TCP/IP

 Introduction - modèle TCP/IP

 protocole IP
 routage
TCP/IP  couche transport : TCP et UDP

Introduction

76 77

Introduction
 TCP/IP désigne :
 2 protocoles étroitement liés :
 protocole de transport TCP (Transmission Control Protocol)
protocole réseau IP (Internet Protocol)
TCP/IP


 une architecture réseau basée sur ces deux protocoles

(modèle TCP/IP)

 TCP/IP : technologie inventée en 1974, utilisée par internet

(ARPAnet) depuis 1983. IP (Internet Protocol)

 modèle TCP/IP :
 a précédé et inspiré le modèle OSI
 architecture “réellement” implantée
78 81
 Caractéristiques d’ IP IPv4 fonctionne en mode sans connexion
 IP = Internet Protocol (Protocole pour l’Interconnexion de
réseaux)  Principe : émission d’un paquet par l’équipement
réseau sans se soucier de l’état du récepteur
 Protocole de niveau réseau (couche 3 du modèle OSI)  chaque paquet est traité indépendamment des autres :
 possibilité d’emprunter des chemins différents
 IP est également utilisé sur des réseaux locaux (Ethernet)
 ordre d’arrivée des paquets quelconque
 Deux versions actuelles:
 IPv4 : la plus courante
 Avantages :
 diffusions partielle et globale facilitées
 IPv6 : version la plus récente, de plus en plus répandue
 protocole simple  rapidité, souplesse
 IPv4 fonctionne en mode sans connexion (Cf page suivante)
 Inconvénient :
 Fonctions principales :
 ne garantit pas la sécurité du transport ni la réception
 Adressage logique des stations
des données
 Routage des paquets = recherche et sélection du meilleur chemin
82 83
(uniquement sur réseaux étendus/interconnectés)

