Académique Documents
Professionnel Documents
Culture Documents
Tiaret
Technologie de l’Internet
Abdelkader ALEM
Département d’Informatique
Université IBN KHALDOUN de Tiaret
Technologie de l’Internet
Plan du cours
● Routage statique et routage dynamique(RIP,OSPF)
● Agrégation de routes
● Routage dynamique inter-domaine.
● Double pile IP.
● Notion de Tunel.
2
Technologie de l’Internet
PRÉSENTATION DU ROUTAGE
ET
DU TRANSFERT DES PAQUETS
3
Objectifs du chapitre
4
Rôles d’un routeur
5
I. Intérieur d’un routeur
• Processeur : exécute les instructions de l’IOS
• Mémoire vive RAM (Mémoire système) : stocke les éléments suivants :
- Les données et les instructions de l’IOS
- l’IOS (il y est copié pendant l’amorçage)
- Fichier de configuration en cours (running-config)
- Table de routage
- Cache ARP
• Mémoire morte ROM stocke les éléments suivants :
- Instructions d’amorçage
- Logiciel de diagnostique de base (POST)
- Version réduite de l’IOS
• Mémoire vive non volatile NVRAM: stocke le fichier de configuration de démarrage
startup-config
• Mémoire flash : stocke l’IOS
6
Processus d’amorçage d’un routeur
7
Vérification du processus d’amorçage
Ports de gestion
Interfaces WAN
Interfaces LAN
9
Routeur et couche réseau
• Le routeur est un périphérique de couche 3 car le transfert des paquets est basé
sur les les informations de couche 3 (en particulier l’adresse IP)
• Ce processus de transfert est appelé Routage
• Lors de la réception d’un paquet sur une interface :
1. Le routeur examine l’adresse MAC de destination.
2. Si elle correspond à son interface (ou adresse de diffusion ou de multidiffusion)
le paquet est transféré à la couche 3.
3. le routeur prend sa décision de routage selon sa table de routage.
4. Le paquet est ré encapsulé dans une nouvelle trame dont la forme dépend de
la liaison:
Adresse MAC source = Celle du routeur ayant reçu le paquet
Adresse MAC destination = Celle de l’hôte distant
Adresse IP source = Celle de l’hôte à l’origine du paquet
Adresse IP de destination = Celle de l’hôte de destination finale
10
II. Configuration et adressage ILC
• Lors de la configuration d’un routeur, les tâches de
base suivantes sont effectuées:
1. Attribution d’un nom de domaine
2. Définition des mots de passe (enable, console, VTY,…)
3. Configuration d’une bannière
4. Configuration des interfaces
5. Enregistrement de la configuration
6. Vérification de la configuration de base et des
interfaces de routage.
11
1. Attribution d’un nom d’hôte
Router(config)# hostname R1
2. Définition des mots de passes
R1(config)#enable secret ciscoacad
R1(config)#line cons 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config)#line vty 0 4
R1(config-line)#password cisco123
R1(config-line)#login
3. Configuration d’une bannière de message du jour
R1(config)#banner motd # Mon message #
4. Configuration d’une interface
R1(config)#interface fa0/0
R1(config-if)# ip address 192.168.1.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)#description Cette interface relie le LAN 01
5. Enregistrement des modifications
R1# copy running-config startup-config
6. Vérification des informations
R1# show running-config
R1# show ip interface brief
R1# show interfaces
R1# show ip route 12
III. Elaboration de la table de routage
Table de routage
• C’est un fichier de données stocké dans la RAM et servant à stocker les informations sur
les routes à emprunter.
• Elle contient les associations Réseau/tronçon suivant .
• Un réseau directement relié au routeur reçoit directement les paquets (Lettre C dans la table
de routage).
• Un réseau non directement connecté est un réseau distant.
• Les réseaux distants sont ajoutés à la table de routage grâce à un protocole de routage
statique ou dynamique.
R2
S0/0
S0/0 Fa0/0
Fa0/0
192.168.1.0 /24 R1 10.10.10.0 /30
192.168.2.0 /24
13
Réseaux directement connectés
14
R2
S0/0
S0/0 Fa0/0
Fa0/0
192.168.1.0 /24 R1 10.10.10.0 /30
192.168.2.0 /24
15
Routage statique
16
Le routage statique est utilisé dans les cas
suivants :
- Le réseau ne comporte que quelques routeurs.
- Le réseau est connecté à Internet via un seul FAI
car ce dernier représente le seul point de sortie
vers Internet.
- Un grand réseau est configuré dans une
topologie « Hub-and-Spoke »
17
Routage dynamique
18
Principes d’une table de routage
(Principes d’Alex Zinin)
Trou noir
Situation ou le routeur de destination ne connait
pas le chemin de retour.
20
IV. Détermination du chemin et
commutation
21
Meilleur chemin et mesure
• La détermination du meilleur chemin implique l’évaluation de plusieurs chemin
vers la même destination et choisir le chemin optimal ou le plus court.
• La mesure = valeur quantitative utilisée pour mesurer la distance pour une
route donnée.
• Le meilleur chemin est celui dont la mesure est la plus faible.
• Chaque protocole de routage dynamique utilise ses propres règles et mesures
pour constituer et mettre à jour sa table de routage.
• 02 mesures sont souvent utilisées :
- Le nombre de saut (i.e. nombre de routeurs à traverser avant d’atteindre la
destination). 1 routeur = 1 saut.
- La bande passante
• Lorsque la mesure utilisée est le nombre de saut, le chemin choisi peut s’avérer
inefficace.
56 Kb/s
LAN 1 LAN 2
R1
R3
1544 Mb/s
R2 22
Equilibrage de charge à coût égal
23
Détermination du chemin et commutation
24
Lorsqu’un routeur reçoit un paquet son champs TTL est
décrémenté de 1. Si la nouvelle valeur = 0, le paquet est
alors abandonné afin d’éviter des boucles de routage.
La source effectue un ET logique de son adresse IP avec son
masque. Elle fait de même avec l’adresse IP de destination, si
les 2 résultats sont les mêmes alors l’hôte de destination est
sur le même réseau que la source sinon ce dernier transfert
le paquet à la passerelle par défaut.
Le 2eme ET ne donne pas forcement l’adresse du réseau distant
car ce dernier ne possède pas forcément le même masque.
Les interfaces série des routeurs n’ont pas d’adresse MAC
25
Routage statique
I Routeurs et réseaux
• Les routeurs sont principalement chargés d’interconnecter
des réseaux entre eux.
