REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET UNIVERSITAIRE

UNIVERSITE REVEREND KIM

« URK »

Faculté des Sciences Informatiques

L1 Réseaux

Cours de
RESEAUX INFORMATIQUES I

Par

Shico ZANDI MANGUMBE

Kinshasa 2017

0
 INTRODUCTION GENERALE

Ce cours de Réseaux Informatiques Réseaux, adressé aux étudiants de L1 Réseaux

de la faculté des Sciences Informatiques, a comme objectif de leur fournir les notions
fondamentales sur les réseaux informatiques afin de leur permettre de maîtriser ce
domaine qui est sans cesse en évolution.

Les réseaux informatiques sont des systèmes de mise en commun de l’information

entre plusieurs machines informatiques interconnectées. Un réseau peut ainsi relier, au
moyen d’équipements de communication appropriés, des ordinateurs, des routeurs,
des passerelles, des terminaux et des périphériques divers tels que des imprimantes et
des serveurs de fichiers. La connexion entre ces différents éléments peut s’effectuer à
l’aide de liens permanents comme des câbles, mais aussi faire appel à des réseaux de
télécommunications publics, comme le réseau téléphonique.

De ce fait, les dimensions de ces réseaux informatiques sont très variées, depuis les
réseaux locaux, reliant quelques éléments dans un même bâtiment, jusqu’aux
ensembles d’ordinateurs disséminés sur une zone géographique importante. Quelle
que soit leur étendue, les réseaux informatiques permettent aux utilisateurs de
communiquer entre eux et de transférer des informations. Ces transmissions de
données peuvent concerner l’échange de messages entre utilisateurs, l’accès à
distance à des bases de données ou encore le partage de fichiers.

De nombreuses applications fonctionnent selon un environnement client/serveur, cela

signifie que des machines clientes contactent un serveur qui leur fournit des
services. Ces services sont des programmes fournissant des données telles que
l'heure, des fichiers, une connexion, etc.

Les services sont exploités par des programmes, appelés programmes clients,
s'exécutant sur les machines clientes. On parle ainsi de client (client FTP, client de
messagerie, etc.) lorsque l'on désigne un programme tournant sur une machine
cliente, capable de traiter des informations qu'il récupère auprès d'un serveur (dans le
cas du client FTP il s'agit de fichiers, tandis que pour le client de messagerie il s'agit de
courrier électronique).

L’augmentation du nombre des ordinateurs en entreprise a fait que les réseaux locaux
sont devenus insuffisants. Il fallait donc trouver une façon de faire circuler les
informations rapidement et efficacement entre les entreprises multi-sites. La solution
fut la création des réseaux MAN (Metropolitan Area Network, réseaux
métropolitains) et WAN (Wide Area Network ou Réseaux Etendus).

L’accès de réseau étendu (WAN) est devenu aujourd’hui essentiel dans la plupart des
grandes entreprises. De nombreuses technologies de réseau étendu permettent de
répondre aux différents besoins des entreprises et de nombreuses méthodes
permettent de faire évoluer le réseau. L’ajout d’un accès de réseau étendu implique
des aspects supplémentaires, notamment la sécurité du réseau et la gestion des
adresses. Ainsi, il n’est pas toujours simple de concevoir un réseau étendu et de
sélectionner des services de réseau d’opérateur appropriés. 1

1
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

1
CHAPITRE I. MISE EN RESEAU ET ORGANISATION DES TRANSFERTS
DE DONNEES

1.1. INTRODUCTION

Le terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.)

interconnectées les unes avec les autres. Un réseau permet ainsi de faire circuler des
éléments matériels ou immatériels entre chacune de ces entités selon des règles bien
définies.

 Réseau (en anglais network) : Ensemble des ordinateurs et périphériques connectés

les uns aux autres. Notons que deux ordinateurs connectés ensemble constituent à
eux seuls un réseau minimal.
 Mise en réseau (en anglais networking) : mise en œuvre des outils et des tâches
permettant de relier des ordinateurs afin qu’ils puissent partager des ressources en
réseau.

Il n'existe pas un seul type de réseau informatique, car historiquement il existe des
types d'ordinateurs différents, communiquant selon des langages divers et variés. Par
ailleurs, ceci est également dû à l'hétérogénéité des supports physiques de
transmission les reliant, que ce soit au niveau du transfert de données (circulation de
données sous forme d'impulsions électriques, de lumière ou d'ondes
électromagnétiques) ou bien au niveau du type de support (câble coaxial, paires
torsadées, fibre optique, etc.).

Dans ce chapitre, nous allons présenter les normes et matériels réseaux, les
différentes méthodes d’accès, les topologies logiques, la traduction d’adresses IP, la
notion de passerelle par défaut, le tunneling IPv6-IPv4, les équipements multifonctions
et les réseaux multiservices.

1.2. NORMES ET MATÉRIELS RÉSEAUX

1.2.1. Standardisation

Au début, bon nombre de réseaux ont été mis sur pied à l'aide de plates-formes
matérielles et logicielles différentes. Il en a résulté une incompatibilité entre de
nombreux réseaux et il est devenu difficile d'établir des communications entre des
réseaux fondés sur des spécifications différentes.

Par exemple, il y a incompatibilité entre la plate-forme PC (IBM) qui utilise un système

ouvert et la plate-forme Macintosh (Apple) qui utilise un système fermé.

.
Figure 1.1. Incompatibilité entre plates-formes PC et Macintosh.

2
Un système ‘’propriétaire’’ ou ‘’fermé’’, appartient à une société privée qui en assure
le développement et le contrôle. C’est-à-dire qu'une entreprise ou un petit groupe
d'entreprises contrôle entièrement l'utilisation de la technologie.

En revanche, le public peut utiliser librement une technologie ouverte qui correspond à
un système ‘’ouvert’’.

Pour résoudre le problème de l'incompatibilité des réseaux et leur incapacité à

communiquer entre eux, l'Organisation internationale de normalisation ‘’ISO’’
(International Standards Organization) a mis au point un modèle de référence de
réseau, qui aiderait les concepteurs à mettre en œuvre des réseaux capables de
communiquer entre eux et de fonctionner de concert (interopérabilité). Elle a donc
publié en 1984 le modèle de référence d’interconnexion des systèmes ouverts, appelé
OSI (Open Systems Interconnection). Le modèle OSI répartit les protocoles utilisés
selon sept couches, définissant ainsi un langage commun pour le monde des
télécommunications et de l’informatique.

Le modèle TCP/IP, inspiré du modèle OSI, reprend l'approche modulaire (utilisation de

modules ou couches) mais en contient uniquement quatre. Les couches du modèle
TCP/IP ont des tâches beaucoup plus diverses que les couches du modèle OSI, étant
donné que certaines couches du modèle TCP/IP correspondent à plusieurs couches du
modèle OSI.

Les deux couches inférieures du modèle OSI (couches Physique et Liaison des
données) concernent le matériel : carte réseau et câblage. Afin de définir de
manière plus précise les exigences imposées aux matériels opérant au niveau de ces
deux couches, l’IEEE (Institute of Electrical and Electronics Engineers) a enrichi la
norme OSI au niveau des spécifications relatives aux cartes réseaux et aux câbles. Ces
améliorations sont connues sous l’appellation collective de projet 802 (802 = février
1980, année et mois du début du projet).

La norme IEEE divise la couche liaison de données OSI en deux sous-couches

distinctes :
- Media Access Control (MAC) (transitions vers le bas jusqu'au média).
- Logical Link Control (LLC) pour le -Contrôle de lien logique (transitions vers le
haut jusqu'à la couche réseau).

Figure 1.2. Comparaison entre modèle OSI, modèle TCP/IP et norme IEEE 802.

3
1.2.2. Matériels réseaux

De nombreux composants entrent dans la configuration d'un réseau : ordinateurs,

serveurs, périphériques réseau, câbles, etc. Ces composants peuvent être classés en
quatre catégories principales :
 Hôtes,
 Périphériques partagés,
 Périphériques réseau,
 Supports réseau.

Les composants réseaux les mieux connus par les utilisateurs sont les hôtes et les
périphériques partagés.

Figure 1.3. Structure d’un réseau informatique.

 Les hôtes sont des ordinateurs ou des machines qui envoient et reçoivent des
messages directement sur le réseau. Par conséquent, ils peuvent être munis de carte
réseau et posséder une adresse IP (ex : Poste de travail, serveur, imprimante
réseau).

 Les périphériques partagés ne sont pas directement connectés au réseau, mais

aux hôtes (ex : Imprimante locale, webcam, scanner). L'hôte assure donc le partage
de périphériques sur le réseau. Les hôtes sont équipés de logiciels configurés pour
permettre aux utilisateurs du réseau d'exploiter les périphériques connectés.

 Les périphériques réseau (ex : concentrateur, commutateur) et les supports

réseau (câble coaxial, paires torsadées, fibre optique ou ondes radioélectriques)
permettent d'interconnecter les hôtes.

Certains périphériques peuvent jouer plusieurs rôles, selon la manière dont ils sont
connectés dans le réseau.
Par exemple :
- une imprimante connectée directement à un hôte est un périphérique partagé
(imprimante locale),
- une imprimante connectée directement à un périphérique réseau et qui participe
directement aux communications réseau est un hôte (imprimante réseau).

Chacun des équipements périphériques réseau fonctionne sur une couche bien
précise du modèle OSI suivant la fonction qu’il est appelé à effectuer.

4
La figure 1.4 présente les différents équipements d’interconnexion et les couches
auxquelles ils sont associés.

Figure 1.4. Les équipements d’interconnexion et couches du modèle OSI.

1) Le répéteur

Sur une ligne de transmission, le signal subit des distorsions et un affaiblissement

d'autant plus importants que la distance qui sépare deux éléments actifs est longue.
Généralement, deux noeuds d'un réseau local ne peuvent pas être distants au-delà
d’une distance donnée, c'est la raison pour laquelle un équipement supplémentaire est
nécessaire au-delà de cette distance.

- Un répéteur (repeater en Anglais) est un équipement de couche 1 du modèle OSI

permettant de régénérer un signal entre deux noeuds du réseau, afin d'étendre la
distance de câblage de ce réseau.

Figure 1.5. Le répéteur prolongeant un réseau LAN.

2) Le concentrateur

Un concentrateur (Hub en Anglais) est un élément matériel de couche 1 du modèle

OSI possédant un certain nombre de ports (4, 8, 16, 32 ou 48) qui permet de
concentrer le trafic réseau provenant de plusieurs hôtes, et de régénérer le signal. Il
est parfois appelé répéteur multiports.

Figure 1.6. Symboles du concentrateur (Hub).

5
 Figure 1.7. Chaînage de plusieurs concentrateurs.

3) Pont

Un pont (bridge en Anglais) est un dispositif matériel permettant de relier des réseaux
travaillant avec le même protocole. Le pont travaille également au niveau logique (au
niveau de la couche 2 du modèle OSI), c'est-à-dire qu'il est capable de filtrer les
trames en ne laissant passer que celles dont l'adresse correspond à une machine
située à l'opposé du pont. Ainsi, le pont permet de segmenter un réseau en conservant
au niveau du réseau local les trames destinées au niveau local et en transmettant les
trames destinées aux autres réseaux.

(a) (b)
Figure 1.8. (a) Symbole du pont. (b) Segmentation d’un réseau LAN par un pont.

4) Commutateur

Un commutateur (switch en Anglais) est un pont multiports, c'est-à-dire qu'il s'agit

d'un élément actif agissant au niveau de la couche 2 du modèle OSI.
Le commutateur analyse les trames arrivant sur ses ports d'entrée et filtre les données
afin de les aiguiller uniquement sur les ports adéquats correspondant aux hôtes
concernés (on parle de commutation ou de réseaux commutés). Le commutateur
permet d'allier les propriétés du pont en matière de filtrage et du concentrateur en
matière de connectivité.

Figure 1.9. Représentation des commutateurs Ethernet et ATM.

6
Le commutateur Ethernet est utilisé dans les réseaux LANs de type Ethernet tandis
que le commutateur ATM est utilisé dans le réseau de transport à haut débit de type
ATM (Asynchronous Transfer Mode).

5) Le Routeur

Un routeur (Router en Anglais) est un équipement d'interconnexion de réseaux

informatiques de natures différentes (tous types de réseaux) permettant d'assurer le
routage des paquets entre ces réseaux ou plus afin de déterminer le chemin qu'un
paquet de données va emprunter. Un routeur met en relation un couple de ports
d’accès (LAN ou WAN) identifiés par une adresse.

Figure 1.10. Symbole d’un routeur.

Le routeur possède :
 un ou plusieurs ports ‘’parallèle’’ de type Ethernet (eth0, eth1, eth2…) en RJ-45,
pour l’interface LAN,
 un ou plusieurs ports ‘’série’’ (S0, S1, S2…) en AUI, EIA ou TIA pour l’interface
WAN,
 un port Console en RJ-45, pour connecter l’ordinateur de configuration du routeur,
 un port Auxiliaire en RJ-45, pour une connexion via modem servant à administrer le
routeur à distance via un autre réseau que le réseau dont fait partie le routeur.

Figure 1.11. Les différents ports et connexions externes d’un routeur CISCO.

La figure 1.12 montre les différents modes de câblage des routeurs CISCO
interconnectant deux réseaux LAN à travers une liaison WAN de type série.

Figure 1.12. Les différents modes de câblage d’un routeur.

7
1.3. LES MÉTHODES D’ACCÈS

Pour utiliser une ressource réseau il faut pouvoir y accéder. Ainsi, une méthode
d’accès représente l’ensemble des règles qui définissent la façon dont un ordinateur
place les données sur le câble. Les méthodes d’accès facilitent la régulation du trafic
sur le réseau.

Sur un réseau informatique, tout le trafic semble se déplacer en même temps et sans
interruption, mais ce n’est qu’une illusion de simultanéité car en réalité chaque
ordinateur attend son tour pour accéder au réseau.
En effet, plusieurs ordinateurs se partagent l’accès au câble qui les relie et si deux
ordinateurs placent des données sur le câble en même temps, les données émises par
l’un entreraient en collision avec celles émises par l’autre et on aura comme résultat :
les données émises par les deux ordinateurs seront détruites.

Figure 1.13. Collisions des données émises simultanément par deux ordinateurs.

Pour ce faire, dans les réseaux informatiques il existe trois principales méthodes
d’accès, à savoir :
ère
 1 méthode : La Contention
ème
 2 méthode : Le Passage de jeton
ème
 3 méthode : La Priorité de demande

1.3.1. La Contention

En Anglais, la contention signifie « rivalité », c’est-à-dire que les ordinateurs du réseau

rivalisent pour accéder au câble. Dans cette méthode, le premier venu est le premier
servit et les ordinateurs « écoutent » le câble pour savoir si les paquets émis sont
entrés en collision. C’est la méthode CSMA (Carrier Sense Multiple Access en
Anglais ou « accès multiple avec écoute de porteuse » en Français). On distingue
deux variantes de méthode d’accès par contention :
- CSMA/CD,
- CSMA/CA.

a) CSMA/CD (Carrier Sense Multiple Access / Collision Detection)

Avec la méthode CSMA/CD (accès multiple avec écoute de porteuse/ Détection

des collisions), tous les ordinateurs du réseau, clients et serveurs compris,
« écoutent » le câble pour savoir s’il y a du trafic sur le réseau. Un ordinateur ne peut
transmettre que s’il détecte que le câble est libre, donc dénué de tout trafic. Lorsque
cet ordinateur a émis des données sur le câble, aucun autre ordinateur ne peut
transmettre, tant que les données du premier ne sont pas arrivées à destination et que
le câble n’a été libéré.
Si deux ou plusieurs ordinateurs envoient des données au même instant, il y a collision
et en pareil cas, les deux ordinateurs cessent de transmettre pendant une durée
aléatoire puis essaient de reprendre la transmission.

8
Chaque ordinateur détermine son propre délai d’attente : cela réduit les risques de
voir à nouveau les ordinateurs essayer de transmettre au même moment.
En raison de l’affaiblissement du signal, cette méthode impose une distance maximale
à un réseau car la détection des collisions ne fonctionne pas au-delà de 2 500 mètres.
Comme les segments ne parviennent pas à détecter les signaux au-delà de cette
distance, ils ne peuvent pas savoir qu’un ordinateur situé au fin fond d’un grand réseau
est entrain de transmettre.

Avec ce protocole toute machine est autorisée à émettre sur la ligne à n'importe quel
moment et sans notion de priorité entre les machines. Cette communication se fait de
façon simple :
 Chaque machine vérifie qu'il n'y a aucune communication sur la ligne avant
d'émettre
 Si deux machines émettent simultanément, alors il y a collision (c'est-à-dire que
plusieurs trames de données se trouvent sur la ligne au même moment)
 Les deux machines interrompent leur communication et attendent un délai aléatoire,
puis la première ayant passé ce délai peut alors réémettre

Plus il y a d’ordinateurs sur le réseau, plus le trafic augmente, de même que les
collisions. Tout cela ralentit le réseau, ce qui fait que CSMA/CD peut devenir une
méthode d’accès lente. Selon les composants matériels, le câblage et le logiciel réseau
employés, un réseau CSMA/CD, avec de nombreux utilisateurs travaillant sur plusieurs
applications de base données (qui génèrent globalement plus de trafic que les
traitements de texte), risque de devenir très lent par suite d’un trafic intense.

b) CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance)

Avec la méthode CSMA/CA (accès multiple avec écoute de porteuse / prévention

des collisions), chaque ordinateur signale qu’il va transmettre avant de commencer la
transmission des données proprement dites. Les ordinateurs arrivent ainsi à détecter
un risque de collision, ce qui leur permet de l’éviter. Les ordinateurs utilisent des
messages de diffusion générale (broadcast) pour signaler qu’ils vont transmettre ; cela
a pour conséquence d’augmenter encore le trafic sur le câble et donc de ralentir le
réseau.

La méthode CSMA/CA est cependant la moins populaire des méthodes d’accès les
plus utilisées.

1.3.2. Le Passage de jeton

Avec cette méthode, un paquet spécial appelé jeton (token) circule sur un anneau, en
passant d’un ordinateur à un autre. Quand un ordinateur de l’anneau doit envoyer des
données sur le réseau, il attend qu’il ait un jeton libre. Lorsqu’il détecte que le jeton est
libre alors il s’en empare et y place ses données à transmettre.

Étant donné qu’il n’ y a qu’un seul jeton dans le réseau, lorsque le jeton est utilisé par
un ordinateur, les autres ne peuvent pas transmettre. Comme un seul ordinateur à la
fois peut utiliser le jeton, il n’y a ni contention, ni collision, ni délais dus aux machines
qui attendent de réexpédier des jetons, en raison d’un trafic important.

N.B.

- IL est à noter que le jeton circule dans un seul sens sur l’anneau.
- Si l’on veut transmettre les données dans les deux sens, on doit ajouter un deuxième
anneau qui va faire circuler le jeton dans le sens opposé au premier.

9
Figure 1.14. Accès par passage
de jeton dans un
réseau en anneau.

1.3.3. La Priorité de demande

La priorité de demande est une méthode d’accès relativement récente, conçue pour la
norme 100VG-AnyLAN (Ethernet 100 Mb/s). Elle s’appuie sur le fait que tous les
réseaux 100VG-AnyLAN sont constitués de répéteurs et de noeuds terminaux. Les
répéteurs gèrent l’accès au réseau, en interrogeant tous les nœuds les uns après les
autres, pour savoir s’ils veulent émettre. Le répéteur (concentrateur) est chargé de
noter toutes les adresses, toutes les liaisons et tous les nœuds terminaux et de vérifier
qu’ils fonctionnent. Selon les spécifications de 100VG-AnyLAN, un nœud peut être un
ordinateur, un pont, un routeur ou un commutateur.

Comme avec le CSMA/CD, deux ordinateurs peuvent provoquer de la contention s’ils

transmettent au même instant. Mais avec la priorité de demande, il est possible
d’implémenter un mécanisme selon lequel certains types de données auront priorité,
en cas de contention. Si deux requêtes sont reçues par le concentrateur (répéteur) en
même temps, c(est celle ayant la priorité la plus élevée qui sera traitée en premier. Si
les deux requêtes ont une priorité identique, elles sont traitées en alternance.

Avec la priorité de demande, il n’y a communication qu’entre l’ordinateur émetteur, le

concentrateur et l’ordinateur récepteur. Cette méthode s’avère plus efficace que
CSDMA/CD, qui diffuse les transmissions vers tout le réseau.

1.4. TOPOLOGIES LOGIQUES ET TECHNOLOGIES DES RÉSEAUX LAN

La normalisation et la standardisation des matériels réseaux a conduit à des modèles

de réseaux sur lesquels sont fondés tous les réseaux informatiques actuels.

La topologie logique, par opposition à la topologie physique, représente la façon dont

les données transitent dans les lignes de communication. Les topologies logiques qui
correspondent aux modèles de réseaux les plus courants sont : Ethernet, Token-
Ring, Norme 100VG-AnyLAN, Apple Talk, FDDI …

L’Ethernet est de loin la technologie la plus utilisée et elle s’est imposée

comme standard des réseaux locaux actuels.

1.4.1. Ethernet

1.4.1.1. Historique

Ethernet correspond à la norme IEEE 802.3 ; le nom Ethernet vient de l'éther, milieu
mythique dans lequel baigne l'Univers, et net, abréviation de réseau (Network) en
anglais.

10
Au départ développé durant les années 1960 pour le réseau ancêtre ALOHAnet de
l’université d’Hawaii qui utilisait les ondes radiofréquences se propageant dans l'éther
pour relier les différents composants du réseau (réseau sans fil). C’est une technologie
relativement simple comparée à Token Ring.

L'Ethernet a originellement été développé comme l'un des projets pionniers du Xerox
PARC et une histoire commune veut qu'il ait été inventé en 1973, quand Bob (Bob)
Metcalfe, membre de la direction de recherche de Xerox PARC (Palo Alto Research
Center) aux USA, écrit un mémo à ses patrons à propos du potentiel d'Ethernet.
Metcalfe affirme qu'Ethernet a en fait été inventé sur une période de plusieurs années
et le débit original était de 2,94 Mbps. En 1976, Robert Metcalfe et David Boggs
(l'assistant de Metcalfe) ont publié un document intitulé « Ethernet : Distributed
Packet-Switching For Local Computer Networks », qui signifie « Ethernet :
commutation de paquets distribuée pour les réseaux informatiques locaux ».

Robert Metcalfe quitta Xerox en 1979 pour promouvoir l'utilisation des ordinateurs
personnels (PC : personal computer) et des réseaux locaux (LAN), et a formé
l'entreprise 3Com. Il réussit à convaincre DEC (Digital Equipment), Intel et Xerox à
travailler ensemble pour promouvoir l’Ethernet en tant que standard. Ethernet était à
l'époque en compétition avec deux systèmes propriétaires, Token Ring et ARCnet,
mais ces deux systèmes ont rapidement diminué en popularité face à l'Ethernet.

Ethernet constitue actuellement l’architecture la plus courante de réseau en bus et en

étoile. Il se distingue par son protocole d’accès et la nature de son support.

1.4.1.2. Méthode d’accès

Ethernet est un protocole de réseau informatique à « commutation de paquets »

implémentant la couche physique et la sous-couche Medium Access Control du
modèle OSI mais le protocole Ethernet est classé dans la couche de liaison.

C'est au départ une « technologie de réseau local » permettant que toutes les
machines d'un réseau soient connectées à une même ligne de communication, formée
de « câble coaxial ou paire torsadée ». Un réseau en bus de type Ethernet utilise un
protocole appelé CSMA/CD (Carrier Sense Multiple Access / Collision Detection)
qui régit la façon dont les postes accèdent au média. Lorsqu’un nœud désire émettre,
il commence par écouter le canal, et n’envoie son message que si la voie est libre.

Ce type de communication « quelqu'un parle, tous les autres entendent » d'Ethernet

est une de ses faiblesses, car, pendant que l'un des nœuds émet, toutes les machines
du réseau reçoivent et doivent, de leur côté, observer le silence. Ce qui fait qu'une
communication à fort débit entre seulement deux postes peut saturer tout un réseau
local.

De même, comme les chances de collision sont proportionnelles au nombre de

transmetteurs et aux données envoyées, le réseau devient extrêmement congestionné
au-delà de 50 % de sa capacité (indépendamment du nombre de sources de trafic).

Pour résoudre ce problème, les commutateurs ont été développés afin de maximiser
la bande passante disponible. Suivant le débit utilisé, il faut tenir compte du domaine
de collision régi par les lois de la physique et notamment le déplacement électronique
dans un câble de cuivre. Si l'on ne respecte pas les distances maximales entre
machines, le protocole CSMA/CD n'a pas lieu d'exister.

11
1.4.1.3. Format de la Trame Ethernet

Le format de la Trame Ethernet est donné par la figure ci-après :

Figure 1.15. Composition d’une trame Ethernet.

- L'adresse de broadcast (diffusion) Ethernet a tous ses bits à 1 ;

- La taille minimale des données est de 46 octets ;
- La taille maximale des données est de 1500 octets ;
- La taille maximale de la trame = 14 + 1500 + 4 = 1518 Octets.

1.4.1.4. Spécifications d’Ethernet

1.4.1.3.1. Ethernet 10 Mbit/s

Les spécifications d’Ethernet donnent les normes suivantes, selon le débit disponible
que peut fournir le réseau :

a) Norme 10BASE-T
Fonctionne avec 4 fils (sur les 8 que contient le câble UTP de CAT-3 ou CAT-5) avec
connecteur RJ45. Un concentrateur (ou hub) ou un commutateur (ou switch) est au
centre du réseau, ayant un port pour chaque nœud.

Figure 1.16. Réseau LAN en norme Ethernet 10Base T.

Dans la norme 10BASE-T, la distance maximale du câble UTP reliant deux ordinateurs
situés aux extrémités du réseau est de 100 mètres.

b) Norme 10BASE-2 (aussi appelé ThinNet ou Cheapernet)

Un câble coaxiale fin (Thin), de 50 ohms et de 0,5 cm de diamètre, connecte les
machines ensemble sur un même BUS, chaque machine utilisant un « adaptateur
BNC en T » pour se brancher à sa carte réseau. Elle requiert une terminaison à
chaque bout (Bouchon de Terminaison : B.T.).

12
 Figure 1.17. Réseau LAN en norme 10Base-2.

Dans la norme 10BASE-2, la longueur maximale du câble coaxial fin formant le BUS
est de 185 mètres, qu’on arrondit à 200 mètres (2 fois 100 mètres) c’est-à-dire 10
Mbit/s sur 2x100 m.

c) Norme 10BASE-5 (aussi appelé ThickNet )

Un câble coaxiale épais fin (Thick), de 1cm de diamètre forme un BUS (Dorsale ou
Backbone) sur lequel chaque machine se branche grâce à un transceiver (Fiche
Vampire) et un câble de branchement en coaxial fin utilisant un « adaptateur BNC en
T » pour se brancher à la carte réseau de l’ordinateur.

Figure 1.18. Réseau LAN en norme 10Base-5.

 Dans la norme 10BASE-5, la longueur maximale du câble coaxial épais (la Dorsale)
formant le BUS est de 500 mètres (5 fois 100 mètres) ou 10 Mbit/s sur 5x100 m ;
 Plusieurs brins de câble coaxial fin ou épais peuvent être interconnectés sur un
réseau local de type Ethernet grâce à des dispositifs particuliers appelés
« répéteurs » qui sont alors disposés entre les câbles pour régénérer les signaux
(chaque brin de câble du Bus est appelé SEGMENT).

d) FOIRL
Fiber-optic inter-repeater link (lien inter-répéteur sur fibre optique). Le standard
original pour l'Ethernet sur la fibre optique.

e) 10BASE-F
Terme générique pour la nouvelle famille d'Ethernet 10 Mbit/s sur fibre optique :
10BASE-FL, 10BASE-FB et 10BASE-FP. De ceux-ci, seulement 10BASE-FL est
beaucoup utilisé.
13
 Tableau 1.1. Spécifications d’Ethernet 10 Mbit/s.

Long Nombre de
Nom Câble Remarques
Segment Stations/Segment
10 Base 2 Coaxial fin 200m 30 Petit réseau
Coaxial
10 Base 5 500m 100 Réseau fédérateur
épais
Paire Petit réseau
10 Base T 100m 1024
Torsadée + fiabilité
Fibre Réseau longue
10 Base F 2000m 1024
optique distance

1.4.1.3.2. Variantes de la technologie Ethernet

On distingue différentes variantes de technologies Ethernet suivant le type et le

diamètre des câbles utilisés :

 10Base 2 : Le câble utilisé est un câble coaxial fin de faible diamètre, appelé
thin Ethernet.

 10Base 5 : Le câble utilisé est un câble coaxial de gros diamètre, appelé

thick Ethernet.

 10Base-T : Le câble utilisé est une paire torsadée (le T signifie twisted pair),
le débit atteint est d'environ 10 Mbps.

 100Base-FX : Permet d'obtenir un débit de 100Mbps en utilisant une fibre optique

multimode (F signifie Fiber).

 100Base-TX : Comme 10Base-T mais avec un débit 10 fois plus important

(100Mbps).

 1000Base-T : Utilise une double paire torsadée de catégorie 5e et permet un débit

d'un Gigabit par seconde.

 1000Base-SX : Basé sur une fibre optique multimode utilisant un signal de faible
longueur d'onde (S pour short) de 850 nanomètres (770 à 860 nm).

 1000Base-LX : Basé sur une fibre optique multimode utilisant un signal de longueur
d'onde élevé (L signifie long) de 1350 nm (1270 à 1355 nm).

Tableau 1.2. Spécifications des variantes de la technologie Ethernet.

Connec-
Sigle Dénomination Câble Débit Portée
Teur

Ethernet mince Câble coaxial (50 Ohms) de

10Base 2 BNC 10 Mb/s 185m
(thin Ethernet) faible diamètre
Ethernet épais Câble coaxial de gros
10Base 5 BNC 10Mb/s 500m
(thick Ethernet) diamètre (0.4 pouce)
Paire torsadée
10Base-T Ethernet standard RJ-45 10 Mb/s 100m
(catégorie 3)

14
 Ethernet rapide Double paire torsadée
100Base-TX RJ-45 100 Mb/s 100m
(Fast Ethernet) (catégorie 5)
Ethernet rapide Fibre optique multimode du
100Base-FX 100 Mb/s 2km
(Fast Ethernet) type (62.5/125)
Double paire torsadée
1000Base-T Ethernet Gigabit RJ-45 1000 Mb/s 100m
(catégorie 5e)
Fibre optique monomode ou
1000Base-LX Ethernet Gigabit 1000 Mb/s 550m
multimode
1000Base-SX Ethernet Gigabit Fibre optique multimode 1000 Mbit/s 550m
Ethernet
10GBase-SR Fibre optique multimode 10 Gbit/s 500m
10Gigabit
Ethernet
10GBase-LX4 Fibre optique multimode 10 Gbit/s 500m
10Gigabit

La figure 1.19 illustre un exemple d’utilisation du backbone Gigabit Ethernet connecté

aux stations de travail 10 Base-T (10 Mbit/s) et 100 Base-T (100 Mbit/s).

Figure 1.19. Exemple d’utilisation du Gigabit Ethernet.

1.4.2. Token Ring

Publié en 1985, Token Ring correspond à la norme IEEE 802.5 qui fut adoptée par
IBM (Industrial Business Machine) dès 1986 et ce dernier est resté le principal
acteur du monde Token Ring.

1.4.2.1. Structure

Dans la topologie en anneau tous les nœuds (machines ou ordinateurs) sont

disposés sur un support unique refermé sur lui-même. La circulation des informations
s’effectue en sens unique sur la boucle ainsi constituée, ce qui élimine l’éventualité de
collision entre différents messages. Au passage d’un message circulant le long de
l’anneau, chaque nœud examine l’adresse de son destinataire : si ce message est
pour lui, il l’accepte ; sinon, il régénère le signal et fait suivre le message vers le nœud
suivant. Une telle régénération permet à un réseau en anneau de couvrir des distances
plus grandes qu’un réseau en étoile ou en bus.

15
 Figure 1.20. Réseau Token Ring.

Au réseau local Token Ring est généralement associé le protocole d’accès dit de
l’anneau à jeton.

Lorsque le canal de transmission est libre, une trame particulière, appelée jeton,
circule de nœud en nœud sur la boucle. Si une station désire émettre des données
vers une autre, elle attend de recevoir le jeton, puis, au lieu de le régénérer, envoie
alors son message.
Le message circule ensuite sur l’anneau jusqu’à la station destinataire qui l’accepte,
tout en le renvoyant quand même au nœud suivant : il est en effet possible d’adresser
un message à plusieurs stations.
Lorsque le message revient enfin à la station qui l’a émis, celui-ci est supprimé et le
jeton renouvelé. Cette technique permet également de vérifier que le message a bien
effectué une boucle complète.

L’implémentation d’IBM diffère quelque peu de la norme d’origine. Notamment, la

topologie physique a évolué vers une étoile pour gérer la rupture de l’anneau. Les
stations sont reliées à des concentrateurs (MAU) tel que présenté sur la figure 1.21.

Figure 1.21. Présentation du réseau Token Ring.

Les spécifications d’installation du Token Ring sont contraignantes. Les possibilités de

connexion, distance et nombres de postes, dépendent du type de câblage utilisé. Avec
du câble à paires torsadées blindées d’impédance 150 Ω, la longueur maximale de
l’anneau principal est de 366 m (chaque MAU comptant pour 4,9 m). Il peut comporter
jusqu’à 260 stations pour une distance maximale station/MAU de 101 mètres.
16
Les spécifications des éléments actifs ont évolué afin de supporter le précâblage
d’immeuble à 100 Ω. Le connecteur spécifique IBM dit « hermaphrodite » est
aujourd’hui remplacé par des prises RJ45.

Ce système exige en général qu’une station particulière du réseau, le moniteur actif,

contrôle son bon fonctionnement. Ce moniteur a plusieurs responsabilités : il lance un
jeton neuf au démarrage ou le réinjecte dans l’anneau s’il constate son absence, vérifie
la présence des autres stations, détecte et détruit les messages qui auraient fait plus
d’un tour, etc.

Tous les nœuds jouent un rôle actif dans l’anneau en régénérant les trames, si bien
que toutes les stations doivent fonctionner en permanence. C’est pourquoi des
dispositions particulières permettent d’éviter que le réseau s’arrête entièrement si une
station présente une défaillance ou si une partie du canal est rompue.

On peut par exemple doubler le support : chacun des deux anneaux transporte alors
les informations dans un sens différent, formant ainsi un système très fiable.

1.4.2.2. Capacité de l’anneau

La capacité de l’anneau du réseau Token Ring est donnée par la formule suivante :

1.4.2.3. Le Format des Trames Token Ring

Le Format des Trames Token Ring est donné à la figure 1.22.

- Info = Données
- La Taille maximale de la trame = 4 048 Octets

17
1.4.3. APPLE TALK

1.4.3.1. Structure

Le système Apple Talk est un autre réseau en bus développé par Apple, il est intégré
au système du Macintosh et très répandu car il est peu coûteux et facile à mettre en
œuvre. Ce système, qui utilise en effet de simples fils de cuivre, équipe d’origine tous
les micro-ordinateurs Macintosh d’Apple, si bien qu’il n’est pas nécessaire de leur
ajouter de carte d’extension ni de logiciel particulier pour installer un tel réseau local.

Il permet, entre autre, de partager les données de plusieurs ordinateurs, d'imprimer

des documents sur de imprimantes connectées au réseau.
Le Kit LocalTalk comprend:
- Une boîte de connexion,
- Un câble de 2 mètre environ,
- Un adaptateur (appelé aussi Extender) pour créer une rallonge de câble.
Le boîtier se branche sur le port imprimante RS422. Pourquoi sur ce port et non sur le
port Modem? Car, a première vue, ils sont identiques et véhiculent tous deux des
informations de type « Série ».
En fait, au niveau interne du Macintosh (CPU), le port Modem est
prioritaire sur le port Imprimante. Les Modems utilisent des modes de
transmissions fort rapides (pour Internet par exemple!) et cette priorité
optimise leurs débits.
Par convention donc, le port Imprimante est utilisé pour tous les
périphériques 'Série' sauf les modems.

Figure 1.23. Le boîtier de connexion Apple Talk.

1.4.3.2. Installation matérielle

Il suffit de brancher une boîte de connexion sur chaque appareil destiné à intégrer le
réseau, de relier ces boîtiers entre eux sans jamais créer de boucle et sans terminer le
réseau par un câble non connecté.

Figure 1.24. Exemple de réseau LocalTalk.

Exemple:
1 : Adaptateur,
2 : Boîtier de connexion,

18
 3 : Boîtiers de connexion en configuration de fin de réseau,
4 : Câble,
5 : Boîtier non relié à un appareil.

Il est possible de brancher sur le réseau un boîtier non relié à un appareil tant que
celui-ci est bien relié à deux boîtiers comme le montre la flèche n°5 du schéma
présenté ci-dessus. Quelques limitations sont à considérer toutefois, le nombre de
boîtier ne doit pas excéder 32 et la longueur des câbles doit être inférieure ou égale à
300 mètre.

Les prises disposent d'un système de fixation qui évite le débranchement involontaire
d'un câble. Il suffit de tenir la prise pour débrancher le câble et non le câble lui-même.

N.B.
- L’architecture réseau de Apple : Apple Talk., intégré au système d’exploitation de
Macintosh.
- Le réseau local basé sur cette architecture : Local Talk, qui utilise la méthode
d’accès CSMA/CA dans une topologie en « bus » ou en « arbre » sous un câblage
en paire torsadée. Il supporte aussi la fibre optique.
- La version Ethernet de cette architecture : EtherTalk, qui permet aux protocoles
réseau d’un Macintosh de se connecter et de fonctionner sur du câble coaxial
Ethernet 802.3.
- La version Token Ring de cette architecture : TokenTalk, qui permet aux protocoles
réseau d’un Macintosh de se connecter à un réseau Token Ring 802.5.
- Le système d’exploitation réseau de cette architecture : AppleShare, qui est le
serveur de fichier d’un réseau AppleTalk et le logiciel client est inclus dans le système
d’exploitation Apple.

1.4.4. FDDI

1.4.4.1. Généralité

La technologie FDDI (Fiber Data Distributed Interface) est une technologie d'accès
au réseau sur des lignes de type fibre optique. Il s'agit en fait d'une paire
d'anneaux (l'un est dit "primaire", l'autre, permettant de rattraper les erreurs du
premier, est dit "secondaire"). Le FDDI est un anneau à jeton à détection et correction
d'erreurs (c'est là que l'anneau secondaire prend son importance).

Le jeton circule entre les machines à une vitesse très élevée. Si celui-ci n'arrive pas au
bout d'un certain délai, la machine considère qu'il y a eu une erreur sur le réseau.

La topologie FDDI ressemble de près à celle de Token Ring à la différence près qu'un
ordinateur faisant partie d'un réseau FDDI peut aussi être relié à un concentrateur
MAU d'un second réseau. On parle alors de système biconnecté.

Le FDDI est un type de réseau local sur fibre optique développé par l’ANSI, en
concurrence avec l’ATM sur réseau LAN. On parle aussi de CDDI (Cable ou Copper
Fiber Data Distribution Interface) quand les données transitent sur des câbles
classiques au lieu de fibre optique.

FDDI est un réseau en anneau optique sur fibre optique multimode. L’anneau est en
fait un double anneau, ce qui permet une autocicatrisation du réseau en cas de
défaillance d’un lien ou d’un nœud. Le débit nominal est de 100 Mbit/s pour une
distance maximale de 100 km (200 km si l’on tient compte du double anneau). FDDI
supporte jusqu’à 1 000 stations distantes l’une de l’autre de moins de 2 km.

19
En cas de défaillance d’un nœud FDDI, le double anneau autorise le rebouclage sur
l’anneau secondaire (cicatrisation). Pour les stations à simple attachement, cette
fonction est assurée par le concentrateur tel que présenté sur la figure 1.25.

Figure 1.25. Reconfiguration rapide de l’anneau.

Avec le progrès technologique effectué depuis les années sur les supports de
transmission utilisant la fibre optique, on a vu l’émergence de nouveaux modes de
transmission utilisant ce support.

Jusqu’alors, des protocoles comme IEEE 802.3, 802.4 et 802.5 avaient été conçus
pour fonctionner avec des supports dit ‘’électriques’’ (câbles coaxiaux ou à paires
torsadées) dont les vitesses atteintes sont de 10 Gbits/s mais sur des distances très
courtes (inférieures à 1 km). La solution fibre optique permet de passer à des supports
hautes performances dont les vitesses sont d’une centaine de Mégabit/s sur des
distances supérieures à 100 km. Cette solution connue sous le nom de FDDI provient
du milieu informatique, et plus particulièrement du secteur des réseaux locaux dont elle
constitue une sorte d’extension.

Le jeton circule entre les machines à une vitesse très élevée. Si celui-ci n'arrive pas au
bout d'un certain délai, la machine considère qu'il y a eu une erreur sur le réseau.

La topologie FDDI ressemble de près à celle de Token-Ring à la différence près qu'un

ordinateur faisant partie d'un réseau FDDI peut aussi être relié à un concentrateur
MAU d'un second réseau. On parle alors de système biconnecté.

1.4.4.2. Normalisation

Le réseau FDDI a été étudié aux États-Unis par le Comité d’Accélération de Standard
de l’ANSI : ASC X3T9.

Au niveau de l’ISO, le groupe de travail ISO/IEC.JTCI/SC25 a complété la proposition

FDDI pour en faire un standard international : ISO 9314.

1.4.4.3. Caractéristiques

L’architecture FDDI permet de gérer des débits pouvant atteindre 200 Mbit/s avec un
mécanisme de reconfiguration automatique, à 100 Mbit/s, en cas de rupture d’un
anneau. FDDI est un ordre plus vite qu’Ethernet et six fois plus vite que le Token Ring
d’IBM. Le module de gestion intégré au réseau, Station Management (SMT), place
FDDI comme le réseau local standardisé (ISO 9314) le plus performant.

20
 Figure 1.26. Réseau FDDI fédérateur.

Les caractéristiques de FDDI le font entrer à la fois dans la catégorie des réseaux LAN
et des réseaux MAN.

Son utilisation principale est la fédération de réseaux locaux à moyen débit. Dans
ce cas d’utilisation, il est appelé réseau backbone car il constitue l’épine dorsale du
système de communication.

La capacité de transmission de FDDI rend transparent à l’utilisateur le passage par ce

réseau fédérateur.

- Topologie : Anneau doublé contre rotatif

- Technique d’accès : le jeton temporisé sur boucle
- Distance de raccordement : 200 km (100 km quand le réseau est à plat)
- Diamètre de l’anneau : 31 km (uniquement sous forme de boucle)
- Nombre de nœuds sur l’anneau : 500 DTE en classe A
1000 DTE en classe B
- Distance max entre 2 stations : 2 km
- Débit nominal : 100 Mbps
- Anneau pouvant aller jusqu’à 100 km
- Gestion : Système d’administration intégré (SMT)
- Fiabilité : Tolérance aux pannes par reconfiguration
- Taille des trames : Trame maximale de 4 500 octets
- Codage : NRZI 4 bits/5 bits
- Adressage : 16 ou 48 bits
- Principal Protocole : TCP/IP
- Support : Fibre optique normalisée 62,5/125
En monomode la distance est à 60 km au lieu de 2 km

N.B.
Une version de FDDI sur paire torsadée, appelée TPDDI (Twisted Pair Distributed
Data Interface), autorise des débits de 100 Mbit/s sur 100 m.

21
1.5. ADRESSES IP ET INTERCONNEXION DES RESEAUX LAN

La classe d'une adresse est déterminée par la valeur du premier octet (tableau 1.3).

Tableau 1.3. Les classes d’adresses IP.

Pour calculer le nombre d'hôtes pouvant se trouver sur le réseau :

 mettez le numéro 2 à la puissance du nombre de bits d'hôte,

 soustrayez ensuite 2 de ce nombre :
- pour la classe A, on aura : 224 - 2 = 16 777 216 - 2 = 16 777 214 hôtes par réseau,
- pour la classe B, on aura : 216 - 2 = 65 536 - 2 = 65 534 hôtes par réseau,
- pour la classe C, on aura : 28 - 2 = 256 - 2 = 254 hôtes par réseau.

Il est nécessaire de soustraire 2 parce que :

 tous les ‘’0’’ de la partie hôte (0) indiquent l'ID réseau (identification du réseau) et
ne peuvent pas être attribués à un hôte spécifique,
 tous les ‘’1’’ de la partie hôte (255) d'une adresse IP constituent une adresse de
diffusion (Broadcast) pour ce réseau et, à ce titre, ils ne peuvent pas être attribués
à un hôte spécifique.

1.5.1. Adresses IP Privées et Publiques

On distingue deux catégories d’adresses IP : - adresses IP privées

- adresses IP publiques

22
a) Adresses privées

 Classe A : de 10.0.0.0 à 10.255.255.255, si on soustrait les adresses réservées,

on obtient des adresses allant de 10.0.0.1 à 10.255.255.254
 Classe B : de 172.16.0.0 à 172.31.255.255, si on soustrait les adresses
réservées,
on obtient des adresses allant de 172.16.0.1 à 172.31.255.254
 Classe C : de 192.168.0.0 à 192.168.255.255, si on soustrait les adresses
 réservées, on obtient des adresses allant de 192.168.0.1 à 192.168.255.254

Il est à noter que les adresses IP de 127.0.0.1 à 127.255.255.255 sont réservées

pour le LoopBack. Le message envoyé à l’une de ces adresses ne sera pas envoyé
au réseau, il sera retourné à l’application par le logiciel de pilote de la carte réseau.
Ces adresses IP sont utilisées pour la machine locale (localhost) afin de tester si la
carte réseau est bien installée et qu’elle fonctionne bien.

À titre d’exemple, pour tester l’état et le bon fonctionnement de la carte réseau installée
dans l’ordinateur, on utilise la commande « ping » associée à l’adresse IP 127.0.0.1 à
partir de l’invite des commandes DOS :

Figure 1.27. Requête et réponse à la commande « ping 127.0.0.1 ».

Si la carte réseau fonctionne correctement, alors elle répond à la requête par le

message suivant : Paquets: envoyés= 4, reçus= 4, perdus= 0 <perte 0 %>.

b) Adresses publiques

Les adresses publiques sont constituées par toutes les autres adresses restantes afin
de router les messages sur Internet.
Pour tous les Fournisseurs d’Accès à l’Internet FAI (ISP : Internet Service Provider
en Anglais), l’organisme responsable d’administrer l’attribution des parties d’identifiant
réseau et gère le nommage est appelé InterNIC (Internet Network Information
Center) basé aux Etats-Unis tandis que l’INRIA (Institut National de la Recherche
en Informatique et en Automatique) est l’organisme en charge de gestion de
l’Internet en France.

La figure 1.28 montre que les adresses IP privées ne sont pas routables sur Internet,
leur emploi se limite à un usage au niveau des réseaux LAN qui des réseaux privés.
Pour que le message soit transmis vers l’Internet il faut convertir son adresse IP privée
en adresse IP publique grâce à la translation d’adresse NAT (Network Address
Translation) réalisée par le routeur.

23
 Figure 1.28. Les adresses IP privées ne sont pas routables sur Internet.

1.5.2. Notation CIDR

Pour représenter une adresse IP, en plus de la Notation décimale, on utilise la

Notation CIDR (Class Inter-Domain Routing). Il s’agit d’une notation décimale
pointée où le masque est vu comme une approche en bits.
La notation est alors la suivante :
W.X.Y.Z/N
où, N est le nombre de bits qui définissent le masque de sous-réseau. C’est-à-dire que
N représente le nombre total de bits contenus dans la partie réseau du masque.
 Pour la classe A, le masque de S/R contient 1 octet, 255.0.0.0 équivalant à
11111111.00000000.00000000.00000000, et qui correspond à N = 8 bits.
 Pour la classe B, le masque de S/R contient 2 octets, 255.255.0.0 équivalant à
11111111. 11111111.00000000.00000000, et qui correspondent à N = 16 bits.
 Pour la classe C, le masque de S/R contient 3 octets, 255.255.255.0 équivalant à
11111111. 11111111. 11111111.00000000, et qui correspondent à N = 24 bits.

24
1.5.3. Interconnexion des réseaux par routeur

Le routeur est un équipement réseau qui, en plus de sa fonction principale de

routage de paquets de données à travers un réseau maillé, peut remplir plusieurs
autres fonctions indispensables pour le fonctionnement des réseaux.

1.5.3.1. Passerelle par défaut

La méthode utilisée par un hôte pour envoyer des messages à une destination sur un
réseau distant est différente de celle qu'il utilise pour envoyer des messages sur le
même réseau local. Un hôte reçoit l'adresse IP du routeur par l'intermédiaire de
l'adresse de la passerelle par défaut configurée dans ses paramètres TCP/IP.
L'adresse de la passerelle par défaut est l'adresse de l'interface du routeur connectée
au même réseau local que l'hôte source (exemple : PC-1 d’adresse 10.1.21.5 et de
passerelle par défaut 10.1.21.5 pour les figures 1.29 et 1.30).

Figure 1.29. Configuration de l’adresse IP, du masque de S/R

et de la passerelle par défaut.
 Lorsqu'un hôte doit envoyer un message à un autre hôte du même réseau, il
transfère directement le message. Un hôte utilisera le protocole ARP pour
connaître l'adresse MAC de l'hôte de destination. Il inclut l'adresse IP de
destination dans le paquet et encapsule le paquet dans une trame contenant
l'adresse MAC de la destination et le transfère vers cette dernière.
 Lorsqu'un hôte doit envoyer un message à un réseau distant, il doit utiliser le
routeur. L'hôte inclut l'adresse IP de l'hôte de destination dans le paquet.
Cependant, lorsqu'il encapsule le paquet dans une trame, il utilise l'adresse MAC du
routeur comme destination de la trame. De cette façon, le routeur reçoit et accepte
la trame contenant l'adresse MAC.

Les routeurs font circuler les informations entre les réseaux locaux et distants. Pour ce
faire, les routeurs doivent utiliser à la fois le protocole ARP et les tables de routage
pour enregistrer les informations. Les tables de routage ne tiennent pas compte des
adresses des hôtes. Les tables de routage incluent les adresses des réseaux et le
meilleur chemin pour atteindre ces réseaux.

25
La figure 1.30 représente l’interconnexion des réseaux 10.1.21.0/8 et 172.16.1.0/16 par
routeur avec comme passerelles par défaut 10.1.21.5 pour le premier réseau et
172.16.1.7 pour le second réseau.

Figure 1.30. Interconnexion de deux réseaux LAN par routeur.

La table de routage donne les adresses des réseaux auxquels le routeur est
directement connectés, à savoir les réseaux 10.1.21.0/8 et 172.16.1.0/16.

Si le routeur ne peut pas déterminer où envoyer un message, il le supprime. Les

administrateurs réseau configurent une table de routage avec une route par défaut
pour empêcher la suppression d'un paquet, si le chemin jusqu'au réseau de destination
n'est pas indiqué dans la table de routage.

La figure 1.31 montre comment les ordinateurs H1, H2 et H3 communiquent avec un

réseau distant via un routeur et la passerelle par défaut est 192.1688.1.254.

26
 Figure 1.31. Interconnexion des réseaux et passerelle par défaut.

Ainsi, la passerelle par défaut est la route empruntée afin qu’un ordinateur situé sur
un segment puisse communiquer avec un ordinateur d’un autre segement.

1.5.3.2. Détermination de l'adresse MAC du routeur par l'hôte source

Tous les hôtes du réseau local utilisent l'adresse de la passerelle par défaut pour
envoyer des messages au routeur. Une fois que l'hôte connaît l'adresse IP de la
passerelle par défaut, il peut utiliser le protocole ARP pour déterminer l'adresse
MAC. L'adresse MAC du routeur est ensuite incluse dans la trame, destinée à un autre
réseau.

Figure 1.32. Connexions physiques des réseaux LAN à l’aide du routeur.

N.B.
Il est important que la passerelle par défaut appropriée soit configurée sur chaque hôte
du réseau local. Si aucune passerelle par défaut n'est configurée dans les paramètres
TCP/IP de l'hôte, ou si une passerelle par défaut incorrecte est spécifiée, les
messages adressés aux hôtes des réseaux distants ne peuvent pas être acheminés.

27
 1.5.3.3. Interconnexion des réseaux et Routage des paquets de données

Chaque port ou interface d'un routeur permet de se connecter à un réseau local

différent. Chaque routeur comporte une table de tous les réseaux connectés
localement, et des interfaces qui s'y connectent. Ces tables de routage peuvent
également contenir des informations sur les routes (ou chemins), que le routeur utilise
pour atteindre les réseaux distants qui ne sont pas connectés localement.

Figure 1.33. Processus de routage des paquets de données entre deux réseaux LAN.

Lorsqu'un routeur reçoit une trame, il la décode pour atteindre le paquet contenant
l'adresse IP de destination. Il compare l'adresse de destination avec tous les réseaux
contenus dans la table de routage. Si l'adresse du réseau de destination figure dans la
table, le routeur encapsule le paquet dans une nouvelle trame afin de l'envoyer.
Il achemine la nouvelle trame, de l'interface associée au chemin au réseau de
destination. Le processus d'acheminement des paquets vers leur réseau de destination
est appelé « routage ».

