez les commandes clear et debug pour
vous assurer que NAT fonctionne correctement.
Regardez si les entrées dynamiques sont recréées
après avoir été effacées.
Étape 4. Analysez de façon détaillée ce qui arrive au
paquet et assurez-vous que les routeurs disposent des
informations de routage adéquates pour le déplacer.
ITE PC v4.0
Presentation_ID.scr
Débogage NAT
Cmd: #debug ip nat [detailed]
• * : l’astérisque en regard de NAT indique que la traduction

s’effectue sur le chemin à commutation rapide.
• [xxxx] : la valeur entre crochets représente le numéro
d’identification IP. Ces informations peuvent être utiles
pour suivre les paquets qui se suivent
ITE PC v4.0
Pénurie des adresses IPv4

4,2 milliards d’@ uniques, seules 3,7 milliards
attribuables insuffisantes !
Raisons
• Croissance de la population, les utilisateurs restent connectés
• Utilisateurs mobiles (PDA, tablettes, lecteurs de codes à
barres)
• Transport : Voitures avec adresse IP. Lufthansa propose déjà
une connectivité Internet sur ses vols.
• Électronique grand public : les derniers appareils ménagers
utilisent IP pour permettre une surveillance à distance, des
mises à jour, etc.
ITE PC v4.0
Presentation_ID.scr
Blocs d’adresses IPv4 attribués jusqu’à 2007
ITE PC v4.0
Migration vers IPv6

La transition d’IPv4 à IPv6 a déjà commencé, particulièrement en
Europe, au Japon et dans la région Asie-Pacifique
Le DoD a décrété dès 2003 que tout appareil acheté devait être
compatible IPv6.
IPv6 résout un ensemble de problèmes de IPv4:
• Augmentation de l’espace d’adressage
• Entête simplifiée réduire le traitement
• Sécurité intégrée
• Configuration automatique des adresses
• Mobilité (acquérir rapidement des adresses et passer de l’une à l’autre lorsqu’ils
se trouvent sur des réseaux étrangers, sans agent)
IPv5: utilisé pour définir un protocole RTSP (real-time streaming protocol)

expérimental ou Internet Stream Protocol (ST)
ITE PC v4.0
Presentation_ID.scr
Adressage IPv6 avancé
Accessibilité et souplesse globales
Agrégation
Multi-hébergement (Un hôte peut se connecter à plusieurs
FAI)
Configuration automatique pouvant inclure des adresses
MAC
Plug-and-play pour plus de périphériques.
Ré adressage public – privée de Bout en bout sans NAT
(Les réseaux peer to peer sont plus faciles à déployer)
Mécanismes simplifiés pour la renumérotation et la
modification des adresses.
ITE PC v4.0
Mobilité et sécurité IPv6

Compatible RFC IP mobile
• les périphériques mobiles de se déplacer sans interruptions
dans des connexions réseau établies.
• Ils utilisent une adresse permanente (Home Address) et une
adresse temporaire (Care-of Address)
• Avec IPv4, ces adresses sont configurées manuellement.
• Avec IPv6, les configurations sont dynamiques.
IPsec obligatoire (ou natif) pour IPv6
ITE PC v4.0
Presentation_ID.scr
En-tête simple IPv6
Efficacité du routage Performances et évolutivité du
débit de transmission
Aucune diffusion et donc aucun risque de tempêtes de
diffusion (mais les nœuds supportent le multicast)
Aucune somme de contrôle
Systèmes d’en-têtes d’extension simplifiés et plus
efficaces.
Étiquetage de flux
ITE PC v4.0
En-tête IPv4 v & IPv6
ITE PC v4.0
Presentation_ID.scr
Détails de l’entête IPv6
Entête suivant :
0 Proche en proche ; 6 TCP ; 17 UDP ; 41 IPv6 ; 43 Routage ; 44
Fragmentation ; 50 Confidentialité ; 51 Authentification ; 58 ICMPv6
; 59 Fin des en-têtes ; 60 Destination
Champ «Longueur » : uniquement des données utiles
(≠Ipv4). Si taille très grande val =0 + option jumbogramme
de l'extension de « proche en proche »
Etiquette de flux : numéro unique (traitement routeur, RSVP)
Classe: codée sur 8 bits, permet la différentiation de services
Limite de sauts ≡ TTL
ITE PC v4.0
Approches de transition
Problème: communication entre un hôte IPv6 et un hôte
IPv4.
Deux approches sont possibles pour permettre la
communication :
•la double pile.
o doter les hôtes IPv4 à la fois d'adresses IPv6 et IPv4 de façon à
leur permettre de communiquer aussi bien avec les hôtes IPv4 et
IPv6.
o îles IPv6 sont interconnectées par des tunnels IPv6 sur IPv4.
•les traducteurs de protocoles : sur plusieurs niveaux
o réseau (NAT-PT, NAT64), transport (TRT, RFC 3142) ou applicatif
(DNS-ALG, RFC 2766).
ITE PC v4.0
Presentation_ID.scr
Richesse de la transition d’IPv6
Double pile (conseillé !)
Doter les hôtes IPv4, et les serveurs en particulier, à la fois d'adresses
IPv6 et IPv4 de façon à leur permettre de communiquer aussi bien avec
les hôtes IPv4 et IPv6
Tunnels 6 to4 : (Connexion des îlots IPv6 via un réseau IPv4)

préfixe réservé 2002::/16 afin d’utiliser un préfixe IPv6 /48 basé sur
une @ IPv4 unique routable ou accessible globalement
Traduction ISATAP ou Teredo (en dernier recours)
• Intra-Site Automatic Tunnel Addressing Protocol : prend en charge le
déploiement automatique de l'IPv6 dans les sites IPv4. Il spécifie les
opérations IPv6 et le protocole Neighbor Discovery. Il génère une @IPv6
à partir d’une @IPv4.
• Teredo (ou Shipworm ): transmettre des datagrammes IPv6 dans des
tunnels UDP IPv4. Cette méthode permet d’utiliser des adresses IPv4
privées et la traversée NAT IPv4.
ITE PC v4.0
Transition pour des hôtes individuels et les réseaux d'entreprise

La manière la plus simple d'accéder à IPv6 est lors de l'abonnement de
choisir un FAI qui offre de l'IPv6 nativement, c'est-à-dire sans recours à
des tunnels.
À défaut, et pendant une phase de transition, il est possible d'obtenir une
connectivité IPv6 via un tunnel.
Tunnels configurés explicitement
o 6in4 (RFC 4213) fait usage du numéro de protocole 41 d'IP et est donc parfois
bloqué par des pare-feux et les NAT.
o AYIYA permet le transport sur UDP ou TCP et gère le changement d'adresse IP.
o GRE utilise le numéro de protocole 47.
Tunnels automatiques
o 6to4 (RFC 3056) si une adresse IPv4 publique (de préférence fixe) est disponible.
Pour l'accès aux adresses IPv6 hors du préfixe 2002::/16 (réservé pour 6to4), une
adresse relais anycast est réservée, 192.88.99.1.
o 6over4 (en) (RFC 2529) permet la connexion à travers un réseau IPv4 qui prend
en charge multicast
o ISATAP (RFC 5214), une amélioration du précédent qui ne requiert pas le support
multicast.
o Teredo (RFC 4380) utilisable dans un réseau d'adresses IPv4 privées, relié à
Internet via un routeur assurant une traduction d'adresses.
ITE PC v4.0
Presentation_ID.scr
Richesse de la transition d’IPv6
Double pile (conseillé !)
Doter les hôtes IPv4, et les serveurs en particulier, à la fois
d'adresses IPv6 et IPv4 de façon à leur permettre de communiquer
aussi bien avec les hôtes IPv4 et IPv6
Tunnel statique : Tunnel configuré manuellement entre deux