• La principale décision de transfert est basée sur les
informations de couche 3 (Adresse IP de destination).
27
II Examen des interfaces de routeur
Si aucune interface n’est configurée, alors la table de routage est vide.
Si une interface Ethernet est configurée et activée, alors elle est automatiquement ajoutée
à la table de routage.
Une interface série configurée et activée n’est pas necessairement ajoutée à la table de
routage
Plusieurs commandes permettent d’examiner une interface :
29
III Découverte des réseaux directement
connectés
Table de routage
C’est une structure de données utilisée pour stocker des informations de routage
Est composée d’une liste d’adresses réseau
Est affichée par la commande R1 # show ip route
La commande R1 # debug ip routing permet de surveiller le fonctionnement du routeur
en temps réel.
Le débogage est désactivée par les commandes :
R1 # undebug ip routing ou
R1 # undebug all
Pour supprimer un réseau connecté directement :
R1(config-if)# shutdown (désactive la configuration adresse IP / masque tout en la
conservant).
R1(config-if)# no ip address (supprime l’adresse et le masque)
30
31
Protocole CDP (Cisco Discovery Protocol)
C’est un outil propriétaire de Cisco qui sert à collecter des informations sur les périphériques
Cisco voisins
Voisin de couche 3
Deux périphériques sont voisins de couche 3 s’ils partagent le même espace d’adressage.
Voisin de couche 2
Deux périphériques sont voisins de couche 2 s’ils partagent la même liaison de données
(i.e. physiquement connectés).
CDP fonctionne au niveau de la couche 2, donc les voisins CDP dont des voisins de couche 2
S1
R2 S3
R1
R3
S2
Voisins CDP
R1-S1 R1-R2 R2-R3
R2-S2 R3-S3 32
• Pour afficher les informations sur les voisins CDP :
R1 # show cdp neighbors et
R1 # show cdp neighbors details
• CDP est activé par défaut. Pour le désactiver :
R1 # no cdp run
Et pour le réactiver
R1 # cdp run
• CDP peut présenter un risque pour la sécurité du réseau. Il est préférable de le désactiver dans
certains cas.
• Pour désactiver CDP pour une interface particulière :
R1 (config-if)# no cdp enable et pour la réactiver
R1 (config-if)# cdp enable
33
IV Routes statiques avec adresse de tronçon
suivant (saut suivant)
Les routes statiques sont communément utilisées lors du routage d’un réseau vers un
réseau d’extrémité
Réseau d’extrémité = réseau accessible par une seul route
FAI
R1 Route par défaut
R2
Route statique
Les routes statiques sont configurées pour la connectivité avec les réseaux distants non
directement connectés au routeur
Une route statique est configurée avec la commande :
R(config)# ip route adresse réseau distant masque {adresse IP tronçon suivant |
interface de sortie}
Dans la table de routage, une route statique est précédée de la lettre S
34
192.168.1.0 /24 FAI
R1 10.10.10.0 /30
.1
.2 R2
S0/0/0
S0/0/0
Route statique
192.168.2.0 /24
• Si une interface de sortie est désactivée, alors toutes les routes statiques résolues
sur cette interface seront supprimées de la table de routage. Si elle est réactivée,
les routes statiques supprimées seront réinstallées dans la table de routage.
36
V Routes statiques dotées d’interface de
sortie
• Dans la plupart des cas, une route statique peut être configurée avec une interface de
sortie, cela évite la recherche récursive.
• Exemple :
R2(config) # ip route 192.168.1.0 255.255.255.0 s0/0/0
R2(config) # ip route 192.168.2.0 255.255.255.0 s0/0/0
R2 # show ip route
S 192.168.1.0/24 is directly connected , serial0/0/0
S 192.168.2.0/24 is directly connected , serial0/0/0
• Une route statique doit être modifiée pour l’une des raisons suivantes :
1. Le réseau de destination n’existe plus, la route statique doit être
supprimée.
2. La topologie a été modifiée, la route doit donc être modifiée.
• Il n’existe aucun moyen de modifier une route statique, on doit d’abord la
supprimer ensuite la reconfigurer.
• Pour supprimer une route statique on utilise la commande :
R2(config) # no ip route 192.168.1.0 255.255.255.0 s0/0/0
38
Route statique dotée d’interface Ethernet
Si l’interface de sortie est un réseau Ethernet, le paquet est alors encapsulé dans une trame
Ethernet avec comme adresse MAC de destination celle du tronçon suivant (obtenu grâce au
ARP)
Avec une interface Ethernet comme sortie, plusieurs périphériques peuvent partager le même
accès réseau, il faut donc ajouter l’adresse IP du tronçon suivant :
R2
Fa0/0
R3 R4
.253 .254
192.168.1.0 /24
192.168.3.0 /24
Pour les routes statiques avec des réseaux sortants point-à-point, il vaut configurer les routes
uniquement avec l’interface de sortie (on évite ainsi la recherche récursive) et l’adresse de
tronçon suivant n’est pas nécessaire.
Pour les routes statiques avec des réseaux Ethernet sortant, il vaut mieux configurer les routes
avec à la fois l’adresse du tronçon suivant et l’interface de sortie.
39
VI Routes statiques résumées et par défaut
Route statique résumée
Une seule route statique peut être utilisée pour représenter des dizaines, des centaines ou
des milliers de routes .
Exemple : Les routes 10.0.0.0 /16 , 10.1.0.0 /16, 10.2.0.0 /16, 10.3.0.0 /16 ,
10.4.0.0 /16 , 10.5.0.0 /16 , ………………. 10.255.0.0 /16
Peuvent être résumées par une seule adresse 10.0.0.0 /8
Plusieurs routes statiques peuvent être résumées en une seule route si :
- Les réseaux de destination peuvent être résumés en une adresse réseau unique.
- Les multiples routes statiques utilisent toutes la même interface de sortie ou adresse IP
de saut suivant
Exemple : Soit 3 routes qui utilisent toutes la même interface de sortie s0/0/0
172.16.1.0 10101100.00010000.00000001.00000000
172.16.2.0 10101100.00010000.00000010.00000000
172.16.3.0 10101100.00010000.00000011.00000000
Bits identiques (partie réseau)
172.16.0.0 /22 10101100.00010000.00000000.00000000
L’astérisque (*) indique que cette route est une route candidate par défaut.
La route par défaut n’est pas obligatoirement toujours une route statique 41
Chapitre III
43
Composants d’un protocole de routage
• Structure de données (table ou base de données dans la RAM).