Les interfaces de routeur ne transfèrent pas les messages adressés à l'adresse MAC
de diffusion. Par conséquent, les messages de diffusion des réseaux locaux ne sont
pas transférés via les routeurs vers d'autres réseaux locaux.

1.6. CONCLUSION 2

Le but d'un réseau est de transmettre des informations d'un ordinateur à un autre. Pour
cela il faut dans un premier temps décider du type de codage de la donnée à envoyer,
c'est-à-dire sa représentation informatique.
Il n'existe pas un seul type de réseau, car historiquement il existe des types
d'ordinateurs différents, communiquant selon des langages divers et variés. Par
ailleurs ceci est également dû à l'hétérogénéité des supports physiques de
transmission les reliant, que ce soit au niveau du transfert de données (circulation de
données sous forme d'impulsions électriques, de lumière ou d'ondes
électromagnétiques) ou bien au niveau du type de support (câble coaxial, paires
torsadées, fibre optique, etc.).

2
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

28
CHAPITRE II. INTERNET ET TRADUCTION D’ADRESSES IP

2.1. INTRODUCTION

Aux débuts de l'informatique des ordinateurs ont été mis au point, dès qu'ils furent
aptes à fonctionner seuls, des personnes eurent l'idée de les relier entre eux afin qu'ils
puissent échanger des données, c'est le concept de réseau.
Des réseaux hétérogènes (de natures différentes) se sont développés aux quatre coins
du globe; des personnes décidèrent donc de relier ces réseaux entre eux (des
universités par exemple, ou l'armée). Les protocoles ont donc évolué pour permettre la
communication de tous ces réseaux pour former le réseau des réseaux, formant petit à
petit une gigantesque toile d'araignée (en anglais « web ») formant le réseau le plus
vaste, puisque contenant tous les réseaux, que l'on appelle Internet!

Le terme Internet vient de ‘’Interconnected Networks’’ ou ‘’ INTERnational

NETwork’’ qui représente un réseau mondial constitué de plusieurs réseaux
interconnectés par l’intermédiaire du protocole TCP/IP. Le TCP/IP est basé sur le
repérage de chaque ordinateur par une adresse appelée adresse IP qui permet
d'acheminer les données à la bonne adresse.
L’Internet emploie des adresses IP publiques tandis que les réseaux locaux emploient
des adresses IP privées.

Ainsi, dans la connexion d’un réseau à l’Internet, la translation d’adresse est une
méthode par laquelle on fait la conversion des adresses IP publiques de l’Internet en
adresses IP privées du réseau local et vice versa.

2.2. INTERNET

2.2.1. Présentation

Internet, réseau télématique international d’origine américaine. Constituant à ce jour

le plus grand réseau du monde, Internet est accessible aux professionnels comme aux
particuliers.
Internet est un réseau informatique qui relie des ordinateurs du monde entier entre eux
et qui leur permet d’échanger des informations. Les données sont transmises par
l’intermédiaire de lignes téléphoniques, de câbles ou de satellites.

Pour communiquer entre eux, les ordinateurs connectés à Internet utilisent un langage
commun (nommé protocole) et sont équipés de logiciels (ou programmes) permettant
l’échange de données.

2.2.2. Historique

Internet est issu du réseau Arpanet, qui a été conçu en 1969 par l’Agence pour les
projets de recherche avancée (ARPA, Advanced Research Project Agency) pour le
département américain de la Défense. Réservé à l’origine aux militaires, le réseau
Arpanet s’est étendu progressivement aux universités et aux administrations
américaines.
À l’origine, il s’agit d’un réseau coopératif d’ordinateurs permettant le partage de
données stockées sur des serveurs distants, ainsi que l’échange de messages
électroniques (e-mails). Réseau à usage militaire, Arpanet s’étend alors
progressivement aux universités américaines dans les années 1970, notamment
l’université de Californie à Los Angeles (UCLA) et l’université Stanford à Palo Alto,
avant d’être remplacé en 1990 par le réseau Internet, destiné dans un premier temps à
la recherche civile.

29
- En 1990, Arpanet est connecté à de nombreux autres réseaux, tous basés sur le
même protocole de communication (TCP/IP) : c’est la naissance d’Internet —
contraction de « INTERnational NETwork », qui signifie « réseau international » en
français.
- En 1991, Tim Berners-Lee du CERN (Laboratoire européen de physique des
particules) à Genève met au point l’interface d’Internet appelée World Wide Web, qui
permet d’ouvrir le réseau au grand public en simplifiant les procédures de
consultation des sites. En janvier 1992, l’Internet Society (ISOC) voit le jour avec pour
objectif de promouvoir et de coordonner les développements sur Internet. L’année
1993 voit l’apparition du premier navigateur ou butineur (browser), supportant le texte
et les images. Cette même année, la NSF (National Science Foundation) mandate
une compagnie pour enregistrer les noms de domaine.
D’un point de vue technologique, Tim Berners-Lee, l’inventeur du Web, crée en 1994
le consortium W3C (World Wide Web Consortium), qui a pour objectif de favoriser
l’interopérabilité sur le Web, c’est-à-dire le développement de normes. Par exemple,
le W3C proposera en 1998 la norme XML (eXtensible Markup Language), qui définit
un langage de balisage étendu pour le Web (le langage HTML).
 Robert Cailliau, ingénieur informaticien belge, est le co-inventeur du World Wide
Web (WWW), avec son collègue britannique Tim Berners-Lee. Mise au point en 1991
dans les locaux du CERN à Genève, cette interface permet de naviguer en cliquant
sur des liens hypertextes (langage HTML), système de navigation à la base
d'Internet.

2.2.3. Le WORLD WIDE WEB

Le terme « World Wide Web » (souvent abrégé en WWW ou en Web) signifie « toile
d’araignée mondiale » en français. C’est un gigantesque ensemble de pages
électroniques dites pages Web, reliées entre elles par des liens hypertextes.

Il suffit de cliquer sur un lien pour être dirigé vers une nouvelle page.

- Les informations de ces pages peuvent apparaître sous forme de textes, d’images, de
son ou de vidéo. Chaque page appartient à un site Web, qui est un ensemble de
pages créé par un particulier, une entreprise ou une organisation.
- Pour accéder à des pages Web, on utilise un navigateur (ou browser en anglais).
Un navigateur est un logiciel qui permet notamment de consulter des moteurs de
recherche.

Ces moteurs sont très utiles pour trouver une information, car il existe aujourd’hui
plusieurs centaines de millions de pages Web.

- En tapant un ou plusieurs mots-clés, on obtient une liste de pages contenant

l’information recherchée.

Le Web ne sert pas seulement à trouver des informations. Il permet entre autres de
récupérer (ou télécharger) des fichiers électroniques, d’acheter ou de vendre des
objets. Par ailleurs, les amateurs de jeux vidéo peuvent, grâce à Internet, affronter de
nombreux autres joueurs dans le monde entier.

Des millions de gens échangent des informations quotidiennement via Internet. En quoi
consiste exactement Internet ? Internet est un ensemble de réseaux informatiques
internationaux qui coopèrent pour échanger des informations en respectant des
normes communes. Via des fils téléphoniques, des câbles à fibres optiques, des
transmissions sans fil et des liaisons satellitaires, les utilisateurs d'Internet peuvent
échanger des informations dans une variété de formats.

30
 Figure 2.1. Internautes s’échangeant des informations via le Web.

2.2.4. Structure de l’Internet

L’Internet est la concaténation de différents réseaux appartenant à des privés ou

publics (par exemple, France Télécom en France). La plupart des opérateurs ne
disposent pas de leur propre infrastructure ; ils louent tout ou partie des liaisons et y
connectent leurs équipements. Les réseaux des opérateurs se superposent, se
dédouble et se rejoignent par moments au niveau de points de concentration.

Internet est un « réseau de réseaux » qui connecte les utilisateurs dans tous les pays
du monde. Internet est un ensemble de réseaux dont personne n'est propriétaire. Cela
étant, plusieurs grandes sociétés internationales participent à la gestion d'Internet pour
que tous les utilisateurs appliquent les mêmes règles.

Les points de concentration reposent sur des réseaux à hauts débits (ATM, FDDI,
voire Ethernet commuté) qui utilisent la fibre optique, parcourant une ville importante. Il
existe de trois types :

- Les MAE (Metropolitan Area Exchange) qui sont détenus par Worldcom (via sa
filiale MFS). Il en existe sept aux Etats-Unis (dont les plus gros sont situés à San
José, dans la Silicon Valey, et à Washington) et un à Paris ;

- Les NAP (Network Access Point) qui sont détenus par le NSF (National Science
Foundation) et gérés par des opérateurs privés. Il en existe actuellemnt quatre aux
Etats(Unis (un à San Francisco géré par Pacific Bell, un à Chicago géré par Bellcore,
un à Washington DC géré par Ameritech et un quatrième près de New-York géré par
Sprint) ;

- Les PPP (Private Peering Point) qui sont gérés directement par des ISP (Internet
Service Provider) ou FAI (Fournisseurs d’Accès Internet) qui sont associés afin
de contourner les MAE et les NAP.

Les ISP (Internet Service Provider ou FAI : Fournisseur d’Accès Internet)

connectent leurs routeurs aux MAE, NAP et PPP (moyennant une redevance)
interconnectant ainsi leurs réseaux. L’ensemble de ces interconnexions forme
l’Internet.

31
 Figure 2.2. L’Internet et son déploiement géographique.

Tout particulier, entreprise ou administration qui souhaite se connecter à Internet, doit

passer par un fournisseur de services Internet (FAI). Un FAI est une société qui
fournit les connexions et la prise en charge d'un accès Internet. Il peut également
proposer des services complémentaires tels que messagerie électronique et
hébergement Web.

Figure 2.3. Internet connectant les utilisateurs dans tous les pays du monde.

Les FAI peuvent être des fournisseurs plus ou moins importants, selon la zone
géographique couverts par leurs services.

Les FAI se distinguent par le type de technologie et de vitesse de connexion qu'ils

offrent, tel que présenté sur la figure 2.4.

32
 Figure 2.4. FAI et type de technologie de connexion.

2.2.5. Liens entre les FAI et Internet

Les ordinateurs et les réseaux locaux se connectent au FAI par le biais d'un « point de
présence » appelé POP (Point Of Presence). Un POP est un point de connexion
entre le réseau du FAI et la zone géographique que les services du POP couvrent.

Un FAI peut avoir plusieurs POP selon sa taille et la zone qu'il prend en charge. Chez
un FAI, un réseau de routeurs et de commutateurs haut débit transportent les données
entre les différents POP.
Plusieurs liaisons interconnectent les POP pour fournir d'autres routes aux données,
dans le cas où une liaison serait défectueuse ou surchargée et saturée par le trafic.
Les FAI se connectent à d'autres FAI pour envoyer les informations au-delà des
frontières de leur propre réseau. Internet est composé de liaisons de données haut
débit qui interconnectent les POP des FAI et les FAI. Ces interconnexions font partie
d'un immense réseau haute capacité, appelé le « Réseau fédérateur Internet ».

Figure 2.5. Réseau fédérateur Internet.

33
 Figure 2.6. Liens intercontinentaux de l’Internet.

2.3. PROTOCOLES

2.3.1. Présentation

Aux débuts de l'informatique des ordinateurs ont été mis au point, dès qu'ils furent
aptes à fonctionner seuls, des personnes eurent l'idée de les relier entre eux afin qu'ils
puissent échanger des données, c'est le concept de réseau.
Il a donc fallu mettre au point des liaisons physiques entre les ordinateurs pour que
l'information puisse circuler, mais aussi un langage de communication pour qu'il puisse
y avoir un réel échange, on a décidé de nommer ce langage: protocole.
Sur Internet, de nombreux protocoles sont utilisés, ils font partie d'une suite de
protocoles qui s'appelle TCP/IP.

TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée
adresse IP qui permet d'acheminer les données à la bonne adresse. Puis on a associé
à ces adresses des noms de domaine pour permettre de s'en souvenir plus facilement.
Des réseaux hétérogènes (de natures différentes) se sont développés aux quatre
coins du globe; des personnes décidèrent donc de relier ces réseaux entre eux (des
universités par exemple, ou l'armée).
Les protocoles ont donc évolué pour permettre la communication de tous ces réseaux
pour former le réseau des réseaux, formant petit à petit une gigantesque toile
d'araignée (en anglais « web ») formant le réseau le plus vaste, puisque contenant
tous les réseaux, que l'on appelle Internet! Sur Internet il existe différents protocoles
(langages entre les ordinateurs) qui permettent de faire différentes choses :
 IRC: discuter en direct
 HTTP: regarder des pages web
 FTP: transférer des fichiers, …

34
On assigne à chacun d'entre eux un numéro (le port) qui est transmis lors de la
communication (la transmission est effectuée par petits paquets d'informations). Ainsi,
il est possible de savoir à quel programme correspond chaque petit paquet.

La connexion à l’Internet se fait à l’aide d’un équipement octroyé par le Fournisseur

d’Accès Internet (FAI ou ISP : Internet Service Provider).

2.3.2. Notion de protocole

Un protocole est une méthode standard qui permet la communication entre des
processus (s'exécutant éventuellement sur différentes machines), c'est-à-dire un
ensemble de règles et de procédures à respecter pour émettre et recevoir des
données sur un réseau. Il en existe plusieurs selon ce que l'on attend de la
communication.

Sur Internet, les protocoles utilisés font partie d'une suite de protocoles, c'est-à-dire un
ensemble de protocoles reliés entre-eux. Cette suite de protocole s'appelle TCP/IP.

2.3.3. La suite TCP/IP «Transmission Control Protocol/Internet Protocol»

TCP/IP est une suite de protocoles qui provient des noms des deux protocoles majeurs
de la suite de protocoles, c'est-à-dire les protocoles TCP et IP.

TCP/IP représente d'une certaine façon l'ensemble des règles de communication sur
Internet et se base sur la notion adressage IP, c'est-à-dire le fait de fournir une adresse
IP à chaque machine du réseau afin de pouvoir acheminer des paquets de données.

Étant donné que la suite de protocoles TCP/IP a été créée à l'origine dans un but
militaire, elle est conçue pour répondre à un certain nombre de critères parmi lesquels :

 Le fractionnement des messages en paquets ;

 L'utilisation d'un système d'adresses ;
 L'acheminement des données sur le réseau (routage) ;
 Le contrôle des erreurs de transmission de données.

La connaissance de l'ensemble des protocoles TCP/IP est nécessaire pour les

personnes désirant administrer ou maintenir un réseau TCP/IP. Cette pile contient,
entre autres, les protocoles suivants : HTTP, FTP , ARP, ICMP , IP, TCP, UDP, SMTP,
Telnet et NNTP.

2.3.4. Options de connexion au FAI

Les FAI offrent différentes façons de se connecter à Internet, selon la zone

géographique et la vitesse de connexion souhaitée.

Pour se connecter au FAI, chaque technologie d'accès Internet fait appel à un

périphérique d'accès réseau, tel qu'un modem (Modulateur-démodulateur). Il peut
être intégré à l'ordinateur ou fourni par le FAI.

Si plusieurs ordinateurs se connectent via une seule connexion à un FAI, il est

nécessaire d'ajouter des périphériques réseau. Ces derniers comprennent un
commutateur pour connecter plusieurs hôtes sur un réseau local, et un routeur, pour
déplacer les paquets entre le réseau local et le réseau du FAI. Un périphérique réseau
domestique, tel qu'un routeur intégré, peut fournir à la fois ces fonctions, ainsi qu'une
capacité sans fil.

35
 Figure 2.7. Les différentes technologies d'accès Internet.

Le choix de technologies d'accès Internet dépend de la disponibilité, du coût, du

périphérique d'accès et des supports utilisés, ainsi que de la vitesse de connexion.

Ci-après sont reprises les différentes technologies d'accès Internet :

36
En fonction du FAI et de la technologie de connexion utilisée, différents services sont
proposés, tels que la détection de virus, la vidéo à la demande et le stockage de
fichiers.
Les services pour particuliers sont plus économiques que ceux proposés aux
professionnels et fournissent généralement des fonctionnalités à plus petite échelle,
comme un débit de connexion moins élevé, un stockage Web limité et un nombre de
comptes de messagerie moins important. Un compte pour particuliers peut prévoir un
minimum de cinq adresses de messagerie.

37
Les services proposés aux professionnels sont plus chers mais fournissent une
connexion plus rapide et davantage d'espace de stockage Web et de comptes de
messagerie. Les services pour professionnels offrent vingt à cinquante adresses de
messagerie, voire plus.

Figure 2.8. Les services Internet proposés par les FAI.

2.3.5. Niveaux de service d’un FAI

Lorsque des données sont transférées, elles sont soit chargées soit téléchargées. Le
téléchargement désigne un transfert d'informations provenant d'Internet jusqu'à votre
ordinateur, alors que le chargement désigne l'inverse. Lorsque la vitesse de transfert
du téléchargement est différente de celle du chargement, elle est dite asymétrique.
Lorsque la vitesse de transfert est la même dans les deux sens, elle est dite
symétrique. Les FAI offrent des services de connexion asymétrique et symétrique.

Figure 2.9. Services de connexion asymétrique et symétrique.

38
 Asymétrique :
 Connexion généralement réservée aux particuliers.
 Cette connexion est destinée principalement aux utilisateurs qui téléchargent plus de
contenu qu'ils n'en chargent.
 La plupart des utilisateurs Internet, notamment ceux qui manipulent beaucoup de
données Web graphiques ou multimédia, ont besoin d'une bande passante de
téléchargement très large.

Symétrique :
 Connexion généralement réservée aux entreprises ou aux professionnels qui
hébergent des serveurs sur Internet.
 Elle est utilisée pour charger des données très volumineuses (par exemple, des
images, du contenu multimédia ou vidéo) et en grandes quantités.

2.3.6. Équipements multifonction

La plupart des réseaux des particuliers et des petites entreprises ne nécessitent pas
les périphériques haut volume que l'on trouve dans l'environnement informatique des
grandes entreprises. Des périphériques à plus petite échelle sont souvent suffisants.

Ce besoin a engendré le développement de produits qui offrent les fonctions de

périphériques réseau multiples, tels qu'un routeur avec une fonction de commutation,
ou un point d'accès sans fil.

L'utilisation d'un routeur intégré revient en quelque sorte à disposer de plusieurs

périphériques interconnectés. Par exemple, la connexion entre le commutateur et le
routeur est mise en œuvre, mais de manière interne. Lorsqu'une diffusion est reçue sur
un port de commutation, le routeur intégré transmet la diffusion à tous les ports, y
compris à la connexion interne du routeur. La partie routeur du routeur intégré met fin à
la transmission des diffusions.

Un routeur sans fil Linksys est un bon exemple de routeur intégré qui comprend un
Point d’accès WiFi, un Routeur et un Commutateur.

Figure 2.10. Constitution du routeur sans fil Linksys

39
 Figure 2.11. Les connexions du routeur sans fil Linksys.

Connexions du routeur sans fil Linksys :

 Tous les périphériques connectés aux ports de commutation doivent appartenir au

même domaine de diffusion. Cela implique qu'ils doivent tous recevoir une adresse
IP du même réseau. Les périphériques dont la partie réseau de l'adresse IP diffère
ne pourront pas communiquer.

 Le routeur sans fil Linksys de modèle WRT300N est généralement utilisé chez les
particuliers ou dans des petites entre prises en tant que périphérique d’accès sans
fil. La charge attendue au niveau du périphérique étant suffisamment faible, il doit
être en mesure de gérer le service de réseau local sans fil, 802.3 Ethernet, et de se
connecter à un fournisseur de services Internet (figure 2.12).

Figure 2.12. Accès Internet par modem et partage de la connexion par routeur sans fil
Linksys de modèle WRT300N.

40
2.4. TRANSLATION D’ADRESSES IP (NAT et PAT)

2.4.1. Concept

Le routeur reçoit une adresse publique par le FAI qui l'autorise à envoyer et à recevoir
des paquets sur Internet. Le routeur fournit alors des adresses privées aux clients du
réseau local. Étant donné que les adresses privées étant interdites sur Internet, il
convient de recourir à un processus permettant de traduire les adresses privées en
adresses publiques uniques, afin que les clients locaux puissent communiquer sur
Internet.

Le processus utilisé pour convertir les adresses privées en adresses routables sur
Internet est appelé la traduction d'adresses de réseau (NAT : Network Address
Translation). La fonction NAT permet de convertir une adresse IP source privée
(locale) en adresse publique (globale). Le processus est inversé pour les paquets
entrants.

Figure 2.13. Exemple de translation d’adresses NAT effectuée par le routeur.

Le NAT permet donc de faire la correspondance entre une adresse IP privée et une
adresse IP publique et inversement afin de pouvoir acheminer les données du réseau
local privé sur l’Internet.

En outre, le NAT permet à un grand groupe de particuliers d'accéder à Internet en

partageant un petit pool d'adresses IP publiques. On peut procéder ainsi car les
usagers n'utilisent pas tous leurs ordinateurs en même temps. L'utilisation du NAT
permet à l’Entreprise d'acheter un plus petit nombre d’adresses publiques auprès d’un
FAI.

L'économie d'adresses IP enregistrées est l'une des principales raisons du

développement de la fonction NAT.

41
La fonction NAT peut également sécuriser les PC, serveurs et périphériques réseau en
ne divulguant pas leurs adresses d'hôte IP réelles à l'accès Internet direct.
Soit un client possédant une adresse IP privée (IP source : 192.168.1.2) qui voudrait
communiquer avec un serveur Web disposant pour sa part d’une adresse IP publique
(IP destination : 200.100.75.99). La figure 2.14 représente le processus de NAT réalisé
grâce au routeur ayant comme adresse privée de la passerelle par défaut est
192.168.1.1 et comme adresse publique globale 200.100.50.2.

Figure 2.14. Processus de NAT permettant à un client de communiquer

avec un serveur Web.

Seuls les paquets destinés à d'autres réseaux ont besoin d'être traduits. Ces paquets
doivent traverser la passerelle, où le routeur remplace l'adresse IP privée de l'hôte
source par sa propre adresse IP publique.

2.4.2. Types de NAT

Grâce à la fonction NAT, le routeur est capable de traduire plusieurs adresses IP

internes dans la même adresse publique. Bien qu'une adresse IP privée unique soit
attribuée à chaque hôte sur le réseau interne, les hôtes doivent partager l'unique
adresse publique routable sur Internet attribuée au routeur.

Remarques :
 Le principal avantage de la fonction NAT est la réutilisation de l'adresse IP et le
partage d'adresses IP uniques globalement entre les nombreux hôtes d'un réseau
LAN unique.
 En outre, la fonction NAT est transparente pour les utilisateurs.
 Finalement, la fonction NAT permet de protéger les utilisateurs d'un réseau privé des
tentatives d'accès de l'extérieur.

42
2.4.2.1. Le NAT Statique (Static NAT)

Le nombre d’adresses privées correspond au nombre d’adresses publiques et les

relations de correspondance sont statiquement définies.

2.4.2.2. Le NAT Dynamique (Dynamic NAT)

Les relations de correspondance ne sont pas statiques mais le nombre d’adresses

privées et publiques doit être le même (programmation des relations de
correspondance par petit programme ou logiciel).

2.4.2.3. Le NAT Overloading ou PAT

Il permet de correspondre une seule adresse publique à plusieurs adresses

privées, l’identification se faisant au niveau du port (numéro attribué à chaque
protocole Internet), d’où le nom de Port Address Translation ou PAT.
C’est le NAT le plus populaire car il est le plus utilisé.

2.4.3. Numéros de port TCP/IP

Lorsqu'un message est transmis à l'aide du protocole TCP ou UDP (couche

Transport du modèle OSI), les protocoles et services demandés sont identifiés par un
numéro de port. Un port est un identifiant numérique, présent dans chaque segment,
qui est utilisé pour conserver la trace de certaines conversations et de certains
services de destination demandés. Chaque message envoyé par un hôte contient un
port source et un port de destination.

1) Port de destination

Le client place un numéro de port de destination dans le segment pour informer le

serveur de destination du service demandé. Par exemple, le port 80 renvoie au
service HTTP ou Web. Lorsque le client spécifie le port 80 dans le port de destination,
le serveur qui reçoit le message sait que des services Web sont demandés.

Un serveur peut proposer plusieurs services simultanément. Par exemple, il peut

proposer des services Web sur le port 80 et, en même temps, l'établissement d'une
connexion FTP sur le port 21.

2) Port source

Le numéro du port source est généré de manière aléatoire par le périphérique

émetteur pour identifier une conversation entre deux périphériques. Ainsi, plusieurs
conversations peuvent s'effectuer simultanément.
En d'autres termes, plusieurs périphériques peuvent demander en même temps un
service HTTP à un serveur Web. Un suivi des différentes conversations est effectué
sur la base des ports sources.
 Les ports sources et de destination sont placés à l'intérieur du segment.
 Les segments sont ensuite encapsulés dans un paquet IP.
 Le paquet IP contient l'adresse IP de la source et de la destination.
 La combinaison des adresses IP source et de destination et des numéros de port
source et de destination est appelée une interface de connexion.
 L'interface de connexion sert à identifier le serveur et le service demandés par le
client.
 Chaque jour, des milliers d'hôtes communiquent avec des milliers de serveurs
différents. Ces communications sont identifiées par les interfaces de connexion.
43
 Figure 2.15. Processus de translation d’adresse par port.

3) Numéros de port

DNS, Web, courriel, FTP, messagerie instantanée et VoIP sont quelques-uns des
nombreux services fournis par les systèmes client-serveur sur Internet. Ces services
peuvent être fournis par un ou plusieurs serveurs.

Dans un cas comme dans l'autre, il est nécessaire pour un serveur de savoir quel
service est demandé par un client. Les requêtes des clients peuvent être identifiées
dans la mesure où la requête est faite sur un port de destination spécifique. Les clients
sont préconfigurés pour utiliser un port de destination enregistré sur Internet pour
chaque service.

Les ports se divisent en trois catégories et vont de 1 à 65535. Ils sont attribués et
gérés par une organisation appelée l'ICANN (Internet Corporation for Assigned
Names and Numbers).

3-1) Ports réservés

Les ports de destination associés à des applications réseau courantes sont appelés
des ports réservés. Ces ports sont compris entre 1 et 1023.

3-2) Ports inscrits

Les ports 1024 à 49151 peuvent être utilisés comme ports sources ou comme ports de
destination. Ils servent notamment aux organisations pour l'enregistrement
d'applications spécifiques, telles que les applications MI.

3-3) Ports privés

Les ports 49152 à 65535 sont souvent utilisés comme ports sources. Ces ports
peuvent être utilisés par n'importe quelle application.

44
 Tableau 2.1. Les ports réservés les plus courants.

La fonction NAT présente toutefois certains inconvénients, notamment :

 l'impact de la fonction NAT sur certaines applications qui possèdent des adresses IP
dans les données utiles du message. Ces adresses IP doivent également être
traduites, ce qui augmente la charge du processeur du routeur. Cette charge
supplémentaire sur les routeurs nuie aux performances du réseau.
 La fonction NAT dissimule les adresses IP privées aux réseaux publics. Elle
fonctionne comme un contrôle d'accès, ce qui est parfois souhaitable, mais qui peut
également s'avérer indésirable lors d'une tentative légitime et souhaitée d'accès à
distance depuis Internet à un périphérique situé sur le réseau privé.

Exemple :
Soit un réseau LAN connecté à l’Internet grâce à une liaison par VSAT (Very Small
Aperture Terminal) tandis qu’un routeur assure l’interconnexion et la translation
d’adresses IP par port (PAT : Port Address Translation).

45
 Figure 2.16. Accès à l’Internet par VSAT.

L’accès à l’Internet par cette liaison VSAT donne lieu à la procédure suivante de
NATage :
1) on détermine le nombre ports par rapport aux services dont on veut avoir pour le
réseau LAN, par exemples 4 ports associés aux protocoles suivants :
 le port 21 correspondant au FTP pour le Transfert des fichiers,
 le port 25 correspondant au SMTP pour envoyer et recevoir des e-mail,
 le port 53 correspondant au DNS pour la résolution des noms,
 le port 80 correspondant au http pour la navigation sur Internet.

2) Souscrire un abonnement auprès d’un Fournisseur d’Accès Internet (FAI) qui vous
attribue 4 adresses publiques.

Tableau 2.2. Correspondance entre les adresses IP publiques et les numéros de ports
associés aux protocoles choisis.
Adresse IP publique Port Protocole Application
1 192.32.10.1 21 FTP Transfert de Fichiers
2 192.32.10.2 25 SMTP Envoi de E-mail
3 192.32.10.3 53 DNS Résolution de nom
4 192.32.10.4 80 HTTP Navigation sur Internet

2.5. CONCLUSION

Avec le développement et la diversification des réseaux accompagnés de

l’accroissement du nombre d’ordinateurs interconnectés, on a fait évoluer les
protocoles pour permettre la communication de tous ces réseaux afin de former le
réseau des réseaux appelé Internet.
Cependant, il a fallu scinder les adresses IP en deux catégories : les adresses IP
publiques qui sont utilisées sur Internet et les adresses IP privées qui sont utilisées au
sein des réseaux locaux. Ainsi, la translation d’adresses permet de faire la traduction
entre ces deux types d’adresses lorsque les utilisateurs veulent envoyer ou recevoir
des données via l’Internet.

46
CHAPITRE III. SEGMENTATION DE RESEAUX ET CREATION DE SOUS-RESEAUX

3.1. INTRODUCTION

Étant donné que la topologie Ethernet utilise la méthode d’accès CSMA/CD (Carrier
Sense Multiple Access/Collision Detection), plus le nombre d’ordinateurs augmente
plus le trafic du réseau augmente et plus le nombre de collision augmente également.
De même, les utilisateurs d’un réseau LAN d’une entreprise ou d’une organisation
n’appartiennent pas nécessairement aux mêmes services ou départements et le fait de
les placer tous dans un seul réseau LAN alourdit la gestion de ce réseau.

Par conséquent, il est judicieux de segmenter un réseau LAN pour créer des sous-
réseaux afin de mieux organiser et mieux gérer ce réseau en regroupant les
utilisateurs dans de petites entités selon leurs services ou activités. Ceci est rendu
possible grâce au VLSM (Variable Subnetwork Mask) ou masques de sous-réseau à
longueur variable qui est une extension conceptuelle de DHCP (Dynamic Host
Configuration Protocol) pour l’optimisation des adresses IP.

3.2. DOMAINE DE DIFFUSION ET DOMAINE DE COLLISION

Bien que les répéteurs et les concentrateurs soient des équipements de réseau
utiles et économiques, il n'en demeure pas moins qu'ils étendent les domaines de
collision.
Si le domaine de collision est trop étendu, il peut provoquer un grand nombre de
collisions et diminuer ainsi les performances du réseau.

Figure 3.1. Concentrateur et domaine de collision suite à l’utilisation de CSMA/CD.

3.2.1. Fonction des concentrateurs

Un seul message à la fois peut être envoyé via un concentrateur Ethernet. Deux ou
plusieurs hôtes connectés à un concentrateur peuvent tenter d'envoyer simultanément
un message. Si c'est le cas, les signaux électroniques qui composent les messages
entrent en collision au niveau du concentrateur.

- Domaine de collision
Une collision endommage les messages qui deviennent alors illisibles par les hôtes.
Un concentrateur ne décode pas les messages. Par conséquent, il ne détecte pas que
le message est endommagé et le répète sur tous les ports. La zone du réseau où l'hôte
peut recevoir un message endommagé suite à une collision est appelée un domaine
de collision. Ainsi, dans Ethernet, un domaine de collision représente une zone
réseau dans laquelle les données transmises simultanément depuis un ou plusieurs
hôtes peuvent entrer en collision.

47
Les répéteurs et les concentrateurs propagent les collisions ; les commuitateurs, les
ponts et les routeurs de réseaux locaux ne le font pas.

Au sein de ce domaine de collision, tous les hôtes reçoivent ce message confus lors
d’une collision.

Figure 3.2. Diffusion du message confus lors d’une collision.

- Domaine de diffusion

Un domaine de collision est une zone réseau dans laquelle les périphériques d’un
groupe recoivent la même trame de diffusion en provenance d’un des périphériques.
Les domaines de diffusion sont généralement délimités par les routeurs, par ce que
ces derniers ne réacheminent pas de trames de diffusion.

3.2.2. Fonction des commutateurs

Un commutateur (switch en Anglais) est un pont multiports, un élément actif qui agit
au niveau de la couche 2 du modèle OSI. Avec le switch, chaque segment constitue
son propre domaine de collision, tandis que les broadcasts sont diffusés dans tous les
segments du réseau.

Figure 3.3. Principe du Switch.

48
Le switch permet de relier divers éléments tout en segmentant le réseau. Ainsi, la
connexion LAN par Switch permet à ce que les trames envoyées à une machine
particulière sont directement aiguillées vers la machine destinatrice, en supprimant
toute collision, la topologie logique est l’étoile (contrairement au HUB où la topologie
logique est le bus).

Figure 3.4. Connexion LAN par Switch.

Fonction des commutateurs :

Un commutateur Ethernet est un périphérique utilisé au niveau de la couche d'accès

du modèle TCP/IP. Tout comme un concentrateur, un commutateur connecte plusieurs
hôtes au réseau. En revanche, contrairement au concentrateur, le commutateur peut
transférer un message vers un hôte particulier. Lorsqu'un hôte envoie un message à
un autre hôte sur le commutateur, ce dernier accepte et décode les trames pour lire la
partie adresse physique (MAC) du message.

Figure 3.5. Connexion des hôtes du réseau par un commutateur.

49
Sur le commutateur, une table, appelée « table d'adresses MAC », contient une liste
de tous les ports actifs et des adresses MAC hôtes correspondantes. Lorsqu'un
message est envoyé entre les hôtes, le commutateur vérifie si l'adresse MAC de
destination est dans la table. Si c'est le cas, le commutateur établit une connexion
temporaire, appelée circuit, entre les ports source et de destination. Ce nouveau circuit
fournit un canal dédié sur lequel les deux hôtes peuvent communiquer. Les autres
hôtes reliés au commutateur ne partagent pas la bande passante sur ce canal et ne
reçoivent pas les messages qui ne leur sont pas adressés. Un nouveau circuit est créé
pour chaque nouvelle conversation entre les hôtes. Ces circuits séparés permettent de
nombreuses conversations simultanées, sans aucune collision.

Messagerie de diffusion :

Lorsqu'un hôte reçoit un message adressé à l'adresse de diffusion, il accepte et traite

le message comme s'il lui était directement adressé. Lorsqu'un hôte envoie un
message de diffusion, les concentrateurs et les commutateurs acheminent le message
jusqu'à chaque hôte connecté sur le même réseau local. Par conséquent, un réseau
local est également appelé domaine de diffusion.

Si les hôtes connectés au même domaine de diffusion sont trop nombreux, le trafic de
diffusion peut devenir disproportionné. Le nombre d'hôtes et le niveau de trafic du
réseau qui peuvent être pris en charge sur le réseau local sont limités par les capacités
des concentrateurs et des commutateurs utilisés pour les connecter. Au fur et à
mesure que le réseau s'étend et que d'autres hôtes sont ajoutés, le trafic du réseau,
notamment le trafic de diffusion augmente.

3.3. LA SEGMENTATION D'UN LAN

Il est possible de réduire la taille des domaines de collision en les segmentant à l'aide
d'équipements de réseau intelligents tels que les ponts, les commutateurs et les
routeurs qui sont des exemples d'équipements de réseau intelligents. Ce processus
est appelé segmentation.

La segmentation d’un réseau à l’aide d’un pont, d’un switch ou d’un routeur est
présentée à la figure 3.6.

Figure 3.6 Segmentation des domaines de collision.

La figure 3.7 montre comment peut-on scinder un réseau local, ou un domaine de

diffusion, en plusieurs réseaux afin d'améliorer ses performances.

50
 Figure 3.7. Segmentation d’un réseau local ou d’un domaine de diffusion.

Figure 3.8. Segmentation par Pont, Commutateur ou Routeur.

3.4. BUT DE LA SEGMENTATION D'UN LAN

Deux raisons principales sont à la base de la segmentation d'un LAN. Premièrement,

l'isolement du trafic entre les segments et, deuxièmement, la nécessité d'obtenir
davantage de bande passante par utilisateur en créant de plus petits domaines de
collision.
51
Sans segmentation, les LANs plus étendus qu'un petit groupe de travail seraient vite
submergés par le trafic et les collisions, et n'offriraient pratiquement aucune bande
passante. L'ajout d'unités telles que des ponts, des commutateurs et des routeurs,
segmente le LAN en domaines de collision.

N.B.
- La segmentation permet d’isoler le trafic entre les segments.
- La segmentation augmente la bande passante disponible pour chaque utilisateur en
créant des domaines de collision plus petits.

3.4.1. Segmentation par Pont ou par Commutateur (Switch)

En divisant les grands réseaux en unités autonomes, les ponts et commutateurs

confèrent plusieurs avantages.

Un pont ou un commutateur diminue le trafic reçu par les unités sur tous les segments
connectés, parce que seulement un certain pourcentage du trafic est acheminé. Ces
deux dispositifs agissent comme un pare-feu au cas où certaines erreurs susceptibles
d'endommager le réseau se produiraient. Ils acceptent également une communication
entre un nombre d'unités supérieur à ce qui serait supporté sur n'importe quel LAN
connecté au pont. Les ponts et commutateurs étendent la longueur effective d'un LAN,
permettant ainsi la connexion de stations éloignées qui n'étaient pas acceptées
auparavant.

Figure 3.9. Extension de la longueur effective d’un LAN par des commutateurs.

3.4.2. La segmentation d'un domaine de collision par routeur

Les routeurs sont plus évolués que les ponts types. Un pont joue un rôle passif
(transparent) au niveau de la couche réseau et actif au niveau de la couche liaison de
données, tandis qu'un routeur fonctionne au niveau de la couche réseau et fonde
toutes ses décisions de transmission sur l'adresse du protocole de couche 3.

Pour ce faire, il examine l'adresse de destination du paquet des données et recherche

les instructions de transmission dans sa table de routage. Les routeurs créent le plus
haut niveau de segmentation possible grâce à leur capacité de déterminer exactement
où le paquet de données doit être acheminé.

52
Comme les routeurs réalisent plus de fonctions que les ponts, leur taux de latence est
supérieur. Les routeurs doivent examiner les paquets afin de déterminer le meilleur
chemin à emprunter pour les faire parvenir à destination. Ce processus prend
évidemment du temps et entraîne une certaine latence.

Figure 3.10. Segmentation d’un réseau LAN à l’aide d’un routeur.

La segmentation de réseaux par routeur se caractérise comme suit :

 Elle est plus facile à gérer. Elle est caractérisée par une fonctionnalité accrue.
Il existe de multiples voies actives.
 Domaine de broadcast.
 Broadcast moins étendu.
 Elle fonctionne au niveau des couches 3 et 4.

3.4.2. Communication entre sous-réseaux

Considérons qu'un sous-réseau est comparable à un petit réseau. Lorsqu'un réseau

est divisé en deux sous-réseaux, il y a, en fait, deux réseaux distincts.

Il est à noter que les routeurs connectent des réseaux. Un routeur est
indispensable pour qu'un périphérique d'un sous-réseau puisse communiquer avec un
périphérique de l'autre sous-réseau.

La configuration doit assurer que des adresses IP d'un même réseau ou sous-réseau
sont attribuées aux interfaces sur les routeurs qui sont connectés entre eux, et que les
clients peuvent accéder aux passerelles par défaut qui leur sont attribuées.

Les interfaces qui connectent les deux routeurs doivent être sur un réseau commun.
Ici, le lien commun indique que les deux routeurs sont connectés au sous-réseau
192.168.1.0/29 avec les adresses IP 192.168.1.17/29 et 192.168.1.18/29.

53
 Figure 3.11. Interconnexion de deux sous-réseaux par routeurs.

3.5. VLSM ET CIDR

3.5.1. Concept

En 1981, le document RFC 791 modifie l’adresse IPv4 32 bits afin d’autoriser trois
classes ou tailles différentes de réseaux : les réseaux de classe A, classe B et classe
C. Les adresses de classe A, B et C utilisent respectivement 8, 16 et 24 bits pour la
partie réseau de l’adresse. Ce format s’est appelé adressage IP par classe.

Le développement initial de l’adressage par classe a résolu temporairement le

problème de la limitation à 256 réseaux. Quelques années plus tard, les plages
d’adresses IP se faisaient de plus en plus rare. En réponse, le groupe de travail IETF a
mis au point le routage interdomaine sans classe (CIDR : Classless Inter-Domain
Routing), qui utilise la technique du masque de sous-réseau de longueur variable
(VLSM : Variable Subnetwork Mask) afin d’optimiser l’espace d’adressage.

Avec l’utilisation du routage interdomaine sans classe CIDR et du VLSM, les

fournisseurs de services Internet peuvent désormais attribuer un sous-réseau à un
client et un sous-réseau différent à un autre client. Cette affectation d’adresses
discontinues par les fournisseurs de services Internet s’est accompagnée du
développement de protocoles de routage sans classe.

La technique VLSM découpe habituellement un réseau (ou sous-réseau) en d’autres

sous-réseaux. Les sous-réseaux peuvent être eux-mêmes découpés en sous-réseaux
plus petits, comme vous le verrez dans ce chapitre.
Outre la création de sous-réseaux, il est devenu possible de résumer un vaste
ensemble de réseaux par classe dans une route globale (agrégat de route) ou route
de super-réseau.

En 1993, l’IETF introduit le routage interdomaine sans classe, le CIDR, qui permet :
- une utilisation plus efficace de l’espace d’adressage IPv4 ;
- une agrégation du préfixe réduisant la taille des tables de routage.

54
La notion de classe d’adresses n’a aucune signification pour les routeurs compatibles
CIDR. En effet, la partie réseau de l’adresse est déterminée par le masque de sous-
réseau du réseau, également connu sous le nom de « préfixe de réseau » ou de
« longueur de préfixe » (noté /8, /19, etc.). Depuis le CIDR, la partie réseau de
l’adresse n’est plus déterminée par la classe de l’adresse.

Les fournisseurs de services Internet peuvent ainsi allouer plus rationnellement

l’espace d’adressage à l’aide de la longueur de préfixe, en commençant par la
longueur de préfixe /8, puis de plus en plus grand (/9, /10, etc.).

De cette manière, les fournisseurs de services Internet ne sont plus limités au masque
de sous-réseau /8, /16 ou /24. Les blocs d’adresses IP peuvent ainsi correspondre aux
exigences (de quelques hôtes à plusieurs centaines, ou plusieurs milliers) des clients
des fournisseurs de services Internet.

Exemples d’adresses en notation CIDR :

3.5.2. CIDR et regroupement de route

CIDR utilise les masques de sous-réseau de longueur variable (VLSM) pour allouer les
adresses IP aux sous-réseaux en fonction d’un besoin particulier, et non en fonction de
la classe. Ce type d’allocation permet de positionner la coupure entre la partie réseau
et la partie hôte à n’importe quel endroit (bit) dans l’adresse. Par la suite, les réseaux
peuvent être à nouveau divisés ou redécoupés en sous-réseaux de plus en plus petits.

Les tables de routage Internet peuvent désormais bénéficier d’agrégation de routes

qui est la faculté selon laquelle des routes peuvent être résumées en une seule route
permettant ainsi de réduire la taille des tables de routage Internet.

Remarquez sur la figure 3.12 que l’ISP1 (Internet Service Provider) contient quatre
clients possédant chacun une quantité variable d’espace d’adressage IP. Cependant,
la totalité de l’espace d’adressage des clients peut être résumée en une seule annonce
dans l’ISP2. La route résumée ou agrégée 192.168.0.0/20 comprend tous les réseaux
appartenant aux clients A, B, C et D. Ce type de route est connu sous le nom de route
de super-réseau.
Un super-réseau résume plusieurs adresses réseau ou sous-réseau, à l’aide d’un
masque plus petit que celui correspondant à la classe.

55
 Figure 3.12. Agrégation de routes et super-réseau.

La propagation de VLSM et des routes de super-réseau nécessite un protocole de

routage sans classe car le masque de sous-réseau ne peut plus être déterminé
par la valeur du premier octet de l’adresse IP.
- Le masque de sous-réseau doit maintenant accompagner l’adresse réseau.
- Les protocoles de routage sans classe incluent le masque de sous-réseau et
l’adresse réseau dans la mise à jour du routage.
- Les protocoles RIPv2, EIGRP, OSPF, IS-IS et BGP font partie des protocoles de
routage sans classe.
- Les protocoles de routage sans classe sont nécessaires lorsque le masque ne peut
pas être supposé ou déterminé par la valeur du premier octet.

Par exemple, les réseaux 172.16.0.0/16, 172.17.0.0/16, 172.18.0.0/16 et 172.19.0.0/16

de la figure 3.13 peuvent être regroupés par 172.16.0.0/14.

Figure 3.13. Exemple de routage sans classe.

56
Remarque :

- R2 peut envoyer les informations de chacun des réseaux les unes après les autres
sans utiliser le résumé à l’aide d’un protocole de routage par classe. Cependant, les
avantages du résumé sont perdus.
- Si le routeur R2 envoie l’information de résumé du routage 172.16.0.0 sans le
masque /14, R3 applique le masque par classe par défaut /16.
- Dans un scénario de protocole de routage par classe, R3 ne connaît pas les réseaux
172.17.0.0/16, 172.18.0.0/16 et 172.19.0.0/16.
- Les protocoles de routage par classe ne peuvent pas envoyer de routes de super-
réseau car, s’il le faisait, le routeur récepteur de la mise à jour du routage appliquerait
le routage de classe par défaut de l’adresse réseau, sans tenir compte du super-
réseau.
- Si la topologie contenait un protocole de routage par classe, R3 n’installerait que
172.16.0.0/16 dans la table de routage.

3.6. CRÉATION DES SOUS-RÉSEAUX

Les adresses de sous-réseau contiennent une portion réseau de classe A, B ou C plus

un champ de sous-réseau et un champ d'hôte. Le champ de sous-réseau et le champ
d'hôte sont créés à partir de la portion hôte d'origine pour l'ensemble du réseau.

L'administrateur réseau jouit d'une grande souplesse d'adressage dans la mesure où il

peut déterminer comment la portion hôte d'origine sera subdivisée pour créer les
nouveaux champs de sous-réseau et d'hôte. Pour créer une adresse de sous-réseau,
l'administrateur réseau emprunte des bits au champ d'hôte d'origine et les désigne
comme champ de sous-réseau.

La figure 3.14 illustre la structure hiérarchique des adresses de sous-réseau :

Figure 3.14. Subdivision de la partie hôte pour créer des sous-réseaux.

 Le nombre minimal de bits pouvant être empruntés est de deux. Si un seul bit était
emprunté pour créer un sous-réseau, il n'y aurait qu'un numéro de réseau (le réseau
0) et un numéro de Broadcast (le réseau 1).

 Le nombre maximal de bits pouvant être empruntés est égal à tout nombre laissant
au moins deux bits, pour le numéro d'hôte. Dans cet exemple d'adresse IP de classe
C, des bits ont été empruntés au champ d'hôte afin de créer le champ de sous-
réseau.

3.6.1. Pourquoi créer des sous-réseaux ?

L'une des principales raisons en faveur de l'utilisation d'un sous-réseau est la réduction
de la taille d'un domaine de broadcast. Des broadcasts sont envoyés à tous les hôtes
d'un réseau ou d'un sous-réseau. Lorsque le trafic de broadcast commence à occuper
une trop grande partie de la bande passante disponible, les administrateurs réseau
peuvent choisir de réduire la taille du domaine de Broadcast.

57
3.6.2. Procédure de création de sous-réseau

1) Détermination du nombre de sous-réseaux

NS/R = 2X (3.1)

avec « x » le nombre de bits prélevés dans la partie hôte et utilisés pour créer les
sous-réseaux.

En considérant, la classe C la partie machine de l’adresse IP comprend 8 bits tel que :

- si x = 2, on aura NS/R = 22 = 4 S/R et 11000000 correspond à 192, par conséquent le

masque de S/R sera 255.255.255.192 ou /24+2 = /26
il y aura donc le S/R « 0 » : 00000000, le S/R « 64 » : 01000000,
le S/R « 128 » : 10000000 et le S/R « 192 » : 11000000
- si x = 3, on aura NS/R = 23 = 8 S/R et 11100000 correspond à 224, par conséquent le
masque de S/R sera 255.255.255.224 ou /24+3 = /27
- si x = 4, on aura NS/R= 24 = 16 S/R et 11110000 correspond à 240, par conséquent le
masque de S/R sera 255.255.255.240 ou /24+4 = /28 ;
- si x = 5, on aura NS/R = 25 = 32 S/R et 11111000 correspond à 248, par conséquent
le masque de S/R sera 255.255.255.248 ou /24+5 = /29
- si x = 6, on aura NS/R = 26 = 64 S/R et 11111100 correspond à 252, par conséquent
le masque de S/R sera 255.255.255.252 ou /24+6 = /30

Pour x = 7 et x = 8, il est impossible de créer des sous-réseaux en classe C mais il est

possible d’en créer en classe A et classe B.

2) Détermination du nombre d’adresses IP possibles dans un sous-réseau

NAd-IP = 2Y – 2 (3.2)

avec ‘’ y’’ le nombre de bits restant dans la partie hôte après avoir soustrait les x bits
servant à créer les sous-réseaux.

On soustrait 2 adresses IP par ce qu’on ne peut pas allouer la première et la dernière

adresses de chaque sous-réseau aux PC car ce sont des adresses réservées pour
l’identification du sous-réseau et pour le broadcast dans ce sous-réseau.

En considérant l’exemple précédent pour la classe C où x = 2 et pour le réseau LAN

192.168.10.0, on aura y = 8 – x = 6 :

58
- Le masque de S/R devient :
x = 2 donne 128 + 64 = 192 c’est-à-dire 255.255.255.192 ou /24 +2 = /26

- Le nombre de S/R :
NS/R = 2X = 22 = 4 S/R (pour x = 2 on a : 00 = 0, 01= 64, 10 = 128 et 11 = 192)

- Le nombre d’adresses IP :
NAd-IP = 2Y- 2 = 26 – 2 = 64 - 2 = 62 adresses IP utilisables par sous-réseau pour
les PC. C’est-à-dire qu’il y aura donc 64 adresses IP disponibles dont 62 adresses
IP utilisables pour les PC.

o S/R « 0 » : 00
00000000 -> 0 Adresse d’identification du S/R « 0 » : 192.168.10.0/26
00000001 -> 1 Adresse de la Machine 1 : 192.168.10.1/26
00000010 -> 2 Adresse de la Machine 2 : 192.168.10.2/26
00000011 -> 3 Adresse de la Machine 3 : 192.168.10.3/26
…………. …………………………………………………….
00111110 -> 62 Adresse de la Machine 62 : 192.168.10.62/26
00111111 -> 63 Adresse de Broadcast du S/R « 0 » : 192.168.10.63/26

o S/R « 64 » : 01
01000000 -> 64 Adresse d’identification du S/R « 64 » : 192.168.10.64/26
01000001 -> 65 Adresse de la Machine 1 : 192.168.10.65/26
01000010 -> 66 Adresse de la Machine 2 : 192.168.10.66/26
01000011 -> 67 Adresse de la Machine 3 : 192.168.10.67/26
…………. …………………………………………………….
01111110 -> 126 Adresse de la Machine 62 : 192.168.10.126/26
01111111 -> 127 Adresse de Broadcast du S/R « 64 » : 192.168.10.127/26

o S/R « 128 » : 10
10000000 -> 128 Adresse du S/R « 128 » : 192.168.10.128/26
10000001 -> 129 Adresse de la Machine 1 : 192.168.10.129/26
10000010 -> 130 Adresse de la Machine 2 : 192.168.10.130/26
10000011 -> 131 Adresse de la Machine 3 : 192.168.10.131/26
…………. …………………………………………………….
10111110 -> 190 Adresse de la Machine 62 : 192.168.10.190/26
10111111 -> 191 Adresse de Broadcast du S/R « 128 » : 192.168.10.191/26

o S/R « 192 » : 11
11000000 -> 192 Adresse du S/R « 192 » : 192.168.10.192/26
11000001 -> 193 Adresse de la Machine 1 : 192.168.10.193/26
11000010 -> 194 Adresse de la Machine 2 : 192.168.10.194/26
11000011 -> 195 Adresse de la Machine 3 : 192.168.10.195/26
…………. …………………………………………………….
11111110 -> 254 Adresse de la Machine 62 : 192.168.10.254/26
11111111 -> 255 Adresse de Broadcast du S/R « 192 » : 192.168.10.255/26

N.B.
- De façon classique le premier sous-réseau « 0 » et le dernier sous-réseau « 192 » ne
doivent pas être pris en compte, c’est-à-dire qu’ils seront inutilisables car ils
possèdent respectivement des 0 et des 1 partout.
- Dans les Routeurs et commutateurs CISCO, il existe une option que l’on peut activer
pour pouvoir prendre en compte ces deux sous-réseaux, le premier et le dernier,
grâce à une commande spéciale.

