Académique Documents
Professionnel Documents
Culture Documents
120 heures
01 - Notions de base du réseau
informatique
Les différents types de réseaux
1 2 3 4 5
LE GUIDE DE LA VERSION PDF DES CONTENUS LA VERSION PDF DES RESSOURCES
SOUTIEN Une version PDF TÉLÉCHARGEABLES Une version PDF EN LIGNES
Il contient le est mise en ligne Les fiches de est mise en ligne Les ressources sont
résumé théorique sur l’espace résumés ou des sur l’espace consultables en
et le manuel des apprenant et exercices sont apprenant et synchrone et en
travaux pratiques. formateur de la téléchargeables formateur de la asynchrone pour
plateforme sur WebForce Life plateforme s’adapter au
WebForce Life. WebForce Life. rythme de
l’apprentissage
35 heures
Chapitre 1
Les différents types de réseaux
5 heures
Chapitre 1
Les différents types de réseaux
Définition 1 : Réseau
Les réseaux sont omniprésents dans la vie quotidienne :
• Réseau d’amis : chaque ami est un élément, la communication se fait par
la voix, les textos, la vidéo… ;
• Réseau de transport : les stations sont des éléments, les voies de
Un réseau est un ensemble formé de lignes ou
circulation des lignes, la communication se fait par les véhicules ;
d’éléments qui communiquent ou s’entrecroisent
Le Larousse, Dictionnaire de la langue française • Réseau d’eau : les réservoirs sont des éléments, les canalisations sont des
lignes, l’eau est transportée.
Définition 2 : Réseau informatique Le réseau informatique est un sous-ensemble matériel d’un système
informatique. Il est composé :
Ensemble des moyens matériels et logiciels mis en œuvre
• De terminaux : il s’agit des points d’accès situés aux extrémités du réseau.
pour assurer les communications entre ordinateurs,
stations de travail et terminaux informatiques. Il peut s’agir par exemple :
Direction des Systèmes d’Information, CNRS • des postes de travail des utilisateurs (fixes ou portables) ;
• des serveurs d’application ou de données ;
• des imprimantes partagées ;
• d’équipements nomades comme les tablettes et les téléphones.
• D’équipements réseaux : ce sont les équipements chargés d’acheminer les
communications. On peut citer les concentrateurs, les commutateurs, les
routeurs, les ponts, les passerelles, les modems, les répéteurs et les points
d’accès (pour les équipements sans fil).
• Ces différents équipements sont l’objet de ce support et seront
largement détaillés par la suite !
PARTIE 1
• L’illustration ci-dessous montre un exemple de réseau avec les terminaux aux extrémités, les équipements réseaux au centre et les liens de
connexion qui relient l’ensemble.
PARTIE 1
• Certaines de ces ressources sont déployées de manière privée et contrôlée à l’échelle de la maison ou de
l’entreprise, tandis que d’autres sont accessibles globalement.
• La section suivante montre comment les différents types de réseaux permettent de fournir ces différents services.
PARTIE 1
• La grande diversité des usages des réseaux – de l’imprimante partagée jusqu’au site web à l’autre bout du globe nous permet de
proposer un découpage selon différents critères :
• Géographique ;
• Fonctionnel ;
• Architectural ;
• Topologique.
• Selon le critère géographique, les principales catégories de réseaux sont les suivantes :
Réseau personnel / PAN Réseau local / LAN Réseau métropolitain / MAN Réseau étendu / WAN
(Personal Area Network) (Local Area Network) (Metropolitain Area Network) (Wide Area Network)
Un PAN se réfère aux connexions Un LAN relie les équipements au sein Un MAN interconnecte plusieurs Un WAN couvre une grande zone
réseaux dans l’environnement direct d’une même pièce ou d’un bâtiment. réseaux locaux à l’échelle d’une ville géographique.
de l’utilisateur. ou d’une Métropole
Par exemple, pour connecter un Par exemple, les ordinateurs d’une Par exemple, les différentes agences Par exemple, les différents sites d’une
smartphone à des écouteurs salle de classe ou les équipements bancaires d’une grande ville vont être entreprise ou internet, qui
bluetooth ou transférer un livre informatiques (postes de travail, reliées entre elles par fibre optique interconnecte l’ensemble des réseaux
électronique depuis son ordinateur serveurs, imprimantes réseaux, d’une pour assurer une communication ayant au moins un équipement
vers sa liseuse. petite entreprise). rapide et sécurisée connecté à l’échelle mondiale
PARTIE 1
Un PAN a un ordre de grandeur de Un LAN a un ordre de grandeur de 10 Un MAN couvre quelques dizaines de Un WAN peut donc couvrir un pays,
quelques mètres au maximum. à 100 mètres. km un continent ou même le monde
entier.
• Selon le critère fonctionnel, on va catégoriser les réseaux selon les services qu’ils proposent et les restrictions qu’ils mettent en place en
termes d’accès. Les principales catégories de réseaux sont les suivantes :
Les terminaux d’un intranet disposent généralement On y trouve notamment des serveurs web offrant des
d’une adresse privée, inaccessible depuis l’extérieur. services spécifiques protégés par un mot de passe.
PARTIE 1
• Une même organisation peut mettre en œuvre ces 3 fonctionnalités. Par exemple, un lycée mettra en place un réseau intranet pour ses
personnels administratifs et enseignants, un réseau extranet pour la consultation des notes par les élèves et leurs parents et un site web pour
présenter le lycée et ses activités. Copyright - Tout droit réservé - OFPPT 15
01 - Catégorisation des types de réseaux
Catégorisation architecturale
• Selon le critère architectural, on va catégoriser les réseaux selon la manière dont les applications organisent les fonctions de présentation, de
traitement et de gestion des données
La topologie point-à-point
• La topologie point-à-point permet de connecter Avantages et inconvénients
directement 2 terminaux. ✅ Permet une connexion rapide entre 2 équipements
• On la retrouve par contre fréquemment dans un réseau ❌ Limitée à 2 équipements, pas de mise à l’échelle
personnel, par exemple :
• Pour connecter son ordinateur avec des écouteurs,
via le bluetooth.
• Pour mettre en place un partage de connexion
filaire entre un smartphone et un ordinateur, avec
un câble USB.
• Le point-à-point est également utilisé pour interconnecter
2 réseaux sur une grande distance, par exemple pour
établir une liaison entre 2 bâtiments sur un campus.
PARTIE 1
La topologie linéaire
• La topologie linéaire (ou Daisy Chain) relie plusieurs Avantages et inconvénients
équipements les uns à la suite des autres ; ✅ Faible coût de déploiement
• Il s’agit d’une extension de la topologie point-à-point ; ❌ La communication entre 2 équipements éloignés doit traverser tous les
• Une communication entre 2 équipements doit traverser équipements intermédiaires.
tous les équipements intermédiaires pour atteindre sa ❌ La défaillance d’un équipement coupe la chaine en deux.
destination ;
• Les réseaux modernes n’utilisent plus cette topologie. On
la retrouve pour connecter des équipements en série,
comme des disques durs.
PARTIE 1
Définition 3 : collision
PARTIE 1
Linéaire Les équipements forment une chaîne Simplicité Performances (obligation de traverser tous les
avec des bouchons à chaque extrémité équipements)
La défaillance d’un équipement coupe le réseau en 2
Bus Les équipements sont connectés à un Peu coûteux Une rupture sur le câble du bus interrompt le réseau
câble central Facile à étendre Augmentation des collisions et dégradation des
Une machine en panne ne coupe pas le performances à chaque ajout d’équipement
réseau
Anneau Les équipements sont connectés 2 à 2 Idéal pour les grandes distances Complexité de mise en œuvre
pour former une boucle Limitation des collisions Le trafic traverse les équipements non concernés
Étoile Un équipement central permet de Simplicité Le point central est un point de défaillance unique
connecter chaque équipement Gestion du trafic par l’équipement central Besoin d’un câble entre chaque équipement et le
point central
Maillée Chaque équipement est relié à tous les Redondance des liaisons : fiabilité Coût exponentiel
PARTIE 1
Hybride Au moins 2 topologies sont utilisées Exploitation des avantages de chaque Complexité
typologie
Topologies : bilan
• Dans les réseaux modernes, on observe une corrélation entre le découpage géographique d’un réseau et la topologie mise en œuvre.
On retrouve souvent :
• Le point-à-point pour la connexion de 2 équipements personnels (PAN) ;
• L’étoile pour les réseaux locaux (LAN) ;
• L’anneau pour l’interconnexion de sites ou de bâtiments (MAN) ;
• Le maillage partiel pour l’interconnexion des réseaux au niveau internet (WAN).
• Des typologies hybrides sont souvent mises en œuvre pour améliorer la fiabilité, la mise à l’échelle et la flexibilité des réseaux en
combinant les avantages de chaque typologie et en limitant leurs inconvénients.
• Les topologies mises en œuvre évoluent avec les technologies et les usages. Nous allons maintenant nous intéresser aux tendances
des réseaux.
PARTIE 1
• À mesure que de nouvelles technologies et de nouveaux • Ces tendances sont confortées par le déploiement d'infrastructures de
appareils d’utilisateurs finaux arrivent sur le marché, les plus en plus performantes. On peut citer :
entreprises et les consommateurs doivent s’adapter à un • La fibre optique;
environnement en constante évolution.
• L'internet à faible latence par satellite, notamment Starlink;
• Il existe plusieurs tendances en matière de technologies
qui affectent les organisations et les consommateurs : • Le déploiement de la 4G/5G pour la mobilité à haut debit.
• Bring Your Own Device (BYOD) ;
• Outils collaboratifs (Google Doc, Microsoft 365) ;
• Systèmes de visio-conference ;
• Cloud Computing
PARTIE 1
• La tendance du Bring Your On Device (BYOD) augmente la • Le support technique est complexifié, les utilisateurs pouvant rencontrer
satisfaction des salariés en leur permettant d’utiliser leurs des problèmes sur un ensemble d’équipements hétérogène ;
équipements préférés sur leur lieu de travail. Cela • Les aspects juridiques doivent être considérés, notamment en cas de fuite
diminue d’autant les coûts d’équipements pour les de données ou d’utilisation de services non autorisés ;
organisations ;
• Les tentatives d’interdiction du BYOD se soldent généralement par un
• Cependant, l’intégration d’équipements personnels a un échec. Le BYOD est une réalité qui doit être gérée plutôt que combattue.
impact majeur sur l’administration des réseaux ;
• La sécurisation doit être repensée : l’intérieur du réseau,
même intranet, ne peut plus être considéré comme sûr
car les équipements personnels peuvent contenir des
applications malveillantes.
PARTIE 1
Le cloud computing Le SaaS (Software as a Le PaaS (Platform as a Le IaaS (Infrastructure as a La combinaison du BYOD(
permet d’externaliser une Service) propose des Service) permet la Service) permet de ref) et du Cloud
grande partie des services applications complètes création d’applications déléguer son Computing (ref) a des
de l’organisation, qui peut clés-en-main, métiers spécifiques à infrastructure, comme le impacts majeurs sur les
se concentrer sur son généralement accessible partir de briques stockage ou les attentes des utilisateurs
cœur de métier. Les par un navigateur web. logicielles hébergées chez applications, dans des en termes de performance
fournisseurs proposent Beaucoup de services le fournisseur. Par datacenters hyper et de disponibilité réseau.
plusieurs niveaux de support sont désormais exemple, des solutions de disponibles accessibles via Le chapitre suivant
service. déployés en SaaS, comme bases de données ou des internet. Les grands montre comment les
la paie, les outils de prise web services, en Open fournisseurs sont Amazon technologies des réseaux
de congés ou de notes de Data ou sous forme d’API (AWS), Microsoft (Azure) locaux ont su évoluer
frais. Les outils sur abonnement et Google (Google Cloud). pour répondre à ces
collaboratifs comme La maintenance est tendances.
PARTIE 1
Questions
• Quel outil permet de simuler un réseau tout en • Le réseau en maille est :
minimisant la mémoire utilisée ? 1. Coûteux
1. Excel 2. Peu fiable
2. GNS3 3. Le plus utilisé dans un LAN
3. Cisco Packet Tracer • Le BYOD permet :
• Quelle catégorie fait référence à un découpage 1. De scanner les transferts sur un réseau
fonctionnel ?
2. D’intégrer des équipements personnels dans un réseau
1. Extranet
3. De retransmettre une donnée en cas d’erreur
2. WAN
• Le cloud computing :
3. Architecture 2-tiers
1. Utilise le refroidissement des nuages
• Quelle topologie dépend d’un équipement central ?
2. Est une clé USB qui augmente la capacité de calculs
1. Bus
3. Est un ensemble de services gérés par des prestataires externes
PARTIE 1
2. Étoile
3. Point à point
4. Mesh
Réponses
• Quel outil permet de simuler un réseau tout en • Le réseau en maille est :
minimisant la mémoire utilisée ? 1. Coûteux
1. Excel 2. Peu fiable
2. GNS3 3. Le plus utilisé dans un LAN
3. Cisco Packet Tracer • Le BYOD permet :
• Quelle catégorie fait référence à un découpage 1. De scanner les transferts sur un réseau
fonctionnel ?
2. D’intégrer des équipements personnels dans un réseau
1. Extranet
3. De retransmettre une donnée en cas d’erreur
2. WAN
• Le cloud computing :
3. Architecture 2-tiers
1. Utilise le refroidissement des nuages
• Quelle topologie dépend d’un équipement central ?
2. Est une clé USB qui augmente la capacité de calculs
1. Bus
3. Est un ensemble de services gérés par des prestataires externes
PARTIE 1
2. Étoile
3. Point à point
4. Mesh
10 heures
Chapitre 2
Les réseaux locaux
• Plusieurs technologies ont été utilisées pour la création d’un réseau local (LAN).
ARCNet a été développé en 1976 pour connecter des grappes de terminaux. Un réseau ArcNet était
installé avec une topologie en bus ou en étoile, offrant un débit de 2,5 Mb/s.
Token Ring, a été diffusé par IBM dans les années 1980 avec une topologie en anneau. La technologie
a été normalisée sous l’intitulé IEEE 802.5. Les débits sont passés de 4Mbit/s en 1985 à 16Mb/s en
1989. Une version a 100Mb/s est arrivée trop tard, en 1993 : Ethernet avait pris le marché !
PARTIE 1
• Aujourd’hui, la plupart des LAN sont standardisés autour de la technologie Ethernet. En effet,
La plupart des
Ethernet a un historique
investissements sont
d’évolution fluide ayant Ethernet est standardisé et
dirigés vers cette
permis une multiplication bénéficie d’un écosystème
technologie, ce qui lui
par 1000 du débit tout en de centaines de
permet d’évoluer avec les
conservant une rétro- fournisseurs, garantissant
besoins. Des milliers
compatibilté matérielle, une compétition saine et
d’ingénieurs dans les plus
permettant de planifier une maitrise des coûts.
grandes entreprises
les migrations en fonction
développent et améliorent
des besoins.
la technologie.
PARTIE 1
• Quelques alternatives subsistent pour des cas d’usage spécialisés comme Infiniband, Fibre Channel ou iSCSI pour les solutions de stockage en
réseau (SAN) nécessitant des performances élevées, pour un coût qui l’est également.
• Ethernet est apparu en 1973. Il s’agit d’un des nombreux • Débit de 10Mb/s sur 500m sans répéteur (185m pour l’Ethernet
projets ayant émergé au Xerox PARC, au cœur de la Silicon fin) ;
Valley. • Transmission en bande de base, c’est-à-dire occupant toute la
• La norme Ethernet 1 a été publiée en 1980, offrant un bande passante disponible ;
débit de 10Mbit/s. • Mécanisme de gestion des collisions CSMA/CD (Accès multiple
• En 1983, la norme devient un standard IEEE, publié sous avec écoute de la porteuse / détection des collisions) :
la référence IEEE 802.3. Cette première version de la • Ce système permet à chaque équipement d’attendre que
norme présente les caractéristiques suivantes : la voie soit libre avant d’émettre, et de gérer les collisions
• Topologie en bus ; qui peuvent se produire en raison de la latence provoquée
• Câblage coaxial fermé à chaque extrémité par par l’éloignement entre 2 équipements.
des bouchons. 2 versions de câbles étaient • 💡 Les modes de transmission et les mécanismes de gestion de contrôle
proposées : d’accès et de gestion des collision seront détaillés dans la section 3,
• 10BASE5, aussi nommé Ethernet Épais Méthodes de transmission et vitesse de commutation.
