Support de Cours Conception

RÉSUMÉ THÉORIQUE – FILIÈRE INFRASTRUCTURE DIGITALE
M103 – CONCEVOIR UN RÉSEAU INFORMATIQUE
120 heures
Chapitre 1
Les différents types de réseaux
1. Les Composants d’un réseau informatique

2. La Catégorisation des types de réseaux
3. Les Topologies réseau et critères de sélection
4. Les Tendances des réseaux
01 - Composants d’un réseau informatique
Principe d’un réseau
Définition 1 : Réseau
Les réseaux sont omniprésents dans la vie quotidienne :
• Réseau d’amis : chaque ami est un élément, la communication se fait par
la voix, les textos, la vidéo… ;
• Réseau de transport : les stations sont des éléments, les voies de
Un réseau est un ensemble formé de lignes ou
circulation des lignes, la communication se fait par les véhicules ;
d’éléments qui communiquent ou s’entrecroisent
Le Larousse, Dictionnaire de la langue française • Réseau d’eau : les réservoirs sont des éléments, les canalisations sont des
lignes, l’eau est transportée.
• Voyons maintenant comment ces principes s’appliquent aux réseaux

informatiques
PARTIE 1
Copyright - Tout droit réservé - OFPPT 7

Terminaux, équipements et connectiques
Définition 2 : Réseau informatique Le réseau informatique est un sous-ensemble matériel d’un système
informatique. Il est composé :
Ensemble des moyens matériels et logiciels mis en œuvre
• De terminaux : il s’agit des points d’accès situés aux extrémités du réseau.
pour assurer les communications entre ordinateurs,
stations de travail et terminaux informatiques. Il peut s’agir par exemple :
Direction des Systèmes d’Information, CNRS • des postes de travail des utilisateurs (fixes ou portables) ;
• des serveurs d’application ou de données ;
• des imprimantes partagées ;
• d’équipements nomades comme les tablettes et les téléphones.
• D’équipements réseaux : ce sont les équipements chargés d’acheminer les
communications. On peut citer les concentrateurs, les commutateurs, les
routeurs, les ponts, les passerelles, les modems, les répéteurs et les points
d’accès (pour les équipements sans fil).
• Ces différents équipements sont l’objet de ce support et seront
largement détaillés par la suite !
PARTIE 1
• De la connectique : ce sont les procédés et techniques chargés du

transport des données . Il peut s’agir de câbles, de fibre optique, d’ondes
radio ou même de laser.
• Le choix de la connectique dépend notamment de la distance, de
l’environnement et du budget à disposition.

Modélisation et simulation d’un réseau informatique
• Plusieurs outils permettent de modéliser et simuler un réseau informatique ;

• La modélisation permet de représenter le réseau sous une forme graphique et facile à interpréter ;
• La simulation permet de tester le fonctionnement sans investir dans une mise en œuvre réelle coûteuse en temps et en
matériel.
Les logiciels les plus utilisés sont :

• Cisco Packet Tracer (ref), logiciel gratuit mais propriétaire. Il est réservé aux équipements Cisco, le leader du marché, mais
simple d’utilisation et peu gourmand en ressources.
• GNS3 (ref), logiciel libre et gratuit. Il gère plus de matériels mais consomme la mémoire vive des matériels qu’il émule : plus le
réseau est important, plus il faut de ressources.
PARTIE 1

Modélisation et simulation d’un réseau informatique
• L’illustration ci-dessous montre un exemple de réseau avec les terminaux aux extrémités, les équipements réseaux au centre et les liens de
connexion qui relient l’ensemble.
PARTIE 1

A.1.1 Composants d’un réseau informatique
Usage des réseaux informatiques
• Le déploiement de réseaux informatiques permet de fournir des services tels que :

• Le partage de fichiers ou de ressources comme les imprimantes ;
• Des outils de communication comme le courriel, la messagerie instantanée, la voix sur IP ;
• Des outils collaboratifs comme les documents partagés ;
• Des ressources en ligne comme le web ;
• Certaines de ces ressources sont déployées de manière privée et contrôlée à l’échelle de la maison ou de
l’entreprise, tandis que d’autres sont accessibles globalement.
• La section suivante montre comment les différents types de réseaux permettent de fournir ces différents services.
PARTIE 1

Chapitre 1

01 - Catégorisation des types de réseaux
Types de découpages
• La grande diversité des usages des réseaux – de l’imprimante partagée jusqu’au site web à l’autre bout du globe nous permet de
proposer un découpage selon différents critères :
• Géographique ;
• Fonctionnel ;
• Architectural ;
• Topologique.
Voyons chacun de ces découpages en détail.

PARTIE 1

Catégorisation géographique
• Selon le critère géographique, les principales catégories de réseaux sont les suivantes :
Réseau personnel / PAN Réseau local / LAN Réseau métropolitain / MAN Réseau étendu / WAN
(Personal Area Network) (Local Area Network) (Metropolitain Area Network) (Wide Area Network)
Un PAN se réfère aux connexions Un LAN relie les équipements au sein Un MAN interconnecte plusieurs Un WAN couvre une grande zone
réseaux dans l’environnement direct d’une même pièce ou d’un bâtiment. réseaux locaux à l’échelle d’une ville géographique.
de l’utilisateur. ou d’une Métropole
Par exemple, pour connecter un Par exemple, les ordinateurs d’une Par exemple, les différentes agences Par exemple, les différents sites d’une
smartphone à des écouteurs salle de classe ou les équipements bancaires d’une grande ville vont être entreprise ou internet, qui
bluetooth ou transférer un livre informatiques (postes de travail, reliées entre elles par fibre optique interconnecte l’ensemble des réseaux
électronique depuis son ordinateur serveurs, imprimantes réseaux, d’une pour assurer une communication ayant au moins un équipement
vers sa liseuse. petite entreprise). rapide et sécurisée connecté à l’échelle mondiale
PARTIE 1
Un PAN a un ordre de grandeur de Un LAN a un ordre de grandeur de 10 Un MAN couvre quelques dizaines de Un WAN peut donc couvrir un pays, un
quelques mètres au maximum. à 100 mètres. km continent ou même le monde entier.

Catégorisation fonctionnelle
• Selon le critère fonctionnel, on va catégoriser les réseaux selon les services qu’ils proposent et les restrictions qu’ils mettent en place en
termes d’accès. Les principales catégories de réseaux sont les suivantes :
Réseau intranet Réseau extranet Réseau internet

Un intranet représente le réseau interne d’une Un extranet est une partie du réseau d’une Internet est le réseau informatique mondial accessible
organisation. On parle de réseau privé, qui est organisation permettant l’interconnexion avec ses au grand public. Internet permet de multiples
entièrement géré par l’organisation. partenaires, commerciaux ou administratifs, situés à applications, comme le courrier électronique, la
Il est généralement réservé aux salariés et l’extérieur du réseau interne messagerie instantanée, le streaming, le jeu en ligne
contractuels de l’organisation. Son accès est et bien sûr, les sites web personnels, vitrines et e-
strictement contrôlé. commerce du réseau interne.
Les terminaux d’un intranet disposent généralement On y trouve notamment des serveurs web offrant des
d’une adresse privée, inaccessible depuis l’extérieur. services spécifiques protégés par un mot de passe.
PARTIE 1
• Une même organisation peut mettre en œuvre ces 3 fonctionnalités. Par exemple, un lycée mettra en place un réseau intranet pour ses
personnels administratifs et enseignants, un réseau extranet pour la consultation des notes par les élèves et leurs parents et un site web pour
présenter le lycée et ses activités.

Catégorisation architecturale
• Selon le critère architectural, on va catégoriser les réseaux selon la manière dont les applications organisent les fonctions de présentation, de
traitement et de gestion des données
Architecture 1-tiers Architecture 2-tiers Architecture 3-tiers et n-tiers

Une architecture 1-tiers regroupe toutes les fonctions sur un L’architecture 2-tiers met en œuvre Dans l’architecture 3-tiers, le client ne gère que la
seul poste. une architecture client/serveur. Une présentation. Les données sont gérées de façon centralisées.
partie des fonctionnalités est Un serveur intermédiaire (dit middleware) assure la logique
Dans les grandes organisations, une application peut être ainsi
exécutée sur le poste de travail tandis applicative.
située sur un gros serveur central (appelé mainframe). Les
qu’une autre est exécutée sur le
utilisateurs s’y connectent via des terminaux dits passifs qui se
serveur.
contentent d’afficher l’interface et de retransmettre les
commandes.
Dans cette configuration, une connexion stable et offrant un Le serveur peut ainsi assurer Par extension, l’architecture n-tiers distribue la logique
débit suffisant est primordiale. l’intégrité des données et les applicative sur plusieurs serveurs. C’est l’architecture
traitements lourds. Une connexion fondamentale du cloud computing, qui permet de construire
Il existe également des applications dites déployées, situées
réseau permanente est nécessaire. une application à partir de services accessibles sur internet.
directement sur les postes de travail des utilisateurs. La
PARTIE 1
collaboration se fait par le partage de fichiers sur un serveur

commun.
L’utilisateur peut ainsi travailler en mode déconnecté et utiliser Dans cette configuration, l’organisation délègue une partie de
le réseau uniquement pour la mise-à-jour des fichiers. son application à des opérateurs tiers.

Catégorisation topologique
• Selon le critère topologique, on va catégoriser les réseaux

selon la manière dont les équipements sont
interconnectés entre eux. Les 6 topologies les plus
courantes sont :
• La topologie point-à-point ;
• La topologie linéaire ;
• La topologie en anneau ;
• La topologie en bus ;
• La topologie en étoile ;
• La topologie maillée.
• La section suivante détaille ces différentes topologies

avec leurs avantages et leurs inconvénients respectifs.
PARTIE 1

Chapitre 1

01 - Typologies réseau et critères de sélection
La topologie point-à-point
La topologie point-à-point
• La topologie point-à-point permet de connecter Avantages et inconvénients
directement 2 terminaux. ✅ Permet une connexion rapide entre 2 équipements
• On la retrouve par contre fréquemment dans un réseau ❌ Limitée à 2 équipements, pas de mise à l’échelle
personnel, par exemple :
• Pour connecter son ordinateur avec des écouteurs,
via le bluetooth.
• Pour mettre en place un partage de connexion
filaire entre un smartphone et un ordinateur, avec
un câble USB.
• Le point-à-point est également utilisé pour interconnecter
2 réseaux sur une grande distance, par exemple pour
établir une liaison entre 2 bâtiments sur un campus.
PARTIE 1

La topologie linéaire
La topologie linéaire
• La topologie linéaire (ou Daisy Chain) relie plusieurs Avantages et inconvénients
équipements les uns à la suite des autres ; ✅ Faible coût de déploiement
• Il s’agit d’une extension de la topologie point-à-point ; ❌ La communication entre 2 équipements éloignés doit traverser tous les
• Une communication entre 2 équipements doit traverser équipements intermédiaires.
tous les équipements intermédiaires pour atteindre sa ❌ La défaillance d’un équipement coupe la chaine en deux.
destination ;
• Les réseaux modernes n’utilisent plus cette topologie. On
la retrouve pour connecter des équipements en série,
comme des disques durs.
PARTIE 1

La topologie en bus
La topologie en bus Avantages et inconvénients

• La topologie en bus met en place un lien de ✅ Peu coûteux, facile à mettre en œuvre et à étendre
communication partagé sur lequel les équipements ✅ La panne d’une machine ne coupe pas le réseau
viennent se connecter ;
❌ Les performances se dégradent très vite avec l’augmentation du nombre
• Chaque équipement reçoit l’ensemble du trafic transmis de machines
sur le bus et choisit de le traiter selon qu’il en est
destinataire ou non ; ❌ La coupure du câble faisant office de bus interrompt le réseau
• Dans ce type de topologie, le trafic est généralement ❌ Des collisions peuvent se produire si plusieurs équipement émettent en
crypté. même temps
Définition 3 : collision
PARTIE 1
Une collision est une perte de donnée qui se produit

lorsque deux équipements émettent en même temps
sur le même support.

La topologie en anneau
La topologie en anneau Avantages et inconvénients

• La topologie en anneau connecte tous les équipements ✅ Permet de connecter des équipements sur une grande distance.
dans une boucle fermée ; ✅ La communication unidirectionnelle et un système de jetons pour l’accès
• Le trafic transite dans un seul sens. Les communications au réseau limitent les collisions.
sont reçues, traitées et réémises par chaque station ; ❌ Plus coûteux et complexe que la topologie en bus.
• Si un lien est coupé, le réseau peut se réorganiser pour ❌ Tous les équipements connectés reçoivent tout le trafic.
communiquer avec les liens restants ;
• Cette topologie est parfois mise en œuvre pour
interconnecter différents LAN, par exemple pour
l’interconnexion des bâtiments sur un campus
universitaire.
PARTIE 1

La topologie en étoile
La topologie en étoile Avantages et inconvénients

• La topologie en étoile fonctionne avec un équipement ✅ Facile à mettre en place et à faire évoluer
central auquel tous les équipements se connectent ; ✅ L’équipement central peut coordonner le trafic.
• C’est la topologie la plus courante aujourd’hui, ❌ Une défaillance de l’équipement central interrompt le réseau.
notamment pour les réseaux locaux (LAN) ;
❌ Un câble complet doit être installé entre l’équipement central et chaque
• L’ajout d’un nouvel équipement est très simple ; équipement du réseau.
• Les équipements centraux modernes ne transmettent les
données qu’aux destinataires.
PARTIE 1

La topologie maillée
La topologie maillée Avantages et inconvénients

• La topologie en maillée interconnecte chaque ✅ Pas de point de défaillance unique
équipement avec les autres. ✅ Un chemin optimal peut être calculé entre 2 équipements.
• La maille peut être complète ou partielle (les ❌ Les coûts d’une topologie en maille complète explosent avec
équipements peuvent n’être connectés qu’à certains l’augmentation du nombre d’équipements.
autres équipements).
❌ Le calcul du chemin optimal amène une complexité supplémentaire.
• Le réseau internet est un exemple de topologie
maillée : plusieurs chemins sont possibles entre les
différents éléments du réseau.
PARTIE 1

Topologies hybrides
• Des typologies hybrides sont souvent mises en

œuvre pour améliorer
• la fiabilité,
• la mise à l’échelle,
• la flexibilité des réseaux
• Cela permet de combiner les avantages de chaque
typologie et de limiter leurs inconvénients.
PARTIE 1

Récapitulatif des avantages et inconvénients
Topologie Fonctionnement Avantages Inconvénients

Point-à-point Connexion directe entre 2 équipements Simplicité Limité à 2 équipements
Linéaire Les équipements forment une chaîne Simplicité Performances (obligation de traverser tous les
avec des bouchons à chaque extrémité équipements)
La défaillance d’un équipement coupe le réseau en 2
Bus Les équipements sont connectés à un Peu coûteux Une rupture sur le câble du bus interrompt le réseau
câble central Facile à étendre Augmentation des collisions et dégradation des
Une machine en panne ne coupe pas le performances à chaque ajout d’équipement
réseau
Anneau Les équipements sont connectés 2 à 2 Idéal pour les grandes distances Complexité de mise en œuvre
pour former une boucle Limitation des collisions Le trafic traverse les équipements non concernés
Étoile Un équipement central permet de Simplicité Le point central est un point de défaillance unique
connecter chaque équipement Gestion du trafic par l’équipement central Besoin d’un câble entre chaque équipement et le
point central
PARTIE 1
Maillée Chaque équipement est relié à tous les Redondance des liaisons : fiabilité Coût exponentiel
autres Chemin optimal pour les communications Complexité
Hybride Au moins 2 topologies sont utilisées Exploitation des avantages de chaque Complexité
typologie

Topologies : bilan
Topologies : bilan
• Dans les réseaux modernes, on observe une corrélation entre le découpage géographique d’un réseau et la topologie mise en œuvre.
On retrouve souvent :
• Le point-à-point pour la connexion de 2 équipements personnels (PAN) ;
• L’étoile pour les réseaux locaux (LAN) ;
• L’anneau pour l’interconnexion de sites ou de bâtiments (MAN) ;
• Le maillage partiel pour l’interconnexion des réseaux au niveau internet (WAN).
• Des typologies hybrides sont souvent mises en œuvre pour améliorer la fiabilité, la mise à l’échelle et la flexibilité des réseaux en
combinant les avantages de chaque typologie et en limitant leurs inconvénients.
• Les topologies mises en œuvre évoluent avec les technologies et les usages. Nous allons maintenant nous intéresser aux tendances
des réseaux.
PARTIE 1

Chapitre 1

01 - Tendance des réseaux
Les grandes tendances
• À mesure que de nouvelles technologies et de nouveaux • Ces tendances sont confortées par le déploiement d'infrastructures de
appareils d’utilisateurs finaux arrivent sur le marché, les plus en plus performantes. On peut citer :
entreprises et les consommateurs doivent s’adapter à un • La fibre optique ;
environnement en constante évolution.
• L'internet à faible latence par satellite, notamment Starlink ;
• Il existe plusieurs tendances en matière de technologies
qui affectent les organisations et les consommateurs : • Le déploiement de la 4G/5G pour la mobilité à haut debit.
• Bring Your Own Device (BYOD) ;
• Outils collaboratifs (Google Doc, Microsoft 365) ;
• Systèmes de visio-conference ;
• Cloud Computing
PARTIE 1

Les enjeux du BYOD
• La tendance du Bring Your On Device (BYOD) augmente la • Le support technique est complexifié, les utilisateurs pouvant rencontrer
satisfaction des salariés en leur permettant d’utiliser leurs des problèmes sur un ensemble d’équipements hétérogène ;
équipements préférés sur leur lieu de travail. Cela • Les aspects juridiques doivent être considérés, notamment en cas de fuite
diminue d’autant les coûts d’équipements pour les de données ou d’utilisation de services non autorisés ;
organisations ;
• Les tentatives d’interdiction du BYOD se soldent généralement par un
• Cependant, l’intégration d’équipements personnels a un échec. Le BYOD est une réalité qui doit être gérée plutôt que combattue.
impact majeur sur l’administration des réseaux ;
• La sécurisation doit être repensée : l’intérieur du réseau,
même intranet, ne peut plus être considéré comme sûr
car les équipements personnels peuvent contenir des
applications malveillantes.
PARTIE 1

Le cloud computing
Cloud Computing SaaS PaaS IaaS BYOD
Le cloud computing Le SaaS (Software as a Le PaaS (Platform as a Le IaaS (Infrastructure as a La combinaison du

permet d’externaliser une Service) propose des Service) permet la Service) permet de BYOD(ref) et du Cloud
grande partie des services applications complètes création d’applications déléguer son Computing (ref) a des
de l’organisation, qui peut clés-en-main, métiers spécifiques à infrastructure, comme le impacts majeurs sur les
se concentrer sur son généralement accessible partir de briques stockage ou les attentes des utilisateurs
cœur de métier. Les par un navigateur web. logicielles hébergées chez applications, dans des en termes de
fournisseurs proposent Beaucoup de services le fournisseur. Par datacenters hyper performance et de
plusieurs niveaux de support sont désormais exemple, des solutions de disponibles accessibles via disponibilité réseau. Le
service. déployés en SaaS, comme bases de données ou des internet. Les grands chapitre suivant montre
la paie, les outils de prise web services, en Open fournisseurs sont Amazon comment les technologies
de congés ou de notes de Data ou sous forme d’API (AWS), Microsoft (Azure) des réseaux locaux ont su
frais. Les outils sur abonnement et Google (Google Cloud). évoluer pour répondre à
PARTIE 1
collaboratifs comme La maintenance est ces tendances.

Microsoft 365 en ligne ou assurée par le fournisseur,
Google Doc sont qui facture généralement
également des services à l’usage.
SaaS.

Chapitre 2
Les réseaux locaux
Ce que vous allez apprendre dans ce chapitre :
• Ethernet et ses versions

• Adresse MAC Ethernet
• Méthodes de transmission et vitesse de commutation
• Introduction aux réseaux sans fil (802.11x)
10 heures
Chapitre 2
Les réseaux locaux
1. Ethernet et ses versions

2. Adresse MAC Ethernet
3. Méthodes de transmission et vitesse de commutation
4. Introduction aux réseaux sans fil (802.11x)
02 - Ethernet et ses versions
Pourquoi Ethernet ?
• Plusieurs technologies ont été utilisées pour la création d’un réseau local (LAN).
ARCNet a été développé en 1976 pour connecter des grappes de terminaux. Un réseau ArcNet était
installé avec une topologie en bus ou en étoile, offrant un débit de 2,5 Mb/s.
Token Ring, a été diffusé par IBM dans les années 1980 avec une topologie en anneau. La technologie
a été normalisée sous l’intitulé IEEE 802.5. Les débits sont passés de 4Mbit/s en 1985 à 16Mb/s en
1989. Une version a 100Mb/s est arrivée trop tard, en 1993 : Ethernet avait pris le marché !
PARTIE 1

Pourquoi Ethernet ?
• Aujourd’hui, la plupart des LAN sont standardisés autour de la technologie Ethernet. En effet,
La plupart des
Ethernet a un historique
investissements sont
d’évolution fluide ayant Ethernet est standardisé et
dirigés vers cette
permis une multiplication bénéficie d’un écosystème
technologie, ce qui lui
par 1000 du débit tout en de centaines de
permet d’évoluer avec les
conservant une rétro- fournisseurs, garantissant
besoins. Des milliers
compatibilté matérielle, une compétition saine et
d’ingénieurs dans les plus
permettant de planifier une maitrise des coûts.
grandes entreprises
les migrations en fonction
développent et améliorent
des besoins.
la technologie.
PARTIE 1
• Quelques alternatives subsistent pour des cas d’usage spécialisés comme Infiniband, Fibre Channel ou iSCSI pour les solutions de stockage en
réseau (SAN) nécessitant des performances élevées, pour un coût qui l’est également.

Première standardisation
• Ethernet est apparu en 1973. Il s’agit d’un des nombreux • Débit de 10Mb/s sur 500m sans répéteur (185m pour l’Ethernet
projets ayant émergé au Xerox PARC, au cœur de la Silicon fin) ;
Valley. • Transmission en bande de base, c’est-à-dire occupant toute la
• La norme Ethernet 1 a été publiée en 1980, offrant un bande passante disponible ;
débit de 10Mbit/s. • Mécanisme de gestion des collisions CSMA/CD (Accès multiple
• En 1983, la norme devient un standard IEEE, publié sous avec écoute de la porteuse / détection des collisions) :
la référence IEEE 802.3. Cette première version de la • Ce système permet à chaque équipement d’attendre que
norme présente les caractéristiques suivantes : la voie soit libre avant d’émettre, et de gérer les collisions
• Topologie en bus ; qui peuvent se produire en raison de la latence provoquée
• Câblage coaxial fermé à chaque extrémité par par l’éloignement entre 2 équipements.
des bouchons. 2 versions de câbles étaient • 💡 Les modes de transmission et les mécanismes de gestion de contrôle
proposées : d’accès et de gestion des collision seront détaillés dans la section 3,
• 10BASE5, aussi nommé Ethernet Épais Méthodes de transmission et vitesse de commutation.
• 10BASE2, également référencé sous

PARTIE 1
l’appellation Ethernet Fin

• Capacité de 100 connexions (30 pour l’Ethernet
Fin).

L’Ethernet moderne : câble UTP et connecteur RJ-45
• En 1990, la norme IEEE 802.3i redéfinit Ethernet avec les

caractéristiques topologiques et physiques que nous les
connaissons aujourd’hui :
• Une topologie en étoile ;
• Des câbles souples UTP (Unshielded Twisted Pair) à
paires torsadées, fiables et économiques ;
Câbles souples UTP
• Le connecteur RJ-45, facile à connecter et (ou câble réseau)
déconnecter ;
• Capacité de 1024 connexions ;
• Débit de 10Mb/s sur 100m sans répéteur ;
• Interconnexion possible en point à point ou en
étoile étendue ;
• Transmission en bande de base, c’est-à-dire
PARTIE 1
occupant toute la bande passante disponible ;

• Mécanisme de gestion des collisions CSMA/CD et
mode Full Duplex, permettant l’émission et la
réception simultanée
Connecteur RJ-45

Évolution fluide : de 10Mb/s au Gigabit Ethernet
• En 1995, Fast Ethernet (norme IEEE 802.3u) porte le débit • Pour la suite de ce chapitre, nous allons nous concentrer sur l’application
maximal théorique à 100Mb/s ; d’Ethernet pour les réseaux LAN, c’est-à-dire avec les caractéristiques
• En 1998, la norme IEEE 802.3z porte le débit à 1Gb/s ; suivantes :
• En 2002, les 10Gb/s sont atteints via la norme IEEE • Le câble torsadé et son connecteur RJ45 ;
802.3ae en fibre optique. Il faut attendre 2006 et la • Une ou plusieurs carte réseau dans chaque équipement connecté, qui fera
norme 802.3an pour bénéficier de ce débit sur les câbles l’objet de la section suivante ;
en cuivre torsadés traditionnels ; • La topologie en étoile avec au centre un équipement central, que nous
• Des versions d’Ethernet à 25, 40 voire 400Gb/sec ont été détaillerons dans la section d’après.
développées. Elles sont utilisées pour les interconnexions,
avec des câblages et des topologies adaptées.
PARTIE 1

Bilan : principaux standards
Code Standard Année Vitesse Connectique

10BASE5 802.3 1983 10 Mbit/sec Câble coaxial épais
10BASE2 802.3a 1985 10 Mbit/sec Câble coaxial fin
10BASE-T 802.3i 1990 10 Mbit/sec Twisted-Pair, RJ45, Cat 3
10BASE-F 802.3j 1993 10 Mbit/sec Fibre optique
100BASE-TX 802.3u 1995 100Mbit/sec Twisted-Pair, RJ45, Cat 5
1000BASE-X 802.3z 1998 1Gb/sec Fibre optique
1000-BASE-T 802.3ab 1999 1Gb/sec Twisted-Pair, RJ45, Cat 5

PARTIE 1
10GBASE-SW 802.3ae 2002 10Gb/sec optique
10GBASE-T 802.3an 2006 10Gb/sec Twisted-Pair, RJ45, Cat 6

Chapitre 2
Les réseaux locaux

02 - Adresse MAC Ethernet
Adresse MAC et communication physique
• Un réseau LAN Ethernet s’organise selon la topologie en

étoile autour d’un équipement central, appelé
concentrateur ou commutateur, disposant de plusieurs
ports physiques.
• Chaque équipement possède une carte d’interface
réseau (NIC), ou tout simplement carte réseau. Un câble
Ethernet RJ45 est connecté entre la carte réseau et le
commutateur ou le concentrateur.
• Chaque carte réseau est identifiée par une Adresse MAC
qui est unique au monde. Un équipement connecté au
réseau par sa carte réseau est appelé un hôte.
• La communication entre 2 machines via l’adresse MAC est
appelé adressage physique. Les données échangées sont
appelées des trames.
PARTIE 1

Structure d’une adresse MAC
• L’adresse Mac identifiant une carte réseau est

composée de 48 bits répartis de la manière suivante :
• 24 bits représentant l’identifiant du
constructeur.
• 24 bits représentant l’adresse unique de la
carte.
• L’identifiant unique attribué à un constructeur est
appelé identifiant unique de l’organisation (OUI). Il est
attribué par l’autorité d’enregistrement de l’IEEE.
• L’adresse Mac est gravée de manière matérielle et est
donc sensée être non modifiable. Certains systèmes
d’exploitation permettent toutefois de changer l’adresse
au niveau logiciel en cas de conflit (si l’unicité n’est pas
respectée par un constructeur peu scrupuleux !) ou
pour des questions de confidentialité.
PARTIE 1
• 💡 Nous reviendrons en détail sur l’écriture des 48bits

au début du chapitre 3 sur les systèmes numériques.

Adresses spéciales de diffusion
• Certaines adresses ne sont pas associées à des cartes

réseau particulières mais utilisées pour la diffusion
simultanée vers plusieurs machines du réseau.
• On parle de broadcast lorsqu’une machine diffuse
vers toutes les machines du réseau. Les trames
sont adressées à une adresse spéciale où les 48 bits
sont à la valeur 1.
• On parle de multicast lorsqu’une machine diffuse
vers un groupe de récepteurs sélectionnés. La
sélection des destinataires se fait via un protocole
d’adressage logique (l’IP) que nous verrons au
chapitre 3.
• Que les messages soient adressées à une machine ou à
plusieurs, différents paramètres affectent l’efficacité des
transmissions. La section suivante traite des méthodes de
PARTIE 1
transmission et de leur impact sur la vitesse dite de

commutation.

