Plan de cours

 Expliquer le rôle de la redondance dans un réseau

convergent;
 Décrire le rôle que joue le protocole STP dans
l’élimination des boucles de couche 2 dans un
réseau convergent;
 Expliquer les trois étapes que suit l’algorithme STP
pour assurer la convergence dans une topologie
exempte de boucles;
 Mettre en œuvre le protocole Rapid PVST+ dans un
réseau local pour éviter la formation de boucles
entre des commutateurs redondants;
2
 le rôle de la redondance
Définitions
 Réseau disponibilité;
 La redondance est une composante importante de de la
conception hiérarchique d’un réseau commuté;
 Redondance chemins alternatifs disponibilité;
 Problème de la redondance boucles de couche 2;
 Les boucles de commutation sont provoquées par la circulation
des trames infiniment(pas de TTL au contraires des paquets
IP);
 lorsqu’un hôte est pris par une boucle, les autres hôtes ne
peuvent pas y accéder;

3
le rôle de la redondance
Définitions

4
 le rôle de la redondance
Conséquences
 Les boucles consommation de la bande passante + un temps
de traitement très élevé par UC dégradation de performances
du réseau;
 Tempête de diffusion (trames ARP) plusieurs commutateurs
donc plusieurs trames de diffusion bande passante occupée
totalement alors pas de BP pour le trafic légitime panne du
réseau puisque chaque périphérique finale doit traiter l’intégralité des
données;
 Trames de monodiffusion en double: même trame arrive deux fois à
un hôte;

5
 le rôle de la redondance
Problèmes de redondance réels
 Deux connexions au
même commutateur;

 Connexion d’un commutateur à deux

commutateurs qui se trouvent connectés
sur le même réseau;

 Deux utilisateurs disposent chacun

d’un concentrateur connecté au réseau;

6
 Présentation du protocole STP
Définition du protocole STP
 Une topologie commutée redondante peut provoquer des tempêtes de
broadcast, des copies de trames multiples et des problèmes
d’instabilité dans la table des adresses MAC;
 Pour résoudre les problèmes des boucles en fait appel au protocole STP;
 STP (algorithme de l'arbre recouvrant) est un protocole de la couche
2 qui permet d’éliminer les boucles de commutation et en déterminant
le plus court chemin, il est spécifié dans la norme IEEE 802.1d;
 Le protocole STP garantit l’unicité du chemin logique entre toutes les
destinations sur le réseau en bloquant intentionnellement les chemins
redondants susceptibles d’entraîner la formation d’une boucle;
 STP est basé sur l’algorithme Spanning-Tree (STA) pour déterminer
le meilleur chemin sans boucle;
 Topologie réseau sans boucle s’appelle Arbre recouvrant;
7
 Fonctionnement de STP
 Dans un réseau commuté, le root bridge (commutateur
racine ) est élu.
 Chaque commutateur a une adresse MAC et un numéro de
priorité paramétrable (0x8000 par défaut), ces deux nombres
constituant l'identifiant de pont (bridge identifier, BID)
 Le commutateur avec la priorité la plus basse l'emporte, et en cas
d'égalité, c'est l'adresse MAC la plus basse qui l'emporte.
 l'administrateur du réseau influence le résultat de l'élection pour
que le commutateur racine choisi soit le plus près possible du
cœur de réseau.
 il configure la priorité du commutateur racine le plus opportun
en fonction de la topologie du réseau, ainsi que la priorité d'un
autre commutateur qui deviendra commutateur racine en cas de
défaillance du commutateur racine principal.
8
 Fonctionnement de STP
 Les autres commutateurs du réseau vont alors déterminer quel
est le port qui possède la « distance » la plus courte vers le
commutateur racine.
 Pour cela, ils utilisent le « coût » de chaque lien traversé, ce
coût dépendant de la bande passante du lien.
 Le « port racine » (root port, RP) sera celui qui mène le plus
directement au commutateur racine.
 Chaque commutateur doit avoir un seul root port.
 L'élection d'un root port est effectuée d'après les champs path
cost et port ID d'un paquet BPDU.
 En cas d'égalité, c'est le port ayant le port ID le plus faible qui
sera élu.
9
 Présentation du protocole STP
Algorithme STP
 Tous les commutateurs associés au protocole STP échangent des
trames BPDU (Bridge Protocol Data Unit) pour identifier le
commutateur doté de l’identificateur de pont (BID) le plus faible sur
le réseau;
 Le commutateur doté de l’identificateur (ID) le plus faible devient
automatiquement le pont racine;
 Le Pont Racine sera utilisé comme point de référence pour les
calculs de l’algorithme STA pour déterminer le plus court chemin;
 Le plus court chemin est basé sur les coûts de liaison cumulés;
 Les coûts de liaison sont basés sur la vitesse de la liaison;
 Les ports ayant la vitesse la plus grande sont ceux qui ont le coût le
plus faible;