• 10BASE2, également référencé sous
PARTIE 1
• En 1995, Fast Ethernet (norme IEEE 802.3u) porte le débit • Pour la suite de ce chapitre, nous allons nous concentrer sur l’application
maximal théorique à 100Mb/s ; d’Ethernet pour les réseaux LAN, c’est-à-dire avec les caractéristiques
• En 1998, la norme IEEE 802.3z porte le débit à 1Gb/s ; suivantes :
• En 2002, les 10Gb/s sont atteints via la norme IEEE • Le câble torsadé et son connecteur RJ45 ;
802.3ae en fibre optique. Il faut attendre 2006 et la • Une ou plusieurs carte réseau dans chaque équipement connecté, qui fera
norme 802.3an pour bénéficier de ce débit sur les câbles l’objet de la section suivante ;
en cuivre torsadés traditionnels ; • La topologie en étoile avec au centre un équipement central, que nous
• Des versions d’Ethernet à 25, 40 voire 400Gb/sec ont été détaillerons dans la section d’après.
développées. Elles sont utilisées pour les interconnexions,
avec des câblages et des topologies adaptées.
PARTIE 1
• Lorsque le réseau Ethernet est organisé en étoile à partir d’un concentrateur (ou Hub), tous les échanges de trames se font par répétition du
signal.
• Lorsqu’un hôte émet via sa carte réseau, le concentrateur répète les trames vers tous les hôtes connectée au concentrateur. C’est à chaque
équipement de vérifier s’il est destinataire :
• Soit parce que la trame lui est adressée spécifiquement via son adresse Mac unique ;
• Soit parce que la trame est adressée à l’adresse de broadcast ;
• Soit parce que la trame est adressée à une adresse multicast à laquelle la carte réseau est abonnée.
• L’adressage physique des trames par répétition depuis le concentrateur alourdit considérablement la charge sur le réseau et provoquent
des collisions qui ralentissent le trafic.
PARTIE 1
Un commutateur peut transmettre les trames selon 3 modes • Le mode de transmission peut être défini par l’administrateur ou
1. Le mode direct (cut through) transmet la trame telle quelle, automatiquement si le commutateur dispose d’un mode de commutation
sans opérer de vérification. Cette méthode est la plus rapide automatique. Dans ce cas, un des 3 modes précédents est sélectionné de
mais peut transmettre des trames erronées, qui devront manière statistique en fonction du nombre d’erreurs constatées.
être détectées par l’équipement cible ;
2. Le mode différé (store and forward) réalise une opération de
contrôle sur chaque trame avant de la transmettre. Cela
ralentit la transmission mais évite d’encombrer le réseau
avec des trames erronées ;
3. Le mode mixte (fragment free) est un compromis entre les 2
modes précédents. La détection d’erreur est simplifiée mais
moins fiable.
PARTIE 1
• L’adressage physique des trames peut être réalisé en • Les équipements utilisent une technique appelée autonégociation pour
mode half duplex ou full duplex. découvrir les modes supportés par l’ensemble des équipements et fournir
• Dans le mode half duplex, un port ne peut émettre une le mode optimal. La négociation s’appuie sur les vitesses et les modes
trame que s’il n’est pas en train d’en recevoir une; duplex supportés par les équipements.
• Les concentrateurs ne fonctionnent qu’en mode
half-duplex.
• Dans le mode full duplex, tous les équipements peuvent
émettre et recevoir en même temps.
• Les commutateurs fonctionnent en mode full-
duplex, sauf si le réseau contient au moins un
concentrateur, auquel cas il peut fonctionner en
mode half-duplex pour assurer la compatibilité.
PARTIE 1
• L’association de la commutation (qui crée un canal virtuel • Nous finissons ce chapitre sur les réseaux locaux par une introduction aux
pour chaque communication) et du mode full duplex (qui réseaux sans fil.
permet l’émission et la réception simultanée) élimine tout
risque de collision.
• Un réseau exclusivement constitué de commutateurs
(sans concentrateur) est donc optimal en termes de
vitesse.
• Le dernier critère dépend de la vitesse maximale
théorique de tous les composants du réseau. Par
exemple, si tous les éléments (switch, carte réseau, câbles
Ethernet) sont certifiés Gibabit Ethernet , la vitesse
maximale théorique est de 1Gb/s.
• Un procédé appelé autonégociation permet aux
équipements de définir le mode de fonctionnement
optimal accepté par tous les équipements.
PARTIE 1
Par exemple, pour transférer les photos Par exemple, un WLAN peut connecter La technologie la plus utilisée est le Les réseaux 3/4/5G des opérateurs sont
entre un téléphone et un ordinateur. ensemble des ordinateurs, WiMAX, qui fait l’objet de la norme IEEE des exemples de WWAN.
smartphones, imprimantes, consoles de 802.16. À son lancement en 2001, les
jeux, TV connectée et tout équipement débits proposés étaient d’environ
équipé d’une carte réseau sans fil. 30Mbit/sec. Depuis 2011, des débits de
1Gb/sec sont disponibles.
La technologie la plus connue est le WiMAX peut notamment être déployé Des réseaux bas débit très peu
PARTIE 1
WIFI, dont les caractéristiques sont par des organisations dans des régions consommateurs en énergie, utilisés
définies via la norme IEEE 802.11. rurales, lorsque le déploiement de la pour l’internet des objets, forment
fibre optique et de la 4/5G n’est pas également des WWAN. On parle alors
jugé rentable par les opérateurs. de LPWAN pour Low Power Wide Area
Network.
Nous faisons maintenant un focus sur la technologie WIFI comme alternative crédible aux réseaux câbles de type Ethernet pour la mise en place
d’un réseau local.
• La norme initiale publiée en 1997 proposait un débit maximal théorique de 2Mbit/sec, avec une portée de 20m (en intérieur) à 100m
1997 (en extérieur). La bande utilisée est celle des 2,4Ghz.
• En 1999, deux normes sont La norme 802.11a porte le débit maximal à 54 Mbit/sec avec une portée
maximale de 35m (en intérieur) à 120. Elle utilise une nouvelle bande de
La norme 802.11b ne monte qu’à 11 Mbit/sec, mais reste sur
la bande des 2,4Ghz. Il faut attendre 2003 et la norme
publiées : fréquence à 5Ghz, qui n’est pas compatible avec tous les équipements 802.11g pour obtenir 54Mbit/sec sur cette bande.
1999
• En 2009, la norme 802.11n monte le débit théorique à 450Mbit/sec. Elle fonctionne sur les 2 bandes, pour une compatibilité maximale avec les
2009 équipements existants. La portée maximale en intérieur est de 70m en 2,4Ghz mais seulement de 12 à 35m sur la bande des 5Ghz.
• En 2013, la norme 802.11ac porte le débit maximal à 1,3Gb/sec, uniquement sur la bande des 5ghz.
2013
PARTIE 1
• La dernière évolution a été publiée en mai 2021 : la norme 802.11ax propose 10Gb/sec sur les 2 bandes, avec une portée de 12 à 35m
2021 en intérieur.
• La mise en place d’un WLAN nécessite l’installation d’un • Le point d’accès fonctionne comme un concentrateur, en mode semi-
Point d’accès WIFI : duplex. Contrairement aux équipements connectés en Ethernet, les
• L’acronyme AP (Access Point) est parfois utilisé équipements sans fil peuvent ne pas détecter les autres équipements.
• Un point d’accès WIFI est connecté à un LAN par un câble • La norme 802.11 implémente le protocole CSMA/CA afin d’éviter
Ethernet et permet ensuite la connexion des équipements les collisions, en remplacement du CSMA/CD d’Ethernet qui les
sans fil. détecte.
• Certaines « box » internet fournissent à la fois la • Ce protocole met en place un mécanisme de négociation où un
connectivité sans fil et Ethernet. Ils font office de équipement qui souhaite émettre demande l’autorisation au point
point d’accès WIFI intégré. d’accès qui autorise ou non l’émission.
• Ce procédé explique pourquoi l’augmentation du nombre
d’équipements connectés réduit considérablement la vitesse
générale du réseau sans fil.
PARTIE 1
• Ethernet s’est imposé comme norme pour la mise en place de réseaux locaux (LAN). Chaque équipement connecté est équipé d’une carte
réseau identifiée par une adresse MAC. La communication utilisant les adresses MAC est appelée adressage physique. Les données
échangées sont appelées des trames.
choisissent ou non d’accepter les trames. Cela full-duplex. Les collisions n’existent ainsi plus et
nécessite d’utiliser un protocole pour gérer les l’équipement le moins performant.
la vitesse est ainsi optimisée.
collisions, appelé CSMA-CD.
Le chapitre suivant traite de l’adressage IP, qui permet de mettre en place un adressage logique et d’interconnecter les réseaux.
Questions
• Par quoi sont causées les collisions ? • Le connecteur le plus courant en Ethernet est
• Par 2 équipements qui communiquent en même • USB C
temps • RJ 45
• Par une vitesse excessive • IEEE34
• Par une rupture de câble • Quel équipement crée un canal virtuel pour chaque communication
• Un réseau local est associé à quelle catégorie ? pour éviter les collisions ?
• PAN • Le concentrateur
• WAN • Le commutateur
• LAN • La carte réseau
• Une adresse MAC est une adresse • Un point d’accès WIFI fonctionne
• Logique • En half-duplex
• Physique • En full-duplex
PARTIE 1
• Temporaire • En wi-duplex
Réponses
• Par quoi sont causées les collisions • Le connecteur le plus courant en Ethernet est
• Par 2 équipements qui communiquent en même • USB C
temps • RJ 45
• Par une vitesse excessive • IEEE34
• Par une rupture de câble • Quel équipement crée un canal virtuel pour chaque communication
• Un réseau local est associé à quelle catégorie ? pour éviter les collisions ?
• PAN • Le concentrateur
• WAN • Le commutateur
• LAN • La carte réseau
• Une adresse MAC est une adresse • Un point d’accès WIFI fonctionne
• Logique • En half-duplex
• Physique • En full-duplex
PARTIE 1
• Temporaire • En wi-duplex
• Systèmes Numériques
• Adressage IPv4/IPv6
• Segmentation d’un réseau en sous-réseaux
• VLSM
10 heures
Chapitre 3
L’adressage IP
1. Systèmes Numériques
2. Adressage IPv4/IPv6
3. Segmentation d’un réseau en sous-réseaux
4. VLSM
03 - Systèmes numériques
Le binaire : au plus près de la machine
• En informatique, les données sont stockées et transmises • La représentation d’une donnée de plusieurs octets devient rapidement
sous forme de bits. illisible. Pour des raisons de lisibilité, Il est donc courant de les représenter
• En fonction du support (câble, fibre), on utilise un codage • Dans le système décimal
électrique ou optique pour transmettre un état 0 ou 1. • Dans le système hexadécimal
• Afin d’obtenir une meilleure lisibilité, les bits sont
regroupés par 8 sous forme d’octets. Un octet pouvant
représenter :
• Un caractère ASCII
• Un nombre entier positif entre 0 et 255
• Les octets peuvent être combinés pour obtenir d’autres
types de données. Par exemple, avec 4 octets (soit 32
bits) on représente :
• Un caractère Unicode encodé en UTF-8
• Environ 4,2 milliards de nombres entiers positifs
PARTIE 1
• Au chapitre précédent, nous avons vu qu’une adresse • Le tableau ci-dessous montre comment nous pouvons représenter chaque
Mac, qui identifie une interface réseau Ethernet, est octet en valeur décimale.
composée de 48bits. • Le bit le plus à droite d’un octet a pour valeur 20, soit 1. Le bit
• Dans le cas de l’adresse de diffusion à toutes les précédent vaut 21 soit 2, celui d’avant 22 soit 4, et ainsi de suite ;
machines du réseau (dite de broadcast), tous les bits sont • La valeur décimale s’obtient en faisant la somme des valeurs
à 1. En binaire, on écrira donc : décimales associées aux bits de valeur 1 ;
1111111111111111111111111111111111111111111111
11 • En convertissant en décimal notre adresse de broadcast, nous
obtenons ainsi 255 255 255 255 255 255.
• Si on regroupe en octets, l’écriture de l’adresse de
broadcast devient : 11111111 11111111 11111111 • Le système décimal améliore ainsi la lisibilité de la valeur d’un octet.
11111111 11111111 11111111 • Nous pouvons aller plus loin avec une représentation hexadécimale
Bits 1 1 1 1 1 1 1 1
PARTIE 1
Puissance de 2 associée 27 26 25 24 23 22 21 20
• Le système hexadécimal utilise 16 symboles : les chiffres • Dans notre exemple, chaque octet de l’adresse de broadcast est ainsi :
de 0 à 9 et les lettres de A à Z. • En binaire : 11111111
• Chaque chiffre hexadécimal représente l’équivalent de 4 • En décimal : 255
bits. On peut ainsi représenter un octet avec 2 chiffres
uniquement. • En hexadécimal : FF
• Le tableau ci-contre montre des exemples de conversions • La notation de l’adresse complète sépare chaque octet avec « : »
entre système décimal, binaire et hexadécimal • Nous obtenons ainsi ff:ff:ff:ff:ff:ff comme représentation officielle de
• La notation hexadécimale est notamment utilisée pour l’adresse MAC de broadcast.
représenter
Décimal Binaire Hexadecimal Décimal Binaire Hexadecimal
• Le codage des couleurs ;
0 00000000 00 9 00001001 09
• Les adresses MAC des cartes réseau Ethernet ;
1 00000001 01 10 00001010 0A
• Les adresses IPv6, que nous allons voir dans ce 2 00000010 02 11 00001011 0B
chapitre.
3 00000011 03 12 00001100 0C
4 00000100 04 13 00001101 0D
PARTIE 1
5 00000101 05 14 00001110 0E
6 00000110 06 15 00001111 0F
7 00000111 07 … … …
8 00001000 08 255 11111111 FF
1. Systèmes Numériques
2. Adressage IPv4/IPv6
3. Segmentation d’un réseau en sous-réseaux
4. VLSM
03 - Adressage IPv4/IPv6
De l’adressage physique à l’adressage logique
• L’adressage physique identifie de manière unique • L’adressage IP résout ce problème en mettant en place une adresse
n’importe quelle carte réseau via l’adresse MAC gravée logique, indépendante de l’adresse physique. Cette adresse va permettre
physiquement. d’identifier :
• Cependant, les adresses physiques posent 2 problèmes • Le réseau sur lequel la machine est connectée ;
pratiques majeurs : • La machine sur le réseau concerné.
• L’utilisation de cette adresse directement par • L’adresse IP est également indépendante de toute topologie de réseau ou
une application nécessiterait sa mise-à-jour en de son support physique. Une adresse IP peut être associée à toute
cas de remplacement d’une machine ou de sa interface réseau, qu’elle soit Ethernet ou autre.
carte réseau ;
• Les données transférées en utilisant l’adressage IP s’appellent des
• Les adresses MAC ne sont accessibles qu’à paquets, par opposition aux trames de l’adressage physique.
l’intérieur d’un réseau donné. Toute
communication avec un autre réseau est • Deux versions du protocole IP sont aujourd’hui déployées : IPv4 et IPv6. La
impossible. suite de cette section présente ces 2 versions.
PARTIE 1
• La version 4 du protocole définit une adresse sur 32 bits, • Par exemple, l’adresse IPv4 172.16.254.1 représente l’hôte sur 12 bits et
soit 4 octets. l’hôte avec les 20 derniers bits. La première et la dernière valeur de l’hôte
• Les 4 octets d’une adresse IPv4 sont écrits en notation représentent le réseau et l’adresse de broadcast :
décimale et sont séparés par un point. • Le réseau de cet hôte est noté 172.16.0.0 ;
• Par exemple : 172.16.254.1 • L’adresse de broadcast de ce réseau est 172.31.255.255.
• Une adresse IPv4 représente à la fois le réseau et l’hôte : • Pour représenter de manière non ambiguë le nombre de bits représentant
• La première partie de l’adresse identifie le le réseau, nous pouvons utiliser la notation /12
réseau. ; • Notre exemple s’écrit ainsi, avec cette notation, 172.16.254.1/12
• Le reste des bits identifie la machine, appelée
hôte.