Chapitre 2
Les réseaux locaux

02 - Méthodes et vitesse de transmission
Réseau avec concentrateur
• Lorsque le réseau Ethernet est organisé en étoile à partir d’un concentrateur (ou Hub), tous les échanges de trames se font par répétition du
signal.
• Lorsqu’un hôte émet via sa carte réseau, le concentrateur répète les trames vers tous les hôtes connectée au concentrateur. C’est à chaque
équipement de vérifier s’il est destinataire :
• Soit parce que la trame lui est adressée spécifiquement via son adresse Mac unique ;
• Soit parce que la trame est adressée à l’adresse de broadcast ;
• Soit parce que la trame est adressée à une adresse multicast à laquelle la carte réseau est abonnée.
• L’adressage physique des trames par répétition depuis le concentrateur alourdit considérablement la charge sur le réseau et provoquent
des collisions qui ralentissent le trafic.
PARTIE 1

Réseau étendu avec concentrateurs multiples
• Lorsque le réseau nécessite plus de ports qu’un seul

concentrateur peut fournir, il est possible de connecter
plusieurs concentrateurs.
• L’illustration ci-contre montre une topologie en étoile
étendue, qui utilise un concentrateur central.
• Dans cette configuration, chaque trame envoyée est
répétée et tous les hôtes connectés à chacun des hubs la
reçoivent. Les problèmes de collisions deviennent de plus
en plus importants au fur et à mesure de l’extension du
réseau.
• Un flux de trafic trop important peut provoquer une
tempête de diffusion, causée par une boucle infinie de
l’algorithme de gestion des collisions.
Pour résoudre ce problème, il est possible de remplacer les
concentrateurs par des commutateurs.
PARTIE 1

Réseau avec commutateur
• Lorsque le concentrateur est remplacé par un

commutateur (en anglais : switch), un circuit virtuel est
créé lors de chaque communication.
• La commutation permet ainsi de transporter les trames
uniquement vers le destinataire (ou les destinataires en
cas de broadcast ou de multicast).
• Pour cela, le commutateur établit et met à jour une table
appelée table d’adresse MAC qui contient la
correspondance entre chaque port et l’adresse MAC de la
carte réseau connectée à ce port via le câble Ethernet.
• Sur un switch Cisco (que l’on peut simuler avec l’outil
Cisco Packet Tracer) on peut afficher cette table via la
commande show mac-address-table.
PARTIE 1

Méthodes de transmission
Un commutateur peut transmettre les trames selon 3 modes • Le mode de transmission peut être défini par l’administrateur ou
1. Le mode direct (cut through) transmet la trame telle quelle, automatiquement si le commutateur dispose d’un mode de commutation
sans opérer de vérification. Cette méthode est la plus rapide automatique. Dans ce cas, un des 3 modes précédents est sélectionné de
mais peut transmettre des trames erronées, qui devront manière statistique en fonction du nombre d’erreurs constatées.
être détectées par l’équipement cible ;
2. Le mode différé (store and forward) réalise une opération
de contrôle sur chaque trame avant de la transmettre. Cela
ralentit la transmission mais évite d’encombrer le réseau
avec des trames erronées ;
3. Le mode mixte (fragment free) est un compromis entre les 2
modes précédents. La détection d’erreur est simplifiée mais
moins fiable.
PARTIE 1

Half Duplex et Full Duplex
• L’adressage physique des trames peut être réalisé en • Les équipements utilisent une technique appelée autonégociation pour
mode half duplex ou full duplex. découvrir les modes supportés par l’ensemble des équipements et fournir
• Dans le mode half duplex, un port ne peut émettre une le mode optimal. La négociation s’appuie sur les vitesses et les modes
trame que s’il n’est pas en train d’en recevoir une; duplex supportés par les équipements.
• Les concentrateurs ne fonctionnent qu’en mode

half-duplex.
• Dans le mode full duplex, tous les équipements peuvent
émettre et recevoir en même temps.
• Les commutateurs fonctionnent en mode full-
duplex, sauf si le réseau contient au moins un
concentrateur, auquel cas il peut fonctionner en
mode half-duplex pour assurer la compatibilité.
PARTIE 1

Bilan
• L’association de la commutation (qui crée un canal virtuel • Nous finissons ce chapitre sur les réseaux locaux par une introduction aux
pour chaque communication) et du mode full duplex (qui réseaux sans fil.
permet l’émission et la réception simultanée) élimine
tout risque de collision.
• Un réseau exclusivement constitué de commutateurs
(sans concentrateur) est donc optimal en termes de
vitesse.
• Le dernier critère dépend de la vitesse maximale
théorique de tous les composants du réseau. Par
exemple, si tous les éléments (switch, carte réseau, câbles
Ethernet) sont certifiés Gibabit Ethernet , la vitesse
maximale théorique est de 1Gb/s.
• Un procédé appelé autonégociation permet aux
équipements de définir le mode de fonctionnement
optimal accepté par tous les équipements.
PARTIE 1

Chapitre 2
Les réseaux locaux

02 - Introduction aux réseaux sans fil
Types de réseau sans fil
• La technologie sans fil concerne tous les types de réseau
Réseaux personnels Réseaux locaux Réseaux métropolitains Réseaux mobiles

Au niveau des réseaux personnels Au niveau des réseaux locaux, les L’interconnexion dans les réseaux Enfin, des réseaux mobiles de grande
(PAN), les technologies bluetooth, WLAN (Wireless Local Area Network) métropolitains peut également être ampleur sont déployés pour former des
infrarouge ou NFC permettent la permettent de former un réseau sans fil réalisée sans fil : on parle alors de WWAN (Wireless Wide Area Network).
communication sans fil entre 2 à l’échelle géographique d’un LAN. Il WMAN.
appareils. On parle de WPAN (Wireless peut s’agir d’un réseau domestique,
Personal Area Network). d’une école ou d’une petite entreprise.
Par exemple, pour transférer les photos Par exemple, un WLAN peut connecter La technologie la plus utilisée est le Les réseaux 3/4/5G des opérateurs sont
entre un téléphone et un ordinateur. ensemble des ordinateurs, WiMAX, qui fait l’objet de la norme IEEE des exemples de WWAN.
smartphones, imprimantes, consoles de 802.16. À son lancement en 2001, les
jeux, TV connectée et tout équipement débits proposés étaient d’environ
équipé d’une carte réseau sans fil. 30Mbit/sec. Depuis 2011, des débits de
1Gb/sec sont disponibles.
PARTIE 1
La technologie la plus connue est le WiMAX peut notamment être déployé Des réseaux bas débit très peu
WIFI, dont les caractéristiques sont par des organisations dans des régions consommateurs en énergie, utilisés
définies via la norme IEEE 802.11. rurales, lorsque le déploiement de la pour l’internet des objets, forment
fibre optique et de la 4/5G n’est pas également des WWAN. On parle alors
jugé rentable par les opérateurs. de LPWAN pour Low Power Wide Area
Network.

Historique de la norme WIFI - IEEE 802.11
Nous faisons maintenant un focus sur la technologie WIFI comme alternative crédible aux réseaux câbles de type Ethernet pour la mise en place
d’un réseau local.
• La norme initiale publiée en 1997 proposait un débit maximal théorique de 2Mbit/sec, avec une portée de 20m (en intérieur) à 100m
1997 (en extérieur). La bande utilisée est celle des 2,4Ghz.
• En 1999, deux normes sont La norme 802.11a porte le débit maximal à 54 Mbit/sec avec une portée La norme 802.11b ne monte qu’à 11 Mbit/sec, mais reste sur
maximale de 35m (en intérieur) à 120. Elle utilise une nouvelle bande de la bande des 2,4Ghz. Il faut attendre 2003 et la norme
1999 publiées : fréquence à 5Ghz, qui n’est pas compatible avec tous les équipements 802.11g pour obtenir 54Mbit/sec sur cette bande.
• En 2009, la norme 802.11n monte le débit théorique à 450Mbit/sec. Elle fonctionne sur les 2 bandes, pour une compatibilité maximale avec les
2009 équipements existants. La portée maximale en intérieur est de 70m en 2,4Ghz mais seulement de 12 à 35m sur la bande des 5Ghz.
• En 2013, la norme 802.11ac porte le débit maximal à 1,3Gb/sec, uniquement sur la bande des 5ghz.
2013
PARTIE 1
• La dernière évolution a été publiée en mai 2021 : la norme 802.11ax propose 10Gb/sec sur les 2 bandes, avec une portée de 12 à 35m
2021 en intérieur.

Point d’accès wifi
• La mise en place d’un WLAN nécessite l’installation d’un • Le point d’accès fonctionne comme un concentrateur, en mode semi-
Point d’accès WIFI : duplex. Contrairement aux équipements connectés en Ethernet, les
• L’acronyme AP (Access Point) est parfois utilisé équipements sans fil peuvent ne pas détecter les autres équipements.
• Un point d’accès WIFI est connecté à un LAN par un câble • La norme 802.11 implémente le protocole CSMA/CA afin d’éviter
Ethernet et permet ensuite la connexion des les collisions, en remplacement du CSMA/CD d’Ethernet qui les
équipements sans fil. détecte.
• Certaines « box » internet fournissent à la fois la • Ce protocole met en place un mécanisme de négociation où un
connectivité sans fil et Ethernet. Ils font office de équipement qui souhaite émettre demande l’autorisation au point
point d’accès WIFI intégré. d’accès qui autorise ou non l’émission.
• Ce procédé explique pourquoi l’augmentation du nombre
d’équipements connectés réduit considérablement la vitesse
générale du réseau sans fil.
PARTIE 1

02 - Les réseaux locaux
Bilan
• Ethernet s’est imposé comme norme pour la mise en place de réseaux locaux (LAN). Chaque équipement connecté est équipé d’une carte
réseau identifiée par une adresse MAC. La communication utilisant les adresses MAC est appelée adressage physique. Les données
échangées sont appelées des trames.
Les équipements sont connectés

selon une topologie en étoile à un
concentrateur ou un commutateur.
Le concentrateur fonctionne en mode half- Le débit dépend de la norme

Le commutateur crée un canal virtuel pour utilisée par les différents
duplex et diffuse à tous les équipements, qui chaque communication et peut fonctionner en
PARTIE 1
choisissent ou non d’accepter les trames. Cela équipements. Il dépend de

full-duplex. Les collisions n’existent ainsi plus et l’équipement le moins performant.
nécessite d’utiliser un protocole pour gérer les la vitesse est ainsi optimisée.
collisions, appelé CSMA-CD.

02 - Les réseaux locaux
Bilan
Les dernières versions de la

norme IEEE 802.11
Les réseaux sans proposent des versions au-
Un point d’accès WIFI fil sont
fonctionne comme un delà du Gbit/sec. Cela en fait
constitués d’un une alternative crédible aux
concentrateur. La gestion des
collisions est assurée par une point d’accès réseaux filaires, à la
négociation, selon le connecté à un condition de ne pas
protocole CSMA-CA. réseau Ethernet connecter un nombre trop
qu’il étend. important d’équipements, en
raison de la gestion des
collisions.
PARTIE 1
Le chapitre suivant traite de l’adressage IP, qui permet de mettre en place un adressage logique et d’interconnecter les réseaux.

Chapitre 3
L’adressage IP
• Systèmes Numériques
• Adressage IPv4/IPv6
• Segmentation d’un réseau en sous-réseaux
• VLSM
10 heures
Chapitre 3
L’adressage IP
1. Systèmes Numériques
2. Adressage IPv4/IPv6
3. Segmentation d’un réseau en sous-réseaux
4. VLSM
03 - Systèmes numériques
Le binaire : au plus près de la machine
• En informatique, les données sont stockées et transmises • La représentation d’une donnée de plusieurs octets devient rapidement
sous forme de bits. illisible. Pour des raisons de lisibilité, Il est donc courant de les représenter
• En fonction du support (câble, fibre), on utilise un codage • Dans le système décimal
électrique ou optique pour transmettre un état 0 ou 1. • Dans le système hexadécimal
• Afin d’obtenir une meilleure lisibilité, les bits sont
regroupés par 8 sous forme d’octets. Un octet pouvant
représenter :
• Un caractère ASCII
• Un nombre entier positif entre 0 et 255
• Les octets peuvent être combinés pour obtenir d’autres
types de données. Par exemple, avec 4 octets (soit 32
bits) on représente :
• Un caractère Unicode encodé en UTF-8
•
PARTIE 1
Environ 4,2 milliards de nombres entiers positifs

Représentation décimale d’un octet
• Au chapitre précédent, nous avons vu qu’une adresse • Le tableau ci-dessous montre comment nous pouvons représenter chaque
Mac, qui identifie une interface réseau Ethernet, est octet en valeur décimale.
composée de 48bits. • Le bit le plus à droite d’un octet a pour valeur 2 0, soit 1. Le bit
• Dans le cas de l’adresse de diffusion à toutes les précédent vaut 21 soit 2, celui d’avant 22 soit 4, et ainsi de suite ;
machines du réseau (dite de broadcast), tous les bits sont • La valeur décimale s’obtient en faisant la somme des valeurs
à 1. En binaire, on écrira donc : décimales associées aux bits de valeur 1 ;
1111111111111111111111111111111111111111111111
11 • En convertissant en décimal notre adresse de broadcast, nous
obtenons ainsi 255 255 255 255 255 255.
• Si on regroupe en octets, l’écriture de l’adresse de
broadcast devient : 11111111 11111111 11111111 • Le système décimal améliore ainsi la lisibilité de la valeur d’un octet.
11111111 11111111 11111111 • Nous pouvons aller plus loin avec une représentation hexadécimale
Bits 1 1 1 1 1 1 1 1
PARTIE 1
Puissance de 2 associée 27 26 25 24 23 22 21 20
Valeur décimale 128 64 32 16 8 4 2 1

Représentation héxadécimale d’un octet
• Le système hexadécimal utilise 16 symboles : les chiffres • Dans notre exemple, chaque octet de l’adresse de broadcast est ainsi :
de 0 à 9 et les lettres de A à Z. • En binaire : 11111111
• Chaque chiffre hexadécimal représente l’équivalent de 4 • En décimal : 255
bits. On peut ainsi représenter un octet avec 2 chiffres
uniquement. • En hexadécimal : FF
• Le tableau ci-contre montre des exemples de conversions • La notation de l’adresse complète sépare chaque octet avec « : »
entre système décimal, binaire et hexadécimal • Nous obtenons ainsi ff:ff:ff:ff:ff:ff comme représentation officielle de
• La notation hexadécimale est notamment utilisée pour l’adresse MAC de broadcast.
représenter
Décimal Binaire Hexadecimal Décimal Binaire Hexadecimal
• Le codage des couleurs ;
0 00000000 00 9 00001001 09
• Les adresses MAC des cartes réseau Ethernet ;
1 00000001 01 10 00001010 0A
• Les adresses IPv6, que nous allons voir dans ce
2 00000010 02 11 00001011 0B
chapitre.
3 00000011 03 12 00001100 0C
4 00000100 04 13 00001101 0D
PARTIE 1
5 00000101 05 14 00001110 0E
6 00000110 06 15 00001111 0F
7 00000111 07 … … …
8 00001000 08 255 11111111 FF

Chapitre 3
L’adressage IP
4. VLSM
03 - Adressage IPv4/IPv6
De l’adressage physique à l’adressage logique
• L’adressage physique identifie de manière unique • L’adressage IP résout ce problème en mettant en place une adresse
n’importe quelle carte réseau via l’adresse MAC gravée logique, indépendante de l’adresse physique. Cette adresse va permettre
physiquement. d’identifier :
• Cependant, les adresses physiques posent 2 problèmes • Le réseau sur lequel la machine est connectée ;
pratiques majeurs : • La machine sur le réseau concerné.
• L’utilisation de cette adresse directement par • L’adresse IP est également indépendante de toute topologie de réseau ou
une application nécessiterait sa mise-à-jour en de son support physique. Une adresse IP peut être associée à toute
cas de remplacement d’une machine ou de sa interface réseau, qu’elle soit Ethernet ou autre.
carte réseau ;
• Les données transférées en utilisant l’adressage IP s’appellent des
• Les adresses MAC ne sont accessibles qu’à paquets, par opposition aux trames de l’adressage physique.
l’intérieur d’un réseau donné. Toute
communication avec un autre réseau est • Deux versions du protocole IP sont aujourd’hui déployées : IPv4 et IPv6. La
impossible. suite de cette section présente ces 2 versions.
PARTIE 1

Adressage IPv4
• La version 4 du protocole définit une adresse sur 32 bits, • Par exemple, l’adresse IPv4 172.16.254.1 représente l’hôte sur 12 bits et
soit 4 octets. l’hôte avec les 20 derniers bits. La première et la dernière valeur de l’hôte
• Les 4 octets d’une adresse IPv4 sont écrits en notation représentent le réseau et l’adresse de broadcast :
décimale et sont séparés par un point. • Le réseau de cet hôte est noté 172.16.0.0 ;
• Par exemple : 172.16.254.1 • L’adresse de broadcast de ce réseau est 172.31.255.255.
• Une adresse IPv4 représente à la fois le réseau et l’hôte : • Pour représenter de manière non ambiguë le nombre de bits représentant
• La première partie de l’adresse identifie le le réseau, nous pouvons utiliser la notation /12
réseau. ; • Notre exemple s’écrit ainsi, avec cette notation, 172.16.254.1/12
• Le reste des bits identifie la machine, appelée
hôte.
PARTIE 1

Adresses IPv4 publiques et privées
• Une adresse IP est attribuée à chaque hôte devant être • 3 plages d’adresses sont réservées aux réseaux privés. La plage à
connecté à un réseau. utiliser dépend du nombre d’adresses nécessaires pour l’ensemble
• Si cet hôte doit être accessible depuis internet, l’adresse IP doit des hôtes à administrer.
être publique.
• Une adresse IP publique est unique au monde ;
• L’affectation de ces adresses est de la responsabilité
de l’IANA ( Internet Assigned Numbers Authority) qui
a délégué cette autorité à des opérateurs régionaux ;
• De manière pratique, en tant qu’administrateur, les
adresses IP sont louées auprès de sociétés
spécialisées.
Préfixe Plage IP Nombre d'adresses

10.0.0.0/8 10.0.0.0 – 10.255.255.255 232-8 = 16 777 216
PARTIE 1
172.16.0.0/12 172.16.0.0 – 172.31.255.255 232-12 = 1 048 576

192.168.0.0/16 192.168.0.0 – 192.168.255.255 232-16 = 65 53

En-tête de paquet IPv4
• Lorsque 2 machines communiquent, un ou plusieurs paquets sont transmis. Un paquet contient un en-tête et des données :
• L’en-tête contient 14 champs qui permettent de gérer l’acheminement du paquet à travers le réseau.
• La taille de l’en-tête est variable en raison du champ « Options » qui peut être vide ou partiellement utilisé.
PARTIE 1
• Les données contenues dans le paquet dépendent de la valeur du champ protocole.

• Un packet peut contenir jusqu’à 65 ko de données.
• Nous reviendrons en détail sur le routage des paquets dans la partie 3.

D’iPv4 à IPv6
• Ipv4 définit ses adresses sur 32bits. Même en optimisant

au maximum les allocations d’adresses publiques, il ne
sera pas possible d’intégrer plus de 4 milliards d’hôtes sur
le réseau.
• IpV6 a été publié en 1998 via la RFC 2460 avec les
objectifs suivants :
• Un espace d’adressage agrandi. Pour cela, une
adresse IPv6 passe de 32 à 128 bits, soit un
nombre d’adresses potentiellement infini ;
• Un en-tête simplifié, afin d’accélérer le
traitement de chaque paquet et de réduire la
bande passante utilisée ;
• Une gestion intégrée de la qualité de service,
permettant de gérer de manière particulière les
paquets prioritaires ;
PARTIE 1
• Des extensions pour l’authentification,

l’intégrité des données et la confidentialité.

Adressage IPv6
• La version 6 du protocole définit une adresse sur 128 bits,

soit 16 octets. On peut considérer que de manière
pratique le nombre d’adresses disponibles est illimité.
• Une adresse IPv6 est écrite en notation hexadécimale.
Chaque élément de l’adresse représente 2 octets et est
séparé par un double point :
• La figure ci-contre illustre une adresse IPv6.
• Une adresse IPv6 est composée de 3 parties :
• Les 48 premiers bits identifient le réseau sur
internet ;
• Les 16 bits suivants identifient les sous-réseaux
locaux ;
• Les sous-réseaux sont introduits dans la
section suivante
PARTIE 1
• Les 64 derniers bits identifient l’hôte.

Types d’adresses
• Les types d’adresses IPv6 sont formalisés dans le document de spécification RFC 4291.
• https://datatracker.ietf.org/doc/html/rfc4291
• Les types d’adresses définies sont :
• L’adresse de Loopback qui identifie l’hôte même ;
• Les adresses Link-local, permettant la communication sur réseau lien local (non routable à l’extérieur) ;
• Les adresses Unicast, qui identifient une interface de manière unique routable sur internet ;
• Les adresses Anycast, qui identifient plusieurs interfaces. Lors d’une transmission, l’interface la plus proche est utilisée ;
• Les adresses Multicast. Chaque interface concernée reçoit la transmission qui lui est adressée.
PARTIE 1

Bilan
• Les terminaux et les équipements de connexion sont • Maintenant que nous avons vu comment sont définies les adresses et la
équipés d’une ou plusieurs interfaces (ou carte réseau), manière dont les paquets sont transmis, nous allons voir comment
identifiées par : optimiser le trafic avec la segmentation et la définition de sous-réseaux.
• Une adresse physique ;
• Une adresse IPv4 ou IPv6, ou les deux.
• Les données envoyées par les applications sont
découpées en paquets.
• Chaque paquet contient un en-tête avec toutes les
informations nécessaires à la transmission du paquet de
la source à la destination.
• IPv6 dispose d’un en-tête simplifié et de protocoles de
routage plus performants.
PARTIE 1

Chapitre 3
L’adressage IP
4. VLSM
03 - Segmentation en sous-réseau
Classes de réseaux
• Jusque dans les années 1990, les adresses IPv4 étaient

réparties en 5 classes :
1.0.0.0~126.255.255.255
• La classe A définissait le réseau sur 1 octet et l’hôte sur 3
octets. Chaque réseau de classe A pouvait ainsi adresser 0 Network(8bit) Host (24bit)
Host (24bit)
Class A
un peu plus de 16 millions d’hôtes ;
• La classe B définissait le réseau et l’hôte sur 2 octets. 128.1.0.0~191.254.255.255
Chaque réseau de classe B pouvait ainsi adresser un peu
plus de 65 000 hôtes ; Class B 10 Network (16bit) Host (16bit)
• La classe C définissait le réseau sur 3 octets et l’hôte sur 1

octet. Chaque réseau de classe C pouvait ainsi adresser 192.0.1.0~223.255.254.255
254 terminaux (la valeur 0 identifiant le réseau et 255 Class C 110 Network (24bit) Host (8bit)
l’adresse de broadcast) ;
• La classe D permettait de mettre en œuvre le multicast ; 224.0.0.0~239.255.255.255
• La classe E a été conservée à titre expérimental.
Class D 1110 Multicast
• En 1984 est apparue la notion de masque de sous-
PARTIE 1
réseau, permettant de subdiviser un réseau en plusieurs 240.0.0.0~255.255.255.254

sous-réseaux.
Class E 1111 Experimental
• La disparition de la notion de classes dans les années
1990 a conduit à la généralisation des masques, que nous
allons étudier maintenant;

Sous-réseaux et masques
• Un sous-réseau est le résultat de la division d’un réseau Par exemple :

de taille plus importante. Pour chaque interface du • Le masque de sous réseau 255.248.0.0 correspond à la
réseau, on associe un masque à l’adresse IP pour séparer représentation binaire 11111111.1111000.00000000.00000000,
la partie réseau de la partie hôte. soit 13 bits de valeur 1.
• Un masque de sous-réseau reprend le formalisme d’une • L’adresse IP associée représente ainsi la partie réseau sur 13 bits et
adresse IP la partie hôte sur les 19 bits restants.
• 4 octets écrits dans le système décimal et séparés • On peut également utiliser spécifiquement la notation CIDR (Classless
par un ; Inter-Domain Routing). Cette notation ajouter un / et le nombre de bits
• Les bits à 1 identifient la partie réseau. pour indiquer le nombre de bits de la partie réseau.
• Par exemple, on écrira 25.7.102.78/13
PARTIE 1

Segmentation du réseau local
• Un réseau local moderne typique utilise une des plages • Ce réseau est généralement connecté à internet par un routeur qui
d’adresses privées définies dans le protocole IPv4 contient 2 interfaces réseaux :
• 10.0.0.0 – 10.255.255.255 • Une interface possède une adresse IP privée du réseau
• Chaque hôte a le premier octet de valeur interne et communique avec les hôtes du réseau ;
10. • L’autre interface définit une adresse IP publique lui
• Le CIDR des adresses du réseau est /8. permettant d’être atteint depuis internet.
• 172.16.0.0 – 172.31.255.255
• Chaque hôte a le premier octet de valeur
172 et le second entre 16 et 31.
• Le CIDR des adresses du réseau est /12.
• 192.168.0.0 - 192.168.255.255
• Chaque hôte a le premier octet de valeur
192 et le second de 168.
PARTIE 1
• Le CIDR des adresses du réseau est /16.

• Une fois la plage d’adresse définie pour l’ensemble du • Par exemple, chaque laboratoire informatique d’une école pourra faire
réseau local, on divise généralement le réseau en sous- l’objet d’un sous-réseau, permettant d’identifier facilement quels postes
réseaux. Cela permet : sont situés dans quelle salle. On parle de segmentation géographique.
• De limiter la portée des broadcast, qui utilisent • Dans l’exemple ci-contre, les serveurs d’une grande entreprise sont
énormément de ressources au niveau des séparés en 4 sous-réseau pour fournir à chaque service ses propres
commutateurs ou provoquent des tempêtes si serveurs. On parle alors de segmentation fonctionnelle.
le réseau utilise des concentrateurs ;
• De faciliter l’administration en créant des plages
d’adresses en fonction de critères
géographiques ou d’usage.
PARTIE 1

• En pratique, la segmentation des réseaux peut s’effectuer

en empruntant un ou plusieurs bits à la partie de l’adresse
identifiant l’hôte.
• Dans notre exemple de séparation fonctionnelle d’une
ferme de serveurs, le réseau initial utilise un CIDR de /24
• La partie réseau est sur 24 bits.
• Le réseau peut contenir 254 hôtes (256 –
l’adresse du réseau et l’adresse de broadcast).
• En empruntant 2 bits à la partie hôte, on obtient un CIDR
de /26
• Chaque sous-réseau peut ainsi contenir 62
hôtes ;
• La première adresse de chaque sous-réseau
identifie le sous-réseau lui-même (les bits de la
PARTIE 1
partie hôte restantes sont à 0) ;

• La dernière adresse de chaque sous-réseau est
l’adresse de broadcast du sous-réseau (les bits
de la partie hôte restantes sont à 1).

Segmentation en IPv6
• Comme nous l’avons vu dans la section précédente, une

adresse IPv6 est composée de 3 parties
• Les 48 premiers bits identifient le réseau sur
internet ;
• Les 16 bits suivants identifient les sous-réseaux
locaux ;
• Les 64 derniers bits identifient l’hôte.
• La segmentation en sous-réseaux se fait donc tout
simplement avec
• Une identification du réseau commune sur les
48 premiers bits.
• Une valeur différente sur les 16 bits suivants.
• Il est ainsi possible de définir plus de 65000 sous-réseaux,
PARTIE 1
ce qui couvre la plupart des besoins.

Bilan
• La partie réseau d’une adresse IP est définie par les

premiers bits d’une adresse IPv4. Le nombre de bits peut
être fourni :
• Par un masque de sous-réseau ;
• Par la notation CIDR .
• Un sous-réseau est créé en empruntant un ou plusieurs
bits à la partie hôte de l’adresse.
• En IPv6, les bits 41 à 63 de l’adresse sont réservés dès le
départ à l’identification des sous-réseaux.
• Les masques de sous-réseaux permettent ainsi de

segmenter un réseau pour des raisons de performance,
géographiques ou fonctionnelles. Ils ont toutefois
l’inconvénient de générer des sous-réseaux de taille fixe.
PARTIE 1
• La dernière section de ce chapitre présente VLSM, une

manière de définir des sous-réseaux de tailles différentes.

Chapitre 3
L’adressage IP
4. VLSM
03 - VLSM
Enjeux des sous-réseaux de taille variable
• La segmentation en sous-réseaux par la méthode des

masques de sous-réseaux fonctionne par emprunt de bits
de la partie hôte.
• De part la nature binaire des adresses IP, chaque bit
emprunté provoque une division par deux. On obtient
ainsi
• 2 sous-réseaux en empruntant 1 bit ;
• 22 soit 4 sous-réseaux en empruntant 2 bits ;
• 23 soit 8 sous-réseaux en empruntant 3 bits ;
• Et ainsi de suite.
• Si les sous-réseaux doivent adresser un nombre très

différent d’hôtes, il y aura soit un problème de gâchis
PARTIE 1
d’adresses non utilisées, soit un problème pour adresser

les hôtes trop nombreux dans un même sous-réseau.
• VLSM offre une solution de sous-réseaux à taille variable.

03 - VLSM
Exemple de découpage VLSM
• VLSM génère des sous-réseaux variables en fonction du • Le sous-réseau le plus grand ayant un CIDR de /26, on peut partir d’un
nombre d’hôtes à héberger. réseau de base 192.168.1.0/26.
• Chaque sous-réseau doit avoir une adresse qui serait • Le réseau « Commerciaux » peut se voir affecter le sous-réseau
possible avec un masque de sous-réseau traditionnel, en 192.168.1.64/26, qui est un des 2 sous-réseaux valides.
respectant le découpage binaire. • Le reste de l’adressage peut être réparti entre les autres sous-
• Prenons le cas d’un réseau à segmenter en fonction des réseaux, par exemple
services d’une société de communication : • 192.168.1.32/28 pour la Direction ;
• Direction : 9 machines, soit 4 bits nécessaires • 192.168.1.48/28 pour le support ;
pour identifier chaque hôte. Le CIDR du sous-
réseau est donc de /28 ; • 192.168.1.0/29 pour la Comptabilité ;
• Comptabilité : 5 machines, soit 3 bits
nécessaires. Le CIDR du sous-réseau est donc de
/29 ;
• Commerciaux : 35 machines, soit 6 bits
PARTIE 1
nécessaires. Le CIDR du sous-réseau est donc de

/26 ;
• Support : 10 machines, soit 4 bits nécessaires.
Le CIDR du sous-réseau est donc de /28.