10
 Présentation du protocole STP
Algorithme STP
 l’algorithme STA a déterminé les chemins qui doivent rester
disponibles, il configure les ports des commutateurs dans des rôles de
ports indépendants. Les rôles des ports décrivent le lien entre les ports
et le pont racine du réseau et spécifient s’ils sont autorisés à acheminer
le trafic.
 Ports racine : il s’agit des ports de commutateur les plus proches du
pont racine;
 Ports désignés : il s’agit de tous les ports non racine qui sont autorisés
à acheminer le trafic sur le réseau;
 Pour les ponts racine, tous les ports de commutateur sont des ports
désignés;
 Ports non désignés : il s’agit de tous les ports configurés dans un état
de blocage pour empêcher la formation de boucles.
11
Présentation du protocole STP
Algorithme STP

12
 Présentation du protocole STP
Processus du choix d’un pont racine
 la priorité est le critère initial sur lequel repose le choix d’un pont
racine;

 Si tous les commutateurs présentaient la même priorité,

l’adresse MAC (plus faible) constituerait alors le facteur déterminant;

 Chaque commutateur du domaine de diffusion se considère

initialement comme le pont racine;

 Echange de trames BPDU entre les commutateurs chaque 2 secondes

(hello time), chaque trame BPDU contient l’ID de pont du
commutateur local(BID) égal à l’ID de racine (ID de pont racine) ;
13
 Présentation du protocole STP
Processus du choix d’un pont racine
 L’ID de pont contient : une valeur de priorité (32768 par défaut) ,
@Mac et l’ID du système étendu;

ID Système = ID de VLAN
14
 Présentation du protocole STP
Processus du choix d’un pont racine
 Chaque commutateur met à jour les informations local concernant son
ID de pont(BID) , ID de racine et le cout du chemin vers la racine;

 Si l’ID de racine de la trame BPDU est plus faible que l’ID de racine
local, le commutateur met à jour l’ID de racine local dans ses messages
BPDU;

 l’ID de racine de la trame BPDU le plus faible détermine le pont racine

de l’arbre recouvrant;

 Une fois le pont racine est déterminé , une trame BPDU sera envoyé sur
le réseau pour indiquer l’ID de pont racine ainsi que le coût de chemin
mis à jour vers ce pont;
BID plus faible forme le pont racine.
15
 Présentation du protocole STP
Configuration et vérification du BID
 Méthode 1:
Pont racine Pont secondaire

 Méthode 2:

 Vérification:

16
 Présentation du protocole STP
Rôles des ports
 Port racine:
 Le port de commutateur doté du coût de chemin global le plus faible
joue automatiquement le rôle de port racine;
 Tous les commutateurs qui utilisent une configuration STP, à l’exception
du pont racine, ont un seul port racine défini;
 Si les coûts sont égaux, le commutateur utilise la valeur de priorité de
port personnalisable, ou l’ID de port le plus faible si les valeurs de
priorité des deux ports sont identiques;
 Par exemple, le port F0/1 possède une valeur de priorité par défaut de
128.1, 128 étant la valeur de priorité de port configurable et .1 étant l’ID de
port. Par défaut, le port F0/2 possède une valeur de priorité de 128.2;

17
 Présentation du protocole STP
Configuration de la priorité des ports
 La plage des valeurs de priorité des ports est comprise entre 0 et 240, par
incréments de 16;
 Par défaut les ports ont une valeur de priorité 128.