PARTIE 1
• Une adresse IP est attribuée à chaque hôte devant être • 3 plages d’adresses sont réservées aux réseaux privés. La plage à
connecté à un réseau. utiliser dépend du nombre d’adresses nécessaires pour l’ensemble
• Si cet hôte doit être accessible depuis internet, l’adresse IP doit des hôtes à administrer.
être publique.
• Une adresse IP publique est unique au monde ;
• L’affectation de ces adresses est de la responsabilité
de l’IANA ( Internet Assigned Numbers Authority) qui
a délégué cette autorité à des opérateurs régionaux ;
• De manière pratique, en tant qu’administrateur, les
adresses IP sont louées auprès de sociétés
spécialisées.
Préfixe Plage IP Nombre d'adresses
10.0.0.0/8 10.0.0.0 – 10.255.255.255 232-8 = 16 777 216
PARTIE 1
• Lorsque 2 machines communiquent, un ou plusieurs paquets sont transmis. Un paquet contient un en-tête et des données :
• L’en-tête contient 14 champs qui permettent de gérer l’acheminement du paquet à travers le réseau.
• La taille de l’en-tête est variable en raison du champ « Options » qui peut être vide ou partiellement utilisé.
PARTIE 1
• Les types d’adresses IPv6 sont formalisés dans le document de spécification RFC 4291.
• https://datatracker.ietf.org/doc/html/rfc4291
• Les types d’adresses définies sont :
• L’adresse de Loopback qui identifie l’hôte même ;
• Les adresses Link-local, permettant la communication sur réseau lien local (non routable à l’extérieur) ;
• Les adresses Unicast, qui identifient une interface de manière unique routable sur internet ;
• Les adresses Anycast, qui identifient plusieurs interfaces. Lors d’une transmission, l’interface la plus proche est utilisée ;
• Les adresses Multicast. Chaque interface concernée reçoit la transmission qui lui est adressée.
PARTIE 1
• Les terminaux et les équipements de connexion sont • Maintenant que nous avons vu comment sont définies les adresses et la
équipés d’une ou plusieurs interfaces (ou carte réseau), manière dont les paquets sont transmis, nous allons voir comment
identifiées par : optimiser le trafic avec la segmentation et la définition de sous-réseaux.
• Une adresse physique ;
• Une adresse IPv4 ou IPv6, ou les deux.
• Les données envoyées par les applications sont
découpées en paquets.
• Chaque paquet contient un en-tête avec toutes les
informations nécessaires à la transmission du paquet de
la source à la destination.
• IPv6 dispose d’un en-tête simplifié et de protocoles de
routage plus performants.
PARTIE 1
1. Systèmes Numériques
2. Adressage IPv4/IPv6
3. Segmentation d’un réseau en sous-réseaux
4. VLSM
03 - Segmentation en sous-réseau
Classes de réseaux
• Un réseau local moderne typique utilise une des plages • Ce réseau est généralement connecté à internet par un routeur qui
d’adresses privées définies dans le protocole IPv4 contient 2 interfaces réseaux :
• 10.0.0.0 – 10.255.255.255 • Une interface possède une adresse IP privée du réseau
• Chaque hôte a le premier octet de valeur interne et communique avec les hôtes du réseau ;
10. • L’autre interface définit une adresse IP publique lui
• Le CIDR des adresses du réseau est /8. permettant d’être atteint depuis internet.
• 172.16.0.0 – 172.31.255.255
• Chaque hôte a le premier octet de valeur
172 et le second entre 16 et 31.
• Le CIDR des adresses du réseau est /12.
• 192.168.0.0 - 192.168.255.255
• Chaque hôte a le premier octet de valeur
192 et le second de 168.
PARTIE 1
• Une fois la plage d’adresse définie pour l’ensemble du • Par exemple, chaque laboratoire informatique d’une école pourra faire
réseau local, on divise généralement le réseau en sous- l’objet d’un sous-réseau, permettant d’identifier facilement quels postes
réseaux. Cela permet : sont situés dans quelle salle. On parle de segmentation géographique.
• De limiter la portée des broadcast, qui utilisent • Dans l’exemple ci-contre, les serveurs d’une grande entreprise sont
énormément de ressources au niveau des séparés en 4 sous-réseau pour fournir à chaque service ses propres
commutateurs ou provoquent des tempêtes si le serveurs. On parle alors de segmentation fonctionnelle.
réseau utilise des concentrateurs ;
• De faciliter l’administration en créant des plages
d’adresses en fonction de critères
géographiques ou d’usage.
PARTIE 1
1. Systèmes Numériques
2. Adressage IPv4/IPv6
3. Segmentation d’un réseau en sous-réseaux
4. VLSM
03 - VLSM
Enjeux des sous-réseaux de taille variable
• VLSM génère des sous-réseaux variables en fonction du • Le sous-réseau le plus grand ayant un CIDR de /26, on peut partir d’un
nombre d’hôtes à héberger. réseau de base 192.168.1.0/25.
• Chaque sous-réseau doit avoir une adresse qui serait • Le réseau « Commerciaux » peut se voir affecter le sous-réseau
possible avec un masque de sous-réseau traditionnel, en 192.168.1.64/26, qui est un des 2 sous-réseaux valides.
respectant le découpage binaire. • Le reste de l’adressage peut être réparti entre les autres sous-
• Prenons le cas d’un réseau à segmenter en fonction des réseaux, par exemple
services d’une société de communication : • 192.168.1.32/28 pour la Direction ;
• Direction : 9 machines, soit 4 bits nécessaires • 192.168.1.48/28 pour le support ;
pour identifier chaque hôte. Le CIDR du sous-
réseau est donc de /28 ; • 192.168.1.0/29 pour la Comptabilité ;
• Comptabilité : 5 machines, soit 3 bits • Des outils en ligne existent pour effectuer ou vérifier les calculs. Par
nécessaires. Le CIDR du sous-réseau est donc exemple : http://vlsmcalc.net/
de /29 ;
• Commerciaux : 35 machines, soit 6 bits
PARTIE 1
Questions
• Sous quel format sont transmis les données • IPv6 résout quel problème principal ?
physiquement ? • Le manque de champs dans l’en-tête IPv4
• En binaire, électriquement ou optiquement • La pénurie d’adresses IPv4 publiques
• En décimal, par modulation de fréquence • Les collisions sur un réseau WIFI
• En hexadécimal, par modulation d’amplitude
Réponses
• Sous quel format sont transmis les données • IPv6 résout quel problème principal ?
physiquement ? • Le manque de champs dans l’en-tête IPv4
• En binaire, électriquement ou optiquement • La pénurie d’adresses IPv4 publiques
• En décimal, par modulation de fréquence • Les collisions sur un réseau WIFI
• En hexadécimal, par modulation d’amplitude
5 heures
Chapitre 4
Les modèles et les protocoles
• La couche 4 ou couche transport : • Lors d’un envoi, la couche transport encapsule les données émises par la
• contrôle les flux réseaux, couche supérieure pour générer son PDU (Protocol Data Unit, unité de
données spécifique à la couche) : le segment.
• est responsable de la gestion des erreurs.
• Lors d’une réception, la couche transport décapsule les paquets reçus de
• Le transport peut être réalisé : la couche inférieure pour récupérer les segments.
• En mode connecté lorsque la priorité est la
fiabilité. On l’utilise lorsque la réception des
données doit être garantie.
• TCP est un exemple de protocole en mode
connecté.
• En mode non-connecté lorsque la priorité est la
simplicité et la rapidité. On l’utilise lorsqu’il est
inutile de retransmettre une donnée perdue,
comme dans le streaming par exemple.
• UDP est un exemple de protocole en
PARTIE 1
• La couche 3 ou couche réseau construit une voie de • Les équipements intermédiaires transmettent les paquets tels qu’ils les
communication de bout en bout entre l’émetteur et le ont reçus, sauf s’il est nécessaire de réaliser une fragmentation (dans le
destinataire. cas de l’IPv4) si la capacité de transfert (MTU) du réseau suivant est
• Deux fonctions sont mises en œuvre : insuffisant.
• Le routage détermine le chemin à emprunter à • IpV4 et IPv6 sont les 2 implémentations les plus courantes de la couche
travers les différents réseaux possibles. réseau.
• Le relayage (ou acheminement) assure la
transmission d’un paquet entre 2 réseaux
interconnectés pour le rapprocher de sa
destination.
• Au moment de l’émission, la machine génère les paquets
en encapsulant les segments reçus de la couche
supérieure.
• La machine destinataire décapsule les paquets et
PARTIE 1
• La couche 2 ou couche liaison transfère des données : • Les paquets émis sont encapsulés en trames lors de l’émission.
• entre les équipements d’un même segment d’un • Lors de la réception, les trames sont formées à partir des bits reçus.
LAN, • L’équipement principal de la couche liaison est le switch, qui est capable
• entre les équipements adjacents d’un WAN. de ne transmettre les trames qu’aux équipements concernés.
• La couche liaison est composée de 2 sous-couches : • Le protocole le plus utilisé est Ethernet.
• La sous-couche haute, dite logique, assure une
fonction de correction d’erreurs.
• La sous-couche basse, dite de contrôle d’accès
au media, organise la liaison via les adresses
Mac des équipements concernés.
PARTIE 1
• Le modèle OSI est un modèle conceptuel qui définit un Ce modèle conceptuel a été défini pour s’adapter à n’importe quel type de
vocabulaire commun pour les professionnels de l’IT. réseau. Un modèle plus centré sur les technologies IP a été défini. Ce modèle a
• La maitrise de ce vocabulaire permet de positionner un été défini par le DOD (Department Of Defense) et est appelé modèle DOD ou
matériel ou un protocole dans une couche. modèle TCP/IP. La section suivante présente ce modèle.
• Par exemple, la commutation est réalisée en
couche 2, tandis que l’adressage IP mobilise la
couche 3.
• Les couches sont numérotées de la plus basse, la couche
physique, à la plus élevée, la couche applicative.
• Chaque couche définit et manipule un format de donnée
spécifique appelé PDU (Protocol Data Unit) :
• Des données pour les couches 5 à 7
• Des segments pour la couche 4
• Des paquets pour la couche 3
PARTIE 1
• La couche internet permet le routage des paquets entre des hôtes situés
sur des réseaux différents : elle principalement concernée par
l’interconnexion entre les réseaux. Le matériel concerné est le routeur.
• Les segments en provenance de la couche transport fournissent une
adresse source et une adresse de destination mais aucun chemin n’est
fourni à l’avance. Pour gérer l’acheminement, 3 protocoles sont mis en
place par la couche IP :
• IP transforme les segments reçus de la couche transport et crée des
paquets. La table de routage du routeur est utilisée pour
transmettre les paquets vers le réseau suivant, plus proche de la
destination, ou à l’hôte de destination s’il est situé sur le réseau
concerné.
• ICMP (Internet Control Message Protocol) véhicule les messages de
contrôle et d’erreur. Par exemple, la commande ping utilise ICMP
pour tester la disponibilité d’un serveur.
PARTIE 1
de futures pertes.
• UDP (User Datagram Protocol) transmet les données sous forme
de datagrammes très simples, sans connexion ni contrôle. Cela
apporte un gain en vitesse notable par rapport à TCP.
emails.
• La couche application s’appuie sur la couche transport pour assurer la fiabilité
ou la vitesse des transferts de données.
• Nous reviendrons sur les protocoles de la couche application dans la dernière
section de de chapitre.
• Les échanges entre les couches adjacentes sur une même machine
sont appelées échanges verticaux ou interactions inter-couches.
• Chaque couche de TCP/IP dépend des couches inférieures
pour fournir un service aux couches supérieures.
• Lorsqu’un hôte émet, les données sont encapsulées par
chaque couche.
• Lorsqu’un hôte reçoit, les bits sont décapsulés en trames,
paquets, segments et enfin données.
• Les en-têtes encapsulées par chaque couche au moment de
l’émission sont traitées par les mêmes protocoles au niveau de
chaque couche par le destinataire. On appelle cela l’interaction sur
couche identique.
• Cette interaction permet de se concentrer sur une couche
donnée, sans se préoccuper du fonctionnement des couches
PARTIE 1
inférieures.
• Par exemple, la décision d’envoyer les données en TCP ou en
UDP se prend au niveau de la couche transport. Il s’agit de
s’assurer que le destinataire est en mesure de traiter le
protocole choisi par l’émetteur.
• TCP/IP définit un ensemble de protocoles à partir du • Des modèles récents de TCP/IP proposent un modèle en 5 couches où la
modèle défini par le Département de la Défense des couche liaison est séparée en 2 sous-couches, l’une pour la gestion des
États-Unis (DoD) supports et l’autre pour l’adressage physique.
• La RFC 1122 définit ainsi 4 couches du plus bas au plus • Nous avons ainsi 2 modèles pour la modélisation des réseaux : le modèle
haut niveau, les couches les plus basses fournissant un OSI et le modèle TCP/IP. Nous allons comparer ces 2 modèles dans la
service aux couches les plus hautes. On a ainsi : section suivante.
• La couche liaison qui assure la création de
trames adaptées aux supports physiques.
• La couche internet qui assure le routage des
paquets entre les réseaux interconnectés.
• La couche transport qui assure un transport
de bout en bout fiable ou rapide.
• La couche application qui fournit des briques
d’accès au réseau aux développeurs
PARTIE 1
d’applications.
• TCP/IP est le modèle pratique qui s’est imposé. La • Un routeur est un équipement dit de couche 3 car il s’appuie sur la
technologie IP est aux cœur des réseaux, du petit réseau technologie IP pour router les paquets.
familial aux grands réseaux distribués des fournisseurs
Cloud.
La dernière section de ce chapitre présente des services importants de la
• OSI a échoué comme prescripteur de technologie mais a couche application de TCP/IP.
gardé une utilité pratique en termes de description de
fonctionnalités. Par exemple :
• Un concentrateur (hub) est décrit comme un
périphérique de couche 1 car il ne fait que
retransmettre un signal physique sans
discrimination.
• Un concentrateur (switch) est principalement décrit
comme un périphérique de couche 2 car il exploite
les adresses MAC pour prendre des décisions
intelligentes pour l’adressage des trames.
PARTIE 1
• L’organisation en couches de TCP/IP permet l’utilisation • En effet, un seul serveur pouvant fournir plusieurs services, le port permet
des services d’une couche sans avoir à se préoccuper de d’identifier celui qui est demandé.
son fonctionnement. • Certains services sont fournis par un port bien défini. On parle alors
• Du point de vue d’un développeur d’application, la mise de ports réservés (Well Known Port Number). Leur numéro est
en place de fonctionnalités réseau nécessite simplement attribué par l’IANA (Internet Assigned Numbers Authority), de 0 à
de faire appel aux services en respectant les protocoles 1023.
définis par la couche application de TCP/IP. • Les ports non réservés au-dessus de 1024 peuvent être utilisés
• La machine qui offre un service est appelé serveur. La librement par les développeurs de logiciels pour fournir leur propre
machine qui utilise le service est le client. Pour accéder à service.
un service, le client fournit 3 informations qui sont • Nous allons approfondir ce concept en étudiant quelques services bien
exploitées par la couche transport : connus :
• L’adresse IP du serveur • DNS, DHCP, FTP ;
• Le protocole de transport (TCP ou UDP) • ainsi que les protocoles de messagerie SMTP, POP et IMAP.
• Le port de connexion
PARTIE 1
• Lors de la présentation des couches du modèle OSI, nous • Dans la vraie vie comme dans cet exemple, les utilisateurs ne saisissent
avons défini le Web comme application phare de la pas une adresse IP mais un nom de domaine explicite facile à mémoriser.
couche application. • Une autre application se charge de récupérer l’adresse IP nécessaire à la
• Pour accéder à une page web, 2 étapes sont connexion : le DNS, que nous allons étudier.
nécessaires :
• Établir une connexion sur l’adresse IP du
serveur web, avec le protocole TCP, sur le
port 80 ;
• Une fois la connexion établie, envoyer une
requête respectant le format défini par le
protocole HTTP.
• L’illustration à droite montre la connexion, la
requête envoyée et la réponse reçue.
