Réseau Ccna4

Accès au réseau étendu Prof : ABAZINE Karima
Réseaux informatiques : Accès au réseau étendu
I. Présentation des réseaux étendus

Objectifs :
- Décrire comment l’architecture d’entreprise Cisco fournit des services intégrés sur un réseau
d’entreprise.
- Décrire les principaux concepts de la technologie de réseau étendu.
- Sélectionner la technologie de réseau étendu adaptée aux diverses exigences de l’entreprise.
1) Offre de services intégrés à l’entreprise
1. Présentation des réseaux étendus
Caractéristiques :
- Zone géographique plus étendue que les LAN
- Utilisent des fournisseurs de réseau
- Utilisent divers types de connexions série
2. Evolution de l’entreprise
Petit bureau (réseau local unique) : La société utilise un réseau local unique pour partager des
informations entre des ordinateurs, et pour partager des périphériques, notamment des imprimantes…
Campus (plusieurs réseaux locaux) : Au fur et à mesure que l’entreprise s’est développée, son
réseau s’est également étendu. Au lieu d’un réseau local unique de petite taille, le réseau est désormais
constitué de plusieurs sous-réseaux, chacun dédié à un service spécifique.
Agence (réseau étendu) : La société décide d’utiliser des lignes dédiées privées fournies par le
fournisseur local de services. Cependant, pour les bureaux situés dans d’autres pays, Internet est
désormais une option de connexion de réseau étendu intéressante. Même si la connexion de bureaux via
Internet est économique, elle implique des problèmes de sécurité et de confidentialité pour l’équipe
informatique.
Distribué (Global) : Pour augmenter sa rentabilité, la société doit réduire ses coûts d’exploitation. La
société a décidé de déménager certaines de ces installations dans des régions moins chères. Elle
encourage également le télétravail et les équipes virtuelles. Des applications Web, notamment les
conférences Web, l’apprentissage en ligne, et les outils de collaboration en ligne sont utilisés pour
augmenter la productivité et réduire les coûts.
Confusion : Structure LAN et structure WAN et structure d'entreprise

3. Evolution du modèle de réseau
Le modèle de réseau hiérarchique divise un réseau en trois couches :
Couche d’accès : permet à un utilisateur d’accéder aux périphériques réseau. Dans un campus de
réseau, la couche d’accès intègre généralement des périphériques de réseau local commutés
Couche de distribution : agrège les locaux techniques, en utilisant des commutateurs pour segmenter
des groupes de travail et pour isoler les problèmes de réseau au sein d’un environnement de campus.
Couche cœur de réseau (également appelée réseau fédérateur) : réseau fédérateur à haut débit
conçu pour commuter des paquets le plus rapidement possible. Le cœur de réseau étant un élément
1
essentiel pour la connectivité, il doit fournir une disponibilité élevée et s’adapter très rapidement aux
changements. Il offre également des capacités d’évolutivité et de convergence rapide.
Diverses architectures d'entreprise :
2) Concepts de la technologie de réseau étendu

1. Vue d’ensemble de la technologie de réseau étendu
Concerné par les couches 1 et 2 du modèle OSI
2. Concept de la couche physique de réseau étendu

Terminologie :
- Equipement d'abonné (CPE) : périphériques et câblage interne situés chez l’abonné et connectés
via le canal de télécommunications d’un opérateur.
- Equipement de communication de données (DCE) ou équipement de terminaison de circuit de
données (ETCD) : L’équipement de communication de données fournit principalement une interface
visant à connecter des abonnés à une liaison de communication sur le nuage de réseau étendu.
- Equipement terminal de traitement de données (ETTD) : périphériques de client qui transmettent
des données depuis le réseau d’un client ou l’ordinateur hôte pour une transmission sur le réseau étendu.
- Point de démarcation : point établi dans un bâtiment ou un complexe pour séparer l’équipement
du client de celui du fournisseur de services.
- Boucle locale : câble ou last-mile : câble téléphonique de cuivre ou à fibre optique qui connecte
l’équipement d’abonné sur le site de l’abonné au central téléphonique du fournisseur de services.
- Central téléphonique (CO) : comprenant des lignes de communications grande distance
2
Périphériques de réseau étendu :

- Modem
- CSU / DSU ( Channel/Data Service
Unit) : conversion de lignes numériques T1 ou T3
ou système multiplex T
- Serveur d'accès concentrateur des
communications utilisateurs
- Commutateur de réseau étendu pour frame
- Relay, ATM, X25, réseaux RTPC et RNIS
- Routeur pour l'interconnexion de réseau
- Routeur de cœur de réseau
Normes de la couche physique de réseau
Etendu :
- ETTD : équipement terminal de traitement des données (côté utilisateur du réseau WAN)
- DCE : équipement de terminaison de circuit de données (côté fournisseur de réseau WAN)
- description des normes électriques, mécaniques, opérationnelles et fonctionnelles
- normes couche physique :
- EIA/TIA-232
- EIA/TIA-449/530
- EIA/TIA-612/613 (HSSI)
-V.35
- X.21
3. Concept de la couche liaison de données de réseau étendu
Protocoles de liaison de données : définissent la manière dont les
données sont encapsulées en vue d’être transmises vers des sites
distants, ainsi que les mécanismes de transfert des trames obtenues.
Différentes technologies sont utilisées : HDLC, PPP, Frame Relay,
ATM, X25, RNIS
Encapsulation de réseau étendu :
Formats d'encapsulation : dans l'en-tête :

- adresse (une adresse de diffusion sur une
liaison ppp)
-contrôle
-protocole(identification du protocole de couche 3 voulu)
4. Concept de commutation de réseau étendu
Commutation de circuits :
- établissement d'un circuit ou canal entre des nœuds
et des terminaux via lequel passe la communication
- Le multiplexage temporel TDM permet de partager la
connexion plusieurs canaux
- deux technologies: RTPC et RNIS
Commutation de paquets :
- données fractionnées en paquets– pas de canal dédié
- sans connexion : avec transport des données d'adresse
- avec connexion : route prédéterminée – avec identificateur de contrôle de liaison de données
DLCI ou circuit virtuel CV
- liaison partagées --> moins coûteuses mais les délais (latence) et la variabilité des délais (gigue) plus
important.
3
- Circuit virtuel (CV) :

- Circuit virtuel permanent (PVC) : permanent et plus coûteux
- Circuit virtuel commuté (SVC) : commuté et temporaire et à la demande
- connexion à un réseau à commutation de paquets via un point de présence POP
- ligne dédiée louée (X,25, Frame Relay, ATM)
- se compose de plusieurs CV
3) Option de connexion de réseau étendu

1. Options de connexion de liaisons de réseau étendu
Les connexions de réseau étendu peuvent se trouver sur une infrastructure privée ou publique telle
qu’Internet.
Options de connexion de réseau étendu privé : incluent des options de liaison de communication
dédiée et commutée (commutation de circuits ou de paquets).
Options de connexion de réseau étendu publique utilisent l’infrastructure Internet globale utilisent
l’infrastructure Internet globale
2. Options de liaison de connexion dédiée

Lignes louées : Lorsque des connexions dédiées permanentes sont requises, une liaison point à point
est utilisée pour fournir un chemin de communication de réseau étendu préétabli entre les locaux du client
et une destination distante par l’intermédiaire du réseau du fournisseur d’accès.
Les lignes louées peuvent présenter des capacités variées, et leur prix dépend généralement de la bande
passante requise et de la distance entre les deux points de connexion.
Types de lignes louées : 56 56Kbits/s
64 64 Kbits/s
T1 1,544M bits/s
E3 34,064M bits/s
T3 44,736M bits/s
3. Options de connexion à commutation de circuits
Accès commuté analogique : Lorsque des transferts de données intermittents de faible volume sont
nécessaires, les modems et les lignes téléphoniques commutées analogiques fournissent des connexions
commutées de faible capacité et dédiées.
Avantages :simple, disponible, faible coût d'implémentation
Inconvénient : faible débit, temps de connexion long
4
RNIS (réseau numérique à intégration de services) : Les réseaux RNIS constituent une technologie
à commutation de circuits qui permet à la boucle locale d’un RNIS de transporter des signaux
numériques, offrant ainsi des connexions commutées de plus haute capacité. RNIS fait passer les
connexions internes du RTPC de signaux analogiques à des signaux numériques de multiplexage
temporel (TDM - Time Division Multiplexed) sous forme de sous-canaux. (voir Protocole PPP)
On distingue deux types d’interfaces RNIS :
- Interface de base RNIS (BRI) : pour individuels et petites entreprises (2 canaux B + 1 canal D)
- Accès primaire (PRI) : 23(EUR) à 30(USA) canaux B (64 Kbits) et un canal D (16Kbits)
NB : - inadéquat pour la vidéo
- adéquat pour communications orales simultanées
- est utilisé comme appoint et comme ligne de secours
4. Options de connexion à commutation de paquets
Les technologies de commutation de paquets les plus utilisées aujourd’hui dans les réseaux étendus
d’entreprise sont le relais de trames, ATM et X.25 traditionnel.
X25
- protocole de couche réseau
- applications: lecteur de carte de paiement
- création d'un circuit virtuel identifié par un n° de canal
- bas débit et latence élevée, coût peu élevé
- système en déclin et sont progressivement remplacés par des nouvelles technologies de couche 2
telles que le relais de trames, ATM et ADSL.
Frame Relay ou Relais de trames
- protocole de couche liaison de données
- pas de contrôle de flux et d'erreur
- circuits virtuels souvent permanents
- application : réseaux locaux d'entreprise pour transfert de voix et données-
ATM (Asynchronous Transfer Mode, mode de transfert asynchrone)
- application : transfert de voix, vidéo et données sur réseaux privés/publics
- architecture à cellules (et non trames) de 53 octets (tare de 5 octets)
5. Options de connexion Internet
Services à large bande : Les options de connexion à large bande sont généralement utilisées pour
connecter via Internet des télétravailleurs au site de l’entreprise. Les options disponibles sont les
suivantes : câble, DSL et sans fil.
DSL
- technologie de connexion permanente via FAI
- lignes téléphoniques (paires torsadées)
- modem DSL
- multiplexage des lignes(DSLAM)
Modem câble
- connexion permanente via un câble coaxial et un modem câble
- un FAI est associé au headend (système de terminaison du modem câble - CMTS)
Sans Fil à large bande
- utilise les radiofréquences sans licence
- système Wi-fi municipal via un adaptateur plus puissant que les modèles classiques
- système Wimax de portée mondiale via un accès à une tour Wimax (15 km)
- Internet par satellite via une antenne parabolique et 2 modems
Technologie de réseau privé virtuel (VPN) : L’utilisation par un télétravailleur ou un bureau distant
de services à large bande pour accéder au réseau étendu d’une entreprise présente des risques en termes
de sécurité. Pour répondre à ces préoccupations de sécurité, les services à large bande offrent la
possibilité d’utiliser des connexions de réseau privé virtuel vers un serveur de réseau privé virtuel,
généralement situé dans les locaux de l’entreprise.
Un réseau privé virtuel est une connexion chiffrée entre des réseaux privés sur un réseau public tel
5
qu’Internet. Au lieu d’utiliser une connexion de couche 2 dédiée telle qu’une ligne louée, un réseau privé
virtuel utilise des connexions virtuelles appelées tunnels de réseau privé virtuel, qui sont acheminées via
Internet depuis le réseau privé de l’entreprise vers le site distant ou l’hôte de l’employé.
Avantages : économique, sécurité, extensible, compatible large bande
Types : VPN site à site ou VPN à accès à distance
Métro Ethernet : est une technologie de réseau en rapide évolution qui étend Ethernet aux réseaux
publics gérés par des sociétés de télécommunications. Les commutateurs Ethernet compatibles IP
permettent à des fournisseurs de services d’offrir aux entreprises des services convergés de voix, de
données et vidéo tels que la téléphonie IP, la lecture audio en continu, le traitement de l’image et le
stockage de données.
Avantages : réduction de coûts, intégration simplifiée, productivité améliorée
Sélection d'une connexion de liaison de réseau étendu :
4) Travaux pratiques
Révision avancée
II. Protocole PPP
Objectifs :
 Décrire les concepts fondamentaux de la communication série point à point.
 Décrire les concepts essentiels du protocole PPP.
 Configurer l’encapsulation PPP.
 Expliquer et configurer l’authentification PAP et CHAP.
1) Liaisons série point à point
6
1. Présentation des communications série