• Algorithme de routage.
• Messages de protocole de routage.
45
II Classification des protocoles de routage dynamique
Protocoles externes
BGP
(EGP)
Sans
classe
Protocoles de Protocoles de
routage dynamiques routage
dynamiques
Avec
classe
Protocoles internes
(IGP)
Les protocoles IGP : Sont utilisés pour le routage interne d’un système autonome.
Les protocoles EGP : Sont utilisés pour le routage entre systèmes autonomes.
BGP est le seul protocole EGP actuellement viable utilisé par Internet. Il est
généralement utilisé par les FAI pour communiquer entre eux.
47
Protocoles de routage à vecteur de distance
Les routes sont exprimées en tant que vecteur de distance et de direction
Distance = mesure
Direction = routeur tronçon suivant ou interface de sortie
Utilisent généralement l’algorithme Bellman-Ford (ou Ford-Fuckerson) sauf l’EIGRP qui est un
cas spécial.
Les routeurs envoient régulièrement leur table de routage entière à leurs voisins connectés
(sauf l’EIGRP qui est un cas spécial).
Le routeur ne connait pas la topologie exacte du réseau. Il ne dispose que des informations
qu’il a reçu de ces voisins.
Les routeurs sont utilisés comme des poteaux indicateurs le long du chemin jusqu’à la
destination finale.
Les seules informations dont dispose le routeur est la distance (mesure) et le chemin
(interface de sortie).
Les protocoles à vecteur de distance sont particulièrement adaptés aux situations suivantes :
- Réseau simple et linéaire.
- Administrateurs insuffisamment expérimentés pour configurer des protocole d’état des liens
- Réseaux spécifiques (comme les réseaux Hub-and-Spoke).
- Des délais de convergence longs ne posent pas de problèmes.
48
Protocoles de routage d’état des liaisons
Le routeur possède une vue (topologie) complète du réseau en récupérant des informations
provenant de tous les autres routeurs qui utilisent une carte identique du réseau.
Les routeurs n’envoient des mises à jour de routage qu’en cas de modification de la topologie.
Ces protocoles sont particulièrement adaptés aux situations suivantes :
- Réseaux hiérarchiques (grands réseaux)
- Administrateurs expérimentés dans ce type de routage.
- Réseaux pour lesquels une convergence rapide est primordiale.
172.16.1.64 /27
Equilibrage de charge
Si 02 routes ou plus vers la même destination ont des mesures identiques, alors le routeur
équilibre la charge entre ces chemins à coûts égales. 53
IV Distance administrative
Un routeur peut découvrir une route vers un même réseau à partir de plusieurs sources
(route statique et route dynamique), le routeur doit alors choisir la route à installer dans la
table de routage.
Domaine de
routage RIP
R1 R2
LAN_2
Domaine de
routage EIGRP
Comme chaque protocole utilise sa propre mesure, il n’est pas possible de comparer les
mesures pour déterminer le meilleur chemin.
Dans ce cas, pour déterminer ma route à installer, le routeur utilise la distance administrative.
La distance administrative définit la préférence d’une source de routage.
Les sources de routage sont classées par ordre de priorité du plus préférable au moins
préférable.
La distance administrative est une valeur comprise entre 0 et 255. Plus la valeur est faible plus
la source est privilégiée.
Distance administrative = 0 la route est directement connectée.
Distance administrative = 255 la source n’est pas fiable, elle ne sera pas installée dans la table
54
• La distance administrative peut être modifiée.
• La distance administrative peut être vérifiée par la commande :
R1 # show ip protocols
• Les distances administratives par défaut sont :
Source Distance administrative
56
Chapitre IV
Protocoles de routage à
vecteur de distance
Objectifs du chapitres
58
I Présentation
Les protocoles de routage à vecteur de distance (PRVD) comprennent :
60
Avantages et inconvénients des PRVD
Boucle de routage = situation où le paquets circule indéfiniment entre les routeurs parce
que ceux-ci n’arrivent pas à trouver un chemin vers le réseau de destination.
61
II Découverte des réseaux
62
III Maintenance des tables de routage
s modifications de topologie peuvent avoir lieu pour plusieurs raisons :
- Défaillance d’une liaison
- Introduction d’une nouvelle liaison.
- Défaillance d’un routeur.
- Modification des paramètres de liaison.
s PRVD entretiennent plusieurs minuteurs (Timers) :
Minuteur de mise à jour (Update Timer)
C’est l’intervalle de temps entre 2 mise à jour. Par exemple pour le RIP, il est de 30 s
Minuteur de temporisation (Invalid Timer)
Si aucune mise à jour n’est reçu pour actualiser une route existante (par défaut 180s),
la route est marquée comme non valide (inaccessible) mais elle est conservée dans la table
de routage jusqu’à l’expiration du minuteur d’annulation. Ce timer indique combiens de
temps la route peut rester dans la table sans que le routeur reçoivent des mise à jour la
concernant.
Minuteur d’annulation (Fluch Timer)
S’il expire, la route est supprimée de la table de routage. Par défaut, il est de 240 s.
Minuteur de mise hors service (Holdown Timer)
Une fois marquée comme inaccessible (i.e. minuteur de temporisation expiré), une route
doit rester hors service suffisamment longtemps pour que les autres routeurs découvrent
qu’elle est inaccessible. C’est le temps de mise hors service, il permet d’éviter les boucles
de routage pendant la convergence. Pendant cet intervalle de temps le routeur ignore toute
mise à jour concernant cette route. Par défaut, il est de 180 s. 63
Mise à jour
Temporisation
Mise hors
service
Annulation
R1 # show ip route
R1 # show ip protocols
Les valeur des ces minuteurs peuvent être modifiées par la commande :
R1(config-router)# timers basic update invalid holdown flush
64
65
66
Le protocole EIGRP constitue une exception, ses mises à jour possèdent les caractéristiques
suivantes :
1. Elles ne sont pas régulières.
2. Elles sont partielles ; ne concernent que le réseau modifié.
3. Elles sont limitées aux seules routeurs qui ont en besoin.
67
Gigue aléatoire
Lorsque plusieurs routeurs transmettent des mises à jour simultanément sur des segments
LAN accès multiple, les paquets des mises à jour peuvent entrer en collision et causer des
délais ou consommer trop de bande passante.
Ce type de problème surgit avec les concentrateurs et non les commutateurs.