Adressage IPv4 Agrégation des adresses

 Adresse sur 4 octets,
 Problème : un réseau d’entreprise fait souvent plus de 254
 notée : k.l.m.n ( k, l, m, n : 4 entiers compris entre 0 et 255) stations.
 hiérarchie à 2 niveaux : identifiant réseau | identifiant hôte  Épuisement rapide des adresses de classe B
 Avant 1993 : 5 classes d’adresses :  En 1993 : abolition de la notion de classe d’adresses :
0 1.................7 8......................................................31 permet de définir des identifiants réseau de longueurs
Classe A 0 Réseau Stations 0  k  127
1N3S
variables (pas seulement multiple de 8)
0 1 2 .............................15 16............................31  Une adresse IPv4 doit maintenant être complétée par un
Classe B 1 0 Réseau Stations
2N2S
128  k 191 masque de (sous-)réseau : 4 octets dont seuls sont à 1
0 1 2 3........................................23 24..............31 les bits correspondant à l’identifiant réseau.
Classe C 1 1 0 Réseau Stations
192  k  223
3N1S Ex : 255.255.0.0  id. réseau = 2 premiers octets
0 1 2 3.................................................................31
Classe D 1 1 1 0 Multicast 223  k  239 255.192.0.0  id. réseau = 10 premiers bits
0 1 2 3 4.........................................................31  Autre notation (CIDR) : /24 signifie que les 24 premiers bits
Classe E 1 1 1 1 0 Reservé 239  k  255 84 de l’adresse identifient le (sous-)réseau. 85
 Adresses IPv4 particulières
 Adresse du réseau : identifiant hôte à zéro
 130.190.0.0 (masque 255.255.0.0) désigne un réseau dont
l’identifiant est 130.190
 Diffusion globale (broadcast) :
 255.255.255.255 : toutes les machines du réseau
 130.190.255.255 : toutes les machines du réseau 130.190.0.0
(Tous les bits de l’identifiant hôte sont mis à 0).
 Soi-même : 127.0.0.1 (bouclage ou localhost)
 Tests,
 communication inter-processus sur la station
 0.0.0.0 : machine qui ne connaît pas son adresse
 Adresses réservées aux réseaux privés
86
Adressage IP statique
 = attribution manuelle des adresses IP.
 Les adresses IP sont facilement modifiables (si on a les
droits nécessaires sur la station)
 Règles à respecter : des machines faisant partie du même
réseau physique (= reliées directement ou via hub ou switch)
peuvent communiquer directement (= sans routeur) SI :
1. Elles font partie du même sous-réseau logique, cad :
 même masque de sous-réseau ;
 même identifiant réseau
2. Elles ont des identifiants hôtes différents.
 L’adressage statique est peu utilisé en informatique, mais
souvent dans le domaine industriel. 88
IPv4 : Adresse publique et adresse privée
 Adresse IPv4 publique :
 adresse d’une machine directement reliée à internet
 doivent être demandées à l’ICANN (Internet Corporation for Assigned
Names and Numbers) (En fait, l’ICANN attribue l’identifiant réseau)
 Doivent être uniques pour éviter les erreurs de destination
 Adresse IPv4 privée
 Seul un ordinateur ou routeur du réseau a accès à internet
 Les autres machines accèdent à internet par son intermédiaire ;
elles n’ont pas besoin d’adresse publique.
 Mais elles ont besoin d’adresse IP pour communiquer entre elles !
 Certaines adresses sont réservées pour les réseaux privés :
 Adresses IP privées /8 :10.0.0.1 à 10.255.255.254.
 Adresses IP “privées”/10 : 100.64.0.0 à 100.127.255.254 (routables)
 Adresses IP privées /12 : 172.16.0.1 à 172.31.255.254.
 Adresses IP privées /16 : 192.168.0.1 à 192.168.255.254.
 Avantage : permet d’économiser les adresses publiques. 87
Adressage IP dynamique
= attribution automatique des adresses IP
 Quasi systématique dans les réseaux informatiques
 Via un serveur DHCP faisant partie du réseau.
 DHCP (Dynamic Host Configuration Protocol) :
 attribue automatiquement la configuration IP aux
machines du réseau
 configuration IP = masque de sous-réseau + adresse
IP
89
 IPv6 IPv6
 Pourquoi ? Adressage IPv6
 Épuisement des adresses IPv4 à 32 bits  Notation hexadécimale sur 16 octets
 Complexité du routage (tables de routages complexes)
Exemple : 5f06:b500:89c2:a100:0000:0800:200a:3ff7
 Croissance soutenue et nouveaux marchés
Forme abrégée : 5f06:b500:89c2:a100::0800:200a:3ff7
 Principaux changements : Forme mixée IPv4 / IPv6 : x:x:x:x:x:x:d:d:d:d
 adressage étendu (128 bits au lieu de 32)
Ex : fe80::9de7:5a4c:f069:10.10.43.101
 Fonctions multicast améliorées
 quantité d’adresses quasi illimitée
 Qualité de service (notamment temps réel)
 En-tête IP simplifié (7 champs au lieu de 14)  Hiérarchie à 4 niveaux, basée sur la géographie et la
  routage simplifié topologie : simplifie le routage
 mobilité des ordinateurs sans changer d’adresse  Plusieurs adresses pour un même équipement :
 Sécurité (mécanismes d’authentification, cryptage, intégrité des  adresse lien-local : identifie l’hôte sur un (sous-)réseau
données)  adresse site-local : identifie l’hôte sur un site
 adresse globale : identifie l’hôte mondialement, unique.
94 95

Routeurs
 Équipement réseau complexe comprenant les couches de protocoles de
niveau physique, liaison et réseau (accède aux adresses MAC et IP)
 Émission du paquet par le port de sortie approprié en fonction de
l’adresse IP du destinataire.
TCP/IP  souvent équipement dédié (CISCO, 3Com, Lucent, Alcatel ...)
 parfois ordinateur avec plusieurs cartes réseaux + logiciel de routage.
 supporte toute topologie (y compris boucles et liens redondants),
 Dans un réseau Ethernet : passerelle vers tout autre réseau
Routage  Dans un réseau maillé : sélection du chemin le plus approprié.
 Éventuellement, modification des protocoles (en-têtes) ou fragmentation
des données afin de permettre le transit sur un autre type de réseau.
 Comprend des tables de routage construites soit manuellement, soit
dynamiquement par l'intermédiaire de protocoles spécialisés.