59
 Figure 3.15. Segmentation avec prise en charge du premier et dernier S/R.

Exemple : On demande de donner les adresses IP ainsi que les masque de S/R des
machines 10 et 34 des S/R 64 et 128 pour le réseau 192.168.10.0

S/R « 64 » : - La machine 10 correspond à 64 + 10 = 74

Adresse IP : 192.168.10.74
Masque de S/R : 255.255.255.192 ou /26

- La machine 34 correspond à 64 + 34 = 98
Adresse IP : 192.168.10.98
Masque de S/R : 255.255.255.192 ou /26

S/R « 128 » : - La machine 10 correspond à 128 + 10 = 138

Adresse IP : 192.168.10.138
Masque de S/R : 255.255.255.192 ou /26

- La machine 34 correspond à 128 + 34 = 162

Adresse IP : 192.168.2.162
Masque de S/R : 255.255.255.192 ou /26

Exercice :

Soit le réseau LAN 192.168.10.0 de classe C, si x = 3 on aura y = 8 – x = 5 on aura :

60
- Le masque de S/R devient :

x = 3 donne 128 + 64 + 32 = 224 c’est-à-dire 255.255.255.224 ou /24 +3 = /27

- Le nombre de sous-réseaux : NS/R = 2X = 23 = 8 S/R , à savoir :

S/R « 000 » ou S/R « 0 » : 192.168.10.0/27

S/R « 001 » ou S/R « 32 »: 192.168.10.32/27
S/R « 010 » ou S/R « 64 »: 192.168.10.64/27
S/R « 011 » ou S/R « 96 »: 192.168.10.96/27
S/R « 100 » ou S/R « 128 »: 192.168.10.128/27
S/R « 101 » ou S/R « 160 »: 192.168.10.160/27
S/R « 110 » ou S/R « 192 »: 192.168.10.192/27
S/R « 111 » ou S/R « 224 »: 192.168.10.224/27

- Le nombre d’adresses IP : NAd-IP = 2Y- 2 = 25 – 2 = 32 - 2 = 30 adresses IP

utilisables par sous-réseau pour les PC. C’est-à-dire qu’il y aura donc 32 adresses
IP disponibles dont 30 adresses IP utilisables pour les PC.

3.6.3. Les configurations d'hôtes/de sous-réseaux

Lors de la création de sous-réseaux, il convient de déterminer le nombre optimal de

sous-réseaux et d'hôtes. (Remarque : le nombre d'hôtes disponibles est déterminé par
le nombre de sous-réseaux nécessaires. Ainsi, si vous empruntez trois bits dans un
réseau de classe C, il ne reste que cinq bits pour les hôtes).

Exemple :

- Si on emprunte deux bits dans un réseau de classe C, on crée quatre sous-réseaux,

chacun contenant 64 hôtes. Seulement deux des sous-réseaux sont utilisables (4 - 2
= 2 S/R) et chacun d'eux ne comprend que 62 hôtes utilisables (64 - 2 = 62 hôtes).
On a donc que 124 hôtes utilisables alors qu'il y en avait 254 avant la création de
sous-réseaux. Cela signifie qu’on perd 51 % de nos adresses.

- Si on emprunte alors 3 bits, on aura donc huit sous-réseaux, dont six sont utilisables
(8-2 = 6 S/R), et chaque sous-réseau comprend 30 hôtes utilisables (32 – 2 = 30
hôtes). Cela représente un total de 180 hôtes utilisables, par rapport aux 254
d'origine, mais on ne perd plus que 29 % de nos adresses.

Remarque :

 On ne peut pas utiliser les premier et dernier sous-réseaux.

 Il est prévu dans les Routeurs et commutateurs CISCO une option que l’on peut
activer grâce à une commande spéciale pour prendre en compte ces deux sous-
réseaux.
 On ne peut pas utiliser les première et dernière adresses de chaque sous-réseau ;
l'une est l'adresse d’identification du sous réseau et l'autre est l'adresse de broadcast
du sous-réseau.
 Lorsque l’on crée des sous-réseaux, on perd un nombre considérable d'adresses
potentielles. C'est pourquoi les administrateurs réseau doivent tenir compte du
pourcentage d'adresses perdues au moment de la création de sous-réseaux tel
qu’indiqué sur le tableau 3.1.

61
 Tableau 3.1. Pourcentage d'adresses perdues lors de la création de sous-réseaux.

N.B.
Lorsqu’on crée des sous-réseaux, on doit tenir compte de la croissance anticipée de
son réseau et du pourcentage d'adresses perdues lors de la création de sous-réseaux

3.7. CONCLUSION 3

L’utilisation d'équipements de réseau intelligents, tels que les ponts, les commutateurs
et les routeurs, permet de réduire la taille des domaines de collision d’un réseau LAN
grâce au processus appelé segmentation. Ainsi, segmenter un réseau LAN pour créer
des sous-réseaux permet de mieux organiser et mieux gérer ce réseau en regroupant
les utilisateurs dans de petites entités selon leurs services ou activités.

Lors de la mise en service du réseau ARPANET en 1969, personne ne prévoit une

explosion d’Internet au-delà du simple cadre de ce projet de recherche. En 1989, le
réseau ARPANET devient ce que nous appelons maintenant Internet. Durant la
dernière décennie, le nombre d’hôtes sur Internet a augmenté de manière
exponentielle (159 000 en octobre 1989, plus de 72 millions en fin de millénaire).
En janvier 2007, ce nombre dépasse les 433 millions d’hôtes.

Sans le lancement de la notation CIDR et VLSM en 1993, de la traduction

d’adresses de réseau (NAT) en 1994 et de l’adressage privé en 1996, l’espace
d’adressage IPv4 de 32 bits serait aujourd’hui épuisé.

Le développement initial de l’adressage par classe a résolu temporairement le

problème de la limitation à 256 réseaux. Mais, en réponse à l’augmentation du nombre
d’utilisateurs et d’adresses IP, le groupe de travail IETF a mis au point le routage
interdomaine sans classe (CIDR), qui utilise la technique du masque de sous-réseau
de longueur variable (VLSM) afin d’optimiser l’espace d’adressage.
Avec l’utilisation du CIDR et du VLSM, les fournisseurs de services Internet peuvent
désormais attribuer un sous-réseau à un client et un sous-réseau différent à un autre
client.

3
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

62
CHAPITRE IV. REDONDANCE ET AGREGATION DES LIENS

4.1. INTRODUCTION

La redondance est l’installation d’un équipement en double en vue de pallier

l’éventuelle déficience de l’un d’eux. Par conséqent, la multiplication des liens
physiques entre les périphériques au sein d’un réseau informatique offre des chemins
d’accès redondants. Il s’agit alors d’agrégation des liens formant un seul lien logique.

Ainsi, la redondance du réseau est essentiel pour garantir la fiabilité de celui-ci.

La fiabilité étant définie comme la probabilité que présente un dispositif de fonctionner
correctement durant un temps déterminé.

Pour se faire, grâce à la redondance qu’offre l’agrégation des liens, le réseau peut
continuer à fonctionner même lorsqu’un port ou un lien donné est défaillant.

En outre, les liens redondants permettent également de partager la charge du trafic et

d’accroître la capacité du canal de transmission.

4.2. AGRÉGATION DE LIENS

L'agrégation de liens est une technique utilisée dans les réseaux informatiques,
permettant le regroupement de plusieurs ports réseau et de les utiliser comme s'il
s'agissait d'un seul. Le but est d’accroître le débit au-delà des limites d'un seul lien, et
éventuellement de faire en sorte que les autres ports prennent le relai si un lien tombe
en panne (redondance).

Suivant le contexte, on peut rencontrer la notion d'agrégation de liens sous d'autres

appellations : Shortest Path Bridging, trunk Ethernet, EtherChannel, NIC teaming,
port channel, port teaming, port trunking, link bundling, multi-link trunking
(MLT), NIC bonding, network bonding, bonding, network fault tolerance (NFT)…

Figure 4.1. Une application de l'agrégation de liens.

L'agrégation de liens est le plus souvent mise en place entre les ports de
commutateurs Ethernet ou entre des cartes Ethernet d'ordinateurs sous Linux, Unix
ou Windows.
Toutefois, l'agrégation est un concept général qui peut être mis en œuvre dans
chacune des trois couches inférieures du modèle OSI.
 On peut agréger par exemple des liens CPL sur le réseau électrique (par exemple
IEEE 1901) ;
 Sur un réseau sans fil (par exemple IEEE 802.11), un équipement peut combiner
plusieurs plages de fréquence en une seule, qui sera plus étendue.

63
o En couche 2, en plus de l'agrégation de liens Ethernet, on peut agréger par exemple
des liens longue distance PPP (Point to Point Protocol) avec multilink PPP.
o Sur la couche réseau (couche 3), on peut envoyer des paquets IP en les émettant
tour à tour sur différentes routes, soit avec la méthode du tourniquet, soit en
fonction d'une valeur de hachage des différents champs contenus dans le paquet IP.

Remarque :

Les interfaces agrégées peuvent partager une même adresse logique (par exemple
MAC ou IP) ; au contraire, on peut conserver pour chaque interface sa propre adresse.

4.3. ETHERNET

4.3.1. Structure hiérarchique des réseaux Ethernet

En matière de réseaux, une structure hiérarchique est utilisée pour regrouper les
périphériques sous plusieurs réseaux organisés en couches. Il s'agit de plusieurs petits
groupes plus gérables qui permettent au trafic local de rester local. Seul le trafic
destiné aux autres réseaux est déplacé vers une couche supérieure.

Une structure de couches hiérarchiques permet d'optimiser l'efficacité, la vitesse et les

performances des réseaux. Elle permet aux réseaux d'évoluer selon les besoins, dans
la mesure où il est possible d'ajouter des réseaux locaux sans amoindrir les
performances des réseaux existants.

La structure hiérarchique comporte trois couches de base :

 Couche d'accès : fournit des connexions aux hôtes sur un réseau Ethernet local.
 Couche de distribution : permet d'interconnecter les petits réseaux locaux.
 Couche principale ou couche cœur de réseau (réseau fédérateur) : connexion
haut débit entre les périphériques de la couche de distribution.

La couche cœur de réseau est une couche fédératrice haut débit conçue pour
transférer rapidement de gros volumes de données. Les commutateurs ou les routeurs
haut débit sont des exemples de périphériques de couchecoeur de réseau.

Figure 4.2. Structure hiérarchique des réseaux Ethernet.

64
Avec cette nouvelle structure hiérarchique, un système d'adressage logique est
nécessaire pour identifier l'emplacement d'un hôte. Il s'agit du système d'adressage IP
(Internet Protocol).

4.3.2. Fonctionnement

Le trafic IP est géré selon les caractéristiques et les périphériques associés à chacune
de ces trois couches : la couche d'accès, la couche de distribution et la couche
principale. L'adresse IP sert à déterminer si le trafic doit rester local ou s'il doit être
déplacé à travers les couches du réseau hiérarchique.

 Couche d'accès

La couche d'accès est le niveau le plus simple d'un réseau. C'est la partie du réseau
qui permet aux utilisateurs d'accéder à d'autres hôtes, ainsi qu'aux imprimantes et aux
fichiers partagés. La couche d'accès se compose de périphériques hôtes, ainsi que de
la première ligne de périphériques réseau auxquels ils sont connectés.
La couche d'accès fournit un point de connexion au réseau pour les périphériques des
utilisateurs et permet à plusieurs hôtes de se connecter à d'autres, via un périphérique
réseau (en principe un concentrateur ou un commutateur). En règle générale, tous les
périphériques d'une seule couche d'accès ont, dans leur adresse IP, la même partie
réseau.

Si un message est destiné à un hôte local, selon la partie réseau de l'adresse IP, le
message reste local. S'il est destiné à un autre réseau, il est transféré à la couche de
distribution. Les concentrateurs et les commutateurs établissent la connexion aux
périphériques de la couche de distribution, généralement un routeur.

 Couche de distribution

Au fur et à mesure de l'extension des réseaux, il est souvent nécessaire de diviser un

réseau local en plusieurs réseaux de couche d'accès. Les réseaux peuvent être divisés
en fonction de plusieurs critères, notamment les suivants :
 l'emplacement physique,
 la fonction logique,
 les besoins en matière de sécurité,
 les besoins en matière d'applications.

La couche de distribution connecte ces réseaux locaux indépendants et contrôle le

trafic entre eux. Elle est chargée de garantir que le trafic entre les hôtes du réseau
local reste local. Seul le trafic destiné à d'autres réseaux est transmis. La couche de
distribution peut également filtrer le trafic entrant et sortant pour la sécurité et la gestion
du trafic.

La couche de distribution établit un point de connexion pour les réseaux distincts et

contrôle le flux d'informations entre eux. Elle comprend généralement des
commutateurs plus puissants que ceux de la couche d'accès, ainsi que des routeurs
pour le routage entre les réseaux. Les périphériques de la couche de distribution
contrôlent le type et le volume de trafic qui passe de la couche d'accès à la couche
principale.
Les périphériques réseau qui constituent la couche de distribution sont conçus pour
interconnecter les réseaux et non les hôtes. Chaque hôte est connecté au réseau via
les périphériques de la couche d'accès, tels que les concentrateurs et les
commutateurs. Les périphériques de la couche d'accès sont connectés les uns aux
autres via les périphériques de la couche de distribution, tels que les routeurs.

65
 Couche principale ou Couche coeur

La couche principale est une couche fédératrice haut débit avec des connexions
redondantes (de sauvegarde). Elle permet le transport de grandes quantités de
données entre plusieurs réseaux finaux. Les périphériques de la couche principale
comprennent en général des commutateurs et des routeurs haut débit, très puissants.
La première fonction de la couche principale est de transporter rapidement les
données.

4.3.3. Agrégation des liens dans les réseaux Ethernet

La plupart des implémentations sont aujourd'hui conformes à la clause 43 de la norme

Ethernet IEEE 802.3-2005, plus souvent désignée par le terme IEEE 802.3ad (nom du
groupe de travail). Depuis, la spécification de l'agrégation de lien dispose d'une norme
indépendante : IEEE 802.1ax.
EtherChannel est une version propriétaire de Cisco très proche de 802.3ad.

4.3.3.1. Description générale

L'agrégation de liens répond à deux problèmes dans les réseaux Ethernet :

 la limitation en bande passante entre deux équipements ;
 l'absence de redondance des liens.

4.3.3.1.1. Évolution de la bande passante

Les besoins en bande passante n'évoluent pas de manière linéaire. Historiquement,

les débits disponibles en Ethernet ont augmenté d'un facteur 10 à chaque génération
(10 Mbit/s, 100 Mb/s, 1 000 Mb/s, 10 000 Mb/s). Si l'on se trouve proche d'un seuil, la
seule solution consistait à migrer vers la nouvelle génération, le plus souvent avec un
surcoût élevé.

La solution alternative, introduite par la plupart des constructeurs réseaux au début des
années 1990, consiste à associer deux liens Ethernet physiques en un seul lien
logique via le « Channel Bonding ». La plupart de ces solutions requièrent une
configuration manuelle.

4.3.3.1.2. Renforcement de la disponibilité

La connexion de deux équipements via un lien implique trois points individuels de

défaillance : les deux ports et le lien lui-même, que ce soit dans le contexte d'un
raccordement d'un ordinateur à un commutateur, ou dans le contexte de connexion de
deux commutateurs.

Plusieurs connexions physiques peuvent être mises en place, cependant, beaucoup de

protocoles de niveaux supérieurs n'ont pas été conçus de manière à basculer de
manière totalement transparente en cas de dysfonctionnement.

4.3.3.2. Gestion automatique des agrégats de liens

Dans le domaine des agrégations de liens, un protocole de configuration automatique

permet à plusieurs équipements de gérer dynamiquement des agrégats de liens de
manière cohérente.

66
Les principales fonctionnalités sont les suivantes :
 détection des équipements connectés utilisant le même protocole de configuration
automatique ;
 découverte des liens physiques redondants et configurés de manière identique
(vitesse, duplex...), entre les deux équipements ;
 groupement logique de ces liens en un lien logique ;
 détection automatique des liens morts et mise à jour des groupements de liens.

Parmi les différents protocoles existant, le principe de fonctionnement est similaire. Un

équipement va :
1. émettre sur l'ensemble des ports, des paquets contenant les informations requises ;
2. recevoir sur ces ports des paquets de même type provenant des équipements
raccordés ;
3. détecter les liens redondants entre le point d'origine et l'autre équipement (le second
équipement utilisant le protocole fera de même) ;
4. créer un agrégat cohérent avec l'autre équipement en prenant en compte les liens
détectés à l'étape précédente.

Une fois que le protocole aura convergé vers un état stable, les équipements
continueront d'émettre régulièrement leurs paquets de configuration automatique, ceci
afin qu'ils détectent, par l'absence de réception de paquet sur un port, un lien « mort ».
À ce moment, ils mettront à jour l'agrégat concerné afin de ne plus utiliser le lien mort.

Le principal avantage de la configuration automatique des agrégats par rapport à la

configuration manuelle réside dans la détection de liens morts. Via une configuration
manuelle, dans certains cas l'interface de raccordement, le lien mort ne passera pas à
« down » en raison de la présence d'un autre équipement, passif, entre les deux
commutateurs. Seule l'utilisation de paquets de type « keep alive » permet de détecter
une défaillance du lien. Sans cette détection, par le protocole d'agrégation, le lien serait
toujours opérationnel et le commutateur continuerait d'émettre des données sur ce lien.

4.3.3.2.1. Link Aggregation Control Protocol (LACP) ou IEEE 802.3ad

LACP est un protocole standardisé par l'IEEE et est implémenté par différents
constructeurs. Il fournit un mécanisme permettant de contrôler le groupement de
plusieurs ports physiques en un canal logique de communication.

Le principe de fonctionnement consiste à émettre des paquets LACP vers l'équipement

partenaire, directement connecté et configuré pour utiliser LACP. Le mécanisme LACP
va permettre d'identifier si l'équipement en face prend LACP en charge, et groupera les
ports configurés de manière similaire (vitesse, mode duplex, VLAN, trunk de vlan, etc.)

Un équipement configuré pour utiliser LACP peut fonctionner en trois modes :

 passif : l'équipement n'initiera pas de négociation LACP. Il répondra uniquement
aux sollicitations des équipements « partenaires »,
 actif : l'équipement initiera les négociations LACP,
 on : l'équipement suppose que l'équipement partenaire est également dans ce
mode et fera de l'agrégation de liens.

4.3.3.2.2. Port Aggregation Protocol (PAgP)

PAgP est un protocole propriétaire Cisco, de ce fait disponible sur les commutateurs
Cisco ainsi que sur les équipements disposant de la licence adéquate.

67
Son utilisation permet de faciliter et d'automatiser la configuration des agrégats de
liens (EtherChannel chez Cisco) en échangeant les informations nécessaires entre les
ports Ethernet, à la manière de LACP.

Un équipement configuré pour utiliser PAgP peut fonctionner en trois modes :

 auto : négociation passive avec le second équipement,
 desirable : négociation active avec le second équipement,
 on : aucun protocole n'est utilisé, on suppose que le second équipement est
configuré pour utiliser l'agrégation de liens.

4.3.3.3. Contraintes de déploiement

4.3.3.3.1. Un seul et unique commutateur

L'ensemble des ports physiques appartenant à un groupement de liens doit se trouver

sur un même et unique commutateur. Ceci laisse un unique point de défaillance :
lorsque le commutateur rencontre un problème, l'ensemble des liens peut être touché.

Néanmoins la plupart des vendeurs ont défini des extensions propriétaires pour pallier
cette contrainte : plusieurs commutateurs physiques peuvent être agrégés en un
commutateur logique. Actuellement, l'IEEE n'a pas encore statué sur la standardisation
de cette fonctionnalité.

4.3.3.3.2. Utilisation de liens homogènes

Dans la plupart des implémentations, l'ensemble des ports d'une agrégation doivent
être de même type (physiquement), par exemple tout en port cuivre (CAT-5E/CAT-6),
tout en port optique multi-mode (SX), ou encore, tous les ports en optique mono-mode
(LX). Cependant, le seul point que la norme IEEE requiert est que chaque lien soit en
mode full-duplex et à une vitesse identique (10, 100, 1 000 ou 10 000 Mb/s).

4.4. ETHERCHANNEL

4.4.1. Principe

EtherChannel est une technologie d'agrégation de liens utilisé principalement sur les
commutateurs de Cisco. Elle permet d'assembler plusieurs liens physiques
Ethernet en un lien logique. Le but est d'augmenter la vitesse et la tolérance aux
pannes entre les commutateurs, les routeurs et les serveurs. Un lien EtherChannel,
groupe de deux à huit liens actifs de 100 Mbit/s, 1 Gbit/s et 10 Gbit/s, plus
éventuellement un à huit liens inactifs en réserve qui deviennent actifs quand des liens
actifs sont coupés.

EtherChannel est principalement utilisé sur la dorsale du réseau local, mais on peut
aussi l'utiliser pour connecter des postes d'utilisateurs.

Figure 4.3. EtherChannel entre un switch (commutateur) et un serveur.

68
La technologie EtherChannel a été inventée par la société Kalpana au début des
années 1990. Cette société a ensuite été acquise par Cisco Systems en 1994.
En 2000, l'IEEE a publié le standard 802.3ad, qui est une version ouverte de
EtherChannel.

EtherChannel est aussi souvent utilisé pour relier les équipements de la couche
distribution à ceux de la couche cœur (couche principale) de réseaux afin de
fournir une bande passante suffisante, tel que présenté sur la figure 4.4.

Figure 4.4. EtherChannel entre équipements de la couche distribution à ceux

de la couche cœur de réseaux.

L’agrégation des liens entre la couche distribution et la couche cœur du réseau

EtherChannel améliore le fonctionnement lorsque plusieurs interfaces physiques sont
nécessaires pour interconnecter des commutateurs.

4.4.2. Fonctionnement

EtherChannel peut être utilisé sur des liens cuivre en paire torsadée aussi bien que sur
fibre optique monomode et multimode (en fait, sur toutes les interfaces définies dans le
cadre du standard IEEE 802.3).
Toutes les interfaces groupées doivent cependant fonctionner à la même vitesse.
Comme EtherChannel ne nécessite pas de câblage spécial, il permet de réexploiter
des infrastructures existantes.
Un lien EtherChannel a plusieurs avantages sur un simple lien Ethernet, le plus
recherché étant sans doute la bande passante. Lorsque l'on utilise le maximum de 8
ports actifs, on obtient par exemple 8 Gbit/s à partir de liens à 1 Gbit/s.
On n'obtient toutefois pas toujours ce débit maximal. En effet, il existe différentes
stratégies d'équilibrage de charge, et en fonction des caractéristiques des échanges
sur le réseau, les paquets pourront être plus ou moins bien répartis sur les différents
liens physiques.

Tous les liens participant à EtherChannel partagent la même adresse de couche 2

(adresse MAC). Cela rend EtherChannel transparent aux protocoles réseau, aux
applications et aux utilisateurs, car ils ne voient qu'une seule connexion logique et n'ont
pas connaissance des différents liens physiques.

69
EtherChannel répartit les paquets sur les différents ports actifs. Pour un paquet donné,
le port est choisi en utilisant un algorithme de hachage propriétaire de Cisco, qui
transforme les adresses MAC source et destination, les adresses IP ou les numéros de
port TCP ou UDP en un nombre entre 0 et 7.

La table qui suit montre comment ces 8 nombres sont distribués parmi les deux à huit
ports physiques. En admettant que les données en entrée soient véritablement
aléatoires, on obtient une répartition de charge équitable dans les configurations à 2, 4
ou 8 ports, tandis que les autres configurations mènent à une répartition inéquitable
des échanges.

Tableau 4.1. Distribution des 8 nombres parmi les deux à huit ports physiques.

Nombre de liens physiques

Numéro de lien 8 7 6 5 4 3 2
1 1 2 2 2 2 3 4
2 1 1 2 2 2 3 4
3 1 1 1 2 2 2
4 1 1 1 1 2
5 1 1 1 1
6 1 1 1
7 1 1
8 1

La tolérance aux pannes est un autre aspect essentiel de EtherChannel. Si un lien

tombe, la charge est automatiquement redistribuée sur les liens restants.
Ce processus de remise sur pied prend moins d'une seconde et est transparent aux
applications réseau.

4.4.3. Configuration

Sur matériel Cisco, on configure EtherChannel à l'aide de commandes IOS ; sur un

serveur, on le met en place à l'aide de pilotes spécialisés.

Il y a deux façons de configurer EtherChannel :

 La première est de procéder manuellement à la configuration statique en saisissant

une commande sur chaque port à agréger, des deux côtés de la liaison. Pour cela, il
suffit de mettre les interfaces physiques participant à la formation du lien logique à
« ON ».

 La seconde est de laisser faire la configuration automatique ou configuration

dynamique, à l'aide de l'un des deux protocoles : PAgP (Port Aggregation Protocol)
et LACP (Link Aggregation Control Protocol).

La configuration dynamique présente d’énormes avantages par rapport à la

configuration statique.

On peut spécifier les interfaces en mode active, passive, desirable, auto ou on tel
que donné dans le tableau 4.2.
70
Tableau 4.2. Spécification les interfaces EtherChannel.

Mode Spécification
active Autorise le protocole LACP sans condition
passive Enable LACP only if a LACP device is detected
desirable Autorise le protocole LAgP sans condition
auto Enable LACP only if a LAgP device is detected
on Enable EtherChannel only

 Les modes « active » et « desirable » initient la négociation activement : ils sont

compatibles avec leurs pendants (respectivement active et desirable) et leurs
opposés (respectivement passive et auto).
 En revanche, 2 ports en mode « passive » ou « auto » ne fonctionnent pas ensemble
car aucune négociation ne sera initiée.
 Le mode « on » désigne un EtherChannel sans protocole de gestion (ni LACP ni
LAgP) ; le port d’en face doit être lui aussi en mode « on ».

4.4.4. Matériel compatible

L'ensemble de la gamme des commutateurs Cisco Catalyst et des routeurs sous-

système IOS prend en charge EtherChannel.

Pour mettre en place EtherChannel entre un commutateur et un ordinateur, il faut des

cartes réseau spéciales ou qu'EtherChannel soit pris en charge par le système
d'exploitation de l'ordinateur. Le système d’exploitation FreeBSD, par exemple, prend
en charge EtherChannel avec LACP sur des cartes réseau standard.

Figure 4.5. Adaptateur pour serveur Intel PRO/1000 MT

prenant en charge EtherChannel.

On peut mettre en place plusieurs agrégats EtherChannel sur un même boîtier, le

nombre dépendant du modèle. Les commutateurs Catalyst 6500 et 6000 prennent en
charge un maximum de 64 EtherChannels.

4.4.5. EtherChannel sur plusieurs commutateurs

Une limitation de EtherChannel est que l'ensemble des ports physiques d'un même
agrégat doivent résider sur le même commutateur, si l'on met de côté le cas des
commutateurs empilables, où ils peuvent être répartis sur plusieurs commutateurs de
la pile.

71
Le protocole SMLT de Avaya supprime cette limitation en permettant aux ports
physiques d'être répartis sur deux commutateurs dans une configuration en triangle, ou
4 commutateurs ou plus dans une configuration maillée.

Le Virtual Switching System de Cisco permet de créer un « Multichassis

EtherChannel », ou MEC, fonctionnellement semblable au protocole DMLT de
Avaya, puisqu'il permet d'agréger des ports appartenant aux différents commutateurs
réunis en un même « commutateur virtuel ».

4.4.6. EtherChannel et les autres protocoles de couche 2

Le protocole STP peut être utilisé avec EtherChannel. STP traite l'ensemble des liens
agrégés comme un seul lien et envoie des BPDU (Bridge Protocol Data Unit) sur l'un
des liens physiques. Si l'on n'utilisait pas EtherChannel, STP couperait les liens
redondants reliant les commutateurs jusqu'à ce que l'une des connexions ne tombe, ne
permettant qu'un seul lien physique en fonction à la fois.

Dans le cas des VLAN (Virtual LAN), EtherChannel peut être configuré comme lien
marqué pour les protocoles Cisco ISL ou IEEE 802.1Q (lien « trunk » en jargon
Cisco). Si seul l'un des liens physiques regroupés par EtherChannel est configuré
comme un lien marqué, l'ensemble de l'agrégat se comportera comme un lien marqué.

Le protocole VTP (VLAN Trunking Protocol) est aussi compatible avec

EtherChannel.

4.5. IEEE 802.3ad

IEEE 802.3ad ou Link Aggregation Control Protocol (LACP) est un protocole de

niveau 2 du modèle OSI qui permet de grouper plusieurs ports physiques en une
seule voie logique.

Figure 4.6. Agrégation de liens entre un commutateur et un serveur.

La norme décrit l'utilisation de multiples câbles réseau Ethernet ou un port parallèle

pour augmenter la rapidité du lien au-delà des limites d'un câble ou d'un seul port, et
d'accroître la redondance pour une plus grande disponibilité.

4.5.1. Avantages

 Augmentation de la bande passante

 Tolérance aux pannes (failover)
 Répartition de charges (load balancing).

4.5.2. Répartition

LACP permet un maximum de 16 ports dont 8 actifs.

72
Au niveau de chaque extrémité LACP il est possible de définir une politique de choix
du port de sortie qui déterminera par quel port sortira une trame. La répartition du trafic
se fait par un hash XOR ("eXclusive OR" ou "OU exclusif") en fonction des
arguments sélectionnables suivants :
 les adresses MAC (source et ou destination)
 les adresses IP (source et ou destination)
 le port applicatif (destination)

Chaque flux réseau entre deux ordinateurs passera toujours par un seul port pour
éviter les problèmes de réordonancement à l'arrivée. Par exemple une connexion
iSCSI entre un serveur et une baie de disques via un groupe LACP utilisera toujours
un seul port du début à la fin. En effet les adresses MAC, IP (source et destination) et
les numéros de ports pour une même connexion iSCSI sont des constantes. Le débit
nominal n'est donc pas toujours égal à la somme des débits de chaque port.

Dans des cas extrêmes il pourra être judicieux de changer un des paramètres (MAC,
IP ou port) pour maximiser le débit.

4.5.3. Configuration des ports

Les modes possibles pour un port sont :

 active : active le LACP inconditionnellement (la machine connectée doit supporter
le LACP)
 passive : active le LACP seulement si détecté (généralement le mode par défaut)

N.B.
Tous les ports d'un groupe doivent obligatoirement être paramétrés à la même vitesse,
même duplex (full/half), même VLAN, même mode (access/trunk).

4.5.4. EtherChannel et 802.3ad

Les protocoles EtherChannel et IEEE 802.3ad sont très semblables et accomplissent

le même but. Il y a néanmoins quelques différences entre les deux :
 EtherChannel est un protocole propriétaire de Cisco, alors que 802.3ad est un
standard ouvert
 EtherChannel nécessite de configurer précisément le commutateur, alors que
802.3ad n'a besoin que d'une configuration initiale
 EtherChannel prend en charge plusieurs modes de distribution de la charge sur les
différents liens, alors que 802.3ad n'a qu'un mode standard
 EtherChannel peut être configuré automatiquement à la fois par LACP et par PAgP,
tandis que 802.3ad ne peut l'être que par LACP

4.6. LA NORME IEEE 802.1Q

Le standard 802.1Q est un standard IEEE créé en 1999. Il permet de modifier la trame
Ethernet au niveau de la couche MAC afin de fournir un mécanisme d'encapsulation
très répandu et implanté dans de nombreux équipements de marques différentes.
Il permet de propager plusieurs VLAN sur un même lien physique (trunk).

Le Shortest Path Bridging (IEEE 802.1aq) est incorporé dans l'IEEE 802.1Q-2014.

Ce standard succède à l'encapsulation ISL propriétaire Cisco. L'en-tête de trame est

complété par une balise de 6 octets.

73
 Le standard IEEE 802.1Q définit le contenu de la balise de VLAN (VLAN tag) avec
laquelle on complète l'en-tête de trame Ethernet. Le format de la trame Ethernet
modifiée avec les 4 octets supplémentaires est présenté ci-dessous.

 Activation sur Cisco

Dans les switch Cisco d'ancienne génération, voici la commande qu'il vous faudra
envoyer à votre matériel, vous permettant d'utiliser 802.1Q (dot1q) à la place de ISL
en configuration "terminal" de l'interface à paramétrer :

« switchport trunk encapsulation dot1q »

Remarque :
Aujourd'hui ce protocole est activé par défaut, et l'ISL n'est plus disponible dans la
plupart des cas.

N.B.
Historiquement, Cisco avait créé son propre protocole de Trunk entre ses switch,
nommé ISL pour Inter-Switch Link.

Ainsi, Inter-Switch Link (ISL) est un protocole propriétaire de Cisco qui permet de
transférer des trames Ethernet avec leur numéro de VLAN entre deux commutateurs
Ethernet ou entre un commutateur et un routeur.

- Ce protocole ISL a précédé le standard IEEE 802.1Q (dot1q). Cisco favorise

désormais le protocole standard dans ses produits.
- ISL peut fonctionner sur des liens FastEthernet ou GigabitEthernet.
- Une liaison entre commutateurs sur laquelle ISL ou dot1q est actif est appelée un
trunk.

Une version d'ISL nommée Dynamic Inter-Switch Link Protocol (DISL) simplifie la
création des trunks ISL entre commutateurs Fast Ethernet. Fast Etherchannel permet
d'agréger plusieurs liens pour l'augmentation de la redondance et de la capacité entre
deux commutateurs.

La version propriétaire de Spanning tree protocol appelée PVST fonctionne avec

ISL. Elle permet de faire fonctionner une instance de Spanning-Tree par VLAN.

Matériel Aware : un matériel est dit Aware s'il supporte l'encapsulation 802.1Q.

4.7. CONCLUSION

Partant du fait qu’un lien ou le port d’un équipement réseau peut se déteriorer, on a
pensé à multiplier les liens physiques entre les périphériques au sein d’un réseau
informatique en vue de pallier l’éventuelle déficience de l’un d’eux. Ainsi, on peut
former un seul lien logique à partir de l’agrégation des liens physiques.
Par conséquent, le réseau peut continuer à fonctionner même lorsqu’un port ou un lien
donné est défaillant.

Ces liens redondants permettent également d’augmenter la fiabilité du réseau, de

partager la charge du trafic, d’accroître la bande passante et la capacité du canal de
transmission. 4

4
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

74
CHAPITRE V. LA TECHNOLOGIE VLAN OU RÉSEAUX VIRTUELS

5.1. INTRODUCTION

Les performances réseau peuvent jouer un rôle dans la productivité d’une organisation
et sa réputation à tenir ses promesses.

Ainsi, l’une des technologies qui permet de parvenir à d’excellentes performances

réseau consiste à diviser de vastes domaines de diffusion en domaines plus petits à
l’aide de réseaux locaux virtuels (Virtual Local Area Network ou VLAN).

Avec des domaines de diffusion plus petits, le nombre de périphériques participant aux
diffusions est limité et les périphériques peuvent être divisés en groupes fonctionnels,
regroupant par exemple les services de bases de données pour un service de
comptabilité et les transferts de données à haute vitesse pour un service technique.

Un VLAN ou Virtual LAN est un réseau local regroupant un ensemble de machines de

façon logique et non physique. En effet, dans un réseau local la communication entre
les différentes machines est régie par l'architecture physique. Grâce aux réseaux
virtuels (VLAN) il est possible de s'affranchir des limitations de l'architecture physique
(contraintes géographiques, contraintes d'adressage, ...) en définissant une
segmentation logique (logicielle) basée sur un regroupement de machines grâce à des
critères (adresses MAC, numéros de port, protocole, etc.).

5.2. PROBLÈME DE DIFFUSION DANS LE LAN

Le LAN est souvent un domaine de diffusion, c’est-à-dire que tous les postes reçoivent
toutes les trames qui traversent le LAN et doivent leur accorder un traitement minimal
ne serait-ce que pour déterminer l’adresse de destination. Cette situation entraîne
souvent la saturation du LAN et des postes concernés.

Les ponts (bridge) et les commutateurs (Switch) permettent de segmenter un LAN et

de réduire le trafic afin d’alléger l’utilisation des ressources des PC.
- Le pont apprend la configuration des adresses MAC grâce à un logiciel embarqué.
- Le Switch utilise un programme brûlé dans un circuit intégré pour apprendre.

Dans les deux cas les trames ne sont envoyées qu’à la machine concernée car il y a
une table de correspondance entre les adresses MAC et les différents ports du Switch
ou du bridge.

Les fonctions principales d’un Switch sont :

- Apprendre les adresses MAC et construire la table de correspondance ;
- Prendre la décision de faire transiter les trames ;
- Éviter les boucles lorsque, par mesure de sécurité, plusieurs Switch sont disposés
entre les PC pour offrir la redondance.

5.3. BUT ET OBJECTIF

Dans tous les cas, les Switch et les ponts ne bloquent pas les diffusions sur le LAN car
il s’agit toujours d’un domaine de diffusion. Cependant, cette situation change avec la
notion de VLAN car ce dernier segmente le LAN et améliore la sécurité du système.
Le VLAN est une technique utilisée pour créer des LAN virtuels complètement
séparés et se basant sur un LAN physique. En se faisant, on parvient à créer plusieurs
domaines de diffusion, c’est-à-dire que le broadcast ne circule qu’à l’intérieur du VLAN
dans lequel il a été généré. C’est ainsi qu’un LAN est segmenté en plusieurs VLAN.

75
 Figure 5.1. Correspondance adresses MAC et hôtes.

Cette technologie VLAN permet de définir des segments Ethernet logiques,

indépendamment de la localisation géographique des postes de travail. Une trame
émise au sein d’un VLAN ne sera diffusée qu’aux stations participant au dit VLAN.

5.4. L’INTÉRÊT DU VLAN

Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce

titre offre les avantages suivants :
 Plus de souplesse pour l'administration et les modifications du réseau car toute
l'architecture peut être modifiée par simple paramétrage des commutateurs
 Gain en sécurité car les informations sont encapsulées dans un niveau
supplémentaire et éventuellement analysées
 Réduction de la diffusion du trafic sur le réseau

5.5. TYPOLOGIE DE VLAN

La constitution d’un VLAN dépend de l’implémentation qui en est faite au sein des
commutateurs. Plusieurs types de VLAN sont définis, selon le critère de commutation
et le niveau auquel il s'effectue. Il est ainsi possible de créer des VLAN :

1) En utilisant la méthode statique qui consiste à la configuration par port basée sur
les ports du Switch, tel que toute trame entrant par un port est affectée d’office à un
VLAN, c’est-à-dire que chaque port est configuré pour appartenir à un VLAN donné.
C’est un VLAN de niveau 1 (aussi appelé VLAN par port, en anglais Port-Based
VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le
commutateur (switch). Un tag de 4 octet est ajouté à la trame ethernet. Ce tag
comprend entre autre l'identifiant de VLAN. Ainsi, la trame sera transmise
uniquement aux ports appartenant au vlan identifié dans la trame.

2) En utilisant la méthode dynamique qui consiste à la configuration :

 d’un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou
en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en
fonction des adresses MAC des stations.

76
 Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est
indépendant de la localisation de la station ;

 d’un VLAN de niveau 3 où lon distingue plusieurs types de VLAN de niveau 3 :

 le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe

des sous-réseaux selon l'adresse IP source des datagrammes.
C’est le VLAN par adresse IP source où toute trame véhiculant un paquet IP avec
une telle adresse est affectée à un VLAN.
Ce type de solution apporte une grande souplesse dans la mesure où la
configuration des commutateurs se modifie automatiquement en cas de
déplacement d'une station. En contrepartie une légère dégradation de performances
peut se faire sentir dans la mesure où les informations contenues dans les paquets
doivent être analysées plus finement.

 le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un

réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.),
regroupant ainsi toutes les machines utilisant le même protocole au sein d'un même
réseau. Par exemple, toute trame véhiculant de l’IP, est affectée à un VLAN.

5.6. TYPES DE CONFIGURATION DES PORTS DES SWITCH CISCO

Le port est configuré en mode access ou en mode trunk :

a) Le mode access est utilisé pour la connexion terminale d'un périphérique (PC,
imprimante, serveur, ...) appartenant à un seul vlan ;

b) Le mode trunk est utilisé dans le cas où plusieurs VLANs doivent circuler sur un
même lien. C'est par exemple le cas de la liaison entre deux switch ou bien le cas
d'un serveur ayant une interface appartenant à plusieurs VLAN.

Figure 5.2. Interconnexion des Switch formant des VLAN au sein d’un LAN.

Un processus Spanning Tree est créé par VLAN. Par conséquent, les trames de
broadcast et de multicast MAC émises au sein d’un VLAN ne seront pas propagées
aux autres VLAN. En outre, les stations d’un VLAN ne pourront pas communiquer avec
celles appartenant à un autre VLAN. Pour permettre cette fonction, il faut
interconnecter les VLANs à l’aide d’un routeur ou d’un commutateur de niveau 3.

77
5.7. DÉNOMINATIONS
 Le VLAN par défaut : le VLAN par défaut est le VLAN auquel sont, par défaut,
associées les trames et les ports s'il ni a pas de configuration spécifique sur le
matériel, lorsque la mise en oeuvre des VLAN est réalisée. Généralement le VLAN
par défaut est le VLAN 1. Lors de la mise en oeuvre des VLAN sur un matériel au
moins un VLAN doit être définit, d'où la nécessité du VLAN par défaut.

 VLAN utilisateur : Ce sont les VLANs que l'on déclare, pour une utilisation
courante.

 VLAN de management : le VLAN de management utilisé par les matériels réseaux

pour échanger leurs trames de contrôle et de management (OSPF, RIP, Spanning-
Tree, VTP, etc). C'est aussi le VLAN par lequel les administrateurs peuvent se
connecter sur les équipements afin de les administrer. Généralement le VLAN de
management par défaut est le VLAN 1 donc le " VLAN par défaut ". Il est fortement
conseillé de le modifier car les Hackers voulant accéder ou porter atteinte aux
matériels réseaux tenteront dans un premier temps des attaques sur ce VLAN 1.

 VLAN natif : la notion de VLAN natif entre en compte dans le cas d'association de
VLAN par port.

5.8. CRÉATION DE VLAN

L'objectif d'une configuration de vlan est de permettre la configuration de réseaux

différents sur un même switch.

Les avantages principaux de la segmentation par vlan sont la réduction des domaines
de broadcast et l'accroissement de la sécurité (si des filtres sont mis en place pour la
communication entre les réseaux).

Les Switch Cisco permettent de créer des VLAN en utilisant par exemple les séries
suivantes :
- le Switch Catalyst série 1900,
- le Switch Catalyst série 2900, …

N.B.

 Les VLAN peuvent être crées sur un seul commutateur, mais ils peuvent également
être réalisés sur plusieurs commutateurs.

 Dans le cas des VLAN sur plusieurs commutateurs, il existe deux techniques
permettant la mise en place de VLAN sur des commutateurs :
- la première consiste à créer des liaisons spéciales entre commutateurs (trunk),
- la seconde permet de diffuser la configuration des VLAN sur un domaine de
commutateurs (VTP, Virtual Trunk Protocol).

 Le VLAN 1 (LAN virtuel 1) est utilisé pour l’administration du Switch. Il est possible de
lui attribuer une adresse IP dans le but de configurer à distance le commutateur (par
telnet ou par http).

 Lorsque plusieurs Switch sont utilisés pour créer des VLANs, les liens entre ces
différents Switch sont nommés TRUNK et doivent être configurés.

78
 Figure 5.3. Réseau LAN subdivisé en 6 VLAN.

5.8.1. Configuration d’un switch

L'objectif poursuivi ici est d'aborder la configuration de commutateur Ethernet de façon

pratique. Les commutateurs Cisco ont de nombreuses fonctionnalités et il y a
quelques fois différentes façons d'obtenir un résultat. De plus les configurations des
équipements doivent être adaptées aux environnements.

Pour la configuration des interfaces des switch, il faut tout d'abord préciser la notion
sur les noms des interfaces :
 Les interfaces 100Mbits/s sont nommées fastethernet,
 Les interfaces 1Gbit/s sont nommées gigabitEthernet,
 Les interfaces 10Gigabit/s sont nommées TenGigabitEthernet.
 Les numéros des ports ont la syntaxe suivante: 0/1 ou 1/0/1 ; c’est-à-dire :
numéro du module/numéro du port
ou bien, numéro du switch dans le stack/numéro du module/numéro du port.

5.8.2. Les commutateurs Catalyst CISCO

Les commutateurs Catalyst CISCO sont tous dotés d'un port console (port série
compatible avec celui de votre PC) prévu pour un accès administratif local à partir d’un
terminal ASCII ou d’un ordinateur avec émulation de terminal (Hyperterminal pour
Windows ou Minicom pour Linux). Ce port console est situé au dos du routeur.

Figure 5.4. Branchement du câble console au Switch.

79
 IOS (Internetwork Operating System) est le nom du système d’exploitation exécuté
sur les commutateurs CISCO.
 CLI (Command Line Interface), est le sigle utilisé par Cisco pour désigner l’interface
en ligne de commande du terminal pour le système IOS.

Chaque commutateur possède différents types de mémoire : la DRAM, la NVRAM, la

mémoire Flash, et la ROM.
• Mémoire ROM (non volatile) : contient le logiciel minimum utilisable en cas de
problème (bootstrap)
• Mémoire DRAM (volatile) : mémoire de travail
– contient l'IOS en cours d'exécution
– contient la configuration en cours d'exécution/modification (running-config)
– contient les logs, statistiques, buffers réseaux, les processus, etc.
• Mémoire Flash (non volatile) : contient les images IOS compressées.
• Mémoire NVRAM (non volatile) : contient la configuration de démarrage (startup-
config)

5.8.2.1. Comment se connecter au switch

La première connexion s'effectue via le port console du switch. On utilisera pour cela
un câble série fourni en général avec le switch. On aura également besoin d'un
terminal de connexion.
Exemples de logiciel client pour port série:
 Pour Windows: hyperterminal, tera term pro
 Pour Linux: minicom
La prise RJ45 du câble console est connectée sur le switch et la fiche DB9 est
branchée sur l’ordinateur.

5.8.2.2. Configuration du terminal

La configuration du terminal est la suivante:

Figure 5.5. Options de configuration du switch.

5.8.2.3. Présentation du mode console d'un switch Cisco

1) Mode avec et sans privilège

Une fois connecté, nous sommes placés dans un mode sans privilège (mode
utilisateur). Il est possible dans ce mode d'effectuer uniquement quelques
commandes de diagnostique ou d'information. Après avoir effectué les branchements,
on doit voir apparaître l'invite de commande du mode sans privilège du commutateur :
switch>

80
Pour pouvoir modifier la configuration, il faut passer en mode privilégié (mode
administrateur) en entrant la commande "enable". Présentation du passage du mode
non privilégié au mode privilégié:
Switch>enable
Switch#

2) Commencer la configuration du switch

À partir de la fenêtre du terminal de connexion, appuyer sur la touche « Enter » :

Enter
switch> …………> Mode User
switch > enable
switch # …………> Mode Privilégié
switch # disable
switch > …………> Mode User

3) Autres modes

 En fonction des commandes entrées, le switch va présenter des invites de

commande différentes. Voici quelques exemples d'invite de commande en fonction
du contexte.
 Mode configuration :
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
 Mode configuration d'une interface :
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#

4) Navigation entre les modes

 La commande exit permet d'accéder au contexte précédent :

Switch(config)#int fastEthernet 0/1
Switch(config-if)#exit
Switch(config)#exit
Switch#
 La commande end ou bien la combinaison de touche ctrl +Z permet d'accéder à la
racine du mode privilège :
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#end
Switch#
 La commande logout permet la déconnexion :
Switch#logout

5.8.2.4. Configuration initiale du commutateur

1) Configurer le nom du commutateur pour qu’il porte la valeur « SW1»

Taper :
switch>enable
switch#configure terminal
switch (config)#hostname SW1
SW1 (config)#

81
2) Nommer le switch, configurer le mot de passe terminal, assigner une adresse
IP et une adresse de passerelle par défaut
switch > enable
switch # configure terminal
switch (config)# hostname 1900sw1
1900sw1(config)# enable passeword level 15 cisco
1900sw1(config)# ip adresse 195.10.1.99 255.255.255.0
1900sw1(config)# ip default-gateway 195.10.1.1
1900sw1(config)#exit
1900sw1#

3) Vérifier si l’adresse IP, le masque de sous réseau et l’adresse de la passerelle

par défaut sont corrects
1900sw1(config)#exit
1900sw1# show ip

4) Configuration du nom du switch, du domaine DNS, puis enregistrement de la

configuration.
Dans l'exemple, le nom du switch est « Okapi » et le domaine est « beverly » :
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#hostname Okapi
Okapi(config)#ip domain-name beverly
Okapi(config)#end
Okapi#wr (pour enregistrer la configuration effectuée)
Building configuration...
[OK]
Okapi#

5) Pour supprimer le nom du commutateur et le nom de domaine

Il faut saisir les commandes suivantes :
Okapi(config)#no hostname
Switch(config)#no ip domain-name
Switch(config)#

6) Attribution du mot de passe « Tony » au mode privilégié

SW1 (config)#line con 0
SW1 (config-line)#password Tony
SW1 (config-line)#login
SW1 (config-line)#exit
SW1 (config)#disable
SW1>

7) Pour vérifier que le mot de passé est bien pris en compte

SW1>enable
Enter Password : Tony
SW1#

8) Afficher la configuration courante

switch # show running-config

9) Effacer la configuration courante

switch # delete nvram

82
10) Aide pour la console
Le point d'interrogation « ? » affiche les différentes commandes disponibles en fonction
du contexte dans lequel nous nous trouvons.
Par exemple :
Switch#?
Exec commands:
access-enable Create a temporary Access-List entry
access-template Create a temporary Access-List entry
archive manage archive files
beep Blocks Extensible Exchange Protocol commands
cd Change current directory
clear Reset functions
clock Manage the system clock
cns CNS agents
--More--

Le « ? » affiche les choix possibles lors de la frappe d'une commande.

Par exemple:
Switch#show ?
aaa Show AAA values
access-lists List access lists
accounting Accounting data for active sessions
aliases Display alias commands

Enfin, « ? » nous indique les choix possibles lors de la frappe des caractères d'une
commande.
Exemple:
Switch#sh?
shell show
Switch#sh

11) Commande abrégée

Il est souvent possible d'utiliser les commandes abrégées.
Par exemple les commandes suivantes envoient le même résultat :
 Pour la sauvegarde de la configuration effecuée
Switch#wr
Building configuration...
[OK]
-------
Switch#write
Building configuration...
[OK]

 Pour afficher la configuration courante

Switch#sh ru
Building configuration...

Current configuration : 783 bytes

!
-------
Switch#show running-config
Building configuration...

Current configuration : 783 bytes

83
12) Configuration et affichage de l'heure
switch#clock set 15:19:00 4 april 2011
switch#
switch#show clock
15:19:05.609 CEST Mon Apr 4 2011
switch#

13) Désactiver et activer une interface

Dans l'exemple, on désactive puis on réactive l'interface fa0/1.
Switch(config)#int fa0/1
Switch(config-if)#shut
Switch(config-if)#end
Switch#
*Mar 2 02:38:13.253: %SYS-5-CONFIG_I: Configured from console by console
*Mar 2 02:38:13.849: %LINK-5-CHANGED: Interface FastEthernet0/1, changed
state to administratively down
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/1
Switch(config-if)#no shut
Switch(config-if)#end
*Mar 2 02:38:29.989: %SYS-5-CONFIG_I: Configured from console by console
*Mar 2 02:38:30.920: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed
state to down

14) Suppression de la configuration d'un port

La commande suivante réinitialise le port avec la configuration par défaut. On vérifie en

affichant la configuration du port (gi1/0/1 dans l'exemple).

On aura:
switch(config)#default interface GigabitEthernet 1/0/1
Interface GigabitEthernet1/0/48 set to default configuration
switch(config)#end
switch#sh run int gig1/0/1
Building configuration...
Current configuration : 39 bytes
!
interface GigabitEthernet1/0/1
end
switch#

5.8.3. Configuration des Switch pour créer des VLAN

5.8.3.1. Mise en place de VLAN

Après avoir réalisé les branchements nécessaires, configurer les ordinateurs clients
sur le même réseau IP en leur octroyant des adresses IP et vérifier la connectivité
entre ces postes clients du LAN à l’aide de la commande ping.

VLAN natif : le vlan appelé "natif" est le vlan par défaut du switch (le VLAN 1). Sans
configuration, tous les ports du switch sont placés dans ce VLAN. Ce vlan n'est pas
marqué même si il passe sur une liaison trunk.

84
Vérifier ensuite la configuration du commutateur à l’aide de la commande suivante :
Switch#show vlan brief

VLAN Name Status Ports

1default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,

Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11,
Fa0/12
….

Après analyse, les ports du commutateur appartiennent tous au VLAN 1 nommé

default.