Les ordinateurs utilisent des connexions parallèles relativement courtes pour relier des composants
internes, mais requièrent des bus série pour convertir des signaux pour la plupart des communications
externes.
 Avec une connexion série, les informations circulent sur un fil, un bit de données à la fois. Le
connecteur série à 9 broches présent sur la plupart des PC utilise deux boucles de fil, une dans chaque
direction, pour la communication des données, ainsi que des fils supplémentaires pour contrôler le flux
d’informations. Quelle que soit la direction des données, celles-ci circulent toujours sur un seul fil.
 Une connexion parallèle envoie les bits sur plusieurs fils simultanément. Avec le port parallèle à
25 broches de votre PC, huit fils porteurs de données acheminent 8 bits simultanément.
Dans une connexion parallèle, certains bits arrivent à destination plus tard que les autres. C’est ce
qu’on appelle la distorsion d’horloge.
Normes de communication série : Trois normes principales de communication série affectent les
connexions réseau local vers réseau étendu :
RS-232 : La plupart des ports série d’ordinateurs personnels sont conformes à la norme RS-232C ou
aux normes plus récentes RS-422 et RS-423.
V.35 : Utilisée généralement pour des communications modem vers multiplexeur, cette norme de
l’UIT pour les échanges de données synchrones et à haut débit combine la bande passante de plusieurs
circuits téléphoniques.
HSSI : La norme HSSI (High-Speed Serial Interface, interface série à haut débit) prend en charge des
débits de transmission allant jusqu’à 52 Mbits/s.
2. Multiplexage temporel
- Le multiplexage temporel partage le temps de transmission
disponible sur un support en attribuant des tranches de temps
aux utilisateurs.
- Le multiplexeur (MUX) accepte les données provenant de
périphériques reliés par recherche séquentielle, puis transmet les données de façon continue.
- Les lignes T1/E1 et les lignes téléphoniques RNIS sont des exemples courants de multiplexage
temporel synchrone.
Le multiplexage temporel statistique (STDM) utilise une longueur de tranche de temps variable
permettant à des canaux de convoiter les espaces disponibles. Il utilise une mémoire tampon qui stocke
temporairement les données lors des périodes de trafic intense.
Exemples de multiplexage temporel
RNIS est un exemple de technologie utilisant le multiplexage temporel synchrone. RNIS accès de base
(BRI) comporte trois canaux, à savoir deux canaux B à 64 Kbits/s (B1 et B2) et un canal D à 16 Kbits/s.
Le secteur des télécommunications utilise les normes SONET ou SDH pour le transport optique de
données de multiplexage temporel.
DS0 (Digital Signal Level Zero, ligne logique DS-0) est
l’unité d’origine utilisée pour multiplexer des appels téléphoniques
est 64 Kbits/s, ce qui représente un appel téléphonique.
La porteuse T désigne le groupement de plusieurs DS0.
Par exemple, un T1 = 24 DS0, un T1C = 48 DS0 (ou 2 T1), etc.
7
3. Point de démarcation
Le point de démarcation désigne l’endroit où votre réseau communique avec le réseau détenu par une
autre organisation. Dans la terminologie téléphonique, il s’agit de l’interface située entre des équipements
d’abonné (CPE) et des équipements de fournisseur de services réseau.
4. ETTD et DCE
Une connexion série possède un périphérique ETTD à une extrémité de la connexion et un
périphérique DCE à l’autre extrémité.
L’équipement d’abonné, généralement un routeur, constitue l’ETTD. Il peut s’agir également d’un
terminal, d’un ordinateur, d’une imprimante ou d’un télécopieur.
Le DCE, généralement un modem ou une unité CSU/DSU, est l’équipement servant à convertir les
données utilisateur de l’ETTD en une forme compatible avec la liaison de transmission du fournisseur de
services de réseau étendu.
L’interface ETTD/DCE d’une norme particulière définit les spécifications ci-dessous :

 Mécanique/physique - Nombre de broches et type de connecteur
 Électrique - Définit les niveaux de tension pour 0 et 1
 Fonctionnelle - Spécifie les fonctions exécutées en attribuant des significations à chacune des
lignes de transmission de l’interface
 Procédurale - Spécifie la séquence d’événements pour la transmission des données
Conversion parallèle vers série
5. Encapsulation HDLC
Protocoles d’encapsulation de réseau étendu
 HDLC : Type d’encapsulation par défaut sur des connexions point à point, des liaisons dédiées et
des connexions à commutation de circuits lorsque la liaison utilise deux périphériques Cisco.
 PPP : Fournit des connexions entre des routeurs et entre un hôte et un réseau au moyen de circuits
synchrones et asynchrones. Le protocole PPP fonctionne avec plusieurs protocoles de couche réseau, tels
qu’IP et le protocole IPX (Internetwork Packet Exchange, échange de paquets entre réseaux). Le
protocole PPP possède également des mécanismes intégrés de sécurité, tels que PAP et CHAP.
 Serial Line Internet Protocol (SLIP) : Protocole standard pour les connexions série point à
point, qui utilise TCP/IP. SLIP a été largement remplacé par PPP.
 X.25/Procédure d’accès en mode équilibré (Link Access Procedure, Balanced, LAPB) :
Norme d’ITU-T qui définit comment maintenir des connexions entre ETTD et DCE pour permettre
l’accès à distance à des terminaux et la communication entre ordinateurs
dans un réseau public de données.
 Frame Relay : Protocole standard commuté de commutation de
couche liaison de données qui gère de multiples circuits virtuels.
 ATM : Norme internationale en matière de relais de cellules, selon
laquelle des périphériques envoient des types de services multiples (tels que
8
la transmission de la voix, des données ou des vidéos) dans des

cellules de longueur fixe (53 octets).
Encapsulation HLDC
Types de trame HDLC
6. Configuration de l’encapsulation HDLC

Deux étapes sont nécessaires pour activer l’encapsulation HDLC :
Étape 1 : Passez en mode de configuration d’interface de l’interface série.
Étape 2 : Entrez la commande encapsulation hdlc pour spécifier le protocole d’encapsulation de
l’interface.
Router(config-if)#encapsulation hdlc
7. Dépannage d’une interface série
La sortie de la commande show interfaces serial présente des informations spécifiques des interfaces
série. Quand HDLC est configuré, « Encapsulation HDLC » doit apparaître dans la sortie.
La commande show interface serial renvoie un des cinq états possibles :
 L’interface série x est désactivée et le protocole de ligne est désactivé (Serial x is down, line
protocol is down)
 L’interface série x est activée et le protocole de ligne est désactivé (Serial x is up, line protocol is
down)
 L’interface série x est activée et le protocole de ligne est activé (en boucle) (Serial x is up, line
protocol is up (looped))
 L’interface série x est activée et le protocole de ligne désactivé
(Serial x is up, line protocol is down (disabled))
 L’interface série x est désactivée pour des raisons
d’administration (administratively down) et le protocole de ligne est désactivé (Serial x is
administratively down, line protocol is down)
La commande show controllers est un autre outil de diagnostic important pour le dépannage des
lignes série. La sortie renvoyée indique l’état des canaux de l’interface et signale la présence ou l’absence
d’un câble. Dans la figure, un câble DCE V.35 est relié à l’interface série 0/0.
2) Concept du protocole PPP
1. Présentation du protocole PPP
HDLC est la méthode d’encapsulation série par défaut lorsque vous connectez deux routeurs Cisco.
Mais lorsque vous souhaitez vous connecter à un routeur non Cisco, vous devez utiliser l’encapsulation
PPP. PPP inclut de nombreuses fonctionnalités qui ne sont pas disponibles dans HDLC :
- La fonctionnalité de gestion de qualité de la liaison contrôle la qualité de la liaison. Si un nombre trop
important d’erreurs est détecté, le protocole PPP désactive la liaison.
9
- Le protocole PPP prend en charge l’authentification PAP et CHAP.

PPP comprend trois composants principaux :
 Le protocole HDLC pour l’encapsulation de datagrammes sur des liaisons point à point.
 Le protocole de contrôle de liaison extensible (LCP, Link Control Protocol) pour établir,
configurer et tester la connexion des liaisons de données.
 Une famille de protocoles de contrôle réseau (NCP, Network Control Protocol) pour établir et
configurer différents protocoles de couche réseau.
2. Architecture en couches PPP
Une architecture en couches est un modèle, une conception ou un plan d’action logique facilitant la
communication entre des couches interconnectées. La figure associe l’architecture en couches du
protocole PPP au modèle OSI (Open System Interconnection). PPP et OSI partagent la même couche
physique, mais le protocole PPP répartit différemment les fonctions LCP et NCP.
Couche LCP (Link Control Protocol, protocole de contrôle de liaison) est la partie active de PPP. Le
protocole LCP est situé au-dessus de la couche physique et permet d’établir, de configurer et de tester la
connexion de liaison de données. Il établit la liaison point à point. Il négocie également et configure des
options de contrôle sur la liaison de données de réseau étendu, qui sont gérées par les protocoles NCP.
 gérer les limites variables de taille de paquets ;
 détecter les erreurs de configuration courantes ;
 mettre fin à la liaison ;
 déterminer si une liaison fonctionne correctement ou présente des défaillances.
Couches NCP incluent des champs fonctionnels comprenant des codes normalisés pour indiquer le
protocole de couche réseau que PPP encapsule. Chaque couche NCP gère les besoins spécifiques requis
par ses protocoles de couche réseau spécifiques. Les divers composants NCP encapsulent et négocient des
options pour des protocoles de couche réseau multiples.
3. Structure de trame PPP
Une trame PPP comporte six champs :
4. Etablissement d’une session PPP

Les trois phases d’établissement d’une session PPP sont :
Phase 1 : Établissement d’une liaison et négociation de la configuration - Pour que des échanges de
datagrammes de couche réseau (par exemple, IP) par le protocole PPP soient possibles, le protocole LCP
doit d’abord ouvrir la connexion et négocier les options de configuration. Cette phase se termine lorsque
le routeur récepteur renvoie une trame d’accusé de réception de configuration vers le routeur établissant la
connexion.
Phase 2 : Détermination de la qualité de la liaison (facultatif) - Le protocole LCP teste la liaison afin
de déterminer si sa qualité est suffisante pour activer les protocoles de couche réseau. Le protocole LCP
peut retarder la transmission des informations du protocole de couche réseau jusqu’à ce que cette phase
soit terminée.
Phase 3 : Négociation de la configuration du protocole de couche réseau - Une fois la qualité de la
liaison déterminée, le protocole NCP approprié peut configurer séparément les protocoles de couche
réseau, puis les activer et désactiver à tout moment. Si le protocole LCP ferme la liaison, il en informe les
protocoles de couche réseau afin qu’ils prennent les mesures qui s’imposent.
10
La liaison reste configurée pour les communications jusqu’à ce que des trames LCP ou NCP explicites
ferment la liaison ou qu’un événement extérieur se produise. Le protocole LCP peut fermer la liaison à
tout moment. Cela se produit généralement lorsqu’un des routeurs demande la fermeture, mais également
en cas d’événement physique tel que la perte d’un opérateur ou l’expiration d’un compteur de période
d’inactivité.
5. Etablissement d’une liaison avec LCP

Le protocole LCP participe à l’établissement, la maintenance et la fermeture d’une liaison. Il utilise
trois classes de trames LCP pour effectuer le travail de chaque phase LCP :
 les trames d’établissement de liaison ouvrent et configurent une liaison (Configure-Request,
Configure-Ack, Configure-Nak et Configure-Reject) ;
 les trames de maintenance de liaison gèrent et déboguent une liaison (Code-Reject, Protocol-
Reject, Echo-Request, Echo-Reply et Discard-Request) ;
 les trames de fermeture de liaison mettent fin à une liaison (Terminate-Request et Terminate-
Ack).
Lors de la maintenance de liaison, le protocole LCP peut utiliser des messages pour fournir un retour
d’informations et tester la liaison.
 Code-Reject et Protocol-Reject - Ces types de trame fournissent un retour d’informations
lorsqu’un périphérique reçoit une trame non valide en raison d’un code LCP non reconnu (type de trame
LCP) ou d’un identificateur de protocole incorrect. Par exemple, si un paquet impossible à interpréter est
reçu en provenance de l’homologue, un paquet Code-Reject est envoyé en réponse.
 Echo-Request, Echo-Reply et Discard-Request - Ces trames peuvent être utilisées pour tester la
liaison.
Paquet LCP
Chaque paquet LCP est un message LCP unique comprenant un champ de code LCP identifiant le type
de paquet LCP, un champ d’identificateur permettant d’associer les demandes à des réponses, et un
champ de longueur indiquant la taille du paquet LCP et des données spécifiques du type de paquet LCP.
11
Options de configuration PPP