96
 Filtre : bloque les messages erronés, les messages de diffusion 97
« internes ».
 Algorithme de routage
 Chaque routeur possède des informations sur son
entourage sous forme d’une table de routage.
 Table de routage = associe chaque réseau connu à un
routeur voisin, auquel le paquet sera envoyé.
 Les tables de routages dynamiques sont construites par le TCP/IP
routeur à l’aide d’un algorithme de routage.
 Principe d’un algorithme de routage :
 Un routeur envoie à ses voisins les réseaux auquel il est
directement relié ; TCP et UDP
 Ces informations se propagent de routeur en routeur et
complètent les tables de routage ;
 Modification du réseau  modification des tables
 Exemple : RIP (Routing Information Protocol)
98 99

Utilité de la couche transport Notion de port

 La couche réseau (IP) permet :
 Adressage unique des machines
 routage des données (paquets)
 MAIS :
 Aucune garantie d’arrivée
 Aucun respect de l’ordre des paquets
 Un seul échange à la fois par machine
 Aucun contrôle d’erreur
 1 port = 1 point d’accès dans 1 machine
= « adresse » de service
 Numéro sur 16 bits (0  65535)
 Permet à la machine communicante d’entretenir
plusieurs échanges simultanés.

 Couche transport : Ports : 1093 … 1117 …. 49945

Supervision processus
 Communication de bout en bout Navigation web Télécharge e-mail de production
 Abstraction de la structure du réseau
 Multiplexage Serveur web Port : 80 Serveur mail Port : 110 Serveur données Port : 135

 1 machine / n services
 Contrôle d’erreur
 Fiabilité de la transmission (TCP, mais pas UDP) 100 101
 Notion de port Exemple
 Le protocole HTTP (navigation web)
 Deux classes de ports
 Surcouche de UDP (ou de TCP…)
0  1023 : Ports réservés : « well known ports»
Cf. http://www.iana.org/assignments/port-numbers  Requête HTTP :
 1024  65535 : Ports libres (ou presque)  Le Client demande un port UDP
 Pas d’utilisation précise (quoique…)   1843
 Souvent alloués à la demande, par le système d’exploitation  Le Client envoie un datagramme
 port client (source) : 1843  port serveur (cible) : 80 (réservé
HTTP)
 Le Serveur envoie une réponse (page Web)
 port serveur (source) : 80  port Client (cible): 1843
 Le port 1843 est rendu à la machine Client

102 103

UDP Le protocole TCP

 UDP : User Datagram Protocol
 Protocole léger : en-tête de 8 octets :
 TCP : Transmission Control Protocol
 Port source (2 octets)  Mêmes fonctionnalités que UDP, avec en plus :
 Port destination (2 octets) 1) Segmentation des gros messages en paquets ;
 Longueur en-tête+ données (2octets)
 Somme de contrôle (2 octets) : 2) Communication en mode connecté
 Permet le multiplexage temporel (grâce aux ports) Principe : vérifier la présence du destinataire avant l’envoi
 = plusieurs programmes de la station utilisent le réseau
de données :
en même temps  Ouverture d’un dialogue