Cet envoi simultané est appelé « synchronisation des lises à jours ». Il peut devenir un
problème avec les PRVD qui font appel aux mises à jours régulières. Au début les mises à jour
ne sont pas synchronisées, mais avec le temps, les minuteurs se synchronisent
Comme solution, l’IOS utilise une variable aléatoire appelée RIP_JITTER qui soustrait un délais
variable (ou gigue aléatoire) à l’intervalle des mise à jour. Cette gigue est comprise entre 0% et
15% de l’intervalle par défaut (i.e. 15s). Ainsi l’intervalle des mises à jours varie entre 25 et 30 s.
68
IV Boucles de routage
Boucle de routage = Condition dans laquelle un paquet est transmis entre une série de routeur
sans jamais atteindre sa destination.
Une boucle de routage se produit lorsque 2 routeurs ou plus possèdent des informations qui
ndiquent à tort qu’il existe une route valide vers une destination inaccessible.
Une boucle de routage peut être le résultat des problèmes suivants :
1. Routes statiques configurées incorrectement.
2. Redistribution des routes (Transmission des informations de routage d’un protocole de
routage à un autre) configurée incorrectement.
3. Tables de routage incohérente non mise à jour à cause d’une convergence lente.
Les boucles de routage apparaissent moins avec les protocoles de routage à état de lien, mais
peuvent apparaitre dans certaines conditions.
Le protocole IP possède son propre mécanisme pour empêcher les boucles grâce au champ
TTL (Time To Live).
Une boucle de routage peut fortement dégrader les performances d’un réseau, voir même
provoquer une panne du réseau :
- Forte utilisation de la bande passante pour faire tourner le trafic en boucle.
- Forte sollicitation et surcharge du processeur du routeur.
- Les mises à jour de routage peuvent se perdre ou ne pas être traitées à temps, ceci
introduit de nouvelles boucles qui aggravent la situation.
- Les paquets peuvent se perdre dans des trou noirs.
69
Mécanismes pour éviter les routes de bouclage
70
1. Définition d’une mesure maximale
Dans le cas du RIP, chaque fois que le routeur envoi une route à son voisin il incrémente
la mesure. Si le réseau de destination est inaccessible, la mesure devient infinie.
Pour arrêter l’incrémentation d’une mesure, une valeur maximale est fixée. Pour le RIP elle est
égale à 16, i.e. mesure = 16 = réseau inaccessible.
72
Protocole IP est champ TTL (Time To Live)
Le champs TTL dans l’en-tête IP est sur 8 bits. Il limite le nombre de sauts qu’un paquet peut
effectuer à travers le réseau avant d’être supprimé.
La valeur du champs TTL est définie par la source, elle est réduite de 1 à chaque saut par
le routeur qui reçoit le paquet, s’i ce champs devient égal à 0, alors il est abandonné.
73
V Protocoles à vecteurs de distances utilisés
Il existe de nombreux protocoles de routage à vecteur de distance :
78
Avantages et inconvénients des PRVD
Boucle de routage = situation où le paquets circule indéfiniment entre les routeurs parce
que ceux-ci n’arrivent pas à trouver un chemin vers le réseau de destination.
79
II Découverte des réseaux
80
III Maintenance des tables de routage
s modifications de topologie peuvent avoir lieu pour plusieurs raisons :
- Défaillance d’une liaison
- Introduction d’une nouvelle liaison.
- Défaillance d’un routeur.
- Modification des paramètres de liaison.
s PRVD entretiennent plusieurs minuteurs (Timers) :
Minuteur de mise à jour (Update Timer)
C’est l’intervalle de temps entre 2 mise à jour. Par exemple pour le RIP, il est de 30 s
Minuteur de temporisation (Invalid Timer)
Si aucune mise à jour n’est reçu pour actualiser une route existante (par défaut 180s),
la route est marquée comme non valide (inaccessible) mais elle est conservée dans la table
de routage jusqu’à l’expiration du minuteur d’annulation. Ce timer indique combiens de
temps la route peut rester dans la table sans que le routeur reçoivent des mise à jour la
concernant.
Minuteur d’annulation (Fluch Timer)
S’il expire, la route est supprimée de la table de routage. Par défaut, il est de 240 s.
Minuteur de mise hors service (Holdown Timer)
Une fois marquée comme inaccessible (i.e. minuteur de temporisation expiré), une route
doit rester hors service suffisamment longtemps pour que les autres routeurs découvrent
qu’elle est inaccessible. C’est le temps de mise hors service, il permet d’éviter les boucles
de routage pendant la convergence. Pendant cet intervalle de temps le routeur ignore toute
mise à jour concernant cette route. Par défaut, il est de 180 s. 81
Mise à jour
Temporisation
Mise hors
service
Annulation
R1 # show ip route
R1 # show ip protocols
Les valeur des ces minuteurs peuvent être modifiées par la commande :
R1(config-router)# timers basic update invalid holdown flush
82
83
84
I. RIP v1 Protocole à vecteur de distance par classe
Caractéristiques du RIP
C’est le plus ancien des protocoles de routage.
RIP v1 documenté en 1988 dans la RFC 1058
RIP v2 documenté en 1994 dans la RFC 1723
RIP ng documenté en 1997 dans la RFC 2080
C’est un protocole à vecteur de distance
Mesure = nombre de sauts
Les routes annoncées dont la mesure > 15 sont inaccessibles
Les routes sont diffusées toutes les 30 s
La partie donnée d’un message RIP est encapsulée dans un segment UDP avec comme
numéros de ports source et destination égale à 520
@ MAC @ MAC @ IP @ IP N° port N° port Message
destination source destination source destination source RIP
85
Fonctionnement du RIP
RIP utilise 2 types de messages : Message de requête et message de réponse.
Au démarrage chaque interface envoi un message de requête demandant aux routeurs
voisins RIP d’envoyer leur table de routage complète.
Le routeur reçoit alors les réponses et évalue chaque entrée :
- Si l’entrée est nouvelle, elle est installée dans la table de routage.
- Si elle existe déjà, l’entrée existante est remplacée par la nouvelle si sa mesure est
meilleur (i.e. inférieure à l’ancienne).
Le routeur qui viens de démarrer envoie ensuite une mise à jour déclenchée via toutes ces
interfaces RIP contenant sa propre table de routage.
RIP v1 est un PRVD avec classe, i.e. ces mises à jour ne contiennent pas le masque de
sous-réseau su réseau annoncé. Par conséquent, un routeur RIP v1 applique le masque par
défaut de la classe de l’adresse (A, B ou C).