Le protocole PPP peut être configuré pour prendre en charge diverses fonctions notamment :
 authentification à l’aide de PAP ou CHAP ;
 compression à l’aide de Stacker ou Predictor ;
 multiliaison qui associe un ou plusieurs canaux en vue d’augmenter la bande passante de réseau
étendu.
6. Présentation de NCP
Une fois la liaison initiée, le protocole LCP passe le relais au protocole NCP approprié. Une fois que le
LCP a configuré et authentifié la liaison de base, le NCP approprié est invoqué pour compléter la
configuration spécifique du protocole de couche réseau utilisé. Lorsque le NCP a configuré le protocole
de couche réseau, le protocole réseau présente l’état ouvert sur la liaison LCP établie. À ce stade, le
protocole PPP peut transporter les paquets de protocole de couche réseau correspondants.
Exemple IPCP
Pour illustrer comment fonctionne la couche NCP, IP, le protocole de couche 3 le plus courant, est
utilisé. Une fois que le protocole LCP a établi la liaison, les routeurs échangent des messages IPCP,
négociant les options propres au protocole. Le protocole IPCP est chargé de la configuration, de
l’activation et de la désactivation des modules IP aux deux extrémités de la liaison.
IPCP négocie deux options :
- Compression : Permet aux périphériques de négocier un algorithme pour compresser des en-têtes
TCP et IP, et économiser de la bande passante. La compression d’en-tête TCP/IP Van Jacobson réduit la
taille des en-têtes TCP/IP à 3 octets minimum. Cela représente une amélioration considérable sur les
lignes série lentes, en particulier pour le trafic interactif.
- Adresse IP : Permet au périphérique demandeur de spécifier une adresse IP à utiliser pour le routage
IP sur la liaison PPP, ou de demander une adresse IP pour le répondeur. Les liaisons de réseau commuté
utilisent souvent l’option d’adresse IP.
Une fois le processus NCP terminé, la liaison passe à l’état ouvert et le protocole LCP reprend le
relais.
12
3) Configuration du protocole PPP

1. Options de configuration PPP
Le protocole PPP peut inclure les options LCP suivantes :
Authentification : Pour l’authentification, les deux choix sont le protocole d’authentification du mot
de passe (PAP, Password Authentication Protocol) et le protocole d’authentification à échanges
confirmés (CHAP, Challenge Handshake Authentication Protocol).
Compression : Augmente le débit effectif des connexions PPP en réduisant la quantité de données
dans la trame qui doit être acheminée sur la liaison.
Détection des erreurs : Identifie les conditions d’échec.
Multiliaison : Le protocole PPP multiliaison (également appelé MP, MPPP, MLP ou Multiliaison)
fournit une méthode de répartition du trafic sur plusieurs liaisons physiques de réseau étendu tout en
assurant la fragmentation et le réassemblage de paquets, le séquençage adéquat, l’interopérabilité
multiconstructeur et l’équilibrage de la charge sur le trafic entrant et sortant.
Rappel PPP : Le client effectue l’appel initial, demande à être rappelé, puis met fin à son appel initial.
Le routeur de rappel répond à l’appel initial et rappelle le client en s’appuyant sur ses instructions de
configuration. La commande est ppp callback [accept | request].
2. Commandes de configuration PPP

Activation du protocole PPP sur une interface
Pour activer l’encapsulation PPP sur l’interface série 0/0 :
R3#configure terminal
R3(config)#interface serial 0/0
13
R3(config-if)#encapsulation ppp
Compression
Pour configurer la compression sur PPP, entrez les commandes suivantes :
R3(config-if)#compress [predictor | stac]
Surveillance de la qualité de la liaison
Cet exemple de configuration contrôle les données ignorées sur la liaison et évite le bouclage de
trames :
R3(config-if)#ppp quality 80
Utilisez la commande no ppp quality pour désactiver LQM.
Équilibrage de la charge sur les liaisons
Les commandes ci-dessous effectuent un équilibrage de la charge sur plusieurs liaisons :
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink
La commande multilink ne présente aucun argument. Pour désactiver le protocole PPP multiliaison,
utilisez la commande no ppp multilink.
3. Vérification d’une configuration de l’encapsulation PPP série
Lorsque vous configurez HDLC, la sortie de la commande show interfaces serial doit afficher
« encapsulation HDLC ». Lorsque vous configurez le protocole PPP, vous pouvez vérifier ses états LCP
et NCP.
4. Dépannage de l’encapsulation PPP

Utilisez la commande debug ppp pour afficher des informations sur le fonctionnement de PPP. La
figure ci-contre affiche la syntaxe de la commande. La forme no de cette commande désactive l’affichage
du message de débogage.
14
Commande debug ppp packet : Une commande utile lors du dépannage de l’encapsulation d’une
interface série est debug ppp packet.
Commande debug ppp negotiation : affiche la sortie lors d’une négociation normale, où les deux
côtés s’accordent sur des paramètres de programme de contrôle de réseau (NCP, Network Control
Program).
Commande debug ppp error : Vous pouvez utiliser cette commande pour afficher des erreurs de protocole et
des statistiques d’erreur associées à la négociation et au fonctionnement de la connexion.
4) Configuration PPP avec l’authentification
1. Protocoles d’authentification PPP
PAP est un protocole bidirectionnel ayant lieu en deux étapes et qui n’utilise pas le chiffrement : les
noms d’utilisateur et mot de passe sont envoyés en clair. S’ils ont acceptés, la connexion est autorisée.
L’authentification a lieu une seule fois. Le nom d’hôte d’un routeur doit correspondre au nom
d’utilisateur configuré sur l’autre routeur.
2. Protocole d’authentification du mot de passe(PAP)

Le protocole PPP présente de nombreuses caractéristiques, dont l’authentification de couche 2, en plus
des autres couches d’authentification qui sont le chiffrement, le contrôle d’accès et les procédures
générales de sécurité.
Initialisation du protocole PAP
Le protocole PAP procure une méthode simple permettant à un nœud distant d’établir son identité à
l’aide d’un échange en deux étapes. PAP n’est pas interactif. Lorsque la commande ppp authentication
pap est utilisée, les nom d’utilisateur et mot de passe sont envoyés en tant que paquet de données LCP
unique, ce qui évite au serveur d’envoyer une invite de connexion et de devoir attendre une réponse.
Sur le nœud récepteur, la combinaison nom d’utilisateur-mot de passe est vérifiée par un serveur
d’authentification qui peut autoriser ou refuser la connexion. Un message d’acceptation ou de rejet est
envoyé au demandeur.
PAP peut être utilisé dans les environnements suivants :
 une base étendue d’applications client qui ne prennent pas en charge CHAP ;
 lorsque des implémentations de CHAP par des fournisseurs multiples sont incompatibles ;
 dans les situations où le mot de passe en clair doit être disponible pour simuler une connexion
sur un hôte distant.
3. Protocole d’authentification à échanges confirmés(CHAP)

Une fois l’authentification établie avec PAP, le
protocole cesse de fonctionner, exposant ainsi le réseau
à d’éventuelles attaques. Alors que le protocole PAP
procède à une seule authentification, le protocole
d’authentification à échanges confirmés (CHAP)
15
effectue des vérifications régulières pour s’assurer que

la valeur du mot de passe du nœud distant est toujours
valide. Cette valeur variable change de façon imprévisible
pendant l’existence de la liaison.
4. Processus d’encapsulation et d’authentification PPP
Le routeur R1 souhaite établir une connexion CHAP PPP authentifiée avec le routeur R2 :
Étape 1 : R1 négocie la connexion de la liaison à l’aide du protocole LCP avec le routeur R2 et les
deux systèmes s’accordent à utiliser l’authentification CHAP lors de la négociation LCP PPP.
Étape 2 : Le routeur R2 génère un ID et un numéro aléatoire,
et envoie ces informations ainsi qu’un nom d’utilisateur sous
forme de paquet de demande de confirmation CHAP à R1.
Étape 3 : R1 utilisera le nom d’utilisateur du demandeur
(R2) et le comparera à sa base de données locale pour
trouver le mot de passe associé. R1 générera un numéro de
hachage MD5 unique en utilisant le nom d’utilisateur, l’ID, le numéro
aléatoire et le mot de passe secret partagé de R2.
Étape 4 : Le routeur R1 envoie l’ID de demande de
confirmation, la valeur hachée et son nom d’utilisateur (R1) à R2.
Étape 5 : R2 génère sa propre valeur de hachage en utilisant l’ID, le mot de passe secret partagé et le
numéro aléatoire envoyé à l’origine à R1.
Étape 6 : R2 compare sa valeur de hachage à la valeur envoyée par R1. Si ces valeurs sont identiques,
R2 envoie une réponse d’établissement de liaison à R1.
5. Configuration PPP avec l’authentification
Commande ppp authentication
Configuration de l’authentification PPP
6. Dépannage d’une configuration PPP avec authentification
16
17
III. Protocole Frame Relay

1) Réseau local sans fil
Frame Relay est un protocole de réseau étendu qui agit au niveau des couches physique et liaison de
données du modèle OSI.
Ce protocole est utilisé par les fournisseurs d’accès pour transmettre des signaux vocaux et numériques
entre réseaux locaux par l’intermédiaire d’un réseau étendu.
Frame Relay est un protocole de réseau étendu très répandu car il est de faible coût par rapport aux
lignes dédiées et d’une grande flexibilité.
A la fin des années 70, des sites distants étaient généralement reliés en utilisant le protocole X. 25. Ce
protocole permettait d’obtenir une connexion très fiable sur des infrastructures câblées non fiables grâce à
un contrôle de flux et d’erreurs.
Frame Relay, le remplaçant de X.25, demande moins de temps de traitement que X.25 car il ne fournit
pas de corrections d’erreurs. La propagation des données est donc très rapide.
Lorsque Frame Relay est utilisé pour connecter des réseaux locaux, le DTE sur chacun des réseaux est
un routeur, le commutateur Frame Relay est un DCE.
2) Circuits virtuels
Un circuit virtuel désigne une connexion logique entre deux DTE par un réseau Frame Relay.
On distingue deux types de circuits virtuels :
• le circuit virtuel commuté (SCV)
• le circuit virtuel permanent (PVC)
Un circuit virtuel peut passer par un nombre quelconque de commutateurs du réseau Frame Relay.
Un circuit virtuel est identifié par un indicateur de connexion de liaison de données appelé DLCI. Il
est généralement attribué par le fournisseur de service Frame Relay et a uniquement une signification
locale.
Le DLCI est stocké dans le champ d’adresse de chaque trame indiquant ainsi où la trame doit être
acheminée.
La valeur d’un DLCI varie entre 16 et 1007.
Le réseau Frame Relay est statistiquement multiplexé. Cela signifie qu’il ne transmet qu’une trame à
la fois, mais que plusieurs connexions logiques peuvent coexister sur la même ligne physique. Ainsi,
chaque point d’extrémité ne nécessite qu’une ligne d’accès et une interface.
3) Encapsulation Frame Relay
Frame Relay reçoit un paquet de la couche réseau. Il lui adjoint un champ d’adresse et une somme de
contrôle. Finalement, des champs d’indicateur de début et de fin de trame sont ajoutés. La trame est alors
passée à la couche physique.
Le champ d’adresse contient le DLCI (les FECN, BECN et DE).
La somme de contrôle est calculée puis insérée dans la trame par la source. Le destinataire recalcule
le FCS. Si les résultats sont identiques, il traite la trame, sinon il l’abandonne.
4) Topologies Frame Relay
On distingue trois types de topologie :
• en étoile
• à maillage global
• à maillage partiel
5) Mappage des adresses Frame Relay
Afin d’envoyer des données à l’aide du protocole Frame-Relay, le routeur doit connaitre la relation
entre le DLCI local et l’adresse de couche 3 de la destination.
Il existe deux types de mappage :
• mappage dynamique
• mappage statique
Le mappage dynamique utilise l’inverse ARP pour résoudre l’adresse IP du saut suivant en une
valeur DLCI locale. Il stocke ces informations dans sa table de mappage.
18
Pour voir le contenu de cette table : show frame-relay map.