Chapitre 4
Les modèles et les protocoles
• Modèle OSI et ses couches

• Modèle TCP/IP et ses couches
• Comparaison entre OSI et TCP/IP
• Protocoles et services réseau
5 heures
Chapitre 4
1. Modèle OSI et ses couches

2. Modèle TCP/IP et ses couches
3. Comparaison entre OSI et TCP/IP
4. Protocoles et services réseau
04 - Le modèle OSI et ses couches
Un modèle conceptuel commun
• Historiquement – dans les années 1970 à 1980 – chaque

constructeur créait ses propres protocoles réseaux, ce qui
rendait l’interopérabilité entre les réseaux difficile.
• Le modèle OSI a été développé par l’Organisation
Internationale de Normalisation (ISO) à partir de la fin des
années 1970 pour fournir un modèle commun aux
diverses méthodes de mise en réseau.
• Cet effort a permis dans un premier temps de favoriser
l’interconnexion des réseaux propriétaires et a ensuite
mené vers la standardisation autour d’une suite de
protocoles constituant ce que l’on appelle aujourd’hui
l’internet.
PARTIE 1

Définition des couches
• Le modèle OSI définit 7 couches qui sont descendues lors

de l’émission de données et remontées lors de la
réception.
• Les couches sont numérotées de 1 à 7 du plus bas niveau
(physique) au plus haut (l’application).
• Chaque couche manipule une unité de donnée bien
définie, appelée PDU (Protocol Data Unit).
• Nous détaillons le rôle de chaque couche dans la suite de
cette section.
PARTIE 1

Couche 7 : application
La couche 7 ou couche application :

• La couche application est le point d’accès
des services réseau.
• Elle est à l’initiative de l’envoi des données
et à l’écoute des données nécessaires au
fonctionnement des applications.
• L’application la plus connue est le web
(HTTP).
• On trouve aussi le mail, les annuaires, les
transferts de fichiers…
Nous détaillerons les protocoles de la couche

application les plus courants dans la dernière
section de ce chapitre.
PARTIE 1

Couche 6 : présentation
• La couche 6 ou couche présentation prépare les données

en fonction de l’exigence du récepteur et des contraintes
de transmission. Il peut s’agir par exemple d’opérations
• de cryptage, pour garantir la confidentialité,
• d’encodage, pour permettre le transport des
données,
• de compression, pour optimiser la bande
passante.
• Le PDU de la couche 6 est la donnée, qui est transformée
par les opérations effectuées sur la couche, dans un sens
ou dans l’autre, selon qu’elle descend de la couche 7 ou
remonte de la couche 5.
PARTIE 1

Couche 5 : session
• La couche 5 ou couche session :

• établit, maintient et assure la sécurité de la
connexion entre deux ordinateurs,
• permet la communication des données entre
deux processus qui peuvent être semi-duplex ou
full-duplex,
• synchronise les communications (permet la
transmission de plusieurs flux en même temps),
• gère les transactions,
• assure la correction des erreurs.
• Le PDU de la couche session est, comme pour la couche
application et présentation, la donnée.
PARTIE 1

Couche 4 : transport
• La couche 4 ou couche transport : • Lors d’un envoi, la couche transport encapsule les données émises par la
• contrôle les flux réseaux, couche supérieure pour générer son PDU (Protocol Data Unit, unité de
données spécifique à la couche) : le segment.
• est responsable de la gestion des erreurs.
• Lors d’une réception, la couche transport décapsule les paquets reçus de
• Le transport peut être réalisé : la couche inférieure pour récupérer les segments.
• En mode connecté lorsque la priorité est la
fiabilité. On l’utilise lorsque la réception des
données doit être garantie.
• TCP est un exemple de protocole en mode
connecté.
• En mode non-connecté lorsque la priorité est la
simplicité et la rapidité. On l’utilise lorsqu’il est
inutile de retransmettre une donnée perdue,
comme dans le streaming par exemple.
•
PARTIE 1
UDP est un exemple de protocole en

mode non connecté.

Couche 3 : réseau
• La couche 3 ou couche réseau construit une voie de • Les équipements intermédiaires transmettent les paquets tels qu’ils les
communication de bout en bout entre l’émetteur et le ont reçus, sauf s’il est nécessaire de réaliser une fragmentation (dans le
destinataire. cas de l’IPv4) si la capacité de transfert (MTU) du réseau suivant est
• Deux fonctions sont mises en œuvre : insuffisant.
• Le routage détermine le chemin à emprunter à • IpV4 et IPv6 sont les 2 implémentations les plus courantes de la couche
travers les différents réseaux possibles. réseau.
• Le relayage (ou acheminement) assure la
transmission d’un paquet entre 2 réseaux
interconnectés pour le rapprocher de sa
destination.
• Au moment de l’émission, la machine génère les paquets
en encapsulant les segments reçus de la couche
supérieure.
• La machine destinataire décapsule les paquets et
PARTIE 1
transmet les segments à la couche supérieure.

Couche 2 : liaison
• La couche 2 ou couche liaison transfère des données : • Les paquets émis sont encapsulés en trames lors de l’émission.
• entre les équipements d’un même segment • Lors de la réception, les trames sont formées à partir des bits reçus.
d’un LAN, • L’équipement principal de la couche liaison est le switch, qui est capable
• entre les équipements adjacents d’un WAN. de ne transmettre les trames qu’aux équipements concernés.
• La couche liaison est composée de 2 sous-couches : • Le protocole le plus utilisé est Ethernet.
• La sous-couche haute, dite logique, assure une
fonction de correction d’erreurs.
• La sous-couche basse, dite de contrôle d’accès
au media, organise la liaison via les adresses
Mac des équipements concernés.
PARTIE 1

Couche 1 : physique
• La couche 1 ou couche physique assure la transmission

effective des signaux électriques sous la forme de bits.
• Les concentrateurs (hubs) fonctionnent en couche 1 et
transmettent les données à tout le segment réseau sans
filtrage.
• La transmission physique se fait par exemple :
• Sous forme d’impulsions électriques, par
exemple avec l’ADSL/VSDL ou Ethernet.
• Par manipulation de l’état de la lumière, par
exemple avec la fibre optique.
PARTIE 1

Modèle OSI : Encapsulation et Décapsulation
• Comme nous l’avons vu, chaque couche travaille sur son

propre format de données, appelé le PDU (Unité de
Donnée du Protocole).
• Les couches 5 à 7 manipulent et transforment les
données directement.
• Lorsque des données sont émises, les couches 1 à 4
ajoutent leur propre en-tête aux éléments émis par la
couche supérieure : on parle d’encapsulation.
• Lors de la réception de données, les couches qui
reçoivent décapsulent les éléments reçus pour obtenir le
format nécessaire à leur fonctionnement.
PARTIE 1

Bilan
• Le modèle OSI est un modèle conceptuel qui définit un Ce modèle conceptuel a été défini pour s’adapter à n’importe quel type de
vocabulaire commun pour les professionnels de l’IT. réseau. Un modèle plus centré sur les technologies IP a été défini. Ce modèle
• La maitrise de ce vocabulaire permet de positionner un a été défini par le DOD (Department Of Defense) et est appelé modèle DOD
matériel ou un protocole dans une couche. ou modèle TCP/IP. La section suivante présente ce modèle.
• Par exemple, la commutation est réalisée en

couche 2, tandis que l’adressage IP mobilise la
couche 3.
• Les couches sont numérotées de la plus basse, la couche
physique, à la plus élevée, la couche applicative.
• Chaque couche définit et manipule un format de donnée
spécifique appelé PDU (Protocol Data Unit) :
• Des données pour les couches 5 à 7
• Des segments pour la couche 4
•
PARTIE 1
Des paquets pour la couche 3

• Des trames pour la couche 2
• Des bits pour la couche 1

Chapitre 4

04 - TCP/IP et ses couches
Modèle DOD
• Le modèle DOD a été formalisé par le Département de la

Défense des États-Unis comme formalisation concrète du
modèle conceptuel OSI dans un contexte spécifique à
TCP/IP.
• Ce modèle est connu sous les noms de modèle TCP/IP,
modèle du DOD ou encore de pile TCP/IP.
• La pile TCP/IP définit 4 couches :
• La couche liaison
• La couche internet
• La couche transport
• La couche application
• Une requête débute dans la couche application de l’hôte
qui émet la requête. Elle redescend dans les couches,
PARTIE 1
parvient physiquement au destinataire et remonte les

couches jusqu’à la couche application du destinataire.
Étudions dans le détail chacune de ces couches.

La couche liaison
• La couche liaison est la couche la plus basse du modèle TCP/IP. Elle

gère l’accès au média physique en émettant et recevant les bits sous
forme électrique ou optique en fonction du support utilisé. La couche
liaison gère également l’adressage physique.
• Lorsque des bits sont reçus par l’interface réseau de l’hôte, la couche
réseau recrée la trame à partir des bits reçus physiquement puis la
transmet à la couche supérieure.
• Sur un réseau local Ethernet, le protocole ARP (Address Resolution
Protocol) traduit l’adresse IP logique fournie par la couche supérieure
en adresse physique MAC de destination. Les bits sont ensuite
transmis physiquement à cette adresse.
• Si l’IP est située sur le réseau, l’adresse MAC renvoyée est celle
de l’hôte correspondant.
• Si l’IP est à destination d’un autre réseau, l’adresse MAC fournie
est celle d’un routeur qui interconnecte le réseau à un autre
PARTIE 1
réseau aussi appelé passerelle. Si les deux réseaux sont sous la

même autorité, le protocole OSPF permet de déterminer la
route à suivre.
• Sur un réseau étendu, différentes technologies permettent de
transporter les trames. Par exemple : IDSN, DSL ou la fibre optique.

La couche internet
• La couche internet permet le routage des paquets entre des hôtes situés
sur des réseaux différents : elle principalement concernée par
l’interconnexion entre les réseaux. Le matériel concerné est le routeur.
• Les segments en provenance de la couche transport fournissent une
adresse source et une adresse de destination mais aucun chemin n’est
fourni à l’avance. Pour gérer l’acheminement, 3 protocoles sont mis en
place par la couche IP :
• IP transforme les segments reçus de la couche transport et crée des
paquets. La table de routage du routeur est utilisée pour
transmettre les paquets vers le réseau suivant, plus proche de la
destination, ou à l’hôte de destination s’il est situé sur le réseau
concerné.
• ICMP (Internet Control Message Protocol) véhicule les messages de
contrôle et d’erreur. Par exemple, la commande ping utilise ICMP
pour tester la disponibilité d’un serveur.
PARTIE 1
• IGMP (Internet Group Management Protocol) gère l’adressage

multicast vers plusieurs hôtes.
• La couche internet s’appuie sur les services fournis par la couche liaison
pour transmettre des paquets indépendamment de la technologie
physique employée dans les différents réseaux traversés.

La couche transport
• La couche transport assure le service de liaison de bout en bout à la

couche supérieure. En fonction des besoins de celle-ci, 2 protocoles sont
proposés :
• TCP (Transport Control Protocol) est le protocole qui assure un
transport fiable grâce à un mécanisme de détection des erreurs.
• TCP établit une connexion avec le destinataire par un
mécanisme de Three-way Handshake qui valide la
disponibilité du service de destination.
• Les données de la couche supérieure sont découpées en
segments qui sont envoyés au destinataire grâce au service
fourni par la couche internet.
• Le destinataire envoie un accusé de réception et réordonne
les segments si nécessaire avant de les mettre à disposition
de la couche supérieure.
• Si l’émetteur ne reçoit pas d’accusé de réception, il renvoie
PARTIE 1
le paquet en adaptant la vitesse de transmission pour

limiter de futures pertes.
• UDP (User Datagram Protocol) transmet les données sous forme
de datagrammes très simples, sans connexion ni contrôle. Cela
apporte un gain en vitesse notable par rapport à TCP.

La couche application
• La couche application est la couche utilisée par les développeurs de logiciels

pour intégrer des fonctions réseau à leurs logiciels.
• Chaque protocole de la couche application fournit un service aux développeurs.
Par exemple :
• HTTP (HyperText Transfer Protocol) a été conçu pour le transfert de petits
fichiers comme une page web et les ressources associées. C’est le
protocole principal du Web.
• FTP (File Transfer Protocol) est un protocole efficace pour le transfert de
gros fichiers. Il est toutefois de moins en moins utilisé au profit de HTTP.
• TLS (Transport Layer Security) assure la confidentialité et l’intégrité des
données avant de les transmettre à la couche transport. Il peut être
combiné à HTTP pour transmettre les données du web de manière
chiffrée. On parle alors d’HTTPS.
• IMAP (Internet Message Access Protocol), POP (Post Office Protocol) et
SMTP (Simple Mail Transfer Protocol) assurent l’envoi et la réception des
PARTIE 1
emails.
• La couche application s’appuie sur la couche transport pour assurer la fiabilité
ou la vitesse des transferts de données.
• Nous reviendrons sur les protocoles de la couche application dans la dernière
section de de chapitre.

Couche adjacente et même couche
• Les échanges entre les couches adjacentes sur une même machine
sont appelées échanges verticaux ou interactions inter-couches.
• Chaque couche de TCP/IP dépend des couches inférieures
pour fournir un service aux couches supérieures.
• Lorsqu’un hôte émet, les données sont encapsulées par
chaque couche.
• Lorsqu’un hôte reçoit, les bits sont décapsulés en trames,
paquets, segments et enfin données.
• Les en-têtes encapsulées par chaque couche au moment de
l’émission sont traitées par les mêmes protocoles au niveau de
chaque couche par le destinataire. On appelle cela l’interaction sur
couche identique.
• Cette interaction permet de se concentrer sur une couche
donnée, sans se préoccuper du fonctionnement des couches
PARTIE 1
inférieures.
• Par exemple, la décision d’envoyer les données en TCP ou en
UDP se prend au niveau de la couche transport. Il s’agit de
s’assurer que le destinataire est en mesure de traiter le
protocole choisi par l’émetteur.

Bilan
• TCP/IP définit un ensemble de protocoles à partir du • Des modèles récents de TCP/IP proposent un modèle en 5 couches où la
modèle défini par le Département de la Défense des couche liaison est séparée en 2 sous-couches, l’une pour la gestion des
États-Unis (DoD) supports et l’autre pour l’adressage physique.
• La RFC 1122 définit ainsi 4 couches du plus bas au plus • Nous avons ainsi 2 modèles pour la modélisation des réseaux : le modèle
haut niveau, les couches les plus basses fournissant un OSI et le modèle TCP/IP. Nous allons comparer ces 2 modèles dans la
service aux couches les plus hautes. On a ainsi : section suivante.
• La couche liaison qui assure la création de
trames adaptées aux supports physiques.
• La couche internet qui assure le routage des
paquets entre les réseaux interconnectés.
• La couche transport qui assure un transport
de bout en bout fiable ou rapide.
• La couche application qui fournit des briques
d’accès au réseau aux développeurs
PARTIE 1
d’applications.

Chapitre 4

04 - Comparaison entre OSI et TCP/IP
Des objectifs différents
Modèle conceptuel et standard du marché De l’interconnexion à la standardisation

• Le modèle OSI a été créé pour offrir un cadre de
référence commun aux différents modèles en
compétition dans les années 70. Chaque constructeur
avait en effet alors sa propre architecture, ce qui rendait
les échanges entre spécialistes difficiles.
• Au contraire, le modèle TCP/IP a été conçu au départ
pour offrir une solution pratique pour interconnecter ces
différentes architectures.
• OSI apporte ainsi une solution de classification pour
toute sorte de protocoles, tandis que TCP/IP a permis la
standardisation autour des quelques protocoles bien
définis.
• Aujourd’hui, la plupart des constructeurs ont abandonné
leurs solutions propriétaires au profit des protocoles
standardisés par TCP/IP.
PARTIE 1

Granularité des couches
• OSI et TCP/IP définissent un modèle en couche mais avec

une granularité différente :
• OSI définit un modèle en 7 couches.
• TCP/IP est modélisé en 4 ou 5 couches.
• Les couches haut-niveau 5, 6 et 7 du modèle OSI sont
regroupées dans une seule couche Application en TCP/IP.
• En pratique, les protocoles de TCP/IP implémentent
des fonctions des 3 couches OSI.
• Les deux couches centrales sont identiques :
• La couche transport du modèle OSI correspond à la
couche du même nom en TCP/IP.
• Le modèle original de TCP/IP appelle la couche
réseau la couche internet. Le modèle révisé en 5
PARTIE 1
couches reprend le terme couche réseau.

• Les couches bas-niveau 1 et 2 sont regroupées dans une
couche liaison dans le modèle TCP/IP original.
• Le modèle révisé rétablit la division entre couche
physique et lien d’accès.

Bilan : une approche complémentaire
• TCP/IP est le modèle pratique qui s’est imposé. La • Un routeur est un équipement dit de couche 3 car il s’appuie sur la
technologie IP est aux cœur des réseaux, du petit réseau technologie IP pour router les paquets.
familial aux grands réseaux distribués des fournisseurs
Cloud.
La dernière section de ce chapitre présente des services importants de la
• OSI a échoué comme prescripteur de technologie mais a couche application de TCP/IP.
gardé une utilité pratique en termes de description de
fonctionnalités. Par exemple :
• Un concentrateur (hub) est décrit comme un
périphérique de couche 1 car il ne fait que
retransmettre un signal physique sans
discrimination.
• Un concentrateur (switch) est principalement
décrit comme un périphérique de couche 2 car il
exploite les adresses MAC pour prendre des
décisions intelligentes pour l’adressage des trames.
PARTIE 1
• Nous verrons par la suite que certains

switchs offrent des fonctions avancées dites
de couche 3. Cette capacité à faire référence
au modèle OSI permet de définir le contexte
d’un échange entre professionnels.

Chapitre 4

04 - Protocoles et services réseau
Accès aux applications
• L’organisation en couches de TCP/IP permet l’utilisation • En effet, un seul serveur pouvant fournir plusieurs services, le port permet
des services d’une couche sans avoir à se préoccuper de d’identifier celui qui est demandé.
son fonctionnement. • Certains services sont fournis par un port bien défini. On parle alors
• Du point de vue d’un développeur d’application, la mise de ports réservés (Well Known Port Number). Leur numéro est
en place de fonctionnalités réseau nécessite simplement attribué par l’IANA (Internet Assigned Numbers Authority), de 0 à
de faire appel aux services en respectant les protocoles 1023.
définis par la couche application de TCP/IP. • Les ports non réservés au-dessus de 1024 peuvent être utilisés
• La machine qui offre un service est appelé serveur. La librement par les développeurs de logiciels pour fournir leur propre
machine qui utilise le service est le client. Pour accéder à service.
un service, le client fournit 3 informations qui sont • Nous allons approfondir ce concept en étudiant quelques services bien
exploitées par la couche transport : connus :
• L’adresse IP du serveur • DNS, DHCP, FTP ;
• Le protocole de transport (TCP ou UDP) • ainsi que les protocoles de messagerie SMTP, POP et IMAP.
• Le port de connexion
PARTIE 1

HTTP : HyperText Transfer Protocol
• Lors de la présentation des couches du modèle OSI, nous • Dans la vraie vie comme dans cet exemple, les utilisateurs ne saisissent
avons défini le Web comme application phare de la pas une adresse IP mais un nom de domaine explicite facile à mémoriser.
couche application. • Une autre application se charge de récupérer l’adresse IP nécessaire à la
• Pour accéder à une page web, 2 étapes sont connexion : le DNS, que nous allons étudier.
nécessaires :
• Établir une connexion sur l’adresse IP du
serveur web, avec le protocole TCP, sur le
port 80 ;
• Une fois la connexion établie, envoyer une
requête respectant le format défini par le
protocole HTTP.
• L’illustration à droite montre la connexion, la
requête envoyée et la réponse reçue.
• En pratique, des navigateurs web graphiques ont été
PARTIE 1
développés, comme Google Chrome ou Mozilla Firefox.

• Ces logiciels fournissent une interface intuitive exploitant
l’application (au sens du modèle TCP/IP) HTTP.

DNS : Domain Name System
• DNS est un service de résolution de nom permettant

d’obtenir une adresse IP à partir d’un nom de domaine,
appelé aussi FQDN (Fully Qualified Domain Name).
• L’IANA a affecté le port 53 au protocole DNS.
• Chaque hôte sur le réseau dispose d’une liste initiale de
serveurs DNS racine qui délèguent récursivement la
résolution de l’adresse à des serveurs plus spécifiques dits
récursifs.
• Les serveurs récursifs font également office de cache,
c’est-à-dire qu’ils gardent en mémoire les réponses déjà
apportées pour économiser des requêtes ultérieurement.
• Il existe différents types d’enregistrements. Les plus
courants sont :
• A, qui retourne une adresse IPv4 à partir d’un nom
de domaine.
PARTIE 1
• AAAA, qui retourne une adresse IPv6.

• MX, qui fournit les serveurs de mail d’un domaine.
• NS, qui définit les serveurs DNS du domaine.
• CNAME, qui permet de créer un alias de nom de
domaine.

DHCP : Dynamic Host Configuration Protocol
• DHCP est un protocole fourni par le port 67 des serveurs • Concrètement, une machine n’ayant pas d’adresse IP attribuée va diffuser
qui le proposent. en broadcast une demande sur le port 67 de toutes les machines du
• Il permet d’affecter dynamiquement une adresse IP et un réseau qu’elle essaie de rejoindre.
masque de sous-réseau à une machine nouvellement • Si un serveur offrant le service DHCP est actif, il répond par une adresse IP
connectée sur le réseau. disponible.
• Ce protocole est particulièrement utile en mobilité • Le client accepte la première offre qui lui parvient.
notamment pour connecter facilement un • Une box internet active généralement ce service par défaut pour
smartphone sur un réseau WIFI ou une nouvelle permettre de brancher des équipements sur les ports RJ45 ou de les
imprimante sur un LAN Ethernet. connecter en WIFI.
• Il n’est ainsi plus nécessaire de configurer • En entreprise, des serveurs DHCP dédiés peuvent être configurés pour une
manuellement une adresse statique et le masque sécurité renforcée.
associé.
• Par exemple, en n’acceptant que les machines ayant une adresse
MAC connue.
PARTIE 1

FTP : File Transfer Protocol
• FTP est le protocole historiquement utilisé pour le transfert de fichiers

volumineux.
• L’IANA a réservé les ports 20 et 21 pour ce service.
• Le client effectue une connexion via TCP dite de contrôle sur le port 21
pour transmettre ses commandes.
• Il peut s’agir de demander la liste des fichiers ou bien de
supprimer, renommer ou télécharger un fichier donné.
• Historiquement, le serveur réalise alors une connexion vers le client
pour envoyer les données : c’est le mode actif (première illustration).
• Le mode actif nécessite ainsi que le client possède une adresse IP
publique, ce qui est de plus en plus rarement le cas.
• Les clients ne permettant pas une connexion depuis l’extérieur peuvent
utiliser le mode passif.
• Dans ce mode, le serveur communique le port sur lequel le client
PARTIE 1
peut établir la connexion de données.

• L’augmentation des vitesses de connexion a réduit l’utilisation de FTP au
profit d’HTTP pour des fichiers de plus en plus volumineux. Il est
désormais nécessaire d’installer un client FTP spécifique, la plupart des
navigateurs ayant retiré le support de FTP précédemment intégré.

Protocoles de messagerie
• La messagerie électronique s’appuie sur 3 protocoles • IMAP (Internet Message Access Protocol) résout les problèmes de
principaux : POP en se synchronisant avec les serveurs de messagerie.
• SMTP (Simple Mail Transfer Protocol) gère l’envoi • Il est ainsi possible de renommer ou supprimer des messages
de mails. Son port réservé est le 25 pour un envoi et de retrouver les modifications sur toutes ses machines
non chiffré. connectées à son compte de messagerie.
• Les problèmes liés aux courriers indésirables • Chacun de ces protocoles offre une version sécurisée avec chiffrement.
a conduit la plupart des fournisseurs d’accès • Pour SMTP, le port 587 est réservé à l’envoi d’un mail avec
à bloquer SMTP sur la connexion des chiffrement.
utilisateurs non professionnels. Il faut utiliser
les serveurs mis en place par le fournisseur. • Pour POP, la technologie disponible sur le port 995 est désormais
obsolète et son usage est déconseillé.
• Les messages sont transférés vers le serveur
mail du destinataire pour y être récupérés. • Le port 993 remplit la fonction d’accès sécurisé aux mails avec une
technologie moderne en IMAP.
• POP (Post Office Protocol) est un protocole simple
pour la récupération des mails. Son port est le 110.
PARTIE 1
• Par défaut, POP récupère les mails et les

efface du serveur.
• Cela pose problème lorsque plusieurs clients
sont utilisés en parallèle (un PC et un
smartphone, par exemple).

Bilan
• La couche application du modèle TCP/IP

fournit un ensemble de services que les
développeurs de logiciels peuvent utiliser
comme des briques logicielles pour fournir
des fonctionnalités réseau.
• DNS permet la récupération de l’IP
associée à un nom de domaine, plus facile
à utiliser et mémoriser pour un utilisateur.
• DHCP permet d’affecter une IP à une
machine nouvellement connectée sur un
réseau.
• FTP permet de télécharger des fichiers
volumineux.
• SMTP, POP et IMAP permettent l’envoi, la
récupération et l’accès aux mails.
PARTIE 1

Chapitre 5
Mise en place d’un réseau LAN
• Conception d’un réseau LAN

• Optimisation d’un réseau LAN
• Dépannage d’un réseau LAN
5 heures
Chapitre 5
1. Conception d’un réseau LAN

2. Optimisation d’un réseau LAN
3. Dépannage d’un réseau LAN
05 - Conception d’un réseau LAN
Enjeux de la conception
• Un réseau bien conçu répond aux exigences suivantes : • Différents critères permettent de valider une bonne conception :
• Robustesse • Le réseau répond au besoin
• Évolutivité • Le réseau s’appuie sur un modèle bien défini
• Sécurité • La conception est documentée
• Facilité d’administration • Le réseau est évolutif
• Les enjeux de sécurité sont documentés
PARTIE 1

Analyse du besoin
• La capacité d’un réseau à répondre aux besoins des • Une fois la collecte d’information terminée, les informations recueillies
utilisateurs est le premier critère de validation d’une sont traitées. On identifie ainsi
conception. • les activités de l’organisation,
• La première étape de la conception d’un réseau est donc • les flux de données échangées ou traitées,
l’analyse de besoin.
• les services dotés (ou à doter) de matériel informatique.
• Plusieurs méthodes peuvent être mises en œuvre :
• À partir de cette analyse, on peut passer à la seconde étape, la définition
• Une recherche documentaire. Elle consiste en un d’une architecture de réseau.
inventaire de l’existant (technique et fonctionnel)
du commanditaire.
• Des interviews utilisateurs pour cerner les
éléments manquants ou à améliorer.
• Un benchmark des solutions utilisées par des
organisations de même taille ou dans le même
domain.
PARTIE 1

Architecture SOHO
• L’architecture SOHO (Small Office Home Office) est

utilisée lorsque le réseau local est constitué d’un nombre
limité d’équipements proches géographiquement.
• Un tel réseau est souvent constitué
• d’un routeur permettant l’accès à internet,
• d’un switch permettant de connecter les postes de
travail, imprimantes et autres équipements munis
d’une carte réseau Ethernet,
• d’un point d’accès pour les équipements sans fil.
• Ces fonctions sont parfois assurées par un seul
équipement physique comme une Box internet.
• L’architecture SOHO ne permet pas la séparation des
différents types d’équipements et de trafic.
•
PARTIE 1
Lorsqu’une organisation s’agrandit, il est nécessaire de

mettre en place une architecture hiérarchique.

Architecture d’entreprise hiérarchique 2-tiers
• Une architecture hiérarchique permet de regrouper les

équipements sur des critères fonctionnels ou
géographique
• On parle ainsi d’architecture 2-tiers lorsque l’on met en
place
• Une couche accès pour la connexion des
équipements des utilisateurs finaux
• Une couche distribution pour transférer le trafic à
l’intérieur du LAN ou vers le WAN.
• Dans ce scénario, la séparation est géographique :
• Chaque étage du bâtiment possède son propre
switch qui assure l’accès. Les équipements sont
directement connectés à ce switch.
• Chaque switch d’accès est lui-même connecté à un
switch dit de distribution. Ce switch est également
PARTIE 1
connecté au routeur qui assure l’interconnexion

avec les autres réseaux ou internet.

Scénario : séparation fonctionnelle
• Une société dispose d’une architecture SOHO

• Elle décide de mettre en place et d’héberger son propre site web
• 2 zones vont être mises en place
• La zone LAN pour les équipements utilisateurs
• Une DMZ pour les serveurs accessibles de l’extérieur
• La couche d’accès va permettre d’une part la connexion des
équipements du LAN et d’autre part des équipements de la DMZ
• La couche distribution va interconnecter les 2 zones et le routeur.
• Cette architecture est évolutive : la zone LAN peut être
décomposée à son tour en plusieurs zones. Chaque zone
disposera de son propre switch d’accès connecté à la couche
distribution
• Si le nombre d’équipements dépassent plusieurs centaines, on
PARTIE 1
peut mettre en place une architecture 3-tiers

Architecture d’entreprise « 3-tiers »
• L’architecture 3-tiers permet d’augmenter les

performances et la fiabilité d’un réseau qui atteint une
taille critique d’environ 1000 équipements
• En plus des couches accès et distribution, on ajoute une
couche cœur qui a pour fonction de connecter les
commutateurs de distribution
• Dans le scénario ci-contre, un campus dispose de 3
bâtiments.
• Chaque bâtiment possède plusieurs commutateurs
d’accès pour connecter les équipements et de
commutateurs de distribution pour assurer la
communication à l’intérieur du bâtiment
• Des commutateurs sont ajoutés pour
interconnecter les commutateurs de distribution et
ainsi relier les bâtiments entre eux.
PARTIE 1
• Le scénario suivant montre comment la couche cœur

peut également permettre d’assurer une redondance
pour l’accès au WAN.

Scénario : redondance de l’interconnexion avec le WAN
• Dans les scénarios précédents, un seul routeur assure

l’interconnexion entre le LAN et le WAN. La couche cœur
permet de mettre en place une redondance de l’accès WAN :
• 2 routeurs sont connectés au WAN
• Chaque routeur est connecté à un switch différent de la
couche cœur
• Ainsi,
• en fonctionnement normal, le trafic est réparti, ce qui
augmente les performances,
• en cas de défaillance d’un des composants de la couche
cœur, les autres composants assurent le maintien de
l’accès au WAN.
• La couche cœur permet ainsi d’assurer la performance, la
résilience et l’évolutivité du LAN.
PARTIE 1
• Elle représente toutefois un coût supplémentaire, qui est justifié

pour les réseaux critiques et/ou de grande taille
• La redondance de l’accès WAN peut être mis en place sur
une architecture 2-tiers : on parle alors de « cœur
effondré ».

Sélection du matériel
• Une fois l’architecture définie, la 3e étape est la sélection • Une fois le constructeur sélectionné, les équipements spécifiques sont
du matériel. choisis en fonction de critères de prix, de performance et de nombre de
• Dans une architecture SOHO, une box internet sert ports notamment.
généralement de point de départ : • La normalisation autour de TCP/IP permet d’interconnecter des
• Elle contient généralement un routeur vers équipement provenant de constructeurs différents, mais
internet, le point d’accès WIFI et un switch intégré l’administration du réseau sera plus complexe.
avec 2 à 4 ports RJ45 intégrés.
• Le réseau peut être étendu par l’ajout de switchs
supplémentaires.
• Dans une architecture d’entreprise, un seul constructeur
est généralement sélectionné, notamment pour faciliter
la mise en place initiale puis la surveillance de la sécurité
et des performances grâce à des outils spécifiques
développés par le constructeur.
PARTIE 1
• Le leader du marché est Cisco. D’autres

constructeurs reconnus sont Juniper, Huawei et
Netgear.

Matériel pour les architectures d’entreprise
• La couche accès permet la connexion de plusieurs équipements

utilisateurs.
• L’équipement central est généralement un switch contenant
un nombre de ports suffisant, auquel on peut ajouter un point
d’accès pour la connectivité sans fil
• Un switch de la couche accès est généralement associé à sous-
réseau spécifique. Il gère directement les communications
entre les équipements connectés.
• Si une communication est adressée à un autre équipement,
elle est transmise au switch de distribution
• La couche distribution nécessite un switch plus puissant, capable de
gérer les flux entre des équipements situés dans des sous-réseaux
différents.
• La couche cœur nécessite un switch ou un routeur à haute vitesse,
PARTIE 1
capable de transporter de larges quantités de données entre les

réseaux.
• Une fois le matériel sélectionné, il reste à modéliser le réseau via un
diagramme de réseau.