points.
6to4 : Tunnel automatique pour relier un site IPv6 à l'Internet
IPv6 par une connexion à Internet par IPv4.
ISATAP: Tunnel semi-automatique pour un Intranet.
Teredo:Tunnel semi-automatique pour un PC derrière un
NAT.
ITE PC v4.0
Adressage IPv6
Il y a 8 blocs de 16 bits, séparés par (:)
Les zéros de tête dans un bloc sont facultatifs
Des champs successifs de zéros ne peuvent être
représentés par :: qu’une seule fois par adresse
3 types : unicast, multicast et anycast (un seul des éléments
du groupe).
Exemple :
• 2031:0000:130F:0000:0000:09C0:876A:130B ≡
2031:0:130f::9c0:876a:130b
• FF01:0:0:0:0:0:0:1 ≡ FF01::1
• 0:0:0:0:0:0:0:1 ≡ ::1
• 0:0:0:0:0:0:0:0 ≡ ::
ITE PC v4.0
Presentation_ID.scr
Adresse de monodiffusion globale IPv6
Le format d’@ IPv6 permet l’agrégation de manière
ascendante jusqu’au FAI.
Les @ de monodiffusion globales commencent par 001 (≡
2000::/3 2……/4 ou 3 …../4)
Les @ de monodiffusion globales attribuées par l’IANA
comprennent
• un préfixe de routage global de 48 bits (/48)
• un ID de sous-réseau de 16 bits (/49 à /64)
L’IANA alloue la plage de 2001::/16 aux organismes

d’enregistrement Internet locaux (ARIN, RIPE, APNIC, LACNIC
et AfriNIC).
ITE PC v4.0
Adresse de monodiffusion globale IPv6
TLA : Top Level Aggregator ; res = reserve ; NLA : Next Level Aggregator ;
SLA : Site Level Aggregator
• TLA et NLA font partie de la

topologie dite publique
• SLA est le champ
paramétrable par les clients
pour redéfinir un plan de sous
adressage.
ITE PC v4.0
Presentation_ID.scr
Adresses particulières
Adresses réservées
::/8 ; Réservées par l’IETF pour divers usages (1/256 des @),
Adresses privées
• FE80::/9, divisée en 2 types
• Adresses locales-sites (semblable à RFC 1918) ≡ FEC0::/10
• Adresses de monodiffusion de liaison locale : ≡ FE80::/10 ;
nouveau concept, étendu inférieur au site local – uniquement le
lien physique- pour la configuration auto de l’adresse et la
détection des voisins
Adresse indéterminée
≡ :: ; @ src de d’un équipement pendant son initialisation
Adresse de bouclage
0:0:0:0:0:0:0:1 ; associée à une interface virtuelle (loopback).
ITE PC v4.0
Adresses multicast
Préfixe FF00::/8
Flag= 000T. Si T=0 adresse permanente, sinon temporaire

Scope :portée de la multidiffusion
= 0 (réservé) 1 (équipement), 2 (lien local), 5 (site local), 8 (organisation),
…E(global), F(réservé)
Pas d’ARP avec IPv6, mais NDP qui s’appuie sur ICMPv6
Code d’IPv6 dans Ethernet : 0x86DD
ITE PC v4.0
Presentation_ID.scr
Gestion des adresses IPv6
Statique
• Attribution statique à l’aide d’un ID d’interface manuel
• Attribution statique à l’aide d’un ID d’interface EUI-64
Dynamique
• Configuration automatique sans état
• Le système de configuration automatique a été créé pour
permettre la mise en réseau plug-and-play des
périphériques IPv6
• DHCP pour IPv6 (DHCPv6)
• DHCPv6 permet aux serveurs DHCP de transmettre les
paramètres de configuration, tels que les adresses réseau
IPv6, aux nœuds IPv6
ITE PC v4.0
Attribution manuelle de l’ID d’interface

Attribuer manuellement le préfixe (réseau) et l’ID
d’interface (hôte) de l’adresse IPv6
Cmd: (config-if)#ipv6 address adresse-ipv6/longueur-préfixe
Ex: Router(config-if)#ipv6 address 2001:DB8:2222:7272::72/64
ITE PC v4.0
Presentation_ID.scr
Attribution de l’ID d’interface EUI-64
Adresse IPv6=préfixe sous réseau (manuel) + ID
interface
ID interface (64bits)= @MAC + 0xFFFE (au milieu)
Cmd: (config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64
ITE PC v4.0
Stratégies de transition à IPv6

Plusieurs mécanismes de transition sont disponibles :
• Double pile: (recommandée) nécessite l’exécution simultanée
d’IPv4 et v6. les routeurs et switchs supportent les 2 protos.
• Tunnel manuel : un paquet IPv6 est encapsulé dans le
protocole IPv4. Cette méthode nécessite des routeurs à
double pile.
• Tunnel 6to4
• Tunnel ISATAP
• Tunnel Teredo
Plusieurs mécanismes de compatibilité :

• Proxy et traduction (NAT-PT) : NAT-Protocol Translation,
entre IPv6 et IPv4
ITE PC v4.0
Presentation_ID.scr
Transmission tunnel
Tunnel manuel
Tunnel 6to4
• Connexion des îlots IPv6 via un réseau IPv4 (Internet)
• Appliquer de façon dynamique un préfixe IPv6 unique et valide à chaque
îlot IPv6 ( déployer IPv6 sans récupération d’@ d’un FAI ou registre)
Tunnel ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

• Mécanisme de transmission tunnel de superposition automatique qui
utilise le réseau IPv4 sous-jacent comme couche liaison pour IPv6.
Tunnel Teredo
• technologie de transition à IPv6 qui offre une transmission tunnel d’hôte à
hôte automatique plutôt que la transmission tunnel vers une passerelle.
(utile si l’hôte se trouve derrière un NAT IPv4)
ITE PC v4.0
Tunnel 6to4 6to4 encapsule un

paquet IPv6 dans
la zone de
données (payload)
d'un paquet IPv4
avec protocole de
type 41.
• En IPv6
• Le réseau (hôtes)
ne nécessite • En IPv4
qu’une seule • La machine nécessite
adresse IPv4 et en plus une adresse
une passerelle IPv4. Elle se charge de
l’encapsulation
ITE PC v4.0
Presentation_ID.scr
Tunnel 6to4 - principe
6to4 est une variante du tunnel statique. Toute machine

qui dispose d'une adresse IPv4 globale peut utiliser le
6to4. C'est une sorte de tunnel entre toutes les
machines de la planète qui disposent d'une adresse
IPv4 publique/globale. Cela permet d'accéder à
l'Internet IPv6 par une connexion Internet IPv4 usuelle,
telle que fournie par un fournisseur d'accès grand
public.
Le format des paquets est le même que pour le tunnel
statique, mais les paquets sont échangés entre de très
nombreuses machines supportant le 6to4.
ITE PC v4.0
Tunnel 6to4 - adressage

Tout paquet IPv6 dont l'adresse de destination commence par 2002:
doit passer par le tunnel 6to4. Dans ce cas, les bits 16 à 47 de
l'adresse IPv6 destination détermine à quelle adresse IPv4 le paquet
doit être transmis. Cette adresse est celle d'un routeur 6to4.
Par exemple, si la destination d'un paquet IPv6 est
2002:8ac3:802d:1242:20d:60ff:fe38:6d16, , le paquet sera transmis
par IPv4 au routeur 6to4 dont l'adresse IP est 138.195.128.45 (0x8a =
138, 0xc3 = 195, 0x80 = 128, 0x2d = 45). C'est ensuite au routeur
6to4 de transmettre le paquet IPv6 à sa destination finale.
Avec cette technique, si un fournisseur d'accès à Internet vous
attribue une adresse IPv4, vous disposez automatiquement d'un jeu
de 2^80 adresses IPv6 que vous pouvez librement utiliser : toutes les
adresses IPv6 commençant par 2002:8ac3:802d: dans notre exemple.
C'est amplement suffisant pour que toutes les machines de votre
réseau local obtienne leur propre adresse IPv6.
ITE PC v4.0
Presentation_ID.scr
Tunnel 6to4 - Relais 6to4
Pour que les utilisateurs d'adresses IPv6 commençant