Sur les routeurs Cisco l’ARP inverse est activé par défaut.
Le mappage statique est utilisé lorsqu’un routeur ne prend pas en charge l’inverse ARP ou qu’un
réseau Frame-Relay est constitué d’une topologie en étoile.
6) Interface de supervision locale (LMI)
La LMI (Local Management Interface) est un mécanisme de test d’activité qui fournit des
informations sur les connexions Frame Relay entre le routeur DTE et le switch Frame Relay (DCE). Si le
réseau ne fournit pas les informations demandées, le routeur peut considérer la connexion comme coupée.
Le switch et le routeur doivent utiliser le même LMI.
Il existe différents types d’interfaces LMI, incompatibles entre elles :
• cisco
• ansi
• q933a
Depuis l’IOS Cisco 11.2, le routeur détecte automatiquement la LMI utilisée par le switch et configure
son interface en fonction.
On configure le LMI avec la commande :
frame-relay lmi-type [cisco | ansi |q933]
7) Utilisation de la LMI et de l’ARP inverse pour le mappage des adresses
Le routeur (DTE) se connecte au réseau Frame-Relay et envoie une LMI. Le réseau répond par un
message d’état LMI donnant des informations sur les circuits virtuels configurés sur la liaison.
Le routeur doit alors mapper ces circuits virtuels à des adresses de couche 3. Pour ce faire, il envoie un
message ARP inverse sur chaque circuit virtuel. Il peut alors effectuer le mappage. Il profite aussi lors de
l’envoi de son message pour envoyer son adresse réseau afin que le routeur distant puisse aussi effectuer
son propre mappage.
8) Configuration de base de Frame Relay (mappage dynamique)
Pour configurer une interface série avec le protocole Frame Relay :
R1(config-if)#ip address ad IP masque reseau
On configure l’encapsulation :
R1(config-if)#encapsulation frame-relay [ietf | cisco]
Rappelons que le type d’encapsulation Frame-Relay par défaut est cisco. Le type d’encapsulation ietf
s’utilise lorsque le routeur distant n’est pas cisco. Les routeurs d’extrémité doivent utiliser la même
encapsulation frame-relay.
Finalement la configuration du lmi est automatique, donc facultative. Pour vérifier la configuration :
R1(config)# show interfaces serial 0/0
9) Configuration d’un mappage statique Frame Relay
Dans ce cas on établit manuellement le mappage entre l’adresse réseau du routeur distant et le numéro
DLCI local.
On commence par désactiver l’inverse-map :
R1(config-if)# no frame-relay inverse-arp
R1(config-if)# frame-relay map ad IP numero DLCI [broadcast|cisco|ietf ]
Remarques :
1. Il faut utiliser ietf si le routeur auquel on se connecte n’est pas de type cisco.
2. Le réseau Frame Relay est un réseau NBMA (non-broadcast multiaccess). Cela signifie qu’il ne
prend pas en charge par défaut la diffusion et la multidiffusion. Lors de l’utilisation de protocoles de
routage, le mot-clé broadcast permet cette diffusion ou multidiffusion sur le circuit virtuel permanent.
10) Découpage d’horizon
Un réseau Frame-Relay est de type NBMA et possède généralement une topologie en étoile.
Un protocole de routage à vecteur de distance utilise la technique du découpage d’horizon pour éviter
les boucles de routage.
19
Rappel : le découpage d’horizon empêche qu’une mise à jour de routage reçue sur une interface
physique ne soit retransmise par la même interface. Dans le cas d’un réseau étoilé cela signifie que les
mises à jour ne peuvent pas être acheminées sur tout le réseau.
Plusieurs solutions se présentent :
• désactivation du découpage d’horizon
• topologie à maillage global
• utilisation de sous-interfaces
11) Sous-interfaces Frame Relay
Frame Relay peut partitionner une interface physique en plusieurs interfaces virtuelles ou sous-
interfaces ; à chacune est associée un circuit virtuel permanent. Une sous-interface peut être configurée en
mode point à point ou multipoint.
Point à point : Une sous-interface point à point établit une connexion par circuit virtuel permanent à
une interface physique ou une sous-interface d’un routeur distant.
Chaque paire de routeurs point à point réside sur son propre réseau et chaque sous-interface point à
point ne dispose que d’un DLCI. Dans ce cas, le découpage d’horizon n’intervient pas.
Multipoint : une seule sous-interface établit plusieurs connexions de circuit virtuel permanent à
plusieurs interfaces physiques ou sous-interfaces sur des routeurs distants. Tous les circuits virtuels
multipoint appartiennent au même sous–réseau. Dans ce cas, le découpage d’horizon intervient.
La commande encapsulation frame-relay s’applique à l’interface physique ; les autres éléments de
configuration s’appliquent (ad IP, DLCI) aux sous–interfaces.
12) Configuration de sous-interfaces Frame Relay point à point
Prenons l’exemple ci–dessous et configurons l’interface série S0 du routeur R1.
Sur l’interface physique, on indique le type d’encapsulation :
R1(config-if)# encapsulation frame-relay
On configure alors les sous-interfaces logiques en indiquant le numéro de DLCI pour des raisons
d’organisation.
Première sous interface logique :
R1(config-if)# int S0.102 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.2 255.255.255.252
R1(config-if)# frame-relay interface-dlci 102
Seconde sous interface logique :
R1(config-if)# int S0.103 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.5 255.255.255.252
R1(config-if)# frame-relay interface-dlci 103
Finalement, on effectue l’activation des sous-interfaces depuis l’interface physique avec la commande
no shutdown.
13) Configuration du Switch Frame-Relay
On commence par activer la commande Frame-Relay sur le routeur lui permet tant de transférer des
trames sur la base des DLCI entrant :
SFR(config)#frame-relay switching
Sur l’interface choisie on modifie le type d’encapsulation :
SFR(config)#interface S0/0
SFR(config-if)#encapsulation frame-relay
On indique alors que l’interface est de type DCE :
SFR(config-if)#frame-relay intf-type dce
SFR(config-if)#clock-rate vitesse
On configure alors le Switch Frame-Relay pour qu’il transfère le trafic entrant ici sur l’interface S0/0
ayant le DLCI x vers par exemple l’interface S0/1 ayant le DLCI y. On crée ainsi le premier PVC :
20
SFR(config-if)#frame-relay route x interface serial 0/1 y

SFR(config-if)#no shutdown
On crée alors le second PVC pour le retour :
SFR(config)#interface S0/1
SFR(config-if)#encapsulation frame-relay
SFR(config-if)#frame-relay intf-type dce
SFR(config-if)#clock-rate vitesse
SFR(config-if)#frame-relay routey interface serial 0/0 x
SFR(config-if)#no shutdown
On vérifie la configuration avec la commande : show frame-relay pvc.
14) Paiement de Frame Relay
Un client achète un service Frame Relay à un fournisseur de services. Pour comprendre le paiement
d’un tel service, il est nécessaire de connaitre les notions suivantes :
• débit d’accès ou vitesse du port
• débit de données garanti (CIR)
Débit d’accès ou vitesse du port : débit auquel le circuit accède au réseau Frame Relay. La vitesse du
port est cadencée par le switch Frame Relay.
CIR : correspond à la quantité de donnés que le réseau Frame Relay reçoit du circuit d’accès. Ce débit
est garanti par le fournisseur de services.
Frame Relay met à la disposition des clients tout capacité inutilisée du réseau (appelée rafales)
supérieures à leur CIR, en général gratuitement.
Un client paie donc pour une connexion Frame Relay :
• frais d’équipement d’abonné
• débit d’accès
• circuit virtuel permanent
• CIR
Les fournisseurs font parfois de la surréservation en vendant plus de bande passante que disponible,
en supposant que tous les clients n’utilisent pas en permanence toute la bande passante qu’ils ont louées.
Il peut en résulter des problèmes de trafic.
15) Rafales
Les circuits physique du réseau Frame Relay sont partagés entre les abonnés. Il arrive qu’un surplus de
bande passante soit disponible. Un client peut envoyer alors gratuitement en rafales des données excédant
son CIR. la durée des rafales doit être de quelques secondes.
Les termes suivants permettent de décrire les débits de rafale :
• débit garanti en rafale ou CBIR
• débit garanti en excès ou BE
Le CIBR est un débit négocié par le client en plus du CIR. La durée d’une rafale doit être courte, sinon
le client doit acheter plus de CIR.
Le BE correspond à la bande passante disponible au–dessus du CBIR jusqu’au débit d’accès de la
liaison. Ce surplus de débit n’est pas négocié. Les trames transmises à ce débit sont très sujettes à
l’abandon.
16) Contrôle de flux Frame Relay
Frame Relay utilise des mécanismes d’encombrement simples comme :
• notification explicite d’encombrement au destinataire ou FECN
• notification explicite d’encombrement à la source ou BECN
Les notifications explicites d’encombrement sont indiquées par un bit dans l’en–tête de la trame. le
routeur détecte l’encombrement et arrête la transmission jusqu’à ce que la situation normale soit rétablie.
Les trames qui arrivent au switch Frame Relay sont mises en file d’attente. Lors d’une accumulation
excessive de trames, le switch signale le problème aux routeurs à l’aide des bits de notification explicite
d’encombrement :
21
• les équipements en aval sont informés de la file d’attente en configurant le bit FECN.
• les équipements en amont sont informés de la file d’attente en configurant le bit BECN.
L’en–tête de trame contient également un bit d’éligibilité à la suppression (DE). Les trames dont le
bit est à 1 sont considérées comme moins importantes et peuvent être abandonnées pendant une période
d’encombrement.
Les règles logiques sont appliquées :
• si la trame entrante ne dépasse pas le CIBR, la trame passe.
• si la trame entrante dépasse le CIBR, son bit DE est fixé à 1
• si la trame entrante dépasse le CIBR augmenté du BE, elle est abandonnée.
22
IV. Sécurité du réseau

1. Menaces informatiques
Une gestion efficace et attentive d’un réseau permet de limiter les délits informatiques suivants :
• accès abusif au réseau par des personnes non autorisées
• déni de service
• intrusion dans le système
• interception de mots de passe
Les menaces augmentent car les outils et les méthodes d’attaque se sont améliorés et il est donc
désormais plus facile de devenir un pirate informatique.
Les termes les plus courants pour désigner les pirates sont : hacker, cracker, phreaker, spammeur,
phisher ...
Le but du pirate est de compromettre un réseau ou une application s’exécutant sur un réseau.
2. Réseaux ouverts et fermés
Un réseau ouvert donne aux utilisateurs finaux un accès facile aux ressources du réseau. Il est facile à
configurer et engendre peu de frais de sécurisation.
Un réseau fermé est à l’opposé. Il ne donne pas d’accès aux réseaux publics ; il est complètement isolé
du monde extérieur.
Un défi important de sécurité est de trouver un juste équilibre entre accès et sécurité, donc entre réseau
ouvert et réseau fermé.
3. Vulnérabilités
La vulnérabilité est le degré de faiblesse d’un réseau.
On dénombre trois types de vulnérabilité :
• faiblesses technologiques
• faiblesses de configuration
• faiblesse dans la stratégie de sécurité
Les faiblesses technologiques incluent :
• le protocole TCP/IP
• les systèmes d’exploitation
• l’équipement réseau
Les faiblesses de configuration incluent :
• les comptes utilisateur non sécurisés
• les comptes système avec des mots de passe trop facoles
• les paramètres par défaut des logiciels non sécurisés
• les équipements réseau mal configurés
Finalement il existe des risques de sécurité si les utilisateurs ne respectent pas la stratégie de sécurité
de l’entreprise ou si celle-ci est incomplète.
4. Menaces physiques
On distingue 4 catégories de menaces physiques :
• menaces matérielles
• menaces environnementales
• menaces électriques
• menaces de maintenance
Menaces matérielles : dommages physiques aux serveurs, routeurs, commutateurs, câblages, PCs.
Solutions : Les dispositifs réseau. ceux–ci doivent être dans des locaux fermés à clé, dont l’accès n’est
donné qu’au personnel autorisé.
Seul un nombre très limité de personnes y a accès. Rappelons que l’accès physique au matériel rend
celui-ci complètement vulnérable.
Menaces environnementales : variations de température ou d’humidité.
Solutions : régulations de la température et du taux d’humidité, système de surveillance, alarme à
distance.
Menaces électriques : tension instable, perte d’alimentation
23
Solutions : installations d’UPS, système de surveillance, alarme à distance.