Diagramme de réseau
• Le diagramme de réseau représente l’ensemble des équipements et leur

connexion. On y retrouve la qualité, le type et la localisation de chaque
équipement.
• Cette première itération permet de valider que tous les besoins sont
couverts.
• Elle peut être validé par les différentes parties prenantes.
• Un outil indépendant du matériel peut être utilisé, comme Lucidchart.
La figure ci-contre montre un schéma créé avec cet outil.
• Une fois les équipements et leur positionnement validés, une seconde
itération permet d’ajouter les éléments techniques comme le plan
d’adressage et le matériel spécifique utilisé.
• Ce travail est généralement réalisé avec un outil intégrant le matériel
en question. Par exemple, Cisco fournit le logiciel Cisco Packet Tracer
qui fournit des fonctions de simulation en plus de la modélisation.
• Si le constructeur ne fournit pas d’outil, un logiciel comme GN3
PARTIE 1
permet de modéliser et même d’émuler le fonctionnement du réseau.

• L’émulation est encore plus proche de la réalité que la simulation, mais
consomme plus de ressource.
• Une fois le diagramme de réseau validé et vérifié, le réseau peut être mis en
place.

Bilan
• Une bonne conception de réseau permet de répondre à • Au niveau de l’architecture,

des exigences de robustesse, d’évolutivité, de sécurité et • L’architecture SOHO a l’avantage de la simplicité
de facilité d’administration. mais est limitée géographiquement et en nombre
• 5 étapes sont nécessaires pour remplir ces exigences : d’équipements.
1. L’analyse du besoin • L’architecture 2-tiers permet une séparation
2. Le choix de l’architecture géographique et/ou fonctionnelle. On l’utilise au
delà de 10 machines et jusqu’à 1000 équipements.
3. La sélection du matériel
• L’architecture 3-tiers permet d’assurer la
4. La création et la validation du diagramme de performance et la résilience du LAN et de son
réseau interconnexion avec le WAN. Elle permet une
5. La mise en place effective du réseau évolutivité importante, au-delà de 1000
équipements.
PARTIE 1
Une fois le réseau en service, notre rôle est d’assurer la qualité du service rendu aux utilisateurs. C’est le sujet de l’optimisation que nous
allons traiter dans la prochaine section.

Chapitre 5

05 - Optimisation d’un réseau LAN
Enjeux et techniques d’optimisation
Enjeux Techniques
• L’optimisation du réseau, même bien conçu au départ, est • Il existe différentes manières d’optimiser un réseau, comme :
une préoccupation majeure d’un administrateur réseau et 1. Optimiser la segmentation du réseau
de son équipe. En effet :
2. Mettre en place la QoS (Quality of Service)
• Les entreprises sont de plus en plus dépendantes
de la disponibilité de leurs outils informatiques. 3. Optimiser le routage
• Les utilisateurs, habitués à la haute disponibilité 4. Mettre en place une surveillance proactive
des services qu’ils utilisent à titre personnel 5. Provisionner de nouvelles capacités
(réseaux sociaux, streaming...) ont désormais les
• Les 3 premières techniques seront détaillées dans les parties à venir de ce
mêmes attentes que dans le milieu professionnel.
cours.
• De plus en plus de services sont mis en place,
• Nous allons étudier dans cette section les techniques d’optimisation par la
souvent de plus en plus consommateurs de
surveillance et le provisionnement de nouvelles capacités.
puissance et de bande passante.
• Malgré les progrès réalisés par les outils d’administration,
les réseaux ne sont pas encore capables de s’auto-
optimiser.
PARTIE 1
• C’est donc au service d’administration réseau (IT) que

revient la tâche de faire fonctionner le réseau avec la
meilleure performance possible.

Network Management System
• Un NMS (Network Management System) fournit une

visualisation globale du fonctionnement du réseau,
incluant :
• Les alertes et alarmes concernant les équipements
et les erreurs de transmission ;
• L’utilisation des ressources, notamment le stockage
et la bande passante ;
• Les connexions au réseau, notamment liées au
BYOD (Bring Your Own Device) ;
• Les alertes de sécurité.
• Le NMS permet d’identifier les problèmes de fond à
optimiser. C’est aussi une porte d’entrée pour identifier
les équipements à dépanner comme nous le verrons dans
la prochaine section.
PARTIE 1

Ajout de capacités
• L’ajout de capacités consiste à installer de nouveaux • L’ajout de capacités doit être planifié pour perturber au minimum le
équipements ou à remplacer des équipements existants fonctionnement du réseau. Il est possible de :
par des équipements plus performants. • Planifier les opérations le soir ou le week-end si l’entreprise
• Il s’agit d’opérations coûteuses qui doivent donc être fonctionne uniquement pendant les heures de bureau.
mises en œuvre seulement une fois que les autres • Mettre en place une redondance ou activer le nouveau matériel
techniques ont été mises en œuvre : avant de retirer l’ancien dans le cas d’un remplacement.
• Segmentation du réseau, QoS, optimisation du • Une fois les capacités augmentées, il est nécessaire d’évaluer l’impact sur
routage. le trafic, les ressources disponibles et l’amélioration de l’expérience
• Analyse des éléments remontés par le NMS. utilisateur.
• Identification des parties du réseau posant
problème.
• Élimination du gaspillage (stockage non nécessaire
ou flux réseaux non pertinents).
PARTIE 1

Bilan
• L’optimisation du réseau est une activité de fond de

l’administrateur réseau.
• L’installation d’un outil de visualisation globale, sous la
forme d’un NMS, est indispensable.
• L’ajout de capacités est une technique coûteuse qui ne
doit venir qu’en dernier ressort quand toutes les
optimisations ont été apportées telles qu’une meilleure
segmentation, la mise en place ou l’amélioration de la
QoS et l’optimisation du routage.
• La troisième et dernière partie de ce chapitre traite d’une
activité tout aussi importante et non planifiable : le
dépannage.
PARTIE 1

Chapitre 5

05 - Dépannage d’un réseau LAN
ITIL et la gestion des incidents
• La gestion des incidents est un sujet majeur de • L’objectif principal est le rétablissement des services le plus rapidement
l’administration d’un réseau comme le montre possible :
l’intégration de cette problématique dans les bonnes • Une solution temporaire mise en œuvre rapidement est préférable
pratiques ITIL. à une solution parfaite mais plus longue.
• ITIL est un ensemble d’ouvrages rassemblant les • Une fois les services rétablis, la recherche des causes et la mise en
bonnes pratiques de management d’un système place d’une solution optimale est réalisée dans un second temps,
d’information. dans le cadre de la gestion des problèmes.
• L’ouvrage spécifique à l’exploitation des services • ITIL décompose la gestion des incidents en 6 opérations :
définit la gestion des incidents comme « la
restauration d’un fonctionnement normal ». 1. Détection et enregistrement des incidents
2. Assistance initiale à l’utilisateur affecté
3. Enquête et diagnostic
4. Résolution ou restauration
5. Clôture
PARTIE 1
6. Suivi et communication

Avantages et difficultés de la gestion des incidents
Avantages Difficultés
• La mise en place d’une politique de gestion des incidents • La formalisation de la politique des incidents peut provoquer différents
formalisée permet de : problèmes :
• Réduire l’impact des incidents. • Une résistance au changement de la part des utilisateurs pouvant
• Détecter les incidents plus rapidement. aller jusqu’au refus d’utiliser les outils mis en place.
• Résoudre les incidents plus vite, même si la • Un budget insuffisant face aux besoins pouvant nuire à l’efficacité
solution initiale doit être complétée dans un du système voire empirer la situation.
second temps.
• Garder une trace des incidents et de leur résolution
pour repérer et résoudre les problèmes de fond
dans le cadre de l’optimisation.
• Améliorer la satisfaction des utilisateurs.
PARTIE 1

Outils de gestion des incidents
Fonctionnalités attendues Outils de gestion

• Un outil de gestion des incidents doit pouvoir gérer les 3
phases : avant, pendant et après l’incident. • Un nombre important d’outils existe sur le marché. La sélection peut
• La phase de détection d’incident nécessite le suivi s’effectuer en fonction des fonctionnalités et du coût.
du NMS et de disposer de moyens d’alertes (tickets • Atlassian publie un outil Jira Service Management particulièrement
de support, hotline..). adapté aux organisations ayant une activité de développement
• La phase de résolution implique la communication logiciel. Il gère le flux d’information entre les équipes dev et les
dans l’équipe, auprès des personnes affectées équipes ops pour optimiser le temps de réponse.
(clients, services) et la coordination des efforts. • GLPI est un outil Open Source complexe d’administration du
• La phase de suivi nécessite de conserver la trace de système d’information intégrant des fonctions d’inventaire, de
l’incident et de mener une enquête dite de « Post surveillance et de réponse aux incidents.
Mortem » pour prévenir de futures incidents. • Zendesk est un outil SaaS assurant les fonctions de support
utilisateur, de création de tickets et de base de connaissances.
• Les outils et le marché évoluant très vite, Il est recommandé d’effectuer
un benchmark complet avant de sélectionner un outil.
PARTIE 1

Partie 2
APPLICATION DES BASES DE LA
COMMUTATION
Dans ce module, vous allez :
• Définir la commutation
• Mettre en œuvre des VLAN
• Gérer la redondance et l’agrégation de liaisons
• Sécuriser les commutateurs dans un réseau
35 heures
Chapitre 1
Définition de la commutation
• Les différents types de switch

• Le transfert de trame
• Les domaines de commutation
• Le protocole ARP
5 heures
Chapitre 1
1. Les différents types de switch

2. Le transfert de trame
3. Les domaines de commutation
4. Le protocole ARP
01 - Les différents types de switch
Fonctions d’un switch
• Le switch (ou commutateur) est l’équipement central permettant

de connecter les équipements d’un sous-réseau.
• La figure ci-contre illustre une architecture SOHO typique :
• Un routeur est connecté d’un côté au modem fournissant
l’accès à internet et de l’autre à un switch permettant la
connexion des équipements.
• Ces 3 fonctionnalités sont souvent regroupées dans un seul
matériel, dans les box internet des fournisseurs d’accès.
• La partie basse du schéma représente le sous-réseau LAN
d’adresse 192.168.1.0/16
• Les équipements connectés au switch possèdent tous
une adresse dans la plage d’adresse du sous-réseau.
• Un switch assure 2 fonctions dans un sous-réseau :
• Envoi des trames à destination d’un ou plusieurs hôtes du
sous-réseau en utilisant le port physique auquel l’hôte ou les
PARTIE 2
hôtes sont connectés.

• Envoi des trames à destination d’un autre réseau au routeur,
appelé passerelle dans ce contexte.

L’ancêtre du switch : le hub
• Historiquement, la fonction de transmission des trames était réalisée

par un équipement plus basique appelé hub ou concentrateur.
• Comme un switch, un hub permet de connecter les différents hôtes
d’un sous-réseau avec un câble Ethernet sur un de ses ports RJ45.
• Contrairement au switch, le hub ne sélectionne pas les destinataires.
Les données reçues sont rediffusées sur tous les ports du hub.
• Chaque hôte est alors tenu d’analyser chaque trame reçue et de
ne retenir que celles qui lui sont destinées.
• Ce fonctionnement basique a lieu au niveau physique : on dit
qu’un hub est un périphérique opérant sur la couche 1 du
modèle OSI.
• De plus, un hub ne fonctionne qu’en half-duplex : les hôtes ne
peuvent pas transmettre et émettre en même temps.
• L’utilisation d’un hub nécessite également la gestion des collisions,
avec notamment le protocole CMSA/CD.
PARTIE 2
• Ces différentes limites ont conduit à la quasi-disparition du hub au

profit du switch plus moderne.

Le switch : un aiguilleur de trames
• Contrairement à un hub, le switch analyse les trames pour les aiguiller

vers les hôtes destinataires uniquement. Il peut s’agir :
• D’un seul hôte du sous-réseau dans le cas d’une trame unicast.
• De plusieurs hôtes dans le cas d’une trame multicast.
• De tous les hôtes dans le cadre d’un broadcast.
• La sélection du ou des destinataires de fait via l’adresse physique MAC
des hôtes concernés.
• Il dispose pour cela d’une table de commutation qui recense
l’adresse MAC de chaque hôte connecté à ses ports via un câble
RJ45.
• Cette faculté d’analyse en fait un périphérique de niveau 2 sur la
couche OSI.
• En termes de performances,
• le switch peut fonctionner en full-duplex (si aucun hub n’est
présent sur le sous-réseau),
PARTIE 2
• les collisions sont éliminées par la création d’un canal virtuel

pour chaque communication.
• Les performances améliorées et la baisse des prix au niveau de celui
des hub a conduit à la quasi-disparition de ces derniers.

Scénario d’utilisation : couche accès et distribution
• Dans l’exemple ci-contre,

• Les switch SW1, SW2 et SW3 assurent l’accès des
équipements de leur étage respectif.
• Le switch SWD assure la distribution entre les étages
et l’accès au WAN via le routeur auquel il est
directement connecté.
• Les switch de la couche accès travaillent directement au
niveau de la couche 2 du modèle OSI. Dans cette
configuration, la trame d’un broadcast envoyé par un
équipement est reçue par toutes les machines du réseau.
• Pour limiter l’impact d’un broadcast, on peut vouloir
segmenter le trafic de chaque étage, en définissant un sous-
réseau différent pour chacun.
• SWD doit alors assurer les communications entre
équipements d’étages différents via la couche 3 : on peut le
remplacer par un routeur ou par un switch plus évolué, que
PARTIE 2
nous présentons page suivante.

Fonctions avancées
• La mission principale d’un switch étant la commutation, il est

considéré comme un périphérique de couche 2 du modèle OSI.
• Certains switch offrent toutefois des fonctions de couches
supérieures :
• Un switch dit L3 permet d’assurer la communication entre les
réseaux virtuels (VLAN) d’un sous-réseau :
• Il doit en effet pour cela exploiter les informations du
paquet IP de la couche réseau (couche 3 OSI).
• Les VLAN feront l’objet d’une explication complète dans
le prochain chapitre.
• Un switch est appelé L7 ou switch de contenu s’il est également
capable de prendre des décisions en fonction de l’application
des données.
• Par exemple, pour une requête HTTP (web), en fonction
de l’URL de la session ou des cookies.
PARTIE 2
• Un exemple de switch L7 est le LocalDirector de Cisco, illustré

ci˗contre.

Bilan
• Le switch est l’équipement permettant de connecter les • La notion initiale de switch fait référence à un fonctionnement en
hôtes d’un même sous-réseau avec une topologie en couche 2 (liaison) du modèle OSI.
étoile. • Un switch L2 analyse les trames pour ne les transmettre qu’aux
• Plusieurs switchs peuvent être connectés les uns aux hôtes concernés. Un canal virtuel est créé pour éliminer les
autres pour augmenter le nombre d’hôtes dans le sous- collisions.
réseau. • Les switch L3 et L7 apportent des fonctionnalités avancées :
• Historiquement, la fonction de connexion centralisée • La communication inter-VLAN pour les switch L3.
était exercée par un hub qui opère sur la couche 1
(physique) du modèle OSI. • L’analyse du contenu des données pour les switch L7.
• Le fonctionnement en half-duplex, la gestion des • La section suivante présente en détail la manière dont un switch
collisions et l’encombrement du réseau par la effectue la commutation.
diffusion des trames à tous les autres limitent
fortement les performances d’un hub.
PARTIE 2

Chapitre 1

4. Le protocole ARP
01 - Transfert de trame
Encapsulation dans une trame
• Les données applicatives transmises par un hôte sont

encapsulées par les couche successives :
• La couche transport ajoute un en-tête TCP ou UDP,
selon le protocole sélectionné par la couche
application, permettant notamment d’identifier le
port de destination.
• La couche internet ajoute un en-tête IP indiquant
notamment les adresses IP source et destination
pour permettre le routage.
• La couche de liaison ajoute ses métadonnées pour
constituer une trame contenant notamment
l’adresse MAC des hôtes sources et destination.
• Une fois les données reçues par la machine destinataire,
les métadonnées de trame sont décapsulées en paquet
puis en segment pour finalement obtenir les données
transférées.
PARTIE 2
• Pour assurer la commutation, le switch exploite les

informations contenues dans les métadonnées de la
trame.

Format de trame Ethernet
• Une trame Ethernet est constitué des champs suivants :

• Le préambule permet de confirmer que les bits transmis
physiquement représentent bien une trame et qu’elle
peut être traitée.
• Le délimiteur de début de trame (SFD) indique le début
des métadonnées utiles pour la commutation.
• Le champ destination contient l’adresse MAC de
l’interface réseau cible.
• Le champ source indique l’adresse MAC de l’émetteur.
• Le type indique le type de protocole de la couche
supérieure : généralement IPv4 ou IPv6.
• Data and pad contient le paquet de la couche 3
encapsulé dans la trame ainsi que d’éventuels bits de
tampon pour obtenir la taille minimal de 46 bits si
nécessaire.
PARTIE 2
• La somme de contrôle (FCS) permet de vérifier que la

trame n’a pas été modifiée par une erreur de
transmission.

Commutation par le switch
• À réception d’une trame, le switch vérifie que la trame est • Le switch lit ensuite l’adresse MAC de destination dans le champ
valide grâce à la somme de contrôle contenue dans le destination et recherche le port associé dans sa table d’adresses.
champ FCS. • Si l’adresse n’est pas dans la table, la trame est envoyée à tous les
• Si la somme est invalide, la trame est tout hôtes du sous-réseau. L’hôte destinataire répond et son adresse est
simplement supprimée. ajoutée à la table pour de futures transmissions.
• Le switch lit ensuite l’adresse MAC source et l’ajoute dans • Si l’adresse MAC de destination est une adresse Multicast, tous les hôtes
sa table d’adresses. Cela lui permet ultérieurement de abonnés à cette adresse reçoivent la trame.
connaitre directement le port de destination lorsqu’une • Si l’adresse MAC de destination est ff:ff:ff:ff:ff:ff (adresse de broadcast),
trame est adressée vers cet hôte. tous les hôtes reçoivent la trame, sauf l’émetteur.
PARTIE 2

Modes de fonctionnement
• Un switch peut être configuré avec quatre modes différents.
Le mode de commutation
En mode direct En mode différé Le mode hybride
automatique
En mode direct (cut through), le switch En mode différé (store and forward), le Le mode hybride (fragment free) offre Le dernier mode est le mode de
transmet la trame sans effectuer de switch attend la réception complète de un compromis entre les 2 modes commutation automatique (adaptive
correction d’erreur. la trame et vérifie l’intégrité de celle-ci précédent en assurant une vérification switching).
via la somme de contrôle contenue d’erreur simplifiée.
dans le champ FCS.
Ce mode assure une commutation plus Si la trame est invalide, elle est jetée Ce mode transmet moins de paquets Dans ce mode, le commutateur ajuste
rapide mais peut transmettre des sur le champ. erronés tout en conservant une rapidité sa stratégie en fonction de la
trames inutiles car modifiées. acceptable. dégradation ou de l’amélioration du
réseau, en fonction des erreurs
repérées.
Ce mode ralentit la commutation mais

PARTIE 2
évite la transmission de trames

modifiées.

Bilan
• Le transfert de trame est le rôle principal du switch.

• Il s’appuie sur 2 éléments principaux :
• Les métadonnées de la trame qui permettent de
connaitre l’adresse MAC de destination et de
vérifier l’intégrité de la trame.
• L’intégrité n’est pas vérifiée en mode direct.
• La table d’adresses qui indique le port physique du
switch sur lequel l’hôte possédant l’adresse de
destination est connecté.
• En cas de diffusion multiple (Multicast), la trame est
copiée vers tous les hôtes concernés.
• En cas de diffusion globale (Broadcast), la trame est
diffusée vers tous les hôtes sauf l’hôte source.
•
PARTIE 2
La section suivante formalise les notions de domaines de

commutation.

Chapitre 1

4. Le protocole ARP
01 - Domaines de commutation
Domaine de collision
• Un domaine de collision est défini par un ensemble • Au contraire d’un hub ou d’un AP, un switch crée un canal virtuel pour
d’interfaces NIC (Network Interface Card) à l’intérieur chaque communication.
duquel une trame envoyée par une des interfaces peut • Il y a donc autant de domaines de collisions que d’hôtes – le
entrer en collision avec une trame envoyée par une autre problème n’existe plus.
interface.
• En pratique, cette situation se produit dans les situations
suivantes :
• Dans un LAN contenant au moins un concentrateur
(hub).
• Tous les hôtes rattachés au port du hub
appartiennent au même domaine de
collision.
• Lorsque plusieurs hôtes sont connectés sans fils via
un point d’accès (AP).
PARTIE 2
• Tous les hôtes connectés au même réseau

sans fil font partie du même domaine de
collision.

Gestion des collisions
LAN Ethernet avec hub Point d’Accès sans fil

Lorsqu’un LAN comporte un concentrateur (hub), les trames sont retransmises à Le protocole CSMA/CD n’est pas applicable dans le cas d’un réseau sans fil.
tous les hôtes connectés au hub.
Le protocole CSMA/CD permet de gérer ces collisions par détection : En effet, 2 hôtes suffisamment éloignés ne peuvent pas écouter leurs trafics
• Un hôte qui souhaite émettre écoute le trafic sur le réseau. respectifs.
• Si la voie est libre, il commence à émettre.
• Si un autre hôte a également commencé une émission, une collision
se produit.
• Un signal JAM est alors envoyé. Tous les hôtes cessent alors d’émettre
et attendent un temps aléatoire (et donc différent) avant de
recommencer la procédure.
Plus il y a d’hôtes sur le réseau, plus le risque de collision est important. Un autre mécanisme, le CSMA/CA, est donc utilisé :
• Un hôte sans fil qui souhaite émettre envoie une demande
d’autorisation : le RTS (Request To Send).
• Si la voie est libre, l’AP envoie une autorisation : le CTS (Clear To Send).
• Pendant le temps de la transmission, aucun autre CTS n’est accordé à
PARTIE 2
un autre hôte.
La solution la plus efficace reste de remplacer le hub par un switch. Des tentatives d’amélioration de la gestion des collisions ont été amorcées avec la
norme 802.11ax, en utilisant plusieurs bandes de fréquences pour permettre des
transmissions simultanées.

Domaine de diffusion
• Un domaine de diffusion est défini par l’ensemble des

hôtes qu’une diffusion générale (broadcast) peut
atteindre.
• En pratique, le domaine de diffusion définit l’ensemble
des hôtes qui peuvent être joints directement par des
trames au niveau de la couche liaison (couche 2 du
modèle OSI) sans passer par un routeur.
• Ces hôtes sont regroupés dans un même
sous˗réseau.
• Lorsque le destinataire n’est pas situé sur le
sous˗réseau, le routeur décapsule la trame reçue et
récupère l’IP de destination pour faire progresser le
paquet vers sa destination.
• Dans l’exemple ci-contre :
PARTIE 2
• Les hôtes connectés au switch font tous partie du

même domaine de diffusion.
• Les équipements situés au-delà du routeur ne sont
pas atteints par un broadcast.

Bilan
• Deux domaines de commutation sont définis à l’intérieur

d’un LAN :
• Le domaine de collision définit l’ensemble des
machines qui ne peuvent pas communiquer en
même temps.
• Il s’agit des hôtes connectés en filaire à un
hub ou sans fil à un AP.
• Le domaine de diffusion définit les machines qui
peuvent être atteintes directement par une trame
dans un même sous-réseau.
• La dernière section de ce chapitre revient sur la manière
dont un hôte est capable de récupérer l’adresse MAC de
destination de la trame à partir de l’adresse IP fournie par
la couche de niveau 3.
PARTIE 2

Chapitre 1

4. Le protocole ARP
01 - Le protocole ARP
Objectifs du protocole ARP
• Lorsqu’un logiciel installé sur un hôte fait appel à un • L’adresse IP utilisée pour la requête est :
protocole de la couche application, une adresse IP, un • l’adresse de la destination si celle-ci se situe dans le même sous-
port de connexion et un protocole de transport sont réseau,
fournis à la couche transport.
• l’adresse du routeur configuré comme passerelle sinon.
• Ces éléments sont encapsulés – par la couche
transport pour le port, par la couche internet pour • L’adresse MAC de destination est ensuite encapsulée dans le champ
l’IP. destination de la trame avant d’être transmise sur le réseau.
• Au niveau de la couche liaison, l’hôte a besoin de
l’adresse physique MAC associée à l’adresse logique IP du
destinataire.
• Le protocole ARP (Adresss Résolution Protocol) permet
d’obtenir cette adresse.
• Si la résolution a déjà été effectuée
précédemment, le cache ARP est utilisé pour • Voyons maintenant le détail du fonctionnement d’ARP.
économiser une requête.
PARTIE 2

01 - Le protocole ARP
Fonctionnement d’ARP
• Une requête ARP est un broadcast réalisé au niveau de la

couche 2 du modèle OSI, sous forme de trame de
diffusion.
• Tous les hôtes du domaine de diffusion vont donc
recevoir la requête.
• L’hôte qui possède l’adresse IP demandée répond via une
réponse ARP contenant son adresse MAC.
• L’émetteur de la requête inscrit alors cette réponse
dans son cache ARP puis transmet la trame vers
l’hôte destinataire.
• Ce protocole est applicable pour IPv4.
• Avec IPv6, le protocole utilisé est NDP (Network
Discovery Protocol) qui opère en couche 3 et non en
couche 2.
PARTIE 2

Chapitre 2
Mise en œuvre des VLAN
• Le principe de fonctionnement des VLAN

• La configuration des VLAN
10 heures
Chapitre 2
1. Le principe de fonctionnement des VLAN

2. La configuration des VLAN
02 - Principe de fonctionnement des VLAN
Concept des VLAN
• Nous avons défini un LAN comme un ensemble d’hôtes • Par exemple, dans des salles de classe, un domaine de diffusion séparé
géographiquement proches qui font partie du même peut être mis en place à partir du LAN existant pour :
sous-réseau. • Les PC des enseignants
• Tous les hôtes d’un même LAN partagent le même • Les PC des étudiants
domaine de diffusion.
• Cette séparation a plusieurs avantages qui sont détaillés juste après.
• Du point de vue d’un switch, en l’absence de VLAN :
• Toute trame de broadcast est transmise à tous les
ports physiques, en dehors de celui de l’émetteur.
• La séparation des domaines de diffusion implique
l’utilisation de switchs différents.
• La mise en place de VLAN permet de séparer les
domaines de diffusion entre différents hôtes connectés à
un même switch.
PARTIE 2

Avantages des VLAN
• La création de domaines de diffusions séparés et plus • Une conception plus flexible, en créant des domaines de diffusion par
petits comporte les avantages suivants : fonction plutôt que sur le seul concept géographique.
• Une économie de ressources (bande passante, • Par exemple dans une université, les flux réseaux des étudiants,
processeur) du fait du moindre nombre de enseignants, de la comptabilité et de la direction peuvent être
machines recevant chaque trame de broadcast. séparés.
• Une sécurité améliorée, en séparant les hôtes qui • Une amélioration de l’identification des problèmes sur le réseau,
transmettent des données sensibles et en grâce à une meilleure compartimentation.
réduisant le nombre d’hôtes qui reçoivent chaque • Les VLAN permettent d’obtenir cette séparation sans investir dans de
broadcast. nouveaux matériels, ce qui en fait une solution économiquement
intéressante.
PARTIE 2

Types de VLAN
5 types de VLAN peuvent être configurés sur un switch. VLAN de données :

VLAN par défaut : • Aussi appelé VLAN utilisateur ou VLAN d’accès, on en crée
• Tous les ports sont configurés sur ce VLAN si autant que de domaines de diffusion séparés nécessaires.
aucune configuration n’est effectuée. • Un id différent de 1 doit être associé à chaque VLAN créé. Les
• Le VLAN par défaut a pour id VLAN 1. Cet id ne hôtes concernés sont ensuite associés à cet id.
peut pas être supprimé. VLAN voix :
VLAN d’administration : • Un VLAN voix préserve la bande passante nécessaire pour les
• Par défaut l’administration s’effectue sur l’id VLAN applications de voix sur IP.
1 et est mélangée aux autres flux. VLAN natif :
• La configuration d’un VLAN d’administration • Le VLAN natif reçoit les flux non taggés lorsqu’un port
permet de créer un domaine de diffusion séparé d’agrégation est configuré avec le protocole 802.1Q que nous
pour la gestion des équipements. introduisons juste après.
• En cas de congestion de trafic ce VLAN se voit
PARTIE 2
affecter la priorité pour permettre la résolution

des problèmes.

Association des ports à un VLAN
• La mise en place de différents VLAN sur un switch

s’effectue via son interface d’administration.
• L’administrateur associe un VLAN à chaque port physique
du switch :
• L’identifiant VLAN associé à un port donné est
appelée PVID.
• Par défaut tous les ports sont associés au PVID 1, ce
qui crée un seul domaine de diffusion pour tout le
switch.
• Dans notre exemple, nous affectons l’id 10 ou 20
aux ports utilisés par les hôtes.
• Cette opération met à jour une table d’association à
l’intérieur du switch.
PARTIE 2

Protocole 802.1Q et communication inter-VLAN
• Dans l’exemple à droite, 2 VLAN de données sont créés, d’id • Pour optimiser les ressources, le protocole 802.1Q permet de n’utiliser
10 et 20. qu’un seul port transporter les données des différents VLAN de
• Une fois les domaines de diffusion séparés, les hôtes données.
ne peuvent transmettre des trames (couche 2) qu’à • Ce port est configuré comme port d’agrégation (ou trunk).
l’intérieur de leur VLAN respectif. • Lorsqu’une trame doit passer sur le port natif, un en-tête 802.1 Q
• Pour communiquer avec un hôte situé sur un autre VLAN, un est inséré dans l’en-tête de la trame, contenant l’id du VLAN.
port associé à chaque VLAN peut être connecté à un routeur. • Une trame ainsi étendue est dite taggée. La seconde illustration
• La communication se fait alors par IP, protocole de montre le tag 802.1Q au milieu de la trame Ethernet.
couche 3. • Le protocole 802.1Q peut également être utilisé entre plusieurs switch.
• Cette méthode consomme un port physique et un
câble Ethernet par VLAN, sur le switch comme sur le
routeur, comme le montre la première illustration.
PARTIE 2

Switch de niveau 3
• Comme nous l’avons vu, le protocole 802.1Q permet de

n’utiliser qu’un seul câble entre le switch et le routeur pour
faire passer le trafic des différents VLAN, comme l’illustre la
figure à droite.
• L’utilisation d’un routeur pour faire transiter un trafic d’un
VLAN à l’autre n’est toutefois pas optimale :
• Le routeur représente un équipement supplémentaire
qui a un coût.
• S’il n’est pas suffisamment performant, le routeur
devient un point de ralentissement du trafic.
• Une optimisation possible est l’utilisation d’un switch de
couche 3.
• Ce switch permet de conserver la communication par
trame à l’intérieur d’un VLAN et de communiquer par
PARTIE 2
paquet IP pour la communication inter-VLAN, comme

le montre la seconde illustration.
• Un seul équipement est ainsi nécessaire pour assurer
les fonctions de commutation et de routage
inter˗VLAN.