par 2002: puissent communiquer avec les autres, des
relais entre le monde 6to4 et l'Internet-IPv6 ont été mis-
en-place sur Internet. Par une astuce ingénieuse,
l'adresse du relais le plus proche est toujours
192.99.88.1 en IPv4.
Ainsi, si vous utilisez 6to4 pour vous connecter à
Internet, et que vous souhaitez contacter une machine
n'utilisant pas 6to4, par exemple,
2001:200:0:8002:203:47ff:fea5:3085, vous pouvez
transmettre les paquets par le tunnel 6to4 au relais le
plus proche.
ITE PC v4.0
Tunnel ISATAP
communication en IPv6 au travers d’un
réseau IPv4 de deux machines entre
elles, ou de deux routeurs entre eux,
ou encore d’une machine et d’un
routeur
ISATAP sera utilisé lorsqu’il n'y a pas

de connexion IPv6 native.
Il définit une méthode pour générer
une adresse à partir d’une adresse
IPv4. @IPv6=[Préfixe de 64 bits]:0:5EFE:IPv4
ITE PC v4.0
Presentation_ID.scr
ISATAP
Principe
ISATAP est l'équivalent interne de 6to4 (externe). Alors que
6to4 fournit une connectivité IPv6 vers l'extérieur, ISATAP
fournit une connectivité IPv6 vers l'intérieur. C'est utile si
certains des routeurs de votre réseau Intranet/local ne
supportent pas IPv6.
Adressage
Avec ISATAP, les 64 premiers bits de l'adresse IPv6 sont
choisis. Les bits 64 à 95 sont égaux à 0000:5ffe. Enfin, les bits
96 à 127 représente l'adresse IPv4 de destination (bout du
tunnel).
ITE PC v4.0
Tunnel Teredo
Encapsuler des paquets IPv6 dans
des messages UDP en IPv4
• Le client Teredo, est un hôte se connectant derrière un

NAT, et qui utilise une connectivité IPv4.
• Son adresse IPv6 possède un préfixe Teredo
ITE PC v4.0
2001:0000::/32
Presentation_ID.scr
Teredo
Teredo est une technologie non finalisée, développé

par Microsoft Corporation. Elle consiste à encapsuler
des paquets IPv6 dans des paquets UDP/IPv4. En
effet, les paquets UDP peuvent traverser les dispositifs
NAT, contrairement aux paquets IPv6 sur IPv4.
ITE PC v4.0
Utilisation des technologies de transition

Un message de type « Router Advertisement » est une annonce
faite par un routeur, elle contient un ou plusieurs préfixes
autorisant ainsi l’auto-configuration des machines.
Si une machine reçoit un message de ce type, cela signifie que le
réseau utilise de l’IPv6, la machine privilégiera alors une
connectivité native IPv6 plutôt qu’une technologie de tunneling.
Si ce message est du type « Router Advertisement ISATAP», alors
la machine se servira de la technologie ISATAP.
Si la machine possède une adresse IPv4 publique elle emploiera
alors 6to4.
Si la machine possède une connectivité IPv4 privée et si elle se
trouve derrière une NAT, elle utilisera Teredo.
ITE PC v4.0
Presentation_ID.scr
Double pile Cisco IOS
Méthode d’intégration dans laquelle un nœud
a une mise en œuvre et une connectivité à un
réseau IPv4 et IPv6.
Une API est intégrée aux applications
logicielles afin de convertir IPv4 en IPv6, et
inversement.
Le nœud à double pile choisit la pile à utiliser
en fonction de l’adresse de destination du
paquet.
Un nœud à double pile doit privilégier l’IPv6
lorsque celui-ci est disponible.
ITE PC v4.0
Transmission tunnel IPv6

Tunnel 6to4 Limites:
Encapsulation: IPv4(IPv6)
• MTU-20 (entête IPv4)
Dans ce cas, les routeurs sont à • Dépannage complexe
double pile technique d’intégration
et de transition intermédiaire
Si Tunnel configuré
manuellement ≡ liaison
permanente entre 2
ITE PC v4.0
doms IPv6
Presentation_ID.scr
Considérations sur le routage IPv6
IPv6 utilise le routage vers le plus long le préfixe.
IPv6 utilise des versions modifiées des protocoles de
routage (structures d’en-tête, @ IPv6 plus longues).
La taille supérieure de l’espace d’adressage est suffisante
pour permettre aux organisations de définir un préfixe
unique pour l’ensemble de leur réseau.
IPv6 apporte des modification au routage sur 3 plans:
• Contrôle (~signalisation): interaction du routeur avec les
éléments du réseau
• Données : transfert de paquets d’une interface physique ou
logique à une autre
• Services avancés: filtrage des paquets, QoS, chiffrement, NAT
et statistique …
ITE PC v4.0
Considérations sur le routage IPv6
ITE PC v4.0
Presentation_ID.scr
Modif. plan de contrôle dans le routage IPv6
Taille de l’adresse IPv6 :
+ traitement des @ (2 cycles UC 64 bits/@)
Adresses de nœuds IPv6 multiples :
un nœud peut utiliser plusieurs @ + traitement lors de la
découverte de voisins
Protocoles de routage IPv6 :
préfixes de taille plus grande + (données et traitement) des
mises à jour de routage
Taille de la table de routage :
espace d’adressage plus grand, + de réseau, Internet plus
grande + table de routage volumineuse
ITE PC v4.0
Modif. plan de données dans le routage IPv6

Analyse des en-têtes d’extension IPv6
ACL qui filtre selon des informations de la couche 4, doit
chercher ces données sur des paquets avec ou sans
extensions Ipv6
Recherche d’adresses IPv6

Se baser sur l’adresse IPv6 destination et la table de routage
pour acheminer le paquet vers une autre interface
De nouveaux mécanismes sont utilisés, tel que, Cisco

Express Forwarding (CEF) pour la commutation entre
les interfaces.
ITE PC v4.0
Presentation_ID.scr
Protocole de routage RIPng
RIPng depuis Cisco IOS version 12.2(2)T
Caractéristiques IPv4 similaires :
• Vecteur de distance, max 15 sauts, découpage d’horizon et
empoisonnement inverse
• Basé sur RIPv2
Caractéristiques mises à jour pour IPv6 :
• Préfixe IPv6, adresse IPv6 de tronçon suivant
• @ multidiffusion FF02::9
• Acheminement avec IPv6
• UDP port 521
• Nom: RIPng !
ITE PC v4.0
Configuration des adresses IPv6

activer la transmission de trafic IPv6 sur le routeur :
RouterX(config)#ipv6 unicast-routing
Configurer chaque interface nécessitant IPv6.
RouterX(config-if)#ipv6 address ipv6prefix/prefix-length eui-64
Pour afficher l’adresse Ipv6 de l’interface:
#show ipv6 interfaces eth 0
MAC: 0260:3E47:1530
ITE PC v4.0
Presentation_ID.scr
Résolution de noms Cisco IOS pour IPv6
Définir un nom statique pour les adresses IPv6.
• RouterX(config)#ipv6 host nom [port] adr-ipv6 [{adr-ipv6} ...]
• Jusqu’à 4 adresses pour le même hôte
• « port » : port Telnet à utiliser pour l’hôte correspondant.
• RouterX(config)#ipv6 host router1 3ffe:b00:ffff:b::1
Ou configurer un ou des serveurs DNS

• RouterX(config)#ip name-server adr
• Adr : @ IPv4 ou IPv6, Jusqu’à 6 adresses de serveurs DNS
• RouterX(config)#ip name-server 3ffe:b00:ffff:1::10
ITE PC v4.0
Configuration de RIPng avec IPv6