Menaces de maintenance : manque de pièces de rechange, mauvais câblage, mauvais étiquetage.
Solutions : étiquetages méticuleux, pièces de rechange.
5. Piratage psychologique
Le piratage psychologique est la méthode de piratage la plus simple et ne demande aucune
compétence en informatique. Il exploite les faiblesses personnelles d’un individu.
Exemple : le phishing utilise l’email ou de faux site web dans le but d’obtenir des informations
confidentielles telles que les numéros de carte de crédit ou des mots de passe...
Solutions : il faut informer les utilisateurs de telles pratiques. Un administrateur peut aussi bloquer
l’accès à certains sites web ainsi que filtrer les emails suspects.
6. Types d’attaques d’un réseau
Il existe quatre catégories principales d’attaque :
• reconnaissance
• accès
• déni de service
• vers, virus et chevaux de Troie
Les attaques de reconnaissance peuvent prendre les formes suivantes :
• demandes d’informations Internet
• balayage ping
• balayage de ports
• analyseur de paquets
Les attaques d’accès peuvent prendre les formes suivantes :
• attaques de mot de passe
• exploitation de la confiance
• redirection de port
• attaque de l’homme du milieu
L’attaque par déni de service (DOS) est la forme d’attaque la plus répandue et la plus difficile à
éliminer. Son but est d’empêcher l’utilisation d’un service en épuisant les ressources du système.
Quelques exemples :
• ping fatal
• inondation SYN
Les stations de travail sont principalement vulnérables aux attaques de vers, de virus et de chevaux de
Troie.
Un ver exécute un code et installe des copies de lui-même dans la mémoire de l’ordinateur infecté,
celui-ci infecte alors les autres ordinateurs hôtes.
Un virus est un logiciel malveillant intégré dans un autre programme dans le but d’exécuter des
fonctions indésirables sur la station de travail infecté.
Le cheval de Troie est conçu pour ressembler à une application normale alors qu’il s’agit d’un
instrument d’attaque.
7. Techniques d’atténuation des risques
Afin d’assurer une sécurité de base aux réseau, il est nécessaire d’installer :
• logiciels antivirus
• firewall personnel
• patches du système d’exploitation
Un logiciel antivirus installé sur un hôte le protège contre les virus connus.
Un firewall personnel réside sur un PC et tente d’empêcher les attaques.
Les patches du système d’exploitation permettent de limiter les vulnérabilités de ce dernier.
A cela s’ajoutent :
Un système de détection des intrusions (IDS) détecte les attaques contre le réseau et envoie ses
données de journalisation à une console de gestion.
24
Un système de protection contre les intrusions (IPS) empêche les attaques contre le réseau et est
aussi doté des mécanismes de défense suivants :
• un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée.
• un mécanisme de réaction pour immuniser le système contre des attaques malveillantes.
Ces techniques peuvent s’appliquer au niveau du réseau et/ou des hôtes. Dans ce dernier cas, on parle
respectivement de HIDS et HIPS.
8. Roue de la sécurité des réseaux
La roue de la sécurité des réseaux est une méthode efficace pour s’assurer que la sécurité est testée et
appliquée de manière continue. La roue est constituée de 4 étapes :
• sécurisation
• surveillance
• test
• amélioration
La sécurisation
La surveillance se base sur l’audit des journaux des hôtes et des dispositifs réseaux ainsi que
l’utilisation d’IDS pour détecter les intrusions.
La phase de test consiste à tester le fonctionnement des solutions de sécurité ainsi que les audits en
utilisant, par exemple, des outils d’évaluation de la vulnérabilité.
Lors de l’amélioration, on analyse les données collectées pendant les phases de surveillance et de test,
elles servent de base pour renforcer la sécurité.
9. Stratégie de sécurité de l’entreprise
Une stratégie de sécurité est un ensemble de directives définies en vue de protéger le réseau de
l’entreprise contre les attaques menée soit de l’intérieur, soit de l’extérieur.
Il s’agit d’un document vivant, ce qui signifie qu’il est continuellement mis à jour selon les besoins de
l’entreprise.
Les fonctions principales d’une stratégie de sécurité sont les suivantes :
• protéger les personnes et les données
• définir les règles de comportement des utilisateurs, des administrateurs système, de la direction et du
personnel de sécurité.
• permettre au personnel de sécurité de surveiller
• définir les conséquences des violations et les appliquer
10. Sécurisation des routeurs
La sécurisation des routeurs de périphérie est une étape importante dans la protection du réseau.
Ainsi il est important d’agir aux niveaux suivants :
• sécurité physique
• mise à jour de l’IOS du routeur
• sauvegarde de la configuration du routeur et de son IOS
• désactivation des ports et des services non utilisés.
11. Gestion des mots de passe d’un routeur
Pour résister à une éventuelle attaque, un mot de passe doit être complexe et apparaitre crypté dans le
fichier de configuration.
Exemple :
R1(config)# service password-encryption
R1(config)#security passwords min-length 10
R1(config)#enable secret ci$C0-clasS
12. Services et interfaces de routeur vulnérables
Les routeurs prennent en charge un grand nombre de services réseau aux couches 2,3,4 et 7. Certains
de ces services peuvent être limités ou désactivés sans dégrader le fonctionnement du routeur.
Les services qu’il convient généralement de désactiver sont repris ci-dessous :
25
 Petits services tels que echo, discard et chargen : utilisez la commande no service tcp-small-
servers ou no service udp-small-servers.
 BOOTP : utilisez la commande no ip bootp server.
 Finger : utilisez la commande no service finger.
 HTTP : utilisez la commande no ip http server.
 SNMP : utilisez la commande no snmp-server.
Il est également important de désactiver les services qui permettent le passage de certains paquets par
le routeur, l’envoi de paquets spéciaux, ou encore les paquets utilisés pour la configuration de routeurs à
distance. Voici les commandes de désactivation correspondantes :
 Protocole Cisco Discovery Protocol (CDP) : utilisez la commande no cdp run.
 Configuration à distance : utilisez la commande no service config.
 Routage par la source : utilisez la commande no ip source-route.
 Routage sans classe : utilisez la commande no ip classless.
Vous pouvez sécuriser davantage les interfaces de routeur à l’aide de certaines commande en mode de
configuration d’interface :
 Interfaces inutilisées : utilisez la commande shutdown.
 Pas d’attaques SMURF : utilisez la commande no ip directed-broadcast.
 Routage ad hoc : utilisez la commande no ip proxy-arp.
13. Accès administratif à distance aux routeurs
L’accès administratif à distance avec telnet n’est pas sûre car le trafic passe en texte clair et les mots
de passe peuvent donc être interceptés.
Pour protéger l’accès administratif aux routeurs, il est nécessaire de sécuriser les lignes
d’administration (VTY) et d’utiliser SSH.
Pour renforcer la sécurité avec SSH, il est possible de limiter le temps d’inactivité de la session ainsi
que le nombre de tentatives de connexion.
Exemple :
R1(config)# ip ssh time-out 15
R1(config)# ip ssh authentication-retries 2
14. Journalisation de l’activité d’un routeur
Les journaux permettent de vérifier le fonctionnement d’un routeur et de déterminer s’il a été
compromis ou non.
Les journaux du routeur sont envoyés à un hôte de journalisation (Serveur Syslog). Ce dernier doit être
connecté à un réseau de confiance. Le serveur Syslog doit être aussi protégé en supprimant tous les
comptes et services inutiles.
Les routeurs prennent en charge 8 niveaux de journalisation :
• 0 emergencies
• 1 alerts
• 2 critical
• 3 errrors
• 4 warnings
• 5 notification
• 6 informational
• 7 debugging
15. Configuration pour la journalisation du routeur
Pour indiquer au routeur l’adresse du serveur Syslog :
R1(config)# logging host ad. IP Syslog
Pour indiquer le niveau de journalisation à prendre en compte :
R1(config)# logging trap ad. level
Pour s’assurer que tous les messages sont envoyés au serveur Syslog :
26
R1(config)# logging trap debugging

Pour activer les envois des journaux :
R1(config)# logging on
Il est important d’avoir un horodatage précis des journaux. Pour garantir la précision des données, il
est préférable de régler le routeur sur un serveur de synchronisation fiable par l’intermédiaire du protocole
NTP (Network Time Protocol) :
R1(config)# ntp server ad. IP server NTP
Puis d’indiquer le décalage exact pour la région, ainsi que les changements d’heure dans l’année. Pour
la région qui nous concernant :
R1(config)# clock timezone 1
R1(config)# clock summertime CEST recurring last sun mar 2 :00 last sun oct 3 :00
Finalement pour obtenir des messages horodatés :
R1(config)# timestamps debug datetime localtime
R1(config)# timestamps log datetime localtime
16. Sécurisation des protocoles de routage
En utilisant un analyseur de paquets, les informations voyageant entre les routeurs peuvent être lues.
Les systèmes de routage peuvent être attaqués de 2 façons :
• interruption des informations de routage entre routeurs homologues
• falsification des informations de routage
Des informations de routage falsifiées peuvent avoir les buts suivants :
• redirection du trafic pour créer des boucles
• redirection du trafic sur une liaison non fiable dans le but de le surveiller
• redirection du trafic pour le rejeter
Il est possible d’utiliser MD5 pour authentifier les paquets du protocole de routage pour protéger les
informations de routage.
Les protocoles RIPv2, EIGRP, OSPF prennent en charge une authentification avec MD5.
Rappel : Les interfaces participant aux mises à jour de routage peuvent être contrôlées avec les
commandes passive-interface default et no passive-interface.
Rappelons que les interfaces du routeur qui ne sont pas connectées à un autre routeur ne doivent pas
annoncer de mises à jour.
17. Authentification pour le protocole EIGRP
Etape 1 :
On commence par créer la chaine de clés que tous les routeurs doivent utiliser :
R1(config)#key-chain KEY
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)# exit
R1(config-keychain)# exit
Etape 2 :
On active l’authentification MD5 pour les paquets EIGRP passant par l’interface spécifiée :
R1(config)# interface S0
R1(config-if)# ip authentication mode eigrp 1 md5
R1(config-if)# ip authentication key-chain eigrp 1 KEY
18. Récupération de mots de passe d’un routeur
En utilisant Tera Term Pro
Etape 1
• Lancez la commande reload ou éteignez puis rallumez le routeur.
• Sélectionnez dans le menu Control, l’option Send Break
• Le prompt suivant s’affiche : rommon >
Etape 2
27
Entrez les commandes suivantes :

rommon 1> confreg 0x2142
rommon 2> reset
Router > enable
Router# copy start run
RouterA(config) # enable secret class
Réactivez toutes les interfaces avec la commande no shutdown
RouterA(config) # config-register 0x2102
RouterA# copy run start
19. ACLs réflexives
Une ACL réflexive autorise le trafic sortant et limite le trafic entrant en réponse à une session
provenant du routeur lui-même.
Une ACL réflexive ne se définit qu’avec une ACL IP étendue nommée.
Elle contribue à la protection du LAN contre une attaque extérieure.
L’ACL réflexive suivante autorise le trafic ICMP entrant et sortant, mais autorise uniquement le trafic
TCP initié depuis l’intérieur du réseau :
Etape 1 :
On permet le passage du trafic ICMP et TCP avec une demande de suivi sur les connexions TCP
sortantes.
R1(config)# ip access-list extended SORTIE
R1(config-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reflect TRAFIC-TCP
R1(config-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any
Etape 2 :
On crée une ACL qui a pour but de vérifier le trafic entrant et de voir s’il a été initié de l’intérieur.
R1(config)# ip access-list extended ENTREE
R1(config-ext-nacl)# evaluate TRAFIC-TCP
Etape 3 :
On applique les ACL, ici sur l’interface de sortie du LAN
R1(config-if)# ip access-group SORTIE out
R1(config-if)# ip access-group ENTREE in
20. ACLs temporelles
Une ACL temporelle autorise le contrôle d’accès en fonction du temps.
Etape 1
On définit la tranche horaire HORAIRE :
R1(config)# time-range HORAIRE
R1(config-time-range)# periodic Monday Tuesday 8 :00 to 17 :00
Etape 2
On définit l’ACL temporelle associée à HORAIRE :
R1(config)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range
HORAIRE
Etape 3
On applique l’ACL temporelle sur une interface :
R1(config-if)# ip access-group 101 out
Remarque :
La tranche horaire peut être définie avec les paramètres periodic ou absolute.
21. Configuration d’ISDN
Etape 1
28
On configure l’interface BRI :

R1(config)# interface BRI0/0
R1(config-if)# dialer rotary-group 1
R1(config-if)#dialer-group 1
R1(config-if)# isdn switch-type basic-net3
Etape 2
On configure l’interface Dialer1
R1(config)# interface Dialer1
R1(config-if)# ip address negotiated
R1(config-if)# dialer in-band
R1(config-if)# dialer string num-tel
R1(config-if)# dialer-group 1
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication chap callin
R1(config-if)# ppp chap hostname nom
R1(config-if)# ppp chap password 0 mot-de-passe
Etape 3
On définit à l’aide d’une ACL le trafic intéressant qui activera la connexion isdn :
R1(config)# dialer-list 1 protocol ip list no ACL
Pour vérifier et debugger la connexion ISDN :
R1# debug isdn q931
29
V. Listes de contrôle d’accès