Bilan
• Les VLAN permettent de séparer le domaine de diffusion • Le trafic non taggé (par exemple, en provenance d’un point d’accès WiFi)
d’un switch. Cela permet d’améliorer la performance et la est dirigé vers le VLAN natif. Par défaut, il utilise l’id 1.
sécurité. • En plus des VLAN de données et du VLAN natif, il est possible de
• Une fois les hôtes séparés dans des VLAN de données configurer un VLAN de gestion et un VLAN audio pour lesquels le trafic est
différents, ils ne peuvent plus communiquer directement priorisé.
par trame Ethernet. • Les ports non configurés sont sur le VLAN par défaut, d’id 1.
• Un routeur ou un switch de niveau 3 est nécessaire • Dans la section suivante, nous entrons dans le concret de la configuration
pour assurer la communication entre hôtes de des VLAN sur un switch.
VLAN différents.
• Le protocole 802.1Q permet d’ajouter un en-tête
spécifique pour tagger les trames.
• Si les VLAN sont répartis sur plusieurs switchs, un
port spécial, appelé port d’agrégation ou trunk est
utilisé pour transporter les données taguées sur un
seul câble Ethernet.
PARTIE 2

Chapitre 2
1. Le principe de fonctionnement des VLAN

2. La configuration des VLAN
02 - Configuration des VLAN
Création d’un VLAN en ligne de commande
• Le moyen le plus rapide et efficace pour configurer les VLAN d’un switch est l’interface en ligne de
commande.
• Cette interface est disponible en simulation sur le logiciel Cisco Packet Tracer et est accessible sur tous
les équipements CISCO par la console d’administration ou via une connexion distante telnet ou ssh.
• Ci-dessous, nous illustrons les commandes permettant la création d’un nouveau VLAN d’id 200.
Dans cet exemple :

• La commande config active le mode configuration.
• La commande vlan database ouvre la base des VLAN du switch.
PARTIE 2
• La commande vlan 200 crée un nouveau VLAN d’id 200.

• La commande end finalise la configuration.

Affichage des VLAN d’un switch
• Une fois le nouveau VLAN créé, nous pouvons afficher l’ensemble des VLAN actifs avec la commande show vlan, comme illustré ci-après.
PARTIE 2
Dans cet exemple, on constate l’existence du LAN par défaut d’id 1, ainsi que de 2 VLAN de données d’id 100 créés précédemment et du VLAN
nouvellement créé d’id 200.

Attribution des ports à un VLAN
• Les commandes suivantes permettent d’attribuer le port gi2 au VLAN de donnée d’id 200.
• conf t active le mode configuration.

• Int gi2 active la configuration du port gi2.
• switchport mode access définit un port VLAN de type données.
• switchport access vlan 200 associe le port au VLAN d’id 200.
PARTIE 2
• no shut active le port.

• end finalise la configuration.

Affichage des ports configurés
• La commande show vlan affiche la table d’association du switch.
• On constate que le port gi2 a bien été associé au VLAN d’id 200.
PARTIE 2

Configuration d’un port d’agrégation
• Lorsque que le LAN support des différents VLAN est composé de plusieurs switch, on configure un port d’agrégation pour mutualiser les
transferts de données avec le protocole 802.1Q.
• Les commande suivantes permettent de configurer le port gi3 comme port d’agrégation (ou trunk) :
• config active le mode configuration ;

• Int gi3 active la configuration du port gi3 ;
PARTIE 2
• switchport mode trunk définit un port VLAN de type agrégation ;

• switchport trunk allowed vlan add 200 autorise le trafic du VLAN d’id 200 à utiliser le trunk ;
• no shut active le port ;
• end finalise la configuration.

Mode des ports
• La commande show vlan affiche la table d’association du switch après l’opération.
• Dans les exemples précédents, gi2 a été configuré en mode access (données) et gi3 en mode trunk (agrégration).
• Cisco propose 2 modes complémentaires, configurables avec la commande switchport mode :
• dynamic-desirable négocie activement avec l’autre switch pour passer en mode agrégation ou non.
• dynamic-auto attend passivement une demande de bascule en mode agrégation.
PARTIE 2
• Si les 2 ports de chaque switch restent en mode auto (passif), la négociation ne sera pas déclenchée.

Bilan
• La configuration en ligne de commande est une méthode de • Pour afficher la configuration, on peut utiliser :
configuration souple qui peut s’effectuer en branchant une • show vlan pour afficher une vue globale ;
console sur un équipement ou à distance via telnet ou ssh.
• show vlan suivi d’un id de VLAN pour afficher la configuration
• Cisco Packet Tracer fournit également une interface en d’un vlan donné ;
ligne de commande pour simuler un réseau.
• show interfaces suivi d’un id de port pour afficher la
• Pour la configuration des vlan sur un switch Cisco, les configuration d’un port donné.
commandes importantes sont :
• En ajoutant trunk après l’id de port, on obtient les
informations spécifiques à l’agrégation
config (ou conf t) pour activer le mode configuration
• Pour bien assimiler ces commandes, il faut les pratiquer
vlan pour configurer un VLAN donné. • Utiliser un matériel déconnecté d’un réseau de production, ou
La commande doit être suivi de l’id du VLAN à configurer un logiciel de simulation.
int pour configurer une interface (port) .
La commande doit être suivie du nom du port à configurer
switchport mode pour configurer le mode d’administration du port

PARTIE 2
switchport access vlan, suivi de l’id du vlan, pour associer le port à un vlan
switchport trunk allowed vlan, suivi de l’id du vlan, pour autoriser le vlan à
utiliser le port d’agrégation

Chapitre 3
Redondance des réseaux
• Les avantages et inconvénients de la redondance

• Le protocole STP
• Le protocole VRRP
5 heures
Chapitre 3
1. Atouts et limites de la redondance

2. Le protocole STP
3. Le protocole VRRP
03 - Atouts et limites de la redondance
Principe et exemples
• La redondance consiste à mettre en œuvre plusieurs liaisons

physiques entre les nœuds d’un réseau afin de fournir un chemin
alternatif si le chemin actuellement utilisé devient indisponible.
• La topologie maillée introduite dans la section 3 du premier
chapitre de la première partie représente le réseau le plus
redondant : chaque nœud est relié à tous les autres nœuds du
réseau.
• Internet est un autre exemple de réseau redondant. Les routeurs
qui composent le réseau recalculent en permanence le meilleur
chemin pour permettre la communication entre 2 machines.
• Dans une architecture d’entreprise, les niveaux cœur et
distribution sont généralement très redondants, pour assurer la
continuité du service.
• L’exemple ci-contre illustre un exemple de liaisons
redondantes entre un LAN de campus qui connecte les
bâtiments d’une université avec le LAN du centre de
PARTIE 2
données qui héberge les serveurs de calcul et de stockage

de l’université.
• On constate que les switch centraux sont connectés avec
une topologie maillée pour palier à la défaillance d’un
switch ou d’une liaison.

Avantages et inconvénients
Avantages Inconvénients
• L’avantage principal d’un réseau redondant est la • Le premier inconvénient est le coût.
continuité de service. • Si tous les équipements sont doublés, le coût l’est aussi ;
• En cas de rupture ou débranchement accidentel • Dans une topologie maillée, le coût augmente exponentiellement
d’un câble. avec le nombre d’équipements ;
• En cas de panne d’un équipement . • Dans une architecture en 3 niveaux, le maillage complet est réservé
• L’autre avantage est la décongestion : si un lien est au cœur. Le niveau distribution bénéfice d’un maillage partiel. Les
saturé, le trafic peut être redirigé vers un lien moins terminaux ne sont pas redondants.
encombré. • Le second inconvénient est la création de boucles.
• Les protocoles de routage, que nous verrons en • Une boucle se produit quand un paquet ou une trame passe
partie 3, assurent ainsi le bon fonctionnement des plusieurs fois par le même équipement ;
réseaux.
• Il est nécessaire de mettre en place des algorithmes spécifiques
pour éviter les boucles ;
• Dans le pire scénario, se produit une tempête de diffusion qui
PARTIE 2
sature le réseau, comme nous allons le voir.

Tempête de diffusion
• Lorsque 2 switchs sont reliés par 2 liaisons physiques, une boucle se forme.
• Si un équipement envoie une trame de broadcast, une tempête de diffusion se
produit, comme illustré ci-contre :
1. L’hôte envoie une trame de broadcast ;
2. Le switch du haut diffuse sur tous ses ports ;
3. Le switch du bas reçoit et rediffuse ;
4. Le switch du haut reçoit et rediffuse ;
5. etc.
• La tempête de diffusion est une des méthodes utilisées par les attaques de
déni de service (DoS).
• Une des solutions pour éviter les tempêtes liées aux boucles est le protocole
STP (Spanning Tree Protocol), que nous introduisons dans la section suivante.
PARTIE 2

Chapitre 3

2. Le protocole STP
03 - STP : Spanning Tree Protocol
Principes du protocole STP
• Dès que plus d’un chemin existe entre 2 hôtes sur un • Le calcul met en œuvre un algorithme appelé Spanning Tree Minimum
même LAN, une tempête de diffusion provoquée par la pour générer l’arbre initial.
boucle peut se produire lors d’un broadcast. • Pendant l’exécution de l’algorithme, des trames spéciales appelées
• Supprimer la boucle est le moyen le plus simple de régler BPDU (Bridge Protocol Data Unit) sont échangées
le problème, mais cela élimine également la redondance • En cas de panne ou de modification sur le réseau, l’algorithme est relancé
dont nous avons besoin pour assurer la continuité de pour régénérer un arbre fonctionnel.
service.
• Des BPDU sont exécutées régulièrement pour valider la topologie
• Le protocole STP (Spanning Tree Protocol) fonctionne en du réseau.
désactivant de manière « logique » les chemins
redondants.
• Pour cela, une structure logique en arbre est calculée à
partir de la structure physique (dite en graphe)
• Un arbre est une structure qui définit des relations
à partir d’un nœud racine et ne comporte aucune
boucle.
PARTIE 2

Algorithme Spanning Tree Minimum
• L’algorithme de création de l’arbre comporte 3 étapes

1. Le commutateur racine est désigné.
• Soit par son numéro de priorité, s’il a la plus basse des commutateurs.
• Soit par son adresse MAC, en cas d’égalité de priorité.
2. Les commutateurs non désignés déterminent alors leur port racine :
• Il s’agit du port qui a la distance la plus courte vers le commutateur racine.
• La distance est calculée en fonction de la bande passante et du nombre de nœuds à traverser.
3. Enfin, les commutateurs désignent un port désigné vers chaque commutateur pour lequel il n’existe pas encore de chemin.
PARTIE 2
• Une fois l’algorithme complété, tous les ports qui ne sont ni racine, ni désignés sont bloqués
RSTP : une convergence plus rapide
• Le protocole STP a été créé en 1985 pour résoudre le • RSTP garantit une convergence en 6 secondes, contre 30 à 50 secondes
problème des tempêtes de broadcast. avec STP.
• Sa principale limite est le temps de convergence, • Pour cela, RSTP peut transmettre les BPDU dans les deux directions,
correspondant au temps de désignation du commutateur ce que STP ne permettait pas
racine et des ports racines et désignés. L’exécution de • RSTP est activé automatiquement si tous les switch du LAN en sont dotés.
l’algorithme peut prendre plusieurs dizaines de secondes
après un changement. • C’est le cas de tous les équipement récents.
• Une version améliorée, appelée RSTP (pour Rapid • Dans le cas contraire, le protocole original (STP) est utilisé.
Spanning Tree Protocol) a été publiée en 2001 comme
successeur de STP.
PARTIE 2

Gestion des VLAN : MSTP et PVST
• Les protocoles STP et RSTP ne tiennent pas compte des • Cisco combine les fonctions de RSTP et de PVST+ dans son protocole Rapid
VLAN. PVST+. Cela permet d’obtenir une convergence rapide tout en prenant en
• Pour gérer les boucles dans un environnement intégrant compte la gestion des VLAN.
des VLAN, 2 protocoles principaux sont utilisés :
• MSTP (Multiple Spanning Tree Protocol) est le
protocole standardisé et normalisé par la norme
IEEE 802.1
• MSTP supprime les boucles VLAN par VLAN
• PVST (Per VLAN Spanning Tree) est une version
propriétaire de Cisco utilisée par ses routeurs
• PVST est plus performant mais est réservé
aux switch Cisco.
• PVST utilisait également un protocole
propriétaire pour les liens d’agrégation. Une
PARTIE 2
version étendue, appelée PVST+, prend en

charge le protocole standard 802.1Q.

Bilan
La version originale Une version optimisée Le protocole MSTP Le Rapid PVST+
La version originale (1985) du Une version optimisée, Le RSTP a Le protocole MSTP, défini en Cisco intègre à sa gamme de
protocole STP permet de été publiée en 2001. Il permet 1998 dans la norme IEEE 802.1 switch une technologie
résoudre les problèmes de une convergence en moins de 6 permet d’assurer le propriétaire, le Rapid PVST+ qui
tempêtes de broadcast mais secondes, notamment grâce à la fonctionnement de l’algorithme combine les fonctions de
souffre d’un délai de convergence communication bidirectionnelle dans un contexte VLAN. convergence rapide et de prise en
de son algorithme de plusieurs de ses trames BPDU. compte des VLAN.
dizaines de secondes.
•
PARTIE 2
Nous finalisons ce chapitresur la redondance en introduisantle protocole VRRP qui gèrela redondancede la passerelle de sortie du réseau local.

Chapitre 3

2. Le protocole STP
03 - Virtual Router Redundancy Protocol
Enjeux de VRRP
• STP et ses descendants permettent d’assurer une • Le routeur représente ainsi un point de défaillance unique : en cas de
redondance à l’intérieur d’un LAN en empêchant les panne :
trames de former une boucle et de provoquer une • Le réseau est déconnecté des autres réseaux.
tempête de broadcast.
• Les fonctions assurées par le routeur, comme la communication
• Il reste un point de défaillance unique : la passerelle inter-VLAN si aucun switch de niveau 3 n’est présent, sont
d’interconnexion entre le LAN et les autres réseaux, bien indisponibles.
souvent internet.
• Le protocole VRRP (Virtual Router Redundancy Protocol) permet d’assurer
• Cette passerelle est assurée par un routeur, qui possède : la redondance de la passerelle.
• Une interface réseau dont l’IP appartient au LAN.
• Une interface réseau dont l’IP appartient au réseau
d’interconnexion.
PARTIE 2

Fonctionnement de VRRP
• VRRP fonctionne en assignant une IP virtuelle à un

groupe de routeurs.
• Le groupe est constitué d’au moins 2 routeurs dont :
• Un routeur maitre qui est associé à l’IP virtuelle du
groupe.
• Au moins un second routeur de secours qui
possèdent une autre IP dans le sous-réseau du
LAN.
• En cas de défaillance du maitre, un des routeurs de
secours reprend le rôle de maitre.
• Le choix du maitre s’effectue via des messages VRRP
envoyés en multicast, contenant l’id du groupe et une
valeur de priorité pour le maître.
• L’adresse est 224.0.0.18.
PARTIE 2
• Tous les routeurs faisant partie du groupe VRRP

reçoivent ces messages.
• Si un routeur de secours reçoit un message VRRP
contenant une valeur de priorité inférieur à la leur, le
routeur devient routeur maitre.

Alternatives à VRRP
• HSRP (Hot Standby Router Protocol est un protocole de • GLBP (Gateway Load Balancing Protocol) est un autre protocole
redondance de passerelle propriétaire de Cisco, intégré à propriétaire de Cisco qui assure en plus la réparatition de charge.
sa gamme de routeurs : • Au lieu d’avoir un seul routeur actif, la charge est répartie entre les
• HSRP permet d’assurer la redondance de jusqu’à membres du groupe.
4096 groupes de routeurs dans un même sous- • Chaque routeur participant peut assurer une part plus ou moins
réseau ; importante de la charge grâce à une notion de poids. Un routeur
• Dans chaque groupe, un routeur est actif tandis avec un poids plus grand recevra une plus grande charge de trafic.
que les autres sont en attente. Un message hello • Ainsi, VRRP et ses alternatives assurent le chainon manquant permettant
est envoyé toutes les 3 secondes pour confirmer la une continuité de service globale via une redondance des équipements
bonne santé du routeur actif ; critiques du réseau.
• Après 10 secondes sans message hello, un autre
routeur prend la place.
PARTIE 2

Chapitre 4
Agrégation de liaisons
• Les concepts de l’agrégation de liaisons

• Le fonctionnement des EtherChannel
• La configuration d’agrégation de liaisons
10 heures
Chapitre 4
1. Concepts de l’agrégation de liaisons

2. Fonctionnement des EtherChannel
3. Configuration d’agrégation de liaisons
04 - Concepts de l’agrégation de liaisons
Objectifs de l’agrégation
• La vitesse de liaison entre 2 équipements sur un réseau • Il est parfois impossible de faire la mise-à-jour de tous les équipements
dépend de la vitesse maximale de l’interface réseau de nécessaires.
chacun des équipements. • Par exemple, les câbles sont parfois intégrés dans les murs, ou le
• Si un équipement est équipé de Fast Ethernet coût peut être trop élevé.
(100Mb/sec) et l’autre de Gigabit Ethernet • Le besoin peut également dépasser les technologies disponibles !
(1Gb/sec), la liaison sera limité à 100Mb/sec.
• L’agrégation de liaisons est une solution pour utiliser ensemble plusieurs
• Le câblage doit également être adapté à la vitesse liaisons physique afin de cumuler leur début.
permise par les 2 interfaces.
• Un câble UDP de catégorie 5, dit CAT5, est
nécessaire pour 100Mb/sec.
• Pour 1 Gb/sec la catégorie est CAT5A.
• 10 Gb/sec demandent du CAT5e pour 30m, CAT6
pour 55m et CAT6a pour 100m.
PARTIE 2

04 - Concepts de l’agrégation de liaisons
Principe de fonctionnement
• La nécessité de créer des liaisons redondantes a conduit • L’utilisation des protocoles de type STP provoque le blocage
à proposer des protocoles pour empêcher la formation de des liaisons redondants pour éviter les boucles.
tempête de broadcast liées à la présence de boucles. • L’agrégation de liaisons consiste au contraire à traiter
Comme nous l’avons vu au chapitre précédent. logiquement les liaisons redondantes comme un lien logique
unique pour augmenter la bande passante disponible.
STP PVST+ RSTP RPVST+ • Ce principe est principalement mis en œuvre par Cisco sous
le nom d’EtherChannel, que nous allons étudier dans la
Le protocole PVST+ RSTP est le (Cisco) section suivante.
STP crée une (protocole protocole combine la
structure propriétaire standard qui vitesse de RSTP
arborescente Cisco) et MST accélère la et la gestion
logique pour (protocole recréation des VLAN de
supprimer les standard IEEE) d’une PVST+
boucles prennent en arborescence
charge les en cas de
PARTIE 2
VLAN panne ou de
changement
sur le réseau

Chapitre 4

04 - Fonctionnement des EtherChannel
Principe de fonctionnement
• La technologie EtherChannel est une technologie • Une seule adresse MAC est affectée et partagée par les liens physiques
propriétaire inventée en 1990 et rachetée par Cisco en d’un groupe EtherChannel.
1994. • Les autres couches de TCP/IP ne voient ainsi que le lien logique et
• Une version ouverte appelée LACP (Link peuvent fonctionner comme s’il s’agissait d’un lien normal.
Aggregation Control Protocol) a été publiée au • EtherChannel peut être configuré comme lien taggé au sens du protocole
début des années 2000 par l’IEEE sous la référence 802.1Q permettant le transport du trafic interVLAN.
802.3ad puis 802.3ax.
• L’ensemble des ports physiques d’un même groupe EtherChannel doit
• Un lien EtherChannel regroupe plusieurs liaisons résider sur le même switch, sauf cas très spécifiques.
physiques en un lien logique unifié.
• Cela permet d’augmenter la vitesse en exploitant
les liens créés pour la redondance.
• Les interfaces doivent être de même vitesse.
PARTIE 2

04 - Fonctionnement des EtherChannel
Options de configuration
• Un groupe EtherChannel peut être mis en place de 3 • La prochaine section montre comment effectuer cette configuration en
manières : pratique avec l’interface en ligne de commande d’un switch.
• En configurant manuellement chaque port, de
chaque côté de la liaison ;
• Soit, pour une liaison logique composée de 8
liaisons physiques, 16 ports à configurer.
• En utilisant le protocole de configuration du
standard LACP ;
• Cette option permet l’interopérabilité entre
les équipements Cisco et ceux d’autres
marques.
• En utilisant le protocole de configuration
propriétaire de Cisco PAgP ;
• Cette option permet de simplifier la
PARTIE 2
configuration avec la négociation

automatique des liaisons.
• Elle n’est toutefois possible qu’avec des
équipements Cisco.

Chapitre 4

04 - Agrégation des liaisons
Vérification des configurations
• Les conditions suivantes doivent être remplies pour créer une liaison EtherChannel
L’ensemble des interfaces devant faire partie du groupe doivent prendre en charge
EtherChannel.
La vitesse et le mode duplex doivent être identiques.
Si la liaison logique à créer est une liaison de données, toutes les interfaces
physiques du groupe à créer doivent être sur le même VLAN.
Si la liaison logique à créer est une liaison d’agrégation (trunk) de VLAN au sens du protocole 802.1
• Le VLAN natif doit être le même sur toutes les interfaces physiques du groupe à créer
• La liste des VLAN autorisés doit être identique sur toutes les interfaces physiques du groupe à créer
PARTIE 2
La configuration STP doit être compatible.
• Voyons en pratique comment configurer un EtherChannel avec l’interface de commande.

04 - Configuration d’agrégation de liaisons
Configuration manuelle
• L’exemple suivant montre la configuration manuelle de 2 ports Fast Ethernet d’id 14 et 15 :
• La commande configure terminal active le mode configuration ;

• interface fa 0/14 sélectionne le port 14 de type Fast Ethernet ;
• channel-group 1 mode on active manuellement un canal EtherChannel d’id 1 et lui associe le port fa 0/14 ;
• Les deux lignes suivantes exécutent la même opération pour le port fa 0/15 puis ^z finalise la configuration ;
• La commande show etherchannel 1 summary permet de visualiser le résultat :
PARTIE 2

Configuration dynamique
• La configuration dynamique reprend le principe de la

configuration manuelle en remplaçant la commande
channel-group 1 mode on par :
• channel-group 1 mode desirable pour PAgP.
• channel-group 1 mode active pour LACP.
• Les deux switchs doivent utiliser le même protocole.
• Par exemple, si desirable est utilisé (PAgP) sur un
switch, l’autre switch ne peut pas utiliser active
(LACP) ni on (manuel).
• Une fois la liaison logique établie, il est possible de
configurer la répartition de charge.
PARTIE 2

Distribution de charge
• La répartition de charge est configurée avec la commande

port-channel load-balance suivie de la méthode.
• La méthode peut être définie en fonction des en-têtes de
3 couches du modèle OSI. Les valeurs possibles sont :
• Pour les en-têtes TCP ou UDP de la couche 4 :
• src-port prend en compte le port TCP ou UDP;
source
• dst-port s’appuie sur le port de destination ;
• src-dst-port utilise les valeurs des 2 ports.
• Le principe est identique pour les en-têtes IP de la couche
3, avec les valeurs src-ip, dst-ip ou src-dst-port.
• Pour les en-têtes Ethernet de la couche 2, l’adresse MAC
source, destination ou les deux peuvent être utilisées
PARTIE 2
avec src-mac, dst-mac ou src-dst-mac.

• L’exemple ci-contre montre une répartition de charge
configurée pour tenir compte de l’adresse MAC de la
source.

Chapitre 5
Sécurisation des commutateurs
• Les protocoles telnet et SSH

• La sécurisation des ports d’un commutateur
• Les protocoles de sécurité sans fil
5 heures
Chapitre 5
1. Les protocoles telnet et SSH

2. La sécurisation des ports d’un commutateur
3. Les protocoles de sécurité sans fil
05 - Protocoles Telnet et SSH
Telnet : le protocole original
• Telnet est un protocole de la couche application de TCP/IP

permettant de se connecter à distance sur un serveur ou un poste
de travail.
• Le protocole a été normalisé à partir de 1969 par l'IETF via les RFC
15, 854 et 855.
• Son principal usage est l’administration distante des serveurs et
équipements réseaux.
• Les configurations des switch Cisco que nous avons
étudiées dans la partie précédente peuvent notamment
s’effectuer à distance grâce à ce protocole.
• Une connexion Telnet s’effectue en TCP sur le port 23.
• Une fois la connexion établie, un terminal virtuel est mis à
disposition, permettant d’interagir avec la machine distante.
• Les commandes et les retours de la machine distante se font en
mode texte .
PARTIE 2
• Le principal défaut de Telnet est que les communications sont

transmises en clair sur le réseau.
• Ce manque de sécurité a conduit au développement d’un
protocole équivalent fonctionnellement mais sécurisé, SSH.

SSH : le protocole sécurisé
• SSH est comme Telnet un protocole de communication

sécurisée appartenant à la couche application de TCP/IP.
• Le protocole a été normalisé en 2006 par l'IETF via la RFC
4251 sous l’intitulé The Secure Shell (SSH) Protocol
Architecture.
• La RFC définit comme objectif la connexion
sécurisée à distance et autres services sécurisés à
travers un réseau non sécurisé.
• Ses usages principaux sont :
• Le remplacement de Telnet pour l’administration
distante des serveurs et équipements réseaux au
travers de réseaux publics, comme internet.
• L’automatisation des process devops et
Infrastructure as code via des connexions machine-
PARTIE 2
to-machine utilisant une authentification par clés

en lieu et place des mots de passe.
• Une connexion SSH s’effectue en TCP sur le port 22.

Clients et serveurs Telnet et SSH
• Pour établir une connexion avec Telnet ou SSH, il faut :

• Que le service soit installé et actif sur le serveur:
• Sur le port 23 pour Telnet.
• Sur le port 22 pour SSH.
• Qu’un logiciel compatible soit installé sur la
machine servant établir la connexion (le client).
• Les systèmes UNIX, Mac et Linux intègrent nativement les
clients dans leur application d’émulation de terminal
(l’équivalent de la ligne de commande sous Windows).
• Sous Windows, il est nécessaire d’installer le logiciel client
pour y avoir accès en ligne de commande
• Certains utilisateurs sont plus à l’aise avec une interface
graphique pour paramétrer la connexion. Le logiciel libre
PARTIE 2
Putty, illustré ci-contre, est disponible gratuitement pour

Windows, Linux et Mac.

Chapitre 5

05 - Sécurisation des ports d’un commutateur
Les risques
• En l’absence de sécurisation, le scénario suivant peut se • Une fois connectée au réseau, la personne ayant réussi à obtenir une IP
produire: peut notamment :
• Une personne extérieure accède à un commutateur • Écouter le trafic ;
relié au réseau ; • Accéder à des services internes ;
• Elle branche un cable RJ45 entre sa carte réseau et • Se faire passer pour une autre machine en usurpant une adresse
un port du commutateur ; MAC ;
• Le serveur DHCP détecte la machine et transmet • Lancer des attaques de type déni de service depuis l’intérieur du
une adresse IP ; réseau ;
• La personne a désormais accès au réseau ; • C’est pourquoi il est important de sécuriser les ports physiques d’un
commutateur.
• D’autres attaques peuvent provenir des ordinateurs légitimement
connectés au réseau, pouvant être infectés par un logiciel.
PARTIE 2

Stratégies de sécurisation
• Plusieurs stratégies sont possibles pour sécuriser les ports

:
• Souder les câbles Ethernet légitimement branchés
et détruire physiquement les ports non utilisés.
• Cette méthode empêche toute évolutivité et
peut s’avérer très couteuse en matériel.
• Définir une liste d’accès avec les adresses MAC des
machines autorisées à se connecter.
• Le risque d’erreur est toutefois important.
• La liste doit être mise-à-jour manuellement à
chaque ajout/changement de matériel.
• Activer une solution de « sécurisation des ports »
intégrée au switch par le constructeur.
•
PARTIE 2
Ces solutions s’appuient sur l’analyse de

l’adresse MAC des trames envoyées au
moment où elles atteignent le switch,
comme le montre l’illustration ci-contre.

Sécurisation par le commutateur
• Lorsque la sécurisation d’un port est activée, les • Les configurations typiques sont :
opérations suivantes sont effectuées : • Autoriser un maximum de 3 adresses MAC et spécifier ces 3
• Le port examine chaque trame reçue pour adresses ;
déterminer si une violation s’est produite ; • Autoriser un maximum de 3 adresses MAC et autoriser
• Il définit un nombre maximum d’adresses MAC dynamiquement les 3 premières adresses reçues à se connecter ;
différentes autorisées à utiliser l’interface ; • Autoriser un maximum de 3 adresses MAC, dont une est spécifiée
• Il conserve un compteur de toutes les adresses et 2 sont autorisées dynamiquement.
MAC uniques reçues sur l’interface.
• Une violation est déclenchée si une nouvelle adresse
MAC envoie une trame alors que le compteur a atteint
son nombre maximal. Dans ce cas :
• La trame est supprimée
• Des actions complémentaires peuvent être
déclenchées en fonction de la configuration de
PARTIE 2
sécurité définie pour le port.