Activer le routage IPv6 et activer/configurer les IPv6 sur
les interfaces concernées
• (config)#ipv6 unicast-routing
• (config-if)#ipv6 address ipv6prefix/prefix-length eui-64
Activer le routage RIPng sur le routeur
• (config)#ipv6 router rip nom.
• nom : identifie le processus RIP et sera utilisé lors de
configuration de RIPng sur les interfaces concernées.
Identifier les interfaces devant exécuter RIPng
• (config-if)# ipv6 rip nom enable
• Pas de (config-router)#network…..
ITE PC v4.0
Presentation_ID.scr
Exemple de configuration RIPng
ITE PC v4.0
Vérification RIPng
Commande Fonction
show ipv6 interface Etat des interfaces configurées pour IPv6
show ipv6 interface brief Etat résumé
show ipv6 neighbors Informations de cache de la détection de voisins IPv6
show ipv6 protocols Paramètres et l’état actuel des processus de protocole de routage
actif IPv6.
show ipv6 rip Informations sur les processus de protocole RIP IPv6 en cours.
show ipv6 route Table de routage IPv6 actuelle.
show ipv6 routers Informations d’annonce de routage IPv6 reçues d’autres routeurs.
show ipv6 static uniquement les routes IPv6 statiques
show ipv6 static uniquement les informations de routes statiques relatives à
2001:db8:5555:0/16 l’adresse donnée
show ipv6 static uniquement les informations de routes statiques avec l’interface
interface serial 0/0 spécifiée comme interface sortante
show ipv6 static detail entrée plus détaillée pour les routes statiques IPv6
show ipv6 traffic
ITE PC v4.0 statistiques du trafic IPv6
Presentation_ID.scr
Dépannage de RIPng
Commande Fonction
clear ipv6 rip Supprime les routes de la table de routage RIP IPv6 et, si
elles sont installées, les routes de la table de routage IPv6.
clear ipv6 route * Supprime toutes les routes de la table de routage IPv6.
clear ipv6 route Supprime cette route spécifique de la table de routage IPv6.
2001:db8:c18:3::/64
clear ipv6 traffic Réinitialise les compteurs de trafic IPv6.
debug ipv6 packet Affiche les messages de débogage pour les paquets IPv6.
debug ipv6 rip Affiche les messages de débogage pour les transactions de
routage RIP IPv6.
debug ipv6 routing Affiche les messages de débogage pour les mises à jour de
la table de routage IPv6 et les mises à jour de la mémoire
cache de route.
ITE PC v4.0
Summary
Dynamic Host Control Protocol (DHCP)

This is a means of assigning IP address and other configuration
information automatically.
DHCP operation
–3 different allocation methods
•Manual
•Automatic
•Dynamic
–Steps to configure DHCP
•Define range of addresses
•Create DHCP pool
•Configure DHCP pool specifics
ITE PC v4.0
Presentation_ID.scr
Summary
DHCP Relay
Concept of using a router configured to listen for
DHCP messages from DHCP clients and then
forwards those messages to servers on different
subnets
Troubleshooting DHCP
–Most problems arise due to configuration errors
–Commands to aid troubleshooting
•Show ip dhcp
•Show run
•debug
ITE PC v4.0
Summary
Private IP addresses
–Class A = 10.x.x.x
–Class B = 172.16.x.x – 172.31.x.x
–Class C = 192.168.x.x
Network Address Translation (NAT)
–A means of translating private IP addresses to public IP addresses
–Type s of NAT
•Static
•Dynamic
–Some commands used for troubleshooting
•Show ip nat translations
•Show ip nat statistics
•Debug ip nat
ITE PC v4.0
Presentation_ID.scr
Summary
IPv6
–A 128 bit address that uses colons to separate entries
–Normally written as 8 groups of 4 hexadecimal digits
Cisco IOS Dual Stack

–A way of permitting a node to have connectivity to an IPv4 &
IP v6 network simultaneously
IPv6 Tunneling
–An IPV6 packet is encapsulated within another protocol
ITE PC v4.0
Summary
Configuring RIPng with IPv6

1st globally enable IPv6
2nd enable IPv6 on interfaces on which IPv6 is to be enabled
3rd enable RIPng using either
ipv6 rotuer rip name
ipv6 router name enable
ITE PC v4.0
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 8: Dépannage du
réseau
ITE PC v4.0
Objectifs
Établir et documenter une ligne de base du réseau
Décrire les différentes méthodologies et les différents
outils de dépannage
Décrire les problèmes qui se produisent couramment
lors de la mise en œuvre d’un réseau étendu
Identifier et résoudre les problèmes qui se produisent
couramment lors de la mise en œuvre d’un réseau
d’entreprise
ITE PC v4.0
Presentation_ID.scr
Documentation réseau
Diagramme logique du réseau + informations détaillées
sur chaque composant
Documentation sauvegardée sous forme de copie
papier ou sur le réseau sur un site Web protégé
La documentation réseau inclut les composants :
• Table de configuration du réseau (matériel et logiciels utilisés)
• Table de configuration du système d’extrémité (serveur,
console admin, station de travail, …)
• Diagramme topologique du réseau
ITE PC v4.0
Documentation routeur et commutateur
ITE PC v4.0
Presentation_ID.scr
Documentation système d’extrémité
ITE PC v4.0
Diagramme topologique du réseau
ITE PC v4.0
Presentation_ID.scr
Commandes utiles pour le processus de
documentation du réseau
ping :
tester la connectivité avec les périphériques avant de se connecter
telnet:
se connecter à distance à un périphérique afin d’accéder à des
informations de configuration.
show ip interface brief :
afficher l’état actif ou inactif et l’adresse IP de toutes les interfaces d’un
périphérique.
show ip route
afficher la table de routage (connaître les voisins connectés directement,
routes apprises, protocoles de routage, …).
show cdp neighbor detail:
infos a propos des périphériques voisins Cisco connectés directement.
ITE PC v4.0
Processus de documentation du réseau

À un périphérique
non documenté Ajouter info dans dia.
réseau
Recueillir les infos Enregistrer info dans

table réseau
Découvrir voisin
Des
périphériques
non encore
documentés ?
ITE PC v4.0
Presentation_ID.scr
Importance d’une ligne de base du réseau
ITE PC v4.0
Utilités d’une ligne de base du réseau

Déterminer la différence entre une situation anormale
et des performances réseau standard
Déterminer si la conception actuelle du réseau peut
permettre de mettre en place les stratégies requises
Mesurer le niveau optimal du trafic réseau et les
niveaux d’encombrement.
Une analyse effectuée après une ligne de base initiale
a tendance à révéler des problèmes cachés
Indiquer des parties du réseau qui sont sous-utilisées,
ce qui peut déboucher sur une nouvelle conception du
réseau.
ITE PC v4.0
Presentation_ID.scr
Planification de la première ligne de base
Étape 1. Choix des types de données à collecter
Sélectionner les variables qui représentent les stratégies définies
Utilisation des interfaces et de l’unité centrale
Étape 2. Identification des périphériques et des ports intéressants

Ports réseaux connectés, serveurs, principaux utilisateurs,…
Étape 3. Durée de la ligne de base

Durée suffisante pour avoir une image réelle du rx (au moins 1 sem)
Les tendances hebdomadaires sont aussi importantes que les tendances
quotidiennes ou horaires.
Réviser régulièrement la ligne de base en indiquant les

différences (évolutions) constatées
ITE PC v4.0
Durée de la ligne de base
ITE PC v4.0
Presentation_ID.scr
Mesure des données de performances
réseau
Utilisation de logiciels sophistiqués d’administration des réseaux
Exemple: module SuperAgent de Fluke Network permet aux
administrateurs de créer et de revoir automatiquement des
rapports grâce aux références intelligentes.
La ligne de base peut demander à la fois un recueil manuel des
données et l’utilisation de simples inspecteurs de protocole réseau.
Exemples de commandes ios : show version, interface, ip
interface, ip route, arp, running-config, port, vlan, ..
show tech-support : (~cron) exécute des commandes show et
propose de nombreuses pages de résultat détaillé destinées à être
envoyées à l’assistance technique.
ITE PC v4.0
Exemple d’outils
WhatsUp Gold
SuperAgent
ITE PC v4.0
Presentation_ID.scr
Approche générale du dépannage
• Fiable mais
lente
• Non fiable
• Difficilement
applicable
• Peut être rapide
• Compromis :
réduire le temps
(M1) et limiter la
confusion (M2)
ITE PC v4.0
Utilisation des modèles en couches pour le

dépannage
Les modèles de réseau logiques (OSI ; TCP/IP)
séparent les fonctionnalités rx en couches modulaires.
Ces modèles en couches peuvent être appliqués au
cours du dépannage.
Exemple: si les symptômes font penser à un problème
de connexion physique concentrer les efforts sur le
dépannage de la couche physique
ITE PC v4.0
Presentation_ID.scr
Procédures générales de dépannage (1/2)
=chercher les
cause
• L’administrateur peut à tout moment être amené à revenir à l’une des

étapes précédentes
• Une stratégie de dépannage doit être établie pour chaque étape qui
définira le mode d’action
ITE PC v4.0
Procédures générales de dépannage (2/2)

Étape 1 : recueil des symptômes.
• Récolter les messages erreurs et les plaintes utilisateurs
• Déterminer les composants réseaux affectés
• Comparer % à la ligne de base.
Étape 2 : isolation du problème.