1. Définition d’une liste de contrôle d’accès
Une liste de contrôle d’accès (ACL) filtre le trafic réseau en donnant l’ordre au routeur d’acheminer
ou de bloquer un paquet.
Les paramètres utilisés dans une ACL pour décider de l’acheminement ou non d’un paquet sont :
• l’adresse source
• l’adresse destination
• un protocole de couches supérieures
• un numéro de port
Une ACL est définie en fonction :
• un protocole
• une direction
• une interface
La mise en place d’une ACL est motivée par les raisons suivantes :
• limitation du trafic, contrôle du flux
• sécurisation d’un réseau ou sous–réseau
• autorisation ou interdiction d’un certain type de trafic
• filtrage du trafic de certains hôtes
2. Fonctionnement d’une ACL
Une ACL est une liste d’instructions régie par un ordre.
Lorsqu’un paquet arrive, il est testé successivement dans l’ordre par les instructions de l’ACL jusqu’à
ce que la condition d’une instruction soit vérifiée.
Le paquet est alors accepté ou rejeté selon l’instruction et les instructions suivantes ne sont pas testées.
Par défaut, à la fin de chaque ACL figure l’instruction invisible deny any.
3. Création d’une ACL
Il existe différents types de liste de contrôle d’ accès :
• IP standard (1-99 / 1300-1999)
• IP étendue (100-199 / 2000-2699)
• Apple Talk
• IPX
En mode de configuration globale, pour créer une ACL :
Router(config) # (no) access–list numéro ACL {permit | deny } cond. test
Pour appliquer une ACL sur une interface :
Router(config) # (no)protocole access–group numéro ACL { in |out }
Les règles de base à respecter avec les ACL sont :
• une ACL standard doit être appliquée le plus près possible de la destination
• une ACL étendue doit être appliquée le plus près possible de la source
• les instructions d’une ACL doivent être classées du plus spécifique au plus général.
• l’acceptation ou le refus est examiné uniquement si la condition est vérifiée.
• il n’est pas possible de rajouter une instruction dans une ACL après coup.
4. Le masque générique
Un masque générique est constitué de 32 bits divisés en 4 octets.
Il est appliqué à une adresse IP pour déterminer la partie de l’adresse qui doit être testée dans le cadre
d’une ACL.
Son fonctionnement est le suivant :
Un zéro dans le masque générique indique que la valeur correspondante de l’adresse IP doit être
comparée et une correspondance parfaite est exigée.
Un un dans le masque générique indique que la valeur correspondante de l’adresse IP ne doit être
comparée et donc une correspondance parfaite n’est pas exigée.
Exemple :
30
5. Les options any et host

Deux mots clés peuvent être utilisés dans les ACL : any et host.
L’option any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le masque générique.
L’option host remplace 0.0.0.0 dans le masque générique.
Exemple :
6. Les ACL standards

Les numéros d’ACL standards sont 1 à 99 (1300-1999).
La commande pour créer une ACL standard est la suivante :
Router(config) # (no) access–list numéro ACL {permit | deny | remark } source [masque gén.
source]
La source est constituée par :
• une adresse réseau
• une adresse hôte
• le mot clé any ou 0.0.0.0 255.255.255.255
Router(config) # ip access–group numéro ACL {in | out }
7. Vérification d’une ACL
Plusieurs commandes permettent de vérifier le contenu et l’emplacement des ACL sur un routeur.
La commande show ip interface indique les ACLs configurées sur les interfaces du routeur.
La commande show access–lists affiche le contenu de toutes les ACLs sur le routeur.
La commande show run affiche le contenu des ACLs et indique les interfaces sur lesquelles elles ont
été activées.
8. Les ACL étendues
Les ACL étendues utilisent les numéros entre 100 et 199 (2000-2699)
Elles fournissent une plus grande souplesse car elles se basent sur :
• l’adresse d’origine
• l’adresse de destination
• le protocole utilisé
• le numéro de port
La commande pour créer une ACL étendue est la suivante :
Router(config) # (no) access–list numéro ACL {permit | deny | remark } protocole source masque
gén. source dest. masque gén. dest. [port no port ]
De plus, des opérateurs logiques peuvent être appliqués à des protocoles spécifiques tels que eq , neq,
gt, lt.
Router(config) # ip access–group numéro ACL {in | out }
Exemple :
9. Les ACL nommées

Une ACL nommée est une ACL standard ou étendue caractérisée par un nom (dés la version IOS
11.2).
La commande pour créer une ACL nommée est la suivante :
31
Router(config) # (no) access–list {extended | standard } nom

Une fois dans le mode configuration de l’ACL, on précise les conditions d’autorisation et/ou de refus.
Exemple :
10. Restriction de l’accès au terminal virtuel

Une ACL standard ou étendue s’applique aux paquets traversant un routeur et non pas à ceux créés par
un routeur.
Il est possible d’activer une ACL sur les ports virtuels vty 0 4.
Cependant, il faut tenir compte :
• seule une ACL numérotée peut être utilisée
• la commande access-class est utilisée à la place de accessgroup
11. Listes de contrôle d’accès complexes
On distingue trois types de listes de contrôle d’accès complexes :
• dynamiques
• reflexives
• temporelles
32
VI. Service de télétravail

1. Télétravail
Le télétravail fait référence à une activité professionnelle menée à distance en se connectant au lieu de
travail au moyen des télécommunications.
Le concepteur de l’architecture réseau de l’entreprise doit considérer les besoins pratiques des
télétravailleurs concernant :
• la facilité d’utilisation
• la vitesse de connexion
• la fiabilité du service
Les trois technologies de connexion à distance sont :
• Frame Relay, ATM, lignes louées (VPN de couche 2)
• un réseau privé virtuel (VPN) IPsec
• une connexion de site à site, associée à un accès à large bande, pour établir un VPN sur le réseau
Internet public.
Le terme large bande signifie une connexion à haut débit capable de transmettre des données, des
communications vocale et vidéo. Ceci est garanti par l’ADSL, la fibre optique, le câble coaxial, le
wireless et le satellite. La vitesse de transmission est supérieure à 200 Kbits/s.
Pour garantir une connexion efficace au réseau de son entreprise, un télétravailleur a besoin des
composants suivants :
• composants du bureau à domicile
• composants du siège
Composants du bureau à domicile : ordinateur, accès à large bande, un routeur VPN ou un logiciel
client VPN installé sur l’ordinateur.
Composants du siège : routeurs compatibles VPN (authentification).
2. Connexion des télétravailleurs au réseau étendu
Les fournisseurs Internet proposent plusieurs options de connexions pour les particuliers et les petites
entreprises :
• accès par ligne téléphonique
• ligne DSL
• modem câble
• satellite
3. Réseaux privés virtuels
Un VPN crée un réseau privé sur une infrastructure de réseau public tout en garantissant
confidentialité et sécurité.
Les VPN sécurisent les données en les encapsulant (transmission tunnel) et en les chiffrant.
Internet est une infrastructure publique : toute entreprise qui l’utilise est sujette à des risques de
sécurité importants. Elle a donc recours à un VPN pour connecter les succursales, les télétravailleurs, les
travailleurs mobiles à la maison mère.
4. Transmission tunnel du VPN
La transmission tunnel encapsule tout un paquet dans un autre et envoie le nouveau paquet composé
sur le réseau. Quand le paquet composé arrive sur l’interface du tunnel de destination, le paquet interne
est extrait.
Le protocole GRE est un exemple d’encapsulation.
5. Types de réseau privé virtuel
On distingue deux types de réseau privé virtuel :
• site à site
• d’accès distant
Le VPN site à site connecte deux sites éloignés en passant par Internet. Les hôtes du réseau privé
envoient et reçoivent le trafic TCP/IP via une passerelle, un routeur par exemple. La passerelle est
33
chargée de chiffrer tout le trafic sortant, destiné à un site cible. La passerelle du site cible déchiffre le
trafic reçu et le transfert à l’hôte cible sur son propre réseau privé.
Dans un VPN d’accès distant, le télétravailleur ou l’hôte distant dispose d’un logiciel client associé. Le
logiciel encapsule et chiffre le trafic destiné à la passerelle du réseau cible.
6. Caractéristiques d’un VPN sécurisé
Les caractéristiques d’un VPN sécurisé sont les suivantes :
• confidentialité des données
• intégrité des donnés
• authentification
La confidentialité des données permet de protéger contre l’écoute électronique.
L’intégrité des donnés permet de garantir qu’aucune modification n’a été apportée aux données.
L’authentification permet de garantir que seuls les expéditeurs et périphériques autorisés accèdent au
réseau.
7. Algorithmes de chiffrement
La confidentialité des données est assurée par un algorithme de chiffrement. Les algorithmes de
chiffrement sont classés en 2 catégories :
• algorithmes symétriques
• algorithmes asymétriques
Algorithme symétrique : les chiffrement et déchiffrement se servent de la même clé. Il est
généralement utilisé pour chiffrer un message.
Les deux ordinateurs doivent connaitre la même clé dite secrète ou partagée pour coder et décoder les
informations.
Exemples : DES, 3DES, AES.
Algorithme asymétrique : les chiffrement et déchiffrement se servent de deux clés différentes. Il est
généralement utilisé pour la certification numérique et la gestion des clés.
Une type de chiffrement asymétrique est le chiffrement à clé publique qui associe une clé privée à une
clé publique.
Le destinataire distribue une clé publique à ses expéditeurs. L’expéditeur utilise sa clé privée, puis la
clé publique du destinataire pour chiffrer son message. Le destinataire utilise alors sa clé privée puis la clé
publique de l’expéditeur pour déchiffrer le message.
Exemple : RSA.
8. Hachage ou message digest
Le hachage ou message digest est un nombre généré à partir d’une chaine de texte. Il est hautement
improbable qu’un autre texte génère le même hachage.
L’expéditeur d’origine génère un hachage du message et l’envoie avec le message.
Le destinataire reçoit le message et le hachage, il produit un autre hachage à partir du message reçu, et
compare les deux hachages. Si les deux sont identiques, le destinataire peut être certain que l’intégrité du
message n’a pas été affectée.
Un VPN utilise un code d’authentification des messages avec hachage et clé, appelé HMAC.
L’expéditeur de message utilise la fonction HMAC pour produire le code d’authentification du
message créé en condensant la clé secrète et le texte du message. Le destinataire calcule le code
d’authentification du message reçu à l’aide de la même clé et de la fonction HMAC utilisée par
l’expéditeur.
Il existe deux algorithmes HMAC :
• Message Digest 5 (MD5)
• Secure Hash Algorithm (SHA-1)
9. Authentification des homologues
Il est nécessaire d’authentifier les homologues (par exemple : le périphérique à l’autre extrémité du
VPN). Il existe deux méthodes d’authentification :
• Clé pré-partagée (PSK)
• Signature RSA
34
La clé pré-partagée est distribuée aux homologues par l’intermédiaire d’un canal sécurisé.
La signature RSA utilise l’échange de certificats numériques. Le périphérique local calcule un hachage
et le chiffre avec sa clé privée – ce qui s’appelle une signature numérique. Elle est jointe au message et
transféré. Le périphérique distant déchiffre le hachage avec la clé publique du périphérique local et
recalcule le hachage.
10. Protocoles de sécurité IPsec
IPsec est un ensemble de protocoles permettant de sécuriser les communications IP en garantissant le
chiffrement, l’intégrité et l’authentification.
Les protocoles IPsec principaux sont :
• Authentication Header (AH)
• Encapsulating Security Payload (ESP)
Le protocole AH assure l’authentification et l’intégrité des données pour des paquets transmis entre
deux systèmes. Il n’assure pas la confidentialité (le chiffrement) des données.
Le protocole ESP assure l’authentification et l’intégrité des données pour des paquets transmis entre
deux systèmes. Il assure aussi leur confidentialité par le chiffrement des paquets IP qui masque les
données et l’identité de leur source et de leur destination.
IPsec utilise des algorithmes existants pour implémenter le chiffrement, l’intégrité, l’authentification et
les échanges de clés :
• DES
• 3DES
• AES
• MD5
• SHA-1
• DH
Le protocole DH ou Diffie-Hellman permet au deux parties d’établir une clé secrète partagée pour le
chiffrement et le hachage sur un canal de communication non sécurisé.
IPsec fournit le cadre et l’administrateur choisit les algorithmes à implémenter.
Il est nécessaire de remplir 4 zones :
• Choix du protocole IPsec : AH, ESP ou AH avec ESP
• Choix de l’algorithme de chiffrement : DES, 3DES ou AES
• Choix de l’authentification : MD5 ou SHA
• Choix de l’algorithme Diffie-Hellman : DH1 ou DH2
35
VII. Service d’adressage IP