 Permet le contrôle d’erreur (grâce au Checksum)  Communication Full-Duplex

 Aucune garantie d’arrivée  Fermeture du dialogue

 Adapté aux réseaux locaux et aux messages « courts »  La connexion sécurise la communication
(non segmentés)  Ordre garanti des paquets
104 105
 Arrivée garantie (utilisation d’accusés de réception)
 Notion de segments Accusés de réceptions
Comment garantir l’arrivée des paquets ?
 UDP gère des blocs de données
 Accusé de réception :
 TCP gère une communication
Machine 1 Machine 2
 Échange soutenu entre deux machines
 Quantité de donnée importante : peut dépasser la Envoi de message
taille supportée par le réseaux
Réception
 Taille totale des données inconnue à l’avance : Accuse réception
segmentation à la volée Reçoit accusé
(= couper le message en paquets de taille gérable Envoi suite du message
par le réseau) Trop long !
Ré-envoi du message
Réception
Accuse réception
106 107

Fenêtres TCP Conclusion

 Idée : prendre de l’avance sur les réponses  La couche 4 améliore les services de la couche
  fenêtre glissante réseau (IP)
 UDP
 Multiplexage de services
D0 D1 D2 D3 D4 D5  Contrôle d’erreur
 Protocole très léger
 TCP
 Multiplexage de services
 Contrôle d’erreur
 Service garanti
 Segmentation des données lourdes , reconstitution du message à
l’arrivée
 Accusés de réception  arrivée garantie des segments
108 113
 NAT (Network Adress Translation) NAT statique
 Permet aux machines d’un réseau privé d’accéder à Internet
(adresses IP privées non routables)  Principe :
 La NAT remplace l’adresse source privée dans l’en-tête IP par une  Chaque adresse privée est associée systématiquement
adresse IP publique qui lui est propre, et vice versa. à une adresse publique précise ;
 Généralement effectuée par les routeurs.
 Pour accéder à Internet sans blocage, il faut autant
d’adresse publiques que de machines sur le réseau
privé.
 (Gros) inconvénient :
 Ne résout pas le problème de pénurie d’adresses ;
 Avantage :
 Permet de garder un adressage uniforme en interne :
administration facilitée.
Deux familles : NAT statique et NAT dynamique
114  Conclusion : méthode basique 115

NAT dynamique NAT et IPv6

 Principe :
 Associer madresses privées à n adresses publiques, Quantité d’adresses sous IPv6 = inépuisables
avec n<<m (souvent n=1=adresse publique du routeur)
 Pas d’adresse « privée » sous IPv6
 Avantage :
 Pas de NAT sous IPv6
 Permet à plusieurs machines d’accéder à internet avec
une seule adresse IP publique
 Problème :
 Quand la réponse arrive au routeur, comment peut-il
identifier le destinataire ?
 Solution : Ajout d’un PAT (Port Adress Translation)

NAT dynamique = modification d’adresse +

modification de numéro de port
(le numéro de port identifie l’expéditeur) 116 117
 Quoi et pourquoi
Avec l’avènement de l’informatique et des réseaux, les
entreprises ont eu besoin de relier leurs différents sites.
Solution 1 : faire poser ou acheter une ligne privée entre
Réseaux les deux sites.

Ethernet/TCP/IP

Réseau Privé Virtuel

VPN Inconvénients :
- Très coûteux (d’autant plus que les sites sont éloignés) ;
- Ligne peu rentabilisée ;
118 - Maintenance à gérer 119

Quoi et pourquoi Quoi et pourquoi

Solution 2 : Utiliser une « ligne louée » à un opérateur de Solution 3 : Utiliser une liaison internet xDSL ou fibre,
téléphonie. fournie par un opérateur (FAI)