• En pratique, des navigateurs web graphiques ont été
PARTIE 1
• DHCP est un protocole fourni par le port 67 des serveurs • Concrètement, une machine n’ayant pas d’adresse IP attribuée va diffuser
qui le proposent. en broadcast une demande sur le port 67 de toutes les machines du
• Il permet d’affecter dynamiquement une adresse IP et un réseau qu’elle essaie de rejoindre.
masque de sous-réseau à une machine nouvellement • Si un serveur offrant le service DHCP est actif, il répond par une adresse IP
connectée sur le réseau. disponible.
• Ce protocole est particulièrement utile en mobilité • Le client accepte la première offre qui lui parvient.
notamment pour connecter facilement un • Une box internet active généralement ce service par défaut pour
smartphone sur un réseau WIFI ou une nouvelle permettre de brancher des équipements sur les ports RJ45 ou de les
imprimante sur un LAN Ethernet. connecter en WIFI.
• Il n’est ainsi plus nécessaire de configurer • En entreprise, des serveurs DHCP dédiés peuvent être configurés pour une
manuellement une adresse statique et le masque sécurité renforcée.
associé.
• Par exemple, en n’acceptant que les machines ayant une adresse
MAC connue.
PARTIE 1
• La messagerie électronique s’appuie sur 3 protocoles • IMAP (Internet Message Access Protocol) résout les problèmes de
principaux : POP en se synchronisant avec les serveurs de messagerie.
• SMTP (Simple Mail Transfer Protocol) gère l’envoi • Il est ainsi possible de renommer ou supprimer des messages
de mails. Son port réservé est le 25 pour un envoi et de retrouver les modifications sur toutes ses machines
non chiffré. connectées à son compte de messagerie.
• Les problèmes liés aux courriers indésirables • Chacun de ces protocoles offre une version sécurisée avec chiffrement.
a conduit la plupart des fournisseurs d’accès • Pour SMTP, le port 587 est réservé à l’envoi d’un mail avec
à bloquer SMTP sur la connexion des chiffrement.
utilisateurs non professionnels. Il faut utiliser
les serveurs mis en place par le fournisseur. • Pour POP, la technologie disponible sur le port 995 est désormais
obsolète et son usage est déconseillé.
• Les messages sont transférés vers le serveur
mail du destinataire pour y être récupérés. • Le port 993 remplit la fonction d’accès sécurisé aux mails avec une
technologie moderne en IMAP.
• POP (Post Office Protocol) est un protocole simple
pour la récupération des mails. Son port est le 110.
PARTIE 1
5 heures
Chapitre 5
Mise en place d’un réseau LAN
• Un réseau bien conçu répond aux exigences suivantes : • Différents critères permettent de valider une bonne conception :
• Robustesse • Le réseau répond au besoin
• Évolutivité • Le réseau s’appuie sur un modèle bien défini
• Sécurité • La conception est documentée
• Facilité d’administration • Le réseau est évolutif
• Les enjeux de sécurité sont documentés
PARTIE 1
• La capacité d’un réseau à répondre aux besoins des • Une fois la collecte d’information terminée, les informations recueillies
utilisateurs est le premier critère de validation d’une sont traitées. On identifie ainsi
conception. • les activités de l’organisation,
• La première étape de la conception d’un réseau est donc • les flux de données échangées ou traitées,
l’analyse de besoin.
• les services dotés (ou à doter) de matériel informatique.
• Plusieurs méthodes peuvent être mises en œuvre :
• À partir de cette analyse, on peut passer à la seconde étape, la définition
• Une recherche documentaire. Elle consiste en un d’une architecture de réseau.
inventaire de l’existant (technique et fonctionnel)
du commanditaire.
• Des interviews utilisateurs pour cerner les
éléments manquants ou à améliorer.
• Un benchmark des solutions utilisées par des
organisations de même taille ou dans le même
domain.
PARTIE 1
• Une fois l’architecture définie, la 3e étape est la sélection • Une fois le constructeur sélectionné, les équipements spécifiques sont
du matériel. choisis en fonction de critères de prix, de performance et de nombre de
• Dans une architecture SOHO, une box internet sert ports notamment.
généralement de point de départ : • La normalisation autour de TCP/IP permet d’interconnecter des
• Elle contient généralement un routeur vers équipement provenant de constructeurs différents, mais
internet, le point d’accès WIFI et un switch intégré l’administration du réseau sera plus complexe.
avec 2 à 4 ports RJ45 intégrés.
• Le réseau peut être étendu par l’ajout de switchs
supplémentaires.
• Dans une architecture d’entreprise, un seul constructeur
est généralement sélectionné, notamment pour faciliter
la mise en place initiale puis la surveillance de la sécurité
et des performances grâce à des outils spécifiques
développés par le constructeur.
PARTIE 1
Une fois le réseau en service, notre rôle est d’assurer la qualité du service rendu aux utilisateurs. C’est le sujet de l’optimisation que nous
allons traiter dans la prochaine section.
Enjeux Techniques
• L’optimisation du réseau, même bien conçu au départ, est • Il existe différentes manières d’optimiser un réseau, comme :
une préoccupation majeure d’un administrateur réseau et 1. Optimiser la segmentation du réseau
de son équipe. En effet :
2. Mettre en place la QoS (Quality of Service)
• Les entreprises sont de plus en plus dépendantes
de la disponibilité de leurs outils informatiques. 3. Optimiser le routage
• Les utilisateurs, habitués à la haute disponibilité 4. Mettre en place une surveillance proactive
des services qu’ils utilisent à titre personnel 5. Provisionner de nouvelles capacités
(réseaux sociaux, streaming...) ont désormais les • Les 3 premières techniques seront détaillées dans les parties à venir de ce
mêmes attentes que dans le milieu professionnel.
cours.
• De plus en plus de services sont mis en place,
• Nous allons étudier dans cette section les techniques d’optimisation par la
souvent de plus en plus consommateurs de
surveillance et le provisionnement de nouvelles capacités.
puissance et de bande passante.
• Malgré les progrès réalisés par les outils d’administration,
les réseaux ne sont pas encore capables de s’auto-
optimiser.
PARTIE 1
• L’ajout de capacités consiste à installer de nouveaux • L’ajout de capacités doit être planifié pour perturber au minimum le
équipements ou à remplacer des équipements existants fonctionnement du réseau. Il est possible de :
par des équipements plus performants. • Planifier les opérations le soir ou le week-end si l’entreprise
• Il s’agit d’opérations coûteuses qui doivent donc être fonctionne uniquement pendant les heures de bureau.
mises en œuvre seulement une fois que les autres • Mettre en place une redondance ou activer le nouveau matériel
techniques ont été mises en œuvre : avant de retirer l’ancien dans le cas d’un remplacement.
• Segmentation du réseau, QoS, optimisation du • Une fois les capacités augmentées, il est nécessaire d’évaluer l’impact sur
routage. le trafic, les ressources disponibles et l’amélioration de l’expérience
• Analyse des éléments remontés par le NMS. utilisateur.
• Identification des parties du réseau posant
problème.
• Élimination du gaspillage (stockage non nécessaire
ou flux réseaux non pertinents).
PARTIE 1
• La gestion des incidents est un sujet majeur de • L’objectif principal est le rétablissement des services le plus rapidement
l’administration d’un réseau comme le montre possible :
l’intégration de cette problématique dans les bonnes • Une solution temporaire mise en œuvre rapidement est préférable à
pratiques ITIL. une solution parfaite mais plus longue.
• ITIL est un ensemble d’ouvrages rassemblant les • Une fois les services rétablis, la recherche des causes et la mise en
bonnes pratiques de management d’un système place d’une solution optimale est réalisée dans un second temps,
d’information. dans le cadre de la gestion des problèmes.
• L’ouvrage spécifique à l’exploitation des services • ITIL décompose la gestion des incidents en 6 opérations :
définit la gestion des incidents comme « la
restauration d’un fonctionnement normal ». 1. Détection et enregistrement des incidents
2. Assistance initiale à l’utilisateur affecté
3. Enquête et diagnostic
4. Résolution ou restauration
5. Clôture
PARTIE 1
6. Suivi et communication
Avantages Difficultés
• La mise en place d’une politique de gestion des incidents • La formalisation de la politique des incidents peut provoquer différents
formalisée permet de : problèmes :
• Réduire l’impact des incidents. • Une résistance au changement de la part des utilisateurs pouvant
• Détecter les incidents plus rapidement. aller jusqu’au refus d’utiliser les outils mis en place.
• Résoudre les incidents plus vite, même si la • Un budget insuffisant face aux besoins pouvant nuire à l’efficacité du
solution initiale doit être complétée dans un système voire empirer la situation.
second temps.
• Garder une trace des incidents et de leur résolution
pour repérer et résoudre les problèmes de fond
dans le cadre de l’optimisation.
• Améliorer la satisfaction des utilisateurs.
PARTIE 1
Questions
• Quel objectif est commun à la conception, l’optimisation • Que fournit ITIL ?
et le dépannage ? • Un ensemble de bonnes pratiques
• Réduire les coûts • Une liste d’outils
• Offrir le meilleur service à l’utilisateur • Un comparatif des meilleurs matériels
• Assurer le suivi d’un réseau existant
Réponses
• Quel objectif est commun à la conception, l’optimisation • Que fournit ITIL ?
et le dépannage ? 1. Un ensemble de bonnes pratiques
1. Réduire les coûts 2. Une liste d’outils
2. Offrir le meilleur service à l’utilisateur 3. Un comparatif des meilleurs matériels
3. Assurer le suivi d’un réseau existant
• Définir la commutation
• Mettre en œuvre des VLAN
• Gérer la redondance et l’agrégation de liaisons
• Sécuriser les commutateurs dans un réseau
35 heures
Chapitre 1
Définition de la commutation
5 heures
Chapitre 1
Définition de la commutation
• Le switch est l’équipement permettant de connecter les • La notion initiale de switch fait référence à un fonctionnement en
hôtes d’un même sous-réseau avec une topologie en couche 2 (liaison) du modèle OSI.
étoile. • Un switch L2 analyse les trames pour ne les transmettre qu’aux
• Plusieurs switchs peuvent être connectés les uns aux hôtes concernés. Un canal virtuel est créé pour éliminer les
autres pour augmenter le nombre d’hôtes dans le sous- collisions.
réseau. • Les switch L3 et L7 apportent des fonctionnalités avancées :
• Historiquement, la fonction de connexion centralisée était • La communication inter-VLAN pour les switch L3.
exercée par un hub qui opère sur la couche 1 (physique)
du modèle OSI. • L’analyse du contenu des données pour les switch L7.
• Le fonctionnement en half-duplex, la gestion des • La section suivante présente en détail la manière dont un switch
collisions et l’encombrement du réseau par la effectue la commutation.
diffusion des trames à tous les autres limitent
fortement les performances d’un hub.
PARTIE 2
• À réception d’une trame, le switch vérifie que la trame est • Le switch lit ensuite l’adresse MAC de destination dans le champ
valide grâce à la somme de contrôle contenue dans le destination et recherche le port associé dans sa table d’adresses.
champ FCS. • Si l’adresse n’est pas dans la table, la trame est envoyée à tous les
• Si la somme est invalide, la trame est tout hôtes du sous-réseau. L’hôte destinataire répond et son adresse est
simplement supprimée. ajoutée à la table pour de futures transmissions.
• Le switch lit ensuite l’adresse MAC source et l’ajoute dans • Si l’adresse MAC de destination est une adresse Multicast, tous les hôtes
sa table d’adresses. Cela lui permet ultérieurement de abonnés à cette adresse reçoivent la trame.
connaitre directement le port de destination lorsqu’une • Si l’adresse MAC de destination est ff:ff:ff:ff:ff:ff (adresse de broadcast),
trame est adressée vers cet hôte. tous les hôtes reçoivent la trame, sauf l’émetteur.
PARTIE 2
Ce mode assure une commutation plus Si la trame est invalide, elle est jetée Ce mode transmet moins de paquets Dans ce mode, le commutateur ajuste
rapide mais peut transmettre des sur le champ. erronés tout en conservant une sa stratégie en fonction de la
trames inutiles car modifiées. rapidité acceptable. dégradation ou de l’amélioration du
réseau, en fonction des erreurs
repérées.
commutation.
• Un domaine de collision est défini par un ensemble • Au contraire d’un hub ou d’un AP, un switch crée un canal virtuel pour
d’interfaces NIC (Network Interface Card) à l’intérieur chaque communication.
duquel une trame envoyée par une des interfaces peut • Il y a donc autant de domaines de collisions que d’hôtes – le
entrer en collision avec une trame envoyée par une autre problème n’existe plus.
interface.
• En pratique, cette situation se produit dans les situations
suivantes :
• Dans un LAN contenant au moins un concentrateur
(hub).
• Tous les hôtes rattachés au port du hub
appartiennent au même domaine de
collision.
• Lorsque plusieurs hôtes sont connectés sans fils via
un point d’accès (AP).
PARTIE 2
Le protocole CSMA/CD permet de gérer ces collisions par détection : En effet, 2 hôtes suffisamment éloignés ne peuvent pas écouter leurs trafics
• Un hôte qui souhaite émettre écoute le trafic sur le réseau. respectifs.
• Si la voie est libre, il commence à émettre.
• Si un autre hôte a également commencé une émission, une collision
se produit.
• Un signal JAM est alors envoyé. Tous les hôtes cessent alors d’émettre
et attendent un temps aléatoire (et donc différent) avant de
recommencer la procédure.
Plus il y a d’hôtes sur le réseau, plus le risque de collision est important. Un autre mécanisme, le CSMA/CA, est donc utilisé :
• Un hôte sans fil qui souhaite émettre envoie une demande
d’autorisation : le RTS (Request To Send).
• Si la voie est libre, l’AP envoie une autorisation : le CTS (Clear To Send).
• Pendant le temps de la transmission, aucun autre CTS n’est accordé à
un autre hôte.
PARTIE 2
La solution la plus efficace reste de remplacer le hub par un switch. Des tentatives d’amélioration de la gestion des collisions ont été amorcées avec la
norme 802.11ax, en utilisant plusieurs bandes de fréquences pour permettre des
transmissions simultanées.
• Lorsqu’un logiciel installé sur un hôte fait appel à un • L’adresse IP utilisée pour la requête est :
protocole de la couche application, une adresse IP, un • l’adresse de la destination si celle-ci se situe dans le même sous-
port de connexion et un protocole de transport sont réseau,
fournis à la couche transport.
• l’adresse du routeur configuré comme passerelle sinon.
• Ces éléments sont encapsulés – par la couche
transport pour le port, par la couche internet pour • L’adresse MAC de destination est ensuite encapsulée dans le champ
l’IP. destination de la trame avant d’être transmise sur le réseau.
• Au niveau de la couche liaison, l’hôte a besoin de
l’adresse physique MAC associée à l’adresse logique IP du
destinataire.
• Le protocole ARP (Adresss Résolution Protocol) permet
d’obtenir cette adresse.
• Si la résolution a déjà été effectuée précédemment,
le cache ARP est utilisé pour économiser une • Voyons maintenant le détail du fonctionnement d’ARP.
requête.
PARTIE 2
Questions
• Dans quel couche du modèle OSI s’effectue la • Quelle adresse MAC est renvoyée par ARP si le destinataire est sur un
commutation ? sous-réseau différent de l’hôte ?
1. Couche 1 (physique) 1. L’adresse de l’hôte lui-même
2. Couche 2 (liaison) 2. L’adresse du routeur
3. Couche 3 (réseau) 3. Une réponse vide est renvoyée
• Quel équipement élimine les situations de collision ? • Quel est le rôle de CSMA/CA ?
PARTIE 2
Réponses
• Dans quel couche du modèle OSI s’effectue la • Quelle adresse MAC est renvoyée par ARP si le destinataire est sur un
commutation ? sous-réseau différent de l’hôte ?
1. Couche 1 (physique) 1. L’adresse de l’hôte lui-même
2. Couche 2 (liaison) 2. L’adresse du routeur
3. Couche 3 (réseau) 3. Une réponse vide est renvoyée
• Quel équipement élimine les situations de collision ? • Quel est le rôle de CSMA/CA ?
PARTIE 2
10 heures
Chapitre 2
Mise en œuvre des VLAN
• Nous avons défini un LAN comme un ensemble d’hôtes • Par exemple, dans des salles de classe, un domaine de diffusion séparé
géographiquement proches qui font partie du même peut être mis en place à partir du LAN existant pour :
sous-réseau. • Les PC des enseignants
• Tous les hôtes d’un même LAN partagent le même • Les PC des étudiants
domaine de diffusion.