• Analyser les problèmes au niveau des couches logiques du réseau afin de
déterminer la cause la plus probable.
• Recueillir et documenter d’autres symptômes.
Étape 3 : correction du problème.

• Essayer de corriger le problème en mettant en œuvre, en testant et en
documentant une solution.
• Si l’action corrective crée un autre problème alors l’administrateur la documente
puis annule les modifications. Recommencer étape 1.
ITE PC v4.0
Presentation_ID.scr
Processus de dépannage
Collecter des
Définir le problème Analyse
informations
Elimination
Résoudre le Proposer des

Tester les hypothèses
problème hypothèses
ITE PC v4.0
Vérifier et définir le problème
Signaler le
problème
Vérifier le problème
Définir le problème
Fixer le Collecter les

Faire monter
problème informations
Définir le problème
ITE PC v4.0
Presentation_ID.scr
Collecter les informations
Définir le problème Etablir un plan
Identifier les cibles
Assembler la boîte des

outils
Faire monter Obtenir l’accès
Collecter les
Analyse
informations
Collecter les informations
ITE PC v4.0
Analyser des informations collectées
Collecte des Informations

informations recueillies
Documentation
Interprétation &
Etalon Elimination
analyse
Recherche
Expérience
Analyse
ITE PC v4.0
Presentation_ID.scr
Elimination des causes
Hypothèses
Analyse
Présenter des Proposer des

Eliminer des causes
causes hypothèses
Elimination
ITE PC v4.0
Suggérer des hypothèses
Sélecter la cause la Collecter des

Elimination
plus probable informations
Déterminer la
Faire monter Tester les hypothèses
responsabilité
Proposer des hypothèses
ITE PC v4.0
Presentation_ID.scr
Tester les hypothèses proposées
Proposer des Définir une
hypothèses solution
Evaluer l'impact
Collecter des Créer un plan

informations « Roll back »
Implémenter la
solution
Vérifier la
Roll back Problème résolu
solution
Tester les hypothèses

ITE PC v4.0
Méthodes de dépannage
Début conseillée lorsque le

descendante problème vient d’un logiciel
Si une couche
Début fonctionne
possible correctement,
pour Divide il est de même
and conquer pour les
couches
inférieures
Début conseillée lorsque le
ascendante problème est physique
ITE PC v4.0
Presentation_ID.scr
Choix de la méthode de dépannage
Exemple : Deux routeurs IP n’échangent pas d’informations de

routage. La dernière fois que ce type de problème a eu lieu, il
s’agissait d’un problème de protocole méthode de dépannage
Diviser et conquérir.
ITE PC v4.0
Recueil des symptômes (5 étapes)
1
3 4 5
ITE PC v4.0
Presentation_ID.scr
Commandes pour le recueil des symptômes
ping {hôte | adresse-ip}
traceroute {destination}
telnet {hôte | adresse-ip}
show ip interface brief
show ip route
show running-config interface
debug …
show protocols
ITE PC v4.0
Questions aux utilisateurs finaux

Directives Exemples de questions aux utilisateurs
finaux
Posez des questions en rapport avec le problème. Qu’est-ce qui ne fonctionne pas ?
Utilisez chaque question pour éliminer ou découvrir Y-a-t-il un rapport entre ce qui fonctionne
d’éventuels problèmes. et ce qui ne fonctionne pas ?
Adaptez le niveau de langage pour que l’utilisateur Ce qui ne fonctionne pas, est-ce que ça
puisse comprendre. fonctionnait avant ?
Demandez à l’utilisateur de vous indiquer le Quand est-ce que vous vous êtes aperçu
moment où le problème a été détecté pour la du problème pour la première fois ?
première fois.
Quelque chose d’inhabituel s’est-il passé depuis la Qu’est-ce qui a changé depuis la dernière
dernière fois que cela fonctionnait ? fois que cela fonctionnait ?
Demandez à l’utilisateur de recréer le problème, si Pouvez-vous reproduire le problème ?
cela est possible.
Déterminez la séquence des événements qui se Quand exactement le problème s’est-il
sont produits avant que le problème n’apparaisse. produit ?
ITE PC v4.0
Presentation_ID.scr
Outils de dépannage (1/2)
Outils NMS : CiscoView, HP Openview, Solar Winds et
WhatsUp Gold
Bases de connaissances : informations sur le
matériel et les logiciels Cisco (procédures de
dépannage, guides de mise en œuvre, livres blancs…)
Outils de création d’une ligne de base: outils de
création d’une ligne de base (SolarWinds LANsurveyor
fluke network, et CyberGauge)
Analyseurs de protocole : wireshark, etc.
ITE PC v4.0
Outils de dépannage (2/2)

Module d’analyse réseau : NAM, installé sur les commutateurs Cisco
Catalyst 6500 et les routeurs Cisco 7600 pou obtenir une représentation
graphique du trafic
Multimètres numériques : outils de mesure des valeurs électriques de
la tension, du courant et de la résistance.
Testeurs de câble : détecter les câbles rompus ou croisés et des
connexions court-circuitées ou mal jumelées.
Analyseurs de câble : tester et certifier les câbles en cuivre et à fibre
optique. Mesurer la distance entre l’appareil et le point de défaillance
(NEXT, RL). Afficher graphiquement la diaphonie et l’impédance.
Analyseurs réseau portables: appareils portables pour collecter des
informations et dépanner des réseaux commutés et des VLANs.
ITE PC v4.0
Presentation_ID.scr
Communications dans un réseau étendu
Un fournisseur d’accès ou un opérateur télécom est généralement
propriétaire des liaisons de données qui constituent un WAN.
Les liaisons sont mises à la disposition des abonnés contre
paiement et sont utilisées pour interconnecter LAN ou se
connecter à distance.
Les réseaux étendus transportent divers types de trafic. Une
bonne conception doit fournir la capacité et les temps de transfert
correspondant aux besoins de l’entreprise.
Les routeurs déterminent le chemin le plus approprié vers la
destination et transfèrent les paquets à la couche liaison de
données appropriée en vue de les livrer sur la connexion physique.
Les routeurs peuvent également effectuer une gestion par qualité
de service (QS), qui alloue des priorités aux différents flux de
trafic.
ITE PC v4.0
Communications dans un réseau étendu
ITE PC v4.0
Presentation_ID.scr
Étapes de la conception d’un WAN
1.Établir les points d’extrémité source et de
destination qui se connecteront via le réseau
étendu.
2.Pour chaque paire de points d’extrémité et pour
chaque type de trafic, recueillir des informations sur
les caractéristiques du trafic (délai, gigue, BP,..)
3.Décider de la topologie = fct (zone géographique,
disponibilité, besoin QoS, …)
4.Estimation de la BP requise. Le trafic sur les liaisons
peut présenter d’autres besoins latence et de gigue.
5.Choisir la technologie de liaison adéquate.
6.Évaluation des coûts : installation, exploitation et
maintenance
ITE PC v4.0
Étape2 : considérations sur le trafic