1. Le protocole DHCP (Dynamic Host Configuration Protocol)
Le service DHCP permet à un hôte d’obtenir automatiquement une adresse IP lorsqu’il se connecte au
réseau.
Le serveur DHCP choisit une adresse dans une plage d’adresses (pool) et la prête à l’hôte qui en a fait
la demande.
Dans les faits, un service DHCP peut fournir principalement :
• une adresse IP
• un masque de sous–réseau
• l’adresse IP de la passerelle par défaut
• l’adresse IP du serveur DNS
• ...
Sur un réseau ayant beaucoup de stations, l’utilisation d’un serveur DHCP peut s’avérer plus efficace
que l’utilisation d’adresses fixes.
Le protocole DHCP peut présenter un risque dans la sécurité d’un réseau.
Généralement, sur un même réseau, on utilise l’adressage dynamique et l’adressage statique.
L’adressage dynamique est utilisé pour les périphériques utilisateurs finaux.
L’adressage statique est utilisé pour les périphériques réseaux tels que :
• passerelles (routeurs)
• commutateurs
• serveurs
• imprimantes
• ...
2. Fonctionnement du protocole DHCP
Lorsqu’un périphérique se connecte au réseau et qu’il est configuré en mode automatique, il diffuse un
paquet DHCP DISCOVER pour identifier un serveur DHCP disponible.
Un serveur DHCP répond avec un paquet DHCP OFFER dans lequel se trouve une offre de bail
donnant les indications :
• adresse IP prêtée
• serveur DNS
• passerelle par défaut
• durée de bail
Le client renvoie un paquet DHCP REQUEST pour accepter l’offre du serveur. Si l’offre est encore
valable, le serveur renvoie un DHCP ACK et dans le cas contraire DHCP NAK.
3. Configuration d’un serveur DHCP
Un routeur cisco peut agir comme un serveur DHCP. Il attribue et gère les adresses IP en fonction du
ou des pools d’adresses spécifiés par l’administrateur. Par défaut, le service DHCP est activé sur le
routeur. Pour désactiver le service :
no service dhcp.
Etape 1 : on définit, en mode de configuration globale, les adresses NE devant PAS être allouées :
interface du routeur, adresse IP du switch, serveurs, imprimantes du réseau.
R1(config)# ip dhcp excluded-address adresse basse { adresse haute }
Etape 2 : on crée le pool DHCP.
R1(config)# ip dhcp pool nom pool
Etape 3 : on configure le pool DHCP.
Le pool d’adresses :
R1(dhcp-config)# network numero reseau masque
La passerelle par défaut :
R1(dhcp-config)# default-router adresse
Le serveur DNS :
36
R1(dhcp-config)# dns-server adresse

Le nom de domaine :
R1(dhcp-config)# domain-name domaine
Le bail : R1(dhcp-config)# lease durée
Si nécessaire, les services WINS :
R1(dhcp-config)# netbios-node-type h-node
R1(dhcp-config)# netbios-name-server adresse
4. Vérification du service DHCP
Pour vérifier le fonctionnement du serveur DHCP, on utilise la commande suivante :
R1# show ip dhcp binding
Pour afficher le nombre de messages DHCP envoyés et reçus par le routeur :
R1# show ip dhcp statistics
5. Configuration d’un client DHCP
Généralement, les routeurs utilisés à la maison acquièrent automatiquement une adresse IP auprès d’un
FAI.
Dans des petits bureaux ou des bureaux à domicile, les routeurs peuvent être configurés
dynamiquement par le FAI. Dans ce cas on configure une interface Ethernet avec la commande ip
address dhcp.
Pour renouveler l’adresse IP dynamique d’un PC, on utilise la commande iponfig /release qui libère
l’adresse et l’adresse devient alors : 0.0.0.0.
On utilise alors la commande iponfig /renew qui provoque la diffusion d’un message DHCP
DISCOVER.
6. Relais DHCP
Généralement, dans un réseau d’entreprise, les clients DHCP ne se trouvent pas sur le même réseau
que le serveur DHCP. Or, le client va diffuser un message DHCPDISCOVER et le routeur (passerelle)
par défaut ne laisse pas passer les diffusions.
Il faut donc configurer la passerelle du routeur comme un agent de relais DHCP avec la commande
suivante :
R1(config)# interface passerelle
R1(config-if)# ip helper-address ad ip serveur DHCP
7. Fonction NAT
La fonction NAT (Network Address Translation) traduit les adresses non routables (sur Internet),
privées et internes en adresses routables publiques. NAT ajoute aussi un niveau de confidentialité et de
sécurité car il empêche les réseaux externes de voir les adresses IP internes.
Cette traduction est effectuée par un routeur de passerelle frontière , cela signifie qu’il fait le lien
entre le réseau d’entreprise et le WAN.
La fonction NAT définit trois types d’adresses :
• locale interne : il s’agit souvent d’une adresse privée.
• globale interne : adresse publique attribuée à l’hôte interne lorsque ce dernier quitte le routeur NAT.
• globale externe : adresse IP attribuée à un hôte sur Internet
8. Mappage statique et mappage dynamique
Il existe deux types de traduction NAT : statique et dynamique.
Le NAT statique utilise un mappage biunivoque entre les adresses locales et globales.
Le NAT dynamique utilise un pool d’adresses publiques et les attribue selon la méthode du premier
arrivé, premier servi.
Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, la fonction NAT dynamique
choisit dans le pool une adresse IP qui n’est pas encore utilisée par un autre hôte.
Les NAT statique et dynamique nécessitent suffisamment d’adresses publiques disponibles pour
satisfaire simultanément tous les hôtes du réseau privé qui souhaitent accéder à Internet.
37
La surchage NAT ou PAT mappe plusieurs adresses IP privées à une seule ou à quelques adresses IP
publiques. En effet, plusieurs adresses peuvent être mappées à une seule adresse car chaque adresse
privée est suivie par un numéro de port.
9. Configuration du NAT statique
Cette configuration s’effectue en trois étapes :
Etape 1 : On établit une correspondance entre une adresse locale interne et une adresse globale
interne:
R1(config)# ip nat inside source static 192.168.10.254 209.165.200.225
Etape 2 : On identifie l’adresse locale interne comme l’interface NAT inside :
R1(config)# interface S0/0/0
R1(config-if)# ip nat inside
Etape 3 : On identifie l’adresse globale interne comme l’interface NAT outside :
R1(config-if)# ip nat outside
10. Configuration du NAT dynamique
Cette configuration s’effectue selon les étapes suivantes :
Etape 1 : On définit un pool d’adresses IP publiques :
R1(config)# ip nat POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
Etape 2 : On définit les adresses ayant les droits d’être mappées :
R1(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Etape 3 : On relie le pool NAT à l’ACL :
R1(config)# ip nat inside source list 1 pool POOL1
11. Configuration de la surcharge NAT
Cette configuration s’effectue selon les étapes suivantes :
Etape 1 : On définit les adresses ayant les droits d’être mappées :
R1(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Etape 2 : On identifie l’interface allant être surchargée :
R1(config)# ip nat inside source list 1 interface serial 0/1/0 overload
12. Vérification et dépannage des configurations NAT
La commande show ip nat translations affiche les traductions NAT.
La commande show ip nat statistics affiche les informations sur le nombre total de traductions
actives, les paramètres de configuration NAT, le nombre d’adresses dans le pool et le nombre d’adresses
attribuées.
Par défaut, les entrées de traduction sont désactivées au bout de 24 heures. Il est possible de modifier
les compteurs avec la commande ip nat translation timeout
La commande clear ip nat translation * efface toutes les entrées de traduction dynamique d’adresses
de la table de traduction NAT.
38
13. Pourquoi utiliser IPv6

L’espace d’adressage IPv4 offre un peu plus de 4 milliards d’adresses. Seules 3.7 milliards peuvent
être utilisées car les autres sont réservées pour la multidiffusion, les tests et autres usages spécifiques.
On estime que les adresses IPv4 seront épuisées d’ici quelques années.
Le pool d’adresses IPv4 diminue pour les raisons suivantes :
• croissance de la population
• utilisateurs mobiles
• transport
• électronique grand public
14. Adressage IPv6
Une adresse IPv6 est une valeur binaire longue de 128 bits, affichée sous forme de 32 chiffres
hexadécimaux. Ces chiffres sont regroupés par 4, chaque groupe étant séparé des autres groupes par le
signe :
Exemple : 2031 :0000 :130F :0000 :0000 :09C0 :876A :130B
Certaines adresses peuvent être raccourcies en respectant les règles suivantes :
• dans un champ les zéros de tête sont facultatifs :
Exemple : 2031 :0 :130F :0 :0 :9C0 :876A :130B
• deux champs successifs de zéros peuvent être représentés par le signe : :.
Cette abréviation ne peut être utilisée qu’une seule fois dans l’adresse.
Exemple : 2031 :0 :130F : : 9C0 :876A :130B
• une adresse indéterminée s’écrit : :
Quelques exemples :
0 :0 :0 :0 :0 :0 :0 :1 devient : :1
0 :0 :0 :0 :0 :0 :0 :0 devient : :
FF01 :0000 :0000 :0000 :0000 :0000 :0000 :1 devient
FF01 :0 :0 :0 :0 :0 :0 :1 devient FF01 : :1
15. Types d’adresses IPv6
On distingue les types d’adresse suivants :
• monodiffusion globale
• réservées
• privées
• bouclage
• indéterminée
Une adresse de monodiffusion globale est constituée généralement d’un préfixe de routage global de
48 bits et un ID de sous–réseau de 16 bits.
Ce dernier permet à une organisation de créer ses sous-réseaux.
Actuellement les adresses de monodiffusion globale attribuées par l’IANA utilise la plage d’adresses
commençant par 2000 : :/3.
L’IANA alloue l’espace d’adressage IPv6 dans les plages 2001 : :/16 aux organismes d’enregistrement
Internet locaux : ARIN, RIPE, APNC, LACNIC et AfriNIC.
Une adresse réservée est utilisée par l’IETF pour divers usages.
Une adresse privée n’est jamais acheminée en dehors du réseau de l’entreprise.
Elle commence par FE, suivi d’un chiffre hexadécimal compris entre 8 et F.
Les adresses privées sont divisées en deux types :
• locales-sites
• monodiffusion de liaison locale
L’étendue des adresses locales-sites correspond à l’ensemble d’un site ou d’une organisation. Elles
commencent par FEC, FED,FEE ou FEF.
Les adresses de monodiffusion de liaison locale : elles se rapportent à une liaison physique
particulière d’un réseau local. Elles commencent par FE8, FE9,FEA ou FEB.
Une adresse de bouclage a été prévue à des fins de test. L’adresse est : : :1.
39
L’adresse : : est utilisée lorsqu’un hôte ne connait pas sa propre adresse.

16. Stratégies de transition IPv6
Il existe différentes techniques pour effectuer une transition entre IPv4 et IPv6.
• double pile
• transmission tunnel
• NAT-PT (NAT-Protocol Translation)
La double pile : les routeurs sont configurés pour prendre en charge simultanément les protocoles
IPv4 et IPv6, avec une préférence pour ce dernier.
La transmission tunnel consiste à encapsuler un paquet IPv6 dans un autre protocole, tel que IPv4.
Cette méthode permet de connecter des îlots IPv6.
Cette méthode nécessite des routeurs à double pile.
Le NAT-PT (dès la version ios 12.3(2)T) est un NAT entre IPv6 et IPv4. Cette traduction permet aux
hôtes qui utilisent différentes versions du protocole IP de communiquer directement.
La méthode de la double pile est la méthode la plus couramment utilisée.
17. Configuration de la double pile
Chaque nœud dispose de deux piles de protocoles avec une configuration IPv4 et IPv6 sur la même
interface ou sur plusieurs interfaces.
Un nœud à double pile choisit la pile à utiliser en fonction de l’adresse de destination du paquet. Il
privilégie IPv6 lorsque celui-ci est disponible.
La version d’IOS 12.2(2)T et les versions ultérieures sont compatibles avec IPv6.
Il faut activer le protocole IPv6 sur le routeur, puis configurer les interfaces avec IPv4 et/ou IPv6.
18. Configuration des adresses IPv6
Il faut tout d’abord activer IPv6 sur le routeur :
R1(config)# ipv6 unicast-routing
Il est possible de spécifier l’adresse IPv6 dans son intégralité :
R1(config-if)# ipv6 address adresse-IPv6/ longueur-prefixe
Ou alors de calculer l’identificateur hôte à partir de l’identificateur EUI-64 de l’interface :
R1(config-if)# ipv6 address adresse-IPv6 /64 eui-64
19. Configuration de RIPng avec IPv6
Une fois le protocole IPv6 activé globalement et les interfaces configurées avec des adresses IPv6, on
active le protocole RIPng :
R1(config)# ipv6 router rip nom
On identifie alors les interfaces du routeur devant exécuter RIPng avec la commande :
R1(config-if)# ipv6 router rip nom enable
20. Le VPN GRE
GRE (Generic routing encapsulation) est un protocole de tunneling permettant de créer une liaison
virtuelle point à point entre deux routeurs distants.
GRE peut encapsuler divers protocoles de couche 3 à l’intérieur d’un tunnel IP. Un protocole de
routage peut être utilisé à travers le tunnel, permettant un échange dynamique d’informations de routage
dans le réseau virtuel ainsi créé.
Les tunnels GRE sont stateless : chaque extrémité du tunnel ne conserve pas d’informations sur l’état
de l’extrémité distante.
GRE n’inclut par défaut aucun mécanisme de sécurité pour protéger les données transitant par le
tunnel.
21. Configuration d’un tunnel site à site GRE
La configuration s’effectue en 5 étapes :
Etape 1 :
On créé une interface de tunnel avec la commande interface tunnel 0.
Etape 2 :
On assigne une adresse IP au tunnel.
40
Etape 3 :
On identifie l’interface source du tunnel avec la commande tunnel source.
Etape 4 :
On identifie l’interface destination du tunnel avec la commande tunnel destination.
Etape 5 :
On indique le protocole qui sera encapsulé par le protocole GRE avec la commande tunnel mode gre.
22. Les firewalls
Un firewall est un logiciel et/ou un matériel dont le but est de faire respecter la politique de sécurité
d’un réseau en définissant les communications permises ou interdites.
Les points communs à tous les firewalls sont :
• résistance aux attaques
• tout le trafic passe à travers
• application la politique de sécurité
On distingue deux types principaux de firewall :
• stateless
• stateful
Un firewall stateless (sans état) inspecte chaque paquet indépendamment des autres et le compare une
liste de règles préconfigurées (ACLs).
Un firewall stateful (à état) vérifie la conformité des paquets à une connexion en cours. En d’autres
termes, il s’assure que chaque paquet d’une connexion est bien la suite du précédent paquet et une
réponse à un paquet dans l’autre sens.
41
VIII. Dépannage du réseau