Exemple de configuration pour un switch Cisco
• Sur un switch Cisco, la configuration de la sécurisation

d’un port donné est effectuée dans le mode configuration switchport switchport switchport port-security
de l’interface avec les étapes suivantes : port-security port-security violation
• Définir si le port est destiné à être connecté à un maximum mac-address
autre avec la commande switchport mode trunk Suivi d’un nombre, Suivi d’une adresse Suivi de protect, restrict ou shutdown
ou à un équipement utilisateur avec la commande pour modifier le MAC pour pour modifier l’action à mener une fois
switchport mode access. nombre d’adresses prédéfinir une que le compteur d’adresses MAC a atteint
MAC autorisées adresse autorisée le maximum (3 ou la valeur configurée
• Activer la sécurisation du port avec la commande
avec la commande précédente)
switchport port-security. • protect se contente de supprimer la
trame
• restrict supprime la trame et émet
• La configuration peut être complétée de manière une alerte
optionnelle avec les commandes suivantes : • shutdown supprime la trame, émet
une alerte et désactive l’interface
PARTIE 2
• La configuration appliquée peut être vérifiée avec la commande show

port-security suivi de l’interface à afficher.
• Nous terminons ce chapitre avec les protocoles de sécurité sans fil.

Chapitre 5

05 - Protocoles de sécurité sans fil
Objectifs de la sécurisation
• La sécurisation d’un réseau sans fil nécessite:

• L’identification des équipements connectés au
réseau ;
• L’identification des utilisateurs utilisant le réseau
sans fil ;
• La protection contre l’écoute des données, comme
l’illustre le schéma ci-contre ;
• La protection contre la modification des données.
• L’identification s’appuie sur des protocoles comme WEP,
PSK, TKIP, MIC, AES, EAP, EAP-FAST, EAP-TLS, LEAP, PEAP,
WPA, WPA2, WPA3, CCMP, GCMP…
• La protection s’appuie sur le cryptage et
l’authentification des trames.
PARTIE 2

Authentification du client et du point d’accès
• L’authentification nécessite :
• Que le client découvre le réseau.
• Qu’il demande l’autorisation de s’y connecter.
• Pour cela,
• Le client peut stocker une clé qui sera transmise.
• Le point d’accès peut autoriser la connexion et
proposer un formulaire de connexion sur une page
web spécifique.
• À l’inverse, le client doit pouvoir vérifier que le réseau est
bien authentique :
• La seule information diffusée par le Point d’Accès
est son SSID (Service Set IDentifier) ;
• Un attaquant peut imiter le SSID pour se faire
PARTIE 2
passer par lui ;

• Une solution est la transmission par les points
d’accès connus de trames de gestion permettant de
vérifier qu’ils sont légitimes ;

Protection des messages
• Le principe d’un réseau sans fil fait que tous les messages
diffusés peuvent être interceptés par un attaquant
potentiel.
• Il est donc nécessaire de crypter les messages pour
empêcher leur interprétation avant l’envoi du message.
• L’attaquant ne peut ainsi pas exploiter les messages
interceptés.
• Une vérification d’intégrité est également nécessaire,
pour empêcher un attaquant de modifier le message
transmis.
• À réception du message, le destinataire légitime peut
ainsi décrypter puis vérifier l’intégrité du message reçu.
• Nous allons maintenant voir les protocoles mis en œuvre
pour répondre à ces enjeux d’authentification, de
PARTIE 2
cryptage et d’intégrité.

WEP : la protection originale
• La première version du standard 802.11 proposait en • Une clé WEP a une longueur de 40 ou de 104 bits, ce qui offre
1999 2 modes d’authentification : normalement une longueur suffisante :
• L’authentification ouverte, permettant à n’importe • La découverte de vulnérabilités dans l’algorithme lui-même a
quel équipement d’accéder au réseau : conduit à proposer d’autres protocoles.
• Cette méthode est généralement complétée • WEP est officiellement déprécié depuis 2004, ce qui signifie que son
par une authentification sur une page web. usage n’est plus recommandé.
• L’authentification ouverte est généralement
proposée dans les lieux publics (aéroports,
cafés, hôtels,…).
• Le protocole WEP (Wireless Encryption Protocol)
utilise l’algorithme de chiffrement RC4 utilisé pour :
• Chiffrer les messages.
• Fournir un clé d’authentification pour
accéder au point d’accès.
PARTIE 2

EAP : le framework flexible
• Le protocole EAP (Extensible Authentication Protocol)

fournit un framework extensible pour l’authentification.
• L’extensibilité permet de ne pas faire dépendre la
norme 802.11x d’un algorithme particulier.
• EAP définit un ensemble de fonctions que les méthodes
d’authentification concrètes peuvent utiliser.
• EAP est également compatible avec le protocole de
contrôle d’accès IEEE 802.1x, qui empêche toute
communication de données tant que le client n’a pas
complété son authentification.
• Le client peut ainsi dans un premier temps
s’associer au point d’accès en mode
authentification ouverte, puis s’authentifier auprès
d’un serveur d’authentification.
PARTIE 2
• Différents protocoles ont été définis utilisant EAP : LEAP,

EAP-FAST, PEAP ou encore EAP-TLS.
• Chaque protocole varie dans sa sécurité et sa
complexité de mise en œuvre.

Protocoles de cryptage et Intégrité
• TKIP (Temporal Key Integrity Protocol) est la solution de • GCMP (Galois/Counter Mode Protocol (GCMP)
remplacement développée en urgence suite à la • AES est conservé pour le cryptage.
découverte des vulnérabilités de WEP.
• GMAC (Galois Message Authentication Code remplace CBC-MAC
• TKIP a été publié en 2002. pour l’intégrité.
• Ce protocole a été déprécié en 2009, dès qu’une • Le standard d’authentification WPA3 ratifié en 2014, impose
solution plus durable a été trouvée. l’usage de GCMP.
• CCMP (Counter/CBC-MAC Protocol ) est constitué de 2 • WPA2 et WP3 sont déclinés en version personnelle, simple d’utilisation et
algorithmes en version entreprise, qui impose l’utilisation des 3 tiers définis par EAP.
• AES pour le cryptage ; • L’évolution des techniques de sécurisation permet ainsi aujourd’hui
• CBC-MAC (Cipher Block Chaining Message s’assurer une sécurité globale d’un LAN, sur sa partie Ethernet comme sur
Authentication Code) pour l’intégrité ; sa partie sans fil.
• Le standard d’authentification WPA2 ratifié en • Après le QCM, nous allons passer de la commutation au routage dans la
2014, impose l’usage de CCMP. troisième partie de ce support.
PARTIE 2

Bilan : types de sécurité WIFI
Nom Année Description
Wired Equivalent 1997 Niveau de sécurité minimal

Privacy (WEP) Chiffrement par flot RC4 facile à casser
WPA PSK 2003 Protocole de chiffrement TKIP

PSK (Pre Shared Key) de 128bits dynamique
WPA Enterprise 2003 Utilisation d’un serveur de sécurité

Authentification par EAP
WPA 2 2004 Remplacement de TKIP par CCMP, fondé sur AES

PSK/Enterprise Obligatoire pour les équipements certifiés WIFI depuis 2006
PARTIE 2
WPA3 2018 Amélioration du processus d’authentification pour pSK

PSK/Enterprise Validation du certificat du serveur pour EAP

Partie 3
Mise en œuvre du routage
d’un réseau d’entreprise
• Connaitre les concepts de WLAN

• Comprendre le fonctionnement des protocoles de routage
• Utiliser le routage dynamique
30 heures
Chapitre 1
Les concepts de WLAN
• Les composants d’un WLAN

• Le fonctionnement d’un réseau WLAN
5 heures
Chapitre 1
1. Composants d’un WLAN

2. Fonctionnement d’un réseau WLAN
01 - Composants d’un WLAN
Limites des LAN Ethernet
• La technologie Ethernet a pour avantage un écosystème • Pour tout ces cas, une technologie sans fil est la plus adaptée.
important, une grande fiabilité, une progression • Nous présentons dans cette section les composants d’un réseau sans fil.
technologique constante et des standards bien définis
permettant une bonne interopérabilité.
• Cependant, certains cas d’usages rendent l’utilisation des
technologies filaires peu pratiques :
• En dehors des bâtiments ;
• Lorsque le câblage n’a pas été réalisé au moment
de la construction ou de la rénovation d’un
bâtiment ;
• Lorsque l’utilisateur est amené à se déplacer avec
son équipement connecté ;
• Lorsque les équipements ne sont pas équipés d’un
port RJ45 ;
PARTIE 3
• C’est notamment le cas des smartphones,

tablettes et des ultra-portables très fins
modernes, qui ne fournissent généralement
qu’un ou plusieurs ports USB C.

Le Point d’Accès
• Un WLAN (Wireless LAN) est un réseau d’équipements

sans fil capables de communiquer entre eux dans un
espace géographique équivalent à un LAN, à l’échelle
d’une pièce, d’un bâtiment ou d’un espace ouvert
appartenant à l’organisation.
• Le composant central est le Point d’Accès (PA, ou AP). Il
définit
• Un ensemble de services appelé BSS (Basic Service
Set) qui définit les capacités du point d’accès.
• Ces services sont disponibles à l’intérieur
d’une aire géographique de couverture
appelée BSA (Basic Service area).
• Un identifiant unique appelé BSSID
• Le BSSID correspond à l’adresse MAC d’une
carte réseau dans un réseau Ethernet.
PARTIE 3
• Un identifiant public appelé SSID (Service Set

Identifier).
• Le SSID est une chaine de caractères
permettant d’identifier le réseau avant d’y
associer (connecter) des équipements.

Le système de distribution
• La fonction principale d’un point d’accès est d’associer

divers équipements. Les hôtes ainsi connectés forment un
WLAN isolé.
• L’AP intègre généralement un composant appelé système
de distribution (SD ou DS) qui lui permet de se connecter
à un réseau Ethernet.
• Cela permet aux membres du réseau sans fil de
communiquer avec les équipements connectés en
filaire.
• Dans l’exemple ci-contre, les membres du réseau
sans fil apparaissent dans le VLAN 10 du LAN
auquel le point d’accès est connecté.
PARTIE 3

SSID multiples
• Un même point d’accès peut diffuser plusieurs SSID pour

segmenter le trafic des équipements associés.
• Chaque SSID peut être associé à un VLAN différent du
réseau filaire auquel le système de distribution donne
accès.
• Cela permet d’étendre la segmentation
fonctionnelle permise par les VLAN.
• Dans l’exemple ci-contre, 3 SSID sont diffusés. Le
système de distribution transporte les 3 VLAN
grâce à un lien d’agrégation (trunk) défini par le
protocole 802.1Q.
• Dans cette configuration, le WLAN se comporte
réellement comme l’extension sans fil d’un LAN
d’entreprise bien segmenté.
PARTIE 3

Points d’accès multiples
• Lorsqu’un seul point d’accès ne peut pas couvrir seul la

zone géographique nécessaire, il est possible d’associer
plusieurs points d’accès : on parle d’Ensemble de Service
Étendu (ESS).
• Chaque point d’accès possède son propre identifiant (BSS)
mais le SSID est partagé pour former un WLAN plus
grand.
• Chaque point d’accès est connecté au réseau filaire par
son propre système de distribution.
PARTIE 3

Répéteur
• Dans le service étendu présenté précédemment, chaque

point d’accès est connecté au réseau filaire par son
propre système de distribution
• Parfois, il est nécessaire d’étendre le réseau dans une
zone éloignée du LAN filaire.
• Dans ce cas, les points d’accès ne pouvant pas être
connectés directement sont configurés en mode
répéteur.
• Dans cette configuration, le répéteur doit être à
portée d’un point d’accès connecté au LAN.
• Il répète les trames reçues des équipements qui lui
sont associés pour que le point d’accès connecté au
LAN les reçoive.
PARTIE 3

Réseau mesh
• Le concept du répéteur peut être étendu à un ensemble

de points d’accès qui forment une zone de couverture
importante.
• Un seul point d’accès est connecté au LAN. Les autres
diffusent le trafic de point d’accès en point d’accès
jusqu’au système de distribution.
• En raison de la densité, des points d’accès spéciaux
capables d’utiliser des fréquences différentes sont utilisés
pour limiter les collisions.
PARTIE 3

Réseau ad hoc
• 2 machines peuvent avoir besoin de communiquer alors

qu’aucun point d’accès n’est disponible.
• Le standard 802.11 définit la notion de réseau ad hoc,
permettant à deux machines de se connecter
directement.
• Le réseau ainsi formé est un IBSS (Independent
Basic Service Set)
• Dans cette configuration, un des équipements diffuse un
SSID, sur lequel l’autre équipement vient se connecter.
PARTIE 3

Passerelle de Groupe de Travail
• Une passerelle de groupe de travail ou WGB (WorkGroup

Bridge) permet de connecter un équipement non pourvu
d’une interface sans fil à un WLAN.
• Le WGB est connecté en filaire à l’équipement et associé
à un point d’accès du WLAN.
• Il existe 2 technologies de WGB :
• uWGB (universal WorkGroup Bridge) permet de
connecter un seul équipement au WLAN.
• Cisco WGB est une version propriétaire permettant
de connecter plusieurs équipements au WLAN.
PARTIE 3

Passerelle extérieure
• Le principe de la passerelle de groupe de travail peut être étendU pour connecter sans fil deux LAN situés dans des bâtiments différents, sans
creuser de tranchée ni louer une connexion à un prestataire externe
• Deux points d’accès connectés en mode passerelle forment ainsi une liaison point à point de chaque côté.
• Des antennes spéciales permettent de focaliser l’onde sans fil vers la destination.
PARTIE 3

Bilan
• Le composant central d’un réseau sans fil est le point • Plusieurs points d’accès peuvent être combinés pour étendre la zone de
d’accès (PA). Il définit : couverture, notamment :
• Un ensemble de services (BSS) qu’il rend disponible • En mode extension si chaque point d’accès est connecté au LAN
dans sa zone de couverture (BSA) ; via un système de distribution ;
• Un (ou plusieurs) BSSID, identifiant unique • En mode répéteur si le LAN n’est pas accessible ;
correspondant à l’adresse MAC d’une interface • Sous la forme d’un réseau mesh si des points d’accès multiples
réseau Ethernet ; forment un réseau avec une seule liaison au système de
• Un (ou plusieurs) SSID, identifiant public diffusé distribution ;
pour permettre l’association des équipements. • En mode passerelle pour créer une liaison point à point.
• Le système de distribution (DS) permet de connecter le • En l’absence de points d’accès, deux machines peuvent créer un réseau
WLAN à un LAN, pour former un LAN étendu à l’intérieur ad-hoc.
duquel les hôtes sans fil et câbles peuvent communiquer.
• Le chapitre suivant montre le fonctionnement physique des réseaux
sans fils.
PARTIE 3

Chapitre 1
1. Composants d’un WLAN

2. Fonctionnement d’un réseau WLAN
01 - Fonctionnement d’un réseau WLAN
Adaptation du modèle TCP/IP
• L’émission de données sans fil par le protocole 802.11 • Le BSS forme un domaine de collision pour tous les hôtes qui y sont
fonctionne de manière identique au niveau des couches associés :
Application, Transport et Internet; • Un réseau WLAN fonctionne comme un LAN avec concentrateur :
• La différence se situe sur la couche basse d’accès au en half-duplex avec gestion des collisions.
réseau : • Comme vu précédemment, le protocole de gestion des collisions
• Au niveau physique (couche 1 du modèle OSI), les est CMSA/CA.
impulsions électriques ou optiques d’Ethernet sont
remplacées par des radiofréquence.
• Au niveau liaison (couche 2 du modèle OSI), les
trames Ethernet sont remplacées par des trames
spécifiques définies par le protocole 802.11.
• Le principe reste identique : des
métadonnées permettant la transmission
sont encapsulées autour du paquet reçu de
la couche 3.
PARTIE 3

Couche liaison : trames 802.11
• Le standard 802.11 définit 3 types de trames pouvant

être transmises par le réseau sans fil
• Les trames de données, qui encapsulent les
données issus de la couche application .
• Les trames de gestion, qui assurent le
fonctionnement du BSS. Par exemple :
• La diffusion du SSID ;
• L’association ou la dissociation d’un client ;
• L’authentification d’un client.
• Les trames de contrôle, qui permettent d’accuser
réception des trames reçues (ACK)
• Ces trames contiennent un en-tête et une
somme de contrôle, mais pas de donnée.
PARTIE 3
• Le détail des trames 802.11 est à connaitre pour les

certifications spécialisées, seuls les types sont à retenir
dans le cadre de ce programme.

Couche 1 OSI : Radiofréquences
• Physiquement, les ondes sont des vagues

électromagnétiques qui se diffusent dans toutes les
directions.
• Elles vont atteindre le point d’accès s’il est situé à
portée, mais également tous les équipements à
proximité.
• Le récepteur convertit les ondes reçues en signal
électrique interprétable sous forme de bits à l’état 0 ou 1.
• La trame envoyée est ainsi reconstituée.
• La somme de contrôle permet de vérifier si la
trame a été altérée.
• Les ondes sont émises dans une bande de fréquences
réservée au WIFI.
• Le standard original réservait la bande dite des
PARTIE 3
2,4Ghz.
• Une deuxième bande a été ajoutée dans un second
temps dans les 5Ghz.
• La version du protocole autorisé définit quelle(s) bande(s)
est disponible pour un point d’accès donné.

Couche 1 OSI : Canaux de diffusion
• À l’intérieur d’une bande de fréquence, plusieurs canaux sont disponibles :

• Un point d’accès se positionne sur un canal donné. Cela permet de limiter les interférences dans un environnement ou plusieurs points
d’accès sont installées, par la même organisation ou d’autres organisations.
• Sur la bande des 2,4Ghz, les canaux 1, 6 et 11 sont totalement disjoints et peuvent être utilisés sans interférence des autres canaux.
• La figure ci-dessous illustre cette séparation
PARTIE 3
• Sur la bande des 5 Ghz, les canaux 40, 44 et 48 sont à privilégier lors de la configuration d’un point d’accès compatible.

Bilan
• Un réseau sans fil dit WIFI est formalisé par la norme • Le BSS d’un point d’accès
802.11 et ses variantes. • Forme un domaine de collision unique, géré par le protocole
• Les couches application, transport et internet sont CMSA/CA.
identiques à un réseau TCP/IP Ethernet. • Spécifie un canal de fréquence entre 1 et 14 sur la bande des
• La couche liaison remplace : 2,4Ghz.
• Les trames Ethernet par des trames 802.11 de type • Les canaux 1, 6 et 11 évitent les recouvrements.
données, gestion ou contrôle. • Spécifie un canal de fréquence entre 36 et 48 sur la bande des 5
• Les impulsions électriques ou optiques par des Ghz.
radiofréquences. • Les canaux 40, 44 et 48 évitent les recouvrements.
• D’autres canaux sont ajoutés par les extensions du standard.
PARTIE 3

Chapitre 2
Protocoles de routage
• La détermination du chemin
• La transmission de paquets
• Les fonctions et configurations d’un routeur
• Les principes du routage
• Le routage IP statique et dynamique
15 heures
Chapitre 2
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Détermination du chemin
De la commutation au routage
Commutation Routage
• Dans la partie précédente, nous avons vu le • Le routage prend le relais dès qu’une trame est acheminée vers un
fonctionnement de la commutation. routeur faisant office de passerelle pour le sous-réseau.
• La commutation fonctionne en couche 2 du modèle OSI. • La trame est alors décapsulée pour récupérer le paquet IP.
• Elle consiste à acheminer une trame au sein d’un même • Le routage s’effectue ainsi via la couche 3 du modèle OSI.
sous-réseau, entre un hôte et : • L’objectif du routeur est alors de déterminer le chemin vers le routeur du
• la destination, si elle se situe sur le même domaine sous-réseau du destinataire hôte.
de diffusion (VLAN ou sous-réseau) ; • Le destinataire peut se situer à l’extérieur du LAN géré par l’organisation.
• la passerelle du sous-réseau sinon ; Le paquet traverse alors un ou plusieurs réseaux formant un WAN.
PARTIE 3

Logique de routage
• Lorsqu’un routeur reçoit une trame sur une interface

source, il récupère le paquet par décapsulation.
• L’en-tête du paquet contient l’adresse IP de destination
• Si l’adresse IP appartient à un sous-réseau
connecté à une de ses interfaces, le routeur
transmet le paquet à l’hôte possédant l’IP visée.
• Sinon, le paquet est transmis au routeur suivant le
plus susceptible de le rapprocher de sa destination.
• Le routeur dispose d’une route par défaut qui est utilisée
s’il n’a pas d’information particulière lui indiquant à quel
routeur spécifique transmettre le paquet.
PARTIE 3

Une logique non déterministe
• Chaque étape du chemin emprunté par le paquet est • Dans le cas d’UDP, les paquets non reçus ou reçus trop tard sont tout
décidée en temps réel par le routeur qu’il atteint. simplement ignorés. Seuls les datagrammes complets sont transmis à la
• Il n’y a donc pas de détermination préalable d’un chemin couche application.
complet. Le chemin est défini en temps réel, paquet par • C’est pourquoi UDP est utilisé pour des applications où un retour
paquet. en arrière est inutile, comme le streaming ou la voix sur IP.
• Si les conditions changent entre 2 paquets, les chemins • La section suivante présente comment s’effectue concrètement la
empruntés peuvent être différents vers une même transmission des paquets.
adresse de destination.
• Si le protocole TCP est utilisé en couche 4, les paquets
sont remis en ordre si nécessaire pour reformer les
trames. Les trames incomplètes sont retransmises par
l’expéditeur.
• C’est pourquoi TCP est utilisé pour les applications
nécessitant une intégrité totale des données
transférées.
PARTIE 3

Chapitre 2
02 - Transmission de paquets
Validation de la trame reçue par le routeur
• Lorsqu’un routeur reçoit une trame sur une de ses

interfaces, il vérifie la somme de contrôle dans les Composition d'une trame Ethernet
métadonnées de la trame (illustrée ci-contre).
• Si la somme de contrôle est invalide, la trame est
jetée
• Sinon, le routeur effectue une seconde vérification : il
compare l’adresse MAC de destination contenue dans le
champ Destination avec l’adresse MAC l’interface qui a
reçu la trame
• Si le routeur n’est pas destinataire, la trame est
jetée
• S’il est bien destinataire, le routeur décapsule la trame
pour récupérer le paquet.
PARTIE 3
en-tête d'un paquet IP

Récupération de l’adresse IP de destination
• Une fois que le paquet est décapsulé, une dernière

vérification est effectuée dans l’en-tête du paquet Composition d'une trame Ethernet
(illustrée ci-contre)
• La valeur contenue dans le champ Time To Live (TTL) est
lue et décrémentée de 1
• Si la valeur atteint 0, le paquet est jeté
• Sinon le routeur récupère l’IP de destination dans le
champ Destination IP Address
• En fonction de l’IP, le routeur transmet le paquet
• Soit vers un autre routeur
• Soit vers l’hôte de destination
• Nous traitons ces 2 cas dans la suite de la section.
PARTIE 3
en-tête d'un paquet IP

Transmission vers un autre routeur
• Lorsque le routeur doit transmettre le paquet vers un

autre routeur, la liaison n’est pas nécessairement
Ethernet.
• C’est généralement le cas lorsque le routeur
suivant est situé à une grande distance parce qu’il
faut parcourir un WAN.
• Dans ce cas, le routeur encapsule le paquet dans une
trame compatible avec la technologie de la liaison.
• Les protocoles les plus utilisés dans un WAN sont :
• HDLC (High-Level Data Link Control.
• PPP (Point-to-Point Protocol).
• Le routeur qui reçoit la trame décapsule la trame et
réitère la démarche de détermination de la prochaine
étape du chemin.
PARTIE 3

Transmission vers un réseau directement connecté
• Si la destination se situe sur un sous-réseau directement

connecté au routeur, le routeur fait appel au service de la
couche de liaison pour encapsuler le paquet dans une
trame Ethernet.
• Sa propre adresse MAC est insérée dans le champ
source de la trame.
• L’adresse MAC de la destination est insérée dans
insérée dans le champ destination de la trame.
• Le protocole ARP permet de récupérer
l’adresse MAC à partir de l’adresse IP.
• L’adresse IP est récupérée dans le champ
Source IP Address de l’en-tête IP.
• Le champ type contient la version du protocole IP
utilisé par le paquet.
PARTIE 3
• Le champ data contient le paquet IP lui-même.

• La trame est ensuite transmise par commutation vers
l’hôte de destination.

Transmission vers une destination connectée en WIFI
• Si l’hôte des destinations est connectée sans fil à un point

d’accès, le routeur crée une trame Ethernet et la transmet
au point d’accès.
• Le point d’accès décapsule la trame Ethernet, encapsule
une trame 802.11 et transmet la trame sur son canal
d’émission.
• Tous les équipements associés au point d’accès reçoivent
la trame.
• Les équipements non concernés ignorent la trame ;
• Le destinataire décapsule la trame pour obtenir le
paquet ;
• Le paquet est ensuite remonté à la couche
transport qui reconstitue le segment (pour TCP) ou
le datagramme (pour UDP) ;
PARTIE 3
• La couche application reconstitue finalement les

données dont elle est le destinataire final.

Bilan
• L’organisation en couche du modèle TCP/IP simplifie la

transmission des paquets.
• Quel que soit la nature de la liaison suivante (Ethernet,
PPP) HDLC, 802.11,…) , la couche réseau s’appuie sur les
services de la couche liaison pour encapsuler et
transmettre une trame.
• Le destinataire réalise des décapsulations successives
pour reconstituer le paquet puis le segment et enfin les
données utiles à la couche application.
PARTIE 3

Chapitre 2
02 - Fonctions et configurations d’un routeur
Configuration physique
• La première étape de la configuration est la définition de

son emplacement.
• Si le routeur sert de passerelle vers internet, cet
emplacement est souvent contraint par l’emplacement de
l’arrivée du câble, de la fibre ou de la prise téléphonique
pour les connexions xDSL.
• Dans les réseaux de type SOHO, le routeur est
généralement une box installée sur un meuble.
• Dans les réseaux d’entreprise, l’arrivée est
généralement dans un local technique de
l’immeuble.
• Le routeur est généralement installé à proximité des
commutateurs de cœur de réseau et/ou de distribution.
• Dans le cas d’une box, le commutateur est
PARTIE 3
généralement intégré sous la forme de 4 ports

RJ45.

02 - Fonctions et configuration d’un routeur
Validation du fonctionnement
• Une fois le routeur installé, câblé et alimenté, plusieurs

voyants doivent être allumée :
• Le voyant d’alimentation confirme la bonne
alimentation électrique ;
• Les voyants de connexion confirment la bonne
connexion au WAN d’un côté et au LAN de l’autre ;
• Si le routeur intègre un point d’accès WIFI, il peut
être nécessaire de visser les antennes.
• Une fois la vérification visuelle terminée, il est possible de
faire un test de connexion
• En branchant un ordinateur portable sur un port
RJ45.
• En connectant un smartphone en WIFI sur le point
d’accès.
PARTIE 3

Configuration avec passerelle séparée
• Dans un contexte d’entreprise, le routeur intégré à une • Pour finaliser la configuration d’un routeur, les étapes suivantes sont à
box d’opérateur peut ne pas répondre aux besoins en suivre
termes de nombre de ports, de sécurité ou de 1. Mettre-à-jour le micrologiciel du routeur si nécessaire ;
fonctionnalités avancées.
2. Se connecter à l’interface d’administration web ou en ligne de
• Dans ce cas, le routeur intégré à la box doit être désactivé commande ;
pour ne servir que de passerelle.
3. Créer un mot de passe d’administration pour sécuriser la
• Le routeur professionnel sera alors connecté à la box sur connexion.
son port WAN, et fournira l’ensemble des fonctions de
routage. • Nous continuons cette section avec les fonctions supplémentaires qu’un
routeur peut proposer au delà de la détermination du chemin et de la
transmission de paquet associée vue dans les sections précédentes.
PARTIE 3

Fonction pare-feu
• Certains routeurs intègrent un pare-feu.

• Celui-ci permet de filtrer le trafic réseau à partir de règles
sur les connexions entrantes, sortantes ou routées à
travers le système.
• Une configuration courante dans un réseau SOHO
consiste à interdire tout trafic en provenance d’internet
et à autoriser tout le trafic sortant.
• Lorsque l’organisation intègre des serveurs web qui
doivent être accessibles de l’extérieur :
• On met alors en place un sous-réseau spécifique
appelé DMZ (zone démilitarisée).
• Les règles du pare-feu sont modifiées pour
permettre l’accès aux serveurs publics sur les ports
pour lesquels des services sont accessibles (web,
PARTIE 3
mail, VPN…).
• L’utilisation d’équipements personnels dans le cadre du
BYOD peut au contraire conduire à restreindre le trafic
sortant.

Fonction serveur DHCP
• Dans certains réseaux un serveur dédié peut servir à

attribuer les adresses IP dynamiquement par le protocole
DHCP vu précédemment.
• Certains routeurs intègrent directement cette fonction.
• L’interface d’administration permet de définir des
adresses IP fixes pour des adresses MAC connues, ainsi
que des plages d’adresses flottantes pour les adresses
inconnues.
• Cela permet notamment d’affecter les postes
invités sur un VLAN particulier.
• Nous savons maintenant comment configurer un routeur
et les fonctions supplémentaires qu’il peut proposer.
• La section suivante revient en détail la fonction principale
d’un routeur : le routage.
PARTIE 3

Chapitre 2
02 - Principes de routage
Tables de routage
• Nous avons vu au début de ce chapitre qu’un routeur fait

suivre les paquets à destination d’un autre réseau vers un
autre routeur.
• Le choix du routeur suivant est effectué à partir de sa
table de routage.
• La table de routage inclut les champs suivants :
• Subnet (ou Destination) : il s’agit de l’adresse du
sous-réseau visé par l’entrée dans la table ;
• Netmask : il s’agit du masque du sous-réseau ;
• Interface : il s’agit de l’identifiant du port physique
vers lequel envoyer le paquet si sa destination est
comprise dans le sous-réseau ;
• Next hop (ou Gateway): L’adresse IP du routeur du
sous-réseau vers lequel le paquet va être adressé ;
PARTIE 3
• Metric : un coût d’utilisation de la liaison. Si

plusieurs chemins sont possibles pour l’adresse de
destination d’un paquet donné, le paquet sera
transmis vers le chemin le moins coûteux.