firewall firewall

Inconvénients :
- Coûteux ; Inconvénients :
- Problème de fiabilité et de confidentialité (une partie de la -Problème de fiabilité et de confidentialité (réseau partagé)
liaison passe souvent par le réseau partagé, avec une
bande passante dédiée)
120 121
 Solution sûre et peu coûteuse : VPN
Un VPN ou RPV (réseau privé virtuel) est une technique
permettant à un ou plusieurs postes distants de
communiquer de manière sure et confidentielle.
Il permet d'utiliser les infrastructures publiques (Internet).
Tunnel VPN
Les VPN ont permis de démocratiser ce type de liaison.
122
Protocole de tunneling
Un réseau VPN repose sur un protocole de tunneling.
= faire circuler les informations de l'entreprise de façon
cryptée d'un bout à l'autre du tunnel.
 Les utilisateurs ont l'impression de se connecter
directement sur le réseau de leur entreprise.
Tunneling = construire un chemin virtuel après avoir
identifié l‘émetteur et le destinataire.
La source chiffre les données et les achemine en
empruntant ce chemin virtuel.
Le protocole de tunneling encapsule les données (ajout
d’en-tête.)
Tunneling = encapsulation + transmission + décapsulation.124
Rôle du pare-feu : cybersécurité
 Pare-feu ou firewall :
 Appareil dédié, ou fonctionnalités d’un routeur, ou logiciel
sur un PC
 Sépare un réseau local privé d’un réseau étendu public,
où la confiance est nulle.
 Filtre les paquets, généralement en fonction des ports
source ou destinataire.
 En effet, un port est souvent dédié à une application
précise  bloquer le port permet de bloquer l’application
 Certaines applications permettent en effet d’avoir accès à
certaines données (ex : HTTP)
 Peut comporter lui-même des fonctionnalités VPN.
Avantages d’un VPN
 Sécurité : assure des communications sécurisées et
chiffrées ;
 Simplicité : utilise les circuits de télécommunication
classiques ;
 Economie : utilise Internet en tant que media principal
de transport, ce qui évite les coûts liés a une ligne
dédiée.
125
 Contraintes d’un VPN
Le principe d'un VPN est d‘être transparent pour les
utilisateurs et pour les applications y ayant accès.
Il doit être capable de mettre en œuvre les fonctionnalités
suivantes :
● Authentification d'utilisateur : seuls les utilisateurs
autorises peuvent avoir accès au canal VPN;
● Cryptage : lors de leur transport sur Internet, les données
sont protégées par un cryptage efficace;
● Gestion de clés : les clés de cryptage pour le client et le
serveur doivent pouvoir être générées et régénérées
(pertes, vols, licenciement…);
● Multi protocoles : le VPN doit supporter les protocoles
les plus utilisés sur Internet (en particulier IP). 126
Wi-Fi
Introduction
136
En savoir plus sur les réseaux...
 Transmissions et réseaux, S. Lohier et D. Présent, Dunod
 Les réseaux, G. Pujolle, Eyrolles (très complet)
 Introduction aux réseaux, même auteur et éditeur (plus
synthétique)
 Réseaux, A. Tannenbaum, Pearson Education
 Transmission dans les réseaux informatiques, R. Dapoigny,
Gaëtan Morin Ed.
127
Historique
 1997 : Première norme IEEE 802.11 : normalisation des
WLAN (réseaux locaux sans fil)
 1999 : association de plusieurs constructeurs de matériels
pour réseaux sans fil normalisés 802.11b : Wireless
Ethernet Compatibility Alliance (WECA)
 Interopérabilité des matériels
 Promotion des réseaux sans fils
 La WECA dépose la marque (Wireless Fidelity),
vendue aux fabricants respectant la norme 802.11
 2003 : la WECA devient Wi-Fi Alliance
 Aujourd’hui : >260 membres
137
 Mode « ad hoc » Mode infrastructure
 IBSS : Independant Basic Set Service
Portail BSS (Basic Service Set) :
Système de distribution
cellule de base.