Du fait de cette dernière limite les réseaux RIP v1 ne peuvent être ni discontinus ni
implémenter le VLSM
Interface passive
Un routeur connecté directement à un LAN Ethernet enverra ses mises à jour via l’interface
Ethernet. Cette mise à jour est inutile si aucun périphérique RIP ne se trouve sur ce LAN.
L’envoi de mises à jour inutiles affecte le réseau de 3 manières :
1. Gaspillage de la bande passante.
2. Tous les hôtes du LAN traiterons la mise à jour jusqu’à la couche transport puis les
ignorerons.
3. L’annonce de mises à jour sur un réseau de diffusion constitue une faille de sécurité.
On peut empêcher l’envoi de mise à jour via une interface avec la commande :
R1(config-router)#passive-interface fa0/0
La route via cette interface est toujours annoncée aux autres routeurs.
R1
R4 R2
R3 92
IV. Résumé automatique des routes
RIP est un PRVD par classe qui résume automatiquement les réseaux aux frontières de classes
des réseaux principaux.
Par exemple le fait de saisir la commande : network 172.30.1.0 l’IOS affichera alors :
Network 172.30.0.0 au lieu de 172.30.1.0 car ce dernier est un réseau de classe B dont le
masque par défaut 255.255.0.0 (/16).
Si un routeur a des interfaces dans plusieurs réseaux principaux par classe, alors c’est un
routeur de périphérie.
172.30.3.0 /24
Classe B
Fa0/0
S0/0/0 R2
172.30.2.0 /24 192.168.4.8 /30
S0/0/1
S0/0/1
Fa0/0 S0/0/0
R1 R3
172.30.1.0 /24 192.168.5.0 /24
A l’intérieur d’un réseau principal (A, B ou C), les préfixes affectés doivent identiques dans
Tous le domaine RIP v1
94
172.30.3.0 /24
Classe B
Fa0/0
S0/0/0 R2
172.30.2.0 /24 .9 192.168.4.8 /30
.2 S0/0/1
Classe C
.1 S0/0/1
Fa0/0 .10
S0/0/0
192.168.5.0 /24
R1 R3
172.30.1.0 /24
Lorsque R2 reçoit une mise à jour de R1 contenant le réseau 172.30.1.0 sur s0/0/0, il
appliquera alors le masque de sont interface 172.30.1.0 /24
Lorsque R2 reçoit une mise à jour de R3 contenant le réseau 192.168.5.0, il lui appliquera
alors Le masque par classe de cette mise à jour 192.168.5.0 /24
Table de routage de R2
95
Quand à R2, il enverra à R3 une mise à jour résumée 172.30.0.0 pour les réseaux 172.30.1.0
172.30.2.0 et 172.30.3.0 via s0/0/1.
R3 appliquera le masque /16 ‘de classe) à cette mise à jour de R2.
Table de routage de R1
Table de routage de R3
96
Avantages du résumé automatique des routes
1. Mes mises à jour envoyées et reçues sont moins volumineuses donc la consommation en
bande passante est moindre.
2. Accélération du processus de recherche dans la table de routage.
Inconvénients du résumé automatique des routes
1. Non prise en charge des réseaux discontinus. Un réseau discontinu est un réseau ensemble
de réseaux (par classe ou sous-réseaux) de même classe séparés par au moins un réseau
principal d’une autre classe.
Exemple : R1 et R3 sont des routeurs de périphérie
10.1.0.0 /16
172.30.0.0 est un réseau discontinu
Fa0/0
S0/0/0 R2
.9 209.165.200.232 /30
209.165.200.228 /30 S0/0/1
.2
Fa0/0
.1 .10 S0/0/1
S0/0/0
R3 172.30.100.0 /24
R1
172.30.1.0 /24
10.1.0.0 /16
Fa0/0
172.30.0.0
S0/0/0 R2
172.30.0.0 .9 209.165.200.232 /30
209.165.200.228 /30 S0/0/1
.2
Fa0/0
.1 .10 S0/0/1
R1 S0/0/0 R3
R3
R1
172.30.1.0 /24 172.30.100.0 /24
10.1.0.0 /16
Fa0/0
172.30.0.0
S0/0/0 R2
172.30.0.0 .9 209.165.200.232 /30
209.165.200.228 /30 S0/0/1
.2
Fa0/0
.1 .10 S0/0/1
R1 S0/0/0 R3
R3
R1
172.30.1.0 /24 172.30.100.0 /24
172.30.200.0 /24
172.30.2.0 /24
R2
172.30.3.0 /24
172.30.0.0
172.30.3.0 192.168.5.0
172.30.1.0 Fa0/0
S0/0/0 R2
172.30.2.0 /24 .9 192.168.4.8 /30
.2 S0/0/1
R3
.1 S0/0/1
Fa0/0 .10
S0/0/0
R1 192.168.5.0 /24
R1 R3 99
172.30.1.0 /24
V. Route par défaut et RIP v1
Le RIP a été le tout premier protocole dynamique utilisé dans les premières implémentation
entre client et FAI ainsi qu’entre FAI.
Dans les réseaux actuels, les clients n’ont pas forcement besoin d’échanger des informations
de routage avec leur FAI. Les routeurs des clients n’ont pas besoin d’une liste de toutes les
routes présentes sur Internet, ils utilisent à la place, une route par défaut qui envoie tout le
trafic au routeur du FAI lorsque le routeur du client ne possède pas de route vers la destination.
De son côté le FAI configure une route statique vers le routeur de périphérie du client pour les
hôtes du réseau du client
Route statique
Client FAI
Domaine RIP v1
Pour assurer la connectivité à Internet de tous les hôtes du domaine RIP, la route statique par
défaut doit être annoncée par Rà tous les autres routeurs RIP.
100
172.30.3.0 /24
.1 Fa0/0 192.168.4.8 /30 FAI
Domaine RIP R2 .9 R3
S0/0/1 .10
S0/0/0
.2 S0/0/1 Fa0/0
172.30.2.0 /24 192.168.5.0 /24
.1 S0/0/0
Fa0/0
.1
172.30.1.0 /24
R1
172.30.3.0 /24
FAI
.1 Fa0/0 192.168.4.8 /30
Domaine RIP R2 .9 R3
.10
S0/0/0 S0/0/1
.2 S0/0/1 Fa0/0
172.30.2.0 /24 192.168.5.0 /24
R* indique que la route par défaut a été propagée par une mise à
.1 jour RIP et elle devenue une route par défaut potentielle (candidate)
Fa0/0 S0/0/0
Cette route est une passerelle de secours ou une route par défaut
.1
172.30.1.0 /24 R1 alternative.