• Cette séparation a plusieurs avantages qui sont détaillés juste après.
• Du point de vue d’un switch, en l’absence de VLAN :
• Toute trame de broadcast est transmise à tous les
ports physiques, en dehors de celui de l’émetteur.
• La séparation des domaines de diffusion implique
l’utilisation de switchs différents.
• La mise en place de VLAN permet de séparer les
domaines de diffusion entre différents hôtes connectés à
un même switch.
PARTIE 2
• La création de domaines de diffusions séparés et plus • Une conception plus flexible, en créant des domaines de diffusion par
petits comporte les avantages suivants : fonction plutôt que sur le seul concept géographique.
• Une économie de ressources (bande passante, • Par exemple dans une université, les flux réseaux des étudiants,
processeur) du fait du moindre nombre de enseignants, de la comptabilité et de la direction peuvent être
machines recevant chaque trame de broadcast. séparés.
• Une sécurité améliorée, en séparant les hôtes qui • Une amélioration de l’identification des problèmes sur le réseau,
transmettent des données sensibles et en réduisant grâce à une meilleure compartimentation.
le nombre d’hôtes qui reçoivent chaque broadcast. • Les VLAN permettent d’obtenir cette séparation sans investir dans de
nouveaux matériels, ce qui en fait une solution économiquement
intéressante.
PARTIE 2
problèmes.
• Dans l’exemple à droite, 2 VLAN de données sont créés, d’id • Pour optimiser les ressources, le protocole 802.1Q permet de n’utiliser
10 et 20. qu’un seul port transporter les données des différents VLAN de
• Une fois les domaines de diffusion séparés, les hôtes données.
ne peuvent transmettre des trames (couche 2) qu’à • Ce port est configuré comme port d’agrégation (ou trunk).
l’intérieur de leur VLAN respectif. • Lorsqu’une trame doit passer sur le port natif, un en-tête 802.1 Q
• Pour communiquer avec un hôte situé sur un autre VLAN, un est inséré dans l’en-tête de la trame, contenant l’id du VLAN.
port associé à chaque VLAN peut être connecté à un routeur. • Une trame ainsi étendue est dite taggée. La seconde illustration
• La communication se fait alors par IP, protocole de montre le tag 802.1Q au milieu de la trame Ethernet.
couche 3. • Le protocole 802.1Q peut également être utilisé entre plusieurs switch.
• Cette méthode consomme un port physique et un
câble Ethernet par VLAN, sur le switch comme sur le
routeur, comme le montre la première illustration.
PARTIE 2
• Les VLAN permettent de séparer le domaine de diffusion • Le trafic non taggé (par exemple, en provenance d’un point d’accès WiFi)
d’un switch. Cela permet d’améliorer la performance et la est dirigé vers le VLAN natif. Par défaut, il utilise l’id 1.
sécurité. • En plus des VLAN de données et du VLAN natif, il est possible de configurer
• Une fois les hôtes séparés dans des VLAN de données un VLAN de gestion et un VLAN audio pour lesquels le trafic est priorisé.
différents, ils ne peuvent plus communiquer directement • Les ports non configurés sont sur le VLAN par défaut, d’id 1.
par trame Ethernet.
• Dans la section suivante, nous entrons dans le concret de la configuration
• Un routeur ou un switch de niveau 3 est nécessaire des VLAN sur un switch.
pour assurer la communication entre hôtes de
VLAN différents.
• Le protocole 802.1Q permet d’ajouter un en-tête
spécifique pour tagger les trames.
• Si les VLAN sont répartis sur plusieurs switchs, un
port spécial, appelé port d’agrégation ou trunk est
utilisé pour transporter les données taguées sur un
seul câble Ethernet.
PARTIE 2
• Le moyen le plus rapide et efficace pour configurer les VLAN d’un switch est l’interface en ligne de
commande.
• Cette interface est disponible en simulation sur le logiciel Cisco Packet Tracer et est accessible sur tous
les équipements CISCO par la console d’administration ou via une connexion distante telnet ou ssh.
• Ci-dessous, nous illustrons les commandes permettant la création d’un nouveau VLAN d’id 200.
• Une fois le nouveau VLAN créé, nous pouvons afficher l’ensemble des VLAN actifs avec la commande show vlan, comme illustré ci-après.
PARTIE 2
Dans cet exemple, on constate l’existence du LAN par défaut d’id 1, ainsi que de 2 VLAN de données d’id 100 créés précédemment et du VLAN
nouvellement créé d’id 200.
• Les commandes suivantes permettent d’attribuer le port gi2 au VLAN de donnée d’id 200.
• On constate que le port gi2 a bien été associé au VLAN d’id 200.
PARTIE 2
• Lorsque que le LAN support des différents VLAN est composé de plusieurs switch, on configure un port d’agrégation pour mutualiser les
transferts de données avec le protocole 802.1Q.
• Les commande suivantes permettent de configurer le port gi3 comme port d’agrégation (ou trunk) :
• Dans les exemples précédents, gi2 a été configuré en mode access (données) et gi3 en mode trunk (agrégration).
• Cisco propose 2 modes complémentaires, configurables avec la commande switchport mode :
• dynamic-desirable négocie activement avec l’autre switch pour passer en mode agrégation ou non.
• dynamic-auto attend passivement une demande de bascule en mode agrégation.
PARTIE 2
• Si les 2 ports de chaque switch restent en mode auto (passif), la négociation ne sera pas déclenchée.
• La configuration en ligne de commande est une méthode de • Pour afficher la configuration, on peut utiliser :
configuration souple qui peut s’effectuer en branchant une • show vlan pour afficher une vue globale ;
console sur un équipement ou à distance via telnet ou ssh.
• show vlan suivi d’un id de VLAN pour afficher la configuration
• Cisco Packet Tracer fournit également une interface en d’un vlan donné ;
ligne de commande pour simuler un réseau.
• show interfaces suivi d’un id de port pour afficher la
• Pour la configuration des vlan sur un switch Cisco, les configuration d’un port donné.
commandes importantes sont :
• En ajoutant trunk après l’id de port, on obtient les
informations spécifiques à l’agrégation
config (ou conf t) pour activer le mode configuration
• Pour bien assimiler ces commandes, il faut les pratiquer
vlan pour configurer un VLAN donné. • Utiliser un matériel déconnecté d’un réseau de production, ou
La commande doit être suivi de l’id du VLAN à configurer un logiciel de simulation.
int pour configurer une interface (port) .
La commande doit être suivie du nom du port à configurer
switchport access vlan, suivi de l’id du vlan, pour associer le port à un vlan
switchport trunk allowed vlan, suivi de l’id du vlan, pour autoriser le vlan à
utiliser le port d’agrégation
Questions
• Quel élément est modifié par la mise en place de VLAN ? • Quelle commande configure une interface comme port d’agrégation ?
1. Le domaine de collision 1. switchport mode dynamic-auto
2. Le domaine de diffusion 2. switchport mode trunk
3. Le masque de sous-réseau 3. switchport mode access
• Que permet un switch de niveau 3 ? • Quel changement effectue le trunking 802.1Q sur un en-tête de trame
1. L’activation des VLAN Ethernet ?
2. La communication par paquets entre les VLAN 1. Encapsulation de la trame originale dans une autre
3. La communication par trames entre les VLAN 2. Ajout d’un en-tête de 4 octets
3. Modification de l’adresse MAC
Réponses
• Quel élément est modifié par la mise en place de VLAN ? • Quelle commande configure une interface comme port d’agrégation ?
1. Le domaine de collision 1. switchport mode dynamic-auto
2. Le domaine de diffusion 2. switchport mode trunk
3. Le masque de sous-réseau 3. switchport mode access
• Que permet un switch de niveau 3 ? • Quel changement effectue le trunking 802.1Q sur un en-tête de trame
1. L’activation des VLAN Ethernet ?
2. La communication par paquets entre les VLAN 1. Encapsulation de la trame originale dans une autre
3. La communication par trames entre les VLAN 2. Ajout d’un en-tête de 4 octets
3. Modification de l’adresse MAC
5 heures
Chapitre 3
Redondance des réseaux
Avantages Inconvénients
• L’avantage principal d’un réseau redondant est la • Le premier inconvénient est le coût.
continuité de service. • Si tous les équipements sont doublés, le coût l’est aussi ;
• En cas de rupture ou débranchement accidentel • Dans une topologie maillée, le coût augmente exponentiellement
d’un câble. avec le nombre d’équipements ;
• En cas de panne d’un équipement . • Dans une architecture en 3 niveaux, le maillage complet est réservé
• L’autre avantage est la décongestion : si un lien est saturé, au cœur. Le niveau distribution bénéfice d’un maillage partiel. Les
le trafic peut être redirigé vers un lien moins encombré. terminaux ne sont pas redondants.
• Les protocoles de routage, que nous verrons en • Le second inconvénient est la création de boucles.
partie 3, assurent ainsi le bon fonctionnement des • Une boucle se produit quand un paquet ou une trame passe
réseaux. plusieurs fois par le même équipement ;
• Il est nécessaire de mettre en place des algorithmes spécifiques
pour éviter les boucles ;
• Dans le pire scénario, se produit une tempête de diffusion qui sature
le réseau, comme nous allons le voir.
PARTIE 2
• Lorsque 2 switchs sont reliés par 2 liaisons physiques, une boucle se forme.
• Si un équipement envoie une trame de broadcast, une tempête de diffusion se
produit, comme illustré ci-contre :
1. L’hôte envoie une trame de broadcast ;
2. Le switch du haut diffuse sur tous ses ports ;
3. Le switch du bas reçoit et rediffuse ;
4. Le switch du haut reçoit et rediffuse ;
5. etc.
• La tempête de diffusion est une des méthodes utilisées par les attaques de déni
de service (DoS).
• Une des solutions pour éviter les tempêtes liées aux boucles est le protocole
STP (Spanning Tree Protocol), que nous introduisons dans la section suivante.
PARTIE 2
• Dès que plus d’un chemin existe entre 2 hôtes sur un • Le calcul met en œuvre un algorithme appelé Spanning Tree Minimum
même LAN, une tempête de diffusion provoquée par la pour générer l’arbre initial.
boucle peut se produire lors d’un broadcast. • Pendant l’exécution de l’algorithme, des trames spéciales appelées
• Supprimer la boucle est le moyen le plus simple de régler BPDU (Bridge Protocol Data Unit) sont échangées
le problème, mais cela élimine également la redondance • En cas de panne ou de modification sur le réseau, l’algorithme est relancé
dont nous avons besoin pour assurer la continuité de pour régénérer un arbre fonctionnel.
service.
• Des BPDU sont exécutées régulièrement pour valider la topologie
• Le protocole STP (Spanning Tree Protocol) fonctionne en du réseau.
désactivant de manière « logique » les chemins
redondants.
• Pour cela, une structure logique en arbre est calculée à
partir de la structure physique (dite en graphe)
• Un arbre est une structure qui définit des relations
à partir d’un nœud racine et ne comporte aucune
boucle.
PARTIE 2
• Le protocole STP a été créé en 1985 pour résoudre le • RSTP garantit une convergence en 6 secondes, contre 30 à 50 secondes
problème des tempêtes de broadcast. avec STP.
• Sa principale limite est le temps de convergence, • Pour cela, RSTP peut transmettre les BPDU dans les deux directions,
correspondant au temps de désignation du commutateur ce que STP ne permettait pas
racine et des ports racines et désignés. L’exécution de • RSTP est activé automatiquement si tous les switch du LAN en sont dotés.
l’algorithme peut prendre plusieurs dizaines de secondes
après un changement. • C’est le cas de tous les équipement récents.
• Une version améliorée, appelée RSTP (pour Rapid • Dans le cas contraire, le protocole original (STP) est utilisé.
Spanning Tree Protocol) a été publiée en 2001 comme
successeur de STP.
PARTIE 2
• Les protocoles STP et RSTP ne tiennent pas compte des • Cisco combine les fonctions de RSTP et de PVST+ dans son protocole Rapid
VLAN. PVST+. Cela permet d’obtenir une convergence rapide tout en prenant en
• Pour gérer les boucles dans un environnement intégrant compte la gestion des VLAN.
des VLAN, 2 protocoles principaux sont utilisés :
• MSTP (Multiple Spanning Tree Protocol) est le
protocole standardisé et normalisé par la norme
IEEE 802.1
• MSTP supprime les boucles VLAN par VLAN
• PVST (Per VLAN Spanning Tree) est une version
propriétaire de Cisco utilisée par ses routeurs
• PVST est plus performant mais est réservé
aux switch Cisco.
• PVST utilisait également un protocole
propriétaire pour les liens d’agrégation. Une
PARTIE 2
• Nous finalisons ce chapitre sur la redondance en introduisant le protocole VRRP qui gère la redondance de la passerelle de sortie du réseau local.
PARTIE 2
• STP et ses descendants permettent d’assurer une • Le routeur représente ainsi un point de défaillance unique : en cas de
redondance à l’intérieur d’un LAN en empêchant les panne :
trames de former une boucle et de provoquer une • Le réseau est déconnecté des autres réseaux.
tempête de broadcast.
• Les fonctions assurées par le routeur, comme la communication
• Il reste un point de défaillance unique : la passerelle inter-VLAN si aucun switch de niveau 3 n’est présent, sont
d’interconnexion entre le LAN et les autres réseaux, bien indisponibles.
souvent internet.
• Le protocole VRRP (Virtual Router Redundancy Protocol) permet d’assurer
• Cette passerelle est assurée par un routeur, qui possède : la redondance de la passerelle.
• Une interface réseau dont l’IP appartient au LAN.
• Une interface réseau dont l’IP appartient au réseau
d’interconnexion.
PARTIE 2
• HSRP (Hot Standby Router Protocol est un protocole de • GLBP (Gateway Load Balancing Protocol) est un autre protocole
redondance de passerelle propriétaire de Cisco, intégré à propriétaire de Cisco qui assure en plus la réparatition de charge.
sa gamme de routeurs : • Au lieu d’avoir un seul routeur actif, la charge est répartie entre les
• HSRP permet d’assurer la redondance de jusqu’à membres du groupe.
4096 groupes de routeurs dans un même sous- • Chaque routeur participant peut assurer une part plus ou moins
réseau ; importante de la charge grâce à une notion de poids. Un routeur
• Dans chaque groupe, un routeur est actif tandis avec un poids plus grand recevra une plus grande charge de trafic.
que les autres sont en attente. Un message hello • Ainsi, VRRP et ses alternatives assurent le chainon manquant permettant
est envoyé toutes les 3 secondes pour confirmer la une continuité de service globale via une redondance des équipements
bonne santé du routeur actif ; critiques du réseau.
• Après 10 secondes sans message hello, un autre
routeur prend la place.
PARTIE 2
Questions
• Quel est l’avantage principal de la redondance? • Comment s’appelle l’algorithme utilisé par STP ?
1. Commander les équipements en grande quantité 1. Minimum Spanning Tree
2. Améliorer la gestion des collisions 2. Minimal Spinning Tree
3. Assurer la continuité de service 3. Minimum Spalding Tee
• Quel est l’obstacle majeur à la redondance ? • Quel protocole opère sur les switch ?
1. L’incompatibilité des protocoles 1. RSTP
2. Il n’est pas possible d’éviter les boucles 2. HSRP
3. Le coût des équipements supplémentaires 3. GLBP
• Quel est le problème causé par une boucle sans STP ? • Quelle protocole assure la redondance des routeurs ?
PARTIE 2
Réponses
• Quel est l’avantage principal de la redondance? • Comment s’appelle l’algorithme utilisé par STP ?
1. Commander les équipements en grande quantité 1. Minimum Spanning Tree
2. Améliorer la gestion des collisions 2. Minimal Spinning Tree
3. Assurer la continuité de service 3. Minimum Spalding Tee
• Quel est l’obstacle majeur à la redondance ? • Quel protocole opère sur les switch ?
1. L’incompatibilité des protocoles 1. RSTP
2. Il n’est pas possible d’éviter les boucles 2. HSRP
3. Le coût des équipements supplémentaires 3. GLBP
• Quel est le problème causé par une boucle sans STP ? • Quelle protocole assure la redondance des routeurs ?