18
 Présentation du protocole STP
Etats des ports et Minuteurs BPDU
 Un port peu être en état:
 Blocage;
 Écoute;
 Apprentissage;
 Acheminement;
 Désactivation;
 Les minuteurs déterminent combien de temps un port reste dans un état;
 Hello time : durée d’envoi de chaque trame;
 Forward delay : correspond au temps passé dans d'état d’écoute et d'état
d’apprentissage;
 Max age : détermine la durée maximale de conservation des informations
des BPDU par un port de commutateur;
 Le PortFast sur les ports d’accès permettent à des périphériques de se connecter
immédiatement au réseau au lieu d’attendre que l’arbre recouvrant soit
convergent.
19
 Convergence du protocole STP
Définition
 La convergence est la durée nécessaire au réseau pour:
 Déterminer le commutateur qui jouera le rôle de pont racine;
 Le passage dans les différents états des ports;
 Définir le rôle final de chacun des ports des commutateurs à l’aide
de l’algorithme STA afin d’éliminer toutes les boucles potentielles;

 Processus de convergence se déroule en trois étapes:

 Étape 1. Désignation d’un pont racine;

 Étape 2. Désignation des ports racine;
 Étape 3. Sélection des ports désignés et non désignés;

20
 Convergence du protocole STP
Désignation d’un pont racine
 Au départ l’ID de pont (BID) et l’ID racine (ID du commutateur
racine) sont égaux;
 Le processus de sélection du pont racine est déclenché à la fin de
l’initialisation d’un commutateur ou lorsqu’un chemin défaillant a été
détecté dans un réseau;
 Les commutateurs commencent a échanger les trames BPDU qui
communiquent leur ID de pont (BID) pour devenir le pont racine;
 Le commutateur ayant un ID racine le plus faible (valeur de priorité
la plus faible) est désigné comme pont racine;
 les autres commutateurs mettent à jour leurs ID racine et le coût ;
 Le processus de sélection du pont racine est accompli en 14 s;
 Pour un pont racine le BID correspond à l’ID de racine;

21
Convergence du protocole STP
Désignation d’un pont racine

Priorité par défaut

22
 Convergence du protocole STP
Désignation des ports racine
 Les ports les plus proches de pont racine doivent être configurés
comme ports racine;
 Le port qui présente le coût de chemin le plus faible vers le pont
racine devient le port racine;

 Le port Fa0/1 est désigné comme port racine;

23
 Convergence du protocole STP
Sélection des ports désignés et non désignés
 Le commutateur S1 configurent ses deux ports dans le rôle de port désigné
puisqu’il constitue le pont racine;

 Chaque segment d’un réseau commuté ne peut comporter qu’un seul port
désigné;
24
 Convergence du protocole STP
Sélection des ports désignés et non désignés
 Si deux ports se trouvent sur le même segment, ils entrent en
concurrence , Le commutateur possédant le ID le plus faible (le
coût de chemin le plus faible vers le pont racine)« gagne » et
son port est configuré dans le rôle de port désigné. Le
commutateur « perdant » configure son port dans le rôle de
port non désigné, donc en état de blocage pour empêcher la
formation d’une boucle;
 Vérification:

25
 Convergence du protocole STP
Modification de la topologie
 Un commutateur détecté une modification de topologie lorsqu’un port qui
était dans l’état d’acheminement (forwarding) connaît une défaillance, en cas
de blocage par exemple;
 Ou lorsqu’un port passe à l’état d’acheminement et que le commutateur
possède un port désigné;( pas de deux ports désignés pour une liaison)
 Lorsqu’une modification est détectée, le commutateur notifie le pont racine
de l’arbre recouvrant. Le pont racine diffuse alors les informations sur
l’ensemble du réseau;
 Lorsqu’un commutateur doit signaler un changement de topologie, il
commence par envoyer les TCN (TCN, Topology Change Notification) sur
son port racine;
 Le commutateur récepteur est appelé pont désigné et il accuse réception de
la TCN en renvoyant immédiatement une trame BPDU normale avec le bit
TCA (Topology Change Acknowledgement);
 Le pont racine reconfigure le réseau en échangeant les trames BPDU pour
informer les autres commutateurs du changement; 26
 PVST+, RSTP et Rapid PVST+
Variantes des protocoles STP