Trafic Latence Gigue BP
Voix Faible Faible Moyenne
Données de transaction Moyenne Moyenne Moyenne
Courriel Élevée Élevée Élevée
Transfert de fichiers Élevée Élevée Élevée
Données en lots Élevée Élevée Élevée
Gestion de réseau Élevée Élevée Faible
Vidéoconférence Faible Faible Élevée
ITE PC v4.0
Presentation_ID.scr
Étape 3 : Considérations sur la topologie
du réseau étendu
Opérations requises:
• Sélectionner un motif ou une configuration d’interconnexion pour les liaisons
entre les divers sites
• Sélectionner les technologies permettant à ces liaisons de répondre aux
besoins de l’entreprise à un coût raisonnable
Motif d’interconnexion
• Plusieurs choix: étoile, maillage global, maillage partiel, hiérarchique
• Étoile: utile lorsque l’entreprise se développe en créant de nouvelles filiales
connectées au siège
• Hiérarchique: offre une meilleure évolutivité recommandée lorsque :
• de nombreux sites doivent être reliés
• le trafic du réseau reproduit la structure de l’entreprise, divisé en régions,
zones et filiales.
• Il existe un service central mais la connexion directe est impossible
ITE PC v4.0
Motifs d’interconnexion
Zone peut être

en étoile
Connexion d’accès
(FR, LS, Commutées)
en fct volume
et type trafic
ITE PC v4.0
Presentation_ID.scr
Technologie de connexions WAN
Un WAN privé typique utilise une combinaison de technologies
(commuté, FR, LS), choisies en fonction du type et du volume
de trafic.
FR facilite le maillage pour la redondance, sans demander
l’ajout de connexions physiques supplémentaires.
Les technologies qui demandent l’établissement d’une
connexion (RTC, RNIS, X.25), ne sont pas adaptées aux WAN
qui nécessitent une faible latence. (PVC en FR est rapide)
Les liaisons de distribution peuvent être de type FR ou ATM et
le cœur du réseau peut être une LS ou ATM.
ITE PC v4.0
Technologie de connexions WAN
Avec ATM et Frame Relay

• Transporter le trafic de plusieurs clients sur les mêmes liaisons.
• Pas de contrôle sur le nombre de liaisons ou de sauts
(-) Latences et gigues, inadaptées à certains trafics
(+) Coûts réduits (ce qui compense les inconvénients)
Plusieurs WAN d’entreprise disposent de connexions Internet.
(-) problèmes de sécurité,
Mais offre des possibilités d’interconnexion inter-filiales.
Traditionnellement, la mise en œuvre se fait de sorte que :
Chaque réseau de la société se connecte à un FAI différent
Même FAI à partir d’une connexion de couche cœur de réseau.
ITE PC v4.0
Presentation_ID.scr
Tableau comparatif des technologies WAN
Technologie facturation Débit binaire type Autres infos
Ligne louée Distance, capacité Jusqu’à 45 Mbits/s Capacité fixe
(E3/T3) permanente
Service Distance, durée 33-56 kbits/s Accès commuté,
téléphonique connexion lente
RNIS Distance, durée 64 ou 128 kbits/s Accès commuté,
jusqu’à 2 Mbits/s, PRI connexion lente
X.25 Volume Jusqu’à 48 kbit/s Commuté, capacité fixe
ATM Capacité Jusqu’à 155 kbits/s Capacité variable
permanente
Frame Relay Capacité Jusqu’à 1,5 Mbits/s Capacité variable
permanente
DSL Abonnement Jusqu’à 3 Mbits/s Internet partagé actif en
mensuel permanence
Metro Ethernet Abonnement Jusqu’à 500 Mbits/s Couverture
mensuel géographique limitée
ITE PC v4.0
Considérations sur la BP des WAN

Une bande passante qui ne répond pas aux besoins
entraîne une augmentation des temps de réponse, ce
qui réduit la productivité des employés et ralentit les
processus métier Web critiques.
ITE PC v4.0
Presentation_ID.scr
Problèmes courants avec la mise en œuvre
d’un réseau étendu
ITE PC v4.0
Étude de cas : dépannage d’un réseau

étendu du point de vue d’un FAI
Problème : Client réclame une lenteur du réseau au FAI
isolation du problème
1. Hôte d’un ordinateur individuel (plusieurs applis)
2. Réseau local: logiciel de surveillance BP (utilisée à 100%)
3. Liaison entre le routeur périphérique de l’utilisateur et la
périphérie du FAI : ping entre les 2 équipements
4. Réseau fédérateur du FAI : ping sur chaque liaison utilisée
par le trafic du client
5. Serveur accédé (encombré)
ITE PC v4.0
Presentation_ID.scr
Étude de cas : dépannage d’un réseau
étendu du point de vue d’un FAI
Types de question :
1. Y a-t-il un changement avant que ce problème ne survienne ? Si oui, quoi ?
2. Avez-vous mis hors tension puis sous tension le routeur, le commutateur,
l’ordinateur et le serveur ? Seriez-vous d’accord pour le refaire pendant que je
suis au téléphone avec vous ?
3. Y-a-t-il eu une coupure de courant, une baisse de tension ou la foudre est-elle
tombée à proximité récemment ?
4. Vos ordinateurs sont-ils équipés de logiciels antivirus à jour ?
De plus :
• Demandez aux clients de vous envoyer par télécopie ou par courriel le schéma de leur
réseau.
• Aidez les clients à isoler les différentes parties d’Internet.
ITE PC v4.0
Diagramme physique du réseau

Tout dépannage réseau nécessite les diagrammes physique
et logique du réseau.
Diagramme physique du réseau indique la disposition
physique des périphériques
• le type de périphérique ;
• le modèle et le fabricant ;
• la version du système d’exploitation ;
• le type et l’identificateur de câble ;
• les spécifications du câble ;
• le type de connecteur ;
• les points d’extrémité de câblage.
ITE PC v4.0
Presentation_ID.scr
Diagramme logique du réseau
Il indique comment les données sont transférées sur le réseau.
Les périphériques sont représentés par des symboles.
Il peut comprendre les informations suivantes :
• les identificateurs de périphériques ;
• l’adresse IP et le sous-réseau ;
• les identificateurs d’interfaces ;
• le type de connexion ;
• le DLCI pour les circuits virtuels ;
• les réseaux privés virtuels de site à site ;
• les protocoles de routage ;
• les routes statiques ;
• les protocoles liaison de données ;
• les technologies de réseau étendu utilisées.
ITE PC v4.0
Dépannage de la couche physique

La couche physique est la seule couche avec des propriétés
physiquement concrètes (câble, antennes,..)
Une panne au niveau physique est gênante. Le réseau s’arrête
souvent brusquement.
Symptômes
• Performances inférieures à la ligne de base (tjrs mauvaise
configuration ; variable erreur ou effet des autres trafics)
• Perte de connectivité (tjrs câble ou périphérique défaillant ;
intermittente câble lâché ou oxydé)
• Goulots d’étranglement sur le réseau ou encombrement (câble ou
périphérique défaillant redirection du trafic = encombrement)
• Forte utilisation de l’UC (périphérique en surrégime, favorise panne)
• Messages d’erreur sur la console
ITE PC v4.0
Presentation_ID.scr
Causes des problèmes au niveau de la
couche physique
Problèmes d’alimentation Erreurs de configuration
de l’interface (liaison
Défauts matériels (cartes défectueuses:
série configurée
jabber, émission non contrôlée, trame courte,…)
asynchrone, freq horloge,
Défauts de câblage (légère déconnexion, source horloge, interface
mauvais câble, connecteur –sale pour FO, inactive)
courbure, …)
Dépassement des
Atténuation (câble long, oxydé, …) limites de conception
(débit moyen supérieur au
Bruit (4 types: impulsif –pointe de tension,
maximum autorisé par la
blanc ou aléatoire –plusieurs sources, config…)
paradiaphonie (du même câble), paradiaphonie
étrangère-autre câble, gros moteur…) Surcharge de l’UC (due
au volume du trafic)
ITE PC v4.0
Isoler les problèmes au niveau des