1) Ajout de VLAN : création du VLAN 2 puis des vlans 3 à 5 :

Switch(config)#vlan 2
Switch(config-vlan)#name administration
Switch(config-vlan)#ex
Switch(config)#vlan 3,4,5
Switch(config-vlan)#ex
Switch(config)#

2) Suppression d'un VLAN

Switch(config)#no vlan 2

3) Affectation d'un port à un vlan

Dans l'exemple ci-dessous le port est configuré en mode access puis il est placé dans
le vlan 3. Pour un switch série 2950, 2960 et 3750, on a :
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#

L'exemple suivant présente la configuration des ports 5 à 8 en mode access, puis

configurés avec le vlan 4
Switch(config)#interface range fastEthernet 0/5-8
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#end
Switch#

4) Affichage des VLANs ainsi que des affectations de port

Switch#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- ---------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Gi0/1
2 administration active
3 VLAN0003 active
4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
5 VLAN0005 active
10 VLAN0010 active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup

85
5.8.3.2. Exemple de création d’un VLAN

À titre d’exemple, nous considérons le cas du réseau LAN 192.16810.0/24 qui est
constitué d’un Switch et de 12 ordinateurs. On demande de configurez deux VLAN
(VLAN 10 pour l’Administration et le VLAN 20 pour la Technique) sur le même
commutateur. Attribuer la moitié des ports au VLAN 10 et l’autre moitié au VLAN 20,
c’est-à-dire 6 ordinateurs pour chacun des deux VLAN.

Figure 5.6. Réseau avec deux VLANs de 6 PC chacun.

ère
1 Procédure
Les commandes à taper sont les suivantes :
SW1>enable
SW1#vlan database
SW1 (vlan)#vlan 10 name Administration
SW1 (vlan)#vlan 20 name Technique
SW1 (vlan)#exit
SW1 #configure terminal
SW1 (config)#interface fastethernet 0/1 → “c’est l’équivalent de fa0/1”
SW1 (config-if)#switchport access vlan 10
SW1 (config-if)# interface fastethernet 0/2 → “c’est l’équivalent de fa0/2”
SW1 (config-if)#switchport access vlan 10
SW1 (config-if)# interface fastethernet 0/3 → “c’est l’équivalent de fa0/3”
SW1 (config-if)#switchport access vlan 10
…/…
SW1 (config-if)#interface fastethernet 0/7
SW1 (config-if)#switchport access vlan 20
SW1 (config-if)#interface fastethernet 0/8
SW1 (config-if)#switchport access vlan 20
SW1 (config-if)#interface fastethernet 0/9
SW1 (config-if)#switchport access vlan 20
…
Continuer pour tous les ports du commutateur en attribuant la moitié des ports (1 à 6)
au VLAN 10 et une autre moitié (7 à 12) au VLAN 20.

Pour vérifier l’attribution des VLAN, vous pouvez saisir les commandes suivantes,
 avec détails : Switch#show vlan
 en résumé : Switch#show vlan brief
Utiliser la commande PING pour vérifier la connectivité entre les ordinateurs
appartenant à un même VLAN. Il n’y aura pas de connectivité entre les ordinateurs
appartenant à des VLAN différents.

86
2ème Procédure
SW1>enable
SW1#configure terminal
SW1 (config)#vlan 10
SW1 (config-vlan)#name Administration
SW1 (config-vlan)#exit
SW1 (config)#vlan 20
SW1 (config-vlan)#name Technique
SW1 (config-vlan)#exit

Affectation des ports aux vlan :

SW1 (config)#interface fa0/1
SW1 (config-if)# switchport mode access
SW1 (config-if)#switchport access vlan 10
SW1 (config-if)#exit
SW1 (config)#interface fa0/2
SW1 (config-if)#switchport access vlan 10
SW1 (config-if)#exit
SW1 (config)#interface fa0/3
SW1 (config-if)#switchport access vlan 10
SW1 (config-if)#exit
SW1 (config)#
…/…
SW1 (config)#interface fa0/7
SW1 (config-if)# switchport mode access
SW1 (config-if)#switchport access vlan 20
SW1 (config-if)#exit
SW1 (config)#interface fa0/8
SW1 (config-if)#switchport access vlan 20
SW1 (config-if)#exit
SW1 (config)#interface fa0/9
SW1 (config-if)#switchport access vlan 20
SW1 (config-if)#exit
SW1 (config)#
…/…
Continuez pour tous les ports du commutateur en attribuant la moitié des ports (1 à 6)
au VLAN 10 et une autre moitié (7 à 12) au VLAN 20.

Pour vérifier sur un commutateur quels ports sont affectés à un vlan donné sur le
switch on utilise la commande show vlan id « numéro-vlan ».
Exemple :
Switch# show vlan id 2

5.9. ADRESSE IP D'UN COMMUTATEUR, ADMINISTRATION ET SUPERVISION

DU COMMUTATEUR

Les Cisco Catalyst 3750 sont capables de faire du routage de niveau 3. Si le routage
de niveau 3 est activé, le commutateur perdra ce qui caractérise un commutateur de
niveau 2 (perte d'étanchéité des VLAN).
Par défaut le routage de niveau 3 est désactivé. Mais pour en être sûr, appliquer la
commande :
Switch(config)# no ip routing

Un vlan dédié à l'administration et à la supervision du switch sera créé. L'adresse

IP de supervision du switch sera associée à ce vlan.

87
Affecter une adresse IP à un commutateur permet de se connecter à distance, de
récupérer des syslogs, d'interroger le commutateur en SNMP, de faire des transferts
TFTP et de mettre à jour l'IOS.

Dans une configuration, sans VLAN avec un seul réseau IP, nous affecterons une
adresse IP au VLAN par défaut. Il existe cependant d'autres méthodes dans la partie
concernant la gestion des VLAN. Le VLAN 1 est le VLAN par défaut. Il n'est pas
possible de le supprimer. Par défaut il est affecté à toutes les interfaces.

 Il faut choisir une adresse de votre réseau IP et l'appliquer au VLAN par défaut.
Switch(config)# interface vlan 1
 En mode configuration, entrer dans l'interface VLAN1 qui est le vlan par défaut.
Switch(config-if)# ip address 130.79.X.X 255.255.Y.Y
 Entrer l'adresse IP de management
Switch(config-if)# no shutdown
 Activer le VLAN par défaut. Il est automatiquement affecté à toutes les interfaces.

Si par la suite d'autres VLAN sont créés et que l'adresse de management doit faire
partie de l'un de ces nouveaux VLAN, créez le nouveau VLAN, appliquer l'adresse IP
au nouveau VLAN,
Switch(config)# interface vlan <numero_vlan>
puis appliquez les commandes appliquées pour le VLAN 1.

Le commutateur peut maintenant être managé par le réseau.

Si les stations de gestion ne sont pas dans le même réseau IP, ou si l'on veut joindre le
commutateur depuis n'importe où sur Internet, ajouter une route par défaut comme sur
n'importe quelle machine de votre réseau :
Switch(config)# ip default-gateway 130.79.X.Y

la passerelle est 130.79.X.Y

Ainsi, l'adressage IP du switch va nous servir à superviser celui -ci à distance. Un

VLAN dédié au management du switch est configuré (dans l'exemple: vlan2).
L'adresse IP sera donc associée au vlan 2 et la configuration IP choisie est :
 Adresse IP : 192.168.100.25
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.100.1
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#interface vlan2
Switch(config-if)#ip address 192.168.100.25 255.255.255.0
Switch(config-if)#ex
Switch(config)#ip default-gateway 192.168.100.1

 Vérification de la configuration du vlan d'administration

Switch#sh run int vlan2

Building configuration...
Current configuration : 64 bytes
!
interface Vlan2
ip address 192.168.100.25 255.255.255.0
end
Switch #

88
 Suppression de l'adresse IP et de la passerelle par défaut:

Switch(config)#interface vlan2
Switch(config-if)#no ip address
Switch(config-if)#ex
Switch(config)#no ip default-gateway

 VLAN non affecté à un port et présent sur le switch

Des VLAN peuvent être créés sur un switch et n'être affectés à aucun port. C'est le cas
du VLAN de management (une adresse IP sera configurée sur ce vlan).
Un switch qui sert de liaison aura également les vlans qui doivent le traverser déclaré
dans sa configuration.

5.10. VLAN A PLUSIEURS COMMUTATEURS

5.10.1. Agrégation de VLAN et configuration de trunk entre commutateurs

Par définition, une agrégation est une liaison point à point entre deux périphériques
réseau, dans le cas présent, qui porte plusieurs VLAN. Sur cette liaison passe le trafic
de tous les VLAN et les switch Cisco prennent en charge la norme IEEE 802.1Q pour
coordonner les agrégations sur les interfaces FastEthernet et Gigabit Ethernet.

Configuration type d’un switch :

 La liaison entre les switch est en mode trunk.
 Les autres ports des switch sont en mode access.
 Le vlan dédié aux téléphones sera également configuré sur tous les ports en plus de
leur vlan data respectif.

Il est à noter que :

 un port en mode access appartient à un VLAN et sert à relier un PC au switch,
 un port en mode trunk appartient à plusieurs VLAN car il sert à relier 2 switch.

Figure 5.7. Ports en mode access et en mode trunk.

89
Les trunks permettent la diffusion du trafic de plusieurs réseaux virtuels. Un trunk est
une connexion physique établie sur un câble UTP croisé entre deux commutateurs.
Les trames traversant un trunk sont complétées par un identificateur de réseau local
virtuel (VLAN id) ou identifiées par rapport aux adresses MAC. Grâce à cette
identification, les trames sont conservées dans un même réseau virtuel.

Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce dernier

étant connecté à un port du switch), le port aura deux VLANs (un VLAN dédié au
réseau donnée et un VLAN dédié au réseau voix). Le port sera configuré en général
en mode access, une commande sera ajoutée pour la configuration du vlan voix
(voice vlan).

Figure 5.8. Configuration de ports des switchs en mode trunk et VLAN dédié à la
téléphonie (mode access).

Figure 5.9. Trames traversant un trunk.

Pour configurer le trunk, tapez les commandes suivantes sur le premier commutateur
SW1 en tenant compte de l’encapsulation selon la norme IEEE 802.1Q (qui s’écrit
dot1q 1 tel que « dot1q » se réfère à la norme IEEE 802.1Q tandis que « 1 » fait
référence au VLAN 1) :
SW1>enable
SW1#configure terminal
SW1 (config)# interface fastethernet 0/8
SW1 (config-if)#switchport mode trunk
SW1 (config-if)#switchport trunk encapsulation dot1q 1
SW1 (config-if)#exit
SW1 (config)# exit
SW1#
90
Sur le deuxième commutateur SW2, entrez les mêmes commandes. Pour vérifier que
le trunk fonctionne correctement, assurez-vous que chaque client se trouve sur le
même VLAN, mais sur des commutateurs différents.

Il est à noter qu’il est possible de rencontrer des trunks entre commutateur et routeur ;
cette configuration particulière permet de mettre en place un routage inter-VLAN en
optimisant le nombre de port utilisé.

5.10.2. Exemple

À titre d’exemple, imaginons un petit IUT (institut universitaire de technologie)

comportant un seul bâtiment qui contient les salles d’étude des étudiants et
l’administration de la faculté.
L’IUT s’est agrandi et comporte désormais trois bâtiments :
- Le réseau d’origine est le même, mais les ordinateurs des étudiants et de la faculté
sont dispersés dans les trois bâtiments ;
- Les salles d’étude des étudiants sont toujours au cinquième niveau et l’administration
de la faculté au troisième niveau ;
- Le service informatique souhaite maintenant s’assurer que les ordinateurs des
étudiants partagent tous les mêmes caractéristiques de sécurité et les mêmes
contrôles de bande passante.
Comment le réseau peut-il répondre aux besoins communs des groupes
géographiquement séparés ?

Figure 5.10. Création de VLAN au sein d’un Institut Universitaire de Technologie.

 Un VLAN est un réseau local indépendant.

 Un VLAN permet aux ordinateurs des étudiants et de l’administration de la faculté d’être
séparés bien qu’ils partagent la même infrastructure.
 Un VLAN peut être nommé pout être plus facilement identifié :
- VLAN 10 : Faculté
- VLAN 20 : Etudiants
- VLAN 30 : Invité
- VLAN 99 : VLAN natif pour la Gestion du réseau

91
 Agrégation de VLAN
Une agrégation de VLAN n’appartient pas à un VLAN spécifique, mais constitue plutôt
un conduit pour les VLAN entre les commutateurs et les routeurs.

 Quel problème une agrégation résout-elle ?

Entre les commutateurs Comm1 et Comm2, il y a une liaison distincte pour chaque
sous-réseau. Quatre liaisons distinctes connectent les commutateurs Comm1 et
Comm2, ce qui laisse trois ports de moins aux périphériques utilisateur.

Figure 5.11. Agrégation de quatre liaisons distinctes connectant S1 et S2.

À chaque fois qu’un nouveau sous-réseau est pris en compte, une nouvelle liaison est
requise pour chaque commutateur du réseau.

Figure 5.12. Interconnexion physique des VLAN de lIUT avec agrégation des liens.

92
Les figures 5.11 et 5.12 montrent comment se fait l’agrégation de quatre liaisons
distinctes connectant les commutateurs S1 et S2 ainsi que S1 et S3 .

 VLAN natifs et agrégation 802.1Q

Maintenant que nous avons vu qu’un commutateur étiquette les trames avec le VLAN
approprié, il est temps d’étudier comment le VLAN natif aide le commutateur à gérer
les trames étiquetées et non étiquetées qui arrivent sur un port d’agrégation 802.1Q.

 Trames étiquetées sur le VLAN natif

Certains périphériques prenant en charge l’agrégation étiquettent par défaut le trafic du
VLAN natif. Le trafic de contrôle envoyé sur le VLAN natif ne doit pas être étiqueté. Si
un port d’agrégation 802.1Q reçoit une trame étiquetée sur le VLAN natif, il
l’abandonne. Par conséquent, lorsque vous configurez un port sur un commutateur
Cisco, vous devez identifier ces périphériques et les configurer pour qu’ils n’envoient
pas de trames étiquetées sur le VLAN natif. Les périphériques tiers qui prennent en
charge les trames étiquetées sur le VLAN natif comprennent des téléphones IP, des
serveurs, des routeurs et des commutateurs non-Cisco.

 Trames non étiquetées sur le VLAN natif

Lorsqu’un port d’agrégation d’un commutateur Cisco reçoit des trames non étiquetées,
il les transfère au VLAN natif. Comme vous vous en souvenez peut-être, le VLAN natif
par défaut est le VLAN 1. Lorsque vous configurez un port d’agrégation 802.1Q, la
valeur de l’ID du VLAN natif est affectée à un ID de VLAN de port (PVID) par défaut.
L’ensemble du trafic non étiqueté entrant ou sortant du port 802.1Q est transféré en
fonction de la valeur du PVID. Par exemple, si le VLAN 99 est configuré en tant que
VLAN natif, le PVID est égal à 99 et tout le trafic non étiqueté est transféré vers le
VLAN 99. Si le VLAN natif n’a pas été reconfiguré, la valeur du PVID est définie sur le
VLAN 1.

 Exemple de configuration de VLAN natif dans la figure

Dans cet exemple, le VLAN 99 sera configuré en tant que VLAN natif sur le port F0/1
du commutateur Comm1. Cet exemple montre comment reconfigurer le VLAN natif à
partir du paramètre par défaut (VLAN 1).

En démarrant en mode d’exécution privilégié, la figure indique comment configurer le

VLAN natif sur le port F0/1 du commutateur Comm1 en tant qu’agrégation IEEE
802.1Q avec le VLAN 99 comme VLAN natif.

93
 Vérification du VLAN natif dans la figure
À l’aide de la commande « show interfaces id_interface switchport », vous pouvez
rapidement vérifier que vous avez correctement reconfiguré le VLAN natif pour passer
du VLAN 1 au VLAN 99. Les éléments en surbrillance dans la capture d’écran
confirment que la configuration est appropriée.

 Une agrégation en action

Sachant qu’un commutateur gère le trafic non étiqueté sur une liaison agrégée, les
trames traversant une agrégation sont étiquetées avec l’ID de VLAN du port d’accès
sur lequel la trame est arrivée. Dans la figure 5.13, l’ordinateur PC1 sur le VLAN 10 et
l’ordinateur PC3 sur le VLAN 30 envoient des trames de diffusion au commutateur
Comm2. Celui-ci étiquette les trames avec l’ID de VLAN approprié, puis les transfère
par le biais de l’agrégation au commutateur Comm1. Le commutateur Comm1 lit l’ID de
VLAN sur les trames et transmet celles-ci à chaque port configuré pour prendre en
charge le VLAN 10 et le VLAN 30. Le commutateur Comm3 reçoit les trames,
supprime les ID de VLAN, puis transfère les trames en tant que trames non étiquetées
à l’ordinateur PC4 sur le VLAN 10 et à l’ordinateur PC6 sur le VLAN 30.

Figure 5.13. PC1 du VLAN 10 et PC3 du VLAN 30 envoient des trames de diffusion
au commutateur S2.

94
5.11. AVANTAGES DU VLAN

La technologie VLAN procure les avantages suivants :

 Sécurité : les groupes contenant des données sensibles sont séparés du reste du
réseau, ce qui diminue les risques de violation de confidentialité. Les ordinateurs de
la faculté se trouvent sur le VLAN 10 et sont complètement séparés du trafic des
données des étudiants et des invités.
 Réduction des coûts : des économies sont réalisées grâce à une diminution des
mises à niveau onéreuses du réseau et à l’utilisation plus efficace de la bande
passante et des liaisons ascendantes existantes.
 Meilleures performances : le fait de diviser des réseaux linéaires de couche 2 en
plusieurs groupes de travail logiques (domaines de diffusion) réduit la quantité de
trafic inutile sur le réseau et augmente les performances.
 Atténuation des tempêtes de diffusion : le fait de diviser un réseau en plusieurs
réseaux VLAN réduit le nombre de périphériques susceptibles de participer à une
tempête de diffusion. Comme l’explique le chapitre « Concepts et configuration de
base de la commutation », la segmentation d’un réseau LAN empêche une tempête
de diffusion de se propager dans tout le réseau. Dans la figure, vous pouvez voir que
bien que ce réseau comporte six ordinateurs, il n’y a que trois domaines de diffusion :
Faculté, Étudiant et Invité.
 Efficacité accrue du personnel informatique : les VLAN facilitent la gestion du
réseau, car les utilisateurs ayant des besoins réseau similaires partagent le même
VLAN. Lorsque vous configurez un nouveau commutateur, toutes les stratégies et
procédures déjà configurées pour le VLAN correspondant sont implémentées lorsque
les ports sont affectés. Le personnel informatique peut aussi identifier facilement la
fonction d’un VLAN en lui donnant un nom approprié. Dans la figure, pour être
facilement identifiables, le VLAN 20 a été nommé « Étudiant », le VLAN 10
« Faculté » et le VLAN 30 « Invité ».
 Gestion simplifiée de projets ou d’applications : les VLAN rassemblent des
utilisateurs et des périphériques réseau pour prendre en charge des impératifs
commerciaux ou géographiques. La séparation des fonctions facilite la gestion d’un
projet ou l’utilisation d’une application spécialisée, comme une plateforme de
développement d’e-learning pour l’administration de la faculté. Il est également plus
facile de déterminer la portée des effets de la mise à niveau des services réseau.

5.12. PROTOCOLE VTP

À mesure que le nombre de commutateurs augmente sur un réseau, l’administration

globale requise pour gérer des réseaux locaux virtuels (VLAN) et des agrégations en
réseau relève du défi. On utilise le protocole VTP (VLAN Trunking Protocol) de
commutateurs Cisco Catalyst pour simplifier la gestion de la base de données VLAN
sur plusieurs commutateurs. VTP est un protocole de couche 2, protocole
propriétaire CISCO, qui permet de diffuser la configuration de VLAN entre plusieurs
commutateurs par exemple en ajoutant, en supprimant ou en renommant des VLAN.

Le protocole VTP minimise les erreurs de configuration qui pourraient générer de

nombreux problèmes.
Le protocole VTP permet à un administrateur réseau de configurer un commutateur
pour qu’il propage des configurations VLAN à d’autres commutateurs du réseau en
réalisant une administration centralisée de ceux-ci. Le protocole VTP fonctionne avec
une architecture client-serveur. Le commutateur peut être configuré dans le rôle d’un
serveur VTP ou d’un client VTP. Le protocole VTP détecte uniquement les réseaux
locaux virtuels de plage normale (ID de VLAN de 1 à 1 005). Les réseaux locaux
virtuels de plage étendue (ID supérieur à 1 005) ne sont donc pas pris en charge par
le protocole VTP.
95
5.12.1. Mode de fonctionnement

Le serveur tient à jour une table de VLAN déclarés. Cette table est diffusée à
l'ensemble des clients étant sur le même domaine VTP. De ce fait chaque modification
de la table est répercutée à l'ensemble des clients. Ainsi tous les VLAN définis sur le
serveur pourront transiter par l'ensemble des ports trunk des switch clients (sauf
configuration contraire sur les interfaces).

Le serveur VTP distribue et synchronise des informations VLAN aux commutateurs

compatibles VTP sur le réseau commuté, ce qui minimise les problèmes provoqués par
des configurations incorrectes ou incohérentes. Le protocole VTP mémorise les
configurations VLAN dans la base de données VLAN appelée vlan.dat.

Les matériels peuvent être en mode :

 Server : Il est associé à un domaine VTP. La déclaration des VLANs s'effectue sur
le serveur. Il tient à jour la liste des VLANs déclarés et la diffuse à l'ensemble
des clients.
 Client : Il est associé à un domaine VTP. Il reçoit la liste des VLANs, il la propage
aux autres clients auxquels il est connecté et met à jour sa propre liste.
 Transparent : Il est associé à aucun domaine VTP. Sa liste de VLAN est locale et
n'est pas mis à jour lorsqu'il reçoit une trame VTP. Cependant il propage les
listes de VLAN qu'il reçoit.

5.12.2. Paramètres

 VTP password
Il est possible d'indiquer un mot de passe sur le serveur pour le domain VTP.
Dans ce cas les clients ne peuvent se mettre à jour que s'ils ont le même mot de
passe. Ceci permet de déjouer les attaques consistant pour un pirate à se faire passer
pour le VTP serveur.
 VTP prunning
Il permet d'optimiser le protocole VTP en ne déclarant les VLAN que sur les ports
trunk ou cela est nécessaire et utile. C'est-à-dire que les VLAN ne seront configurés
sur un lien trunk, que si ce lien est sur le chemin permettant d'interconnecter des
switch ayant des ports access dans le VLAN, ou un matériel aware nécessitant de
communiquer sur ce VLAN (un matériel est dit Aware s'il supporte
l'encapsulation 802.1Q).

Figure 5.14. Envoi des annonces VTP du serveur VTP vers les clients VTP.

96
Sur la figure précédente, une liaison agrégée est ajoutée entre le commutateur
Comm1, un serveur VTP, et Comm2, un client VTP. Une fois une agrégation établie
entre les deux commutateurs, des annonces VTP sont échangées. Le serveur et le
client comparent leurs annonces respectives pour s’assurer que chacun dispose d’un
enregistrement exact des informations VLAN.

5.12.3. Avantages du protocole VTP

Le protocole VTP assure la cohérence de la configuration VLAN en gérant l’ajout, la

suppression et le changement de nom des réseaux locaux virtuels sur plusieurs
commutateurs Cisco d’un réseau. Le protocole VTP offre un certain nombre
d’avantages pour les administrateurs réseau :

 Configuration VLAN homogène sur le réseau

 Surveillance et suivi précis des VLAN
 Signalement dynamique des VLAN ajoutés à l’ensemble du réseau
 Configuration dynamique d’agrégations lors de l’ajout de VLAN au réseau.

5.12.4. Composants VTP

Pour comprendre le protocole VTP, vous devez connaître un certain nombre de

composants clés. Voici une brève description de ces composants, décrits plus en détail
tout au long de ce chapitre.

 Domaine VTP : composé d’un ou de plusieurs commutateurs interconnectés. Tous

les commutateurs d’un domaine partagent les détails de configuration VLAN à l’aide
d’annonces VTP. Un routeur ou commutateur de couche 3 définit la limite de chaque
domaine.
 Annonces VTP : le protocole VTP utilise une hiérarchie d’annonces pour distribuer et
synchroniser les configurations VLAN sur le réseau.
 Modes VTP : un commutateur peut être configuré dans l’un des trois modes
suivants : serveur, client ou transparent.
 Serveur VTP : les serveurs VTP annoncent les paramètres VLAN de domaine VTP
aux autres commutateurs compatibles dans le même domaine VTP. Les serveurs
VTP stockent les informations VLAN pour l’ensemble du domaine dans la mémoire
vive non volatile. Le serveur est l’emplacement sur lequel vous pouvez créer,
supprimer ou renommer des réseaux locaux virtuels pour le domaine.
 Client VTP : les clients VTP fonctionnent de la même manière que les serveurs VTP,
sauf que vous ne pouvez pas créer, modifier, ni supprimer des réseaux locaux
virtuels sur un client VTP. Un client VTP stocke uniquement les informations VLAN
pour l’ensemble du domaine pendant que le commutateur est sous tension. Une
réinitialisation du commutateur entraîne la suppression des informations VLAN. Vous
devez configurer le mode client VTP sur un commutateur.
 Transparent VTP : les commutateurs transparents transmettent les annonces VTP
aux clients et serveurs VTP. Les commutateurs transparents ne participent pas au
protocole VTP. Les réseaux locaux virtuels créés, renommés ou supprimés sur un
commutateur transparent sont uniquement associés à ce commutateur.
 Élagage VTP : l’élagage VTP augmente la bande passante disponible sur le réseau
en limitant les transmissions diffusées sur les liaisons agrégées que le trafic doit
utiliser pour atteindre les périphériques de destination. Sans élagage VTP, un
commutateur répand le trafic de diffusion, de multidiffusion et de monodiffusion
inconnue sur toutes les liaisons agrégées au sein d’un domaine VTP même si les
commutateurs de réception peuvent les ignorer.

97
 Figure 5.15. Réseau intégrant les différentes composantes VTP.

5.12.5. Configuration de VTP

Soit la figure 5.15 ci-dessus, où le switch SW1 est un serveur VTP tandis que le switch
SW2 est unt client VTP.

Pour configurer SW1 en tant que server VTP, on fait :

 Sur le commutateur SW1 :

SW1>enable
SW1#vlan database
SW1 (vlan)# vtp domain VTPdom
SW1 (vlan)# vtp password Bobo
SW1 (vlan)#vtp server
SW1 (vlan)# ivtp v2-mode
SW1 (vlan)#exit
SW1#
 Sur le deuxième commutateur SW2 :
SW1>enable
SW1#vlan database
SW1 (vlan)#vtp client
SW1 (vlan)#exit
SW1#

 Sur SW1, entrez les commandes suivantes pour créer le VLAN 100 :
SW1#vlan database
SW1 (vlan)#vlan 100 name VTPtest
SW1 (vlan)#exit
SW1#

Sur SW2, vérifier la présence du VLAN VTPtest à l’aide de la commande « show

vlan ». Utiliser les commandes « show vtp status » et « show vtp counters » pour
afficher les informations VTP.

98
5.13. ROUTAGE INTER-VLAN

Pour que les informations transitent d'un VLAN à l'autre, il faut faire du routage de
niveau 3 à l'aide d'un routeur ou d'un firewall ou encore un switch de niveau 3
(switch-routeur).

Pour la segmentation des réseaux locaux, on dispose de deux règles de base, sans
aucune programmation particulière des équipements :
 Une interface de commutateur délimite un domaine de collision.
 Une interface de routeur délimite à la fois un domaine de collision et un
domaine de diffusion.

Du point de vue conception, le respect de ces deux règles impose que l'on ajoute
une interface de routeur pour chaque nouveau domaine de diffusion ou périmètre
de contrôle. De plus, les commutateurs appartenant à un domaine de diffusion sont
dédiés à ce domaine. Il n'est pas possible de distribuer plusieurs réseaux locaux
virtuels entre plusieurs domaines de diffusion «isolés» par un routeur.

Pour faire passer les paquets d’un VLAN à un autre nous devons utiliser le routage
inter-VLAN et pour cela nous devons utiliser un routeur.

Figure 5.16. Communication entre les VLAN grâce au routage à l'aide d'un routeur.

Les réseaux VLAN 1 et VLAN 2 ne communique que par le biais du routeur. Cela limite
la taille des domaines de diffusion (domaine de broadcast) et le routeur est utilisé
pour déterminer si le réseau VLAN 1 peut communiquer avec le réseau VLAN 2.

Figure 5.17. Communication VLAN 1 et VLAN 2 par le biais du routeur

99
Pour se faire, nous distinguons deux méthodes :

1) Première méthode : Interfaces physiques

2) Deuxième méthode : Sous-interfaces logiques

1ère méthode : Interfaces physiques entre Switch et Routeur

Etant donné que nous avons 3 VLAN (VLAN 10,20 et 30), nous allons utiliser 3 liaisons
relieées à 3 interfaces FastEthernet du routeur Cisco 2811 (Fa0/0, Fa0/1 et Fa1/0).

Il s’agit des liaisons d’accès et chaque liaison sera affectée à un VLAN.

Du coté du switch nous avons les interfaces Fa0/3, Fa0/4 et Fa0/5.

Dans un premier temps nous allons configurer la passerelle par défaut pour chaque
VLAN connecté à un commutateur :

Figure 5.18. Liaison Switch-Routeur à l’aide de 3 interfaces physiques.

Chacune des 3 liaisons entre Switch et Routeur sera affectée à un VLAN :

- la première pour le VLAN 10,
- la deuxième pour le VLAN 20,
- la troisième pour le VLAN 30.

100
1) Configurer les adresses IP, les masques de sous réseau et les passerelles par
défaut des différents PC

2) Créer les VLAN 10, 20 et 30 dans le Switch0

 Le port Fa0/3 du Commutateur 0 sera affecté au VLAN 10 :

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
Switch(config-if)#exit
Switch(config)#

 Le port Fa0/4 du Commutateur 0 sera affecté au VLAN 20 :

Switch(config)#
Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
% Access VLAN does not exist. Creating vlan 20
Switch(config-if)#exit
Switch(config)#

 Le port Fa0/5 du Commutateur 0 sera affecté au VLAN 30 :

Switch(config)#
Switch(config)#interface FastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
% Access VLAN does not exist. Creating vlan 30
Switch(config-if)#exit
Switch(config)#exit
Switch#

101
3) Configurer les passerelles dans le routeur

 Le port Fa0/0 sera affecté comme passerelle du VLAN 10

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.10.3 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#
Router(config-if)#exit
Router(config)#

 Le port Fa0/1 sera affecté comme passerelle du VLAN 20

Router(config)#
Router(config)#interface FastEthernet 0/1
Router(config-if)#ip address 192.168.20.3 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
Router(config-if)#exit

 Le port Fa1/0 sera affecté comme passerelle du VLAN 30

Router(config)#
Router(config)#interface FastEthernet 1/0
Router(config-if)#ip address 192.168.30.3 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
Router(config-if)#end
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#write
Building configuration...
[OK]
Router#

Remarque :
On sauvegarde la configuratin effectuée en tapant la commande « write » ou « wr » ou
encore « copy r s ». Cette dernière commande sert à sauvegarder dans le registre
startup-config la configuration courante.

4) Test

On peut tester les connexions entre différents VLAN en utilisant la commande

« ping » ou le « message sous enveloppe » en mode Realtime ou Simulation.

102
2ème méthode : Sous-interfaces logiques entre Switch et Routeur

Une seule liaison Trunk agrégée va relier Switch0 et le Routeur ; par conséquent,
tous les trafics provenant des trois VLAN (10, 20 et 30) passeront par elle.

Il y aura donc une seule inerface physique formant trois sous-interfaces logiques
correspondants aux trois VLAN.

1) On supprime les 3 liaisons physiques et les configurations des interfaces du

Switch0 effectuées sur le schéma précédent

 Suppression des 3 liaisons physiques sur le schéma ;

 Suppression de la configuration du switch0 et affecter les interfaces Fa0/3, Fa0/4 et

Fa0/5 au VLAN par défaut (VLAN1) car il s’agit de la configuration par défaut :

 l’interface FastEthernet 0/3 affectée au VLAN par défaut

 l’interface FastEthernet 0/4 est affectée au VLAN par défaut

103
  l’interface FastEthernet 0/5 est affectée au VLAN par défaut

2) Etablissement de la liaison Trunk agrégée entre Switch0 et Routeur

Comme routeur, on prend le routeur Cisco 2901 qui possède deux ports
GigabitEthernet (Gig0/0 et Gig0/1).
Nous allons utiliser une seule interface physique, le Gig0/0, sur le routeur et qui sera
connectée au port FastEthernet (Fa0/3) du commutateur 0 (Switch0).
Nous allons configurer ce port Fa0/3 comme liaison Trunk agrégée car il va supporter
les trafics provenant de tous les VLANS (VLAN 10, 20 et 30).

La liaison Switch-Routeur est effectuée à l’aide d’une interface physique formant 3

sous-interfaces logiques tel que montré par la figure 5.19.

Figure 5.19. Liaison Switch-Routeur avec 3 sous-interfaces logiques.

104
2-1) Configuration du Switch0

Sur le Switch0 on effectue :

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
Switch#copy r s
Destination filename [startup-config]?
Building configuration...
[OK]
Switch#

La sauvegarde est réalisée à l’aide de la commande « copy r s ».

2-2) Configuration du Routeur

On va configurer l’interface Gig0/0 pour créer des sous-interfaces logiques :

Router>en
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

 On configure l’interface GigabitEthernet 0/0 comme sous-interface de VLAN 10 :

Router(config)#interface GigabitEthernet 0/0.10

Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.3 255.255.255.0
Router(config-subif)#no shutdown
Router(config-subif)#exit
Router(config)#
« dot1q 10 » se réfère à l‘encapsulation IEEE802.1Q avec en-tête ou ID du VLAN 10,
L’adresse « 192.168.10.3 255.255.255.0 » est la passerelle par défaut du VLAN 10.

 On passe à la configuration de l’interface GigabitEthernet 0/0 pour le VLAN 20 :

Router(config)#interface GigabitEthernet 0/0.20

Router(config-subif)#encapsulation dot1q 20
Router(config-subif)#ip address 192.168.20.3 255.255.255.0
Router(config-subif)#no shutdown
Router(config-subif)#exit
« dot1q 20 » se réfère à l‘encapsulation IEEE802.1Q avec en-tête ou ID du VLAN 20,
L’adresse « 192.168.20.3 255.255.255.0 » est la passerelle par défaut du VLAN 20.

 On passe à la configuration de l’interface GigabitEthernet 0/0 pour le VLAN 20 :

Router(config)#interface GigabitEthernet 0/0.30

Router(config-subif)#encapsulation dot1q 30
Router(config-subif)#ip address 192.168.30.3 255.255.255.0
Router(config-subif)#no shutdown
Router(config-subif)#exit
« dot1q 30 » se réfère à l‘encapsulation IEEE802.1Q avec en-tête ou ID du VLAN 30,
L’adresse « 192.168.30.3 255.255.255.0 » est la passerelle par défaut du VLAN 30.

105
 On active l’interface GigabitEthernet 0/0 :

Router(config)#interface GigabitEthernet 0/0

Router(config-if)#no shutdown
Router(config-if)#end
Router#
Router#copy r s
Destination filename [startup-config]?
Building configuration...
[OK]
Router#

3) Test

On peut tester les connexions entre différents VLAN en utilisant la commande « ping »
ou le « message sous enveloppe » en mode Realtime ou en mode Simulation.

NB.
Selon l'utilisation, il peut être conseillé de filtrer les réseaux au minimum au moyen
d'ACLs (Access Control List).

5.14. ACCÈS DISTANT À UN COMMUTATEUR : LIGNES VTY

5.14.1. Types de méthode d’accès distant

Il existe deux choix pour l’accès distant à un terminal virtuel sur un

commutateur Cisco : Telnet et SSH.

a) Telnet

Telnet constitue la méthode d’origine prise en charge dans les premiers modèles de
commutateurs Cisco. Telnet est un protocole très répandu pour l’accès à des
terminaux puisque la plupart des systèmes d’exploitation actuels sont fournis avec un
client Telnet intégré.

En revanche, il offre une méthode d’accès à un périphérique réseau non sécurisée

puisqu’il transmet toutes les communications sur le réseau en texte clair. À l’aide d’un
logiciel de contrôle réseau, une personne malveillante peut lire toutes les frappes
transmises entre le client Telnet et le service Telnet en cours d’exécution sur le
commutateur.

b) SSH (Secure Shell)

En raison des problèmes de sécurité que pose le protocole Telnet, Secure Shell (SSH)
est devenu le protocole de prédilection pour l’accès distant à des lignes de terminal
virtuel sur un périphérique Cisco.

SSH offre le même type d’accès que Telnet avec la sécurité en plus. Les
communications entre le client SSH et le serveur SSH sont chiffrées. Plusieurs
versions de SSH ont été développées et les périphériques Cisco prennent
actuellement en charge les versions SSHv1 et SSHv2.

Il est préférable de mettre en place la version SSHv2 dès que possible, car elle utilise
un algorithme de chiffrement de sécurité plus sophistiqué que la version SSHv1.

106
5.14.2. Configuration de Telnet et SSH

5.14.2.1. Configuration de Telnet

Telnet est le protocole pris en charge par défaut par les terminaux virtuels (VTY) sur
un commutateur Cisco. Lorsqu’une adresse IP de gestion est attribuée au
commutateur Cisco, vous pouvez vous y connecter au moyen d’un client Telnet.

Au départ, les lignes vty ne sont pas sécurisées. Tout utilisateur qui tente de s’y
connecter peut donc y avoir accès.

Cependant, il est possible de sécuriser l’accès au commutateur sur les lignes vty en
exigeant l’authentification du mot de passe, ce qui rend l’exécution du service Telnet
un peu plus sécurisée.

- Du fait que Telnet constitue le mode de transport par défaut pour les lignes vty,
vous n’avez pas besoin de le spécifier après la configuration initiale du commutateur.

- En revanche, si vous avez commuté le protocole de transport sur les lignes vty pour
autoriser uniquement SSH, vous devez activer le protocole Telnet pour autoriser
manuellement l’accès à Telnet.

Ainsi, si vous devez réactiver le protocole Telnet sur un commutateur

Cisco 2960, utilisez la commande suivante à partir du mode de configuration de
ligne :
(config-line)#transport input telnet
ou
(config-line)#transport input all

Exemple : Activer l’accès d’administration d’un switch via telnet

Pour pouvoir accéder au CLI via telnet, il faut pouvoir établir une connexion entre le PC
et le switch. Ce qui implique :
 Le PC et le Switch disposent d’une adresse IP.
 Si le PC et le Switch sont sous le même sous-réseau, il faut bien sûr que les
adresses IP y correspondent.
 Si le PC et le Switch ne sont pas sur le même sous réseau, il faut que les tables de
routages des différentes passerelles soient correctement configurées.
 Les connexions telnet sur le switch sont autorisées.

Pour attribuer une adresse IP à un switch, on en configure une sur une ou plusieurs
interfaces « vlan ». Par défaut, le VLAN 1 existe, nous allons donc utiliser celle-là.

Dans le cas présent, nous supposons que le PC est directement connecté sur un des
pots du switch. On attribuera :
- l’adresse 192.168.1.100 / 255.255.255.0 au switch
- l’adresse 192.168.1.101 / 255.255.255.0 au PC.

On configurera également une passerelle par défaut pour les deux qui sera
192.168.1.1. Elle ne sera pas ici nécessaire, mais ça montrera comment la configurer
dans le cas d’un réseau complexe.

107
Commençons par configurer l’adresse IP du switch sur le VLAN 1 :

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
interface vlan 1
Switch(config-if)#ip address 192.168.1.100 255.255.255.0
Switch(config-if)#no shut
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.1
Switch(config)#exit

On configure également l’adresse IP du PC en 192.168.1.101 / 255.255.255.0.

Une fois cela fait, si tout fonctionne comme prévu, les deux machines devraient pouvoir
communiquer…
Switch#ping 192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
Switch#

Il reste maintenant à vérifier que le switch est bien configuré pour autoriser les
connexions telnet.
Les connexions telnet se font via les « lignes vty». Leur nombre varie selon les
modèles, on peut les retrouver en jettant un oeil sur la configuration active :
Switch#sh running-config
Building configuration...
Current configuration : 979 bytes!
version 12.2
no service password-encryption!
hostname Switch
!
interface FastEthernet0/1!
interface FastEthernet0/2
interface GigabitEthernet1/1!
interface GigabitEthernet1/2
!
interface Vlan1
ip address 192.168.1.100 255.255.255.0
!
ip default-gateway 192.168.1.1
!
line con 0
!
line vty 0 4
no login
line vty 5 15
no login
!
end
Switch#

108
Afin de pouvoir se connecter en telnet, on va définir un mot de passe, activer
l’encryption des mots de passe et également définir un mot de passe pour le mode
privilégié (enable) :
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#service password-encryption
Switch(config)#line vty 0 15
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#enable password cisco
Switch(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
Switch#
On vérifie que tout est en place :
Switch#sh run
Building configuration...
Current configuration : 1053 bytes
version 12.2
service password-encryption
hostname Switch
enable password 7 0822455D0A16
interface FastEthernet0/1!
interface FastEthernet0/2!
interface FastEthernet0/3
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
ip address 192.168.1.100 255.255.255.0
ip default-gateway 192.168.1.1
!
line con 0
!
line vty 0 4
password 7 0822455D0A16
login
!
line vty 5 15
password 7 0822455D0A16
login
!
end
Switch#

Enfin, il ne reste plus qu’à se connecter en telnet depuis un PC branché sur le Switch
via l’un des ports FastEthernet par exemple.

5.14.2.2. Configuration de SSH

Secure Shell (SSH) est une fonction de sécurité cryptographique qui est soumise à
des restrictions en matière d’exportation. Pour exploiter cette fonction, vous devez
installer une image cryptographique sur votre commutateur.

109
La fonction Secure Shell dispose d’un serveur SSH et d’un client SSH intégré qui
constituent les applications qui sont exécutées sur le commutateur. Vous pouvez
utiliser n’importe quel client SSH exécuté sur un PC ou bien le client SSH Cisco
exécuté sur le commutateur pour vous connecter à un commutateur exécutant le
serveur SSH.

Le commutateur prend en charge la version SSHv1 ou SSHv2 pour le composant

serveur. Il prend uniquement en charge la version SSHv1 pour le composant client.

SSH prend en charge l’algorithme DES (Data Encryption Standard), l’algorithme

Triple DES (3DES) et l’authentification utilisateur basée sur les mots de passe. Le
chiffrement est de 56 bits dans DES, il est de 168 bits dans 3DES.
Le chiffrement est un processus généralement long, mais DES met moins de temps à
chiffrer du texte que 3DES.
En règle générale, les normes de chiffrement sont précisées par le client. Ainsi, si vous
devez configurer SSH, demandez laquelle vous devez choisir. (L’étude des méthodes
de chiffrement des données n’est pas au programme de ce cours.)

Pour mettre en œuvre SSH, vous devez créer des clés RSA. La norme RSA implique
l’emploi d’une clé publique conservée sur un serveur RSA public et celui d’une clé
privée conservée uniquement par l’expéditeur et le récepteur. La clé publique peut être
connue de tout le monde et sert au chiffrement des messages. Les messages chiffrés
à l’aide de la clé publique peuvent être déchiffrés au moyen de la clé privée. On parle
alors de « chiffrement asymétrique ».

Vous devez créer les clés RSA chiffrées avec la commande « crypto key generate
rsa ».

Cette procédure est nécessaire si vous configurez le commutateur en tant que

serveur SSH. Débutez en mode d’exécution privilégié et procédez comme suit pour
configurer un nom d’hôte, ainsi qu’un nom de domaine IP, puis générer une paire de
clés RSA.

Étape 1. Passez en mode de configuration globale au moyen de la commande

« configure terminal ».

Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la

commande « hostname nom_hôte ».

Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la

commande « ip domain-name nom_domaine ».

Étape 4. Activez le serveur SSH en vue d’une authentification locale et distante sur le
commutateur et générez une paire de clés RSA en utilisant la commande
« crypto key generate rsa ».

Lorsque vous créez des clés RSA, le système vous demande d’entrer une
longueur de modulus. Cisco préconise l’utilisation d’une taille de modulus de
1024 bits. Une longueur de modulus plus importante peut s’avérer plus sûre,
mais sa création et son utilisation prennent plus de temps.
Étape 5. Repassez en mode d’exécution privilégié à l’aide de la commande end.

Étape 6. Affichez l’état du serveur SSH sur le commutateur en vous servant de la

commande show ip ssh ou show ssh.

110
 Pour supprimer la paire de clés RSA, utilisez la commande de configuration globale
« crypto key zeroize rsa ». Une fois la paire de clés RSA supprimée, le serveur SSH
est automatiquement désactivé.

5.15. CONCLUSION

La technologie des VLAN permet de réaliser une segmentation logique des réseaux de
niveau 2.

L'intérêt de la mise en œuvre de VLAN sur un réseau est d’améliorer la sécurité du

système car le VLAN est une technique utilisée pour créer des LAN virtuels
complètement séparés et se basant sur un LAN physique.

Grâce à la segmentation réalisée par la mise en œuvre de VLAN on parvient à créer

plusieurs domaines de diffusion.

Comme impact, en segmentant un LAN en plusieurs VLAN, le broadcast ne circule

qu’à l’intérieur du VLAN dans lequel il a été généré. Ainsi, une trame émise au sein
d’un VLAN ne sera diffusée qu’aux stations participant au dit VLAN.

D’où, la technologie VLAN permet de définir des segments Ethernet logiques,

indépendamment de la localisation géographique des postes de travail. 5

5
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

111
CHAPITRE VI. LE RESEAU EN ARCHITECTURE CLIENT-SERVEUR

6.1. INTRODUCTION

En élargissant le contexte de la définition aux services qu'apportent le réseau local

(LAN : Local Area Nrtwork), il est possible de distinguer deux modes de
fonctionnement du point de vue architecture des réseaux, notamment :
 les réseaux poste à poste (peer to peer / égal à égal) dans lesquels il n'y a pas
d'ordinateur central et chaque ordinateur a un rôle similaire ;
 réseaux organisés autour de serveurs (Client/Serveur) dans lesquels un ordinateur
central fournit des services réseau aux utilisateurs.

Ces deux types de réseau ont des capacités différentes. Le type de réseau à installer
dépend des critères suivants : s
 Taille de l’entreprise
 Niveau de sécurité nécessaire
 Type d’activité
 Niveau de compétence d’administration disponible
 Volume du trafic sur le réseau
 Besoins des utilisateurs du réseau
 Budget alloué au fonctionnement du réseau (pas seulement l’achat mais aussi
l’entretien et la maintenance)

Tous les ordinateurs connectés à un réseau et qui participent directement aux

communications transmises sur le réseau sont des hôtes. Les hôtes peuvent envoyer
et recevoir des messages sur le réseau. Dans les réseaux actuels, les ordinateurs
hôtes peuvent jouer le rôle de client, de serveur ou les deux.

Par définition, un serveur informatique est un dispositif informatique matériel ou

logiciel qui offre des services aux autres dispositifs du réseau appelés clients. Il s’agit
donc d’un ordinateur détenant des ressources particulières et qu’il met à la
disposition d’autres ordinateurs par l’intermédiaire d’un réseau.
Les services les plus courants sont :
 l'accès aux informations du World Wide Web ;
 le courrier électronique ;
 le partage d'imprimantes ;
 le commerce électronique ;
 le stockage en base de données ;
 la gestion de l'authentification et du contrôle d'accès ;
 le jeu et la mise à disposition de logiciels applicatifs (optique Logiciel en tant que
service ou software as a service).

Ainsi, de nombreuses applications fonctionnent selon un environnement client/serveur,

cela signifie que des machines clientes contactent un serveur qui leur fournit des
services. Ces services sont des programmes fournissant des données telles que
l'heure, des fichiers, une connexion, etc. Le serveur est une machine généralement
très puissante en termes de capacités d'entrée-sortie.

Les services sont exploités par des programmes, appelés programmes clients,
s'exécutant sur les machines clientes. On parle ainsi de client lorsque l'on désigne un
programme tournant sur une machine cliente, capable de traiter des informations qu'il
récupère auprès d'un serveur.
On parle alors de client FTP (File Transfer Protocol), client de messagerie, etc.
Dans le cas du client FTP il s'agit de fichiers, tandis que pour le client de messagerie il
s'agit de courrier électronique.

112
Les serveurs sont utilisés par les entreprises, les institutions et les opérateurs de
télécommunication. Ils sont courants dans les centres de traitement de données et le
réseau Internet.

- Un serveur fonctionne en permanence, répondant automatiquement à des requêtes

provenant des clients.
- Le format des requêtes et des résultats est normalisé, se conforme à des protocoles
réseaux,
- chaque service peut être exploité par tout client qui met en œuvre le protocole propre
à ce service.

6.2. LE MAINFRAME

Les premiers réseaux informatiques étaient architecturés autour d'un ordinateur

central, appelé « mainframe » sur lequel on branchait de simples « terminaux : écrans
et claviers» qui faisaient office de postes de travail.
Le mainframe représente ainsi un ordinateur central de grande puissance chargé de
gérer les sessions utilisateurs des différents terminaux qui lui étaient reliés.
Grâce à cette architecture, il est ainsi possible de consolider, c'est-à-dire de gérer de
manière centralisée, l'ensemble des applications métiers de l'entreprise.

Figure 6.1. Le système Mainframe.

Dans le modèle mainframe, la performance du système tout entier repose sur les
capacités de traitement de l'ordinateur central, c'est la raison pour laquelle ce modèle
est parfois qualifié d'« informatique lourde ». Par ailleurs, dans un environnement
mainframe, les terminaux du réseau ne peuvent voir que le serveur central.

6.3. LE CLIENT SERVEUR

- Les serveurs sont des hôtes équipés des logiciels leur permettant de fournir des
informations, comme des messages électroniques ou des pages Web, à d'autres
hôtes sur le réseau. Chaque service nécessite un logiciel serveur distinct.
- Les clients sont des ordinateurs hôtes équipés d'un logiciel qui leur permet de
demander des informations auprès du serveur et de les afficher. Un navigateur Web,
tel qu'Internet Explorer, est un exemple de logiciel client.

Il est à noter que le système d’exploitation et les logiciels installés sur l'ordinateur
déterminent le rôle qu'il tient au sein du réseau.
Ainsi, un hôte nécessite un logiciel de serveur Web, par exemple, pour pouvoir offrir
des services Web au réseau.

113
On peut citer par exemple :
 Client de navigation, Client de messagerie, Client d’accès aux fichiers,
 Serveur de messagerie, Serveur Web, Serveur de fichiers, …

Figure 6.2. Réseau client-serveur et différents services.

Par définition, un serveur est un ordinateur détenant des ressources

particulières et qu’il met à la disposition d’autres ordinateurs par l’intermédiaire
d’un réseau.

 Le serveur Web est un serveur dédié au protocole HTTP (HyperText Transfer

Protocol). Cette expression peut désigner aussi bien une machine en particulier que
le programme qui sert les pages web. Il exécute le logiciel du serveur et les clients
utilisent le logiciel du navigateur, tel Windows Internet Explorer, pour accéder aux
pages Web sur le serveur ;
 Le serveur de messagérie exécute le logiciel du serveur et les clients utilisent le
logiciel client de messagérie, tel Microsoft Outlook, pour accéder à la messagérie
sur le serveur ;
 Le serveur de fichier est un serveur qui permet de créer un espace de stockage
partagé sur le réseau. Il met ainsi une partie de son espace disque disponible sur le
réseau.
Un serveur de fichiers met uniquement des fichiers à disposition du réseau, et pas
ses autres ressources, son point fort est en général son sous-système de « mémoire
de masse », habituellement composé d’une ou plusieurs matrice RAID (Redundant
Array of Inexpensive Disks). Le client a accès au fichier à l’aide d’un logiciel client
tel que l’Explorateur Windows.
 Le contrôleur de domaines est un serveur qui s’occupe de l’authentification ders
utilisateurs dans un domaine. Un contrôleur de domaine est un serveur auquel tout le
monde doit normalement s’adresser pour les authentifications d’utilisateurs, de
machines, … Etant donné que cette centralisation est très risquée, le serveur
principal, appelé PDC (Primary Domain Controller), est généralement secondé par
un BDC (Backup Domain Controller) qui est le contrôleur de domaine de secours
qui seconde le PDC quand celui-ci tombe en panne, car le BDC maintient une
sauvegarde des groupes, des comptes, des permissions, … On y installera les
serveurs DHCP (Dynamic Host Configuration Protocol) et DNS (Domain Name
System ou Système de résolution de nom de domaine ou résolution
d'adresses) ;

114
 Le serveur d’impression permet de partager une imprimante sur un réseau et de
gérer la file d’attente d’impression de celle-ci ;
 Le serveur d’applications permet à une application d’utiliser le système
d’exploitation comme support afin d’en utiliser les composants de gestion (exemple :
serveur de messagerie, de base de données, …). Un serveur d’application ne se
contente pas seulement de distribuer les données, mais il exécute aussi des
programmes à la demande des clients.