R2 devient une passerelle de derniers recours pour les routeurs du domaine
102
Le protocole Open Shortest Path First (OSPF)
104
Encapsulation de message OSPF
• La partie données d’un message OSPF est encapsulée dans un
paquet.
• L’en-tête de paquet OSPF est inclus dans chaque paquet OSPF,
quel que soit son type.
• L’en-tête de paquet OSPF et les données spécifiques relatives à
son type sont ensuite encapsulés dans le paquet IP.
• Dans l’en-tête de paquet IP, le champ protocole est défini à 89
pour indiquer OSPF, et l’adresse de destination a pour valeur
une des deux adresses multidiffusion suivantes : 224.0.0.5 ou
224.0.0.6.
• Si le paquet OSPFP est encapsulé dans une trame Ethernet,
l’adresse MAC de destination est aussi une adresse
multidiffusion : 01-00-5E-00-00-05 ou 01-00-5E-00-00-06. 105
Algorithme OSPF
• Chaque routeur OSPF conserve une base de données
d’état des liaisons contenant les LSA reçues de tous les
autres routeurs.
• Une fois qu’un routeur a reçu toutes les LSA et créé sa
base de données d’état des liaisons locale, OSPF utilise
l’algorithme du plus court chemin de Dijkstra (SPF) pour
créer une arborescence SPF.
• L’arborescence SPF est ensuite utilisée pour fournir à la
table de routage IP les meilleurs chemins vers chaque
réseau.
106
Configuration OSPF
• OSPF est activé à l’aide de la commande de configuration
globale router ospf process-id.
• Le process-id (id de processus) est un nombre compris
entre 1 et 65535 choisi par l’administrateur réseau.
• Dans notre topologie, nous allons activer OSPF sur les
trois routeurs en utilisant le même ID de processus, à
savoir 1. Nous utilisons le même ID de processus
uniquement à des fins de cohérence.
• R1(config)#router ospf 1
• R1(config-router)#
107
Configuration OSPF
• La commande network utilisée avec le protocole OSPF a
la même fonction que lorsqu’elle est utilisée avec les
autres protocoles de routage IGP.
Toute interface de routeur qui correspond à l’adresse réseau
dans la commande network est activée pour envoyer et recevoir
des paquets OSPF.
Ce réseau (ou sous-réseau) sera inclus dans les mises à jour de
routage OSPF.
Router(config-router)#network adresse-réseau masque_
générique area area-id
108
Configuration OSPF
• Masque générique:
255.255.255.255
- 255.255.255.240 Soustraire le masque de sous-réseau
---------------
0. 0. 0. 15 Masque générique
• area area-id fait référence à la zone OSPF.
• Une zone OSPF est un groupe de routeurs qui partagent les
informations d’état des liaisons.
• Tous les routeurs OSPF de la même zone doivent avoir les mêmes
informations dans leur base de données d’état des liaisons.
• Les autres commandes de dépannage OSPF intéressantes
incluent :
show ip protocols
show ip ospf
show ip ospf interface 109
Configuration OSPF
• Masque générique:
255.255.255.255
- 255.255.255.240 Soustraire le masque de sous-réseau
---------------
0. 0. 0. 15 Masque générique
• area area-id fait référence à la zone OSPF.
• Une zone OSPF est un groupe de routeurs qui partagent les
informations d’état des liaisons.
• Tous les routeurs OSPF de la même zone doivent avoir les mêmes
informations dans leur base de données d’état des liaisons.
• Les autres commandes de dépannage OSPF intéressantes
incluent :
show ip protocols
show ip ospf
show ip ospf interface 110
Technologie de l’Internet
ROUTAGE INTER-DOMAINES
111
Objectifs du chapitre
115
AS: Domaine souche de routage
(Non transit)
• Un AS est un système multi résident s’il a plus
d'un point de sortie à l'extérieur.
• Un domaine souche n'autorise pas d'autres
domaine à transmettre des paquets sur son
infrastructure.
118
Les bases de BGP
• BGP est utilisé pour transporter des informations de routage entre AS
• Protocole à "path vector"
• Fonctionne au-dessus de TCP
– Port 179
– Fiabilité des transmissions
• BGP construit un graphe de systèmes autonomes sur la base des
informations échangées entre les voisins BGP.
• BGP considère l'ensemble Inter-domaine sous forme d‘un arbre, des
systèmes autonomes.
• La connexion entre deux systèmes forme un chemin.
• La collecte des informations de chemin est exprimée comme une
séquence de numéros AS appelé le Path-AS.
• Cette séquence constitue une voie pour atteindre une destination
spécifique 119
Les bases de BGP: Voisin BGP
• Lorsque deux routeurs établissent une connexion
TCP avec BGP activé, ils sont appelés voisins ou
pairs (Neighbors).
• Chaque routeur exécutant BGP est appelé BGP
Speaker.
• Quand les voisins BGP établissent d'abord une
connexion, ils échangent tous les routes BGP.
Après ce premier échange, des mises à jour
incrémentielles sont envoyés.
120
Les bases de BGP: Voisin BGP
• Lorsque deux routeurs établissent une connexion TCP
avec BGP activé, ils sont appelés voisins ou pairs
(Neighbors).
• Chaque routeur exécutant BGP est appelé BGP
Speaker.
• Quand les voisins BGP établissent d'abord une
connexion, ils échangent tous les routes BGP. Après ce
premier échange, des mises à jour incrémentielles sont
envoyés.
• Les voisins annoncent des destinations qui sont
accessibles à travers eux à l'aide de messages de mise à
jour. 121
Les bases de BGP: Voisin BGP
• Les informations relatives à l'accessibilité du réseau peut changer, par
exemple quand un réseau devient inaccessible ou une meilleure route
devient disponible. BGP informe ses voisins en retirant les routes non
valides et l'injection de la nouvelle information de routage.
• Les router BGP gardent un numéro de version de la table de routage
reçu de chaque voisin, si la table change, BGP incrémente le numéro
de version de la table.
• Une incrémentation rapide de la version du table est généralement une
indication des instabilités dans le réseau, ou une mauvaise
configuration.
• S'il n'y a aucun changement de routage à transmettre à un homologue,
un messages keepalive est envoyé périodiquement pour maintenir la
connexion. Ces paquets keepalive 19 octets sont envoyés toutes les 60
secondes par défaut.