1. Documenter le réseau
Pour corriger et diagnostiquer des problèmes réseau efficacement, un ingénieur réseau doit savoir
comment le réseau a été conçu et connaitre les performances du réseau dans des conditions normales
d’utilisation. Ces informations s’appellent la ligne de base du réseau et se trouvent dans la
documentation suivante :
• la table de configuration du réseau
• le diagramme topologique du réseau
La table de configuration du réseau contient les enregistrements à jour du matériel et des logiciels
utilisés sur le réseau :
• type de périphérique, modèle
• image IOS
• emplacement du périphérique
• adresse MAC
• adresse IP
• ...
Le diagramme topologique du réseau est la représentation graphique du réseau. Il illustre comment
les périphériques sont connectés au réseau, en utilisant une notation cohérente. Il doit comporter au
moins:
• les symboles de tous les périphériques et leurs connexions
• les adresses IP
• les masques de sous-réseau
On distingue deux types de diagramme topologique :
• logique
• physique
Le diagramme topologique physique indique la disposition physique des périphériques connectés au
réseau.
Le diagramme topologique logique indique comment les données sont transférées sur le réseau.
2. Table de configuration du système d’extrémité
La table de configuration du système d’extrémité est aussi un élément important dans la documentation
du réseau. Elle contient les enregistrements pour le matériel et les logiciels utilisés sur les périphériques
de système d’extrémité, tels que les serveurs, les stations de travail et les consoles d’administration :
• version d’OS
• adresse IP
• masque sous–réseau
• adresse de la passerelle par défaut, DNS
• application à large bande
• ...
3. Recueil des informations
Pour recueillir des informations sur le réseau, les commandes suivantes sont utiles :
• ping
• telnet
• show ip interface brief
• show ip route
• show cdp neighbor detail
4. Ligne de base des performances du réseau
La ligne de base des performances du réseau est la ”personnalité” du réseau. Pour la déterminer, il est
nécessaire de répondre aux questions suivantes :
• Quelles sont les performances du réseau durant un jour normal ?
• Quelles sont les parties du réseau sous-utilisées et sur-utilisées ?
42
• Où se produit la majorité des erreurs ?

• Quels seuils doivent être définis pour les périphériques devant être surveillés ?
• ...
L’administrateur réseau pourra alors, à partir de ces données déterminer ce qu’est une situation
anormale.
La planification de la (première) ligne de base des performances du réseau a lieu en plusieurs étapes :
Etape 1 : Choix des types de données à collecter.
Etape 2 : Identification des périphériques et des ports intéressants.
Etape 3 : Durée de la ligne de base.
5. Approche générale du dépannage
Pour dépanner efficacement un réseau, il est nécessaire d’utiliser une approche méthodique.
L’utilisation des modèles OSI et TCP/IP permet d’isoler le problème. Le processus général de
dépannage comporte les étapes suivantes :
• Recueil des symptômes
• Isolation du problème
• Correction du problème
Le recueil des symptômes peuvent prendre différentes formes : alertes d’un système d’administration
de réseaux, messages de la console, plaintes des utilisateurs.
L’isolation du problème a lieu en utilisant les couches logiques du réseau afin de pouvoir
sélectionner la cause la plus probable.
La correction du problème est corrigé par l’administrateur. Si le problème persiste, il faut continuer
le dépannage.
6. Recueil des symptômes
Le recueil des symptômes a lieu en plusieurs étapes :
Etape 1 : Analyse des symptômes existants recueillis auprès des utilisateurs ou sur les systèmes
d’extrémité.
Etape 2 : Détermination de la propriété du problème.
Etape 3 : Réduction de l’étendue du problème : cœur de réseau, distribution ou accès réseau ? On
détermine alors les éléments matériels susceptibles d’être à l’origine du problème.
Etape 4 : Recueil des symptômes du périphérique suspect en suivant une approche de dépannage par
couche.
Etape 5 : Documentation des symptômes
7. Commandes pour le recueil des symptômes
Les commandes suivantes permettent de recueillir des informations sur les symptômes :
• ping, traceroute, telnet
• show ip interface brief
• show ip route
• show running-config
• debug ?
• show protocols
8. Méthode de dépannage
Il existe trois méthodes principales de dépannage :
• ascendante
• descendante
• diviser et conquérir
Méthode de dépannage ascendante : on commence par la couche physique et on remonte une à une
les couches du modèle OSI jusqu’à identification du problème. Cette approche est conseillée si l’on
soupçonne un problème physique ce qui est souvent le cas dans les réseaux. Cette méthode donne donc
souvent de bons résultats.
43
Méthode de dépannage descendante : on commence par la couche application et on descend une à

une les couches du modèle OSI jusqu’à identification du problème. une les couches du modèle OSI
jusqu’à identification du problème. Il est préférable d’utiliser cette approche lorsque que l’on soupçonne
un problème logiciel.
Méthode de dépannage diviser et conquérir : on sélectionne une couche et on teste dans les deux
directions à partir de la couche de départ. Généralement si une couche fonctionne correctement, on peut
supposer que les couches inférieures fonctionnent aussi.
9. Outils de dépannage
Il existe aussi de nombreux outils de dépannage tels que :
• système d’administration de réseaux
• bases de connaissances
• création d’une ligne de base
• analyseur de protocoles
• module d’analyse réseau
• multimètre numérique
• testeur de câble
• analyseur de câble
• analyseur réseau portable
10. Etapes de la conception d’un réseau étendu
Un fournisseur d’accès ou un opérateur télécom est généralement propriétaire des liaisons de données
qui constituent un réseau étendu.
Les technologies des réseau étendus fonctionnent au niveau des trois couches inférieures du modèle
OSI.
La conception ou la modification d’un réseau étendu comporte les étapes suivantes :
Etape 1 : Localiser les réseaux locaux : Points d’extrémité source et destination.
Etape 2 : Analyser le trafic : déterminer le trafic de données qui doit être acheminé.
Etape 3 : Planifier la topologie : celle-ci est souvent influencée par la redondance et l’équilibrage de
charge.
Etape 4 : Planifier la bande passante : il faut aussi surveiller la latence.
Etape 5 : Choisir la technologie.
Etape 6 : Evaluation des coûts.
11. Problèmes courants lors de la mise en œuvre d’un réseau étendu
Les problèmes les plus courants sont :
• infrastructure à utiliser : privée ou publique
• latence
• confidentialité
• sécurité
• qualité de service
• fiabilité
12. Dépannage de la couche physique
La couche physique transmet des bits d’un ordinateur à un autre et régule la transmission d’un flux de
bits sur le support physique.
Les symptômes de la couche physique sont :
• performance inférieure à la ligne de base
• perte de connectivité
• nombre de collisions élevé
• goulot d’étranglement ou encombrement
• forte utilisation de CPU
• message d’erreur de la console
Les causes de la couche physique sont :
• problèmes d’alimentation
44
• perte de connectivité
• nombre de collisions élevé
• goulot d’étranglement ou encombrement
• forte utilisation de CPU
• message d’erreur de la console.
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages sont corrects et que les
interfaces sont bien activées.
13. Dépannage de la couche liaison de données
Les symptômes de la couche liaison de données sont :
• pas de connectivité au niveau de la couche réseau ou au dessus
• pas de fonctionnalité au niveau de la couche réseau ou au dessus
• performance réseau inférieures à la ligne de base
• nombre excessif de diffusion
• message d’erreur de la console.
Les causes de la couche liaison de données sont :
• erreurs d’encapsulation
• erreurs de mappage d’adresses
• erreurs de trames
• boucles STP
Pour dépanner la couche physique, il faut vérifier que le câble et les câblages sont corrects et que les
interfaces sont bien activées.
14. Dépannage de la couche réseau
Les problèmes de la couche réseau englobent tous les problèmes de protocoles routé et de routage.
Les symptômes de la couche réseau sont :
• panne de réseau
• performance réseau inférieures à la ligne de base
Les causes de la couche réseau sont :
• problèmes de voisinage
• entrées manquantes dans la base de données topologique
• entrées manquantes dans la table de routage
15. Dépannage de la couche transport
Les symptômes de la couche transport sont :
• problème de réseau par intermittence
• problèmes de sécurité
• problèmes de traductions des adresses
• problèmes avec certains types de trafic
Les causes de la couche transport sont :
• problème de liste d’accès
• problèmes de NAT
16. Dépannage de la couche application (TCP/IP)
Les symptômes de la couche application sont :
• faibles performances des applications
• message d’erreur des applications
• message d’erreur sur la console
• messages du fichier journal système
• alarmes du système d’administration de réseaux
45

Réseau Ccna4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Réseau Ccna4

Transféré par

Droits d'auteur :

Formats disponibles

Accès au réseau étendu Prof : ABAZINE Karima

Réseaux informatiques : Accès au réseau étendu

I. Présentation des réseaux étendus

Confusion : Structure LAN et structure WAN et structure d'entreprise

Diverses architectures d'entreprise :

2) Concepts de la technologie de réseau étendu

2. Concept de la couche physique de réseau étendu

Périphériques de réseau étendu :

Formats d'encapsulation : dans l'en-tête :

- Circuit virtuel (CV) :

3) Option de connexion de réseau étendu

2. Options de liaison de connexion dédiée

1. Présentation des communications série

L’interface ETTD/DCE d’une norme particulière définit les spécifications ci-dessous :

la transmission de la voix, des données ou des vidéos) dans des

Types de trame HDLC

6. Configuration de l’encapsulation HDLC

- Le protocole PPP prend en charge l’authentification PAP et CHAP.

4. Etablissement d’une session PPP

5. Etablissement d’une liaison avec LCP

Options de configuration PPP

3) Configuration du protocole PPP

2. Commandes de configuration PPP

4. Dépannage de l’encapsulation PPP

2. Protocole d’authentification du mot de passe(PAP)

3. Protocole d’authentification à échanges confirmés(CHAP)

effectue des vérifications régulières pour s’assurer que

Configuration de l’authentification PPP

6. Dépannage d’une configuration PPP avec authentification

III. Protocole Frame Relay

Pour voir le contenu de cette table : show frame-relay map.

SFR(config-if)#frame-relay route x interface serial 0/1 y

IV. Sécurité du réseau

Solutions : installations d’UPS, système de surveillance, alarme à distance.

R1(config)# logging trap debugging

Entrez les commandes suivantes :

On configure l’interface BRI :

V. Listes de contrôle d’accès

5. Les options any et host

6. Les ACL standards

9. Les ACL nommées

Router(config) # (no) access–list {extended | standard } nom

10. Restriction de l’accès au terminal virtuel

VI. Service de télétravail

VII. Service d’adressage IP

R1(dhcp-config)# dns-server adresse

13. Pourquoi utiliser IPv6

L’adresse : : est utilisée lorsqu’un hôte ne connait pas sa propre adresse.

VIII. Dépannage du réseau

• O`u se produit la majorité des erreurs ?

Méthode de dépannage descendante : on commence par la couche application et on descend une à

Vous aimerez peut-être aussi