6.4. SYSTÈMES D’EXPLOITATION CLIENT ET SERVEUR

Pour qu'un ordinateur soit capable de faire fonctionner un programme informatique

(appelé parfois application ou logiciel), la machine doit être en mesure d'effectuer un
certain nombre d'opérations préparatoires afin d'assurer les échanges entre le
processeur, la mémoire, et les ressources physiques (périphériques).

Le système d'exploitation (Operating System en anglais), est chargé d'assurer la

liaison entre les ressources matérielles, l'utilisateur et les applications (traitement de
texte, jeu vidéo, ...). Ainsi lorsqu'un programme désire accéder à une ressource
matérielle, il ne lui est pas nécessaire d'envoyer des informations spécifiques au
périphérique, il lui suffit d'envoyer les informations au système d'exploitation, qui se
charge de les transmettre au périphérique concerné via son pilote.

En l'absence de pilotes il faudrait que chaque programme reconnaisse et prenne en

compte la communication avec chaque type de périphérique !

Figure 6.3. Système d’exploitation et exécution d’un programme informatique.

Le système d'exploitation permet ainsi de "dissocier" les programmes et le matériel,

afin notamment de simplifier la gestion des ressources et offrir à l'utilisateur une
interface homme-machine (notée «IHM») simplifiée afin de lui permettre de s'affranchir
de la complexité de la machine physique.

Pour se faire, on distingue des systèmes d’exploitation pour des ordinateurs clients et
des systèmes d’exploitation pour serveurs. Ainsi, dans l’environnement Windows on
distingue actuellement comme :
- système d’exploitation client : Win 3.11, 95, NT, 98, Millénium, 2000, XP, Vista, 7,
8 et 10 ;
- système d’exploitation serveur : Win 2000 server, 2002 server, 2003 server,
2008 server et 2012 server.

115
Remarque
 Un serveur est avant tout une application spécifique définie à partir du Système
d’Exploitation à installer.
 Un minimum de valeurs des paramètres de l’ordinateur est exigé pour chaque
système d’exploitation à installer dans un serveur (fréquence et type du processeur,
capacité de la mémoire RAM, capacité du disque dur, ….).
 Un ordinateur équipé d'un logiciel serveur peut fournir des services à un ou
plusieurs clients en même temps.
 Un seul ordinateur peut exécuter différents types de logiciel serveur. Chez les
particuliers et dans les petites entreprises, il peut arriver, par nécessité, qu'un
ordinateur fasse office à la fois de serveur de fichiers, de serveur Web et de serveur
de messagerie.
 Un seul ordinateur peut également exécuter différents types de logiciels clients. Un
logiciel client doit être installé pour chaque type de service requis. Un hôte équipé
de plusieurs clients peut se connecter à plusieurs serveurs en même temps. Par
exemple, un utilisateur peut consulter sa messagerie électronique et une page Web
en même temps qu'il utilise la messagerie instantanée et écoute la radio sur
Internet.

Un réseau pourvu d'un ordinateur serveur est utilisé dans une autre optique : celle de
la sécurité. Au réseau poste à poste est ajouté un ordinateur serveur avec un système
d'exploitation particulier permettant d'octroyer des permissions aux utilisateurs et
des droits sur les dossiers et les fichiers.

Figure 6.4. Serveur exécutant différents types de logiciel serveur.

Le serveur est généralement allumé en permanence et n'est pas utilisé pour faire autre
chose que de l'administration (attribution de droits et permissions).
Tous les fichiers créés sur les autres postes sont enregistrés sur son disque dur. Les
autres machines conservent par contre les logiciels.

Un réseau avec un serveur nécessite un administrateur qui maîtrise les différentes

manipulations et stratégies de sécurité.

116
6.5. FONCTIONNEMENT D'UN SYSTÈME CLIENT/SERVEUR

6.5.1. Principe

Un système client/serveur fonctionne selon le schéma suivant :

Figure 6.5. Principe de fonctionnement du système client/serveur.

 Le client émet une requête vers le serveur grâce à son adresse IP et le port, qui
désigne un service particulier du serveur
 Le serveur reçoit la demande et répond à l'aide de l'adresse de la machine cliente et
son port

Dans le réseau client-serveur il y a unicité de l'information (des ressources

centralisées) car le serveur étant au centre du réseau peut gérer des ressources
communes à tous les utilisateurs, comme par exemple une base de données
centralisée, afin d'éviter les problèmes de redondance et de contradiction.

De même, pour un site web dynamique, certains articles du site seront stockés dans
une base de données sur le serveur. De cette manière, les informations restent
identiques et chaque utilisateur (sur son poste client) accède aux mêmes informations
stockées dans le serveur.

6.5.2. Topologie physique

Un réseau en architecture client-serveur peut être structurée physiquement suivant une

topologie en bus, en étoile où en anneau (figures 6.6 a, b et c).

(a)

117
 (b)

(c)
Figure 6.6. Réseau Client-serveur : (a) en bus, (b) en étoile, (c) en anneau.
6.5.3. Centralisation de données, de direction et de communication

Un serveur central centralise un service dans un réseau d'utilisateurs ou de

machines. Il existe différents types de centralisation :
 la centralisation de données : qui stocke l'ensemble des données sur un serveur
concernant l'ensemble des éléments du réseau informatique ;
 la centralisation de direction : où un seul serveur décide de quel machine ou quel
utilisateur fait quoi et quand ;
 la centralisation de communication : toutes les communications passent par le
serveur central.

La centralisation de données, de direction et de communication est à l'origine la

principale organisation des réseaux informatiques.

6.5.4. Avantages et inconvénients de l'architecture client/serveur

1) Avantages
Le modèle client/serveur est particulièrement recommandé pour des réseaux
nécessitant un grand niveau de fiabilité, ses principaux atouts sont :
 des ressources centralisées : étant donné que le serveur est au centre du réseau,
il peut gérer des ressources communes à tous les utilisateurs, comme par exemple
une base de données centralisée, afin d'éviter les problèmes de redondance et de
contradiction

118
  une meilleure sécurité : car le nombre de points d'entrée permettant l'accès aux
données est moins important
 une administration au niveau serveur : les clients ayant peu d'importance dans
ce modèle, ils ont moins besoin d'être administrés
 un réseau évolutif : grâce à cette architecture il est possible de supprimer ou
rajouter des clients sans perturber le fonctionnement du réseau et sans modification
majeure

2) Inconvénients
L'architecture client/serveur a tout de même quelques lacunes parmi lesquelles :
 un coût élevé dû à la technicité du serveur
 un maillon faible : le serveur est le seul maillon faible du réseau client/serveur,
étant donné que tout le réseau est architecturé autour de lui ! Heureusement, le
serveur a une grande tolérance aux pannes (notamment grâce au système RAID)

6.6. ADRESSAGE IP

6.6.1. Adresse IP statique et dynamique

Les adresses IP peuvent être attribuées de manière statique ou de manière

dynamique. Dans un réseau en architecture client-serveur, on attribue les adresses IP
des machines de la manière suivante :
 les serveurs auront des adresses IP statiques introduites manuellement par
l’administrateur réseau,
 les postes clients auront des adresses IP dynamiques qui leur seront attribuées
automatiquement à partir du serveur DHCP (Dynamic Host Configuration
Protocol) suivant une plage d’adresses spécifiée par l’administrateur réseau.

1) Adresse IP statique
Avec une attribution statique, l'administrateur réseau doit configurer manuellement
les informations réseau relatives à un hôte. Ces informations comprennent au moins
l'adresse IP d'hôte, le masque de sous-réseau et la passerelle par défaut.
La fenêtre Propriétés de protocole Internet (TCP/IP) indique les entrées statiques
standards tel que présenté sur la figure 6.7.

Figure 6.7. Entrées statiques standards

.

119
- Les adresses IP statiques présentent des avantages. Par exemple, elles sont utiles
pour les imprimantes, serveurs et autres périphériques réseau qui doivent être
accessibles aux clients sur le réseau.
- Si les hôtes accèdent normalement à un serveur avec une adresse IP particulière,
cette adresse ne devrait pas être modifiée.

2) Adresse IP dynamique
 Sur les réseaux locaux, il n'est pas rare que les utilisateurs changent fréquemment.
Les nouveaux utilisateurs arrivent avec des ordinateurs portables et ont besoin
d'une connexion. D'autres ont de nouvelles stations de travail qui ont besoin d'être
connectées.
 Plutôt que de demander à l'administrateur réseau d'attribuer des adresses IP à
chaque station de travail, il est plus facile d'attribuer ces adresses automatiquement.
Cette opération est réalisée à l'aide du protocole DHCP (Dynamic Host
Configuration Protocol).
 DHCP fournit un mécanisme qui permet d'attribuer automatiquement les
informations d'adressage telles que l'adresse IP, le masque de sous-réseau, la
passerelle par défaut et d'autres informations relatives à la configuration.
 DHCP est généralement la méthode préférée d'attribution d'adresses IP aux hôtes
sur les grands réseaux, puisqu'elle réduit la charge de travail du personnel
d'assistance réseau et élimine pratiquement toutes les erreurs de saisie.
 Un autre avantage du protocole DHCP réside dans le fait qu'une adresse n'est pas
attribuée à un hôte de manière permanente ; elle est seulement louée pour une
période donnée. Si l'hôte est mis hors tension ou s'il est retiré du réseau, l'adresse
est renvoyée au pool en vue d'une réutilisation. Cela est particulièrement utile avec
les utilisateurs mobiles qui vont et viennent sur un réseau.

Pour définir un hôte comme client DHCP, sélectionnez la case d’option « Obtenir une
adresse IP automatiquement » .

Figure 6.8. Obtention d’une adresse IP automatiquement.

La commande « ipconfig /all », à l’invite de commandes DOS, affiche les

informations obtenues par le client sur le serveur DHCP.

120
 Figure 6.9. Informations obtenues par le client sur le serveur DHCP.

6.6.2. Serveur DHCP

Au départ, lorsqu'un hôte est défini comme client, il n'a pas d'adresse IP, de masque
de sous-réseau ou de passerelle par défaut. Un serveur DHCP lui fournit ces
informations, soit sur le réseau local, soit sur un réseau se trouvant chez le
fournisseur de services Internet.

6.6.2.1. Configuration de DHCP

Le serveur DHCP est configuré avec une plage ou un pool d'adresses IP pouvant
être attribuées aux clients DHCP.

 Un client ayant besoin d'une adresse IP envoie un message de détection DHCP, qui
est une diffusion ayant l'adresse IP de destination 255.255.255.255 (32 chiffres un)
et l'adresse MAC de destination FF-FF-FF-FF-FF-FF (48 chiffres un) ;
 Tous les hôtes sur le réseau reçoivent cette trame DHCP de diffusion, mais seul un
serveur DHCP répond ;
 Le serveur répond avec une offre DHCP en suggérant une adresse IP au client ;
 L'hôte envoie ensuite une requête DHCP à ce serveur en demandant à utiliser
l'adresse IP suggérée ;
 Le serveur répond avec un accusé de réception DHCP.

Figure 6.10. Processus d’acquisition de l’adresse IP auprès du serveur DHCP.

121
- Un serveur DHCP dispose d’une plage d’adresses IP à distribuer à ses clients. Il
tient à jour une base de données des adresses déjà utilisées et utilisées il y a peu de
temps.
- Lorsque le serveur DHCP attribue une adresse, il le fait par l’intermédiaire d’un bail.
Ce bail a normalement une durée limitée dans le temps.
- Sur un réseau d’entreprise où l’on dispose largement d’assez d’adresses pour le
nombre de postes et que ces derniers sont en service toute la journée, le bail peut
être d’une semaine ou plus encore. Pour une connexion temporaire, le bail est
seulement de quelques heures.
- Après expiration du bail, ou résiliation par le client, les informations concernant ce bail
restent mémorisées dans la base de données du serveur pendant un certain temps.
Bien que l’adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre
machine. C’est ce qui explique que l’on retrouve souvent la même adresse d’une
session à l’autre.

A. Installation du composant DHCP

DHCP n’est pas un composant installé par défaut lors d’une installation normale de
Windows Server 2003, 2008 ou 2012.

On peut l’installer lors de l’installation de Windows Server ou ultérieurement.

Avec Windows Server 2008, on peut le paramétrer en suivant la procédure ci-après :

 Cliquer sur Démarrer

 Cliquer sur Outils d’administration
 Sélectionner Gérer votre serveur
 Cliquer sur Rôles
 Cliquer sur Ajout des rôles
 Cliquer sur Rôles Serveur
 Cocher la case DHCP Server.

Figure 6.11. Installation du protocole DHCP.

122
B. Création d'une étendue

Une étendue est une plage d’adresses IP qui peuvent être allouées aux clients DHCP
sur le réseau. Il est recommandé qu’au moins une étendue ne soit pas recoupée avec
d’autres étendues sur le réseau.
Les propriétés d’une étendue sont les suivantes :
 Plage d’adresses IP de réseau : - Adresse IP de début
- Adresse IP de fin
 Masque de sous-réseau
 Nom de l’étendue
 Plage d’exclusion
 Durée du bail.

Figure 6.12. Définition de la plage d’adresse.

 On peut ajouter différentes plages d’exclusions si on le souhaite.

Les adresses IP exclues ne seront pas attribuées par le serveur.
Les adresses exclues peuvent être destinées aux imprimantes, à des serveurs.

Figure 6.13. Plage d’adresses exclue.

123
 Spécifiez ensuite la durée du bail DHCP
La durée du bail spécifie la durée pendant laquelle un client peut utiliser une
adresse IP de l’étendue. Pour les réseaux stables la durée du bail peut être longue,
alors que pour les réseaux mobiles constitués de nombreux ordinateurs portables
des durées courtes de bail son utiles.

Figure 6.14. Choix du bail.

6.6.2.2. Types de serveurs DHCP

Si on entre dans un Hot Spot, zone couverte en services Internet par un point
d'accès sans fil, par exemple dans un aéroport ou un café-restaurant, DHCP nous
permet d'accéder à Internet et de bénéficier de ces services. Lorsqu’on entre dans cet
espace, le client DHCP de notre ordinateur portable contacte le serveur DHCP local via
une connexion sans fil. Le serveur DHCP attribue une adresse IP à notre ordinateur.

Figure 6.15. Différents types de serveurs DHCP et attribution de l’adresse IP.

124
Plusieurs types de périphériques peuvent servir de serveurs DHCP, tant qu'ils
exécutent un logiciel de service DHCP.

 Sur la plupart des réseaux de taille moyenne à grande, le serveur DHCP est
généralement un serveur PC local dédié.
 Sur les réseaux domestiques, le serveur DHCP se trouve généralement chez le
fournisseur de services Internet, qui envoie directement à un hôte sur le réseau
domestique sa configuration IP.
 Bon nombre de réseaux domestiques et de petites entreprises utilisent un routeur
intégré pour se connecter au modem du fournisseur de services Internet. Dans ce
cas, le routeur intégré est à la fois un client DHCP et un serveur. Le routeur
intégré se comporte comme un client pour recevoir sa configuration IP du fournisseur
de services Internet, puis comme un serveur DHCP avec les hôtes internes se
trouvant sur le réseau local.
 Outre les serveurs PC et les routeurs intégrés, d'autres types de périphériques
réseau, tels que les routeurs dédiés, peuvent fournir des services DHCP aux clients,
bien que cela ne soit pas très courant.
 Sur la plupart des réseaux domestiques et des réseaux de petites entreprises, un
périphérique multifonction, tel que le routeur sans fil Linksys, fournit les
services DHCP aux clients du réseau local.

1) Configuration du routeur sans fi Linksys comme serveur DHCP

Pour configurer un routeur sans fil Linksys, on accède à son interface graphique Web
en ouvrant le navigateur et en saisissant, dans la zone Adresse, l'adresse IP par défaut
du routeur : 192.168.1.1. On accède à l'écran qui affiche la configuration DHCP.

L'adresse IP 192.168.1.1 et le masque de sous-réseau 255.255.255.0 sont les

adresses par défaut de l'interface du routeur interne. Ceci représente la passerelle
par défaut pour tous les hôtes du réseau local, mais également l'adresse IP du serveur
DHCP interne. Le serveur DHCP est activé par défaut sur la plupart des routeurs
sans fil Linksys et autres routeurs intégrés domestiques.

Sur l'écran de configuration DHCP, on peut se servir de la plage DHCP par défaut ou
indiquer une adresse de départ pour la plage DHCP (ne pas utiliser 192.168.1.1)
ainsi que le nombre d'adresses à attribuer.

La durée d'utilisation peut également être modifiée (par défaut, elle est de 24 heures).
La fonction de configuration DHCP disponible sur la plupart des routeurs de services
intégrés fournit des informations sur les hôtes connectés et les adresses IP, sur les
adresses MAC qui leur sont associées et sur les durées d'utilisation.

2) Frontières des réseaux et espace d’adressage

Le routeur fournit une passerelle grâce à laquelle les hôtes d'un réseau peuvent
communiquer avec les hôtes se trouvant sur d'autres réseaux. Chaque interface d'un
routeur est connectée à un réseau distinct. L'adresse IP attribuée à l'interface identifie
le réseau local qui y est directement connecté.

Chaque hôte sur un réseau doit utiliser le routeur comme passerelle vers d'autres
réseaux. Par conséquent, chaque hôte doit savoir quelle adresse IP de l'interface du
routeur est connectée au réseau auquel l'hôte est relié. Cette adresse est l'adresse de
la passerelle par défaut. Elle peut être configurée sur l'hôte de manière statique ou
reçue de manière dynamique via DHCP.

125
Lorsqu'un routeur intégré est configuré comme serveur DHCP pour le réseau local, il
envoie automatiquement aux hôtes la bonne adresse IP d'interface en tant qu'adresse
de la passerelle par défaut. Ainsi, tous les hôtes du réseau peuvent utiliser cette
adresse IP pour transférer des messages à des hôtes se trouvant chez le fournisseur
de services Internet et accéder aux hôtes situés sur Internet.

Les routeurs intégrés sont généralement configurés pour être des serveurs DHCP
par défaut.

L'adresse IP de l’interface du routeur local devient l'adresse de la passerelle par

défaut pour la configuration d'hôte. La passerelle par défaut est fournie soit de manière
statique, soit via DHCP.

Lorsqu'un routeur intégré est configuré comme serveur DHCP, il fournit aux clients
DHCP sa propre adresse IP interne en tant que passerelle par défaut. Il communique
également une adresse IP et un masque de sous-réseau respectifs à tous les hôtes
locaux qui sont connectés à lui, au moyen d'un câble Ethernet ou via une connexion
sans fil. Les adresses privées n’étant pas routables sur Internet, cela garantit ainsi que,
par défaut, le réseau interne n'est pas directement accessible à partir d'Internet.

L'adresse IP par défaut configurée sur l'interface du routeur intégré local est
généralement une adresse privée de classe C.

Figure 6.16. Routeur intégré servant à la connexion Internet et serveur DHCP local.

Remarque :
- De nombreux fournisseurs de services Internet utilisent également les serveurs
DHCP pour fournir des adresses IP au côté Internet du routeur intégré installé sur les
sites de leurs clients. Le réseau attribué au côté Internet du routeur intégré est appelé
réseau externe.

126
- Lorsqu'un routeur intégré est connecté au fournisseur de services Internet, il agit
comme un client DHCP pour recevoir la bonne adresse IP du réseau externe pour
l'interface Internet. Les fournisseurs de services Internet fournissent généralement
une adresse routable sur Internet qui permet aux hôtes connectés au routeur intégré
d'accéder à Internet.
- Le routeur intégré sert de frontière entre le réseau interne local et Internet, à
l'extérieur.

6.7. LE SERVICE D’ANNUAIRE ACTIVE DIRECTORY

Dans le système d’exploitation Windows Server 2003, 2008 et 2012 est intégré une
espèce de « tableau de bord » appelé « Active Directory » qui s’occupe de la
gestion et de l’administration du domaine.

6.7.1. Notion de Domaine

Pour des réseaux de petite taille, en architecture « Poste à Poste », d’une petite
entreprise ou un réseau domestique, on peut se contenter de réaliser un « Groupe de
Travail » comme structure du réseau.
Cependant, pour des réseaux de plus grande envergure, contenant plusieurs machines
ou répartis sur plusieurs sites et nécessitant une bonne sécurisation des données ainsi
qu’une administration très efficace, on fait recours à la notion de « Domaine » pour
structurer le réseau.
Il présente l’avantage de centraliser la gestion des utilisateurs et ordinateurs qui
composent le réseau. Il existe par la présence d’un ou plusieurs contrôleurs de
domaine chargés d’héberger et de maintenir la base des comptes.

Chaque utilisateur du réseau doit posséder un compte dans le serveur avec lequel il
pourra accéder à partir de n’importe quel ordinateur du réseau.

Dans ce cas, chaque utilisateur du réseau doit s’authentifier, à l’aide de son nom
utilisateur et son mot de passe, avant d’accéder à son compte.

Figure 6.17. Ouverture de la session principale sous Windows Server 2003 et 2008.

C’est un annuaire Active Directory est présent sur tout contrôleur de domaine
Windows server 2003 ou 2008 et peut contenir toutes sortes d’objets, au sein d’une
structure arborescente. Ce type de domaine utilise par défaut la résolution de nom
DNS (Domaine Name Service).

Le service Active Directory permet une gestion centralisée. Cela nous donne la
possibilité d’ajouter, de retirer et de localiser les ressources facilement.

127
Ainsi, nous avons :
 Une administration simplifiée : Active Directory offre une administration de toutes
les ressources du réseau d’un point unique. Un administrateur peut se connecter sur
n’importe quel ordinateur pour gérer les ressources de tout ordinateur du réseau.
 Une mise à l’échelle : Active Directory permet de gérer des millions d’objets répartis
sur plusieurs sites si cela est nécessaire.
 Un support standard ouvert : Active Directory utilise DNS pour nommer et localiser
des ressources, ainsi les noms de domaines Windows 2003 sont aussi des noms de
domaine DNS. Active Directory fonctionne avec des services de clients différents tels
que NDS de Novell. Cela signifie qu’il peut chercher les ressources au travers d’un
navigateur Web.

6.7.2. Structure d’Active Directory

La structure d’Active Directory est hiérarchique, elle se décompose comme suit :

 Objet : représente une ressource du réseau qui peut être par exemple un ordinateur
ou un compte utilisateur.
 Classe : description structurelle d’objets tels les comptes d’utilisateurs, ordinateurs,
domaines, ou unités organisationnelles.
 Unité Organisationnelle (OU) : conteneur utilisé pour organiser les objets d’un
domaine à l’intérieur de groupes administratifs logiques tels les ordinateurs, les
imprimantes, les comptes d’utilisateurs, les fichiers partagés, les applications et
même d’autres unités organisationnelles.

Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine

dans le but de l’organiser pour :
 Organiser les différents objets objets ;
 Déléguer le contrôle d’une partie du domaine ;
 Appliquer des stratégies communes (Stratégies de groupe).

Les Unités Organisationnelles sont à la disposition des administrateurs et peuvent être

imbiquées entre elles. Cela signifie qu’il est possible de créer des Unités
Organisationnelles à tous les niveaux d’un domaine.

Figure 6.18.
L’icône d’une OU.

 Domaine : chacun des objets d’un réseau existe dans un domaine et chaque
domaine contient des informations des objets qu’il contient.
 Arbre : c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs
domaines Windows 2003 qui partagent les espaces de noms contigus. Tous les
domaines d’un même arbre partagent le même schéma commum et partagent un
catalogue commum.
 Forêt : c’est un groupement ou arrangement hiérarchique d’un ou plusieurs arbres
qui ont des noms disjoints. Tous les arbres d’une forêt partagent le même schéma
commum et le même catalogue, mais ont des structures de noms différentes.
Les domaines d’une forêt fonctionnent indépendamment les uns des autres, mais
les forêts permettent la communucation d’un domaine à l’autre.
 Sites : combinaison d’une ou plusieurs IP de sous-réseaux connectés par des liens
ç hauts débits. Ils ne font pas partie d’un espace de nommage d’Active Directory, et
ils contiennent seulement les ordinateurs, les objets et les connexions nécessaires
pour configurer la réplication entre sites. Ils permettent d’intégrer la topologie
physique du réseau dans d’Active Directory.
128
Les concepts évoqués dans les points précédents décrivent la structure logique
d’Active Directory. Hébergé par un ensemble de contrôleurs de domaine, chacun d’eux
échange et réplique les modifications dans leur base de données respective.

Afin de contrôler le trafic, Active Directory utilise une structure physique. Cette
fonctionnalité permet de maîtriser lesz échanges entre les contrôleurs de domaine,
selon leur implantation physique, et introduit la notion de site.

6.7.3 Gestion des Comptes

6.7.3.1. Comptes d’utilisateurs

Les comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources du

réseau. Ils sont associés à un mot de passe et fonctionnent dans un environnement
défini (machine locale ou domaine).

 Compte local : les informations de Comptes d’utilisateurs sont stockées localement

sur les machines hébergeant les ressources réseau. Si une modification doit être
apportée à un compte, celle-ci devra être répercutée manuellement sur toutes les
machines où le compte existe.

 Compte domaine : les informations de Comptes sont centralisées sur un serveur,

dans l’annuaire des objets du réseau. Si une modification doit être apportée à un
compte, elle doit être effectuée uniquement sur le serveur qui la diffusera à l’ensemble
du domaine.
Ainsi, un utilisateur disposant d’un compte local ne pourra s’authentifier que sur
la machine où est déclaré le compte, mais un utilisateur disposant d’un compte
domaine pourra s’authentifier sur toutes les machines du domaine (sauf restriction
explicite de l’administrateur).

6.7.3.2. Compte d’ordinateurs

Un compte d’ordinateur n’existe que dans un environnement de domaine, il permet

d’identifier chaque ordinateur qui a accès à la base de comptes Active Directory
notamment pour l’authentification des utilisateurs.

Les comptes d’ordinateur sont particulièrement utiles pour la sécurité et la gestion

centralisée : ainsi, on va pouvoir utiliser ces comptes pour configurer des audits,
l’IPSec (Internet Protocol SECurity), le déploiement de logiciels, les stratégies de
sécurité, …

6.7.3.3. Structure à plusieurs niveaux

Les domaines d’Active Directory bénéficient de conteneurs hiérarchiques que sont les
Unités Organisationnelles. Dans le principe, ces objets peuvent être assimilés aux
dossiers d’un système de fichiers, qui peuvent contenir des fichiers ou d’autres
dossiers.

Dans cette analogie, les fichiers représentent des objets (leaf objects) tels que des
utilisateurs ; ordinateurs, groupe, imprimantes, les sous-dossiers correspondent à un
sous-niveau de hiérarchie, et ainsi de suite.

Cette structure à plusieurs niveaux permet d’organiser les différents objets selon vos
propres critères : géographique, organisationnel, fonctionnel, …

129
 Figure 6.19. Structure à plusieurs niveaux d’Active Directory.
6.7.4. Les listes de contrôle d’accès

Un compte ou un groupe de comptes va donc disposer de privilèges qui seront

utilisés durant toute sa session. Lorsqu’un utilisateur accède à une ressource locale
ou une ressource sur le réseau, son jeton d’accès est analysé et une correspondance
est recherchée dans la liste de contrôle d’accès ACL (Access Control List) de cette
ressource. Cela signifie qu’une telle liste contient des noms d’utilisateur et de groupe
appelés ACEs (Access Control Entries).

Si aucune entrée correspondance n’est trouvée ; l’accès à la ressource est refusé. Si

au moins une entrée, utilisateur et/ou groupe est trouvée, le système cumule les
autorisations attribuées à chacune d’entre elles, à l’exception des refus.

Figure 6.20. Principe d’accès aux ressources du réseau.

130
 Ce concept d’obtention des autorisations est identique pour tous les objets sécurisés
(partage de dossier, fichiers NTFS, objets Active Directory, registre, etc.).

 Contrairement au jeton d’accès, le contenu d’un ACL est dynamique. Cela signifie
que toute modification de son contenu influence immédiatement l’accessibilité à la
ressource.

6.8. TYPES D’ARCHITECTURE CLIENT-SERVEUR

Un réseau en architecture client-serveur peut avoir 2 niveaux, 3 niveaux ou plus

suivant les tâches (services) effectuées par le(s) serveur(s).

6.8.1. Architecture à 2 niveaux ou 2-tiers

L'architecture à deux niveaux (aussi appelée architecture 2-tiers, le terme anglais tier
ou encore strate signifiant rangée ou étage) caractérise les systèmes clients/serveurs
pour lesquels le client demande une ressource et le serveur la lui fournit directement,
en utilisant ses propres ressources. Cela signifie que le serveur ne fait pas appel à
une autre application afin de fournir une partie du service.

Il s’agit d’une architecture « client-serveur » assez simple, dans laquelle on a d’un côté
le client et de l’autre le serveur. Ce genre d’architecture peut se faire sur tout type
d’architectures matérielles interconnectées.

Concrètement, le client demande un service au serveur, comme par exemple la page

contact.html, le serveur reçoit cette requête http, il effectue un traitement, et renvoie
au client la ressource demandée.

Figure 6.21. Réseau client-serveur en architecture à 2 niveaux.

L'architecture à deux niveaux est donc une architecture client/serveur dans laquelle le
serveur est polyvalent, c'est-à-dire qu'il est capable de fournir directement l'ensemble
des ressources demandées par le client.

Les avantages d’une architecture client-serveur 2-tiers c’est que tout d’abord les
ressources sont centralisées sur le serveur. Il est donc plus simple de gérer les
ressources communes aux utilisateurs comme la base de données par exemple.
Ensuite, cette architecture est plus sécurisée étant donné que le client dispose de
moins de point d’entrée pour accéder aux données.

Cependant, l’architecture 2-tiers dispose d’un grand inconvénient : vu que le serveur

est le cœur du réseau, s’il tombe en panne, tout le réseau est paralysé. De plus, il est
beaucoup moins flexible que l’architecture à 3 niveaux.

131
6.8.2. Architecture à 3 niveaux ou 3-tiers

C'est une extension du modèle client-serveur. Dans l’architecture 3-tiers, un nouveau

niveau fait son apparition. En effet, on a toujours le niveau 1 qui est le client. Le client
est très léger étant donné qu’il n’a aucun rôle de traitement. Au niveau 2 nous avons le
serveur d’application et enfin, au dernier niveau le serveur de base de donnée.

Dans l'architecture à 3 niveaux (appelée architecture 3-tier), il existe un niveau

intermédiaire, c'est-à-dire que l'on a généralement une architecture partagée entre :

1. Un client, c'est-à-dire l'ordinateur demandeur de ressources, équipé d'une interface

utilisateur (généralement un navigateur web) chargée de la présentation ;
2. Le serveur d'application (appelé également middleware), chargé de fournir la
ressource mais faisant appel à un autre serveur
3. Le serveur de données, fournissant au serveur d'application les données dont il a
besoin.

Le terme d'architecture à 3 niveaux peut parfois désigner aussi les architectures

suivantes :
 Partage d'application entre client, serveur intermédiaire, et serveur d'entreprise ;
 Partage d'application entre client, serveur d'application, et serveur de base de
données d'entreprise.

Figure 6.22. Réseau client-serveur en architecture à 3 niveaux.

Les points importants d’une application 3-tiers sont :

1) Le client ne sert qu’à requêter et à afficher les réponses du serveur.
2) Le serveur s’occupe des calculs et même de requêter des serveurs additionnels

Les avantages d’une architecture 3-tiers sont nombreux :

- cette architecture étant plus divisé, permet d’avoir, du point de vue du
développement, une spécialisation des développeurs selon le niveau de l’application
(un développeur front-end, back-end…) ;
- cette architecture offre une flexibilité beaucoup plus importante que l’architecture 2-
tiers. En effet, la portabilité du tiers serveur permet d'envisager une allocation et ou
modification dynamique au gré des besoins évolutifs au sein d'une entreprise.

Seul inconvénient de cette architecture est le coût. En effet d’après certaines études
une architecture 3-tiers serait plus onéreuse.

132
N.B.
- Utiliser une architecture à 3 niveaux permet de diviser les tâches et par conséquent
d’avoir des développeurs spécialisé sur un des trois niveaux. De plus, la flexibilité
qu’offre ce genre d’infrastructure est à prendre en considération surtout si on travaille
sur un projet qui peut être amené à évoluer.
- Dans l'architecture à trois niveaux, les applications au niveau serveur sont
délocalisées, c'est-à-dire que chaque serveur est spécialisé dans une tâche (serveur
web/serveur de base de données par exemple).
- Dans l’environnement Windows, le Serveur d’applications joue le rôle de
Contrôleur de domaine et c’est sur lui qu’on va faire fonctionner l’annuaire Active
Directory.

La figure 6.23 représente un réseau client-serveur dans lequel les rôles serveurs
(tâches ou services) sont répartis sur plusieurs serveurs.

Figure 6.23. Réseau client-serveur avec des services répartis sur plusieurs serveurs.

Les différents rôles serveurs répartis dans le réseaux ci-dessus sont :

 Serveur de noms de domaine DNS (Domain Name System ) : service fournissant

l’adresse IP d’un site Web ou d’un nom de domain afin qu’un hôte puisse s’y
connecter.
 Seveur Telnet : service permettant aux administrateurs de se connecter à un hôte
depuis un site distant et distant et de contrôler l’hôte comme s’ils étaient connectés
localement.
 Serveur de messagerie : utilise le protocole SMTP (Simple Mail Transfer
Protocol), POP3 (Post Office Protocol version 3) ou IMAP (Internet Message
Access Protocol). Il permet d’envoyer des courriels depuis des clients vers des
serveurs via Internet. Les destinataires sont indiqués sous la forme
« utilisateur@xyz ».

133
 Serveur DHCP (Dynamic Host Configuration Protocol) : service attribuant aux
clients diverses informations, notamment une adresse IP, un maque de sous-réseau
et une passerelle par défaut.
 Serveur Web : permet de transférer des informations entre les clients Web et les
serveurs Web. Il utilise le protocole HTTP (Hyoertext Transfer Protocol) et l’accès à
la plupart des pages Web se fait via HTTP.
 Sereur FTP (File Transfer Protocol) : service permettant le téléchargement de
fichiers entre un client et un serveur.

Cette organisation a l’avantage de garantir une certaine sécurité du réseau par ce

qu’en cas de panne de l‘un des serveurs les autres services continuent à fonctionner
normalement et cela permet également une détection facile de panne si l’un des
services n’est plus assuré car on saura immédiatement quel serveur ne fonctionne pas.

On constate alors que l'architecture à trois niveaux permet :

 Une plus grande flexibilité/souplesse ;
 Une sécurité accrue car la sécurité peut être définie indépendamment pour chaque
service, et à chaque niveau ;
 De meilleures performances, étant donné le partage des tâches entre les différents
serveurs.

Remarque :
Dans l'architecture à 3 niveaux, chaque serveur (niveaux 2 et 3) effectue une tâche (un
service) spécialisée. Un serveur peut donc utiliser les services d'un ou plusieurs autres
serveurs afin de fournir son propre service. Par conséquent, l'architecture à trois
niveaux est potentiellement une architecture à N niveaux ou multiniveaux.

Figure 6.24. Architecture multiniveaux.

6.9. TYPES DE CLIENTS

On distingue les types suivants de clients :

- Client lourd
- Client léger
- Client riche

134
6.9.1. Client léger

Le terme client léger (aussi appelé par un anglicisme thin) désigne parfois des
éléments matériels et parfois des éléments logiciels.

6.9.1.1. Client léger au sens matériel

Au sens matériel, un client léger est un ordinateur qui, dans une architecture client-
serveur, n'a presque pas de logique d'application. Il dépend donc surtout du serveur
central pour le traitement.

C'est sur le presque pas que la nuance se fait.

Un client léger peut se contenter d'une machine minimaliste en termes de matériel :
 un ordinateur (fort) ancien.
 un ordinateur moderne.
 un ordinateur créé pour faire du client léger.

Figure 6.25. Sunray, le client léger

de Sun Microsystems.

6.9.1.2. Client léger au sens logiciel

Comme client léger au sens logiciel on a par exemple : un navigateur Web est un
client universel, particulièrement quand une applet est téléchargée.

L'usage veut qu'une application en client léger n'impose à l'utilisateur que d'avoir un
navigateur Web, même s'il doit être équipé de plugins ou de machines virtuelles
(pour les applets Java).

Figure 6.26.
Client léger web.

On peut aussi parler de clients légers pour désigner les terminaux RDP (Remote
Desktop Protocol) ou Citrix dit Citrix XenApp (anciennement Metaframe),
Systancia AppliDis du côté de Microsoft Windows, ou 2X, DotRiver ou encore les
terminaux X pour les systèmes UNIX.

135
Avec l'apparition d'AJAX et des nombreuses applications associées, on utilise aussi
l'appellation client léger pour les applications laissant quasiment tout le traitement au
serveur.

Par exemple, le projet LTSP (Linux Terminal Server Project) permet de mettre en
place un réseau composé d'un serveur sous Linux et de clients légers, qui sont ici des
PC reconvertis en terminaux X.

6.9.1.3. Intérêt du client léger

La logique qui prévaut au déploiement de clients légers est une logique

essentiellement économique. Il s'agit de réduire le coût total de possession et de
gestion. Il ne faut toutefois pas oublier une certaine dimension écologique dans le cas
du recyclage de vieux ordinateurs en clients légers matériels.

6.9.1.4. Inconvénient du client léger

L'utilisation de clients légers nécessite beaucoup de bande passante (ce qui

augmente les coûts réseau pour une entreprise par exemple) et ne permet l'utilisation
du logiciel qu'en mode connecté. En cas d'indisponibilité du réseau, plus aucune
application n'est utilisable. Pour at
ténuer cet inconvénient majeur, il existe des projets de logiciels fonctionnant hors
connexion comme, entre autres, le concept Google Gears (abandonné en 2009 au
profil de HTML 5).

6.9.2. Client lourd

Un client lourd est un logiciel qui propose des fonctionnalités complexes avec un
traitement autonome. La notion de client s'entend dans une architecture client-serveur.
Contrairement au client léger, le client lourd ne dépend du serveur que pour l'échange
des données dont il prend généralement en charge l'intégralité du traitement.

6.9.3. Client riche

On utilise l'appellation client riche pour les applications effectuant une grande partie du
traitement côté client.

Le client riche permet de développer des applications traditionnelles type client lourd,
ou des applications type client-serveur.

Il propose :
 un framework de développement et des composants de base pour faciliter le travail
des développeurs incluant notamment des composants IHM enrichis ;
 un environnement d'exécution à installer sur les postes clients, comprenant des
composants de base sur lequel seront déployées les applications ; typiquement
l'environnement d'exécution Java (JRE) pour les applications écrites en langage
Java ;
 une technologie de déploiement type Java Web Start permettant de simplifier et
automatiser la mise à jour à distance des clients.

Les Rich Internet Applications sont fréquemment incluses dans la technologie client
riche, car elles proposent elles aussi une ergonomie enrichie tout en restant déployées
au niveau des serveurs, le navigateur web jouant alors le rôle d'environnement
d'exécution.

136
 Plateforme client riche
Une plateforme client riche (en anglais Rich Client Platform ou RCP) permet le
développement de clients riches.

Remarque :
- Les clients lourds sont des logiciels destinés à être installés localement sur une
machine en opposition aux clients légers qui s'exécutent par exemple dans un
navigateur web, mais nécessitent obligatoirement un serveur.
- Un client riche tente de proposer le meilleur des deux mondes.

6.10. LA VIRTUALISATION

6.10.1. LE PC-SHARING

La Virtualisation par PC-Sharing est une combinaison intégrant matériels et logiciels

qui permet à un ordinateur d’être utilisé par plusieurs utilisateurs en simultané.
C’est-à-dire qu’on maximise la puissance d’un PC en le rendant multi-utilisateurs.
Tous les utilisateurs peuvent accéder individuellement à toutes les ressources et
applications disponibles sur le PC et dans leur propre espace de travail.

Virtuellement on a plusieurs ordinateurs pour surfer sur Internet, faire de la saisie, de

la comptabilité, jouer à plusieurs, réaliser la vidéoconférence et exécuter tant
d’autres applications.

Figure 6.27. Virtualisation par PC-Sharing, 1 PC pour plusieurs utilisateurs.

La Virtualisation par PC-Sharing est adaptée pour les Conférences, les Bureaux, les
productions audiovisuelles, les Cyber-cafés et les écoles.

La figure 6.28 représente un système PC-Sharing comprenant un ordinateur (le PC-

Hôte), un Routeur/Switch, des boîtiers adaptateurs de connexion des terminaux et
périphériques (moniteur, clavier souris, microphone, casque et écouteur, clé USB…).

Figure 6.28. Structure et configuration du PC-Sharing.

137
 Figure 6.29. Le boîtier adaptateur pour Terminaux.

6.10.2. Serveur virtuel

C’est un serveur n’existant pas vraiment mais il est hébergé par un autre serveur qui
existe physiquement. Techniquement, il n’y a qu’une seule machine, mais de
l’extérieur, on en voit plusieurs. Cela permet d’économiser sur le matériel.

6.11. LE CLIENT-SERVEUR ET L’INTERNET

6.11.1. Clients, seveurs et leur interaction

6.11.1.1. Topologies des réseaux

Dans un réseau simple, constitué de quelques ordinateurs, il est très facile de

représenter la façon dont les divers composants sont interconnectés. À mesure que le
réseau grandit, il devient de plus en plus difficile de retracer le suivi des emplacements
de chaque élément qui le compose et de la façon dont chacun est connecté au réseau.
Dans un réseau câblé, la connectivité à tous les hôtes requiert l'installation de
nombreux câbles et périphériques réseau.

Lorsque les réseaux sont installés, une carte de topologie physique est créée pour
enregistrer l'emplacement de chaque hôte, ainsi que sa place dans le réseau. La carte
de topologie physique représente également l'installation du câblage et l'emplacement
des périphériques réseau qui connectent les hôtes.
Dans la carte topologique, des icônes représentent les périphériques réels. Il est
primordial d'assurer la maintenance et la mise à jour des cartes de topologie physique.
En effet, elles serviront de référence lors des installations ultérieures, et sont utiles aux
activités de dépannage.

Outre une carte de topologie physique, une représentation logique de la topologie du

réseau s'avère parfois nécessaire. Une carte de topologie logique représente les
hôtes selon la façon dont ils utilisent le réseau, quel que soit leur emplacement
physique. Les noms, les adresses, les informations de groupe et les applications des
hôtes peuvent figurer sur la carte de topologie logique.

Les éléments à prendre en compte sont les suivants :

1) Configuration physique du réseau

 Emplacement physique des périphériques tels que les routeurs, les commutateurs
et les hôtes
 Interconnexion de tous les périphériques
 Emplacement et longueur de tous les parcours de câbles
 Configuration matérielle des périphériques finaux tels que les hôtes et les serveurs

138
2) Configuration logique du réseau

 Emplacement et taille des domaines de diffusion et de collision

 Système d'adressage IP
 Convention d'attribution de nom
 Configuration du partage
 Autorisations

Les figures 6.30 et 6.31 illustrent la différence entre une carte de topologie physique et
une carte de topologie logique dans une interaction entre clients et serveurs avec
connexion à l’Internet via un routeur-par-feu.

Figure 6.30. Configuration physique du réseau.

Figure 6.31. Configuration logique du réseau.

139
6.11.1.2. Connexion à l’Internet et attribution d'une adresse IP publique
ou privée à un périphérique réseau et à un hôte

Les hôtes peuvent être connectés à un fournisseur de services Internet et à Internet de

différentes manières. L'attribution ou non d'une adresse publique ou privée à un hôte
individuel dépend de la manière dont celui-ci est connecté.
1) Connexion directe

Certains clients ne disposent que d'un seul ordinateur ayant une connexion directe
fournie par le fournisseur de services Internet (FAI) via un modem. Dans ce cas,
l'adresse publique fournie par le serveur DHCP du fournisseur de services Internet est
attribuée à l'hôte unique.

2) Connexion avec un routeur intégré

Lorsque plusieurs hôtes ont besoin d'accéder à Internet, le modem du fournisseur de

services Internet peut être directement relié à un routeur intégré, plutôt que d'être
connecté directement à un ordinateur unique. Cela permet la création d'un réseau
domestique ou de petite entreprise. Le routeur intégré reçoit l'adresse publique par le
fournisseur de services Internet. Les hôtes internes reçoivent les adresses privées par
le routeur intégré.

3) Connexion avec un périphérique de passerelle

Les périphériques de passerelle regroupent un routeur intégré et un modem, dans

une unité, et se connectent directement au service du FAI. Comme avec les routeurs
intégrés, le périphérique de passerelle reçoit une adresse publique par le FAI, et
les PC internes reçoivent des adresses privées par le périphérique de passerelle.

Figure 6.32. Connexion Internet et attribution des adresses IP.

140
6.11.1.3. Relation client-serveur et Internet

Tous les jours, nous utilisons les services disponibles sur les réseaux et sur Internet
pour communiquer avec les autres et effectuer des tâches de routine. Cela est possible
grâce aux serveurs, clients et périphériques réseau nécessaires pour envoyer un
courriel, entrer des informations dans un blog ou profiter des meilleures offres sur une
boutique en ligne. La plupart des applications Internet couramment utilisées reposent
sur des interactions compliquées entre différents serveurs et clients.
Le terme « serveur » désigne un hôte exécutant une application logicielle qui fournit
des informations ou services à d'autres hôtes connectés au réseau (un serveur Web
est un exemple bien connu d'application).

Des millions de serveurs sont connectés à Internet pour fournir des services comme
les sites Web, les courriels, les transactions financières, les téléchargements de
musique, etc.
Pour que ces interactions complexes puissent fonctionner, un facteur joue un rôle
essentiel : ces interactions doivent toutes utiliser des normes et protocoles approuvés.

Caractéristiques d'un processus serveur :

 il attend une connexion entrante sur un ou plusieurs ports réseaux locaux ;
 à la connexion d'un client sur le port en écoute, il ouvre un socket local au système
d'exploitation ;
 à la suite de la connexion, le processus serveur communique avec le client suivant le
protocole prévu par la couche application du modèle OSI.

Caractéristiques d'un processus client :

 il établit la connexion au serveur à destination d'un ou plusieurs ports réseaux ;
 lorsque la connexion est acceptée par le serveur, il communique comme le prévoit la
couche applicative du modèle OSI.

Figure 6.33. Deux clients font leurs requêtes à un serveur via Internet.

- Le client et le serveur doivent utiliser le même protocole de communication au niveau

de la couche transport du modèle OSI.
- Un serveur est généralement capable de servir plusieurs clients simultanément.
- On parle souvent d'un service pour désigner la fonctionnalité offerte par un processus
serveur.
- On définit aussi comme serveur, un ordinateur spécialisé ou une machine virtuelle
ayant pour unique tâche l'exécution d'un ou plusieurs processus serveur.

Pour demander et voir une page Web, une personne utilise un périphérique exécutant
un logiciel client Web (exemple : un navigateur Web).

141
La principale caractéristique des systèmes client-serveur réside dans le fait que le
client envoie une requête à un serveur, lequel répond en exécutant une fonction, telle
que le renvoi d'informations au client. La combinaison d'un navigateur Web et d'un
serveur Web constitue l'exemple le plus courant de système client-serveur.

La figue 6.34 représente le processus client-serveur concernant l’interaction entre un

client web et un serveur web.

Figure 6.34. Interaction entre un client Web et un serveur Web.

6.11.1.4. Rôle des protocoles dans la communication client-serveur et l’Internet

Un serveur Web et un client Web utilisent des protocoles et normes spécifiques pour
l'échange d'informations afin d'assurer la réception et la compréhension des
messages. Ces protocoles couvrent : l'application, le transport, l'interréseau et
l'accès réseau.

 Protocole d'application
Le protocole de transfert hypertexte HTTP (Hypertext Transfer Protocol) régit la
manière dont un serveur Web et un client Web interagissent. HTTP définit le format
des requêtes et des réponses échangées entre le client et le serveur. HTTP repose
sur d'autres protocoles pour régir la manière dont les messages sont transportés
entre le client et le serveur.

 Protocole de transport
Le protocole de contrôle de transmission TCP (Transmission Control Protocol) est
le protocole de transport qui gère les conversations individuelles entre les
serveurs Web et les clients Web. TCP formate les messages HTTP en segments à
envoyer à l'hôte de destination. Il gère également le contrôle de flux et les accusés de
réception des paquets échangés entre les hôtes.

 Protocole interréseau
Le protocole interréseau le plus courant est le protocole IP (Internet Protocol).
IP est responsable de la prise en charge des segments formatés à partir de TCP, de
l'attribution de l'adressage logique et de l'encapsulation des segments en paquets
pour leur routage vers l'hôte de destination.
142
 Protocoles d'accès au réseau
Ethernet est le protocole le plus couramment utilisé pour les réseaux locaux. Les
protocoles d'accès au réseau remplissent deux fonctions principales : la gestion
des liaisons de données et les transmissions physiques via le réseau.

Remarque :

- Les protocoles de gestion des liaisons de données prennent les paquets à partir
d'IP et les encapsulent dans le format de trame adéquat pour le réseau local. Ces
protocoles attribuent les adresses physiques aux trames et préparent leur
transmission via le réseau.

- Les normes et protocoles relatifs aux supports physiques stipulent comment les
bits sont représentés sur les supports, comment les signaux sont envoyés via les
supports et comment ceux-ci sont interprétés par les hôtes récepteurs. Les cartes
réseau implémentent les protocoles

6.11.2. Protocole de transport TCP et UDP

Chaque service disponible sur le réseau a ses propres protocoles d'application,

implémentés dans le logiciel serveur et dans le logiciel client. En plus des protocoles
d'application, tous les services Internet courants utilisent le protocole IP afin d'adresser
et de router les messages entre les hôtes sources et les hôtes de destination.

 IP ne s'occupe que de la structure, de l'adressage et du routage de paquets. IP fixe le

mode de livraison ou de transport des paquets ;
 Les protocoles de transport définissent comment transmettre les messages entre les
hôtes ;
 Les deux protocoles de transport les plus courants sont le protocole TCP
(Transmission Control Protocol, protocole de contrôle de transmission) et le
protocole UDP (User Datagram Protocol, protocole de datagramme utilisateur) ;
 Le protocole IP utilise ces protocoles de transport (TCP et UDP) pour permettre aux
hôtes de communiquer et de transmettre des données.

Figure 6.35. Interaction des protocoles dans la communication réseau.

HTTP : spécifie le format de la requête de page Web (de la part du client) et la réponse
(de la part du serveur) ;
TCP : détermine le contrôle du flux et les accusés de réception de l’échange de
paquets ;
IP : identifie la source et la destination lors de l’envoi de paquets sur le réseau.

143
6.11.2.1. Protocole TCP

Une application qui a besoin d'un accusé de réception, pour s'assurer que le message
est bien transmis, utilise TCP. Ce processus est similaire à l'envoi d'une lettre
recommandée par la poste, dont le destinataire accuse réception par sa signature.

 TCP découpe un message en petits morceaux appelés segments.

 Les segments, numérotés en séquence, sont ensuite passés au processus IP pour
être assemblés en paquets.
 TCP conserve une trace du nombre de segments qui ont été envoyés à un hôte
donné à partir d'une application spécifique.
 Si l'expéditeur ne reçoit pas d'accusé de réception au bout d'un certain temps, il
suppose que les segments ont été perdus, et il les retransmet.
 Seule la partie du message qui a été perdue est renvoyée, pas l'intégralité.

Sur l'hôte récepteur, TCP est responsable de la reconstitution des segments de

message et de leur transmission à l'application.
FTP et HTTP sont des exemples d'applications utilisant TCP pour assurer la
transmission des données.

6.11.2.2. Protocole UDP

Dans certains cas, le protocole d'accusé de réception TCP n'est pas nécessaire. Il
ralentit même le transfert des informations. Dans ce cas, UDP peut s'avérer être un
protocole de transport plus approprié.

UDP est un système d'acheminement « au mieux » qui ne nécessite pas d'accusé de

réception. Ce processus est similaire à l'envoi d'une lettre ordinaire par la poste. La
réception de la lettre n'est pas garantie, mais il y a de bonnes chances pour qu'elle
parvienne à destination.

 UDP est à préférer, notamment pour la lecture audio en continu, la vidéo et la voix
sur IP (VoIP).
 Les accusés de réception ralentiraient la livraison, et les retransmissions ne sont pas
souhaitables.
 La webradio est un exemple d'application utilisant UDP. Si une partie du message
est perdue pendant sa transmission via le réseau, elle n'est pas retransmise. Si
certains paquets manquent, il se peut que la personne qui écoute entende de légères
interruptions dans le son. Si TCP était utilisé et si les paquets perdus étaient
renvoyés, la transmission serait interrompue pour recevoir ces paquets, et
l'interruption se remarquerait davantage.

6.11.3. Système des noms de domaine (DNS : Domain Name System)

Des milliers de serveurs, installés en différents endroits, fournissent les services que
nous utilisons quotidiennement sur Internet. Chacun de ces serveurs se voit attribuer
une adresse IP unique qui l'identifie sur le réseau local sur lequel il est connecté.