Route par défaut et routes connectées
• La table de routage contient au minimum une route par • La table de routage contient également les sous-réseaux connectés au
défaut. routeur. Ils sont insérés automatiquement lorsqu’une IP du sous-réseau
• Cette route par défaut définit l’adresse utilisée si est attribuée au routeur et que l’interface est activée.
aucune règle spécifique n’est applicable pour un • Les routes connectées sont prioritaires sur toutes les autres routes
paquet reçu. (la valeur metric est à 0).
• Par exemple, la commande ip route 0.0.0.0 0.0.0.0
192.168.0.1 définit l’adresse 192.168.0.1 comme
route par défaut.
Destination du réseau Masque du réseau Passerelle Interface Indicateur

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.100 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
PARTIE 3
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 10

192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.1 255.255.255.255 192.168.0.100 192.168.0.100 10

Matching et forwarding
• Lorsque qu’une trame arrive sur un routeur, sa validité est

vérifiée, ainsi que l’adresse MAC de destination qui doit
correspondre à l’adresse MAC de l’interface du routeur.
• Si les 2 conditions sont réunies, le paquet est
décapsulé.
• L’IP de destination est comparée aux adresses de sous-
réseaux (subnet) stockées dans la table de routage.
• Si une adresse correspond, le paquet est envoyé vers le
routeur situé à l’adresse indiquée dans l’entrée Next
Router (ou Next Hop / Gateway, selon les tables).
• Le remplissage de la table de routeur peut s’effectuer de
manière statique ou dynamique, ce que nous allons voir
dans la prochaine section.
PARTIE 3

Chapitre 2
02 - Routage IP statique et dynamique
Routage statique
• Une table de routage contient automatiquement les

routes connectées, correspondant aux sous-réseaux
directement connectés au routeur. Une route connectée
est ajoutée lorsqu’une adresse IP du sous-réseau est
attribuée au routeur.
• Le routage statique consiste à ajouter manuellement des
entrées dans la table de routage.
• La commande ip route permet d’ajouter une
nouvelle entrée. Elle est suivie de :
• L’adresse du réseau de destination ;
• Le masque de sous-réseau associé ;
• L’identifiant de l’interface de sortie OU
l’adresse IP du routeur de destination,
comme illustré ci-contre.
PARTIE 3

Exemple d’ajout de routes statiques
• ip route 172.16.2.0 255.255.255.0 S0/0/0

• dirige le trafic à destination du sous réseau
172.16.2.0/24 via l’interface de sortie S0/0/0.
• ip route 172.16.3.0 255.255.255.0 172.16.5.3
• dirige le trafic à destination du sous réseau
172.16.3.0/24 vers l’adresse IP 172.16.5.3,
appartenant au sous-réseau de la liaison entre les 2
routeurs.
• L’ajout de la route par défaut se fait en utilisant 0.0.0.0
comme adresse de réseau et comme masque de sous-réseau.
• Une route peut également être configurée vers un seul hôte,
en spécifiant son adresse et un masque de 255.255.255.255.
• L’ensemble des routes de la table de routage peut être
affiché avec la commande
PARTIE 3
• show ip route
• Si une interface est désactivée, les routes utilisant
cette interface n’apparaissent pas.

Vers le routage dynamique
• La configuration manuelle du routage statique est

intéressante pour apprendre les fondamentaux du
routage.
• En pratique, les routeurs implémentent des mécanismes
de routage dynamique par lesquels les routeurs
informent les routeurs voisins des routes disponibles.
• Ces mécanismes d’apprentissage permettent la mise-à-
jour en continu des routes disponibles et assurent le
fonctionnement d’internet de manière dynamique.
• Il existe 2 principales méthodes de routage dynamique :
• La routage à vecteur de distance.
• Le routage à état de liaison.
• Le prochain chapitre présente ces 2 méthodes ainsi qu’un
exemple de chaque méthode : RIP et OSPF.
PARTIE 3

Chapitre 3
Le routage dynamique
• Les principes de routage à vecteur de distance

• Les principes de routage à état de liaison
• Le protocole RIP
• Le protocole OSPF
10 heures
Chapitre 3
1. Routage à vecteur de distance

2. Routage à état de liaison
3. Protocole RIP
4. Protocole OSPF
C.3.1 Routage à vecteur de distance
Principe du routage à vecteur de distance
• Le routage à vecteur de distance fonctionne selon le principe d’une information de proximité.

• Cette information est composée de :
1. Une direction
2. Un coût
• Pour un routeur,
• la direction est l’une des interfaces de sorties du routeur,
• le coût est le nombre de routeurs à traverser pour atteindre la destination.
• Ainsi, si deux interfaces permettent d’atteindre l’IP de destination mais que
• l’interface 1 va faire traverser 5 routeurs,
• l’interface 2 nécessite de traverser 8 routeurs,
• alors le paquet sera dirigé vers l’interface 1.
• Voyons maintenant comment cela fonctionne en pratique
PARTIE 3

Fonctionnement du routage à vecteur de distance
• Lorsqu’un routage à vecteur de distance est actif, tous les routeurs du réseau
transmettent en broadcast à intervalle régulier la totalité de leur table de routage sur
toutes leurs interfaces
• Les routeurs qui reçoivent l’information comparent le contenu reçu avec les entrées de
leur propre table de routage. 3 opérations sont ensuite effectuées
1. Si une destination nouvelle est présente dans la table reçue, l’entrée est
ajoutée à la table
2. Si une destination existante présente un coût différent, le routeur met à jour la
valeur du coût
3. Si une destination existante contient un chemin différent, le routeur compare
les coût et conserve l’entrée avec le coût le plus bas.
• Avec cet algorithme, chaque routeur a une vision auto centrée du réseau où chaque
chemin est défini via ses voisins directs, avec une longueur dépendant du coût associé.
• On perle de vecteur de distance car chaque chemin peut être représenté par un
PARTIE 3
vecteur (destination, coût).

Limites du routage à vecteur de distance
• Les protocoles de routage à vecteur de distance présentent 2 limites fondamentales,

qu’elle que soit l’implémentation proposée
1. Une charge réseau importante, causée par
1. les transmissions régulières
2. la transmission de l’intégralité de la table de routage
3. L’utilisation du broadcast comme mode de diffusion dans les mises en
œuvre les plus simples
2. Un manque de réactivité au changement.
• Un changement se propage d’un seul voisin à chaque mise-à-jour
• Le temps de convergence est long, généralement de plusieurs minutes.
• C’est pourquoi un autre type de fonctionnement a été proposé, le routage à état de
liaison que nous allons présenter dans la section suivante.
PARTIE 3

Chapitre 3

3. Protocole RIP
4. Protocole OSPF
C.3.2 Routage à état de liaison
Principe du routage à état de liaison
• Le routage à état de liaison fonctionne selon le principe d’une connaissance détaillée

de la route à suivre
• Comme pour le routage à vecteur de distance, chaque routeur transmet de
l’information à ses voisins. Par contre,
• L’information n’est émise qu’en cas de changement et non à intervalle régulier
• L’information de contient que des mises-à-jour et non la table complète
• La diffusion se fait en Multicast et non en Broadcast
• Les mises-à-jour sont retransmises immédiatement aux voisins
PARTIE 3

Fonctionnement du routage à état de liaison
• L’information transmise vers un routeur ne contient plus des destinations associées à

des coûts, mais des descriptions de liaisons. Chaque description contient
• L’adresse IP du réseau
• L’identifiant du routeur qui y donne accès
• La nature de la liaison (Ethernet, PPP, …)
• Un coût d’accès, défini en fonction du protocole
• Un état (actif, éteint, …)
• Les descriptions sont communes à tous les routeurs
• Chaque routeur génère ensuite sa propre table de routage à partir des descriptions
qui le concernent.
PARTIE 3

Limites du routage à état de liaison
• Le routage à état de liaison réduit l’impact sur le réseau, mais possède 3 inconvénients
par rapport au routage à vecteur de distance
1. Les calculs nécessitent une puissance de calcul et une mémoire conséquentes.
Certains routeurs bas de gamme en sont incapables, le coût matériel peut donc
être plus important
2. La granularité des mises-à-jour doit être bien configurée, pour éviter des
changements en cascade à cause d’une simple microcoupure (si la durée est
trop basse) ou une interruption de service prolongée (si la durée est trop
haute)
3. La complexité de mise en œuvre est beaucoup plus importante que pour un
protocole à vecteur de distance.
• La prochaine section présente RIP, un protocole à vecteur de distance. Nous concluons

ensuite ce chapitre avec la présentation d’OSPF, le protocole à état de liaison le plus
PARTIE 3
utilisé.

Chapitre 3

3. Protocole RIP
4. Protocole OSPF
C.3.3 Le protocole RIP
Présentation de RIP
• RIP (Routing Information Protocol) est un protocole à vecteur de distance s’appuyant sur l’algorithme de Bellman-Ford
• Cet algorithme calcule un plus court chemin dans un graphe orienté pondéré, c’est-à-dire avec un coût affecté à chaque liaison
• RIP est principalement utilisé dans les réseaux de petite taille, pour éviter l’engorgement du réseau par la transmission de tables de
routage trop importantes
• Il existe 3 versions
• RIP V1, introduit en juin 1988 par la RFC 1058, qui transmet les tables de routage en broadcast
• RIPng pour le routage IPv6, formalisé en janvier 1997 par la RFC 2080.
• RIPng utilise l’adresse Multicast FF02::9 en remplacement du broadcast
• RIP V2, normalisé en 1998 par la RFC 2453, qui apporte les améliorations suivantes
• Le support des masques de sous-réseau
• L’utilisation de l’adresse Multicast 224.0.0.9 en remplacement du broadcast
• L’authentification par mot de passe
PARTIE 3
• En tant que protocole à vecteur de distance, RIP utilise la notion de coût. Pour RIP, le coût est le nombre de routeurs à traverser pour
atteindre la destination
• Au delà de 15, une route est considérée comme invalide. Cette valeur est largement inférieure au TTL (Time To Live) d’un paquet
IP, ce qui en fait une limitation très importante à prendre en compte.

Mise en place de RIP
• La mise en place de RIP commence par la configuration de chaque routeur, avec les étapes suivantes
1. Associer une IP à chaque interface (port) connectée à un sous-réseau.
• Cela provoque l’initialisation de la table de routage avec les routes connectées
2. Définir les routes statiques éventuellement nécessaires, comme la route par défaut
3. Activer le protocole avec les commandes suivantes
• router rip active RIP
• network suivi de l’adresse du réseau de chaque sous-réseau connecté au routeur ajoute une destination possible pour les
paquets et l’envoi en Multicast des informations
• version 2 active la version 2 de RIP
• no auto summary évite l’agrégation des sous-réseaux en réseaux de classe A, B ou C
• Des commandes plus avancées peuvent être utilisées, comme :
1. timers basic , qui permet d’ajuster les temps avant d’envoyer des messages RIP
PARTIE 3
2. passive-interface suivi du nom de l’interface, qui supprime l’envoi d’informations RIP vers cette interface
• Cette commande est notamment utile si le sous-réseau ne contient que des switch et des terminaux.

Fonctionnement de RIPV2
• Chaque fois qu’un routeur diffuse sa table de routage (par défaut,

toutes les 30 secondes), chaque routeur destinataire examine les
éléments reçus
• Pour chaque entrée de la table reçue
• la valeur de coût est incrémentée de 1, pour tenir compte de la
liaison vers le routeur ayant transmis l’information
• si la destination est nouvelle, l’entrée est ajoutée
• si la destination est déjà existante, l’entrée est remplacée si le
coût est moindre
• Avec cette méthode, si R1 doit passer par R2 et R3 pour atteindre R4, il
faut 3 mises-à-jour pour que la route soit connue.
• Cette lenteur de convergence est le problème principal de RIP, avec
l’utilisation des ressources réseaux.
PARTIE 3

Gestion des pannes
• Nous avons vu que lorsqu’un routeur reçoit une table de routage, il

met-à-jour une entrée si le coût associé pour une destination connue
est plus petit
• Une exception à cette règle est que si un routeur augmente
subitement le coût d’une route existante, le routeur recevant
va accepter cette information
• En cas de panne, la valeur de 16 (>15, donc indiquant une
route inaccessible) sera acceptée puis propagée aux routeurs
suivants
• Le temps de convergence reste le problème principale pour la
gestion des pannes, chaque routeur recevant l’information plus
tardivement en fonction de son éloignement
• Un second mécanisme de gestion des pannes utilise un compteur de
temps : si aucune mise-à-jour n’est reçue pour une route après un
temps déterminé, la route est supprimée.
PARTIE 3

Gestion des boucles
• L’algorithme de Bellman-Ford est sensible aux boucles et peut

rapidement faire converger une valeur à 16, rendant une interface
inaccessible
• Pour éviter cela, RIPv2 incorpore des mécanismes de protection, dont
les principaux sont
• Le Count to Infinity : si une valeur atteint 16, le compte
s’arrête, 16 indiquant une route hors service
• Le split horizon : les routes apprises sont diffusées à tous les
participants sauf à l’interface ayant fourni la valeur
• Le poison reverse : les informations apprises sont diffusées
vers l’émetteur avec une valeur infinie, pour empêcher leur
prise en compte.
PARTIE 3

Bilan
• Le protocole RIP, dans sa version 2, est parfaitement exploitable pour

un réseau de petite taille
• Son avantage principal est la simplicité de mise en œuvre
• Il souffre toutefois de 2 défauts qui le rendent impraticable pour des
réseaux de grande taille
• Une consommation excessive de ressources sur le réseau
• Un temps de convergence important
• Dans un contexte de réseau d’entreprise complexe, le protocole OSPF
sera privilégié. Nous terminerons ce chapitre avec sa présentation.
PARTIE 3

Chapitre 3

3. Protocole RIP
4. Protocole OSPF
03 - Le protocole OSPF
Présentation de OSPF
• OSPF (Open Shortest Path First) est un protocole à état de

liaison utilisant :
• Une base de données commune utilisée par tous
les routeurs ;
• L’algorithme de Dijkstra de recherche de plus court
chemin pour que chaque routeur génère sa table
de routage.
• OSPF est principalement utilisé dans les réseaux de
grande taille, lorsque la consommation de bande
passante et le temps de convergence de RIP sont
pénalisants.
• Il existe 3 versions
• OSPF V1, introduit en octobre 1989 par la RFC
1131, jamais mis en œuvre de manière pratique ;
PARTIE 3
• OSPF V2, formalisé en juillet 1991 par la RFC 1247,

spécifique à IPv4 ;
• OSPF pour IPv6, formalisé en juillet 2008, pour le
support d’IPv6.
• La suite présente les avantages d’OSPF.

Avantages de OSPF
• OSPF est un protocole ouvert issu d’un groupe de travail • Le routage peut adapter les routes par type de service, grâce au champ
de l’Internet Engineering Task Force (IETF), il est donc TOS (Type Of Service) de l’en-tête IP.
largement supporté. • Les échanges sont sécurisés par authentification.
• OSPF permet la division du réseau en zones autonomes, • L’adressage s’effectue en Multicast.
appelées aires, pour optimiser le routage.
• La convergence est accélérée par des messages de type LSA (Link State
• Chaque aire gère sa propre base de données. Advertisement) qui annoncent immédiatement les modifications, et
• Les aires sont interconnectées par un tronc uniquement celles-ci.
commun, dit aire backbone. • La table de routage complète n’est pas transmise.
• Le coût de route peut être paramétré. Par défaut, il dépend de la bande
passante de la liaison.
• Les masques de sous-réseaux à longueur variable (VLMS) sont autorisés.
PARTIE 3

Mécanismes d’échanges
• La configuration et l’administration complète et pratique • Les LSA sont transmis à tous les routeurs abonnés par l’adresse Multicast
d’OSPF est complexe et sort du cadre de cette 224.0.0.5.
compétence. Nous allons détailler les fonctionnalités • En cas de changement, un LSA ne contenant que le changement
principales. sera émis immédiatement puis propagé.
• Au démarrage, chaque routeur crée un identifiant unique • Nous présentons ensuite l’utilisation des LSA pour la configuration du
sur le réseau, établi à partir de l’adresse IP la plus haute routage.
affectée à une de ces interfaces (ce qui garantit son
unicité).
• Chaque routeur construit ensuite ses LSA (Link State
Advertising) en attribuant un coût d’accès aux réseaux qui
lui sont connectés.
• Par défaut, la formule est Bande passante de
référence / Bande passante de la liaison.
• Par exemple, avec une bande passante de
référence de 100Mb/sec, une liaison à 10Mb/sec
PARTIE 3
aura un coût de 10.

Peuplement de la table de routage
• Le mécanisme d’échanges fondé sur la diffusion des LSA

permet à chaque routeur d’une même aire de construire
une base de données appelée LSDB (Link State Data
Base).
• Tous les routeurs possèdent ainsi la même LSDB.
• À Partir de la LSDB, chaque routeur utilise l’algorithme de
Dijkstra pour générer un arbre de routage.
• Cet arbre permet de remplir dynamiquement la table de
routage.
• Toutes les 30 minutes, les routeurs d’une même aire
resynchronisent leur LSDB pour palier à tout message LSA
non reçu.
PARTIE 3

Optimisation par les aires
• Plus un réseau est complexe et plus le nombre de LSA est

important.
• Pour optimiser les ressources et simplifier
l’administration, le réseau peut être divisé en aires.
• Dans ce cas, des routeurs placés à l’interface entre 2 aires
gèrent le trafic passant d’une aire à l’autre. On distingue
ainsi 4 types de routeurs :
• IR (Internal Routeur) : ce sont les routeurs
connectés uniquement à des routeurs de la même
aire ;
• ABR (Area Border Router) : ce sont des routeurs
connectés à plusieurs aires ;
• BR (Backbone Router) : ce sont les routeurs dont au
moins une interface est reliée au backbone.
• Tous les ABR sont des BR afin d’assurer la
PARTIE 3
connectivité globale
• ASBR (Autonomous System Boundary Router) : ces
routeurs assurent la redistribution avec d’autres
protocoles qu’OSPF (comme RIP).

Bilan
• OSPF est un protocole puissant et complexe permettant

le routage dynamique dans des réseaux de très grande
taille.
• C’est le protocole recommandé pour la gestion du
routage sur internet par les grands opérateurs
agréés par InterNIC.
• OSPF résout le problème de convergence et d’utilisation
de la bande passante mais nécessite :
• Des routeurs ayant la puissance de calcul et la
mémoire vive suffisante pour recalculer les arbres
en permanence ;
• Une configuration complexe nécessitant une
certaine expérience dans l’administration des
réseaux.
PARTIE 3
• Après le QCM, nous terminerons par une partie sur la

sécurisation d’un réseau d’entreprise.

Partie 4
Sécuriser un réseau d’entreprise
• Vous initier aux outils de sécurité des réseaux

• Mettre en place un système de gestion et supervision des
réseaux
20 heures
Chapitre 1
Outils de sécurité réseau
• Les principes de la sécurité des réseaux

• Les listes de contrôle d’accès
• Le pare-feu et le proxy
• L’accès sécurisé WAN
15 heures
Chapitre 1
1. Principes de la sécurité des réseaux

2. Listes de contrôle d’accès
3. Pare-feu et proxy
4. Accès sécurisé WAN
01 - Principes de sécurité du réseau
Panorama des cyberattaques
• Une cyberattaque vise à accéder à un réseau pour • Les attaques par déni de service (DOS) : ces attaques consistent à
récupérer, modifier ou détruire son contenu. submerger les serveurs de requêtes pour les empêcher de
• Les attaques les plus courantes en 2021 sont : répondre aux requêtes légitimes ou les faire crasher ;
• Les malware : il s’agit de logiciels malveillants qui • Les attaques de mots de passe : il s’agit de deviner un mot de passe
infectent un poste de travail ou un serveur ; ou de tester les combinaisons par force brute ;
• Les phishing scams : ce sont de faux sites ou faux • Les injections SQL : les sites web mal programmés peuvent
emails visant à récupérer des informations en permettre d’extraire des informations par des requêtes SQL
trompant un utilisateur ; malicieuses.
• Une variante est le phishing par autorité, • Le facteur le plus impactant est le facteur humain : en tant
consistant à se faire passer pour un dirigeant qu’administrateur réseau ou responsable de la sécurité, une grande part
d’une entreprise pour se faire envoyer des de votre activité est de former vos utilisateurs pour ne pas cliquer sur des
documents confidentiels ou de l’argent. liens malveillants ou laisser entrer les pirates.
• Cela n’empêche pas la nécessité de sécuriser le réseau de sorte à limiter
les possibilités de malveillance.
PARTIE 4

Principes fondamentaux de la sécurité
La sécurité réseau repose sur 3 piliers fondamentaux :

1. La confidentialité : empêcher la divulgation
d’informations confidentielles ;
2. L’intégrité : s’assurer que les données ne sont pas
modifiées de manière non autorisée ;
3. La disponibilité : garantir l’accès aux services.
• Face à ces 3 piliers, les attaquants utilisent des outils de
reconnaissance et de pénétration que nous présentons
juste après.
PARTIE 4

Outils de reconnaissance et d’attaque
Reconnaissance Attaque
• Un outil de reconnaissance a pour but de cartographier le • Les tests de pénétration utilisent une boite à outils qui peut également
réseau cible, en identifiant les services disponibles. être illégalement utilisée par des personnes malveillantes pour pénétrer
• Plusieurs outils sont utilisés : un réseau.
• Ping utilise le protocole ICMP pour tester • Ces outils offrent des capacités
l’accessibilité d’une machine donnée sur un réseau ; • D’accès initial, pour pénétrer à l’intérieur du réseau ;
• Nmap scanne l’ensemble des ports d’une machine • D’escalade de privilèges, pour obtenir des droits supérieurs aux
pour déterminer les services accessibles ; droits initialement récupérés ;
• Traceroute trace le chemin d’un paquet pour arriver • De persistance, pour conserver un accès au réseau après l’attaque
à destination, en identifiant les hôtes intermédiaires. initiale.
• La combinaison des outils de test d’accessibilité et de • D’impact, pour réaliser les opérations malveillantes visées :
traçage permet ainsi de reconnaitre le réseau. récupération de données, altération de données, destruction de
données.
PARTIE 4

Une prise de conscience globale
• Face aux outils des attaquants, assurer la sécurité du • Et bien sûr, les administrateurs réseau doivent assurer les aspects
réseau fait partie des missions du service IT. techniques de la sécurité !
• Cependant, l’implication de toute l’organisation est • La section suivante introduit un outil précieux, les listes de contrôle
indispensable : d’accès.
• La Direction doit être garante du respect des règles
établies ;
• Le service Commercial doit accepter les délais
imposés par le respect des bonnes pratiques ;
• Les développeurs web ou de logiciels doivent
traiter la sécurité comme une préoccupation et
non comme une fonctionnalité, repoussée sans
cesse au fond de l’outil de gestion de projet ;
• Le personnel administratif doit accepter d’être
formé et respecter les bonnes pratiques mises en
PARTIE 4
place.

Chapitre 1

01 - Listes de contrôle d’accès
Présentation des ACL
• Les ACL sont, de manière générique, une méthode de

gestion de droits. Il existe des ACL :
• Pour les fichiers, afin de contrôler de manière fine
les droits d’accès ;
• Pour les réseaux, afin de définir des règles d’accès.
• Cette section traite des ACL réseaux.
• Les listes de contrôle d’accès (ACL) permettent de
programmer un filtre sur un routeur.
• Un filtre peut être programmé :
• Pour une interface donnée ;
• Pour une direction donnée ;
• Avec un ensemble de règles spécifiques.
• Les règles indiquent aux routeurs quels paquets autoriser
PARTIE 4
et quels paquets supprimer.

• Nous commençons par détailler le type d’ACL le plus
simple : l’ACL standard.

ACL standard : IP source et interface
• Une ACL standard permet d’analyser le trafic en fonction

de la valeur numérique de l’adresse IP source.
• Une ACL peut s’appliquer :
• À une IP exacte ;
• À un sous-réseau.
• Une ACL est activée sur une interface donnée d’un routeur,
qui peut être l’interface d’entrée ou de sortie d’un paquet.
• Une fois activée, l’ACL inspecte tous les paquets qui
transitent par l’interface.
• Dans l’exemple illustré à droite, tous les paquets qui
transitent via R2 par l’interface S/0/0/1 sont analysés :
• La règle 1 autorise les paquets en provenance de A ;
• La règle 2 rejette tous les paquets en provenance de
PARTIE 4
B.

ACL standard : règle par défaut
• Lorsque le réseau évolue et qu’un hôte est ajouté, aucune

règle spécifique ne s’y applique.
• Pour parer à cette situation, il est possible de configurer
une dernière règle qui couvre l’espace d’adressage du
sous-réseau avec une règle par défaut.
• Le mot clé any peut être utilisé à la place de l’IP
pour accepter ou refuser n’importe quel paquet.
• Dans cet exemple, C a été ajouté au réseau. Les règles sur
l’IP de A et B ne s’appliquent pas, la règle par défaut est
donc utilisée.
• Par contre, lorsqu’un paquet en provenance de B se
présente, la seconde règle est exécutée et le paquet est
supprimé.
• Le parcours des règles s’arrête dès qu’une règle
PARTIE 4
correspondante est trouvée et exécutée.

ACL standard : création d’entrées
• La configuration d’une ACL consiste à créer une ou Par exemple :

plusieurs entrées. • access-list 1 permit 10.1.1.1
• Sur un routeur Cisco, une entrée est insérée avec : • accepte les paquets dont l’IP source est 10.1.1.1
• la commande access-list. • Le nombre 1 suivant la commande étant entre 1 et 99, l’ACL est
• Un numéro identifiant l’ACL. Ce nombre doit être interprété comme standard.
compris entre 1 et 99 ou entre 1300 et 1999 pour • La suite présente la syntaxe des masques génériques.
une ACL standard.
• L’action à exécuter en cas de correspondance :
• Permit si le packet doit être transmis.
• deny si le packet doit être supprimé.
• Le paramètre de correspondance : pour une ACL
standard, l’IP source ou un masque générique
identifiant un ensemble d’IP sources.
PARTIE 4

ACL standard : masques génériques
• Un masque générique prend la syntaxe d’une IP en Dans notre exemple :

remplaçant les nombres exacts d’un élément de l’IP par : • La première règle identifie l’IP 10.1.1.1.
• 0 si le nombre doit être considéré. • La seconde règle identifie les IP commençant par 10.1.1, le dernier
• 255 si le nombre doit être ignoré. nombre étant ignoré.
• Lorsqu’un masque est ajouté la commande access-list est • L’IP de B, 10.1.1.2 est donc reconnue.
donc suivie : • La dernière règle identifie les IP commençant par 10, les 3 derniers
• D’une IP dont seuls les caractères situés à la même nombres étant ignorés.
position qu’un élément du masque de valeur 0
sont considérés ;
• Du masque générique lui-même.
PARTIE 4

Association d’une ACL à une interface
• Une fois l’ensemble des règles configurées pour un • Pour vérifier la configuration,
numéro d’ACL donné, l’ACL peut être associée à une • La commande show access-lists affiche l’ensemble des ACL
interface spécifique. configurées
• La commande interface permet de sélectionner • La commande show ip interface suivi du nom de l’interface indique
l’interface, puis la commande ip access group indique les ACL associées.
l’ACL à associer à l’intérieur de la configuration de
l’interface.
• Pour l’ACL de notre exemple nous saisissons :
PARTIE 4

ACL étendues
• Les ACL étendues, comme leur nom l’indiquent, étendent

les capacités des ACL standard. Elles permettent de créer
des règles :
• Sur l’IP de destination, en plus de l’IP source ;
• Sur les ports, source et destination.
• Les ACL étendues sont identifiées par un nombre entre
100 et 199, ou 2000 et 2699.
• Elles s’appuient sur 3 champs de l’en-tête IP :
1. Le protocole ;
2. L’adresse IP source ;
3. L’adresse IP destination.
• Ainsi que sur 2 champs de l’en-tête TCP :
1. Le port source.
PARTIE 4
2. Le port de destination.
• Elles offrent également une syntaxe alternative pour
créer des ACL par nom plutôt que par un nombre.

ACL étendue : création d’entrées
• Une entrée d’ACL étendue est insérée avec :

• la commande access-list ;
• Un numéro identifiant l’ACL, entre 100 et 199 ou
entre 2000 et 2699 pour une ACL étendue ;
• L’action à exécuter, permit ou deny ;
• Le protocole de couche 4 (ip si tous) ;
• L’ensemble host + l’IP source ou IP+masque ou any ;
• l’ensemble host + IP destination ou IP+masque ou
any ;
• Le numéro de port (facultatif).
PARTIE 4

ACL étendue : exemple
1. access-list 101 deny tcp host 172.16.3.10 172.16.1.0

0.0.0.255 eq ftp :
• Les paquets de protocole tcp issus de l’hôte
172.16.3.10 et à destination d’une IP
commençant par 172.16.1 sur le port 21 sont
refusés.
2. access-list 101 deny tcp host 172.16.2.10 host
172.16.1.100 eq www :
• Les paquets de protocole tcp issus de l’hôte
172.16.2.10 à destination de l’hôte 172.16.1.100
sur le port 80 sont refusés.
3. access-list 101 permit ip any any :
• Tous les autres paquets sont autorisés.
PARTIE 4

ACL nommées / Syntaxe alternative
• Pour terminer cette section, nous proposons un exemple de syntaxe alternative avec une ACL nommée :
PARTIE 4
• La commande access-list suivie du mot clé extended et d’un nom permet de donner les règles à la suite.
• La commande access-group suivie du nom et du mot clé out permet de finaliser la configuration.
• La prochaine section présente deux outils de sécurité complémentaires : le pare-feu et le proxy.

Chapitre 1

01 - Pare-feu et proxy
Différences entre ACL et Pare-feu
ACL Pare-feu
• Les ACL introduites dans la section prennent une décision • Les pare-feu, introduits dans la sections sur les fonctions avancées des
paquet par paquet, au moment de leur arrivée sur routeurs, proposent des fonctions avancées prenant en compte le flux
l’interface. applicatif :
• On parle d’inspection sans-état, c’est-à-dire sans • On parle de technique à inspection d’état.
tenir compte des paquets précédents. • Les pare-feu s’appuient sur l’ensemble des couches du modèle OSI, y
• Les ACL s’appuient sur les en-têtes IP et TCP mais pas sur compris les sessions et les applications.
les données issues de la couche application. • Les pare-feu peuvent être intégrés aux routeurs ou faire l’objet d’un
• Les ACL sont configurées directement au niveau des équipement autonome, positionné à un endroit stratégique du réseau.
périphériques de couche 3, comme les routeurs.
PARTIE 4

Pare-feu: prévention d’une attaque DOS
• Prenons le cas d’une attaque par Déni de Service (DOS) :

• Cette attaque consiste à envoyer une grande
quantité de requêtes à destination d’un serveur
pour l’empêcher de répondre aux requêtes
légitimes.
• Grâce à sa connaissance de l’historique, le pare-feu peut
se rendre compte que le trafic est anormal et filtrer
dynamiquement les paquets issus de la source de
l’attaque.
• Les attaquants contournent parfois cette
protection en lançant des attaques depuis un
ensemble de machines, qui restent
individuellement en dessous du radar : c’est une
attaque en Déni de Service Distribuée (DDOS).
• Cela nécessite toutefois de contrôler un ensemble
PARTIE 4
de machines, ce qui alourdit la barrière à l’entrée,

par rapport à une attaque DOS traditionnelle facile
à exécuter.