PARTIE 2
10 heures
Chapitre 4
Agrégation de liaisons
• La vitesse de liaison entre 2 équipements sur un réseau • Il est parfois impossible de faire la mise-à-jour de tous les équipements
dépend de la vitesse maximale de l’interface réseau de nécessaires.
chacun des équipements. • Par exemple, les câbles sont parfois intégrés dans les murs, ou le
• Si un équipement est équipé de Fast Ethernet coût peut être trop élevé.
(100Mb/sec) et l’autre de Gigabit Ethernet • Le besoin peut également dépasser les technologies disponibles !
(1Gb/sec), la liaison sera limité à 100Mb/sec.
• L’agrégation de liaisons est une solution pour utiliser ensemble plusieurs
• Le câblage doit également être adapté à la vitesse liaisons physique afin de cumuler leur début.
permise par les 2 interfaces.
• Un câble UDP de catégorie 5, dit CAT5, est
nécessaire pour 100Mb/sec.
• Pour 1 Gb/sec la catégorie est CAT5A.
• 10 Gb/sec demandent du CAT5e pour 30m, CAT6
pour 55m et CAT6a pour 100m.
PARTIE 2
• La nécessité de créer des liaisons redondantes a conduit • L’utilisation des protocoles de type STP provoque le blocage
à proposer des protocoles pour empêcher la formation de des liaisons redondants pour éviter les boucles.
tempête de broadcast liées à la présence de boucles. • L’agrégation de liaisons consiste au contraire à traiter
Comme nous l’avons vu au chapitre précédent. logiquement les liaisons redondantes comme un lien logique
unique pour augmenter la bande passante disponible.
STP PVST+ RSTP RPVST+ • Ce principe est principalement mis en œuvre par Cisco sous
le nom d’EtherChannel, que nous allons étudier dans la
Le protocole PVST+ RSTP est le (Cisco) section suivante.
STP crée une (protocole protocole combine la
structure propriétaire standard qui vitesse de RSTP
arborescente Cisco) et MST accélère la et la gestion
logique pour (protocole recréation des VLAN de
supprimer les standard IEEE) d’une PVST+
boucles prennent en arborescence
charge les en cas de
VLAN panne ou de
changement
PARTIE 2
sur le réseau
• La technologie EtherChannel est une technologie • Une seule adresse MAC est affectée et partagée par les liens physiques
propriétaire inventée en 1990 et rachetée par Cisco en d’un groupe EtherChannel.
1994. • Les autres couches de TCP/IP ne voient ainsi que le lien logique et
• Une version ouverte appelée LACP (Link peuvent fonctionner comme s’il s’agissait d’un lien normal.
Aggregation Control Protocol) a été publiée au • EtherChannel peut être configuré comme lien taggé au sens du protocole
début des années 2000 par l’IEEE sous la référence 802.1Q permettant le transport du trafic interVLAN.
802.3ad puis 802.3ax.
• L’ensemble des ports physiques d’un même groupe EtherChannel doit
• Un lien EtherChannel regroupe plusieurs liaisons résider sur le même switch, sauf cas très spécifiques.
physiques en un lien logique unifié.
• Cela permet d’augmenter la vitesse en exploitant
les liens créés pour la redondance.
• Les interfaces doivent être de même vitesse.
PARTIE 2
• Un groupe EtherChannel peut être mis en place de 3 • La prochaine section montre comment effectuer cette configuration en
manières : pratique avec l’interface en ligne de commande d’un switch.
• En configurant manuellement chaque port, de
chaque côté de la liaison ;
• Soit, pour une liaison logique composée de 8
liaisons physiques, 16 ports à configurer.
• En utilisant le protocole de configuration du
standard LACP ;
• Cette option permet l’interopérabilité entre
les équipements Cisco et ceux d’autres
marques.
• En utilisant le protocole de configuration
propriétaire de Cisco PAgP ;
• Cette option permet de simplifier la
PARTIE 2
• Les conditions suivantes doivent être remplies pour créer une liaison EtherChannel
L’ensemble des interfaces devant faire partie du groupe doivent prendre en charge
EtherChannel.
Si la liaison logique à créer est une liaison de données, toutes les interfaces
physiques du groupe à créer doivent être sur le même VLAN.
Si la liaison logique à créer est une liaison d’agrégation (trunk) de VLAN au sens du protocole 802.1
• Le VLAN natif doit être le même sur toutes les interfaces physiques du groupe à créer
• La liste des VLAN autorisés doit être identique sur toutes les interfaces physiques du groupe à créer
PARTIE 2
Questions
• Sur quoi s’appuie l’agrégation de liaison ? • Quel protocole n’est pas un protocole d’agrégation?
• Les liaisons créées pour la redondance • PAgP
• Les canaux WIFI non utilisés • STP
• Les différents VLAN configurés • LACP
Réponses
• Sur quoi s’appuie l’agrégation de liaison ? • Quel protocole n’est pas un protocole d’agrégation?
1. Les liaisons créées pour la redondance 1. PAgP
2. Les canaux WIFI non utilisés 2. STP
3. Les différents VLAN configurés 3. LACP
5 heures
Chapitre 5
Sécurisation des commutateurs
• En l’absence de sécurisation, le scénario suivant peut se • Une fois connectée au réseau, la personne ayant réussi à obtenir une IP
produire: peut notamment :
• Une personne extérieure accède à un commutateur • Écouter le trafic ;
relié au réseau ; • Accéder à des services internes ;
• Elle branche un cable RJ45 entre sa carte réseau et • Se faire passer pour une autre machine en usurpant une adresse
un port du commutateur ; MAC ;
• Le serveur DHCP détecte la machine et transmet • Lancer des attaques de type déni de service depuis l’intérieur du
une adresse IP ; réseau ;
• La personne a désormais accès au réseau ; • C’est pourquoi il est important de sécuriser les ports physiques d’un
commutateur.
• D’autres attaques peuvent provenir des ordinateurs légitimement
connectés au réseau, pouvant être infectés par un logiciel.
PARTIE 2
• Lorsque la sécurisation d’un port est activée, les • Les configurations typiques sont :
opérations suivantes sont effectuées : • Autoriser un maximum de 3 adresses MAC et spécifier ces 3
• Le port examine chaque trame reçue pour adresses ;
déterminer si une violation s’est produite ; • Autoriser un maximum de 3 adresses MAC et autoriser
• Il définit un nombre maximum d’adresses MAC dynamiquement les 3 premières adresses reçues à se connecter ;
différentes autorisées à utiliser l’interface ; • Autoriser un maximum de 3 adresses MAC, dont une est spécifiée et
• Il conserve un compteur de toutes les adresses 2 sont autorisées dynamiquement.
MAC uniques reçues sur l’interface.
• Une violation est déclenchée si une nouvelle adresse MAC
envoie une trame alors que le compteur a atteint son
nombre maximal. Dans ce cas :
• La trame est supprimée
• Des actions complémentaires peuvent être
déclenchées en fonction de la configuration de
PARTIE 2
• L’authentification nécessite :
• Que le client découvre le réseau.
• Qu’il demande l’autorisation de s’y connecter.
• Pour cela,
• Le client peut stocker une clé qui sera transmise.
• Le point d’accès peut autoriser la connexion et
proposer un formulaire de connexion sur une page
web spécifique.
• À l’inverse, le client doit pouvoir vérifier que le réseau est
bien authentique :
• La seule information diffusée par le Point d’Accès
est son SSID (Service Set IDentifier) ;
• Un attaquant peut imiter le SSID pour se faire
PARTIE 2
• Le principe d’un réseau sans fil fait que tous les messages
diffusés peuvent être interceptés par un attaquant
potentiel.
• Il est donc nécessaire de crypter les messages pour
empêcher leur interprétation avant l’envoi du message.
• L’attaquant ne peut ainsi pas exploiter les messages
interceptés.
• Une vérification d’intégrité est également nécessaire,
pour empêcher un attaquant de modifier le message
transmis.
• À réception du message, le destinataire légitime peut
ainsi décrypter puis vérifier l’intégrité du message reçu.
• Nous allons maintenant voir les protocoles mis en œuvre
pour répondre à ces enjeux d’authentification, de
PARTIE 2
cryptage et d’intégrité.
• La première version du standard 802.11 proposait en • Une clé WEP a une longueur de 40 ou de 104 bits, ce qui offre
1999 2 modes d’authentification : normalement une longueur suffisante :
• L’authentification ouverte, permettant à n’importe • La découverte de vulnérabilités dans l’algorithme lui-même a
quel équipement d’accéder au réseau : conduit à proposer d’autres protocoles.
• Cette méthode est généralement complétée • WEP est officiellement déprécié depuis 2004, ce qui signifie que son
par une authentification sur une page web. usage n’est plus recommandé.
• L’authentification ouverte est généralement
proposée dans les lieux publics (aéroports,
cafés, hôtels,…).
• Le protocole WEP (Wireless Encryption Protocol)
utilise l’algorithme de chiffrement RC4 utilisé pour :
• Chiffrer les messages.
• Fournir un clé d’authentification pour
accéder au point d’accès.
PARTIE 2
• TKIP (Temporal Key Integrity Protocol) est la solution de • GCMP (Galois/Counter Mode Protocol (GCMP)
remplacement développée en urgence suite à la • AES est conservé pour le cryptage.
découverte des vulnérabilités de WEP.
• GMAC (Galois Message Authentication Code remplace CBC-MAC
• TKIP a été publié en 2002. pour l’intégrité.
• Ce protocole a été déprécié en 2009, dès qu’une • Le standard d’authentification WPA3 ratifié en 2014, impose
solution plus durable a été trouvée. l’usage de GCMP.
• CCMP (Counter/CBC-MAC Protocol ) est constitué de 2 • WPA2 et WP3 sont déclinés en version personnelle, simple d’utilisation et
algorithmes en version entreprise, qui impose l’utilisation des 3 tiers définis par EAP.
• AES pour le cryptage ; • L’évolution des techniques de sécurisation permet ainsi aujourd’hui
• CBC-MAC (Cipher Block Chaining Message s’assurer une sécurité globale d’un LAN, sur sa partie Ethernet comme sur
Authentication Code) pour l’intégrité ; sa partie sans fil.
• Le standard d’authentification WPA2 ratifié en • Après le QCM, nous allons passer de la commutation au routage dans la
2014, impose l’usage de CCMP. troisième partie de ce support.
PARTIE 2
Questions
• Quelle est la différence entre Telnet et SSH • Combien d’adresses MAC autorise par défaut un port sécurisé ?
1. Telnet s’utilise avec Windows et SSH avec Linux 1. 0
2. Telnet n’a pas besoin de mot de passe 2. 1
3. Telnet ne crypte pas les communications 3. 3
• Quelle fonctionnalité supplémentaire apporte SSH ? • Quel framework extensible est utilisé dans la version entreprise de WPA
1. L’authentification par clé 2?
PARTIE 2
Réponses
• Quelle est la différence entre Telnet et SSH • Combien d’adresses MAC autorise par défaut un port sécurisé ?
1. Telnet s’utilise avec Windows et SSH avec Linux 1. 0
2. Telnet n’a pas besoin de mot de passe 2. 1
3. Telnet ne crypte pas les communications 3. 3
• Quelle fonctionnalité supplémentaire apporte SSH ? • Quel framework extensible est utilisé dans la version entreprise de WPA
1. L’authentification par clé 2?
PARTIE 2
30 heures
Chapitre 1
Les concepts de WLAN
5 heures
Chapitre 1
Les concepts de WLAN
• La technologie Ethernet a pour avantage un écosystème • Pour tout ces cas, une technologie sans fil est la plus adaptée.
important, une grande fiabilité, une progression • Nous présentons dans cette section les composants d’un réseau sans fil.
technologique constante et des standards bien définis
permettant une bonne interopérabilité.
• Cependant, certains cas d’usages rendent l’utilisation des
technologies filaires peu pratiques :
• En dehors des bâtiments ;
• Lorsque le câblage n’a pas été réalisé au moment
de la construction ou de la rénovation d’un
bâtiment ;
• Lorsque l’utilisateur est amené à se déplacer avec
son équipement connecté ;
• Lorsque les équipements ne sont pas équipés d’un
port RJ45 ;
PARTIE 3
• Le principe de la passerelle de groupe de travail peut être étendU pour connecter sans fil deux LAN situés dans des bâtiments différents, sans
creuser de tranchée ni louer une connexion à un prestataire externe
• Deux points d’accès connectés en mode passerelle forment ainsi une liaison point à point de chaque côté.
• Des antennes spéciales permettent de focaliser l’onde sans fil vers la destination.
PARTIE 3
• Le composant central d’un réseau sans fil est le point • Plusieurs points d’accès peuvent être combinés pour étendre la zone de
d’accès (PA). Il définit : couverture, notamment :
• Un ensemble de services (BSS) qu’il rend disponible • En mode extension si chaque point d’accès est connecté au LAN
dans sa zone de couverture (BSA) ; via un système de distribution ;
• Un (ou plusieurs) BSSID, identifiant unique • En mode répéteur si le LAN n’est pas accessible ;
correspondant à l’adresse MAC d’une interface • Sous la forme d’un réseau mesh si des points d’accès multiples
réseau Ethernet ; forment un réseau avec une seule liaison au système de
• Un (ou plusieurs) SSID, identifiant public diffusé distribution ;
pour permettre l’association des équipements. • En mode passerelle pour créer une liaison point à point.
• Le système de distribution (DS) permet de connecter le • En l’absence de points d’accès, deux machines peuvent créer un réseau
WLAN à un LAN, pour former un LAN étendu à l’intérieur ad-hoc.
duquel les hôtes sans fil et câbles peuvent communiquer.
• Le chapitre suivant montre le fonctionnement physique des réseaux sans
fils.
PARTIE 3
• L’émission de données sans fil par le protocole 802.11 • Le BSS forme un domaine de collision pour tous les hôtes qui y sont
fonctionne de manière identique au niveau des couches associés :
Application, Transport et Internet; • Un réseau WLAN fonctionne comme un LAN avec concentrateur :
• La différence se situe sur la couche basse d’accès au en half-duplex avec gestion des collisions.
réseau : • Comme vu précédemment, le protocole de gestion des collisions
• Au niveau physique (couche 1 du modèle OSI), les est CMSA/CA.
impulsions électriques ou optiques d’Ethernet sont
remplacées par des radiofréquence.
• Au niveau liaison (couche 2 du modèle OSI), les
trames Ethernet sont remplacées par des trames
spécifiques définies par le protocole 802.11.
• Le principe reste identique : des
métadonnées permettant la transmission
sont encapsulées autour du paquet reçu de
la couche 3.
PARTIE 3
2,4Ghz.
• Une deuxième bande a été ajoutée dans un second
temps dans les 5Ghz.
• La version du protocole autorisé définit quelle(s) bande(s)
est disponible pour un point d’accès donné.
• Sur la bande des 5 Ghz, les canaux 40, 44 et 48 sont à privilégier lors de la configuration d’un point d’accès compatible.
• Un réseau sans fil dit WIFI est formalisé par la norme • Le BSS d’un point d’accès
802.11 et ses variantes. • Forme un domaine de collision unique, géré par le protocole
• Les couches application, transport et internet sont CMSA/CA.
identiques à un réseau TCP/IP Ethernet. • Spécifie un canal de fréquence entre 1 et 14 sur la bande des
• La couche liaison remplace : 2,4Ghz.
• Les trames Ethernet par des trames 802.11 de type • Les canaux 1, 6 et 11 évitent les recouvrements.
données, gestion ou contrôle. • Spécifie un canal de fréquence entre 36 et 48 sur la bande des 5
• Les impulsions électriques ou optiques par des Ghz.
radiofréquences. • Les canaux 40, 44 et 48 évitent les recouvrements.
• D’autres canaux sont ajoutés par les extensions du standard.
PARTIE 3
Questions
• Quel mode est utilisé par un réseau WLAN ? • Quelle couche du modèle OSI est modifié en 802.11 par rapport à
1. Half duplex Ethernet ?
2. Full duplex 1. 2
Réponses
• Quel mode est utilisé par un réseau WLAN ? • Quelle couche du modèle OSI est modifié en 802.11 par rapport à
1. Half duplex Ethernet ?
2. Full duplex 1. 2
• La détermination du chemin
• La transmission de paquets
• Les fonctions et configurations d’un routeur
• Les principes du routage
• Le routage IP statique et dynamique
15 heures
Chapitre 2
Protocoles de routage
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Détermination du chemin
De la commutation au routage
Commutation Routage
• Dans la partie précédente, nous avons vu le • Le routage prend le relais dès qu’une trame est acheminée vers un
fonctionnement de la commutation. routeur faisant office de passerelle pour le sous-réseau.