BPDU Guard Technologie

pour blocquer cisco Pour passer
un port directement de
l’état de blockage
à l’état
d’acheminement

le protocole MSTP offre plusieurs chemins d’acheminement pour le

trafic de données et permet un équilibrage de la charge 27
 PVST+, RSTP et Rapid PVST+
Le protocole PVST+
 le protocole PVST+ est une variante de STP pour prendre en charge une
instance STP pour chaque VLAN du réseau (pour un VLAN spécifique);
 Avec le protocole PVST+, plusieurs agrégations peuvent être en état de
blocage pour un VLAN et le partage de la charge peut être mis en œuvre;
 l’implémentation du protocole PVST+ implique que tous les
commutateurs du réseau participent à la convergence du réseau;
 Pour un commutateur vous pouvez configurer un port d’agrégation en
état d’acheminement pour un VLAN et l’autre port pour en état de
blockage pour un autre VLAN.
 Un commutateur doit être configuré de sorte qu’il soit désigné comme
pont racine pour la moitié des VLAN dans le réseau, et un second
commutateur doit être configuré de sorte qu’il soit désigné comme pont
racine pour l’autre moitié des VLAN.

28
 PVST+, RSTP et Rapid PVST+
Le protocole PVST+
 Dans la figure, le commutateur Comm3 est le pont racine pour
VLAN 20, et le commutateur Comm1 est le pont racine pour VLAN 10.
Le fait de créer différents commutateurs racine STP par VLAN conduit
à un réseau plus redondant.

29
 PVST+, RSTP et Rapid PVST+
Configuration de PVST+
 Sélection des ponts racine et secondaire pour les VLAN;

 Priorité des commutateurs PVST+;

 Vérification : 30
 PVST+, RSTP et Rapid PVST+
Configuration de Rapid PVST+
 Commandes de configuration;

 Exemple de configuration;

 Vérification:
31
 Plan de cours

 Présentation des ACL

 Configuration et vérification des ACL

 Les ACL pour se prémunir de l'IP Spoofing

 Les limitations des ACL

33
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Définition des listes de contrôle d’accès
 Les listes de contrôle d’accès sont des listes de conditions
qui sont appliquées au trafic circulant via une interface de
routeur;
 Les listes indiquent au routeur les types de paquets à
accepter ou à rejeter;
 Certaines conditions dans une ACL sont des adresses
source et de destination, des protocoles et des numéros
de port de couche supérieure;
 But : Gérer le trafic + sécuriser l’accès d’un réseau en entrée
comme en sortie;

34
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Définition des listes de contrôle d’accès
 Exemple:

Autoriser l’accès Web aux

utilisateurs du réseau A
uniquement. Refuser
l’accès Web aux
utilisateurs du réseau B,
mais leur autoriser tout
autre accès
35
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Définition des listes de contrôle d’accès
 Des ACL peuvent être créées pour tous les protocoles routés,
tels qu’IP et IPX;
 Une ACL séparée doit être créée pour chaque direction : une
pour le trafic entrant et une pour le trafic sortant;

 Exemple : Si le routeur a deux interfaces configurées pour IP,

AppleTalk et IPX, 12 listes d’accès distinctes sont nécessaires :
une liste pour chaque protocole, fois deux pour la direction
(entrée et sortie), fois deux pour le nombre d'interfaces;

36
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Les principales raisons pour créer des listes de contrôle
d’accès
 Limiter le trafic réseau et accroître les performances (limitant
le trafic vidéo);
 Contrôler le flux de trafic (limiter l’arrivée des mises à jour de
routage);
 Fournir un niveau de sécurité d’accès réseau de base. Les listes
de contrôle d’accès permettent à un hôte d’accéder à une section du
réseau tout en empêchant un autre hôte d’avoir accès à la même
section;
 Déterminer le type de trafic qui sera acheminé ou bloqué au
niveau des interfaces de routeur. (autoriser l’acheminement des
messages électroniques et de bloquer tout le trafic via Telnet);
 Autoriser un administrateur à contrôler les zones auxquelles
un client peut accéder sur un réseau. 37
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Fonctionnement des listes de contrôle d’accès
 L’ordre des instructions ACL est important;
 Cisco IOS teste le paquet par rapport à chaque instruction de
condition en partant du début de la liste jusqu’à la fin;
 Lorsqu’une condition est satisfaite dans la liste, le paquet est
accepté ou rejeté et les autres instructions ne sont pas vérifiées;
 Listes de contrôle d’accès entrantes : les paquets entrants sont
traités avant d’être routés vers l’interface de sortie. Une liste de
contrôle d’accès entrante est efficace car elle réduit la charge des
recherches de routage en cas d’abandon du paquet. Si le paquet est
autorisé à l’issue des tests, il est soumis au routage;
 Listes de contrôle d’accès sortantes : les paquets sortants sont
routés vers l’interface de sortie puis traités par le biais de la liste de
contrôle d’accès sortante;
38
Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Les listes de contrôle d’accès entrantes