Pare-feu: zones de sécurité
• Un pare-feu peut définir une ou plusieurs zones de

sécurité et fixer des règles sur les transferts de données
entrants et sortants.
• Les hôtes de la zone intérieure sont autoriser à initier une
connexion vers l’extérieur.
• Une fois la connexion établie à l’initiative de l’hôte
interne, les transferts sont autorisés dans les 2
sens.
• Par contre une connexion initiale venant de l’extérieur
sera bloquée par le pare-feu.
• Une ACL n’aurait pas pu effectuer ce travail : un
paquet est bloqué ou non, mais ne peut pas être
bloqué en fonction d’un événement précédent
(comme d’être à l’initiative de la connexion).
PARTIE 4

Pare-feu: DMZ
• Lorsque certains hôtes doivent être accessibles de

l’extérieur, une zone appelée DMZ (zone démilitarisée)
peut être ajoutée :
• Par exemple, un serveur web pour le site internet
de l’organisation.
• Le pare-feu autorise alors exclusivement les connexions
depuis l’extérieur vers les serveurs concernés.
PARTIE 4

Proxy
• Un proxy est un serveur intermédiaire placé entre 2 hôtes

ou entre 2 réseaux pour :
• Faciliter les échanges ;
• Réduire la charge des serveurs ;
• Masquer l’origine de l’hôte original ;
• Assurer la surveillance et le filtrage des requêtes.
• Le proxy fonctionne en couche :
• Au niveau utilisateur, le proxy peut permettre de
limiter les sites autorisés ou de demander une
authentification pour accéder à certains services ou
à internet.
• Des services commerciaux de proxy permettent au
contraire de contourner les restrictions ou d’accéder à du
PARTIE 4
contenu géobloqué.
• Nous terminons ce chapitre sur la sécurité par une revue
d’introduction aux protocoles permettant la sécurisation
de l’accès WAN.

Chapitre 1

01 - Accès sécurisé WAN
Network Address Translation
• La pénurie d’adresses IPv4 disponible a conduit le

développement d’architectures dans lesquelles :
• Les hôtes du réseau utilisent des adresses IP
privées, inaccessibles de l’extérieur ;
• Un routeur faisant office de passerelle dispose ou
plusieurs adresses IP publiques, ainsi qu’une route
vers le réseau privé.
• Les hôtes du réseau sont ainsi isolés de toute tentative de
connexion externe.
• Lorsqu’un hôte du réseau interne souhaite rendre un
service accessible, une table NAT permet d’associer une
IP publique à une IP privée du réseau.
• Le NAT permet ainsi d’ouvrir un accès uniquement pour
les services nécessaires, ce qui réduit la surface d’attaque
PARTIE 4
au minimum.
• Le NAT peut être statique (une IP publique associée à un
hôte privé) ou dynamique (IP attribuée à la demande lors
d’une connexion vers l’extérieur).

Port Address Translation
• Le PAT est une extension du NAT qui permet de fournir

l’accès à des services internes en ne consommant qu’une
seule IP publique.
• Chaque service interne est associé à un port de l’IP
publique accessible depuis le WAN.
• L’avantage principal est l’économie de consommation en
adresse IPv4.
• L’inconvénient est l’utilisation de ports non standards, qui
peuvent être bloqués par les pare-feu, proxy ou ACL, des
réseaux d’entreprises.
• Le PAT est ainsi adapté pour donner accès à des
services internes, par des collaborateurs.
• Les services à destination du grand public, comme
un site web, bénéficient à rester sur du NAT avec le
PARTIE 4
port standard (80 ou 443 pour un site sécurisé en

HTTPS).
• Plus de 65000 hôtes internes peuvent ainsi accéder à
internet avec une seule IP publique.

VPN
• Un VPN permet de créer un tunnel sécurisé entre un

client situé sur un réseau non sécurisé (comme internet)
et l’intérieur du réseau de l’organisation.
• Par exemple, pendant un déplacement
professionnel, pour se connecter depuis le WIFI
public d’un café ou d’un hôtel.
• Certains services commerciaux proposent
également un VPN pour faire office de proxy, tout
en ajoutant la sécurisation de la communication.
• La communication est assurée par la mise en place d’un
tunnel
• La sécurisation est fournie par cryptage et
authentification.
• De nombreux protocoles sont proposés comme
PARTIE 4
OpenVPN, PPTP, ou SSTP.

• La mise en place d’un VPN nécessite l’installation de
clients et de serveurs compatibles au niveau du protocole
utilisé.

IPSec
• IPSec vise à sécuriser l’intégralité d’une communication

sur internet. Contrairement aux protocoles historiques
qui se concentrent sur la couche application en cryptant
les données, IPSec fonctionne au niveau de la couche 3
en cryptant au niveau du paquet.
• L’intégration d’IPSev au niveau de la couche 3 permet
d’assurer la transparence de la technologie pour les
couches supérieurs, qui l’utilisent comme service au
même titre que la couche réseau traditionnelle.
• Deux modes sont proposés :
• Le mode transport ne crypte que le contenu du
paquet. Il est utilisé pour les communication hôte-
à-hôte sur le WAN ;
• Le mode tunnel crypte l’intégralité du paquet et
l’encapsule dans un nouveau paquet pour assurer
PARTIE 4
une confidentialité totale. De nombreux VPN

s’appuient sur ce mode pour fournir le service
introduit précédemment.

Authentification PAP et CHAP
PAP CHAP
• PAP est une méthode d’authentification simple à mettre • CHAP (Challenge Handshake Authentication Protocol) est une méthode
en œuvre. d’authentification qui crypte les échanges de données d’authentification.
• On retrouve PAP pour l’authentification des • Le mot de passe n’est ainsi jamais transmis en clair.
serveurs FTP de téléchargement de fichiers FTP. • Seul le nom d’utilisateur est transmis en clair.
• Le nom d’utilisateur et le mot de passe sont transmis en • CHAP utilise une procédure en 3 parties qui empêche les attaques par
clair au serveur. répétition, le challenge initial étant modifié régulièrement
• PAP ne limite pas le nombre d’essais et est donc sensible • CHAP protège ainsi également contre le vol de session, l’attaquant
aux attaques par force brute. n’ayant pas connaissance du mot de passe pour maintenir la
• PAP offre donc une solution simple à mettre en place, connexion au prochain renouvellement du challenge.
mais peu sécurisée. • CHAP propose ainsi une solution plus complexe, mais très sécurisée.
PARTIE 4

Chapitre 2
Gestion et supervision des réseaux
• Les principes de la Qualité de Service

• Les dépannage réseau
• Le protocole SNMP
• Les solutions d’administration
5 heures
Chapitre 2
1. Principes de la Qualité de Service (QoS)

2. Dépannage réseau
3. Protocole SNMP
4. Solutions d’administration
02 - Qualité de service (QoS)
Objectifs
• Sur un réseau, tous les paquets sont égaux mais certains • En pratique, la QoS permet de gérer les critères suivants :
le sont plus que d’autres. • La bande passante disponible ;
• Certains services sont critiques pour l’organisation, • Le délai de transmission ;
d’autres ont des contraintes de délai, comme les
applications audio ou vidéo. • La variation du délai de transmission ;
• La Qualité de Service (QoS) fait référence à un ensemble • Le pourcentage de paquets perdus.
d’outils que peuvent utiliser les équipements réseaux • Ce dernier chapitre présente dans un premier temps le fonctionnement
pour gérer un paquet pendant qu’il traverse le réseau. de la QoS. Nous terminerons ensuite ce cours avec un panorama des
procédures de dépannage réseau, du protocole SNMP et des solutions
d’administration comme Nagios et Cacti.
PARTIE 4

Critères de la QoS
Bande passante Variation

• La bande passante fait référence à la vitesse d’une liaison, • La variation (parfois appelée Jitter) décrit la différence de délai constatée
exprimée en bit/sec. Elle définit la capacité du lien à entre les paquets consécutifs d’une même application. Cette variation
absorber le trafic. Les outils de QoS permettent de peut être pénalisante pour certaines applications.
réserver une partie de la bande passante à certains types
de données.
Perte
• Typiquement, une part de la bande passante sera
réservée pour la VoIP et les applications critiques, les • La perte indique le nombre de paquets qui n’atteignent pas leur
autres applications se partageant la bande passante destination. Elle est souvent exprimée en pourcentage du nombre de
restante disponible. paquets perdus. Les applications utilisant TCP au niveau de la couche 4
peuvent retransmettre les paquets perdus, ce qui peut résoudre ou
aggraver le problème, notamment en cas de congestion.
Délai
• Le délai décrit soit le temps entre l’envoi d’un paquet et
sa réception par le destinataire, soit le temps entre l’envoi
d’un paquet et la réception d’un accusé de réception.
PARTIE 4
• En pratique, les applications importantes et sensibles au

délai bénéficieront le plus de la QoS.

Critères de sélection
• La configuration de la QoS peut se faire selon différents • À l’inverse, un traitement dit batch consiste à transmettre et traiter
critères, notamment en fonction du type d’application. un volume massif de données. L’important est que les données
Par exemple, finissent par arriver à leur destinataire, mais l’impact d’un retard sera
• Une requête HTTP vers un site web est négligeable.
asymétrique dans ses besoins : les requêtes sont • Notre dernier exemple, la vidéo, présente un challenge intéressant :
généralement légères mais les réponses peuvent la bande passante peut être conséquente, mais le délai, la variation
contenir des milliers, voire des millions de paquets. et la perte le sont tout autant. La priorité donnée à un flux vidéo
L’utilisateur est en attente du résultat qui doit lui dépendra de son importance pour l’organisation – une vidéo
parvenir dans un délai raisonnable. conférence de l’équipe de direction pourra être priorisée par rapport
• Une application VoIP utilise environ 80kb/sec de aux vidéos de la pause déjeuner.
bande passante, voire moins avec un codec • La suite présente les outils de la QoS : classification et marquage, files
optimisé. L’impact du délai, de la variation et de la d’attentes, prise de décision et gestion de la congestion.
perte sont par contre importants.
PARTIE 4

Classification et marquage
• Le processus de classification et de marquage consiste à :

• Classifier les paquets en fonction des champs des
en-tête IP et TCP, correspondant aux champs
utilisés par les ACL.
• Marquer le paquet dans les en-têtes via :
• Le champ DSCP de l’en-tête du paquet IP.
• Le champ CoS de l’en-tête de la trame
Ethernet.
• La classification et le marquage, qui peuvent représenter
un calcul complexe, sont effectuées par le premier
équipement réseau traversé.
• Les autres équipements n’ont plus qu’à exploiter le
marquage par correspondance avec les règles QoS qu’ils
appliquent
PARTIE 4
• Voyons maintenant comment le marquage permet la

gestion des files d’attentes.

Files d’attentes (Queuing)
• Les files d’attentes permettent de stocker les paquets

en fonction de la priorité qui leur est associée, pour leur
permettre d’accéder à l’interface de sortie
• Dans l’exemple ci-contre, 4 queues sont définies
• La queue voix est de type latence faible : les
paquets qui y sont envoyés sont transmis à
l’interface de sortie avec une priorité absolue ;
• Les 3 autres queues sont traitées avec la méthode
« round robind », qui consiste à traiter chaque
queue tour à tour ;
• Un poids peut être associé à chaque queue pour
leur donner une priorité supplémentaire. Par
exemple, data 1 peut disposer de 50% de chaque
tour, data 2 30% et la queue par défaut 20%.
PARTIE 4

Prise de décision
• La prise de décision (Policing and shaping) s’applique

généralement sur un nœud de congestion, quand une
interface à bande passante élevée envoie des paquets sur
une interface moins capacitaire :
• Le cas le plus courant est l’interface de sortie vers
le WAN. Le débit peut passer de 1Gb/sec à sur le
LAN à un débit mesuré en Mb/sec vers internet.
• Dans l’exemple ci-contre, le réseau Gigabit est
interconnecté via le WAN sur une liaison
200Mb/sec.
• Dans cette situation, le système :
• Mesure le débit du trafic pour une file données par
rapport à la politique définie ;
• Peut autoriser un burst de données si la bande
passante est disponible ;
PARTIE 4
• Peut supprimer les packets en excès, ou effectuer

un nouveau marquage.
• La prise de décision permet ainsi de conserver une
priorité absolue pour les files d’attente à faible latence et
de gérer au mieux le reste du trafic.

Gestion de la congestion
• Le dernier outil de la QoS est la gestion de la congestion.

• Celle-ci s’appuie sur le fenêtrage des segments TCP.
• En pratique, TCP peut demander des accusés de réception à
intervalles plus ou moins réguliers :
• Si la congestion est faible, le trafic comporte peu d’erreurs,
les accusés de réception peuvent être espacés.
• Si la congestion augmente, les paquets perdus
s’accumulent. TCP réduit alors la fenêtre entre deux
accusés de réceptions.
• Cela permet de réduire le nombre de paquets à retransmettre,
qui aggravent la congestion.
• La suite de ce chapitre revient sur le sujet du dépannage réseau.
PARTIE 4

Chapitre 2

3. Protocole SNMP
02 - Dépannage réseau
Approches du dépannage
• Un enjeu majeur de l’administrateur réseau est d’éviter • Malgré tous ces efforts, des pannes surviennent et les tickets de support
les problèmes. Pour cela, le réseau doit être : s’accumulent.
• Sécurisé : une brèche de sécurité implique une • Cette section présente les approches suivantes pour le dépannage
investigation poussée pour identifier les services • La documentation ;
affectés, ainsi que des tâches administratives pour
le reporting interne, externe et juridique, puis la • La méthode Delta ;
remise en état du réseau ; • La méthode Napoléon ;
• Redondant : la défaillance d’un équipement doit • La méthode Sesame Street ;
pouvoir être réparée sans que le service soit
• L’analyse structurée.
interrompu ;
• Monitoré : pour le point précédent, la défaillance
doit pouvoir être repérée pour qu’une action soit
menée.
PARTIE 4

Méthode 1 : la documentation
• La documentation est un point d’entrée indispensable, • La manière de structurer la documentation doit faire partie des
comme une carte pendant un voyage : procédures documentées (Standard Operating Procedures) qui guident le
• Comme une carte, elle peut être légèrement travail au quotidien de l’administrateur réseau.
obsolète, mais donner une vue globale pertinente. • La documentation peut contenir :
• Pour que la documentation soit disponible au moment de • Les diagrammes de conception ;
la panne, il est indispensable de la créer et de la • Le plan d’adressage, incluant les VLAN ;
maintenir à jour.
• La liste du matériel ;
• Pour les collègues.
• La liste des logs ;
• Comme pour le futur vous.
• L’étiquetage des équipements et des câbles.
• Lorsque la panne survient, il est ainsi possible de comparer les
configurations en place avec les configurations prévues, et d’ajuster si
besoin.
PARTIE 4

Méthode 2 : la méthode Delta
• L’écrasante majorité des problèmes surviennent à la suite • La méthode Delta consiste à identifier ce qui a changé dans
d’un changement dans l’environnement. Il peut s’agir : l’environnement entre le moment où le réseau était fonctionnel et le
• D’un changement ou d’un ajout de matériel ; moment où le dysfonctionnement a été détecté. Les 3 sources les plus
courantes sont :
• Du déploiement ou de la mise-à-jour d’une
application ; 1. Un changement réalisé par l’administrateur lui-même ;
• De l’application d’un correctif sur un firmware ; 2. Un changement par un partenaire ou un fournisseur ;
• D’un changement de configuration ; 3. Une défaillance.
• D’une panne de matériel ; • En termes de prévention, deux principes découlent de la méthode Delta :
• De la saturation d’un équipement (base de • Limiter les changements « If it ain’t broke, dont’t fix it ».
données, liaison). • Lorsqu’un changement est indispensable, le documenter et le
réaliser par incréments maitrisés.
PARTIE 4

Méthode 3 : la méthode Napoléon
• La méthode Napoléon consiste à appliquer le principe du • Une fois les causes possibles localisées, l’administrateur commence par la
diviser pour mieux régner (« Divide and Conqueer ») cause la plus probable et descend dans la liste jusqu’à ce que le problème
• Ce principe est bien connu des développeurs, soit résolu.
notamment dans les algorithmes de recherche et
de tri.
• Appliquée au dépannage, la méthode consiste à isoler le
problème parmi toutes les sources possibles
• En pratique, la première étape consiste à localiser les
causes possibles. Par exemple, si un utilisateur est
déconnecté régulièrement de ses sessions de travail
distantes, les causes possibles sont :
1. Une problème de DHCP ;
2. Un problème sur le serveur ;
3. Un problème sur le client ;
PARTIE 4
4. Un problème sur un équipement, commutateur ou

routeur.

Méthode 4 : la méthode Sésame Street
• Alors que la méthode Napoléon se concentre sur • De même, si le problème est localisé sur quelques utilisateurs mais
l’identification de ce qui peut ne pas fonctionner, la que le système fonctionne globalement pour les autres, la solution
méthode Sésame Street se focalise sur ce qui fonctionne. Sesame Street consiste à appliquer à ces utilisateurs la
• Le nom Sesame Street provient de la chanson configuration documentée fonctionnelle pour les autres et ainsi
« One of these things is not like the others ». repartir sur une base saine.
• La méthode Sesame Street consiste ainsi à repartir du • Les éléments spécifiques à l’utilisateur peuvent ensuite être
fonctionnement normal. rétablis un à un, ce qui permettra d’identifier précisément le
problème s’il se manifeste à nouveau.
• Par exemple, si le problème est localisé sur un
routeur, revenir à la configuration (évidemment) • Cette méthode permet ainsi de respecter un principe fondamental d’ITIL
documentée peut résoudre le problème. évoqué en fin de première partie : rétablir vite, avant de trouver une
solution optimale.
• La méthode Delta peut ensuite être
appliquée en complément pour déterminer
la raison de l’écart de configuration
• Si la différence de configuration provient
PARTIE 4
d’un besoin fonctionnel, elle peut trouver un

moyen de le mettre en place sans causer de
panne par ailleurs et mettre à jour la
documentation.

Méthode 5 : l’analyse structurée
• L’analyse structurée permet de résoudre des problèmes • Les notes doivent permettre d’identifier les faits, comme :
complexe, lorsque les méthodes précédentes ont échoué. • la durée du problème (permanent ou intermitent) ;
L’analyse structurée consiste ainsi à traiter les blancs
laissés par les essais infructueux menés précédemment. • La date de début du problème (ou de son identification) ;
• Pour cela, une prise de notes régulière au cours du • Les lieux et les utilisateurs concernés ;
processus est indispensable. Un problème complexe peut • La configuration des équipements et des applications affectés ;
parfois prendre plusieurs heures, voire journées, et
• Le comportement des équipements et des applications similaires
mobiliser plusieurs équipes de techniciens en rotation
non affectée.
24h/24.
• La résolution prend ainsi la forme de prises de décisions fondées sur des
• Une panne globale dans un centre de données est
faits et documentées au fur et à mesure.
un exemple de problème complexe qui mobilise
l’ensemble des ressources de l’organisation
affectée. En prolongement de ces méthodes de dépannage, la section suivante
présente SNMP, un protocole permettant de superviser et diagnostiquer les
problèmes réseaux et de matériel à distance.
PARTIE 4

Chapitre 2

3. Protocole SNMP
02 - Protocole SNMP
Objectifs et composants
• Le Simple Network Management Protocol (SNMP) a été • Les données sont stockées par chaque agent dans une base de données.
introduit en 1988 par la RFC 1065. Elle contient des informations sur l’équipement monitoré par l’agent,
• SNMP fonctionne sur la couche application à partir de 2 notamment :
types de composants installés sur le réseau : • Les réglages de configuration ;
1. Les agents, qui s’exécutent sur chaque • Les statuts (actif, hors-ligne,…) ;
équipement du réseau et stockent les • Les mesures (% d’espace occupé, débit moyen, …).
informations sur le composant.
• Les transferts d’informations entre le manager et les agents s’effectuent :
2. Le manager, une application souvent appelée
Network Management Station (NMS) qui exploite • soit à la demande du manager ;
les informations. • soit à l’initiative du client.
• La suite présente les 2 types de transfert ainsi que la sécurisation.
PARTIE 4

02 - Protocole SNMP
Transfert à la demande du manager
• Chaque agent maintient ses informations à jour dans une

base appelée MIB (Management Information Base).
• Lorsqu’un manager (NMS) a besoin d’une information
spécifique, il envoie un message SNMP appelé Requête
Get à l’agent concerné.
• L’agent répond par un message SNMP appelée réponse
Get contenant l’information demandée.
• Le NMS peut être configuré pour :
• Calculer et mettre à jour une ou plusieurs
visualisations ;
• Envoyer une notification à l’administrateur en cas
de dépassement de seuils définis.
PARTIE 4

02 - Protocole SNMP
Transfert à l’initiative de l’agent
• Un agent peut envoyer 2 types de messages, les traps et

les informs. Dans les 2 cas, le protocole UDP est utilisé
avec un message de type Set.
• L’inform attend une réponse de la part du NMS. Si
elle n’est pas reçue, le message est renvoyé.
L’inform est utilisé pour les notifications critiques.
• Le trap est un message qui n’attend pas d’accusé
de réception. Il est plus économe en ressources
pour le réseau et est préféré pour des notifications
non critiques.
• À réception du message, le NMS peut décider d’alerter à
son tour l’administrateur et/ou d’alimenter le tableau de
bord, en fonction de l’importance de celui-ci.
PARTIE 4

02 - Protocole SNMP
Sécurisation
• Les messages envoyés par SNMP révèlent un nombre • SNMP offre ainsi un service de recensement et de transfert de
considérable d’informations. Leur confidentialité et leur l’information. Nous terminons ce chapitre et ce cours par une
intégrité doivent être assurées. Différents mécanismes présentation de 2 outils qui offrent une solution d’administration
permettent de sécuriser SNMP : centralisée s’appuyant sur SNMP, Nagios et Cacti.
• Des ACL peuvent être configurées pour n’autoriser
les requêtes GET issues des NMS que depuis les
serveurs connus. Un attaquant ne peut ainsi pas
brancher son propre NMS sur le réseau et
récupérer l’information.
• SNMP contient un mécanisme d’authentification
qui a évolué avec les versions.
• SNMPv1 et SNMPv2 utilisent une solution
simple à partir de mots de passes non
cryptés.
• SNMPv3 propose une solution complète
PARTIE 4
assurant l’intégrité, le cryptage et

l’authentification des messages.

Chapitre 2

3. Protocole SNMP
02 - Solutions d’administration
Panorama des solutions
• Un ensemble d’outils est disponible, en Open Source • D’autres outils sont utilisés pour alerter en cas de problème détecté sur
comme sous forme de solutions propriétaires et un équipement.
payantes, pour piloter le réseau informatique de manière • Enfin, des outils de gestion d’incident sont utilisés lorsqu’un problème
centralisée. survient, comme nous l’avons vu en fin de partie 1.
• Certains outils sont spécialisés dans le monitoring de • Nous terminons ce chapitre par une présentation de Cacti et de Nagios, 2
l’infrastructure. À partir des données récoltées, ils tracent outils Open Source s’appuyant sur SNMP.
des graphes permettant de visualiser l’état du réseau et
ses métriques principales. Cela permet :
• De superviser le fonctionnement ;
• D’optimiser l’utilisation des ressources.
PARTIE 4

Cacti : une solution pour la visualisation
• Cacti est un outil gratuit en plus d’être Open Source qui

s’appuie sur la Base de Données de séries temporelles
RRDTool.
• Il est capable de collecter, stocker et représenter sous
forme de graphique n’importe quelle donnée quantitative
ou qualitative
• Cacti possède un plugin SNMP qui assure la collecte des
informations sur le réseau.
• Cacti est toutefois limité dans ses capacités spécifiques
aux réseaux, comme la détection de fautes et l’envoi
d’alertes.
• Pour bénéficier de ces fonctionnalités, Cacti peut être
associé à Nagios.
PARTIE 4

Nagios : une solution complète de monitoring et d’alerte
• Nagios est un outil s’appuyant notamment sur SNMP,

spécifiquement conçu pour l’administration des réseaux.
• Bien que construit sur une base Open Source, Nagios est
une solution Freemium, avec des fonctions gratuites
(Core) complétées de fonctionnalités payantes.
• Par rapport à Cacti, Nagios ajoute des fonctionnalités
d’alerte et de collaboration avancée, pouvant s’interfacer
avec des solutions comme PagerDuty ou Zulip, une
alternative Open Source à Slack.
• Nagios peut s’utiliser en combinaison avec Cacti ou seul,
en fonction des besoins en visualisation
PARTIE 4

Conclusion
• Les réseaux sont conçus en utilisant des topologies adaptée, souvent hybrides.
• L’architecture SOHO permet de connecter quelques équipements chez soi ou dans un petit bureau. En entreprise, on adoptera l’architecture
2-tiers ou 3-tiers avec une couche accès, une couche distribution et une couche cœur, pouvant être rassemblées pour les 2 dernières.
• Le modèle OSI fournit un cadre de référence par couches. TCP/IP permet à chaque couche de s’appuyer sur la couche du dessous comme
fournisseur de services. Les données sont encapsulées par l’ émetteur et décapsulées par le récepteur.
• Sur un réseau filaire, le remplacement des concentrateurs par des commutateurs (switch) a permis d’éliminer les collisions. Sur les réseaux
sans-fil, les trames avec les techniques actuelles reçues par tous les équipements et le protocole CDMA/CA permet de gérer les collisions.
• Pour assurer la performance et la sécurité on segmente logiquement le réseau en sous-réseaux, à l’aider de routeurs ou de VLAN. VLSM
permet d’optimiser le nombre d’adresses utilisées au coût d’une certaine complexité. Les protocoles STP permettent d’assurer une
redondance sans créer de boucle, tandis que l’agrégation de liaisons permet d’augmenter la bande passante.
• Le routage entre les réseaux peut être configuré manuellement ou avec les protocoles RIP (pour un réseau simple) ou OSPF (pour un réseau
plus complexe)
• Le réseau doit être sécurisé, notamment par les ACL, les pare-feu et l’utilisation de protocoles de chiffrement. Il doit également être
surveillé, à l’aide d’outils de gestion comme les NMS (Network Management System)
PARTIE 4
• Tout réseau, même bien conçu, doit être maintenu, optimisé et dépanné en continu : c’est un excellent choix de carrière !

Support de Cours Conception

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Support de Cours Conception

Transféré par

Droits d'auteur :

Formats disponibles

RÉSUMÉ THÉORIQUE – FILIÈRE INFRASTRUCTURE DIGITALE

M103 – CONCEVOIR UN RÉSEAU INFORMATIQUE

1. Les Composants d’un réseau informatique

• Voyons maintenant comment ces principes s’appliquent aux réseaux

Copyright - Tout droit réservé - OFPPT 7

• De la connectique : ce sont les procédés et techniques chargés du

Copyright - Tout droit réservé - OFPPT 8

• Plusieurs outils permettent de modéliser et simuler un réseau informatique ;

Les logiciels les plus utilisés sont :

Copyright - Tout droit réservé - OFPPT 9

Copyright - Tout droit réservé - OFPPT 10

• Le déploiement de réseaux informatiques permet de fournir des services tels que :

Copyright - Tout droit réservé - OFPPT 11

1. Les Composants d’un réseau informatique

Voyons chacun de ces découpages en détail.

Copyright - Tout droit réservé - OFPPT 13

Copyright - Tout droit réservé - OFPPT 14

Réseau intranet Réseau extranet Réseau internet

Copyright - Tout droit réservé - OFPPT 15

Architecture 1-tiers Architecture 2-tiers Architecture 3-tiers et n-tiers

collaboration se fait par le partage de fichiers sur un serveur

Copyright - Tout droit réservé - OFPPT 16

• Selon le critère topologique, on va catégoriser les réseaux

• La section suivante détaille ces différentes topologies

Copyright - Tout droit réservé - OFPPT 17

1. Les Composants d’un réseau informatique

Copyright - Tout droit réservé - OFPPT 19

Copyright - Tout droit réservé - OFPPT 20

La topologie en bus Avantages et inconvénients

Une collision est une perte de donnée qui se produit

Copyright - Tout droit réservé - OFPPT 21

La topologie en anneau Avantages et inconvénients

Copyright - Tout droit réservé - OFPPT 22

La topologie en étoile Avantages et inconvénients

Copyright - Tout droit réservé - OFPPT 23

La topologie maillée Avantages et inconvénients

Copyright - Tout droit réservé - OFPPT 24

• Des typologies hybrides sont souvent mises en

Copyright - Tout droit réservé - OFPPT 25

Topologie Fonctionnement Avantages Inconvénients

Copyright - Tout droit réservé - OFPPT 26

Copyright - Tout droit réservé - OFPPT 27

1. Les Composants d’un réseau informatique

Copyright - Tout droit réservé - OFPPT 29

Copyright - Tout droit réservé - OFPPT 30

Cloud Computing SaaS PaaS IaaS BYOD

Le cloud computing Le SaaS (Software as a Le PaaS (Platform as a Le IaaS (Infrastructure as a La combinaison du

collaboratifs comme La maintenance est ces tendances.

Copyright - Tout droit réservé - OFPPT 31

Ce que vous allez apprendre dans ce chapitre :

• Ethernet et ses versions

1. Ethernet et ses versions

Copyright - Tout droit réservé - OFPPT 36

Copyright - Tout droit réservé - OFPPT 37

• 10BASE2, également référencé sous

l’appellation Ethernet Fin

Copyright - Tout droit réservé - OFPPT 38

• En 1990, la norme IEEE 802.3i redéfinit Ethernet avec les

occupant toute la bande passante disponible ;

Copyright - Tout droit réservé - OFPPT 39

Copyright - Tout droit réservé - OFPPT 40

Code Standard Année Vitesse Connectique

10BASE2 802.3a 1985 10 Mbit/sec Câble coaxial fin

10BASE-T 802.3i 1990 10 Mbit/sec Twisted-Pair, RJ45, Cat 3