couches physiques
7 & 8 défectueux
7 et 8 sont requis dans la

config 1000Base-T
Bon emplacement des câbles
vlan, param STP, horloge...
Show…
ITE PC v4.0
Presentation_ID.scr
Symptômes des problèmes sur la couche
liaison de données
Le dépannage sur la couche 2 peut s’avérer difficile.
La configuration et le fonctionnement de ces protocoles sont
indispensables
Symptômes:
• Pas de fonctionnalité ni de connectivité au niveau de la
couche réseau ou à un niveau supérieur
• Les performances réseau sont inférieures à la ligne de base
(trames abandonnées, trames suivent un chemin non logique-
prob stp)
• Nombre excessif de diffusions (applis mal configurées ou
programmées, dom diffusion très grand, boucles,..)
• Messages sur la console (équipement envoie msg si trame
incompréhensibles, échec à un test d’activité, …)
ITE PC v4.0
Causes des problèmes sur la couche

liaison de données
Erreurs d’encapsulation (Encapsulation ≠ aux 2 extrémités)
Erreurs de mappage d’adresses
Cadre statique : carte FR incorrecte
cadre dynamique: configuré pour ne pas répondre aux requêtes
ARP; modif info couches 2& 3 dans mémoire ; réponse ARP
invalide
Erreurs de trames
ligne série perturbée, câble mal conçu (trop long, blindage
inadéquat) ; horloge de ligne CSU mal configurée.
Échecs ou boucles STP
Redondance mais les ports ne sont pas bloqués, modif excessive
de la topologie STP-tjrs des inondations, erreur config STP, topo
documenté diffère de la topo réelle, faille STP…
ITE PC v4.0
Presentation_ID.scr
Dépannage de la couche 2 – PPP
Difficile car les outils de dépannage de couche 3 (ping)
ne sont pas disponibles
Procédure
• Étape 1. Vérifiez que l’encapsulation utilisée aux deux
extrémités est correcte (show interfaces serial).
• Étape 2. Confirmez que les négociations LCP (Link Control
Protocol) ont abouti en recherchant dans le résultat le
message LCP Open (show interfaces serial)
• Étape 3. Vérifiez l’authentification aux deux extrémités de la
liaison (debug ppp authentication).
ITE PC v4.0
Dépannage de la couche 2 - Frame Relay

Étape 1. Vérifiez la connexion physique entre l’unité
CSU/DSU et le routeur (à l’aide d’un testeur de câble et en
vérifiant que tous les LED d’état de l’unité CSU/DSU sont
verts)
Étape 2. Vérifiez que le routeur et le fournisseur de relais
de trames échangent correctement les informations LMI.
(show frame-relay lmi)
Étape 3. Vérifiez que l’état du circuit virtuel permanent est
actif (show frame-relay pvc)
Étape 4. Vérifiez que l’encapsulation Frame Relay est la
même sur les deux routeurs (show interfaces serial)
ITE PC v4.0
Presentation_ID.scr
Dépannage de la couche 2 - Boucles STP
Vérifier le fonctionnement du protocole STP (show
spanning-tree) -- pour activer: spanning-treeid-vlan.
Procédure:
• Étape 1. Déterminez l’existence d’une boucle STP avec les
symptômes (perte de connectivité, charge UC, charge BP,
différence % à la ligne de base, msg syslog de boucle ou ré-
apprentissage d’@ MAC, nbre échecs +)
• Étape 2. Identifiez la topologie (étendue) de la boucle.
• Étape 3. Cassez la boucle. Arrêtez ou déconnectez les ports
impliqués les uns après les autres.
• Étape 4. Déterminez et corrigez la cause de la boucle (vérifier si
un switch connait la racine stp, son port racine, BPDU reçus et
envoyés)
• Étape 5. Restaurez la redondance.
ITE PC v4.0
Symptômes des problèmes de la couche

réseau
Problèmes relatifs à un protocole de couche 3, routé ou
de routage.
Symptômes :
• panne de réseau
• performances réseau inférieur à la ligne de base
(cause) Une mauvaise configuration des routes

statiques peut entraîner un routage non optimal
ITE PC v4.0
Presentation_ID.scr
Dépannage de problèmes sur la couche 3
Il n’existe pas de modèle unique permettant de résoudre les
problèmes de couche 3
Il faut suivre un processus méthodique pour isoler et corriger la
panne
• Problèmes généraux de réseau : modification récente dans le réseau,
• Problèmes de connectivité : problème alimentation, surchauffe
• Problèmes de voisinage : problèmes avec les routeurs formant la relation
de voisinage.
• Base de données topologique : assurez-vous que la table est correcte et,
par exemple, que des entrées ne sont pas manquantes ou inattendues.
• Table de routage : Assurez-vous que la table de routage est correcte et,
par exemple, que des routes ne sont pas manquantes ou inattendues.
ITE PC v4.0
Symptômes des problèmes de la couche

transport
Les pannes peuvent êtes dues à des mauvaises
configuration des listes de contrôle d’accès et de la
traduction d’adresses de réseau (NAT).
Symptômes:
• problème de réseau par intermittence
• problème de sécurité
• problème de traduction d'adresse
• problèmes avec certains types de trafic
ITE PC v4.0
Presentation_ID.scr
Problèmes courants de liste d’accès
Ces problèmes de configuration se produisent souvent dans l’un
des huit domaines
• Sélection du flux de trafic : mauvaise application de l’ACL
• Ordre des éléments du contrôle d’accès
• Instruction implicite « deny all » :
• Adresses et masques génériques (rq: trafic entrant : ACL NAT,
trafic sortant : NAT ACL)
• Sélection du protocole de couche transport (TCP ou UDP ou 2)
• Ports source et de destination
• Utilisation du mot clé established (si il est appliqué à tort sur une ACL
sortante)
• Protocoles rares (peut y avoir des problèmes pour des protocoles
moins habituels que TCP et UDP, de vpn ou chiffrement par exemple)
Dépannage: ajouter le mot clé log
ITE PC v4.0
Problèmes courants de NAT

Problèmes possibles
• d'interopérabilité,
• de fonction NAT Statique incorrecte
• de compteurs (tempo dans la table de correspondance) NAT mal
configurés (très courts ou très longs)
Technologies ayant des problèmes d’interopérabilité avec NAT
• BOOTP et DHCP : @IP src dans requêtre DHCP =0.0.0.0 non traduite
par un NAT statique ou dynamique vers un serveur DHCP naté
Solution: IP HELPER
• DNS et WINS : DNS externe ne possède pas une vision interne du
réseau naté (modif des relation entre @privée et @publique). Solution:
IP HELPER
• SNMP: station d’admin ne peut pas accéder à un agent naté. Sol: IP
HELPER
• Protocoles de transmission tunnel et de chiffrement : utilisation d’un
port spécifique pour l’encapsulation qui n’est pas traité par le NAT.
Solution: créer une entrée NAT statique pour le port requis pour une
seule adresse IP à l’intérieur du routeur NAT.
ITE PC v4.0
Presentation_ID.scr
Symptômes des problèmes de couche
application
Protocoles couramment utilisés : Telnet, HTTP, FTP,
TFTP, SMTP, POP, SNMP, DNS et NFS.
Symptômes
• L'utilisateur se plaint des faibles performances des
applications
• Message d'erreur des applications
• Message d'erreur sur la console
• message du fichier journal système
• alarmes du système d'administration de réseaux
ITE PC v4.0
Dépannage des problèmes de couche

application
Étape 1. Envoyez une requête ping à la passerelle par défaut.
Étape 2. Vérifiez la connectivité de bout en bout. Si la requête aboutit,
la couche 3 fonctionne correctement. Si les couches 1 à 3
fonctionnent correctement, le problème doit se situer au niveau d’une
couche supérieure.
Étape 3. Vérifiez le fonctionnement de la liste d’accès et de la
traduction NAT.
• ACL: show access-list ; clear access-list counters et vérifier compteurs
• NAT: show ip nat translations ; clear ip nat translation et réessayer ; debug
ip nat ; bon sens de ip nat inside et ip nat outside ; show running (vérifier pool
et ACL)
Étape 4. Dépannez la connectivité des protocoles de couche

supérieure. Vous devez comprendre le fonctionnement du protocole.
ITE PC v4.0
Presentation_ID.scr
Résolution des problèmes de couche
application
ITE PC v4.0
Summary
Network Baseline
How a network is expected to perform under normal conditions
Network documentation should include:

– Network configuration table
– End-system configuration table
– Network topology diagram
Planning for the 1st baseline

– Determine what type of data to collect
– Identify devices and ports of interest
– Determine baseline duration
ITE PC v4.0
Presentation_ID.scr
Summary
3 stages of the troubleshooting process
–Gather symptoms
–Isolate problem
–Correct problem
3 main methods for troubleshooting a network
–Bottom up
–Top down
–Divide & conquer
ITE PC v4.0
Summary
Software troubleshooting tools

–Cisco view
–Solar winds
–HP Open view
Hardware troubleshooting tools
–Network analysis mode
–Digital multi-meters
–Cable testers
–Network analyzer
ITE PC v4.0
Presentation_ID.scr
Summary
Common WAN implementation issues include
–QoS
–Reliability
–Security
–Latency
–Confidentiality
–Public or Private
Using a layered approach to troubleshooting aids in
isolating and solving the problem
ITE PC v4.0
ITE PC v4.0
Presentation_ID.scr
Icons: Cisco Products
Router-
NetFlow 100BaseT
Color and Server
Router Hub
subdued with
PC Router
Router Workgroup
CDDI/
w/Silicon Director
Si
Software- FDDI
Switch
Based Router on Concentrator
File Server
Protocol
PC Adapter Card
Translator SwitchProbe
Gateway
CiscoWorks Multilayer Switch,

PC Router
Workstation with and without Text
Card Bridge and Subdued
Si Si
Terminal
Cisco
Server Workgroup Switch
Hub
Color/Subdued ATM
Router
Comm
Server Cisco 1000 Small Hub
ATM
(10BaseT Hub)
Tag Switch
Router
ITE PC v4.0
Icons: Cisco Products (Cont.)

Route/Switch PC with ATM
Cisco CA
Processor Router- Switch
Si with and without Based (Color and Subdued)
Si Software
IP
LAN2LAN Switch
Standard MicroWeb
and Old Channel- Server
(Some Prefer) Attached
Router
Tag Router
ISDN Switch
Switch Switch
VIP
Processor
Cache
Multi- Broadband
Director
Switch Router
Device
PC with
NetFlow/
Software
ATM Router
ITE PC v4.0
Presentation_ID.scr
Icons: IBM
Cluster
IBM
Controller/3174
Mainframe
(Desktop Model,
Not Used Much)
IBM Mini
IBM
(AS400)
Mainframe
with FEP
FEP
(Front End
Processor)
Cluster
Controller/
3274 or 3174
(Most Common
Type)
ITE PC v4.0
Icons: WAN
DSU/CSU
Network Distributed
(Add Text in
Cloud, Director
Powerpoint)
Dark
WAN
Network Local Centri
Cloud, Director Firewall
Gold
MUX
PIX Right
Network
and Left
Cloud,
White
PBX/
Switch NAT
Hub
Gray and
Network Blue
Cloud, PBX
Standard (Small)
Color
ITE PC v4.0
Presentation_ID.scr
Icons: LAN
Web Cluster
Printer ATM/FastGb
Workstation Etherswitch
(Sun)
Laptop HP Mini Web Server
PC
File Server Web Browser

Super-
computer
Mac
Monitor Repeater
LAN2LAN
Terminal Mini or Newton

VAX/VMS
with DECnet
ITE PC v4.0
Icons: Media
Token Rings,
Token with and without
Ring Text
and Subdued
Line: Serial (Use Thicker where There Is Space)
FDDI Rings, with

and without Text,
Vertical and
Horizontal
FDDI Line: Circuit-Switched
(Use Thicker where There Is Space)
FDDI
Line: Ethernet
(Use Thicker where There Is Space)
ITE PC v4.0
Presentation_ID.scr
Icons: Buildings
Government Headquarters,
Regular,
Subdued,
and Blue
House, Regular
University
and Blue
UNIVERSITY
Telecommuter
House (Color and
Subdued) Medium
Small
Building,
Business
Regular,
Subdued,
Home Office and Blue
Branch
Office,
Regular,
Subdued,
and Blue
ITE PC v4.0
Icons: People
Symbol Woman, Various Colors
Symbol Man, Various Colors

Man Woman
End User Male, End User Female,
Left and Right Left and Right
End User,
Running Man Running Woman CiscoWorks
(Color and
Subdued)
ITE PC v4.0
Presentation_ID.scr
Icons: Multimedia/Voice/Phone
Camera Microphone
Phone Phone
PC/Video
Ethernet
Phone 2
Phone
Polycom Camera
Speaker
PC/Video
Phone-Appliance Phone
Feature
Pager
Headphones
Fax/
Phone
Cell Fax
Phone
ITE PC v4.0
Icons: Miscellaneous
Firewall,
Diskette Satellite
Horizontal and
(3.5" Floppy) Dish
Vertical,
Subdued
Satellite
Breakout Box
Lock
MAU
Host
Key
PAD
Lock and Key
Database,
Relational
Modem
BBS
(Bulletin
Board
System)
ITE PC v4.0
Presentation_ID.scr

Acces Au Reseau Etendu CCNA 4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Acces Au Reseau Etendu CCNA 4

Transféré par

Droits d'auteur :

Formats disponibles

Accès au réseau

Chapitre 1 : Présentation des

Présentation des réseaux étendus

Evolution du réseau d’une entreprise (1/2)

Évolution du modèle de réseau (1/2)

Connectivité basée sur des stratégies

Accès local et distant (télétravail+site à distance)

évolution vers des réseaux de + en + intelligents

Cisco fournit une feuille de route relative à la

Architecture d’entreprise Cisco

Module de l’architecture d’entreprise Cisco

Module Architecture de périphérie d’entreprise :

Module Architecture de succursale d’entreprise :

Module Architecture de centre de calcul d’entreprise :

Module Architecture de télétravailleur d’entreprise :

Concepts de la technologie de réseau étendu

Terminologie de couche physique du WAN

Boucle locale (ou last-mile): câble téléphonique de cuivre ou à fibre optique

Périphériques de réseau étendu

Serveur d’accès : concentre les communications utilisateur entrantes et sortantes. Il

Routeur de cœur de réseau : réside au milieu ou sur le réseau fédérateur du WAN

Normes de la couche physique de réseau étendu

Protocoles de liaison de données

Nature données: contrôle, donnée L3

Commutation de paquets (X.25, FR et ~ATM)

Options de connexion de liaisons WAN

Utilisation RNIS : voix (1 ou 2 canaux B), connexion de secours qui

Accès primaire (PRI) :

Plusieurs canaux peuvent être actifs sur une seule connexion.

Options de connexion à commutation de paquets

ATM (Asynchronous Transfer Mode) est fondée sur une architecture à

Options de connexion Internet

Technologie de réseau privé virtuel

Sélection d’une connexion de liaison de réseau

WAN primarily operate on layer 1 & 2 of the OSI model

Chapitre 2 : Protocole PPP

Liaison Synchrone / asynchrone

HSSI - (High-Speed Serial Interface, interface série à haut débit)

•Les broches DCD et RI sont disponibles

Multiplexage temporel statistique (STDM)

Réseau vers terminal

Multiplexage PDH (Plesiochronous Digital Hierarchy)

SDH (Synchronous Digital Hierarchy)

Trame de base : STM-1

Extrémité des câbles

Conversion parallèle vers série

Types de trame HDLC • Trame information:

Technique « piggybacking » : données + ack

Trame HDLC de type « S »

Configuration de l’encapsulation HDLC

HDLC est l’encapsulation par défaut sur des interfaces

Dépannage d’une interface série (2/5)

Dépannage d’une interface série (4/5)

Inspection du câble série

Si la sortie est différente de V.35 (UNKOUWN ou autre),

Protocole HDLC pour l’encapsulation de datagrammes

• Support physique synchrone

Pré-requis de la Couche physique PPP

Couche NCP (Network Control Protocol)

Chaque couche NCP gère les besoins spécifiques

Adresse : 0xFF (adresse de diffusion standard)

En cas de compression, les champs Adresses et contrôle ne sont pas inclus.

La longueur maximale par défaut du champ « données » est 1500octets