39
Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Les listes de contrôle d’accès sortantes

40
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Les types de liste de contrôle d’accès Cisco
 Il existe deux types de liste de contrôle d’accès Cisco :
 Listes de contrôle d’accès standard
 Les listes de contrôle d’accès standard permettent d’autoriser et de
refuser le trafic en provenance d’adresses IP source.
 Dans cet exemple, tout trafic en provenance du réseau
192.168.30.0/24 est autorisé. Compte tenu de l’instruction implicite
« deny any » à la fin de la liste, tout autre trafic est bloqué avec
cette liste. Les listes de contrôle d’accès standard sont créées en
mode de configuration globale.

41
 Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux
Les types de liste de contrôle d’accès Cisco
 Listes de contrôle d’accès étendues
 Les listes de contrôle d’accès étendues filtrent les paquets IP en
fonction de plusieurs attributs, dont le type de protocole,
l’adresse IP source, l’adresse IP de destination, les ports TCP
ou UDP source, les ports TCP ou UDP de destination, et les
informations facultatives sur le type de protocole pour une
meilleure précision du contrôle. Dans cette figure, la liste de
contrôle d’accès 103 autorise tout le trafic provenant d’une adresse
sur le réseau 192.168.30.0/24 vers tout port hôte de destination 80
(HTTP). Les listes de contrôle d’accès étendues sont créées en mode
de configuration globale.

42
Utilisation de listes de contrôle d’accès pour sécuriser les
réseaux

Numérotation et attribution d’un nom aux listes de

contrôles d’accès

43
 Configuration des listes de contrôle d’accès standard
Syntaxe de la liste de contrôle d’accès
 Routeur(config)# access-list numéro-liste-accès deny
/permit remark [texte ] ip-source [masque-générique-
source] [log]
 Exemple :
R1(config)# access-list 10 permit 192.168.10.0
Cette liste autorise le trafic provenant du
Réseau 192.168.10.0 et refuse tout autre trafic
Provenant des autres réseau vue l’application
Implicite de la commande deny any a la fin de
chaque liste (access-list 2 permit 192.168.10.0 0.0.0.255
access-list deny any)
 Suppression d’une ACL standard
Routeur(config)# no access-list N°liste 44
 Configuration des listes de contrôle d’accès standard
Le masque générique
 L’exemple 1 montre comment utiliser l’option any pour
remplacer l’adresse IP 0.0.0.0 par un masque générique
255.255.255.255.(ignorer la comparaison)
 L’exemple 2 montre comment utiliser l’option host pour
remplacer le masque générique.(comparaison bit à bit)

45
 Configuration des listes de contrôle d’accès standard
Application de listes de contrôle d’accès standard aux
interfaces
 la commande ip access-group
 Routeur(config-if)#ip access-group {numéro-liste-accès | nom-liste-
accès} {in | out}
 Supprimer une liste de contrôle d’accès d’une interface;
Routeur(config-if )# no ip access-group
Routeur(config-if )# no access-list pour la supprimer dans son intégralité.
 Exemple:

46
 Configuration des listes de contrôle d’accès standard
Utilisation d’une liste de contrôle d’accès pour contrôler
l’accès VTY
 La commande access-class
• Seules des listes de contrôle d’accès numérotées peuvent être appliquées aux
lignes VTY.
• Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un
utilisateur peut tenter de se connecter à n’importe laquelle.

47
 Configuration des listes de contrôle d’accès standard
Création de listes de contrôle d’accès standards nommées
 Etape 1 : création de la liste;

 Etape 2: configuration de la liste ;

 Etape 3: Activer la liste ip nommée sur une interface;

 Exemple: liste de contrôle d’accès standard nommée NO_ACESS, qui

empêche l’hôte 192.168.11.10 d’accéder au réseau 192.168.10.0. est
appliquée sur l’interface fa0/0 de routeur R1.