• La commutation fonctionne en couche 2 du modèle OSI. • La trame est alors décapsulée pour récupérer le paquet IP.
• Elle consiste à acheminer une trame au sein d’un même • Le routage s’effectue ainsi via la couche 3 du modèle OSI.
sous-réseau, entre un hôte et : • L’objectif du routeur est alors de déterminer le chemin vers le routeur du
• la destination, si elle se situe sur le même domaine sous-réseau du destinataire hôte.
de diffusion (VLAN ou sous-réseau) ; • Le destinataire peut se situer à l’extérieur du LAN géré par l’organisation.
• la passerelle du sous-réseau sinon ; Le paquet traverse alors un ou plusieurs réseaux formant un WAN.
PARTIE 3
• Chaque étape du chemin emprunté par le paquet est • Dans le cas d’UDP, les paquets non reçus ou reçus trop tard sont tout
décidée en temps réel par le routeur qu’il atteint. simplement ignorés. Seuls les datagrammes complets sont transmis à la
• Il n’y a donc pas de détermination préalable d’un chemin couche application.
complet. Le chemin est défini en temps réel, paquet par • C’est pourquoi UDP est utilisé pour des applications où un retour
paquet. en arrière est inutile, comme le streaming ou la voix sur IP.
• Si les conditions changent entre 2 paquets, les chemins • La section suivante présente comment s’effectue concrètement la
empruntés peuvent être différents vers une même transmission des paquets.
adresse de destination.
• Si le protocole TCP est utilisé en couche 4, les paquets
sont remis en ordre si nécessaire pour reformer les
trames. Les trames incomplètes sont retransmises par
l’expéditeur.
• C’est pourquoi TCP est utilisé pour les applications
nécessitant une intégrité totale des données
transférées.
PARTIE 3
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Transmission de paquets
Validation de la trame reçue par le routeur
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Fonctions et configurations d’un routeur
Configuration physique
• Dans un contexte d’entreprise, le routeur intégré à une • Pour finaliser la configuration d’un routeur, les étapes suivantes sont à
box d’opérateur peut ne pas répondre aux besoins en suivre
termes de nombre de ports, de sécurité ou de 1. Mettre-à-jour le micrologiciel du routeur si nécessaire ;
fonctionnalités avancées.
2. Se connecter à l’interface d’administration web ou en ligne de
• Dans ce cas, le routeur intégré à la box doit être désactivé commande ;
pour ne servir que de passerelle.
3. Créer un mot de passe d’administration pour sécuriser la
• Le routeur professionnel sera alors connecté à la box sur connexion.
son port WAN, et fournira l’ensemble des fonctions de
routage. • Nous continuons cette section avec les fonctions supplémentaires qu’un
routeur peut proposer au delà de la détermination du chemin et de la
transmission de paquet associée vue dans les sections précédentes.
PARTIE 3
mail, VPN…).
• L’utilisation d’équipements personnels dans le cadre du
BYOD peut au contraire conduire à restreindre le trafic
sortant.
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Principes de routage
Tables de routage
• La table de routage contient au minimum une route par • La table de routage contient également les sous-réseaux connectés au
défaut. routeur. Ils sont insérés automatiquement lorsqu’une IP du sous-réseau
• Cette route par défaut définit l’adresse utilisée si est attribuée au routeur et que l’interface est activée.
aucune règle spécifique n’est applicable pour un • Les routes connectées sont prioritaires sur toutes les autres routes
paquet reçu. (la valeur metric est à 0).
• Par exemple, la commande ip route 0.0.0.0 0.0.0.0
192.168.0.1 définit l’adresse 192.168.0.1 comme
route par défaut.
1. Détermination du chemin
2. Transmission de paquets
3. Fonctions et configurations d’un routeur
4. Principes du routage
5. Routage IP statique et dynamique
02 - Routage IP statique et dynamique
Routage statique
Questions
• Comment est déterminé le chemin d’un paquet IP ? • Quelles routes sont ajoutées automatiquement à la table de routage ?
1. Il est calculé en amont 1. Les routes statiques
2. Chaque étape est définie par le routeur courant 2. Les routes connectées
3. Le chemin est aléatoire 3. Les routes par défaut
Réponses
• Comment est déterminé le chemin d’un paquet IP ? • Quelles routes sont ajoutées automatiquement à la table de routage ?
1. Il est calculé en amont 1. Les routes statiques
2. Chaque étape est définie par le routeur courant 2. Les routes connectées
3. Le chemin est aléatoire 3. Les routes par défaut
10 heures
Chapitre 3
Le routage dynamique
• Lorsqu’un routage à vecteur de distance est actif, tous les routeurs du réseau
transmettent en broadcast à intervalle régulier la totalité de leur table de routage sur
toutes leurs interfaces
• Les routeurs qui reçoivent l’information comparent le contenu reçu avec les entrées de
leur propre table de routage. 3 opérations sont ensuite effectuées
1. Si une destination nouvelle est présente dans la table reçue, l’entrée est
ajoutée à la table
2. Si une destination existante présente un coût différent, le routeur met à jour la
valeur du coût
3. Si une destination existante contient un chemin différent, le routeur compare
les coût et conserve l’entrée avec le coût le plus bas.
• Avec cet algorithme, chaque routeur a une vision auto centrée du réseau où chaque
chemin est défini via ses voisins directs, avec une longueur dépendant du coût associé.
• On perle de vecteur de distance car chaque chemin peut être représenté par un
PARTIE 3
• Le routage à état de liaison réduit l’impact sur le réseau, mais possède 3 inconvénients
par rapport au routage à vecteur de distance
1. Les calculs nécessitent une puissance de calcul et une mémoire conséquentes.
Certains routeurs bas de gamme en sont incapables, le coût matériel peut donc
être plus important
2. La granularité des mises-à-jour doit être bien configurée, pour éviter des
changements en cascade à cause d’une simple microcoupure (si la durée est
trop basse) ou une interruption de service prolongée (si la durée est trop haute)
3. La complexité de mise en œuvre est beaucoup plus importante que pour un
protocole à vecteur de distance.
• RIP (Routing Information Protocol) est un protocole à vecteur de distance s’appuyant sur l’algorithme de Bellman-Ford
• Cet algorithme calcule un plus court chemin dans un graphe orienté pondéré, c’est-à-dire avec un coût affecté à chaque liaison
• RIP est principalement utilisé dans les réseaux de petite taille, pour éviter l’engorgement du réseau par la transmission de tables de
routage trop importantes
• Il existe 3 versions
• RIP V1, introduit en juin 1988 par la RFC 1058, qui transmet les tables de routage en broadcast
• RIPng pour le routage IPv6, formalisé en janvier 1997 par la RFC 2080.
• RIPng utilise l’adresse Multicast FF02::9 en remplacement du broadcast
• RIP V2, normalisé en 1998 par la RFC 2453, qui apporte les améliorations suivantes
• Le support des masques de sous-réseau
• L’utilisation de l’adresse Multicast 224.0.0.9 en remplacement du broadcast
• L’authentification par mot de passe
PARTIE 3
• En tant que protocole à vecteur de distance, RIP utilise la notion de coût. Pour RIP, le coût est le nombre de routeurs à traverser pour
atteindre la destination
• Au delà de 15, une route est considérée comme invalide. Cette valeur est largement inférieure au TTL (Time To Live) d’un paquet
IP, ce qui en fait une limitation très importante à prendre en compte.
• La mise en place de RIP commence par la configuration de chaque routeur, avec les étapes suivantes
1. Associer une IP à chaque interface (port) connectée à un sous-réseau.
• Cela provoque l’initialisation de la table de routage avec les routes connectées
2. Définir les routes statiques éventuellement nécessaires, comme la route par défaut
3. Activer le protocole avec les commandes suivantes
• router rip active RIP
• network suivi de l’adresse du réseau de chaque sous-réseau connecté au routeur ajoute une destination possible pour les
paquets et l’envoi en Multicast des informations
• version 2 active la version 2 de RIP
• no auto summary évite l’agrégation des sous-réseaux en réseaux de classe A, B ou C
• Des commandes plus avancées peuvent être utilisées, comme :
1. timers basic , qui permet d’ajuster les temps avant d’envoyer des messages RIP
PARTIE 3
2. passive-interface suivi du nom de l’interface, qui supprime l’envoi d’informations RIP vers cette interface
• Cette commande est notamment utile si le sous-réseau ne contient que des switch et des terminaux.
• Chaque fois qu’un routeur diffuse sa table de routage (par défaut, toutes
les 30 secondes), chaque routeur destinataire examine les éléments
reçus
• Pour chaque entrée de la table reçue
• la valeur de coût est incrémentée de 1, pour tenir compte de la
liaison vers le routeur ayant transmis l’information
• si la destination est nouvelle, l’entrée est ajoutée
• si la destination est déjà existante, l’entrée est remplacée si le
coût est moindre
• Avec cette méthode, si R1 doit passer par R2 et R3 pour atteindre R4, il
faut 3 mises-à-jour pour que la route soit connue.
• Cette lenteur de convergence est le problème principal de RIP, avec
l’utilisation des ressources réseaux.
PARTIE 3
• OSPF est un protocole ouvert issu d’un groupe de travail • Le routage peut adapter les routes par type de service, grâce au champ
de l’Internet Engineering Task Force (IETF), il est donc TOS (Type Of Service) de l’en-tête IP.
largement supporté. • Les échanges sont sécurisés par authentification.
• OSPF permet la division du réseau en zones autonomes, • L’adressage s’effectue en Multicast.
appelées aires, pour optimiser le routage.
• La convergence est accélérée par des messages de type LSA (Link State
• Chaque aire gère sa propre base de données. Advertisement) qui annoncent immédiatement les modifications, et
• Les aires sont interconnectées par un tronc uniquement celles-ci.
commun, dit aire backbone . • La table de routage complète n’est pas transmise.
• Le coût de route peut être paramétré. Par défaut, il dépend de la bande
passante de la liaison.
• Les masques de sous-réseaux à longueur variable (VLMS) sont autorisés.
PARTIE 3
• La configuration et l’administration complète et pratique • Les LSA sont transmis à tous les routeurs abonnés par l’adresse Multicast
d’OSPF est complexe et sort du cadre de cette 224.0.0.5.
compétence. Nous allons détailler les fonctionnalités • En cas de changement, un LSA ne contenant que le changement
principales. sera émis immédiatement puis propagé.
• Au démarrage, chaque routeur crée un identifiant unique • Nous présentons ensuite l’utilisation des LSA pour la configuration du
sur le réseau, établi à partir de l’adresse IP la plus haute routage.
affectée à une de ces interfaces (ce qui garantit son
unicité).
• Chaque routeur construit ensuite ses LSA (Link State
Advertising) en attribuant un coût d’accès aux réseaux qui
lui sont connectés.
• Par défaut, la formule est Bande passante de
référence / Bande passante de la liaison.
• Par exemple, avec une bande passante de référence
de 100Mb/sec, une liaison à 10Mb/sec aura un coût
PARTIE 3
de 10.
connectivité globale
• ASBR (Autonomous System Boundary Router) : ces
routeurs assurent la redistribution avec d’autres
protocoles qu’OSPF (comme RIP).
Questions
• OSPF et RIP sont des • Qu’apporte le Multicast dans RIPv2 et OSPF par rapport à RIPv1 ?
1. IGP 1. Seuls les routeurs concernés reçoivent les messages
2. EGP 2. Les messages sont envoyés à plusieurs routeurs
3. MGP 3. Une convergence plus rapide
1. La bande passante
2. La mémoire consommée
2. La mémoire vive
3. La bande passante de la liaison
3. Le processeur
Réponses
• OSPF et RIP sont des • Qu’apporte le Multicast dans RIPv2 et OSPF par rapport à RIPv1 ?
1. IGP 1. Seuls les routeurs concernés reçoivent les messages
2. EGP 2. Les messages sont envoyés à plusieurs routeurs
3. MGP 3. Une convergence plus rapide
1. La bande passante
2. La mémoire consommée
2. La mémoire vive
3. La bande passante de la liaison
3. Le processeur
20 heures
Chapitre 1
Outils de sécurité réseau
15 heures
Chapitre 1
Outils de sécurité réseau
• Une cyberattaque vise à accéder à un réseau pour • Les attaques par déni de service (DOS) : ces attaques consistent à
récupérer, modifier ou détruire son contenu. submerger les serveurs de requêtes pour les empêcher de répondre
• Les attaques les plus courantes en 2021 sont : aux requêtes légitimes ou les faire crasher ;
• Les malware : il s’agit de logiciels malveillants qui • Les attaques de mots de passe : il s’agit de deviner un mot de passe
infectent un poste de travail ou un serveur ; ou de tester les combinaisons par force brute ;
• • Les injections SQL : les sites web mal programmés peuvent
Les phishing scams : ce sont de faux sites ou faux
emails visant à récupérer des informations en permettre d’extraire des informations par des requêtes SQL
trompant un utilisateur ; malicieuses.
• • Le facteur le plus impactant est le facteur humain : en tant
Une variante est le phishing par autorité,
consistant à se faire passer pour un dirigeant qu’administrateur réseau ou responsable de la sécurité, une grande part
d’une entreprise pour se faire envoyer des de votre activité est de former vos utilisateurs pour ne pas cliquer sur des
documents confidentiels ou de l’argent. liens malveillants ou laisser entrer les pirates.
• Cela n’empêche pas la nécessité de sécuriser le réseau de sorte à limiter
les possibilités de malveillance.
PARTIE 4
Reconnaissance Attaque
• Un outil de reconnaissance a pour but de cartographier le • Les tests de pénétration utilisent une boite à outils qui peut également
réseau cible, en identifiant les services disponibles. être illégalement utilisée par des personnes malveillantes pour pénétrer
• Plusieurs outils sont utilisés : un réseau.
• Ping utilise le protocole ICMP pour tester • Ces outils offrent des capacités
l’accessibilité d’une machine donnée sur un réseau ; • D’accès initial, pour pénétrer à l’intérieur du réseau ;
• Nmap scanne l’ensemble des ports d’une machine • D’escalade de privilèges, pour obtenir des droits supérieurs aux
pour déterminer les services accessibles ; droits initialement récupérés ;
• Traceroute trace le chemin d’un paquet pour arriver • De persistance, pour conserver un accès au réseau après l’attaque
à destination, en identifiant les hôtes intermédiaires. initiale.
• La combinaison des outils de test d’accessibilité et de • D’impact, pour réaliser les opérations malveillantes visées :
traçage permet ainsi de reconnaitre le réseau. récupération de données, altération de données, destruction de
données.
PARTIE 4
• Face aux outils des attaquants, assurer la sécurité du • Et bien sûr, les administrateurs réseau doivent assurer les aspects
réseau fait partie des missions du service IT. techniques de la sécurité !
• Cependant, l’implication de toute l’organisation est • La section suivante introduit un outil précieux, les listes de contrôle
indispensable : d’accès.
• La Direction doit être garante du respect des règles
établies ;
• Le service Commercial doit accepter les délais
imposés par le respect des bonnes pratiques ;
• Les développeurs web ou de logiciels doivent
traiter la sécurité comme une préoccupation et
non comme une fonctionnalité, repoussée sans
cesse au fond de l’outil de gestion de projet ;
• Le personnel administratif doit accepter d’être
formé et respecter les bonnes pratiques mises en
PARTIE 4
place.
B.
• Une fois l’ensemble des règles configurées pour un • Pour vérifier la configuration,
numéro d’ACL donné, l’ACL peut être associée à une • La commande show access-lists affiche l’ensemble des ACL
interface spécifique. configurées
• La commande interface permet de sélectionner • La commande show ip interface suivi du nom de l’interface indique
l’interface, puis la commande ip access group indique les ACL associées.
l’ACL à associer à l’intérieur de la configuration de
l’interface.
• Pour l’ACL de notre exemple nous saisissons :
PARTIE 4
2. Le port de destination.
• Elles offrent également une syntaxe alternative pour créer
des ACL par nom plutôt que par un nombre.
• Pour terminer cette section, nous proposons un exemple de syntaxe alternative avec une ACL nommée :
PARTIE 4
• La commande access-list suivie du mot clé extended et d’un nom permet de donner les règles à la suite.