122
Les bases de BGP: Types de message
BGP
• On distingue différents type de message BGP:
- L’entête de msg est composée de 03 champs:
- Marker: (champ de 16 octets) Le champ de marqueur est utilisé
pour authentifier les messages BGP entrants ou détecter une
perte de synchronisation entre les deux BGP pairs.
- Length:(de 2 octets): indique la longueur totale du
message BGP , y compris l'en-tête (de 19 à 4096
octet).
- Type: (1 octet): Le champ Type peut avoir quatre
valeurs 1 à 4. Chacune de ces valeurs correspond à l'un
des quatre types de message BGP, décrit comme suit:
123
Types de message BGP: OPEN
• Ce message est utilisé pour établir des connexions avec
des pairs et il informe ses voisins sur
version BGP,
le numéro AS,
le routeur ID.
• Propose une valeur de maintien de la session BGP
• Valeur suggéré est 90 seconde
• Si 0: maintien sans limite de durée
124
Types de message BGP:
KEEPALIVE
• Ce msg confirme un OPEN
• Contrôle le temps de maintien de la session
• Est réémis toutes les 30 seconde si le temps de maintien
est différent de 0
• Msg de taille minimum (19 octets)
• pas de données
• En cas d’abscence de modification de leur table de
routage, les routeurs ne s’échangent plus que de msg
KEEPALIVE.
125
Types de message BGP: Notification
126
Types de message BGP: Update
• Sert à échanger les information de routage
Routes à éliminer
Ensemble des attributs de la route
Ensemble des réseaux accessibles (NLRI)
Chaque réseau est défini par un (préfixe, longueur)
127
Types de message BGP: Update
• Network-layer reachability information (NLRI):
BGP utilise un couple d’information de la couche réseau
(préfixe, longueur de préfixe)
<19,192.24.160.0> représente le préfixe de 192.24.160.0, et la
longueur est un masque de 19 bits. En termes décimaux, ce
NLRI fait référence au réseau 192.24.160.0 255.255.224.0.
• Withdrawn Routes : fournit une liste de routes qui ne sont
plus accessibles et qui ont besoin d'être retiré de la table de
routage BGP.
routes Retirée ont le même format que NLRI.
128
Types de message BGP: Update
• Path attributs
• Une grande partie du travail dans la configuration BGP se concentre
sur les attributs de chemin. Chaque itinéraire a son propre ensemble
d'attributs définis qui peuvent inclure des informations de chemin,
la préférence de l'itinéraire, saut suivant, et de l'information
d'agrégation.
• Les administrateurs utilisent ces valeurs pour faire respecter la
politique de routage. Sur la base des valeurs d'attribut, BGP peut
être configuré pour filtrer les informations de routage, préfèrent
certains chemins, ou autrement personnaliser son comportement.
134
Introduction
• Internet est un réseau IP publiquement accessible dans le monde
entier. les entreprises et leurs réseaux internes sont sujets à des
risques de sécurité importants.
• Heureusement, la technologie des réseaux privés virtuels permet
aux entreprises de créer des réseaux privés sur l’infrastructure
publique d’Internet tout en garantissant confidentialité et sécurité.
• Les entreprises ont recours aux réseaux privés virtuels pour fournir
une infrastructure virtuelle de réseau étendu pour connecter les
bureaux de leurs agences, les bureaux à domicile, les sites de leurs
partenaires commerciaux et les télétravailleurs distants à une partie
ou à tout leur réseau.
• Le trafic est chiffré pour conserver son caractère privé. Plutôt que
d’utiliser une connexion dédiée de couche 2, comme une ligne
louée, un réseau privé virtuel utilise des connexions virtuelles
routées via Internet. 135
Introduction
• Grâce aux réseaux privés virtuels, les entreprises
bénéficient d’une meilleure souplesse et d’une
productivité accrue.
• Les sites distants et les télétravailleurs peuvent se
connecter de manière sécurisée au réseau d’entreprise,
quel que soit leur emplacement.
• Les données circulant sur un réseau privé virtuel sont
chiffrées, elles ne sont déchiffrables que par les personnes
y étant habilitées.
• Les réseaux privés virtuels englobent les hôtes distants
dans le pare-feu, leur donnant des niveaux d’accès aux
périphériques réseau quasiment identiques, comme s’ils se
trouvaient à la direction générale de l’entreprise. 136
Introduction
• Les réseaux privés virtuels offrent les avantages suivants :
138
Types de VPN
• VPN de site à site
• Les entreprises utilisent les réseaux privés virtuels de site à site pour
connecter des sites éloignés de la même façon qu’on utilise une ligne
louée ou une connexion Frame Relay.
• Un réseau privé virtuel de site à site est en fait une extension du réseau
étendu classique. Il permet de connecter des réseaux les uns aux autres.
Il peut, par exemple, connecter le réseau d’une agence au réseau d’un
siège.
• Dans un VPN de site à site, les hôtes envoient et reçoivent le trafic
TCP/IP via une passerelle de réseau privé virtuel, à savoir un routeur, un
dispositif de pare-feu PIX ou un appareil de sécurité adaptatif (ASA).
• La passerelle du réseau privé virtuel est chargée d’encapsuler et de
chiffrer le trafic sortant pour tout trafic provenant d’un site donné. Elle
est également chargée de l’envoyer via un tunnel du réseau privé virtuel
sur Internet à une passerelle homologue sur le site cible. 139
Types de VPN
• VPN d’accès distant
• Les utilisateurs mobiles et les télétravailleurs utilisent régulièrement
les réseaux privés virtuels d’accès distant. Autrefois, les entreprises
utilisaient des réseaux commutés pour connecter leurs utilisateurs
distants.
• Aujourd’hui, la plupart des télétravailleurs accèdent à Internet
depuis leur domicile et peuvent établir des réseaux privés virtuels
distants en utilisant des connexions à large bande.
• Dans un réseau privé virtuel d’accès distant, chaque hôte dispose
généralement d’un logiciel client associé. À chaque tentative
d’envoi de trafic par l’hôte, le logiciel client du réseau privé virtuel
encapsule et chiffre le trafic avant de l’envoyer sur Internet à la
passerelle du réseau privé virtuel à la périphérie du réseau cible
140
Composants du Réseau Privé Virtuel
• Un réseau privé virtuel crée un réseau privé sur une infrastructure de
réseau public tout en garantissant confidentialité et sécurité.