48
 Configuration des listes de contrôle d’accès standard
Contrôle et vérification des LCA
 Afficher les LCA par nom ou par numéro;

 Afficher toutes les liste d’accès;

49
Configuration des listes de contrôle d’accès standard
Ajout d’une ligne à une LCA nommée;

50
 Configuration des listes de contrôle d’accès étendues
 Pour un filtrage du trafic plus précis;
 Numérotées entre 100 et 199, 2000 et 2699;
 Les listes de contrôle d’accès étendues peuvent être nommées;
 Les paquets peuvent être filtré par les adresses sources /destination, les
ports source /destination et les protocoles;
 Exemple de LCA étendue;

 Dans cette exemple l’administrateur spécifie un numéro de port TCP ou

UDP pour contrôler le trafic;
 Vous pouvez utiliser des opérateurs logiques, tels que égal (eq), non égal
(neq), supérieur à (gt) et inférieur à (lt).

51
 Configuration des listes de contrôle d’accès étendues
Configuration des listes de contrôle d’accès étendues
 Syntaxe générale;

52
 Configuration des listes de contrôle d’accès étendues
Configuration des listes de contrôle d’accès étendues
 Exemple de configuration;

 Application des LCA sur l’interface s0/0/0 de R1;

53
 Configuration des listes de contrôle d’accès étendues
Configuration des listes de contrôle d’accès étendues
 Exemple 1: bloquer le trafic FTP et Telnet et autoriser tout autre
trafic;

54
Le protocole de supervision SNMP

55
Plan de cours
 La supervision d’un réseau.
 Le Protocole SNMP
 Les composants du Protocole SNMP
 Principe de fonctionnement du protocole SNMP
 Les versions du protocoles SNMP.
 Les Avantages et les inconvénients de SNMPv1
 Protocole SNMPv2
 Protocole SNMPv3
La supervision
Définition :
 La supervision est la "surveillance du bon fonctionnement d’un
système ou d’une activité".
Elle permet de surveiller, rapporter et alerter les fonctionnements
normaux et anormaux des systèmes informatiques.
 La supervision réseau porte sur la surveillance de manière
continue de la disponibilité des services en ligne - du
fonctionnement, des débits, de la sécurité mais également du
contrôle des flux.

Pour superviser un réseau il faut utiliser un protocole de

supervision .
Qu’est ce que le protocole SNMP ?
Simple Network Management Protocol (abrégé SNMP), en français
« protocole simple de gestion de réseau », est un protocole de
communication qui permet aux administrateurs réseau de gérer les
équipements du réseau (routeurs, ponts, etc...) , de superviser et de
diagnostiquer des problèmes réseaux et matériels à distance.

Il permet de contrôler un réseau à distance en interrogeant les stations

qui en font partie sur leur état et modifier leur configuration, faire des
tests de sécurité et observer différentes informations liées à l’émission
de données. Il peut même être utilisé pour gérer des logiciels et bases
de données à distance. Depuis qu’il est devenu un standard TCP/IP, son
utilisation a beaucoup augmenté.
Les Composants du protocole SNMP

 1. Une station de gestion NMS : C’est la station qui exécute un programme de

gestion SNMP. Son but principal est de contrôler les stations du réseau et de les
interroger sur différentes informations. . Sa configuration matérielle doit posséder
un processeur relativement rapide, beaucoup de mémoire (256 Mo minimum) et un
espace disque suffisant (pour archiver les informations).

 2. Des éléments de réseaux avec des agents : Ils sont les éléments à gérer sur le
réseau (ex : logiciels, stations de travail, routeurs, concentrateurs, ponts, etc.).
L’agent est un module résidant dans chaque nœud du réseau qui a pour fonction
d’aller chercher les informations du système afin de tenir sa table MIB à jour.