Le DNS est un système qui permet de mettre en correspondance des noms d’hôtes
conviviaux ou des URL et des adresses IP.

URL (Uniform Resource Locator) : chaîne alphanumérique dans un format spécifique

qui représente un périphérique, un fichier ou une page Web situés sur Internet.

144
Il serait impossible de se souvenir de toutes les adresses IP de tous les serveurs
hébergeant des services sur Internet. Il existe un moyen plus facile de localiser les
serveurs, qui consiste à associer un nom et une adresse IP.

 Le système de noms de domaine (DNS) permet aux hôtes d'utiliser ce nom pour
demander l'adresse IP d'un serveur donné.
 Les noms DNS sont enregistrés et organisés sur Internet au sein de groupes ou de
domaines de haut niveau spécifiques.
 Parmi les domaines de haut niveau les plus fréquents sur Internet, figurent .com,
.edu et .net.

Un serveur de noms de domaine DNS contient une table qui associe les noms d'hôte
dans un domaine aux adresses IP correspondantes.

 Lorsqu'un client a le nom d'un serveur, un serveur Web par exemple, mais qu'il a
besoin d'en trouver l'adresse IP, il envoie une requête au serveur de noms de
domaine DNS sur le port 53.
 Le client utilise l'adresse IP du serveur de noms de domaine configurée dans les
paramètres DNS de la configuration IP de l'hôte.
 Lorsque le serveur de noms de domaine reçoit la requête, il consulte sa table pour
déterminer l'adresse IP associée à ce serveur Web.
 Si le serveur de noms de domaine local n'a aucune entrée pour le nom demandé, il
envoie une requête à un autre serveur de noms de domaine se trouvant dans le
domaine.
 Lorsque le serveur de noms de domaine obtient l'adresse IP, il renvoie cette
information au client.
 Si le serveur de noms de domaine ne peut pas déterminer l'adresse IP, le délai
d'attente pour la requête est dépassé, et le client ne peut pas communiquer avec le
serveur Web.

Le logiciel client s'associe au protocole DNS pour obtenir les adresses IP en toute
transparence pour l'utilisateur.

Figure 6.36. Obtention de l’adresses IP par un client.

145
6.11.4. Clients et serveurs Web

Lorsqu'un client Web reçoit l'adresse IP d'un serveur Web, le navigateur client utilise
cette adresse IP et le port 80 pour demander des services Web. Cette requête est
envoyée au serveur à l'aide du protocole de transfert hypertexte (HTTP).
Lorsqu'un serveur reçoit une requête sur le port 80, il répond à la requête du client et
envoie la page Web au client.

Les informations contenues dans une page Web sont codées à l'aide de langages de
balisage spécialisés. Le langage de balisage hypertexte HTML (Hypertext Markup
Language) est le plus couramment utilisé, mais d'autres langages comme XML
(eXtensible Markup Language) et XHTML (eXtensible Hypertext Markup
Language) gagnent en popularité.

Le protocole HTTP n'est pas sûr : lors de leur envoi via le réseau, les informations
peuvent facilement être interceptées par d'autres utilisateurs. Afin d'assurer la sécurité
des données, HTTP peut être utilisé avec des protocoles de transport sûrs.

Les requêtes pour un HTTP sécurisé sont envoyées au port 443 (HTTPS : Hypertext
Transfer Protocol Secure). Elles nécessitent l'utilisation d'https : avec le navigateur,
dans l'adresse du site, plutôt qu'http:.

Sur le marché, il existe de nombreux services et clients Web différents.

Le protocole HTTP et HTML permettent à ces serveurs et clients conçus par plusieurs
organisations différentes de travailler ensemble sans heurts.

La consultation d’une page Web se fait en deux phases, à savoir :

1) Récupérer l’adresse IP du serveur Web à partir de son nom dans le serveur DNS
- Le client utilise le système DNS pour obtenir l’adresse IP du serveur Web démandé.
2) Utiliser l’adresse IP obtenue pour accéder au serveur Web
- Le client envoie une requête HTTP au port de destination 80 pour la page Web
HTML.
- Le serveur envoie la page Web HTML au client.
- Le client interprète le HTML et affiche la page Web pour l’utilisateur.

Figure 6.37. Le processus de consultation d’une page Web.

146
6.11.5. Clients et serveurs FTP

En plus des services Web, un autre service couramment utilisé sur Internet permet aux
utilisateurs de transférer des fichiers.

Le protocole FTP offre une méthode simple de transfert de fichiers d'un ordinateur à un
autre. Un hôte exécutant un logiciel client FTP peut accéder à un serveur FTP pour
réaliser diverses tâches de gestion de fichiers, notamment le téléchargement de
fichiers.

Le serveur FTP permet à un client d'échanger des fichiers entre des périphériques.
Il permet également aux clients de gérer des fichiers à distance, en envoyant des
commandes de gestion de fichiers, telles que supprimer ou renommer. Pour ce faire, le
service FTP utilise deux ports différents pour permettre la communication entre le
client et le serveur.

Des requêtes pour démarrer une session FTP sont envoyées au serveur à l'aide du
port de destination 21. Une fois la session ouverte, le serveur passe au port 20 pour
transférer les fichiers de données.

Le logiciel client FTP est intégré aux systèmes d'exploitation des ordinateurs et à la
plupart des navigateurs Web.
Les clients FTP autonomes présentent un grand nombre d'options dans une interface
graphique utilisateur simple d'utilisation.

Figure 6.38. Uilisation de l’invite de commande donnant accès au client FTP.

6.11.6. Clients et serveurs de messagerie

La messagerie est l'une des applications client-serveur les plus populaires sur Internet.
Les serveurs de messagerie exécutent un logiciel serveur leur permettant d'interagir
avec les clients et avec d'autres serveurs de messagerie sur le réseau.

Chaque serveur reçoit et stocke des courriels pour les utilisateurs dont les boîtes aux
lettres sont configurées sur le serveur de messagerie. Chaque utilisateur ayant une
boîte aux lettres doit ensuite utiliser un client de messagerie pour accéder au serveur
de messagerie et lire les messages.

Les serveurs de messagerie sont également utilisés pour envoyer des courriels
adressés à des boîtes aux lettres locales ou se trouvant sur d'autres serveurs de
messagerie.

Les boîtes aux lettres sont identifiées par le format :

[email protected].

147
Divers protocoles d'application utilisés dans le traitement des courriels incluent SMTP,
POP3 et IMAP4.

Figure 6.39. Envoi d’un message par un client de messagerie.

 Protocole SMTP (Simple Mail Transfer Protocol)

Le SMTP constitue la configuration nécessaire pour les échanges de courriels sur

Internet.

Le SMTP est utilisé par un client de messagerie pour envoyer des messages à son
serveur de messagerie local. Le serveur local décide ensuite si le message est destiné
à une boîte aux lettres locale ou s'il est adressé à une boîte aux lettres se trouvant sur
un autre serveur.

Si le serveur doit envoyer le message à un serveur différent, SMTP est également

utilisé entre les deux serveurs. Les requêtes SMTP sont envoyées au port 25.

 Protocole POP (Post Office Protocol, POP3)

Le POP3 est un protocole Internet de couche application permettant à un client local

de récupérer des courriels depuis un serveur distant via une connexion TCP/IP

Un serveur qui prend en charge les clients POP reçoit et stocke des messages
adressés à ses utilisateurs. Lorsque le client se connecte au serveur de messagerie,
les messages sont téléchargés vers le client. Par défaut, les messages ne sont pas
conservés sur le serveur une fois que le client y a accédé. Les clients contactent les
serveurs POP3 sur le port 110.

 Protocole de messagerie IMAP (Internet Message Access Protocol, IMAP4)

L’IMAP est un protocole Internet de couche application permettant à un client local

d’accéder à une messagérie électronique sur un serveur distant.

Un serveur qui prend en charge les clients IMAP reçoit et stocke également les
messages adressés à ses utilisateurs. Cependant, il conserve les messages dans les
boîtes aux lettres sur le serveur, sauf si ceux-ci sont supprimés par l'utilisateur.

La version la plus répandue d'IMAP, IMAP4, écoute les requêtes des clients sur le
port 143.

148
IMAP est donc dans sa version 4 qui est destinée à remplacer POP3 qui est nettement
moins performant. IMAP stocke le courriel sur le serveur et non pas sur le client et
gère toute la chose de façon corectement sécurisée.

Figure 6.40. Serveur et client de messagerie POP3/SMTP et IMAP4/SMTP.

Remarque :
- De nombreux serveurs de messagerie différents existent pour les diverses
plateformes de système d'exploitation de réseau.
- Un client de messagerie se connecte au serveur de messagerie pour télécharger et
afficher les messages.
- La plupart des clients de messagerie peuvent être configurés pour utiliser POP3 ou
IMAP4, selon le serveur de messagerie sur lequel la boîte aux lettres se trouve.
- Les clients de messagerie doivent également pouvoir envoyer des courriels au
serveur à l'aide de SMTP.

Différents serveurs de messagerie peuvent être configurés pour les messages

entrants et les messages sortants.

149
Voici des entrées types en matière de configuration d'un client de messagerie :
 Nom du serveur POP3 ou IMAP4
 Nom du serveur SMTP
 Nom d'utilisateur
 Mot de passe utilisateur
 Filtres courrier indésirable et virus

La figue 6.41 montre la configuration de base d'un compte de messagerie POP3

et SMTP utilisant Microsoft Outlook (client de messagérie qui réalise la prouesse
d’exécuter parfois tout seul le code qu’il trouve dans un mail).

Figure 6.41. Configuration de base d'un compte de messagerie POP3 et SMTP.

6.11.7. Clients et serveurs IM

IM (Instant Messaging ou Immediat Message) est un principe d’échange de

messages reçus aussitôt qu’envoyés, par opposistion aux mails dont on sait quand on
les envoie mais jamais quand ils seront lus.

L’IM, appelée messagerie instantanée (MI) en franàais, est actuellement l'un des
outils de communication les plus populaires. Le logiciel de MI est exécuté localement
sur chaque ordinateur et permet aux utilisateurs de communiquer ou de dialoguer
sur Internet en temps réel.
De nombreuses applications MI différentes sont proposées par diverses entreprises.
Chaque service de messagerie instantanée peut utiliser un protocole et un port de
destination différents ; deux hôtes doivent donc être dotés de logiciels MI
compatibles pour pouvoir communiquer.

150
- Les applications MI nécessitent une configuration minimale pour fonctionner.
- Une fois le client téléchargé, il ne reste plus qu'à entrer le nom d'utilisateur et le mot
de passe. Cela permet au client MI de s'authentifier pour accéder au réseau de
messagerie instantanée.
- Une fois connectés au serveur, les clients peuvent envoyer des messages en temps
réel à d'autres clients.
- En plus des messages texte, la messagerie instantanée prend en charge le transfert
de fichiers vidéo, musicaux et vocaux.
- Les clients MI peuvent avoir une fonction de téléphonie qui permet aux utilisateurs de
passer des appels téléphoniques via Internet.
- Une configuration supplémentaire est envisageable pour personnaliser le client MI
avec des listes de contact et une apparence personnelle.

Figure 6.42. Réalisation de la MI via l’Internet entre deux correspondans (clients).

Le logiciel client MI peut être téléchargé et utilisé sur tous les types d'hôtes,
notamment : les ordinateurs, les assistants numériques personnels (PDA) et les
téléphones portables.

6.11.8. Clients et serveurs vocaux

Passer des appels téléphoniques via Internet est une pratique de plus en plus
répandue. Un client de téléphonie Internet utilise une technologie peer to peer
similaire à celle utilisée par la messagerie instantanée. La téléphonie IP se sert de la
technologie voix sur IP (VoIP) qui utilise des paquets IP pour transporter une voix
numérisée sous forme de données.

Pour utiliser la téléphonie par Internet, téléchargez le logiciel client auprès de l'une des
sociétés qui fournit ce service. Les tarifs des services de téléphonie par Internet
peuvent varier considérablement selon les régions et les fournisseurs.

151
- Une fois le logiciel installé, l'utilisateur choisit un nom unique. C'est ce qui permet de
recevoir les appels émis par d'autres utilisateurs.
- Des haut-parleurs et un microphone, intégrés ou séparés, sont nécessaires. Un
casque est souvent branché sur l'ordinateur pour servir de téléphone.

- Les appels sont passés à d'autres utilisateurs du même service sur Internet ; il faut
pour cela sélectionner le nom d'utilisateur dans une liste.
- Un appel vers un téléphone ordinaire (fixe ou portable) passe par une passerelle
pour accéder au réseau téléphonique public commuté (RTPC).

Figure 6.43. Appel vers un téléphone ordinaire.

Remarque :
Les protocoles et ports de destination utilisés par les applications de téléphonie
Internet peuvent varier en fonction du logiciel.

6.11.9. Fonctionnement des protocoles en matière d’envoi et de réception d’un

message

1) Envoi de message

Lors de l'envoi de messages sur un réseau, la pile de protocoles sur un hôte

fonctionne de haut en bas.
- Dans l'exemple du serveur Web, le navigateur du client demande une page Web à un
serveur Web sur le port de destination 80.
- Cela lance le processus d'envoi de la page Web au client.

Avec l'envoi de la page Web à la pile de protocoles du serveur Web, les données
d'application sont scindées en segments TCP. Un en-tête contenant un port source et
un port de destination est attribué à chaque segment TCP.

Le segment TCP encapsule le protocole HTTP et les données utilisateur HTML pour la
page Web, qu'il envoie ensuite à la couche de protocole suivante, à savoir la
couche IP. Le segment TCP est alors encapsulé dans un paquet IP, qui ajoute un en-
tête IP. L'en-tête IP contient les adresses IP source et de destination.

Ensuite, le paquet IP est envoyé au protocole Ethernet, où il est encapsulé dans un en-
tête de trame et une queue de bande. Chaque en-tête de trame Ethernet contient une
adresse MAC source et une adresse MAC de destination. La queue de bande contient
des informations de vérification des erreurs. Enfin, les bits sont codés sur les supports
Ethernet (câble à fibre optique ou en cuivre) par la carte réseau du serveur.

152
 Figure 6.44. Envoi de message.

2) Réception de message

Lors de la réception de messages envoyés sur le réseau, la pile de protocoles sur un

hôte fonctionne de bas en haut. Nous avons vu précédemment le processus
d'encapsulation au niveau de chaque couche lorsque le serveur Web envoie la
page Web au client. Le processus de réception de la page Web commence la
désencapsulation du message par le client.

- Une fois les bits reçus par la carte réseau du client, ils sont décodés, et l'adresse
MAC de destination est identifiée par le client comme étant la sienne.
- La trame est envoyée à la pile de protocoles du client Web, où l'en-tête Ethernet
(adresses MAC source et de destination) et la queue de bande sont supprimés
(désencapsulés). Le paquet et le contenu IP restants sont transmis à la couche IP.
- Au niveau de la couche IP, l'en-tête IP (adresses IP source et de destination) est
supprimé, et le contenu est transmis à la couche TCP.
- Au niveau de la couche TCP, l'en-tête TCP (ports source et de destination) est
supprimé, et le contenu des données utilisateur pour la page Web est transmis à
l'application de navigation via HTTP. Une fois les segments TCP reçus, ils sont
assemblés pour créer la page Web.

Figure 6.45. Réception de message.

153
6.11.10. Serveur cache, serveur mandataire ou serveur proxy

C’est à l'origine une machine ou un composant logiciel faisant fonction

d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois des protocoles
autres que le protocole TCP/IP) et Internet.

La plupart du temps le serveur proxy est utilisé pour le web, il s'agit alors d'un proxy
HTTP.
Toutefois, il peut exister des serveurs proxy pour chaque protocole applicatif (HTTP,
FTP, SMTP ...).

6.11.10.1. Proxy réseau

Dans l'environnement plus particulier des réseaux, un serveur proxy (serveur

mandataire en français) est une fonction informatique client-serveur qui a pour
fonction de relayer des requêtes entre une fonction cliente et une fonction serveur
(couches 5 à 7 du modèle OSI).

Les serveurs proxy sont notamment utilisés pour assurer les fonctions suivantes :

 accélération de la navigation : mémoire cache, compression de données, filtrage des

publicités ou des contenus lourds (java, flash);
 la journalisation des requêtes (logging) ;
 la sécurité du réseau local ;
 le filtrage et l'anonymat.

6.11.10.2. Accès internet

Les fournisseurs d'accès à internet (FAI) peuvent proposer des proxy pour la
connexion de leurs abonnés. Il faut pour cela que l'abonné paramètre correctement
son système (via un logiciel d'installation fourni par le FAI).

Mais il est également possible que le fournisseur d'accès utilise un proxy transparent
(sans configuration par l'utilisateur). Ce proxy permet par exemple au fournisseur
d'accès de connaître les habitudes de navigation de leurs abonnés ou de réduire le
nombre d'accès effectifs aux sites distants.

Figure 6.46. Interconnexion d’un LAN et l’Internet par serveur proxy.

Étant donné qu’il est probable que plusieurs clients demandent les mêmes
informations dans un court délai, ce serveur peut économiser les transferts en stockant
ces informations.

154
6.11.10.3. Quelques serveurs proxy logiciels

Pour HTTP :
- Squid : serveur open source le plus utilisé.
- Privoxy : serveur open source dont l'objectif est la protection des informations
personnelles des utilisateurs. Le nom Privoxy vient de la contraction de Privacy et
Proxy.
- FreeProxy : serveur permettant une navigation anonyme et sécurisée sur le Web.
- JanusVM : serveur permettant une navigation anonyme et sécurisée sur le Web.
- JonDonym (auparavant nommé JAP pour Java Anon Proxy) : logiciel populaire et
open source pour connecter aux chaînes des anonymiseurs.
- Ghost navigator : navigateur web pré-configuré pour se connecter à plusieurs
serveurs proxies répartis dans plusieurs pays.
- TcpCatcher : serveur proxy TCP et HTTP gratuit à but éducatif.
- Microsoft Forefront Threat Management Gateway : logiciel proposant un proxy et
un pare-feu.
- Varnish : serveur proxy simple et efficace.
Programmés en PHP :
- Proxies mis en oeuvre sur un serveur web, par exemple PHProxy ou Glype.
Pour SSH :
 SSH Proxy : serveur proxy pour le protocole SSH open source.
Pour IMAP :
 ImapProxy : serveur proxy open source pour le protocole IMAP
Pour SMTP :
- SMAP : serveur proxy pour le protocole SMTP.
Multi-protocoles :
- DeleGate (networking) : serveur proxy multi-plateforme multi-usage mandaté au
niveau applicatif ou au niveau session.

6.11.11. Protocole et serveur AAA

6.11.11.1. Le protocole AAA

En sécurité informatique, AAA correspond à un protocole qui réalise trois fonctions :

l'authentification, l'autorisation, et le compte ou la traçabilité (en anglais :
Authentication, Authorization, Accounting/Auditing).

– Authentification : l’authentification consiste à vérifier qu’une personne/équipement

est bien celle qu’elle prétend être. Ceci est généralement réalisé en utilisant un secret
partagé entre l’utilisateur et le serveur mère AAAH ou à l’aide de certificats.
– Autorisation : l’autorisation consiste à permettre l’accès à certains services ou
ressources. Un utilisateur peut par exemple demander à avoir une certaine bande
passante. Le serveur AAA lui autorisera ou non cette demande.
– Compte : le serveur AAA a la possibilité de collecter des informations sur l’utilisation
des ressources. Ceci permet à un opérateur de facturer un utilisateur suivant sa
consommation et d’effectuer la traçabilité des communications.

Les protocoles implémentant du AAA sont essentiellement utilisés par des opérateurs
offrant des services de télécommunications à des utilisateurs.
Ces protocoles leur permettent de contrôler l’accès à leurs réseaux et de connaître
l’utilisation de leurs ressources, de leur autoriser certains services et de collecter des
informations sur l’utilisation des ressources.
Ils peuvent ainsi facturer selon le temps de connexion ou selon la quantité
d’informations téléchargées.
Les protocoles AAA permettent aux opérateurs d’authentifier des utilisateurs.

155
Liste de protocoles AAA :
 RADIUS
 Diameter
 TACACS
 TACACS+

6.11.12.2. Le serveur AAA

Afin de contrôler les accès distants à un système informatique, il est tout d'abord
nécessaire (1) d'authentifier la personne souhaitant se connecter ; (2) s'assurer qu'elle
n'utilise ou ne lance que des actions pour lesquelles elle est autorisée et enfin (3) qu'il
soit possible de d'enregistrer ses actions à des fins d'audit ou de contrôle à postériori.

Dans certains contextes, ces 3 fonctions sont utilisées simultanément. Dans d'autres,
c'est uniquement la première (l'authentification) qui est utilisée. Tout dépendra du
niveau de sécurité souhaité, du nombre d'équipements ou d'utilisateurs, des besoins
de contrôle ou encore des obligations légales.

C'est sur un serveur central que ces 3 fonctions sont accessibles pour les clients.
On parle communément de "serveur AAA" (prononcer "serveur triple A").
Un client envoie une requête et le serveur répond.

Le schéma de la figure 6.47 représente l’architecture AAA la plus commune :

Figure 6.47. Architecture AAA.

1) RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-

serveur permettant de centraliser des données d'authentification.

Le but de RADIUS était à l'origine de permettre aux fournisseurs d'accès à Internet

d'authentifier les utilisateurs distants utilisant les connexions par modem RTC à partir
de multiples serveurs mais d'une seule base utilisateurs. L'identification sur les sites
Web par un nom et un mot de passe est aussi gérée en RADIUS, le serveur Apache
est un des clients Radius les plus répandus.

156
Le protocole RADIUS permet de faire la liaison entre des besoins d'identification et une
base d'utilisateurs en assurant le transport des données d'authentification de façon
normalisée.

Le protocole RADIUS est actuellement utilisé pour faire du AAA avec des utilisateurs
se connectant via des modems téléphoniques à Internet. L’utilisateur utilise PPP pour
accéder à un FAI via un serveur d’accès. Il envoie des informations permettant de
l’authentifier (typiquement login/password) au serveur d’accès. Celui-ci les envoie alors
à un serveur RADIUS qui se charge de l’authentifier. Si l’utilisateur est correctement
authentifié, le serveur RADIUS lui permet l’accès à Internet.

RADIUS a été conçu pour supporter un nombre limité d’équipements et donc un

nombre limité d’utilisateurs. Actuellement, les opérateurs doivent pouvoir rendre des
services et authentifier des milliers d’utilisateurs utilisant des technologies différentes.
Ils doivent aussi être capables de rendre des services à des utilisateurs venant
d’opérateurs différents, de préférence de façon sécurisée. Or RADIUS ne gère pas
explicitement les communications inter-domaine.

La communication RADIUS utilise le paradigme de requête-réponse, les requêtes sont

envoyées par le client au serveur, et les réponses sont envoyées par le serveur au
client.

2) Diameter

Diameter est un protocole d'authentification, successeur du protocole RADIUS.

Son nom est un jeu de mot, diameter, signifiant diamètre en anglais, qui est le double
du rayon, radius en anglais.

Le Diameter est actuellement le protocole le plus à même de satisfaire les nouveaux

besoins suscités par la mobilité. En particulier, il permet aux opérateurs d’authentifier
un utilisateur ayant souscrit un abonnement auprès d’un autre opérateur.

Il est notamment utilisé dans le cœur des réseaux de téléphonie mobile pour accéder
aux bases de données HLR et HSS permettant d'identifier, d'authentifier et de localiser
les abonnés mobiles 3G et LTE /4G.

Diameter est un protocole permettant à des domaines administratifs différents de

collaborer pour réaliser les fonctionnalités AAA. Il est constitué d’un protocole de base
qui définit le format des messages, comment ils sont transportés, les messages
d’erreurs ainsi que les services de sécurité que toutes les implémentations doivent
supporter.

Diameter a été conçu dans l’idée d’être facilement extensible. Pour cette raison, le
protocole de base est séparé de ses applications.

3) TACACS

TACACS (Terminal Access Controller Access-Control System) de Cisco, est

propriétaire et un protocole d'authentification distante utilisé pour communiquer avec
un serveur d'authentification, généralement utilisé dans des réseaux UNIX.

TACACS permet à un serveur d'accès distant de communiquer avec un serveur

d'authentification dans l'objectif de déterminer si l'utilisateur a le droit d'accéder au
réseau.

157
 4) TACACS+

TACACS+ (Terminal Access Controller Access-Control System Plus) est un

protocole permettant de fournir du contrôle d'accès pour les routeurs, les accès
réseaux et autres équipements réseaux grâce à un ou plusieurs serveurs centralisés.
TACACS+ est un protocole AAA qui est incompatible avec TACACS.

6.12. CONCLUSION

Suivant le principe du client-serveur, une application informatique est scindée en 2

processus qui peuvent être exécutés par deux ordinateurs différents, notamment le
client d’une part et le serveur d’autre part.

Un serveur fonctionne en permanence, répondant automatiquement à des requêtes

provenant d'autres dispositifs informatiques (les clients), selon le principe dit client-
serveur. Le format des requêtes et des résultats est normalisé, se conforme à des
protocoles réseaux et chaque service peut être exploité par tout client qui met en
œuvre le protocole propre à ce service.

L'avènement simultané des réseaux locaux, des services en ligne, de l'Internet, et de

l'architecture client-serveur sont des facteurs qui ont influencé le marché, la
technologie et les usages des serveurs.

Dans les produits du marché des serveurs, l'accent est mis sur le débit (nombre de
réponses données par unité de temps), la disponibilité et la scalabilité - capacité
d'adaptation à une augmentation de la demande. Les serveurs s'occupent de plusieurs
utilisateurs simultanément, et ont besoin d'une puissance de calcul supérieure à celle
des ordinateurs personnels. Les serveurs jouent un rôle clé dans de nombreux réseaux
et sont souvent logés dans des locaux ventilés et sécurisés.

Les serveurs fonctionnent continuellement, l'objectif visé étant la disponibilité continue

du service, 24 heures sur 24. Les constructeurs de matériel affirment souvent que
l'ordinateur peut assurer une disponibilité de 99,999 % (soit moins de 5 minutes
d'interruption par année). 6

6
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

158
CHAPITRE VII. RÉSEAUX ÉTENDUS ET TECHNIQUES DE ROUTAGE
INTER-RESEAUX

7.1. INTRODUCTION

Lorsqu’une entreprise s’agrandit pour inclure des succursales, des services de

commerce électronique ou des activités globales, un réseau local peut s’avérer
insuffisant pour satisfaire ses besoins commerciaux.

Au cours de leur développement, les entreprises s’étendent souvent d’un local unique
à de multiples filiales. Elles sont alors constituées de plusieurs sites qui doivent être
interconnectés entre eux ainsi qu’avec d’autres réseaux partenaires. Cette expansion
nécessite de passer d’un réseau local (LAN) à un réseau étendu (WAN).

Par conséquent, lorsqu’un grand nombre de réseaux sont interconnectés, la gestion

peut rapidement devenir délicate : il est alors nécessaire de faire transiter les
messages par plusieurs réseaux intermédiaires. Cette opération sous-entend que les
équipements connaissent l’emplacement de chaque machine dans l’ensemble des
réseaux. C’est la fonction de routage réalisée par les routeurs.

En plus du routage, les routeurs sont capables d’interconnecter des réseaux de

technologies différentes. Intervenant sur la couche réseau, ils sont à même
d’acheminer des paquets au travers d’un vaste ensemble de réseaux interconnectés.

7.2. RÉSEAUX ÉTENDUS

7.2.1. Qu’est-ce qu’un réseau étendu ?

Un réseau étendu est un réseau de communication de données qui fonctionne au-delà

de la portée géographique d’un réseau local.

Les WAN permettent de relier les réseaux locaux entre eux pour leur donner ainsi
accès aux ordinateurs ou aux serveurs de fichiers situés en d'autres lieux.

Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons
(qui augmente avec la distance) et peuvent être faibles.

Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus
approprié pour atteindre un nœud du réseau.

Les réseaux étendus diffèrent des réseaux locaux sur plusieurs points :

- Tandis qu’un réseau local connecte des ordinateurs, des périphériques et d’autres
appareils au sein d’un bâtiment unique ou dans une zone géographique limitée, un
réseau étendu permet la transmission de données sur des distances géographiques
plus étendues.
- Par ailleurs, une entreprise doit s’abonner auprès d’un fournisseur de services de
réseau étendu pour pouvoir utiliser des services de réseau d’opérateur de réseau
étendu. Les réseaux locaux sont généralement détenus par l’entreprise ou
l’organisation qui les utilise.
- Les réseaux étendus utilisent les installations fournies par un fournisseur de services,
ou opérateur, tel qu’une compagnie de téléphone ou de câble, pour connecter les
sites d’une organisation entre eux, les connecter aux sites d’autres organisations, à
des services externes ou à des utilisateurs distants.

159
- Les réseaux étendus transportent généralement divers types de trafic, tels que la
voix, des données et des images vidéo.

Figure 7.1. Structure d’un réseau étendu.

Les principales caractéristiques des réseaux étendus sont les suivantes :

- ils connectent généralement des périphériques séparés par une zone géographique
plus étendue que ne peut couvrir un réseau local ;
- ils utilisent les services d’opérateurs, tels que des compagnies de téléphone ou de
câble, des systèmes satellite et des fournisseurs de réseau ;
- ils utilisent divers types de connexions série pour permettre l’accès à la G sur de
vastes zones géographiques.

7.2.2. Pourquoi les réseaux étendus sont-ils nécessaires ?

Les technologies de réseau local fournissent vitesse et rentabilité pour la transmission

de données dans des organisations sur des zones géographiques relativement
limitées.
Cependant, d’autres besoins commerciaux requièrent une communication entre des
sites distants, notamment dans les situations suivantes :
- Des personnes situées dans la succursale d’une organisation doivent pouvoir
communiquer et partager des données avec le site central.
- Des organisations souhaitent souvent partager des informations avec d’autres
organisations très éloignées géographiquement. Ainsi, des éditeurs de logiciels
transmettent fréquemment des informations sur leurs produits ou services à leurs
distributeurs afin qu’ils vendent leurs produits à des utilisateurs finaux.
- Des employés effectuant souvent des voyages d’affaires doivent avoir accès aux
informations résidentes sur le réseau de leur entreprise.

En outre, certains utilisateurs d’ordinateur à domicile envoient et reçoivent des

données dans un rayon géographique de plus en plus étendu.

160
En voici quelques exemples :

- De plus en plus de particuliers communiquent avec des banques, des magasins et de

nombreux fournisseurs de biens et de services, grâce à leur ordinateur.
- Dans le cadre de leurs recherches, les étudiants accèdent à des catalogues et des
publications de bibliothèques situées dans un lieu différent, dans le même pays ou à
l’étranger.

7.2.3. Technologies de réseau étendu et transmissions séries

Les technologies de réseau étendu sont des transmissions séries. La transmission

série est un mode de transmission de données selon lequel les bits d’un caractère de
données sont transmis séquentiellement par un canal unique. Les transmissions séries
permettent d’établir des communications longue distance fiables à des vitesses
inférieures à celles d’un réseau local.

Figure 7.2. Communications longue distance via des réseaux étendus.

7.2.3. Réseaux étendus et modèle OSI

Les opérations de réseau étendu concernent principalement les couches 1 et 2 du

modèle OSI (Open System Interconnection).

Les normes d’accès de réseau étendu décrivent généralement les méthodes de

livraison de la couche physique et les exigences de la couche liaison de données,
notamment l’adressage physique, le contrôle de flux et l’encapsulation.

161
 Figure 7.3. Correspondance des réseaux étendus au modèle OSI.

Les normes d’accès de réseau étendu sont définies et gérées par plusieurs autorités
reconnues, telles que : International Standardization Organisation (ISO) ou
l’Organisation internationale de normalisation, Telecommunication Industry
Association (TIA) et Electronic Industries Alliance (EIA).

Les protocoles de couche physique (couche 1 OSI) décrivent comment fournir des
connexions électriques, mécaniques, opérationnelles et fonctionnelles aux services
offerts par un fournisseur de services de communications.

Les protocoles de la couche liaison de données (couche 2 OSI) définissent comment

des données sont encapsulées pour être transmises vers un emplacement distant ainsi
que les mécanismes de transfert des trames résultantes.

7.2.4. Le service de circuits virtuels

Dans un réseau à commutation des paquêts, les commutateurs d’un réseau à

commutation de paquets déterminent le lien vers lequel le paquet doit ensuite être
envoyé à partir des informations d’adresse fournies dans chaque paquet. Il existe deux
approches à cette détermination des liaisons : sans connexion et avec connexion.

 Les systèmes sans connexion, tels qu’Internet, transportent des données

d’adressage complètes dans chaque paquet. Chaque commutateur doit évaluer
l’adresse pour déterminer où envoyer le paquet.

 Les systèmes avec connexion prédéterminent la route de chaque paquet, qui n’a
alors besoin que d’un identificateur. Dans le cas du relais de trames, il s’agit des
identificateurs de contrôle de liaison de données (DLCI). Le commutateur
détermine la route à suivre en recherchant l’identificateur dans des tables en
mémoire. Le jeu d’entrées des tables identifie un itinéraire ou circuit particulier sur le
système. Si ce circuit n’existe physiquement que lorsqu’un paquet se déplace
dessus, il prend le nom de circuit virtuel (CV).

Ainsi, les réseaux à commutation de paquets peuvent établir des routes via les
commutateurs pour des connexions de bout en bout spécifiques. Ces routes sont
appelées des circuits virtuels.

162
Un circuit virtuel est un circuit logique établi au sein d’un réseau entre deux
périphériques réseau, c’est-à-dire qu’un circuit virtuel assure une connexion logique
entre deux extrémités, sur laquelle les paquets de données peuvent être échangés de
façon bidirectionnelle. Le circuit est dit virtuel car les paquets empruntent des circuits
physiques partagés.

L’ordre des paquets est conservé et un contrôle de flux, indépendant par circuit virtuel,
est possible sur chaque sens de transmission.
Le réseau permet le raccordement d’équipements hétérogènes, en assurant des
conversions de code ou de débit.

Lorsqu’il utilise la technologie de commutation de paquets, le fournisseur de services

établit des circuits virtuels. Les circuits virtuels partagent la liaison entre périphériques
avec le trafic provenant d’autres sources. De ce fait, le support n’est pas privé pendant
la durée d’une connexion. Il existe deux types de circuits virtuels :
 Circuit virtuel commuté (CVC ou SVC : Switched Virtual Circuit)
Un circuit virtuel permanent (PVC) est configuré par un administrateur réseau et
chargé au démarrage du commutateur ;
 Circuit virtuel permanent (CVP ou PVC : Permanent Virtual Circuit)
Un circuit virtuel commuté (SVC) est établi et annulé en fonction des besoins.

Figure 7.4. La technologie de commutation de paquets utilisant le PVC ou le SVC.

Pour la préparation des données en vue d’une transmission sur un réseau étendu
utilisant des lignes numériques, un dispositif de service d’accès aux canaux (CSU :
Channel Service Unit) et un dispositif de service d’accès aux données (DSU : Data
Service Unit) sont nécessaires. Ces deux dispositifs sont souvent combinés en un
seul, appelé unité CSU/DSU. Ce dispositif est intégré à la carte d’interface du routeur.

7.2.4.1. Circuit Virtuel Commuté (CVC)

Un circuit virtuel commuté (SVC : Switched Virtual Circuit) est défini de manière
dynamique entre deux points lorsqu’un routeur demande une transmission et qui se
ferme une fois la transmission terminée.
163
Le circuit est établi sur demande et défait à la fin de la transmission, par exemple
quand un fichier a été téléchargé (c’est-à-dire que le circuitdisparait dès que le transfert
de données entre les deux hôtes qui l’utilisent est terminé).
Lors de l’établissement d’un circuit virtuel commuté, les paramètres de configuration de
la communication doivent être envoyés avant que la moindre donnée soit transmise.
Les paramètres d’annulation de la communication mettent fin à la connexion une fois
qu’elle n’est plus nécessaire. Ce processus engendre des délais dans le réseau, car
des circuits virtuels commutés sont établis et défaits pour chaque conversation.

Pour établir un CVC, l’un des correspondants émet un paquet particulier comportant
l’adresse complète du destinataire. Celui-ci est acheminé vers l’autre correspondant au
travers des commutateurs où est effectué un marquage : réservation de ressource et
mémorisation du chemin à lui faire prendre dans une table de routage.

Les paquets de données suivants n’auront plus alors qu’à suivre le même chemin
munis simplement d’une adresse abrégée permettant au commutateur de déterminer,
en fonction de la liaison d’arrivée du paquet celle de sortie.

La notion de voie logique est locale (entre commutateurs ou entre commutateur et

ETTD : Équipement Terminal de Traitement de Données).

N.B.
Pour une communication, tous les paquets passent par me même circuit virtuel (CV).
Par contre, chaque communication peut passer par un circuit différent.

La communication sur un circuit virtuel commuté s’effectue en trois phases :

l’établissement du circuit, le transfert des données et la fermeture du circuit.
- la phase d’établissement implique la création du circuit virtuel entre les
périphériques d’origine et de destination ;
- le transfert de données implique la transmission des données entre les
périphériques via le circuit virtuel ;
- la phase de fermeture du circuit implique le démantèlement du circuit virtuel entre
les périphériques d’origine et de destination.

Les circuits virtuels commutés sont utilisés pour des transmissions de données
intermittentes entre les périphériques, en grande partie pour des raisons financières.
Les circuits virtuels commutés relâchent le circuit une fois la transmission terminée, ce
qui réduit les frais de connexion par rapport à ceux associés aux circuits virtuels
permanents tout en maintenant une disponibilité permanente du circuit virtuel.

7.2.4.2. Circuit Virtuel Permanent (CVP)

Le processus sur un circuit permanent est le même : le marquage est simplement fait
une fois pour toute. Par contre, il est automatiquement ré-établi sur un autre chemin
lorsqu’un élément du réseau devient entièrement indisponible.

Un circuit permanent (CP) fournit un chemin permanent afin de transmettre des

données entre deux points. C’est-à-dire un circuit virtuel établi de façon permanente
constitué d’un mode : le transfert de données.

Les circuits virtuels permanents s’utilisent pour effectuer des transmissions de données
constantes entre les périphériques. Ils consomment moins de bande passante lors de
l’établissement et de la fermeture des circuits, mais ils augmentent les coûts en raison
de leur continuité de service. Ils sont généralement configurés par le fournisseur de
services lorsqu’une commande de service est effectuée.

164
Le fournisseur de services doit configurer au préalable les circuits virtuels permanents,
qui sont très rarement rompus ou déconnectés. Ce système évite d’avoir à configurer
et à annuler des communications.

Les circuits virtuels permanents accélèrent le flux d’informations sur le réseau étendu.
Ils permettent également au FAI de mieux contrôler les modèles de flux de données et
la gestion de leur réseau.

Les circuits virtuels permanents sont plus répandus que les circuits virtuels commutés
et se retrouvent habituellement sur les sites présentant des flux de trafic constants et à
fort volume. Le relais de trames (Frame Relay) utilise généralement des circuits
virtuels permanents.

7.2.5. Technologies de boucle locale et longue distance

Les FAI utilisent plusieurs technologies de réseau étendu différentes pour connecter
leurs abonnés. Le type de connexion utilisé sur la boucle locale, ou dernier kilomètre,
n’est peut-être pas le même que le type de connexion employé dans le réseau du FAI
ou entre divers FAI.

Voici quelques technologies de boucle locale courantes :

 Liaison commutée analogique
 RNIS (réseau numérique à intégration de services)
 Ligne louée
 Câble
 DSL (Digital Subscriber Line)
 Relais de trames
 Sans fil

Chacune de ces technologies présente des avantages et des inconvénients pour le

client. Toutes les technologies ne sont pas disponibles partout.

Lorsqu’un fournisseur de services reçoit des données, il doit les transférer à d’autres
sites distants pour une remise finale au destinataire. Ces sites distants se connectent
au réseau du FAI ou passent d’un FAI à l’autre jusqu’au destinataire. Les
communications à longue distance sont généralement ces connexions entre FAI, ou
entre agences pour les très grandes entreprises.

Il existe de nombreuses technologies de réseau étendu différentes permettant au

fournisseur de services de transférer les données en toute fiabilité sur de grandes
distances. Parmi ces technologies se trouvent le mode ATM (Asynchronous
Transfer Mode), le satellite, le relais de trames et les lignes louées.

Les entreprises deviennent de plus en plus grandes et dispersées. De ce fait, les

applications nécessitent de plus en plus de bande passante. Cette croissance requiert
des technologies qui prennent en charge le transfert de données en haut débit sur des
distances encore plus grandes.

Les normes SONET (Synchronous Optical Network) et SDH (Synchronous Digital

Hierarchy) autorisent le déplacement de grandes quantités de données sur de
grandes distances par le biais de câbles à fibre optique. Les normes SONET et SDH
encapsulent des normes de transmission numérique plus anciennes et prennent en
charge les réseaux ATM ou POS (Packet over SONET/SDH). Les normes SDH et
SONET servent à transmettre la voix et les données.

165
 Figure 7.5. Technologies de boucle locale et longue distance.

Un des nouveaux développements pour les communications sur des distances

extrêmement longues est le multiplexage en longueur d’onde dense (DWDM : Dense
Wavelength Data Multiplexing). La technique DWDM attribue aux signaux optiques
entrants des fréquences ou longueurs d’ondes lumineuses spécifiques. Elle est
également capable d’amplifier ces longueurs d’ondes pour renforcer le signal.
DWDM peut multiplexer plus de 80 longueurs d’ondes ou canaux de données
différents sur une seule fibre optique. Chaque canal peut transmettre un signal
multiplexé à 2,5 Gbits/s.

Figure 7.6. Transfert de message par DWDM.

Les données démultiplexées à l’extrémité de réception permettent à une seule fibre de

transmettre différents formats en même temps et à des débits différents. Par exemple,
DWDM peut transmettre simultanément des données IP, SONET et ATM.

166
7.2.6. Evolution de l’entreprise

7.2.6.1. Les entreprises et leurs réseaux

En évoluant, les entreprises recrutent des employés supplémentaires, ouvrent de

nouvelles succursales et se développent sur des marchés globaux. Ces changements
influencent également leurs besoins en services intégrés et déterminent leurs
exigences en termes de réseau. Dans cette rubrique, nous explorerons comment les
réseaux d’entreprise évoluent pour s’adapter à des exigences commerciales
changeantes.

Chaque entreprise est unique et son évolution dépend de nombreux facteurs,

notamment le type de produits ou de services offerts, la philosophie de la direction et le
climat économique du pays dans lequel l’organisation est implantée.

Dans les périodes de récession économique, de nombreuses entreprises s’attachent

essentiellement à augmenter leurs profits en améliorant l’efficacité des opérations
existantes, en augmentant la productivité des employés et en réduisant les coûts de
production. La mise en place et la gestion de réseaux peuvent engendrer des
dépenses importantes en termes d’installation et de fonctionnement. Les entreprises
justifient ces dépenses en comptant sur leurs réseaux pour fonctionner à plein régime
et pour élargir leur offre de services et d’applications destinés à garantir productivité et
rentabilité.

7.2.6.2. Exemple

Imaginons par exemple une entreprise fictive « Span Engineering », et observons

l’évolution des exigences de son réseau lorsque l’organisation passe d’une structure
de petite entreprise à celle d’une entreprise globale. Les figures ci-après représentent
chaque étape de la croissance ainsi que la topologie de réseau associée.

1) Petit bureau (réseau local unique)

Span Engineering, une société de consultation environnementale, a développé un

processus spécial visant à recycler les déchets domestiques pour produire de
l’électricité, et élabore un petit projet pilote pour un conseil municipal dans sa région.
L’entreprise, qui existe depuis quatre ans, compte désormais 15 employés : six
ingénieurs, quatre concepteurs DAO (dessin assisté par ordinateur), une
réceptionniste, deux associés principaux et deux employés de bureau.

La direction de Span Engineering espère qu’une fois que le projet pilote aura prouvé la
faisabilité du processus, s’ensuivront des projets à plus grande échelle. Pour le
moment cependant, l’entreprise doit gérer ses coûts efficacement.

Pour son petit bureau, Span Engineering utilise un réseau local unique pour partager
des informations entre des ordinateurs, et pour partager des périphériques, notamment
des imprimantes, des traceurs à grande échelle (servant à imprimer des dessins
d’ingénierie) et des équipements de télécopie. L’entreprise a récemment mis à niveau
son réseau local pour fournir un service voix sur IP (VoIP) peu coûteux afin de réaliser
des économies sur les lignes téléphoniques utilisées par ses employés.

La connexion à Internet s’effectue via un service commun à large bande appelé DSL
(Digital Subscriber Line), qui est assuré par son fournisseur local de services
téléphoniques. En raison du nombre limité d’employés, la largeur de bande n’est pas
un problème important.

167
 Figure 7.7. Réseau local d’entreprise.

Les moyens de l’entreprise ne lui permettent pas de disposer d’une équipe

d’assistance informatique en interne, et elle utilise par conséquent des services
d’assistance fournis par le même opérateur. Par ailleurs, plutôt que d’acheter et
d’exploiter ses propres serveurs FTP et de messagerie électronique, elle utilise un
service d’hébergement. La figure ci-contre est un exemple de petit bureau et son
réseau.

2) Entreprise ou groupe d’entreprises

Cinq ans plus tard, l’entreprise Span Engineering s’est considérablement agrandie.
Comme l’avaient espéré ses propriétaires, suite au succès de l’implémentation de sa
première usine pilote, l’entreprise a été engagée pour concevoir et implémenter une
installation de recyclage de déchets. Depuis, d’autres projets ont été remportés dans
des municipalités environnantes et d’autres régions dans le pays.

Pour gérer la charge de travail supplémentaire, l’entreprise a embauché du nouveau

personnel et loué des locaux supplémentaires. Il s’agit à présent d’une moyenne
entreprise employant plusieurs centaines de personnes. De nombreux projets sont
développés simultanément, et chacun nécessite un gestionnaire de projet et une
équipe d’assistance. L’entreprise est désormais organisée en services fonctionnels,
chaque service comportant sa propre équipe organisationnelle. Pour satisfaire des
besoins croissants, l’entreprise a emménagé dans des locaux plus grands répartis sur
plusieurs étages.

Au fur et à mesure que l’entreprise s’est développée, son réseau s’est également
étendu. Au lieu d’un réseau local unique de petite taille, le réseau est désormais
constitué de plusieurs sous-réseaux, chacun dédié à un service spécifique. Par
exemple, tout le personnel du service d’ingénierie utilise un réseau local, tandis que
l’équipe marketing utilise un autre réseau local.

Ces réseaux locaux multiples sont reliés pour créer le réseau de l’entreprise, ou
campus, qui s’étend sur plusieurs étages du bâtiment.

168
 Figure 7.8. Réseaux locaux multiples.

L’entreprise possède désormais sa propre équipe d’assistance en interne dont le rôle

est de gérer et de maintenir le réseau. Ce réseau inclut plusieurs serveurs pour la
messagerie, le transfert de données et le stockage de fichiers, les outils et applications
de productivité basés sur le Web, et également pour permettre à l’intranet d’entreprise
de fournir des documents et informations internes aux employés. En outre, l’entreprise
possède un réseau extranet qui fournit des informations de projet à des clients
spécifiques.

3) Agence (réseau étendu)

Cinq ans plus tard encore, le succès de son processus breveté a été tel que Span
Engineering a vu sa demande de services monter en flèche et des nouveaux projets
sont désormais en cours dans d’autres villes. Pour gérer ces projets, l’organisation a
ouvert des petites succursales proches des sites de projets.

Cette situation s’accompagne de nouveaux défis pour l’équipe d’assistance

informatique. Pour gérer la livraison d’informations et de services dans l’entreprise,
Span Engineering possède à présent un centre de calcul, qui héberge les divers
serveurs et bases de données du groupe.

Pour garantir que tous les employés peuvent accéder aux mêmes services et
applications quel que soit l’endroit où se trouvent les bureaux, l’entreprise doit
maintenant implémenter un réseau étendu.

Pour les succursales situées dans des villes proches, la société décide d’utiliser des
lignes dédiées privées fournies par le fournisseur local de services. Cependant, pour
les bureaux situés dans d’autres pays, Internet est désormais une option de connexion
de réseau étendu intéressante. Même si la connexion de bureaux via Internet est
économique, elle implique des problèmes de sécurité et de confidentialité pour l’équipe
informatique.

169
 Figure 7.9. Réseau étendu et Internet.

4) Distribué (Global)

La socité Span Engineering exerce désormais ses activités depuis 20 ans et emploie
des milliers de personnes partout dans le monde. Le coût du réseau et des services
associés représente désormais un poste de dépense important. Le groupe souhaite
maintenant fournir à ses employés des services de réseau optimaux à un moindre
coût. L’optimisation des services de réseau permettrait aux employés d’améliorer leur
efficacité.

Figure 7.10. Optimisation des services de réseau.

170
Pour augmenter sa rentabilité, Span Engineering doit réduire ses coûts d’exploitation.
La société a décidé de déménager certaines de ces installations dans des régions
moins chères. Elle encourage également le télétravail et les équipes virtuelles. Des
applications Web, notamment les conférences Web, l’apprentissage en ligne, et les
outils de collaboration en ligne sont utilisés pour augmenter la productivité et réduire
les coûts. Les réseaux privés virtuels de site à site et d’accès à distance permettent à
l’entreprise d’utiliser Internet pour se connecter facilement et en toute sécurité avec
des employés et des installations partout dans le monde. Pour satisfaire ces
exigences, le réseau doit fournir les services convergés requis et sécuriser la
connectivité de réseau étendu Internet vers des bureaux et individus distants.

Remarque :
Comme l’illustre cet exemple, les besoins d’une entreprise en termes de réseau
peuvent changer sensiblement pour suivre l’expansion d’une entreprise. La répartition
des employés permet de réaliser des économies à de nombreux égards, mais a
également pour effet d’augmenter la demande sur le réseau. Un réseau doit non
seulement répondre aux besoins quotidiens d’une entreprise pour ses activités, mais il
doit également pouvoir s’adapter et évoluer avec une entreprise.
Pour répondre à ces défis, les concepteurs et administrateurs de réseau sélectionnent
avec soin les technologies, protocoles et fournisseurs de services de réseau, et
optimisent leurs réseaux au moyen de nombreuses techniques que nous découvrirons
dans cette série de cours.

 Exercice
Identifiez la meilleure technologie de connexion WAN la plus appropriée par rapport au
scénario.
Ligne A A A
louée commu- commu- commu-
tation de tation de tation de
circuits paquets cellules
Les bureaux distants se connectent
une fois par jour pout télécharger les 
bons de commande.
Un résau étendu d’entreprise prend
en charge les connexions vocales, 
vidéo et de données.
Une organisation se connecte à
plusieurs sites distants mais n’a 
qu’une interface série sur son routeur.
Une entreprise se connecte à ses
filiales et transfère de façon sécurisé 
des schémas techniques
confidentiels.
Une petite agence immobilière permet
à ses commerciaux de récupérer leur 
courriel depuis leur domicile.
Figure 7.11. Technologies de connexion WAN.

7.2.6.3. Connexion à un réseau à commutation de paquets

Pour se connecter à un réseau à commutation de paquets, un abonné nécessite une

boucle locale jusqu’à l’emplacement le plus proche auquel le fournisseur d’accès met
le service à disposition. C’est ce que l’on appelle le point de présence (POP) du
service.

171
Il s’agit généralement d’une ligne dédiée louée. Elle est bien plus courte qu’une ligne
louée connectée directement au site de l’abonné et comporte souvent plusieurs circuits
virtuels.

Comme il est probable que tous les circuits virtuels n’ont pas besoin d’une demande
maximale simultanément, la capacité de la ligne louée peut être inférieure à la somme
des circuits virtuels individuels.
Des exemples de connexions à commutation de paquets ou de cellules sont fournis ci-
dessous :
 X.25
 Frame Relay
 ATM

7.3. ROUTEUR TECHNIQUES DE ROUTAGE

7.3.1. Routage et transfert des paquets

Les réseaux informatiques et, dans une plus grande mesure, Internet permettent aux
personnes de communiquer, de collaborer et d’interagir comme jamais auparavant.
Nous utilisons les réseaux de diverses manières, notamment pour les applications
Web, la téléphonie IP, la vidéoconférence, les jeux interactifs, le commerce
électronique et le domaine éducatif.

Au centre du réseau se trouve le routeur. Globalement, le but d’un routeur est de relier
un réseau à un autre. Le routeur est donc responsable de la transmission de paquets à
travers différents réseaux. La destination du paquet IP peut être un serveur Web se
trouvant dans un autre pays ou un serveur de messagerie situé sur le réseau local. Les
routeurs doivent transmettre ces paquets rapidement. L’efficacité des communications
inter-réseaux dépend, en grande partie, de la capacité des routeurs à transférer des
paquets de la manière la plus efficace possible.

Aujourd’hui, des routeurs sont ajoutés aux satellites dans l’espace. Ces routeurs sont
capables d’acheminer le trafic IP entre les satellites dans l’espace, d’une manière
similaire à l’envoi de paquets sur terre, ce qui permet de réduire les délais et
d’accroître la flexibilité des réseaux.