• Les réseaux privés virtuels utilisent des transmissions tunnel
cryptographiques pour une protection contre l’analyse des paquets,
pour l’authentification de l’expéditeur et pour l’intégrité des
messages.
• Pour établir ce réseau privé virtuel, les composants obligatoires sont
les suivants :
un réseau existant avec des serveurs et des stations de travail ;
une connexion à Internet ;
des passerelles de réseau privé virtuel, telles que des routeurs, des pare-feu,
des concentrateurs de réseau privé virtuel et des ASA, qui agissent en tant que
points d’extrémité pour établir, gérer et contrôler les connexions du réseau
privé virtuel ;
un logiciel adapté pour créer et gérer les tunnels du réseau privé virtuel.
141
Composants du Réseau Privé Virtuel
• Les performances du réseau privé virtuel reposent principalement
sur la sécurité. Les réseaux privés virtuels sécurisent les données en
les encapsulant et en les chiffrant. La plupart des réseaux privés
virtuels procèdent à ces deux opérations.
142
Caractéristiques des VPN
• Les réseaux privés virtuels ont recours à des techniques de
chiffrement avancées et à la transmission tunnel pour que les
entreprises puissent établir des connexions réseau privées sécurisées
de bout en bout sur Internet.
143
Caractéristiques des VPN
La confidentialité des données,
Protéger les données contre l’écoute électronique est
un souci de sécurité courant.
est une fonction conceptuelle qui vise à protéger le
contenu des messages contre toute interception par des
sources non authentifiées ou non autorisées.
est garantie grâce à l’encapsulation et au chiffrement
effectués sur les réseaux privés virtuels.
144
Caractéristiques des VPN
Intégrité des données
Les destinataires n’ont aucun contrôle sur le parcours
emprunté par les données. C’est pourquoi ils ne savent
pas si elles ont été consultées ou manipulées lors de leur
passage sur Internet.
L’intégrité des données garantit qu’aucune altération ou
modification n’a été apportée aux données lors de leur
parcours entre la source et la destination.
En règle générale, les réseaux privés virtuels utilisent des
hachages pour garantir l’intégrité des données. Un
hachage ressemble à une somme de contrôle ou à un
sceau garantissant que personne n’a lu le contenu, tout en
étant plus robuste. 145
Caractéristiques des VPN
Authentification
L’authentification garantit qu’un message provient
d’une source authentique et accède à une destination
authentique.
Une identification assure à l’utilisateur que la personne
avec qui il établit une communication est effectivement
le destinataire escompté.
Les réseaux privés virtuels peuvent utiliser des mots de
passe, des certificats numériques, des cartes à puce et la
biométrique pour vérifier l’identité des parties à l’autre
extrémité du réseau.
146
Transmission tunnels des réseaux VPN
La transmission tunnel permet le recours aux réseaux publics,
comme Internet, pour transférer des données, comme si les
utilisateurs avaient accès à un réseau privé.
La transmission tunnel encapsule tout un paquet dans un autre et
envoie le nouveau paquet composé sur un réseau.
Trois classes de protocoles utilisées par la transmission tunnel.
147
Intégrité des données des VPN
Si du texte en clair est transporté sur le réseau public Internet, il peut
être intercepté et lu. Pour conserver le caractère privé des données,
chiffrez-les. Le chiffrement du réseau privé virtuel chiffre les
données et les rend illisibles aux destinataires non autorisés.
Pour que le chiffrement réussisse, l’expéditeur et le destinataire doivent
connaître les règles en vigueur pour transformer le message original en
format chiffré.
Les règles de chiffrement du réseau privé virtuel comprennent un
algorithme et une clé.
Un algorithme est une fonction mathématique qui associe un message, du
texte, des chiffres ou les trois à la fois à une clé. En résulte une chaîne
chiffrée illisible.
Le déchiffrement est extrêmement difficile, voire impossible, si vous ne
disposez pas de la bonne clé.
148
Intégrité des données des VPN
Le degré de sécurité offert par un algorithme de chiffrement varie en
fonction de la longueur de la clé. Pour toute longueur de clé donnée,
la durée de traitement de toutes les probabilités de déchiffrement du
texte dépend de la puissance informatique de votre ordinateur. Ainsi,
plus la clé est courte, plus elle est facile à trouver.
Chiffrement symétrique (chiffrement à clé secrète)
Les algorithmes de chiffrement, tels que DES et 3DES, nécessitent une clé
partagée secrète pour procéder aux chiffrements et déchiffrements.
Les deux ordinateurs doivent connaître la clé pour décoder les
informations.
Pour réussir un chiffrement à clé symétrique, il est essentiel de savoir
quels ordinateurs communiqueront l’un avec l’autre pour configurer la
même clé sur chacun d’eux.
comment les périphériques de chiffrement et de déchiffrement
disposent-ils de la même clé secrète partagée ? 149
Intégrité des données des VPN
Chiffrement asymétrique
Le chiffrement asymétrique utilise plusieurs clés pour procéder au
chiffrement et au déchiffrement.
Même si un pirate informatique connaît une clé, cela n’est pas suffisant pour
en déduire la deuxième et ainsi décoder les informations.
Une clé chiffre le message alors que la deuxième le déchiffre. Vous ne
pouvez pas procéder au chiffrement et au déchiffrement en utilisant la même
clé.
Le chiffrement à clé publique est une variante du chiffrement asymétrique qui
associe une clé privée à une clé publique.
Le destinataire distribue une clé publique à tout expéditeur avec lequel
s’effectueront les échanges.
L’expéditeur utilise une clé privée associée à la clé publique du destinataire pour
chiffrer le message.
Ainsi, l’expéditeur doit partager sa clé publique avec le destinataire. Pour
déchiffrer un message, le destinataire utilise la clé publique de l’expéditeur avec sa
150
propre clé privée.
Intégrité des données dans VPN
Protocole de sécurité Ipsec
IPsec est un ensemble de protocoles pour sécuriser les
communications IP et garantir le chiffrement, l’intégrité et
l’authentification.
IPsec spécifie les messages nécessaires pour sécuriser les
communications du réseau privé virtuel tout en se basant sur les
algorithmes existants.
Il existe deux protocoles IPsec principaux.
Authentication Header (AH): permet de procéder aux opérations suivantes
Authentification
Intégrité
Encapsulating Security Payload (ESP): permet de procéder aux opérations
suivantes :
Chiffrement
Authentification
Intégrité 151