Parfois , On trouve des vieux équipements administrables ne sont pas conformes à

SNMP. Dans ce cas, il est possible d'utiliser un agent proxy sur un équipement
SNMP, qui va servir d'intermédiaire avec celui non SNMP.
figure 2 un agent proxy pour communiquer avec les vieux équipements
administrables ne sont pas conformes
Les Composants du protocole SNMP

 3. Les tables MIB (Management Information Base)

Les tables MIB : Elles représentent une base de données maintenue par
l’agent qui contient les informations sur les transmissions de données et sur
les composantes de la station ou du routeur, etc. (ex : uptime, configuration
du routage, état du disque et du port série, nombre de paquets reçus et
envoyées, combien de paquets erronés reçus, etc.).

 uptime est un terme informatique désignant le temps depuis lequel

une machine , ou un logiciel informatique, tourne sans interruption
Principe de fonctionnement du protocole SNMP
 Les systèmes de gestion de réseau sont basés sur des
éléments principaux : un superviseur (manager), des
nœuds (nodes) et des agents.
 Le superviseur est la console qui permet à
l'administrateur réseau d'exécuter des requêtes de
gestion (management).
 Les agents c'est-à-dire les applications de gestion de
réseau résidant dans un périphérique, sont chargés de
transmettre les données locales de gestion du
périphérique au format SNMP
La supervision par l’administrateur
Principe de fonctionnement du protocole SNMP

 Pour le protocole SNMP On trouve Deux situations

sont possibles pour les échanges de données. Soit
l’administrateur réseau demande une information à un
agent et obtient une réponse, soit l’agent envoie de lui-
même une alarme (trap) à l’administrateur lorsqu’un
événement particulier arrive sur le réseau.
Principe de fonctionnement du protocole SNMP

 Le protocole SNMP définit un concept des alertes

TRAPS . Une fois défini, si un certain événement
se produit, comme par exemple le dépassement
d'un seuil, l'agent envoie un paquet UDP à un
serveur. Ce processus d'alerte est utilisé dans les
cas où il est possible de définir simplement un
seuil d'alerte. Les traps SNMP sont envoyés en
UDP sur le port 162.
 Les alertes (traps)

Type de PDU (Protocol Data Nom

Units)

0 GetRequest

1 GetNextRequest

2 SetRequest

3 GetResponse

4 Trap
Principe de fonctionnement du protocole SNMP

Il existe quatre types de requêtes :

 GetRequest : permet d’obtenir une variable.

 GetNextRequest : permet d’obtenir la variable suivante (si existante, sinon retour

d’erreur).

 GetBulk : " permet la recherche d’un ensemble de variables regroupées. "

 SetRequest : permet de modifier la valeur d’une variable.

Puis, les réponses :

 GetResponse : permet à l’agent de retourner la réponse au NMS.

 NoSuchObject : informe le NMS que la variable n’est pas disponible.

Les types de requêtes
 LES DIFFÉRENTES VERSIONS DE SNMP

 SNMPv1 (ancien standard) : Première version apparue en 1989.

 SNMPv2p (historique) : Ajout de nouveau type de données.
 SNMPv2c (expérimental) : Amélioration des opérations du
protocole
 SNMPv2u (expérimental) : Implémente la version 2c en ajoutant la
sécurité utilisateurs.
 SNMPv2* (expérimental) : Combinaison des meilleures parties de v2u
et v2p.
 SNMPv3 (nouveau standard) : La sécurité avant tout.
Les Avantages et les inconvénients de SNMPv1

Avantages :
 conception simple.
 Implémentation facile sur un réseau
 très répandu aujourd'hui.
 il ne nécessite pas une longue configuration
 simple à mettre à jour.
 nécessite moins de ressources et de connexions
simultanées .
Les Avantages et les inconvénients de SNMPv1

Inconvénients :
 la charge sur le réseau.
 n'est pas très pratique pour ramener une grosse
quantité de données.
 L'authentification non sécurisée.
 SNMP ne permet pas de "commander" un agent, cette
manipulation ne peut se faire qu'en modifiant une
entrée de sa MIB.
 SNMP ne supporte pas la communication de station
d'administration à station d'administration.
SNMPv2

 Devant le succès de SNMP, il a vite semblé nécessaire de

développer un successeur qui corrigerait ses nombreuses
faiblesses, notamment en terme de sécurité.
 Une version améliorée a été proposée sous le nom SNMPv2.
Elle apporte des mécanismes d'authentification et de
chiffrement ainsi que des méthodes de consultation des
informations réseaux plus efficaces.
 Plus complexe que SNMP (v1), qui est par ailleurs bien
implanté, SNMPv2 ne connaît pas de réel succès à ce jour.
SNMPv3
 Il est vrai que SNMPv3 introduit des notions de
sécurité comme :
 Authentification / intégrité
 Confidentialité des données
 Contrôle d'accès par la MIB
 Mais il est encore expérimental.