Toutefois, le routeur ne sert pas seulement à transférer des paquets. Pour répondre
aux demandes sur les réseaux actuels, les routeurs sont également utilisés pour :
 assurer une disponibilité 24 heures sur 24, 7 jours sur 7. Afin de garantir
l’accessibilité des réseaux, les routeurs utilisent des chemins de remplacement si le
chemin principal est défaillant ;
 fournir des services intégrés de données, de vidéo et de voix sur les réseaux filaires
et sans fil. Les routeurs utilisent la hiérarchisation de la qualité de service des
paquets IP, pour veiller à ce que le trafic en temps réel, par exemple les données
vocales et vidéo, ainsi que les données importantes, ne soit pas abandonné ni
retardé ;
 réduire l’impact des vers, virus et autres attaques sur le réseau en autorisant ou non
le transfert de paquets.

Tous ces services reposent sur le routeur et sur sa responsabilité principale de

transférer les paquets d’un réseau à l’autre. Les périphériques sur différents réseaux
ne peuvent communiquer que si le routeur est capable d’acheminer des paquets entre
les réseaux.

172
7.3.2. But du routage et fonction des routeurs et

Lorsque plusieurs réseaux sont interconnectés à l’aide des routeurs, le processus

d'acheminement des paquets vers leur réseau de destination est appelé « routage ».

Le routage est la méthode d’acheminement des informations à la bonne destination à

travers un réseau.

Comment le routeur détermine-t-il le meilleur chemin à utiliser pour envoyer le

message et atteindre le réseau de destination ?

- Chaque port ou interface d'un routeur permet de se connecter à un réseau local

différent.
- Chaque routeur comporte une table de tous les réseaux connectés localement, et des
interfaces qui s'y connectent.
- Ces tables de routage peuvent également contenir des informations sur les routes
(ou chemins), que le routeur utilise pour atteindre les réseaux distants qui ne sont pas
connectés localement.

Figure 7.12. Interconnexion des réseaux locaux et routage.

Lorsqu'un routeur reçoit une trame, il la décode pour atteindre le paquet contenant
l'adresse IP de destination.
Il compare l'adresse de destination avec tous les réseaux contenus dans la table de
routage. Si l'adresse du réseau de destination figure dans la table, le routeur
encapsule le paquet dans une nouvelle trame afin de l'envoyer.
Il achemine la nouvelle trame, de l'interface associée au chemin au réseau de
destination.

Les interfaces de routeur ne transfèrent pas les messages adressés à l'adresse MAC
de diffusion. Par conséquent, les messages de diffusion des réseaux locaux ne sont
pas transférés via les routeurs vers d'autres réseaux locaux.

173
7.3.3. Types de routage

Par défaut, les routeurs utilisent trois méthodes pour apprendre les chemins de
destination:
5) Route statique
Route définie manuellement par l'administrateur système en tant que prochain saut
vers une destination. Cette méthode contribue à renforcer la sécurité et à réduire le
trafic.
6) Route par défaut
Route définie manuellement par l'administrateur système en tant que chemin à
suivre lorsqu'il n'existe aucune route connue menant à la destination.
7) Routage dynamique
Le routeur apprend les routes menant aux destinations par la réception des mises à
jour périodiques provenant des autres routeurs.
Remarque :
- Les routes statiques sont configurées manuellement ;
- Les routes dynamiques sont acquises automatiquement.

7.3.4. Constitution des Routeurs CISCO, interfaces et ports de connexion

Il existe plusieurs modèles des routeurs CISCO et dans cette section nous allons
présenter le câblage PC-Routeur ainsi que la configuration basique des routeurs.

Figure 7.13. Les différents ports et connexions externes d’un routeur CISCO.

La composition interne du routeur est donnée par la figure 7.7

Figure 7.14. Composition d’un routeur.

174
7.3.4.1. Les composants de configuration internes

L'architecture interne du routeur Cisco prend en charge les composants qui jouent un
rôle important dans le processus de démarrage. Les composants de configuration
internes d'un routeur sont les suivants :
1) Mémoire RAM/DRAM
Elle est utilisée pendant que le fouteur marche et sert au stockage d’informations
d’exécution des processus ou mémoire de travail.
C’est la mémoire qui stocke les tables de routage, la mémoire cache ARP, la
mémoire cache à commutation rapide, le tampon mémoire (RAM partagée) et les
files d'attente de paquets. La mémoire RAM sert également de mémoire temporaire
et/ou d'exécution au fichier de configuration du routeur lorsque ce dernier est sous
tension. Le contenu de la mémoire RAM est perdu lors d'une mise hors tension ou
d'un redémarrage.
2) Mémoire NVRAM
Mémoire non volatile qui stocke le fichier de configuration de
sauvegarde/démarrage du routeur. Son contenu est conservé lors d'une mise hors
tension ou d'un redémarrage. Lorsqu’il y a une coupure de courant il n’y a pas perte
de données contenues dans la mémoire NVRAM.
3) Mémoire flash
Mémoire morte effaçable électriquement qui contient le microcode et l'image du
système d'exploitation. Elle permet d'effectuer des mises à niveau logicielles sans
retirer ni remplacer les puces du processeur. Son contenu est conservé lors d'une
mise hors tension et d'un redémarrage. Elle peut stocker plusieurs versions de la
plate-forme logicielle Cisco IOS.
4) Mémoire ROM
C’est dans cette mémoire que se trouve le fichier de démarrage ‘’Bootstrap’’.
Ce dernier permet de vérifier la RAM, le Processeur, les interfaces … du routeur.
C’est la mémoire contenant les diagnostics de mise sous tension, un programme
d'amorçage et le logiciel d'exploitation. Les mises à niveau logicielles dans cette
mémoire exigent le retrait et le remplacement des puces enfichables sur le
processeur.

7.3.4.2. Interfaces et ports

Ce sont des connexions réseau situées sur la carte-mère ou sur des modules
d'interface distincts, par lesquelles les paquets entrent dans le routeur et en sortent.
a) Les interfaces de communication
Les interfaces permettent au routeur d’interconnecter les réseaux pour le routage et la
communication. Elles sont utiles à la transmission des données sur le média.
En fonction de technologie, on trouvera différents types d’interfaces LAN ou WAN :
- Ethernet, Token Ring, WLAN, FDDI…
- Série, Asynchrone, BRI (ISDN ou RNIS), …
b) Les ports
Les ports, à proprement parler, permettent de gérer le routeur à distance. On trouvera :
b-1) Le port console
C’est le port sur lequel on connecte l’ordinateur de configuration du routeur à l’aide du
câble console ou ‘’rollover cable’’. .Il autorisera une communication physique sérielle
vers cette station de travail sur laquelle doit être installé un logiciel de communication
comme Putty, HyperTerminal, Teratem Securcrt …
- Raccord jack RJ-45 avec interface EIA/TIA-232 (fiche compatible avec les ports
console des gammes Cisco 1600 et 2500) ; - ETTD série asynchrone ;
- Débit en émission / réception jusqu’à 115,2 kbits/s (par défaut 9600 bits/s, pas sur un
port données) ;
Remarque : pas de protocole d'échange bidirectionnel matériel comme RTS/CTS.

175
b-2) Le port auxiliaire (AUX) qui permettra une connexion via modem.

Le port auxiliaire sert à administrer "console" le routeur à distance en connectant un

Modem dessus ; c'est à dire en passant par un autre réseau que le réseau dont fait
partie le routeur. En pratique, on le connecte à un modem connecté à une ligne FT.

Le jour où on a un problème sur son réseau et que le routeur n'est plus joignable en
Telnet, plutôt que de se déplacer pour connecter en console dessus ou le rebooter, on
prend la main via le modem comme si on était directement en console dessus.

Ça permet de garder un accès sur l'équipement de manière indépendante du réseau.

C'est de cette façon que les opérateurs interviennent sur les sites distants

Exemple : Le PC de configuration est à Paris et les routeurs à configurer sont tous

dans une salle informatique aux USA, le port AUX sert alors pour se
connecter aux routeurs en console depuis Paris.
Pour cela il faut un équipement (routeur par exemple) disposant de ports
série configurés correctement pour se connecter aux ports AUX.
Il faut aussi configurer le port AUX.

- Raccord jack RJ-45 avec interface EIA/TIA-232 (fiche compatible avec port AUX
de la gamme Cisco 2500) ;
- ETTD2 série asynchrone avec toutes les commandes de modem (CD 3, DSR 4,
RTS 5, CTS 6) ;
- Débits de transfert de données en mode série asynchrone jusqu’à 115,2 kbits/s.

b-3) Les ports virtuels (VTY)

Ils donnent accès à la console à travers TCP/IP. Les services (Telnet, SSH, RLOGIN,
etc.) sont activés à travers les lignes et utilisent les ports VTY.

Un routeur peut être configuré à partir des sources externes suivantes :

Figure 7.15. Les différentes possibilités de configuration d’un routeur.

176
 Configuration en mode console

Pour la configuration d’un routeur Cisco, on le connecte en console à l’aide du câble

console (Rollover Cable) qui possède d’un côté un port COM (RS232 ou DB9) à
connecter à l’ordinateur de configuration et de l’autre un port RJ-45 à connecter au
routeur sur le port console. Le Rollover Cable est présenté sur la figure 7.16.

Figure 7.16. Câble console RJ45-DB9.

Le raccordement entre le routeur et l’ordinateur de configuration est réalisé tel que

présenté sur la figure 7.18.

Figure 7.18. Liaisons PC de configuration - Routeur.

Le routeur, étant classé dans la même catégorie que l’ordinateur, on le connecteur au

hub ou commutateur à l’aide d’un câble droit, mais s’il faut le relier directement à un
ordinateur on utilise un câble croisé tel que présenté sur la figure 7.19.

Figure 7.19. Connexions réseau par câbles UTP et connecteurs RJ45.

177
7.3.5. Interconnexion des routeurs via l’interface série

Dans le cas des manipulations (lab), l’un des routeurs doit être configuré comme DCE
(Data Circuit Equipment ou ETCD : Équipement Terminal de Circuit de Données)
et fournit le signal d’horloge tandis que l’autre sera configuré en DTE (Data Terminal
Equipment ou ETTD : Équipement Terminal de Traitement des Données).

Figure 7.20. Interconnexion par liaison série avec le signal d’horloge de synchro.

L’horloge est activée et la vitesse est spécifiée par la commande clock rate :

Pour des liaisons distances, on utilise des Modem connectées aux interfaces série des
routeurs à l’aide des câbles séries tel que présenté par la figure 7.21.

Figure 7.21. Configuration de l’interface série d’un routeur.

7.3.6. Les modes de configuration d'un routeur CISCO

Avec un ordinateur de configuration sous Windows XP, la configuration du routeur se

fait en utilisant le programme Hyper Terminal intégré dans le système d’exploitation.
On y accède comme suit :
« Démarrer/Tous les programmes/Accessoires/Communications/Hyper terminal »

Figure 7.22. Boîte de dialogue du programme Hyper Terminal.

178
N.B.
Une fois qu’on est connecté au routeur, on utilise le CLI (Command-Line Interface)
pour paramétrer et procéder aux différentes configurations du routeur.

Les principales méthodes pour la configurer d’un routeur CISCO sont :

 le mode setup
 la configuration manuelle en ligne de commande, qui comprend :
- le mode utilisateur,
- le mode privilégié,
- le mode configuration global,
- les modes configuration spécifiques

Il est également possible de configurer un routeur à l’aide d’un fichier texte contenu sur
un serveur TFTP (Trivial File Transfert Protocol), à l’aide de l’outil « ConfigMaker »
(outil Cisco gratuit), par interface web, hébergé sur le routeur même.
Dans tous les cas, ces différentes méthodes de configuration du routeur Cisco, ainsi
que le mode « setup », reviennent à taper des commandes en mode console.

Chaque mode offre des fonctions différentes :

 Mode utilisateur -- Dans ce mode en lecture seule, l'utilisateur peut consulter les
informations relatives au routeur mais il ne peut pas les modifier.
 Mode privilégié -- Prend en charge les commandes de débogage et de test,
l'analyse détaillée du routeur, le traitement des fichiers de configuration et l'accès aux
modes de configuration.
 Mode setup -- Affiche un dialogue interactif à l'écran de la console, à l'aide duquel
l'utilisateur débutant peut créer sa première configuration de base.
 Mode de configuration globale -- Mode offrant d'efficaces commandes monolignes
pour l'exécution de tâches de configuration simples.
 Autres modes de configuration -- Modes permettant de créer des configurations
multilignes détaillées.
 Mode RXBoot -- Mode de maintenance permettant notamment de récupérer des
mots de passe perdus.

7.3.6.1. Le Mode Setup

À partir de la fonction de commande du mode setup, vous pouvez répondre aux

questions du dialogue de configuration système. Cette fonction vous invite à entrer les
informations de configuration de base.

179
Les réponses que vous entrez permettent au routeur d'utiliser une configuration
suffisante, mais minimale, qui comprend les informations ci-après :
 une liste d'interfaces,
 la possibilité d'entrer des paramètres généraux,
 la possibilité d'entrer des paramètres d'interface,
 une révision du script de configuration,
 la possibilité d'indiquer si le routeur doit utiliser cette configuration.

La configuration en mode « setup » est une configuration minimale car elle est limitée ;
ce mode ne permet pas de saisir toutes les options possibles, mais il permet de
configurer quelques options basiques du routeur, comme par exemple le protocole
SNMP (Simple Network Management Protocol), l’adresse IP d’une interface, …
Le mode setup permet une configuration minimum en mettant en place un certain
nombre d’options du routeur, dont l’intérêt principal est de faire gagner du temps à
l’administrateur réseau. Le mode setup permet de configurer principalement une seule
interface du routeur (adresse IP), la configuration des autres interfaces doit donc se
faire manuellement. Tous les paramètres saisis pendant le mode setup sont
modifiables.

Au démarrage, le routeur détecte la présence d’un fichier de configuration dans la

mémoire NVRAM (Non-Volatile Random Access Memory ou mémoire RAM non
volatile qui permet le stockage de données lorsque le routeur est éteint), et le charge
en mémoire RAM le cas échéant. Dans le cas contraire, le mode « setup » est lancé
automatiquement.

Le fichier de configuration peut être absent suite à l’effacement de ce dernier ou tout

simplement parce que le routeur est neuf.
Il est possible d’effacer le fichier de configuration de démarrage à l’aide de la
commande erase startup-config :
Router# erase startup-config

La mémoire NVRAM devient vide et si l’on redémarre le routeur, il entrera

automatiquement en mode setup.

Le mode « setup » peut également être lancé en tapant la commande setup saisie en
mode privilégié afin de procéder rapidement à une reconfiguration basique du routeur :
Router# setup

7.3.6.2. La configuration manuelle en ligne de commande

Lorsqu’on accède au processus de configuration du routeur, le message suivant

s’affiche :
<Router Ouput>

 Mode utilisateur
Il faut appuyer sur la touche ENTER pour accéder au mode utilisateur :
Router>
Router> ? Pour obtenir de l’aide à ce niveau des commandes
Router> Sh? Pour obtenir de l’aide sur une commande

 Mode privilégié
Il faut taper « enable » pour passer en mode privilégié :
Router>enable
Router#

180
 Router# ? Pour obtenir de l’aide à ce niveau des commandes
Router# co? Pour obtenir de l’aide sur une commande spécifique
Router# disable ou Router# exit Pour retourner en mode utilisateur.

 Mode de configuration globale

Il faut taper la commande « configure terminal » pour passer en mode de configuration
globale :
Router#configure terminal
Router(config)#

Router(config)# ? Pour obtenir de l’aide à ce niveau des commandes

Router(config)#int? Pour obtenir de l’aide sur une commande spécifique
Router(config)#exit Pour retourner en mode privilégié.

 Modes de configuration spécifiques

Les modes de configuration spécifiques se font pour les différentes interfaces et sous-
interfaces du routeur… à partir du mode de configuration globale.
Par exemple, pour configurer l’adresse IP 192.168.10.1 255.255.255.0 de l’interface
Fastethernet 0/1 du routeur, on procédera comme suit :
- Mode privilégié :
Router#configure terminal
- Mode de configuration globale :
Router(config)#interface Fastethernet 0/1 (ou interface Fa 0/1)
- Mode de configuration spécifique :
Router(config-if)#ip address 192.168.10.1 255.255.255.0

Figure 7.23. Les différents modes de configuration d’un routeur CISCO.

181
Si nous tapons exit, le routeur remonte d'un niveau, ce qui nous permet
éventuellement de nous déconnecter. En règle générale, si nous tapons exit à partir
d'un des modes de configuration spécifiques, nous revenons au mode de
configuration globale. Si nous tapons end ou si nous appuyez sur les touches
Ctrl+Z, nous quittons le mode de configurationspécifique et nous revenons directement
au mode privilégié (nous pouvons obtenir la même chose en tapant « exit twice »).

Figure 7.24. Les commandes de retour et de sortie pour les différents modes.

7.3.7. Configuration des mots de passe

 Limitation d’accès au mode privilégié

182
 L’ensmble des mots de passe d’un routeur

7.3.8. Démarrage du routeur et utilisation des mémoires du routeur

7.3.7.1. La séquence d'amorçage d'un routeur

7.3.7.1.1. La routine de démarrage d'un routeur

Pour démarrer, un routeur doit charger le bootstrap, le système d'exploitation et un

fichier de configuration. S'il ne trouve pas le fichier de configuration, il passe en mode
setup. Il enregistre dans la mémoire NVRAM une copie du setup.
L'objectif des routines de démarrage de la plate-forme logicielle Cisco IOS est de
lancer les opérations de routage. Un routeur doit fournir des performances fiables aux
réseaux utilisateur auxquels il est connecté et qu'il est chargé de desservir.

183
Pour ce faire, les routines de démarrage effectuent les opérations suivantes :
 elles vérifient que l'ensemble du matériel du routeur a été testé,
 elles recherchent et chargent la plate-forme logicielle Cisco IOS (Integreted
Operating System) que le routeur utilise comme système d'exploitation,
 elles recherchent et appliquent les instructions de configuration du routeur,
notamment les fonctions des protocoles et les adresses des interfaces.
Lorsque vous mettez sous tension un routeur Cisco, il effectue un test automatique
de mise sous tension (POST : Power-On Self Test). Au cours de ce test, il exécute
les diagnostics chargés en mémoire ROM sur tous les modules physiques.
Ces diagnostics vérifient le fonctionnement de base du processeur, de la mémoire et
des ports d'interface réseau. Une fois le matériel vérifié, le routeur initialise le logiciel.

7.3.7.1.2. Les commandes associées au démarrage d'un routeur

Les deux commandes « show startup-config » et « show running-config », affichent

les fichiers de sauvegarde de la configuration et ceux de la configuration active.
La commande « erase startup-config » supprime le fichier de configuration de
sauvegarde stocké dans la mémoire NVRAM. La commande « reload » (reboot)
recharge le routeur pour qu'il réexécute le processus de démarrage.

Les commandes suivantes gèrent le contenu de la mémoire NVRAM :

 configure memory -- Charge les informations de configuration à partir de la
mémoire NVRAM.
 erase startup-config -- Efface le contenu de la mémoire NVRAM.
 copy running-config startup-config -- Copie la configuration actuelle à partir de la
mémoire RAM (configuration d'exécution) pour la stocker dans la mémoire NVRAM
(en tant que configuration de démarrage ou de sauvegarde).
 show startup-config -- Affiche la configuration enregistrée, qui représente le
contenu de la mémoire NVRAM.

7.3.7.2. Les commandes de routeur show

7.3.7.2.1. Examen de l'état d'un routeur à l'aide des commandes d'état

Dans cette section, vous allez étudier les commandes de base que vous pouvez entrer
pour déterminer l'état en cours d'un routeur. Ces commandes vous aident à obtenir les
informations essentielles dont vous avez besoin pour contrôler et dépanner un routeur.

Il est important de pouvoir contrôler à tout moment le fonctionnement et l'état d'un

routeur. Comme l'illustre la figure, les routeurs Cisco proposent plusieurs commandes
qui vous permettent de déterminer si le routeur fonctionne correctement ou s'il existe
des problèmes.
Les commandes d'état sont décrites ci-dessous :
 show version - Affiche la configuration matérielle système, la version du logiciel, le
nom et la
 source des fichiers de configuration ainsi que l'image d'amorçage.
 show processes - Affiche des informations sur les processus actifs.
 show protocols - Affiche les protocoles configurés et l'état de tous les protocoles
configurés de couche 3.
 show memory - Affiche des statistiques sur la mémoire du routeur, notamment sur la
mémoire disponible.
 show stacks - Contrôle l'utilisation de la pile des processus et des routines
d'interruption ; affiche également le motif du dernier redémarrage du système.
 show buffers - Fournit des statistiques sur le pool de tampons du routeur.
 show flash - Affiche des informations sur la mémoire flash.

184
 show running-config (write term sur la plate-forme logicielle Cisco IOS version 10.3
ou antérieure) - Affiche le fichier de la configuration active.
 show startup-config (show config sur la plate-forme logicielle Cisco IOS version
10.3 ou antérieure) - Affiche le fichier de la configuration de sauvegarde.
 show interfaces - Affiche des statistiques sur toutes les interfaces configurées du
routeur.

Figure 7.25. Commandes d’état du routeur.

7.3.7.2.2. Configuration basique d’un routeur

Tableau 7.1. Configuration basique d’un routeur Cisco.

185
7.3.12. La configuration basique d’un routeur

1) Lorsqu’on accède à la boîte de dialogue du programme Hyper Terminal, le message

suivant s’affiche :
<Router Output>

Appuyez sur la touche Enter pour entrer dans le mode utilisateur (User), et le prompt
user s’affiche :
Router>
Le symbole ‘ > ‘ signifie qu’on est en mode utilisateur et taper ? pour afficher la liste
des commandes qui peuvent être utilisées en mode utilisateur.
Router> ?

2) Passez du mode Utilisateur au mode Privilégié

Routeur> enable
Routeur#
Taper ? pour afficher la liste des commandes qui peuvent être utilisées en mode
Privilégié.
Routeur# ?
3) Quittez le mode privilégié pour aller vers le mode utilisateur
Routeur# disable
Router>
- Ré-entrer dans le mode privilégié et procéder à la configuration du terminal (le
routeur) en mode de configuration globale:
Routeur> enable
Routeur# configure terminal
Routeur (config)#

1) Nommer le routeur et afficher les paramètres valides en mode de configuration globale

4-1) Nommez le routeur en lui donnant le nom de ‘universal’

Routeur (config)# hostname Universal
Universal (config)#

4-2) Dans le mode de configuration globale, taper ? pour afficher les paramètres
valides qui peuvent être entrés avec la commande « enable ». Configurer un mot de
passe valide (dada) qui ne sera pas crypté lors de la visualisation des fichiers de
configuration du routeur et un autre mot de passe valide (bingo) qui sera crypté.

Universal (config)# enable ?

Universal (config)# enable password dada
Universal (config)# enable secret bingo

186
2) Configurez l’adresse IP d’une interface Ethernet0 (LAN)
Après la configuration de l’interface, il faut l’activer en tapant la commande « no
shutdown ». par contre, si l’on veut désactiver une interface il faut taper la commande
« shutdown ».
Universal (config)# interface ethernet0 (ou int eth0)
Universal (config-if)# ip address 192.168.2.1 255.255.255.0
Universal (config-if)# no shutdown
Universal (config-if)# exit
Universal (config)#

3) Configurez l’adresse IP d’une interface Serial0 (WAN) puis activer cette interface
Universal (config)# interface serial0 (ou int s0)
Universal (config-if)# ip address 172.160.200.1 255.255.255.0
Universal (config-if)# no shutdown
Universal (config-if)# exit
Universal (config)#

4) Sortir du mode de configuration en tapant ‘ ctrl-z ’, ceci vous ramène au prompt

du mode privilégié. Vous pouvez obtenir la même chose en tapant ‘ exit twice ‘. La
commande exit vous ramène un niveau en arrière (du mode de configuration
d’interface - mode de configuration globale - prompt du mode privilégié).
Universal (config-if)# ctrl-z
Universal #
5) Tapez ‘ logout ‘ pour sortir de la ligne de commande d’interface (command line
interface)
Universal# logout
6) Appuyez sur la touche Enter pour revenir au prompt du mode utilisateur et tapez ‘
enable ‘ pour rentrer en mode privilégié. Il vous sera demandé d’introduire le mot de
passe secret (bingo) que vous aviez configuré précédemment.
Universal> enable
Password : bingo
Universal #
7) Configurez l’horloge (liaison WAN)
Lorsque deux routeurs sont interconnectés, l’un d’eux doit fonctionner en Master et
l’autre en Slave. La configuration de l’horloge se fait uniquement du coté du Master.
Universal (config)# interface serial0/0
Universal (config-if)# clock rate 6400
Universal (config-if)# no shutdown
Universal (config-if)# exit
Universal (config)#
8) Introduisez un message d’accueil (visible dans le réseau par les autres
routeurs et utilisateurs)
Universal (config)# banner lotd #
Texte du message d’accueil #
9) Configurez un mot de passe console (didi). Ce mot de passe sera toujours
demandé pour tout utilisateur avant d’accéder au mode utilisateur et que le prompt du
mode utilisateur apparaisse.
Universal# configure terminal
Universal (config)# line console 0 (ou line con 0)
Universal (config-line)# password didi
Universal (config-line)# login
Universal (config-line)# exit
Universal (config)# exit
Universal#

187
10) Testez le message d’accueil et le mot de passe console en sortant du routeur puis
en y revenant.
Universal# logout
Enter
Password: didi
Universal> enable
Password: dada
Universal#

11) Afficherzle résumé les configurations de toutes les interfaces

Universal# show ip interface brief ou Universal> show interface
12) Affichez en détail les informations de chacune des interfaces
Universal# show interfaces
13) Affichez la configuration courante stockée dans le DRAM
Universal# show running-config
14) Affichez la configuration de démarrage sauvegardée dans le NVRAM
Universal# show startup-config
15) Affichez la version de l’IOS intégré dans le routeur
Universal# show version
16) Affichez les protocoles en fonctionnement dans le routeur
Universal# show protocoles
17) Affichez le contenu du mémoire flash
Universal# show flash
18) Affichez l’historique d routeur. Il présente les 10 dernières commandes qui
ont été entrées dans le routeur. Vous pouvez recaler les commandes en
tapant ‘ ctrl-p ‘.
Universal# show history
Universal# ctrl-p (pour afficher les commandes entrées précédemment)

19) Configurez une route statique

Universal (config) # ip route address IP-LAN + Masque S/R IP-WAN + Masque S/R

20) Pingez le routeur 1 (Universal) d’adresse IP 172.160.200.1 à partir d’un routeur 2

Routeur2# ping 172.160.200.1

21) Sur le routeur 1 (Universal), associez le nom du routeur 2 avec le contrôle de

l’adresse IP 172.160.200.2. Ceci vous permettra de pinger le nom du routeur 2 en se
souvenant de son adresse IP
Universal (config)# ip host routeur2 172.160.200.2

22) Vérifiez que le nom du routeur 2 est dans la table des hôtes
Universal# show hots
23) Pingez routeur 2 et vérifiez si l’opération réussit
Universal# ping routeur2
24) Sauvegardez la configuration courante (DRAM) dans la mémoire de
configuration de démarrage (NVRAM)
Universal# copy running-cong startup-config

25) Visualisez les paramètres les paramètres des routeurs voisins à l’aide du
protocole CDP
Universal# show cdp neighbors

26) Visualisez la configuration d’un port (interface) donné du routeur

Universal> show interface et 0
Universal> show interface serial0

188
7.3.8. La configuration initiale d'un routeur : La table de routage IP initiale

Au départ, un routeur doit se reporter aux entrées sur les réseaux ou les sous-réseaux
qui lui sont directement connectés. Chaque interface doit être configurée avec une
adresse IP et un masque. La plate-forme logicielle Cisco IOS apprend les informations
sur l'adresse IP et le masque à partir d'une configuration provenant d'une source
donnée. La source initiale de l'adressage est l'utilisateur qui entre cette information
dans un fichier de configuration.

Figure 7.26. La table de routage IP initiale

7.3.9. L'APPRENTISSAGE DES DESTINATIONS PAR UN ROUTEUR

7.3.9.1. LE ROUTAGE STATIQUE

Si les routeurs peuvent apprendre les informations automatiquement, il peut sembler

inutile d'entrer des informations manuellement dans les tables de routage d'un routeur.
Cependant, ces entrées manuelles s'avèrent utiles lorsque l'administrateur réseau
souhaite contrôler le chemin sélectionné par le routeur.

Par exemple, les tables de routage contenant des informations statiques peuvent
servir à tester une liaison particulière dans le réseau ou à conserver une largeur de
bande passante. Le routage statique constitue également le meilleur moyen pour
mettre à jour des tables de routage lorsqu'il n'existe qu'un seul chemin vers un réseau
de destination. Ce type de réseau est appelé réseau d'extrémité. Comme il n'existe
qu'un seul chemin pour atteindre ce réseau, il est important de l'indiquer aux routeurs
pour leur éviter de rechercher un autre chemin si la connexion échoue.

Figure 7.27. Exemple de routage statique.

189
7.3.9.1.1. La commande ip route

La commande ip route permet de définir une route statique. La distance

administrative est une mesure de la fiabilité d'une source d'information de routage,
exprimée sous forme de valeur numérique comprise entre 0 et 255. Plus la valeur est
élevée, plus la fiabilité de la source est faible.

 Utilisation de la commande ip route

L'affectation d'une route statique pour atteindre le sous-réseau 172.16.1.0 est propre à
Cisco A, car il n'existe qu'un seul moyen pour atteindre ce réseau. Il est également
possible d'affecter une route statique à partir de Cisco B vers le nuage de réseaux.
Cependant, comme il est nécessaire d'affecter une route statique pour chaque réseau
de destination, il est préférable de définir une route par défaut.
Exemple de route statique :

Figure 7.28. La commande ip route.

7.3.9.1.2. La commande ip default-network

La commande ip default-network permet de définir une route par défaut sur les
réseaux utilisant des protocoles de routage dynamique.

Les routes par défaut réduisent les entrées des tables de routage. Lorsqu'il n'existe
pas de réseau de destination dans une table de routage, le paquet est envoyé au
réseau par défaut.

 Utilisation de la commande ip default-network

Dans l'exemple, la commande globale ip default-network 192.168.17.0 définit le

réseau 192.168.17.0 de classe C comme chemin de destination pour les paquets qui
ne comportent pas d'entrées dans la table de routage.

190
Exemple de route par défaut :

Figure 7.29. Route par défaut.

EXERCICE :

Interconnexion de deux réseaux LAN par routeur suivant un routage statique

___________________________________________________________________

Soit deux réseaux LAN interconnectés par deux routeurs GOMBE et LIMETE :

Figure 7.30. Deux réseaux LAN interconnectés par routeurs.

191
1) Configuration des adresses IP des postes de travail

1-1) Réseau 192.168.1.0/24 : (PC1, PC2 et PC3)

PC1 ; Desktop → Static

IP Address : 192.168.1.1
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.1.100

1-2) Réseau 192.168.2.0 /24 : (PC4, PC5 et PC6)

PC4 ; Desktop → Static

IP Address : 192.168.2.1
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.2.200

2) Configuration des routeurs R1 et R2

2-1) Routeur 1 : GOMBE → CLI (Command Line Interface)

[yes/no] : no

Press RETURN to get started!

Router>enable (ou en)

Router#configure terminal (ou conf t)
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

 Nommer le routeur
Router(config)#hostname GOMBE
GOMBE(config)#
ère
1 Interface : Fa0/0
GOMBE(config)#interface FastEthernet0/0 (ou Fa0/0)
GOMBE(config-if)#ip address 192.168.1.100 255.255.255.0
GOMBE(config-if)#no shutdown (pour activer l’interface)
GOMBE(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state
to up

GOMBE(config-if)#exit
GOMBE(config)#
ème
2 Interface : Fa0/1
GOMBE(config)# interface FastEthernet0/1 (ou Fa0/1)
GOMBE(config-if)#ip address 10.0.0.1 255.0.0.0
GOMBE(config-if)#no shutdown
GOMBE(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

192
GOMBE(config-if)#exit
GOMBE(config)#exit
GOMBE#

%SYS-5-CONFIG_I: Configured from console by console

GOMBE#

2-2) Routeur 2 : LIMETE

[yes/no] : no

Press RETURN to get started!

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

 Nommer le routeur
Router(config)#hostname LIMETE
LIMETE(config)#
ère
1 Interface : Fa0/0
LIMETE(config)#int Fa0/0
LIMETE(config-if)#ip address 192.168.2.200 255.255.255.0
LIMETE(config-if)#no shutdown

LIMETE(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state

to up

LIMETE(config-if)#exit
ème
2 Interface : Fa0/1
LIMETE(config)#int Fa0/1
LIMETE(config-if)#ip address 10.0.0.2 255.0.0.0
LIMETE(config-if)#no shutdown

LIMETE(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state

to up

LIMETE(config-if)#exit
LIMETE(config)#exit
LIMETE#

%SYS-5-CONFIG_I: Configured from console by console

LIMETE#

193
Remarque :
A ce stade, une commande PING d’un ordinateur du réseau 192.168.1.0 (ex. PC1)
vers un ordinateur du réseau 192.168.2.0 (ex. PC4) et vice versa ne passera pas par
ce qu’un routeur ne connait seulement que les réseaux auxquels il est directement
connecté.

Ainsi, le routeur R1 nommé GOMBE ne connait que les réseaux 192.168.1.0/24 et

10.0.0.0/8 qui sont directement connectés à lui, mais il ne connait pas le réseau
192.168.2.0/24. De même, le routeur R2 nommé LIMETE ne connait que les réseaux
192.168.2.0/24 et 10.0.0.0/8 qui sont directement connectés à lui, mais ne connait pas
le réseau 192.168.1.0/24.

 Vérification de la table de routage du routeur GOMBE

GOMBE#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 10.0.0.0/8 is directly connected, FastEthernet0/1

C 192.168.1.0/24 is directly connected, FastEthernet0/0
GOMBE#

Remarque :

- La lettre C signifie que les réseaux 10.0.0.0/8 et 192.168.1.0/24 sont directement

connectés au routeur GOMBE respectivement à travers les interfaces
FastEthernet0/1 et FastEthernet0/0.
- Dans la table de routage du routeur GOMBE il n’y a pas le réseau 192.168.2.0/24

 Vérification de la table de routage du routeur LIMETE

LIMETE#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 10.0.0.0/8 is directly connected, FastEthernet0/1

C 192.168.2.0/24 is directly connected, FastEthernet0/0
LIMETE#

194
Remarque :

- La lettre C signifie que les réseaux 10.0.0.0/8 et 192.168.2.0/24 sont directement

connectés au routeur LIMETE respectivement à travers les interfaces
FastEthernet0/1 et FastEthernet0/0..
- Dans la table de routage du routeur LIMETE il n’y a pas le réseau 192.168.1.0/24.

3) Configuration du routage statique sur les deux routeurs

Le routage consiste à annoncer au routeur le(s) réseaux(x) au(x)quel(s) il n’est pas

directement lié. Dans ce cas, il faut annoncer :
- au routeur R1 (routeur GOMBE) l’adresse du réseau 192.168.2.0 pour qu’il puisse y
accéder en précisant l’interface à travers laquelle aura lieu la liaison (Fa/1) ;
- au routeur R2 (routeur LIMETE) l’adresse du réseau 192.168.1.0 pour qu’il puisse y
accéder en précisant l’interface à travers laquelle aura lieu la liaison(Fa/1).

3-1) Configuration du routage statique sur le routeur 1 (Routeur GOMBE)

a) Entrer la route statique

GOMBE#conf t
Enter configuration commands, one per line. End with CNTL/Z.
GOMBE(config)#ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
GOMBE(config)#exit
GOMBE#
%SYS-5-CONFIG_I: Configured from console by console

GOMBE#

b) Vérification de la table de routage du routeur GOMBE

GOMBE#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 10.0.0.0/8 is directly connected, FastEthernet0/1

C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, FastEthernet0/1
GOMBE#

Remarque :

- Le réseau 192.168.2.0/24 apparait maintenant dans la table de routage du routeur

GOMBE.
- La lettre S signifie que le réseau 192.168.2.0/24 est connecté au routeur GOMBE par
routage Statique à travers l’interface FastEthernet0/1.

195
3-2) Configuration du routage statique sur le routeur 2 (Routeur LIMETE)

a) Entrer la route statique

LIMETE#conf t
Enter configuration commands, one per line. End with CNTL/Z.
LIMETE(config)#ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
LIMETE(config)#exit
LIMETE#
%SYS-5-CONFIG_I: Configured from console by console

LIMETE#

b) Vérification de la table de routage du routeur LIMETE

LIMETE#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 10.0.0.0/8 is directly connected, FastEthernet0/1

S 192.168.1.0/24 is directly connected, FastEthernet0/1
C 192.168.2.0/24 is directly connected, FastEthernet0/0
LIMETE#

Remarque :
- Le réseau 192.168.1.0/24 apparait maintenant dans la table de routage du routeur
LIMETE.
- La lettre S signifie que le réseau 192.168.1.0/24 est connecté au routeur LIMETE par
routage Statique à travers l’interface FastEthernet0/1.

4) Test de la connexion

A titre d’illustration, on va tester la liaison entre un ordinateur du réseau 192.168.1.0/24

(ex. PC1) vers un ordinateur du réseau 192.168.2.0/24 (ex. PC4) à l’aide de la
commande PING : PC1 (192.168.1.1) → PC4 (192.168.2.1).

Figure 7.31. Test de la connexion par la commande PING.

196
Sachant que TTL (Time To Live) vaut 128 au maximum, le passage du message de
PC1 vers PC4 donne : 128 – 2 Routeurs = 126, c-à-d que la communication entre PC1
et PC2 passe par 2 routeurs (routeur GOMBE et routeur LIMETE).

7.3.9.2. LE ROUTAGE DYNAMIQUE

Lorsque les routeurs s'envoient périodiquement des messages de mise à jour de

routage, le routage est dynamique ou adaptatif car il permet aux routeurs de tenir
compte des modifications réseau. Chaque fois qu'un routeur reçoit un message
contenant de nouvelles informations, il recalcule le meilleur chemin et envoie les
informations mises à jour aux autres routeurs. Grâce au routage dynamique, les
routeurs peuvent s'adapter aux changements survenant sur le réseau.
Lorsque la mise à jour dynamique des tables de routage n'existait pas, la plupart des
fournisseurs devaient assurer la maintenance des tables de routage pour leurs clients.
Ils devaient entrer manuellement les numéros de réseau, les distances associées et
les numéros de port dans les tables de routeur de tous les équipements qu'ils avaient
vendus ou loués.
Au fur et à mesure de la croissance des réseaux, ce travail devenait de plus en plus
fastidieux, long et coûteux. Le routage dynamique évite aux administrateurs réseau ou
aux fournisseurs d'entrer manuellement des informations dans les tables de routage.
Ses performances sont optimales si la bande passante ou la densité du trafic réseau
ne constituent pas des problèmes.

Figure 7.32. Routes dynamiques.

Les protocoles RIP, IGRP, EGRP et OSPF sont des protocoles de routage dynamique,
car ils permettent le déroulement de ce processus. Sans les protocoles de routage
dynamique, Internet n'existerait pas.

7.3.9.2.1. Rôle et fonctionnement d’un protocole de routage dynamique

Les protocoles de routage sont utilisés pour faciliter l’échange des tables de routage et
d'autres informations de routage entre des routeurs. Ils permettent aux routeurs de
partager de manière dynamique des informations sur les réseaux distants et d’ajouter
automatiquement ces informations à leurs propres tables de routage.

Les protocoles de routage déterminent le meilleur chemin vers chaque réseau,

lequel est ensuite ajouté à la table de routage. L’un des principaux avantages de
l’utilisation d’un protocole de routage dynamique est l’échange d’informations de
routage entre des routeurs dès lors qu’une topologie est modifiée. Cet échange permet
aux routeurs de découvrir automatiquement de nouveaux réseaux et également de
trouver d’autres chemins en cas d’échec d’une liaison vers un réseau actif.

197
La figure 7.33 montre comment les routeurs transmettent dynamiquement les mises à
jour :

Figure 7.33. Routeurs transmettent dynamiquement les mises à jour.

Dans les réseaux, le premier protocole utilisé pour transférer les informations de
routage entre les routeurs est le protocole RIP qui calcule la distance jusqu'à un hôte
de destination selon le nombre de sauts (c'est-à-dire le nombre de routeurs) par
lesquels doit passer un paquet.

Remarque :
- Les protocoles de routage dynamique sont généralement utilisés dans des réseaux
plus importants pour réduire la surcharge administrative et fonctionnelle liée à
l’utilisation exclusive de routes statiques.
- Un réseau utilise généralement à la fois un protocole de routage dynamique et des
routes statiques.
- Dans la plupart des réseaux, un seul protocole de routage dynamique est utilisé.
Toutefois, différentes parties du réseau peuvent utiliser des protocoles de routage
différents.
- Même si de nombreux réseaux n’utilisent qu’un protocole de routage ou uniquement
des routes statiques, il est important pour un professionnel des réseaux de
comprendre les concepts et le fonctionnement de tous les protocoles de routage.
- Un professionnel des réseaux doit être capable de prendre une décision informée
quant au moment opportun pour utiliser un protocole de routage dynamique et au
choix du protocole de routage le mieux adapté à un environnement particulier.

7.3.9.2.2. Les protocoles routables

1) Les protocoles routés

Le protocole IP étant un protocole de couche réseau, il peut être routé sur un inter-
réseau, c'est-à-dire un réseau de réseaux. Les protocoles soutenant la couche réseau
sont des protocoles routés ou routables.

2) Autres protocoles routés

Il est à noter que le protocole routé le plus répandu c'est le protocole IP. Cependant, il
est important de savoir qu'il existe d'autres protocoles routables. Deux d'entre eux sont
les protocoles IPX/SPX de Novell et AppleTalk de Macintosh.

3) Protocoles non routables.

Les protocoles qui ne prennent pas en charge la couche 3 sont classés parmi les
protocoles non routables. Le plus connu de ces protocoles est le protocole NetBEUI.
Il s'agit d'un petit protocole rapide et efficace qui ne fonctionne que sur un seul
segment.

7.3.9.2.3. Les caractéristiques d'un protocole routable

Pour qu'un protocole soit routable, il doit donner la possibilité d'attribuer un numéro de
réseau et un numéro d'hôte à chaque équipement.

198
7.3.10. Les protocoles de routage

7.3.10.1. Les protocoles de routage les plus couramment utilisés et leur

classification

Les protocoles de routage déterminent les chemins qu'empruntent les protocoles

routés jusqu'à leur destination.
Les protocoles de routage donnent à des routeurs interconnectés les moyens de
cartographier le chemin vers n'importe quel autre routeur dans le même réseau ou sur
Internet. Cela permet le routage, c'est à dire la sélection du meilleur chemin, puis la
commutation. Ces cartes sont intégrées dans la table de routage de chaque routeur.

On distingue :
- Les protocoles de routage à vecteurs de distance (vector distance) : dont la
métrique est le nombre de sauts, c’est-à-dire le nombre de routeurs traversés par le
message pour atteindre la destination ;
- Les protocoles de routage à état de lien (link status) : dont la métrique tient
compte de la qualité de la liaison, notamment : la bande passante, le débit…

Exemple :
Considérons le réseau de la figure 7.34 qui montre comment deux ordinateurs (A et B)
sont interconnectés par trois routeurs (R1, R2 et R3) sur des lignes à 512 kb/s et 2Mb/s :

Figure 7.34. Choix de chemin par le protocole de routage.

- Un protocole de routage à vecteur de distance choisira comme meilleur chemin

celui le plus court, liaison R1-R3, qui donne 2 sauts pour transférer les messages du
PC-A vers le PC-B.
- Un protocole de routage à état de lien choisira comme meilleur chemin celui qui a
le débit le plus élevé, liaison R1-R2-R3, de 2Mb/s.

Voici la classification des protocoles de routages les plus utilisés :

 RIP : Routing Information Protocol (à vecteur de distance)
 IGRP : Interior Gateway Routing Protocol (à vecteur de distance de Cisco)
 OSPF : Open Shortest Path First (à état de lien)
 EIGRP : Enhanced Interior Gateway Routing Protocol (hybride symétrique)

Figure 7.35. Les différents protocoles de routage et modèle TCP/IP.

199
7.3.10.2. Évolution des protocoles de routage dynamique

De nouveaux protocoles de routage ont émergé à mesure que les réseaux ont évolué
et se sont complexifiés. La figure 7.36 illustre la classification des protocoles de
routage.

Figure 7.36. Classification des protocoles de routage.

RIP (Routing Information Protocol) est l’un des tous premiers protocoles de routage.
Il a évolué pour donner naissance à la version RIPv2. Toutefois, cette nouvelle version
n’est toujours pas adaptée aux grands réseaux.

Aussi, deux protocoles de routage avancés ont été développés pour répondre aux
besoins des réseaux plus importants : OSPF (Open Shortest Path First) et IS-IS
(Intermediate System-to-Intermediate System).

Cisco a développé les protocoles IGRP (Interior Gateway Routing Protocol) et

EIGRP (Enhanced IGRP), qui présentent également une bonne évolutivité dans les
réseaux plus importants.
Il a fallu par ailleurs interconnecter des inter-réseaux différents et assurer un routage
entre ces derniers. Le protocole BGP (Border Gateway Routing) est aujourd’hui
utilisé entre FAI et entre des FAI et leurs clients privés plus importants pour échanger
des informations de routage.

Le nombre de périphériques utilisant le protocole IP ne cessant de croître, l’espace

d’adressage IPv4 est pratiquement épuisé, d’où l’émergence d’IPv6. De nouvelles
versions des protocoles de routage IP ont été développées pour prendre en charge les
communications reposant sur IPv6.

7.3.10.3. Configuration des protocoles de routage

Une fois qu'un protocole de routage est activé par une commande globale, l'invite du
mode de configuration du routeur s'affiche :
Nom-routeur (config-router)#

Nom-routeur (config-router)# ? Pour afficher la liste des sous-commandes

de configuration de protocole de routage.

200
 7.3.11. Notion de domaine de routage

Le routage au moindre coût nécessite la diffusion, à travers le réseau, d’information

concernant soit les tables de routage (vector distance), soit l’état des liens (link status).
Ce trafic consomme de la bande passante au détriment des données à écouler.
Plus le réseau est grand, plus le trafic de mise à jour est conséquent, plus les tables de
routage sont importantes et plus le calcul des routes consomme du temps CPU.

En routage hiérarchique (figure 7.37), le réseau est découpé en domaines appelés

systèmes autonomes (AS, Autonomus System). Chaque domaine est identifié, les
messages n’appartenant pas au domaine sont éliminés.

Figure 7.37. Routage hiérarchique.

Un AS est constitué d’un ou plusieurs réseaux sous la responsabilité administrative

d’une même autorité. À cet effet, un système autonome est constitué de routeurs
pilotés par un ou plusieurs opérateurs, qui présentent une vue cohérente du routage
vers l'extérieur. Le NIC (Network Information Center) attribue aux entreprises un
numéro de système autonome unique. Ce numéro est un nombre à 16 bits. Un
protocole de routage, tel que le protocole IGRP de Cisco, exige que vous indiquiez ce
numéro unique dans votre configuration.
La figure 7.38 montre un système autonome (AS).

Figure 7.38. Système autonome.

7.3.11.1. Protocoles de routage intérieurs et protocoles de routage extérieurs

Ce mode de découpage des réseaux conduit à définir deux familles de protocoles de

routage, notamment utilisés dans Internet :
 Les protocoles internes au domaine (IGP, Interior Gateway Protocol), qui assurent
le routage dans le domaine, mais ignorent les noeuds des autres domaines.

201
 Les protocoles IGP acheminent les données à l'intérieur d'un système autonome.
 Les protocoles externes au domaine (EGP, External Gateway Protocol), qui gèrent
l’échange d’information entre domaines afin de découvrir la connectivité de chaque
domaine. Les protocoles EGP acheminent les données entre des systèmes
autonomes.

Chaque domaine est représenté et connu du reste du réseau par un nœud, dit routeur
de bordure, qui supporte à la fois un protocole intérieur au domaine et un protocole
externe au domaine. Chaque domaine est autonome et peut mettre en œuvre un
protocole de routage interne différent.

Comme protocoles de routages extérieurs, nous avons : RIP, IGRP, EIGRP et OSPF,
tandis que nous avons comme protocoles de routages extérieurs : EGP et BGP.

 EGP (Exterior Gateway Protocol) a été le premier protocole externe utilisé dans
Internet.
 BGP (Border Gateway Protocol) protocole qui définit les échanges à l’intérieur du
domaine (iBGP) et entre systèmes de bordure (eBGP). BGP est le principal protocole
de routage externe utilisé par les passerelles sur Internet pour s’échanger des
informations sur le routage.

Remarque :
Les protocoles de routage utilisés dans chacun des AS peuvent être différents, un
protocole spécifique EGP gère l’échange d’information entre les différents AS.

7.3.11.2. Emploi et comparaison des protocoles de routage intérieurs

et extérieurs

 Les protocoles de routage intérieurs sont utilisés au sein d'un système autonome.
C’est-à-dire qu’un protocole de routage interne (ex : RIP, IGRP, OSPF) est configuré
dans un même système autonome.
 Les protocoles de routage extérieurs permettent aux systèmes autonomes de
communiquer entre eux. C’est-à-dire qu’un protocole de routage externe (ex : BGP)
peut faire le routage entre deux systèmes autonomes différents.

Figure 7.39. Les protocoles de routage intérieurs et extérieurs.

202
7.3.13. Le routage multiprotocole

Les routeurs peuvent prendre en charge simultanément de nombreux protocoles de

routage indépendants et tenir à jour les différentes tables de routage associées aux
protocoles routés. Un routeur peut ainsi livrer les paquets de plusieurs protocoles
routés sur les mêmes liaisons de données.

Figure 7.40. Routage multiprotocole.

7.3.14. Les tâches de configuration de routage IP

La sélection d'un protocole de routage IP implique la définition des paramètres

généraux et des paramètres d'interface. Les tâches globales comprennent la sélection
d'un protocole de routage (RIP ou IGRP) ainsi que la définition de numéros de réseau
IP et de valeurs de sous-réseau. La tâche liée aux interfaces consiste à attribuer des
adresses de réseau/sous-réseau et le masque de sous-réseau approprié.
Le routage dynamique utilise des messages de diffusion broadcast et multicast pour
communiquer avec les autres routeurs. La métrique de routage aide les routeurs à
trouver le meilleur chemin menant à chaque réseau ou sous-réseau.

Figure 7.41. Tâches de configuration de routage IP.

203
7.3.15. Utilisations des commandes

7.3.15.1. L'utilisation des commandes « router » et « network »

Il est à noter que :

 la commande router lance le processus de routage ;
 la commande network est nécessaire, car elle permet au processus de routage de
déterminer les interfaces qui participeront à l'envoi et à la réception des mises à jour
du routage.

Les numéros de réseau doivent être basés sur les adresses de classe, et non sur les
adresses de sous-réseau ou des adresses hôtes. Les principales adresses réseau se
limitent aux numéros de réseau des classes A, B et C.

7.3.15.2. L'utilisation des commandes « router RIP » et « network » pour activer

le protocole RIP
La commande router rip sélectionne le protocole RIP en tant que protocole de
routage. La commande network active une adresse de classe réseau à laquelle le
routeur sera directement connecté. Le processus de routage associe les interfaces aux
adresses réseau et commence à utiliser le protocole RIP sur les réseaux spécifiés.
Remarque : Dans le protocole RIP, tous les masques de sous-réseau doivent être
identiques. Ce protocole ne partage pas les informations de sous-réseau dans les
mises à jour du routage.

7.3.15.3. L'activation du protocole RIP sur un réseau à adressage IP

Description des commandes utilisées dans l'exemple :
 router rip - Sélectionne le protocole RIP en tant que protocole de routage.
 network 1.0.0.0 - Spécifie un réseau directement connecté.
 network 2.0.0.0 - Spécifie un réseau directement connecté.

Les interfaces du routeur Cisco A connectées aux réseaux 1.0.0.0 et 2.0.0.0 envoient
et reçoivent les mises à jour RIP. Ces mises à jour permettent au routeur d'apprendre
la topologie du réseau.

204
 Figure 7.42. Exemple de configuration RIP.

7.3.15.4. Le contrôle du flux de paquets IP à l'aide de la commande

« show ip protocol »
La commande show ip protocol affiche les valeurs des compteurs de routage et les
informations de réseau associées à l'ensemble du routeur. Utilisez ces informations
pour identifier le routeur que vous soupçonnez d'envoyer des informations de routage
incorrectes. Le routeur de l'exemple envoie les mises à jour de la table de routage
toutes les 30 secondes (intervalle défini). Dix-sept secondes se sont écoulées depuis
l'envoi de la dernière mise à jour ; la prochaine sera envoyée dans 13 secondes.
Après la ligne " Routing for Networks ", le routeur indique les routes des réseaux
répertoriés. La dernière ligne indique que la distance administrative du routage RIP
est égale à 120.