Les machines Station ESS (Extended Service

AP AP Set) : ensemble des
communiquent
en point à point cellules de base.
Station Station AP (Access Point) : point
Station Station Station Station d’accès ou borne. Joue le
rôle d’un hub.
Station
Station Station Système de distribution :
LAN filaire (en général
BSS BSS
Avantage : aucune infrasctructure à mettre en place Ethernet)
Inconvénient : faible capacité (nombre de stations, débit,
Le plus utilisé dans les réseaux d’entreprise
distance)  logiciels de routage 138 139

Avantages du Wi-Fi Inconvénients du Wi-Fi

 Large bande passante  débit usage professionnel
 Économies de câblage
 Facilité de déploiement
 Structure non intrusive (ex : sites classés)
 Mobilité
 Interopérabilité avec les réseaux filaires (Ethernet)
 réseau de taille importante en mode infrastructure
 Sensible aux interférences : micro-ondes, champs
électromagnétiques (moteurs), …
 Échos, chemins multiples
 Absorption des ondes radio par les obstacles
 Réglementation (fréquences et puissance d’émission
limitées par l’Etat)
 « Support » commun à plusieurs stations  débit divisé
 Sanitaire : Effet des ondes radio inconnu à long terme.
 Problèmes de sécurité et confidentialité

 La norme 802.11 adapte le protocole Ethernet au

sans-fil en tenant compte de ces caractéristiques
140 141
 Wi-Fi et modèle OSI
 Le Wi-Fi est situé sur les 2 couches
inférieures du modèle OSI (physique
et liaison),
 Correspond à la couche « accès réseau »
du modèle TCP/IP Wi-Fi
 comme tous les protocoles IEEE 802 (ex :
Ethernet) TCP, UDP

IP
 IP, TCP et autres protocoles de
couche supérieure fonctionnent aussi
Couche physique
bien sous 802.11 (Wi-Fi) que sous
802.3 (Ethernet)

142 143

Fréquences utilisées Itinérance (Roaming) - 802.11f

 Les émissions à fréquences radio sont contrôlées par les
États.
 1985 : les USA libèrent des bandes de fréquence pour
l'Industrie, la Science et la Médecine (ISM)
 902-928 MHz, 2.400-2.485 GHz, 5.150-5.850 GHz
 La norme 802.11 utilise les bandes 2,4 GHz et 5 GHz.
 14 canaux sont utilisables dans la bande 2,4 GHz :
Plusieurs réseaux peuvent cohabiter, à condition de ne pas interférer
(ne pas utiliser le même canal)
 Objectif : service continu en mobilité en mode
infrastructure
 Couverture totale d’une zone spatiale par les BSS
(habitation, entreprise…)
 Une attribution vigilante des canaux lors de la
configuration permet d’éviter les interférences.

 28 canaux utilisables dans la bande des 5 GHz

144 145
 Normes physiques du Wi-Fi Différents chiffrements
Les réseaux Wi-Fi sont particulièrement vulnérables et
 Origine nécessitent l’emploi de protocole de sécurité :
802.11 : 2 Mbits/s (1997)  WEP (Wired Equivalent Privacy)
 Evolutions  Protocole de chiffrement utilisant une clef de 64 ou 128 bits
 802.11a (1999): 5 GHz, 54 Mbits/s, portée 35m (incompatible  Grands nombres de faille : vulnérable et obsolète
avec les autres normes)
 WPA (Wifi Protected Access)
 802.11b (1999): 2,4 GHz, 11 Mbits/s, portée 25m.
 Cryptage + authentification
 802.11g (2003): 2,4 GHz, 54 Mbits/s, portée 40m
 4 clefs de chiffrement
 802.11n (2009): 2,4 GHz (ou 5GHz), 250 Mbps, portée 80m,
 WPA-PSK (Pre-Shared Key) : version légère, premier protocole
compatible avec 802.11b et g (si 2,4 GHz et sauf matériel très
ancien) grand public sérieux
 802.11ac (2014) : 5 GHz, jusque 3,5 Gbps, portée 35m (300m en  WPA2-PSK (normalisé IEEE 802.11i)
extérieur), rétrocompatible avec 802.11n (bande 5GHz)  Protocole le plus sécurisé à ce jour
 Filtrage par adresse MAC : efficace mais lourd à mettre en
oeuvre.
151 154