• La commande access-group suivie du nom et du mot clé out permet de finaliser la configuration.
• La prochaine section présente deux outils de sécurité complémentaires : le pare-feu et le proxy.
ACL Pare-feu
• Les ACL introduites dans la section prennent une décision • Les pare-feu, introduits dans la sections sur les fonctions avancées des
paquet par paquet, au moment de leur arrivée sur routeurs, proposent des fonctions avancées prenant en compte le flux
l’interface. applicatif :
• On parle d’inspection sans-état, c’est-à-dire sans • On parle de technique à inspection d’état.
tenir compte des paquets précédents. • Les pare-feu s’appuient sur l’ensemble des couches du modèle OSI, y
• Les ACL s’appuient sur les en-têtes IP et TCP mais pas sur compris les sessions et les applications.
les données issues de la couche application. • Les pare-feu peuvent être intégrés aux routeurs ou faire l’objet d’un
• Les ACL sont configurées directement au niveau des équipement autonome, positionné à un endroit stratégique du réseau.
périphériques de couche 3, comme les routeurs.
PARTIE 4
au minimum.
• Le NAT peut être statique (une IP publique associée à un
hôte privé) ou dynamique (IP attribuée à la demande lors
d’une connexion vers l’extérieur).
PAP CHAP
• PAP est une méthode d’authentification simple à mettre • CHAP (Challenge Handshake Authentication Protocol) est une méthode
en œuvre. d’authentification qui crypte les échanges de données d’authentification.
• On retrouve PAP pour l’authentification des • Le mot de passe n’est ainsi jamais transmis en clair.
serveurs FTP de téléchargement de fichiers FTP. • Seul le nom d’utilisateur est transmis en clair.
• Le nom d’utilisateur et le mot de passe sont transmis en • CHAP utilise une procédure en 3 parties qui empêche les attaques par
clair au serveur. répétition, le challenge initial étant modifié régulièrement
• PAP ne limite pas le nombre d’essais et est donc sensible • CHAP protège ainsi également contre le vol de session, l’attaquant
aux attaques par force brute. n’ayant pas connaissance du mot de passe pour maintenir la
• PAP offre donc une solution simple à mettre en place, connexion au prochain renouvellement du challenge.
mais peu sécurisée. • CHAP propose ainsi une solution plus complexe, mais très sécurisée.
PARTIE 4
Questions
• Comment peut-on bloquer une attaque DOS ? • Quel en-tête n’est pas utilisé par une ACL étendue ?
1. Avec une ACL 1. Ethernet
2. Avec un pare-feu 2. IP
3. Avec un serveur plus puissant 3. TCP
Questions
• Comment peut-on bloquer une attaque DOS ? • Quel en-tête n’est pas utilisé par une ACL étendue ?
1. Avec une ACL 1. Ethernet
2. Avec un pare-feu 2. IP
3. Avec un serveur plus puissant 3. TCP
5 heures
Chapitre 2
Gestion et supervision des réseaux
• Sur un réseau, tous les paquets sont égaux mais certains • En pratique, la QoS permet de gérer les critères suivants :
le sont plus que d’autres. • La bande passante disponible ;
• Certains services sont critiques pour l’organisation, • Le délai de transmission ;
d’autres ont des contraintes de délai, comme les
applications audio ou vidéo. • La variation du délai de transmission ;
• La Qualité de Service (QoS) fait référence à un ensemble • Le pourcentage de paquets perdus.
d’outils que peuvent utiliser les équipements réseaux • Ce dernier chapitre présente dans un premier temps le fonctionnement
pour gérer un paquet pendant qu’il traverse le réseau. de la QoS. Nous terminerons ensuite ce cours avec un panorama des
procédures de dépannage réseau, du protocole SNMP et des solutions
d’administration comme Nagios et Cacti.
PARTIE 4
• La configuration de la QoS peut se faire selon différents • À l’inverse, un traitement dit batch consiste à transmettre et traiter
critères, notamment en fonction du type d’application. un volume massif de données. L’important est que les données
Par exemple, finissent par arriver à leur destinataire, mais l’impact d’un retard sera
• Une requête HTTP vers un site web est négligeable.
asymétrique dans ses besoins : les requêtes sont • Notre dernier exemple, la vidéo, présente un challenge intéressant :
généralement légères mais les réponses peuvent la bande passante peut être conséquente, mais le délai, la variation
contenir des milliers, voire des millions de paquets. et la perte le sont tout autant. La priorité donnée à un flux vidéo
L’utilisateur est en attente du résultat qui doit lui dépendra de son importance pour l’organisation – une vidéo
parvenir dans un délai raisonnable. conférence de l’équipe de direction pourra être priorisée par rapport
• Une application VoIP utilise environ 80kb/sec de aux vidéos de la pause déjeuner.
bande passante, voire moins avec un codec • La suite présente les outils de la QoS : classification et marquage, files
optimisé. L’impact du délai, de la variation et de la d’attentes, prise de décision et gestion de la congestion.
perte sont par contre importants.
PARTIE 4
• Un enjeu majeur de l’administrateur réseau est d’éviter • Malgré tous ces efforts, des pannes surviennent et les tickets de support
les problèmes. Pour cela, le réseau doit être : s’accumulent.
• Sécurisé : une brèche de sécurité implique une • Cette section présente les approches suivantes pour le dépannage
investigation poussée pour identifier les services • La documentation ;
affectés, ainsi que des tâches administratives pour
le reporting interne, externe et juridique, puis la • La méthode Delta ;
remise en état du réseau ; • La méthode Napoléon ;
• Redondant : la défaillance d’un équipement doit • La méthode Sesame Street ;
pouvoir être réparée sans que le service soit • L’analyse structurée.
interrompu ;
• Monitoré : pour le point précédent, la défaillance
doit pouvoir être repérée pour qu’une action soit
menée.
PARTIE 4
• La documentation est un point d’entrée indispensable, • La manière de structurer la documentation doit faire partie des
comme une carte pendant un voyage : procédures documentées (Standard Operating Procedures) qui guident le
• Comme une carte, elle peut être légèrement travail au quotidien de l’administrateur réseau.
obsolète, mais donner une vue globale pertinente. • La documentation peut contenir :
• Pour que la documentation soit disponible au moment de • Les diagrammes de conception ;
la panne, il est indispensable de la créer et de la • Le plan d’adressage, incluant les VLAN ;
maintenir à jour.
• La liste du matériel ;
• Pour les collègues.
• La liste des logs ;
• Comme pour le futur vous.
• L’étiquetage des équipements et des câbles.
• Lorsque la panne survient, il est ainsi possible de comparer les
configurations en place avec les configurations prévues, et d’ajuster si
besoin.
PARTIE 4
• L’écrasante majorité des problèmes surviennent à la suite • La méthode Delta consiste à identifier ce qui a changé dans
d’un changement dans l’environnement. Il peut s’agir : l’environnement entre le moment où le réseau était fonctionnel et le
• D’un changement ou d’un ajout de matériel ; moment où le dysfonctionnement a été détecté. Les 3 sources les plus
courantes sont :
• Du déploiement ou de la mise-à-jour d’une
application ; 1. Un changement réalisé par l’administrateur lui-même ;
• De l’application d’un correctif sur un firmware ; 2. Un changement par un partenaire ou un fournisseur ;
• D’un changement de configuration ; 3. Une défaillance.
• • En termes de prévention, deux principes découlent de la méthode Delta :
D’une panne de matériel ;
• De la saturation d’un équipement (base de • Limiter les changements « If it ain’t broke, dont’t fix it ».
données, liaison). • Lorsqu’un changement est indispensable, le documenter et le
réaliser par incréments maitrisés.
PARTIE 4
• La méthode Napoléon consiste à appliquer le principe du • Une fois les causes possibles localisées, l’administrateur commence par la
diviser pour mieux régner (« Divide and Conqueer ») cause la plus probable et descend dans la liste jusqu’à ce que le problème
• Ce principe est bien connu des développeurs, soit résolu.
notamment dans les algorithmes de recherche et
de tri.
• Appliquée au dépannage, la méthode consiste à isoler le
problème parmi toutes les sources possibles
• En pratique, la première étape consiste à localiser les
causes possibles. Par exemple, si un utilisateur est
déconnecté régulièrement de ses sessions de travail
distantes, les causes possibles sont :
1. Une problème de DHCP ;
2. Un problème sur le serveur ;
3. Un problème sur le client ;
PARTIE 4
• Alors que la méthode Napoléon se concentre sur • De même, si le problème est localisé sur quelques utilisateurs mais
l’identification de ce qui peut ne pas fonctionner, la que le système fonctionne globalement pour les autres, la solution
méthode Sésame Street se focalise sur ce qui fonctionne. Sesame Street consiste à appliquer à ces utilisateurs la
• Le nom Sesame Street provient de la chanson configuration documentée fonctionnelle pour les autres et ainsi
« One of these things is not like the others ». repartir sur une base saine.
• La méthode Sesame Street consiste ainsi à repartir du • Les éléments spécifiques à l’utilisateur peuvent ensuite être rétablis
fonctionnement normal. un à un, ce qui permettra d’identifier précisément le problème s’il
se manifeste à nouveau.
• Par exemple, si le problème est localisé sur un
routeur, revenir à la configuration (évidemment) • Cette méthode permet ainsi de respecter un principe fondamental d’ITIL
documentée peut résoudre le problème. évoqué en fin de première partie : rétablir vite, avant de trouver une
solution optimale.
• La méthode Delta peut ensuite être
appliquée en complément pour déterminer
la raison de l’écart de configuration
• Si la différence de configuration provient
PARTIE 4
• L’analyse structurée permet de résoudre des problèmes • Les notes doivent permettre d’identifier les faits, comme :
complexe, lorsque les méthodes précédentes ont échoué. • la durée du problème (permanent ou intermitent) ;
L’analyse structurée consiste ainsi à traiter les blancs
laissés par les essais infructueux menés précédemment. • La date de début du problème (ou de son identification) ;
• Pour cela, une prise de notes régulière au cours du • Les lieux et les utilisateurs concernés ;
processus est indispensable. Un problème complexe peut • La configuration des équipements et des applications affectés ;
parfois prendre plusieurs heures, voire journées, et • Le comportement des équipements et des applications similaires
mobiliser plusieurs équipes de techniciens en rotation
non affectée.
24h/24.
• La résolution prend ainsi la forme de prises de décisions fondées sur des
• Une panne globale dans un centre de données est
faits et documentées au fur et à mesure.
un exemple de problème complexe qui mobilise
l’ensemble des ressources de l’organisation
affectée. En prolongement de ces méthodes de dépannage, la section suivante
présente SNMP, un protocole permettant de superviser et diagnostiquer les
problèmes réseaux et de matériel à distance.
PARTIE 4
• Le Simple Network Management Protocol (SNMP) a été • Les données sont stockées par chaque agent dans une base de données.
introduit en 1988 par la RFC 1065. Elle contient des informations sur l’équipement monitoré par l’agent,
• SNMP fonctionne sur la couche application à partir de 2 notamment :
types de composants installés sur le réseau : • Les réglages de configuration ;
1. Les agents, qui s’exécutent sur chaque équipement • Les statuts (actif, hors-ligne,…) ;
du réseau et stockent les informations sur le • Les mesures (% d’espace occupé, débit moyen, …).
composant.
• Les transferts d’informations entre le manager et les agents s’effectuent :
2. Le manager, une application souvent appelée
Network Management Station (NMS) qui exploite • soit à la demande du manager ;
les informations. • soit à l’initiative du client.
• La suite présente les 2 types de transfert ainsi que la sécurisation.
PARTIE 4
• Les messages envoyés par SNMP révèlent un nombre • SNMP offre ainsi un service de recensement et de transfert de
considérable d’informations. Leur confidentialité et leur l’information. Nous terminons ce chapitre et ce cours par une
intégrité doivent être assurées. Différents mécanismes présentation de 2 outils qui offrent une solution d’administration
permettent de sécuriser SNMP : centralisée s’appuyant sur SNMP, Nagios et Cacti.
• Des ACL peuvent être configurées pour n’autoriser
les requêtes GET issues des NMS que depuis les
serveurs connus. Un attaquant ne peut ainsi pas
brancher son propre NMS sur le réseau et
récupérer l’information.
• SNMP contient un mécanisme d’authentification
qui a évolué avec les versions.
• SNMPv1 et SNMPv2 utilisent une solution
simple à partir de mots de passes non
cryptés.
• SNMPv3 propose une solution complète
PARTIE 4
• Un ensemble d’outils est disponible, en Open Source • D’autres outils sont utilisés pour alerter en cas de problème détecté sur
comme sous forme de solutions propriétaires et payantes, un équipement.
pour piloter le réseau informatique de manière • Enfin, des outils de gestion d’incident sont utilisés lorsqu’un problème
centralisée. survient, comme nous l’avons vu en fin de partie 1.
• Certains outils sont spécialisés dans le monitoring de • Nous terminons ce chapitre par une présentation de Cacti et de Nagios, 2
l’infrastructure. À partir des données récoltées, ils tracent outils Open Source s’appuyant sur SNMP.
des graphes permettant de visualiser l’état du réseau et
ses métriques principales. Cela permet :
• De superviser le fonctionnement ;
• D’optimiser l’utilisation des ressources.
PARTIE 4
Questions
• En QoS, quelle en-tête n’est pas utilisée pendant la • Où est située la base de données MIB dans SNMP ?
classification ? 1. Sur l’agent
1. Ethernet 2. Sur le Manager
2. IP 3. Dans Nagios
3. TCP
• Quel outil est le plus approprié pour générer les visualisations les plus
• avancées ?
Quelle en-tête n’est pas utilisée pendant le marquage ?
1. Nagios
1. Ethernet
2. SNMP
2. IP
3. Cacti
3. TCP
1. Le support de SNMP
1. Seek And Destroy
2. Les visualisations avancées
2. Divide and Conqueer
3. Les alertes
3. Thrown and Run
Réponses
• En QoS, quelle en-tête n’est pas utilisée pendant la • Où est située la base de données MIB dans SNMP ?
classification ? 1. Sur l’agent
1. Ethernet 2. Sur le Manager
2. IP 3. Dans Nagios
3. TCP
• Quel outil est le plus approprié pour générer les visualisations les plus
• avancées ?
Quelle en-tête n’est pas utilisée pendant le marquage ?
1. Nagios
1. Ethernet
2. SNMP
2. IP
3. Cacti
3. TCP
1. Le support de SNMP
1. Seek And Destroy
2. Les visualisations avancées
2. Divide and Conqueer
3. Les alertes
3. Thrown and Run
• Les réseaux sont conçus en utilisant des topologies adaptée, souvent hybrides.
• L’architecture SOHO permet de connecter quelques équipements chez soi ou dans un petit bureau. En entreprise, on adoptera l’architecture
2-tiers ou 3-tiers avec une couche accès, une couche distribution et une couche cœur, pouvant être rassemblées pour les 2 dernières.
• Le modèle OSI fournit un cadre de référence par couches. TCP/IP permet à chaque couche de s’appuyer sur la couche du dessous comme
fournisseur de services. Les données sont encapsulées par l’ émetteur et décapsulées par le récepteur.
• Sur un réseau filaire, le remplacement des concentrateurs par des commutateurs (switch) a permis d’éliminer les collisions. Sur les réseaux
sans-fil, les trames avec les techniques actuelles reçues par tous les équipements et le protocole CDMA/CA permet de gérer les collisions.
• Pour assurer la performance et la sécurité on segmente logiquement le réseau en sous-réseaux, à l’aider de routeurs ou de VLAN. VLSM
permet d’optimiser le nombre d’adresses utilisées au coût d’une certaine complexité. Les protocoles STP permettent d’assurer une
redondance sans créer de boucle, tandis que l’agrégation de liaisons permet d’augmenter la bande passante.
• Le routage entre les réseaux peut être configuré manuellement ou avec les protocoles RIP (pour un réseau simple) ou OSPF (pour un réseau
plus complexe)
• Le réseau doit être sécurisé, notamment par les ACL, les pare-feu et l’utilisation de protocoles de chiffrement. Il doit également être
surveillé, à l’aide d’outils de gestion comme les NMS (Network Management System)
PARTIE 4
• Tout réseau, même bien conçu, doit être maintenu, optimisé et dépanné en continu : c’est un excellent choix de carrière !