7.3.15.5. La commande show ip route

La commande show ip route affiche la table de routage IP qui contient toutes les
entrées des réseaux et des sous-réseaux connus, avec un code indiquant la façon
dont les informations ont été acquises.

7.3.15.6. L'utilisation des commandes « router igrp » et « network »

pour activer le protocole IGRP
- La commande router igrp sélectionne le protocole IGRP en tant que protocole de
routage.
- La commande network spécifie les réseaux directement connectés à inclure.

Remarque :
Comme pour le protocole RIP, tous les masques de sous-réseau doivent être
identiques. Le protocole IGRP ne partage pas les informations de sous-réseau dans
les mises à jour du routage.

205
7.3.15.7. L'activation du protocole IGRP sur un réseau à adressage IP
Le protocole IGRP est sélectionné comme protocole de routage pour le système
autonome 109. Toutes les interfaces connectées aux réseaux 1.0.0.0 et 2.0.0.0 seront
utilisées pour envoyer et recevoir les mises à jour du routage IGRP.

Dans l'exemple :
 router igrp 109 - Sélectionne IGRP comme protocole de routage pour le système
autonome 109.
 network 1.0.0.0 - Spécifie un réseau directement connecté.
 network 2.0.0.0 - Spécifie un réseau directement connecté.

Figure 7.43. Exemple de configuration IGRP.

7.3.15.8. La commande show ip route

La commande show ip route affiche le contenu d'une table de routage IP. Cette table
contient la liste de tous les réseaux et sous-réseaux connus, ainsi que les métriques
associées à chaque entrée. Dans cet exemple, les informations proviennent du
protocole IGRP (I) ou des connexions directes (C).

7.3.15.9. Les voisins réseau d'un routeur

7.3.15.9.1. Accès à d'autres routeurs à l'aide du protocole CDP

Le protocole CDP (Cisco Discovery Protocol) fournit une commande propriétaire

unique qui permet à l'administrateur réseau d'afficher une synthèse des configurations
des routeurs directement connectés. Ce protocole est exécuté au niveau d'une couche
liaison de données qui relie des médias physiques de niveau inférieur et des
protocoles de couche réseau de niveau supérieur.
De cette manière, les unités CDP prenant en charge différents protocoles de couches
réseau peuvent échanger des informations. Rappel : une adresse de liaison de
données est identique à une adresse MAC.

7.3.15.9.2. Affichage des entrées sur les unités CDP voisines

Le protocole CDP (Cisco Discovery Protocol) permet principalement de détecter les

plates-formes et les protocoles utilisés par les unités voisines. Exécutez la commande
show cdp neighbors pour afficher les mises à jour CDP sur le routeur local.

206
 Figure 7.44. Affichage des entrées CDP des équipements voisins.

La figure précédente illustre la façon dont le protocole CDP transmet les données
recueillies à l'administrateur réseau. Tous les routeurs exécutant le protocole CDP
partagent avec leurs voisins des informations sur toutes les entrées de protocole.
L'administrateur peut afficher les résultats de cet échange d'informations sur une
console reliée à un routeur configuré pour exécuter le protocole CDP sur ses
interfaces.
L'administrateur réseau utilise une commande show pour afficher les informations
relatives aux réseaux directement connectés au routeur. Le protocole CDP fournit des
renseignements sur toutes les unités voisines exécutant le protocole CDP.

Les valeurs affichées sont les suivantes :

 Identifiant d'unité - Par exemple, le nom d'hôte et le nom de domaine configurés du
routeur.
 Liste d'adresses - Au minimum, une adresse associée au protocole SNMP et, au
maximum, une adresse pour chaque protocole pris en charge.
 Identifiant de port - Par exemple, Ethernet 0, Ethernet 1 ou Série 0.
 Liste de capacités - Par exemple, si l'unité, en plus d'être un routeur, joue le rôle de
pont avec routage par la source.
 Version - Informations correspondant à celles fournies par la commande locale show
version.
 Plate-forme - Plate-forme matérielle de l'unité, par exemple, Cisco 7000.

7.3.16. PRATIQUE DU ROUTAGES STATIQUE ET DYNAMIQUE

La topologie physique d’un réseau d’entreprise offre la structure nécessaire au

transfert des données. Le routage fournit le mécanisme qui permet à ce processus de
fonctionner. Trouver le meilleur chemin vers une destination devient une tâche très
difficile dans un réseau d’entreprise, car un routeur peut avoir de nombreuses sources
d’informations à partir desquelles il doit construire sa table de routage.

Une table de routage est un fichier de données en mémoire vive qui sert à stocker les
informations relatives aux réseaux directement connectés et aux réseaux distants. La
table de routage associe chaque réseau à une interface de sortie ou à un tronçon
suivant.

L’interface de sortie est le chemin physique que le routeur utilise pour rapprocher les
données de la destination. Le tronçon suivant est une interface sur un routeur connecté
qui rapproche les données de la destination finale.

207
7.3.16.1. La distance administrative (AD)

La table associe également à chaque route un nombre qui indique la fiabilité ou

l’exactitude de la source des informations de routage. Cette valeur est la distance
administrative. Les routeurs tiennent à jour des informations relatives aux routes
directement connectées, statiques et dynamiques.

La distance administrative est une valeur qui représente le protocole dans un réseau
car celui-ci peut utiliser plusieurs protocoles simultanément (RIP, OSPF, …).
La distance administrative est plus importante que la métrique, car lorsqu’une même
route existe dans plusieurs protocoles, le routage analyse les valeurs de la distance
administrative pour déterminer la plus faible qui sera correspondra alors à la route
choisie.
Chaque protocole possède une valeur d’AD par défaut tel que présenté par le tableau
7.2.

Tableau 7.2. Valeurs d’AD pour les différents protocoles de routage.

Protocole AD
BGP externe 20
EIGRP interne 90
IGRP 100
OSPF 110
RIP 120
EIGRP externe 170
BGP externe 200

Remarque
- L’AD donne la préférence sur le protocole de routage.
- Si l’AD est plus petite, alors la route est meilleure.

Ainsi, le routage choisira la route donnée par le protocole OSPF (AD = 110) par rapport
à la route donnée par le protocole RIP (AD = 120).

Soit la figure 7.45 qui donne un exemple de routage dynamique :

Figure 7.45. Exemple de routage dynamique.

Commande : show ip route

208
1) Adresse et masque de sous-réseau du réseau de destination

2) Distance administrative et nombre de sauts

Il s’agit de la distance administrative et de la mesure associées à la route. La distance

administrative représente l’exactitude ou la fiabilité de la mesure utilisée pour les
calculs de coûts. La mesure est la valeur utilisée pour calculer le coût pour atteindre la
destination.

3) Interface de sotie

Il s’agit de l’interface de sortie sur le routeur utilisé pour rapprocher les informations de
leur destination finale.

4) Source d’informations de routage

Ceci indique comment la route a été apprise. Les routes peuven être connectées
directement, entrées manuellemnt ou apprises à partir d’un protocole de routage
dynamique.

5) Tronçon suivant

Il s’agit de l’adresse de l’interface sur le routeur suivant. Les informations transmises à

cette interface se rapprochent de leur destination finale.

209
7.3.16.2. Route par défaut

C’est une route statique définie par l’administrateur, que le routeur va choisir lorsque
le routage dynamique ne parvient pas déterminer une route de façon précise.

7.3.16.3. Protocoles de routage

Par rapport à la technique VLSM (Variable Subnetwork Mask), on distingue, les

protocoles de routage par classe et les protocoles de routage sans classe.

Comparaison :
- les protocoles de routage par classe effectuent toujours le regroupement par
classe et n’incluent pas le masque de sous-réseau dans les mises à jour de routage.
- les protocoles de routage sans classe incluent le masque de sous-réseau dans les
mises à jour de routage et ne nécessitent pas d’effectuer de regroupement de sous-
réseaux.

Les protocoles de routage sans classe abordés dans ce cours sont les protocoles
RIPv2, EIGRP, OSPF, IS-IS et BGP.

7.3.16.4. Protocoles de routage à vecteur de distance

1) Démarrage à froid
Lorsqu’un routeur démarre à froid ou est mis sous tension, il ne dispose d’aucune
information sur la topologie du réseau. Il ne sait même pas que des périphériques sont
connectés à l’autre extrémité de ses liaisons. Les seules informations dont dispose un
routeur sont celles de son propre fichier de configuration qui est stocké dans la
mémoire vive non volatile. Une fois amorcé avec succès, le routeur applique la
configuration enregistrée.

2) Détection de réseau initiale

Après un démarrage à froid et avant l’échange d’informations de routage, les routeurs
détectent initialement leurs propres réseaux connectés directement et masques de
sous-réseau. Ces informations sont ajoutées à leurs tables de routage :

Figure 7.46. Ajout des informations aux tables de routage.

3) Échange initial d’informations de routage

Si un protocole de routage est configuré, les routeurs commencent à échanger des
mises à jour de routage. Au départ, ces mises à jour n’incluent que des informations
concernant leurs réseaux directement connectés. Dès qu’il reçoit une mise à jour, le
routeur recherche les nouvelles informations. Toute route ne figurant pas actuellement
dans la table de routage du routeur est ajoutée.

210
 À la fin, les routeurs connaissent leurs propres réseaux directement connectés et les
réseaux connectés de leurs voisins immédiats. Pour se rapprocher de la
convergence, les routeurs échangent la série suivante de mises à jour régulières.
Chaque routeur vérifie une nouvelle fois les mises à jour à la recherche de nouvelles
informations.

Figure 7.47. Échange d’informations de routage.

4) Convergence
Il y a convergence lorsque tous les ruteurs du réseau possèdent des informations
cohérentes et correctes sur la façon d’accéder aux réseaux de dstination.
Le temps nécessaire à un réseau pour converger est directement proportionnel à la
taille de ce réseau. Les protocoles de routage sont évalués en fonction de la vitesse à
laquelle ils peuvent propager ces informations : on parle de vitesse de convergence
et du temps de convergence.
La vitesse de convergence englobe les éléments suivants :
- la vitesse à laquelle le routeur propage une modification de la topologie lors d’une mise
à jour de routage à ses voisins ;
- la vitesse de calcul des meilleurs chemins à l’aide des nouvelles informations de
routage collectées.

Figure 7.48. La convergence.

Un réseau n’est pas complètement opérationnel tant qu’il n’a pas convergé. C’est
pourquoi les administrateurs réseau préfèrent les protocoles de routage avec des
temps de convergences courts.
211
7.3.16.4.1. Mises à jour régulières : Protocoles RIPv1 et IGRP

 Mise à jour de la table de routage

Plusieurs protocoles à vecteur de distance ont recours à des mises à jour régulières
pour échanger des informations de routage avec leurs voisins et maintenir les
informations de routage à jour dans la table de routage. RIP et IGRP sont des
exemples de protocoles agissant de la sorte.

7.3.16.4.1.1. Protocole RIPv1

Le protocole RIP présente les principales caractéristiques suivantes :

- RIP est un protocole de routage à vecteur de distance.
- La seule mesure qu’il utilise pour le choix du chemin d’accès est le nombre de sauts.
- Les routes annoncées dont le nombre de sauts est supérieur à 15 sont inaccessibles.
- Les messages sont diffusés toutes les 30 secondes.

1) Minuteurs RIP
Minuteur de mise à jour : Pour les protocoles RIP, ces mises à jour sont envoyées
toutes les 30 secondes sous forme de diffusion (255.255.255.255) que la topologie ait
été ou non modifiée. L’intervalle de 30 secondes est un minuteur de mise à jour des
routes qui permet également de connaître l’âge des informations de routage dans une
table de routage.

L’âge des informations de routage d’une table de routage est actualisé à chaque
réception d’une mise à jour. Les informations de la table de routage peuvent ainsi être
mises à jour dès que la topologie est modifiée. Des modifications peuvent avoir lieu
pour plusieurs raisons, notamment :
- Défaillance d’une liaison
- Introduction d’une nouvelle liaison
- Défaillance d’un routeur
- Modification des paramètres de liaison

La partie données d’un message RIP est encapsulée dans un segment UDP, avec les
numéros de ports source et de destination définis sur 520. L’en-tête IP et les en-têtes
de liaison de données ajoutent des adresses de destination de diffusion avant l’envoi
du message à toutes les interfaces configurées RIP.

Outre le minuteur de mise à jour, l’IOS implémente trois minuteurs supplémentaires

pour le protocole RIP :
- Temporisation (Invalid Timer)
- Annulation (Flush Timer)
- Mise hors service (Holddown Timer)

Minuteur de temporisation : Si aucune mise à jour n’a été reçue pour actualiser une
route existante dans les 180 secondes (par défaut), la route est marquée comme non
valide (valeur 16 attribuée à la mesure). La route est conservée dans la table de
routage jusqu’à l’expiration du minuteur d’annulation.

Minuteur d’annulation : Par défaut, le minuteur d’annulation a une valeur de

240 secondes, ce qui représente 60 secondes de plus que le minuteur de
temporisation. Lorsque le délai du minuteur d’annulation expire, la route est supprimée
de la table de routage.

212
Minuteur de mise hors service : Ce minuteur stabilise les informations de routage et
peut permettre d’éviter les boucles de routage au moment de la convergence de la
topologie sur la base de nouvelles informations. Une fois marquée comme
inaccessible, une route doit rester hors service suffisamment longtemps pour que tous
les routeurs de la topologie découvrent le réseau inaccessible. Par défaut, le minuteur
de mise hors service à une valeur de 180 secondes.

Figure 7.49. Routage dynamique avec RIP.

Les 4 principaux minuteurs du protocole RIP, leur fonction et leur durée :

213
 Vous pouvez vérifier les valeurs du minuteur avec deux commandes : show ip route
et show ip protocols.

- Dans la sortie de la commande show ip route, notez que chaque route découverte
par le biais du protocole RIP indique le temps écoulé depuis la dernière mise à jour
(exprimé en secondes).

- Ces informations sont aussi répétées dans la sortie show ip protocols sous le titre
Last Update. La commande show ip protocols indique à quel moment le routeur R1
est supposé envoyer sa prochaine série de mises à jour. Elle énumère également les
valeurs par défaut des minuteurs de temporisation, de mise hors service et
d’annulation.

2) Activation du Protocole RIP : commande « router rip »

Pour activer un protocole de routage dynamique :

- vous devez passer en mode de configuration globale,
- utiliser la commande « router ».

Comme illustré dans la figure, si vous entrez un espace suivi d’un point d’interrogation
(router ?), une liste de tous les protocoles de routage disponibles et pris en charge par
l’IOS s’affiche.

214
 - Pour passer en mode de configuration du routeur pour le protocole RIP, entrez la
commande « router rip » à l’invite de configuration globale. Vous remarquerez que
l’invite passe de la configuration globale à :

R1(config-router)#

Cette commande ne lance pas automatiquement le processus RIP. Elle fournit un

accès permettant de configurer les paramètres du protocole de routage. Aucune mise
à jour de routage n’est envoyée.

- Si vous devez totalement supprimer le processus de routage RIP d’un périphérique,

annulez la commande à l’aide de la commande « no router rip ». Cette commande
arrête le processus RIP et efface toutes les configurations RIP existantes.

3) Spécification de réseaux

Dès lors que vous passez en mode de configuration du routeur RIP, le routeur est
chargé d’exécuter le protocole RIP. Mais le routeur doit encore savoir quelles
interfaces locales il doit utiliser pour communiquer avec d’autres routeurs et quels
réseaux connectés localement il doit annoncer à ces routeurs.

Pour activer le routage RIP pour un réseau :

- utilisez la commande « network » dans le mode de configuration du routeur,
- entrez l’adresse réseau par classe de chaque réseau directement connecté.

Router(config-router)#network directly-connected-classful-network-address

Exemple:
Router(config-router)#network 192.168.1.0
ou
Router(config-router)#net 192.168.1.0

215
La commande network :

- Active le protocole RIP sur toutes les interface qui appartiennent à un réseau
spécifique. Les interfaces associées envoient et reçoivent maintenant les mises à jour
RIP.
- Annonce le réseau spécifié dans les mises à jour de routage RIP envoyées aux
autres routeurs toutes les 30 secondes.

Remarque :
Si vous entrez une adresse de sous-réseau, l’IOS la convertit automatiquement en
adresse réseau par classe. Par exemple, si vous entrez la commande « network
192.168.1.32 », le routeur la convertira en « network 192.168.1.0 ».

Pour configurer le protocole RIP en console, la procédure est la suivante :

 Ajouter une route
Router>en
Router#conf t
Router(config)#router rip
Router(config-router)#network 192.168.1.0

 Supprimer une route

Router>en
Router#conf t
Router(config)#router rip
Router(config-router)#no network 192.168.1.0

4) Vérification du protocole RIP : show ip route

 Commandes de dépannage efficaces

- Pour vérifier et dépanner le routage, utilisez d’abord « show ip route » et « show ip

protocols ».
- Si vous ne parvenez pas à isoler le problème à l’aide de ces deux commandes ci-
haut, utilisez « debug ip rip » pour voir exactement ce qui se passe.

Ces trois commandes sont étudiées dans l’ordre dans lequel il est suggéré de les
utiliser pour vérifier et dépanner une configuration de protocole de routage.

- Avant de configurer tout routage, qu’il soit statique ou dynamique, vous devez vous
assurer que toutes les interfaces nécessaires sont actives, en utilisant la commande
« show ip interface brief ».

216
La commande « show ip route » vérifie que les routes reçues par les voisins RIP sont
installées dans une table de routage. Les routes RIP sont indiquées dans la sortie par
la lettre R. Puisque cette commande affiche la table de routage complète, y compris les
routes connectées directement et les routes statiques, il s’agit généralement de la
première commande utilisée pour vérifier la convergence.
Il est possible que les routes n’apparaissent pas immédiatement lorsque vous exécutez
la commande car la convergence des réseaux prend un certain temps.
Cependant, une fois le routage correctement configuré sur tous les routeurs, la
commande « show ip route » indiquera que chaque routeur a une table de routage
complète, avec une route pour chaque réseau dans la topologie.

5) Interprétation des informations affichées par la commande show ip protocols

Si un réseau est absent d’une table de routage, vérifiez la configuration de routage à

l’aide de la commande show ip protocols. Celle-ci affiche le protocole de routage
actuellement configuré sur le routeur. Ces données peuvent être utilisées pour vérifier
la plupart des paramètres RIP et confirmer que :
- le routage RIP est configuré ;
- les interfaces appropriées envoient et reçoivent des mises à jour RIP ;
- le routeur annonce les réseaux appropriés ;
- les voisins RIP envoient des mises à jour.

6) Interprétation des informations affichées par la commande « debug ip rip »

La plupart des erreurs de configuration RIP sont dues à une instruction de

configuration network incorrecte ou manquante ou à la configuration de sous-réseaux
discontinus dans un environnement par classe.

La commande « debug ip rip » permet d’identifier les problèmes qui affectent les
mises à jour RIP. Cette commande affiche les mises à jour du routage RIP lors de leur
envoi et de leur réception.
Les mises à jour étant régulières, vous devez attendre la prochaine série de mises à
jour pour pouvoir en consulter la sortie.

217
- Pour arrêter de surveiller les mises à jour RIP sur le routeur, saisissez la commande
« no debug ip rip » ou simplement « undebug all ».

- L’examen de ces informations de débogage permet de vérifier que le routage RIP est
entièrement opérationnel sur R2.

7.3.16.4.2. rotocole RIPv2

RIP version 1 (RIPv1) est un protocole de routage par classe et tandis que RIP
version 2 (RIPv2) est un protocole de routage sans classe.

Bien que RIPv2 soit un protocole de routage adapté à certains environnements, il a

perdu de sa popularité au détriment d’autres protocoles de routage tels qu’EIGRP,
OSPF et IS-IS, qui offrent davantage de fonctions et d’évolutivité.

Remarque :
 Bien qu’il soit moins populaire que d’autres protocoles de routage, les deux versions
de RIP sont toujours adaptées à certaines situations.
 Bien que RIP ne dispose pas des fonctionnalités offertes par les protocoles plus
récents, sa pure simplicité et son utilisation étendue à plusieurs systèmes
d’exploitation en font un candidat idéal pour les réseaux de taille réduite et
homogènes dans lesquels une prise en charge de plusieurs fournisseurs est
nécessaire, particulièrement dans les environnements UNIX.
 La principale limite du protocole RIPv1 est qu’il s’agit d’un protocole de routage par
classe. Comme on peut le constater, les protocoles de routage par classe n’incluent
pas le masque de sous-réseau avec l’adresse réseau dans les mises à jour de
routage, ce qui pose parfois des problèmes avec les sous-réseaux discontinus ou les
réseaux qui utilisent le masquage de sous-réseau de longueur variable (VLSM).
 RIPv2 étant un protocole de routage sans classe, les masques de sous-réseau sont
inclus dans les mises à jour de routage, rendant RIPv2 plus compatible avec les
environnements de routage modernes.

218
RIPv2 est en fait une amélioration des fonctions et des extensions du protocole RIPv1
plutôt qu’un nouveau protocole à part entière. Ces fonctions améliorées comprennent :
- les adresses de tronçon suivant comprises dans les mises à jour de routage ;
- l’utilisation d’adresses de multidiffusion pour l’envoi de mises à jour ;
- l’option d’authentification disponible.

Comme RIPv1, RIPv2 est un protocole de routage à vecteur de distance. Les deux
versions de RIP comportent les fonctions et les limites suivantes :
- mise hors service et autres minuteurs pour tenter d’éviter les boucles de routage ;
- découpage d’horizon, avec ou sans empoisonnement inverse, dans le même but ;
- mises à jour déclenchées en cas de modification de la topologie pour une
convergence plus rapide ;
- nombre de sauts maximum limité à 15, un nombre de sauts de 16 indique un réseau
inaccessible.

Exemple de configuration de RIPv2 :

- Soient deux réseaux LAN distants interconnectés via une liaison série par deux
routeurs (R0 : KINSHASA et R1 : MATADI), tel que présenté par la figure 7.50.
On demmande de configurer le routage dynamique entre ces deux réseaux à l’aide
du protocole RIPv2.
On va utiliser les routeurs Cisco 1841 qui possède des interfaces
FastEthernet tandis que les interfaces Série Se0/1/0 seront ajoutées.
Cependant, la synchronisation entre les deux routeurs sera réalisée à l’aide du
« Clock Rate = 250 000 ».

Figure 7.50. Routage avec la protocole RIPv2.

1) Configuration des adresses IP des postes de travail

1-3) Réseau 192.168.1.0 /24: (PC0, PC1 et PC2)

PC0 ; Desktop → Static

IP Address : 192.168.1.2
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.1.1

219
Réseau 192.168.3.0/24 : (PC3, PC4 et PC5)

PC3 ; Desktop → Static

IP Address : 192.168.3.2
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.3.1

2) Configuration des routeurs R0 (KINSHASA) et R1 (MATADI)

2-1) Routeur 0 : KINSHASA → CLI (Command Line Interface)

Continue with configuration dialog? [yes/no] : no (ou n)
Press RETURN to get started!

Router>enable (ou en)

Router#configure terminal (ou conf t)
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

 Nommer le routeur
Router(config)#hostname KINSHASA
KINSHASA(config)#
ère
1 Interface : Fa0/0
KINSHASA(config)#interface FastEthernet0/0 (ou int fa0/0)
KINSHASA(config-if)#ip address 192.168.1.1 255.255.255.0
KINSHASA(config-if)#no shutdown (ou no sh)
KINSHASA(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to up

KINSHASA(config-if)#exit
KINSHASA(config)#
ème
2 Interface : Serial0/1/0

KINSHASA(config)# interface Serial0/1/0 (ou int se0/1/0)

KINSHASA(config-if)#ip address 192.168.2.1 255.255.255.252
KINSHASA(config-if)#no sh

%LINK-5-CHANGED: Interface Serial0/1/0, changed state to down

KINSHASA(config-if)#exit
KINSHASA(config)#exit
KINSHASA#
%SYS-5-CONFIG_I: Configured from console by console

 Configuration de l’horloge

Routeur KINSHASA → Config

- Clic sur Interface Serial0/1/0

- Clock Rate → Not Set, dérouler la liste (▼)
- Sélectionner : 250 000 comme vitesse d’horloge

220
Équivalent IOS commands :

KINSHASA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
KINSHASA(config)#interface Serial0/1/0
KINSHASA(config-if) #clock rate 250 000
KINSHASA(config-if)#end
KINSHASA#
%SYS-5-CONFIG_I: Configured from console by console

KINSHASA#

2-2) Routeur 1 : MATADI→ CLI (Command Line Interface)

Continue with configuration dialog? [yes/no] : no

Press RETURN to get started!

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

 Nommer le routeur
Router(config)#hostname MATADI
MATADI(config)#
ère
1 Interface : Fa0/0
MATADI(config)#int Fa0/0
MATADI(config-if)#ip address 192.168.3.1 255.255.255.0
MATADI(config-if)#no shutdown

MATADI(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to up

MATADI(config-if)#exit
ème
2 Interface : Serial0/1/0
MATADI(config)#int Se0/1/0
MATADI(config-if)#ip address 192.168.2.2 255.255.255.252
MATADI(config-if)#no shutdown

MATADI(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed

state to up
MATADI(config-if)#exit
MATADI(config)#exit
MATADI#

%SYS-5-CONFIG_I: Configured from console by console

MATADI#

221
3) Configuration du routage

On annonce seulement au routeur les deux réseaux auxquels il est directement

connecté :
- Le routeur KINSHASA est connecté aux réseaux 192.168.1.0/24 et 192.168.2.0/30 ;
- Le routeur MATADI est connecté aux réseaux 192.168.3.0/24 et 192.168.2.0/30.

3-1) Configuration du routage dynamique sur le routeur 1 (Routeur KINSHASA)

 Routage dynamique avec RIPv2

KINSHASA#conf t
KINSHASA(config)#router rip
KINSHASA(config-router)#ver 2
KINSHASA(config-router)#network 192.168.1.0 (ou net 192.168.1.0)
KINSHASA(config-router)#net 192.168.2.0
KINSHASA(config-router)#end (ou exit exit, ou encore Ctrl + Z)
KINSHASA#write (ou wr, pour ‘copy run start’)
KINSHASA#

3-2) Configuration du routage dynamique sur le routeur 1 (Routeur MATADI)

 Routage dynamique avec RIPv2

MATADI#conf t
MATADI(config)#router rip
MATADI(config-router)#ver 2
MATADI(config-router)#net 192.168.2.0
MATADI(config-router)#net 192.168.3.0
MATADI(config-router)#end
MATADI#wr
MATADI#

4) Vérification des tables de routage des deux routeurs

4-1) Vérification de la table de routage du routeur KINSHASA

KINSHASA#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.1.0/24 is directly connected, FastEthernet0/0

192.168.2.0/30 is subnetted, 1 subnets
C 192.168.2.0 is directly connected, Serial0/1/0
R 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:06, Serial0/1/0
KINSHASA#

222
Remarque :

- Le réseau 192.168.3.0/24 apparait maintenant dans la table de routage du routeur

KINSHASA.

- La lettre R signifie que le réseau 192.168.3.0/24 est connecté au réseau

192.168.1.0/24 par routage dynamique selon le protocole RIP via l’adresse
192.168.2.2 (Se0/1/0 du routeur R1 ou MATADI = Source) et l’interface Serial0/1/0 du
routeur R0 ou KINSHASA = Destinataire (il s’agit parcourt de la liaison réalisée par le
réseau 192.168.2.0/30 entre les deux routeurs).

- Le chiffre 120 indique l’AD du protocole RIP.

4-2) Vérification de la table de routage du routeur MATADI

MATADI#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

R 192.168.1.0/24 [120/1] via 192.168.2.1, 00:00:12, Serial0/1/0

192.168.2.0/30 is subnetted, 1 subnets
C 192.168.2.0 is directly connected, Serial0/1/0
C 192.168.3.0/24 is directly connected, FastEthernet0/0
MATADI#

Remarque :

- Le réseau 192.168.1.0/24 apparait maintenant dans la table de routage du routeur

MATADI.

- La lettre R signifie que le réseau 192.168.1.0/24 est connecté au réseau

192.168.3.0/24 par routage dynamique selon le protocole RIP via l’adresse
192.168.2.1 (Se0/1/0 du routeur R0 ou KINSHASA = Source) et l’interface Serial0/1/0
du routeur R1 ou MATADI = Destinataire (il s’agit du parcourt de la liaison réalisée par
le réseau 192.168.2.0/30 entre les deux routeurs).

- Le chiffre 120 indique l’AD du protocole RIP.

5) Test de la connexion entre les deux réseaux par la commande « PING »

À titre d’illustration, on va tester à l’aide de la commande PING la liaison entre un

ordinateur du réseau 192.168.1.0/24 (ex. PC1 d’adresse 192.168.1.2) vers un
ordinateur du réseau 192.168.3.0/24 (ex. PC4 d’adresse 192.168.3.2) :

223
 Rx KINSHASA : PC0 (192.168.1.2) → Rx MATADI : PC3 (192.168.3.2)

Figure 7.51. Test avec la commande PING.

Etant donné que la communication entre les 2 ordinateurs passe par 2 routeurs (OKAPI et
BRAVO), on constate que : TTL = 128 – 2 = 126

7.3.16.4.3. Mises à jour limitées : Protocole EIGRP

À la différence des autres protocoles de routage à vecteur de distance, le protocole

EIGRP n’envoie pas de mises à jour régulières.

Au lieu de cela, le protocole EIGRP envoie des mises à jour limitées à propos d’une
route en cas de modification d’un chemin ou de la mesure pour cette route. Lorsqu’une
nouvelle route devient disponible ou qu’une route doit être supprimée, le protocole
EIGRP envoie une mise à jour ne concernant que ce réseau et non la table entière.
Ces informations sont envoyées uniquement aux routeurs qui en ont besoin.

Le protocole EIGRP utilise des mises à jour qui présentent les caractéristiques
suivantes :

- Elles ne sont pas régulières car elles ne sont pas envoyées périodiquement.

- Des mises à jour partielles sont envoyées uniquement en cas de modification

topologique influençant les informations de routage.

- Elles sont limitées, ce qui signifie que la propagation des mises à jour partielles est
automatiquement limitée de sorte que seuls les routeurs ayant besoin de ces
informations sont mis à jour.

224
 Figure 7.52. Routage avec le protocole EIGRP.

 Mises à jour déclenchées

Pour accélérer la convergence en cas de modification de la topologie, le protocole RIP

utilise des mises à jour déclenchées. Une mise à jour déclenchée est une mise à jour
de la table de routage qui est envoyée immédiatement en réponse à la modification
d’un routage. Les mises à jour déclenchées n’attendent pas l’expiration des minuteurs.
Le routeur qui détecte la modification envoie immédiatement un message de mise à
jour aux routeurs adjacents. Les routeurs qui reçoivent cette information génèrent à
leur tour des mises à jour déclenchées pour informer leurs voisins de la modification.

Des mises à jour déclenchées sont envoyées lorsque l’un des événements suivants se
produit :
- Une interface change d’état (activée ou désactivée)
- Une route passe à l’état « inaccessible » (ou sort de cet état)
- Une route est installée dans la table de routage

Lorsque le réseau 10.4.0.0 n’est plus disponible (à travers l’interface Fa0/0 du routeur
R3) et que le routeur R3 en prend connaissance, ce dernier envoie les informations de
mise à jour à ses voisins. Cette information est ensuite propagée sur l’ensemble du
réseau.

Figure 7.53. Envoie de message.

Pour pouvoir utiliser uniquement des mises à jour déclenchées, il faudrait avoir la
certitude que la vague de mises à jour atteigne immédiatement chaque routeur
approprié. Toutefois, deux problèmes sont associés aux mises à jour déclenchées :
- Les paquets contenant le message de mise à jour peut être abandonné ou
endommagé par une liaison dans le réseau.
- Les mises à jour déclenchées ne se produisent pas instantanément. Il est possible
qu’un routeur qui n’a pas encore reçu la mise à jour déclenchée émette une mise à
jour régulière au mauvais moment, provoquant ainsi la réinsertion de la route
incorrecte dans un voisin ayant déjà reçu la mise à jour déclenchée.

225
 Gigue aléatoire

 Problèmes liés aux mises à jour synchronisées

Lorsque plusieurs routeurs transmettent simultanément des mises à jour de routage

sur des segments LAN à accès multiples, les paquets de mise à jour peuvent entrer en
collision et causer des délais ou consommer trop de bande passante.

Figure 7.54. Problèmes liés aux mises à jour synchronisées.

Remarque :

Les collisions concernent uniquement les concentrateurs ; elles ne posent pas de

problème avec les commutateurs.

L’envoi de mises à jour en simultané est appelé « synchronisation des mises à jour ».
La synchronisation peut devenir un problème avec les protocoles de routage à vecteur
de distance qui font appel à des mises à jour régulières. Au fur et à mesure que les
minuteurs des routeurs se synchronisent, les collisions de mises à jour et les délais
augmentent dans le réseau. Au début, les mises à jour des routeurs ne seront pas
synchronisées. Mais avec le temps, les minuteurs d’un réseau se synchronisent
globalement.

 Solution

Pour empêcher la synchronisation des mises à jour entre routeurs, le système IOS de
Cisco utilise une variable aléatoire appelée RIP_JITTER qui soustrait un délai variable
à l’intervalle de mise à jour pour chaque routeur

7.3.16.5. Le protocole OSPF

7.3.16.5.1. Généralités

L’OSPF (Open Shortest Path First) est un protocole à état des liens. Contrairement
au protocole à vecteur distance, le protocole à état des liens ne diffuse, sur le réseau,
que les modifications qu’il a détectées dans la topologie du réseau, lien inaccessible,
coût modifié... Chaque nœud entretien une base de données qui est le reflet total de la
cartographie du réseau. Cette vision globale, par chaque routeur, du réseau permet
d’éviter la formation de boucle.

226
Le coût de la liaison (métrique) est configurable interface par interface, plusieurs
métriques peuvent être utilisées simultanément (longueur de la file d’attente, débit,
distance...).
À partir de ces éléments, chaque routeur calcule la route de moindre coût selon
l’algorithme de Dijkstra.

OSPF est capable d’assurer un routage par type de service (champ TOS du
datagramme IP), il peut aussi assurer l’équilibrage de charge entre plusieurs routes de
même coût.
Lorsque le réseau est important, la diffusion des messages et la détermination de la
nouvelle table de routage pénalise les performances globales du réseau. Aussi, OSPF
a introduit la notion d’aires limitant ainsi l’espace de diffusion et le volume de calcul à
effectuer.

7.3.16.5.2. Notion d’aires de routage

Une aire ou zone (area) correspond à une subdivision logique d’un réseau OSPF
(figure 14.32). Il est à noter que les différentes aires OSPF utilisent toutes le protocole
OSPF.

Exemple :

- Soient deux réseaux LAN interconnectés via une liaison par câble UTP croisé par
deux routeurs (R0 = OKAPI et R1 = BRAVO) ayant des interfaces GigaBitEthernet,
tel que présenté par la figure 7.55. On demmande de configurer le routage
dynamique entre ces deux réseaux à l’aide du protocole OSPF.
On va utiliser les routeurs Cisco 1941 possédant des interfaces GigabitEthernet.

Figure 7.55. Routage avec le protocole OSPF.

Pour effectuer le routage dynamique, on annonce seulement au routeur les deux

réseaux auxquels il est directement connecté :
- Le routeur R0 est connecté aux réseaux 192.168.1.0/24 et 10.0.0.0/24 ;
- Le routeur R1 est connecté aux réseaux 192.168.2.0/24 et 10.0.0.0/24.

227
N.B.
- Les deux routeurs doivent être dans la même zone appelée « area ».
- Le Masque générique ou « Why Cab Mask » est : 0.0.0.255.
- On peut utiliser des chiffres différents pour l’identification du protocole, appelée
« id », (ex. OSPF 1, OSPF 4…).

1) Configuration des adresses IP des postes de travail

1-1) Réseau 192.168.1.0 /24: (PC0, PC1 et PC2)

PC0 ; Desktop → Static

IP Address : 192.168.1.2
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.1.1

1-2) Réseau 192.168.2.0/24 : (PC3, PC4 et PC5)

PC4 ; Desktop → Static

IP Address : 192.168.2.2
Subnet Mask : 255.255.255.0
Default Gateway: 192.168.2.1

2) Configuration des routeurs R0 (OKAPI) et R1 (BRAVO)

2-1) Configuration du routeur R0 : OKAPI

Continue with configuration dialog? [yes/no] : no
Press RETURN to get started!

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname OKAPI
OKAPI(config)# interface GigabitEthernet0/0
OKAPI(config-if)#ip address 192.168.1.1 255.255.255.0
OKAPI(config-if)#no sh

OKAPI(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed

state to up

OKAPI(config-if)#exit
OKAPI(config)#int Gig0/1
OKAPI(config-if)#ip address 10.0.0.1 255.255.255.252
OKAPI(config-if)#no sh

OKAPI(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up

OKAPI(config-if)#end
OKAPI#
%SYS-5-CONFIG_I: Configured from console by console

OKAPI#

228
2-2) Configuration du routeur R1 : BRAVO

Continue with configuration dialog? [yes/no] : no

Press RETURN to get started!

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname BRAVO
BRAVO(config)#int Gig0/0
BRAVO(config-if)#ip address 192.168.2.1 255.255.255.0
BRAVO(config-if)#no sh

BRAVO(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed

state to up

BRAVO(config-if)#exit
BRAVO(config)#int Gig 0/1
BRAVO(config-if)#ip address 10.0.0.2 255.255.255.252
BRAVO(config-if)#no sh

BRAVO(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed

state to up

BRAVO(config-if)#end
BRAVO#
%SYS-5-CONFIG_I: Configured from console by console

BRAVO#

3) Configuration du routage dynamique avec OSPF

3-1) Configuration du routage dynamique sur le routeur R0 : OKAPI

OKAPI#conf t
Enter configuration commands, one per line. End with CNTL/Z.
OKAPI(config)#router ospf 1
OKAPI(config-router)#network 192.168.1.0 0.0.0.255 area 10
OKAPI(config-router)#network 10.0.0.0 0.0.0.255 area 10
OKAPI(config-router)#end
OKAPI#
%SYS-5-CONFIG_I: Configured from console by console

OKAPI#

229
3-2) Configuration du routage dynamique sur le routeur R1 : BRAVO
BRAVO#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BRAVO(config)#router ospf 4
BRAVO(config-router)#network 10.0.0.0 0.0.0.255 area 10
BRAVO(config-router)#network 192.168.2.0 0.0.0.255 area 10
BRAVO(config-router)#end
BRAVO#
%SYS-5-CONFIG_I: Configured from console by console

BRAVO#

4) Vérification des tables de routage des deux routeurs

4-1) Vérification de la table de routage du routeur R0 : OKAPI

OKAPI#show ip route
Codes : L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.0.0.0/30 is directly connected, GigabitEthernet0/1
L 10.0.0.1/32 is directly connected, GigabitEthernet0/1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.1/32 is directly connected, GigabitEthernet0/0
O 192.168.2.0/24 [110/2] via 10.0.0.2, 00:06:09, GigabitEthernet0/1
OKAPI#

Remarque :
- Le réseau 192.168.2.0/24 apparait maintenant dans la table de routage du routeur
R0 nommé OKAPI.
- La lettre O signifie que le réseau 192.168.2.0/24 est connecté au réseau
192.168.1.0/24 par routage dynamique selon le protocole OSPF via l’adresse
10.0.0.2 (Gig0/1 du routeur R1 ou BRAVO = Source) et l’interface
GigabitEthernet0/1 du routeur R0 ou OKAPI = Destinataire (il s’agit du parcourt de la
liaison réalisée par le réseau 10.0.0.0/30 entre les deux routeurs).
- Le chiffre 110 indique l’AD du protocole OSPF.

4-2) Vérification de la table de routage du routeur R1 : BRAVO

BRAVO#show ip route
Codes : L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

230
 Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.0.0.0/30 is directly connected, GigabitEthernet0/1
L 10.0.0.2/32 is directly connected, GigabitEthernet0/1
O 192.168.1.0/24 [110/2] via 10.0.0.1, 00:00:05, GigabitEthernet0/1
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, GigabitEthernet0/0
L 192.168.2.1/32 is directly connected, GigabitEthernet0/0
BRAVO#

Remarque :
- Le réseau 192.168.1.0/24 apparait maintenant dans la table de routage du routeur R1
nommé BRAVO.
- La lettre O signifie que le réseau 192.168.1.0/24 est connecté au réseau
192.168.2.0/24 par routage dynamique selon le protocole OSPF via l’adresse
10.0.0.1 (Gig0/1 du routeur R0 ou OKAPI = Source) et l’interface GigabitEthernet0/1
du routeur R1 ou BRAVO = Destinataire (il s’agit du parcourt de la liaison réalisée par
le réseau 10.0.0.0/30 entre les deux routeurs).
- Le chiffre 110 indique l’AD du protocole OSPF.

5) Test de la connexion entre les deux réseaux par la commande « PING »

À titre d’illustration, on va tester à l’aide de la commande PING la liaison entre un

ordinateur du réseau 192.168.1.0/24 (ex. PC0 d’adresse 192.168.1.2) vers un
ordinateur du réseau 192.168.2.0/24 (ex. PC3 d’adresse 192.168.2.2) :

Rx OKAPI / PC0 (192.168.1.2) → Rx BRAVO / PC3 (192.168.2.2)

Figure 7.56. Test avec la commande PING.

Vu qu’on la communication entre les 2 ordinateurs passe par 2 routeurs (OKAPI et BRAVO), on
constate que : TTL = 128 – 2 = 126

231
N.B. Comment effacer une configuration OSPF

Lorsqu’on travaille sur le protocole OSPF et que l’on souhaite réinitialiser une
configuration OSPF sur un routeur Cisco Modèle 2620XM via le logiciel Cisco Packet
Tracer, la procédure à suivre est la suivante :
- ouvrir le routeur sur l’onglet console (CLI),
- passer en mode avancé ou privilégié (en),
- taper la commande « clear ip ospf process » qui va avoir pour effet de réinitialiser
la table de routage du protocole.

Pour cela, il faut débrancher le routeur afin que celui-ci ne reprenne pas la
configuration via les autres routeurs de l’Area dans laquelle il se trouve.

Router>en
Router#clear ip ospf process
Reset ALL OSPF processes? [no]: yes

Avec la commande « show ip route » montre que la table de routage a été réinitialisée
et il ne reste uniquement que le client branché directement au port ethernet du
routeur.

Router#show ip route

Gateway of last resort is not set

C 192.168.2.0/24 is directly connected, FastEthernet0/0

7.3.17. Boucles de routage

7.3.17.1. Définitions et implications

Qu’est-ce qu’une boucle de routage ?

Une boucle de routage est une condition dans laquelle un paquet est transmis en
continu entre une série de routeurs sans jamais atteindre le réseau de destination
souhaité. Une boucle de routage peut se produire lorsque deux routeurs ou plus
possèdent des informations de routage qui indiquent, à tort, qu’il existe un chemin
valide vers une destination inaccessible.

La boucle peut être le résultat des problèmes suivants :

- Routes statiques configurées incorrectement
- Redistribution de routes configurées incorrectement (la redistribution, c.-à-d. le
processus de transmission des informations de routage d’un protocole de routage à
un autre)
- Tables de routage incohérentes qui ne sont pas mises à jour en raison d’une
convergence lente dans un réseau changeant
- Routes de suppression configurées ou installées incorrectement

Les protocoles de routage à vecteur de distance sont d’un fonctionnement simple.

Cette simplicité se traduit par des inconvénients, comme les boucles de routage. Les
boucles de routage sont moins susceptibles de se produire avec les protocoles de
routage d’état des liaisons, mais elles peuvent néanmoins survenir dans certaines
circonstances.

232
 Remarque :
Le protocole IP utilise son propre mécanisme pour empêcher la transmission sans fin
d’un paquet sur le réseau. Le protocole IP possède un champ de durée de vie (TTL :
Time To Live) dont la valeur est diminuée de 1 à chaque routeur. Si la durée de vie est
égale à zéro, le routeur abandonne le paquet.

Quelles sont les implications des boucles de routage ?

Une boucle de routage peut avoir des effets dévastateurs sur un réseau, notamment la
réduction des performances réseau voire une panne du réseau.

Une boucle de routage peut créer les conditions suivantes :

- La bande passante de la liaison est utilisée pour faire tourner le trafic en boucle entre
les routeurs dans une boucle.
- Le processeur d’un routeur est fortement sollicité en raison des paquets tournant en
boucle.
- Le processeur d’un routeur est surchargé en raison du réacheminement inutile de
paquets, ce qui impacte négativement la convergence du réseau.
- Les mises à jour de routage peuvent se perdre ou ne pas être traitées en temps
voulu. Ces conditions introduisent des boucles de routage supplémentaires qui
aggravent davantage la situation.
- Les paquets peuvent se perdre dans des « trous noirs ».

Figure 7.57. Boucles de routage.

Conséquence :
Les boucles de routage consomment de la bande passante mais aussi des ressources du
routeur, entraînant un réseau lent voire sans réponse.

Plusieurs mécanismes, principalement associés aux protocoles de routage à vecteur de

distance, sont disponibles pour éliminer les boucles de routage. Les 5 mécanismes ou
techniques utilisées par les protocoles de routage à vecteur de distance pour éviter les
boucles de routage :
- Définition d’une mesure maximale pour éviter le comptage à l’infini
- Minuteurs de mise hors service
- Découpage d’horizon
- Empoisonnement de routage ou antipoison
- Mises à jour déclenchées

7.3.17.2. Problème : comptage à l’infini

Le comptage à l’infini est une situation qui se produit lorsque des mises à jour de routage
inexactes augmentent la valeur de la mesure jusqu’à l’infini pour un réseau qui n’est plus
accessible. Les tables de routage sont modifiées en permanence lorsque les routeurs
continuent à s’envoyer des mises à jour inexactes.

233
7.3.17.3. Définition d’une valeur maximale

Pour arrêter l’incrémentation d’une mesure, l’« infini » est défini par l’attribution d’une
valeur maximale à la mesure. Par exemple, le protocole RIP considère que 16 sauts
représentent l’infini, ce qui correspond à une mesure inaccessible. Une fois que les
routeurs ont « compté jusqu’à l’infini », ils marquent la route comme étant inaccessible.

Figure 7.58. Attribution d’une valeur maximale à la mesure.

7.4. EXERCICES

1) Soient trois réseaux LAN, 192.168.1.0/24, 192.168.2.0/24 et 192.168.3.0/24

interconnectés par trois routeurs nommés ALPHA, BETA et OMEGA. Les adresses
IP des différentes interfaces des trois routeurs sont données par la figure 7.59.

Figure 7.59. Exemple d’interconnexion des réseaux avec 3 routeurs.

234
Sachant que le Clock Rate est de 500 000 pour les liaisons série, on vous demande de
donner les procédures de configuration des trois réseaux LAN et le routage inter-
réseaux :
 en routage statique,
 en routage dynamique avec RIP version 2,
 en routage dynamique avec OSPF.

2) On considère un réseau étendu constitué de 4 sites distants, SR : 192.168.0.0/24,

SR : 192.168.1.0/24, SR ; 192.168.2.0/24 et SR : 192.168.3.0/24, interconnectés
par les routeurs R0, R1, R2 et R3 via des liaisons séries correspondant
respectivement à SR : 192.168.4.0/24, SR : 192.168.5.0/24, SR : 192.168.6.0/24 et
SR : 192.168.7.0/24.

On demande de réaliser la configuration du protocole de routage OSPF à zone

unique pour permettre la communication entre ces quatre sites.

Figure 7.60. Exemple d’interconnexion des réseaux avec 4 routeurs.

235
 7.5. CONCLUSION

Lorsque les réseaux s’agrandissent et croissent en taille, on passe des réseaux LAN
(Local Area Network) vers les réseaux MAN (Metropolitan Area Network) ou WAN
(Wide Area Network ou réseau étendu) suivant l’étendue géographique que couvrent
alors ces réseaux.

Les MAN interconnectent plusieurs LAN géographiquement proches (au maximum

quelques dizaines de km) à des débits importants. Ainsi un MAN permet à deux
noeuds distants de communiquer comme si ils faisaient partie d'un même réseau local.
Un MAN est formé de commutateurs ou de routeurs interconnectés par des liens hauts
débits (en général en fibre optique).

Un WAN interconnecte plusieurs LAN à travers de grandes distances géographiques.

Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons
(qui augmente avec la distance) et peuvent être faibles.
Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus
approprié pour atteindre un nœud du réseau. Le plus connu des WAN est Internet. 7

7
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

236
CHAPITRE VIII. CHEMINS MULTIPLES ET DISPONIBILITE DE RESEAUX

8.1. NTRODUCTION

Les chemins multiples doivent être gérés de manière à ce qu’aucune boucle de

couche 2 ne soit créée. Les meilleurs chemins sont déterminés, puis un chemin
alternatif est défini en cas de défaillance du chemin principal.
Les protocoles STP et autres tels que HSRP, VRRP et GLBP sont utilisés pour gérer
la redondance au niveau de la couche 2.

8.2. SPANNING TREE

Le Spanning Tree Protocol (algorithme de l'arbre recouvrant, aussi appelé STP) est
un protocole réseau de niveau 2 permettant de déterminer une topologie réseau
sans boucle (appelée arbre) dans les LAN avec ponts.
Il est défini dans la norme IEEE 802.1D et est basé sur un algorithme décrit par Radia
Perlman en 1985.

8.2.1. Le problème

Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux
points, cela s'appelle une topologie sans boucle. En effet, la présence de boucle
génère des tempêtes de diffusion qui paralysent le réseau : tous les liens sont
saturés de trames de diffusion qui tournent en rond dans les boucles et les tables
d'apprentissage des commutateurs deviennent instables.

Figure 8.1. Les dangers des boucles dans un LAN.

8.2.2. Concepts

Le protocole STP fonctionne sur des ponts et des commutateurs compatibles 802.1D.
Il existe différents types de protocole STP, le 802.1D étant le plus populaire et le plus
largement mis en œuvre.

Le protocole STP doit être mis en œuvre sur des ponts et des commutateurs afin
d'empêcher les boucles dans le réseau. Vous pouvez l'utiliser lorsque vous souhaitez
avoir des liens redondants, mais pas des boucles. Les liens redondants sont aussi
importants que les sauvegardes en cas de basculement dans un réseau.

Une panne de votre liaison primaire active les liaisons de secours afin que les
utilisateurs puissent continuer à utiliser le réseau. Sans le protocole STP sur les ponts
et les commutateurs, ce type de panne risque de générer une boucle.

237
Si deux commutateurs connectés fonctionnent avec des protocoles STP de type
différent, il leur faudra une temporisation différente pour converger.

Lorsque des types différents de protocole sont utilisés dans les commutateurs, cela
crée des problèmes de temporisation entre les états de blocage et de transfert.
Par conséquent, il est recommandé d'utiliser des types de protocole STP identiques.

À titre illustratif, nous considérons le cas d’une entreprise qui contient les entités
suivantes interconnectées entre elles avec redondance des liens pour garantir la
disponibilité du réseau.

Figure 8.2. Exemple de réseau avec plusieurs switch et des liens redondants.

8.2.3. Processus d’élection du switch RootBridge

Le switch dont le BridgeID est le plus petit remporte l’élection du Root Bridge :
 Chaque Switch s’annonce comme le root,
 Quand un découvre un meilleur BID que le RootBridge qu’il connait actuellement
(lui-même au début du processus), il remplace ce RootID par celui qu’il vient de
découvrir.

Figure 8.3. Election du switch RootBridge.

Une fois l’élection terminée, seul le RootBridge envoi des BPDUs.

238
8.2.4. Versions du protocole Spanning Tree

8.2.4.1. Protocoles propriétaires Cisco

1) PVST (Per-VLAN Spanning-Tree protocol)

Gère une instance d’arbre recouvrant pour chaque VLAN configure dans le réseau.
PVST utilise le protocole d’agrégation ISL (Cisco Inter Switch Link) qui autorise pour
certains LAN l’état d’acheminement d’une agrégation, et qui impose l’état de blocage
pour d’autres VLAN.

2) PVST+ (Per-VLAN Spanning-Tree protocol plus)

La société Cisco a développé le protocole PVST+ pour prendre en charge la norme

d’agrégation IEEE 802.1Q.
Le protocole PVST+ fournit les mêmes fonctions que le PVST, y compris les
extensions STP propriétaires Cisco.
Le protocole PVST+ n’est pas pris en charge sur les périphériques non-Cisco.

3) rapid-PVST+

Le protocole rapid-PVST+ repose sur la norme IEEE 802.1w. Il effectue la

convergence plus rapide que celle du protocole STP (norme IEEE 802.1D).

8.2.4.2. Norme IEE

1) RSTP (Rapid Spanning-Tree Protocol)

L’IEEE a mis en place ce protocole en améliorant la norme 802.1D du protocole STP

en 1982. Le protocole RSTP accélère la convergence du réseau après modification de
la topologie. Il intègre les extensions Cisco BackboneFast, UplinkFast et PortFast
dans la norme publique.
En 2004, l’IEEE a incorporé le protocole RSTP dans la norme IEEE 802.1D, en
identifiant la spécification dans IEEE802.1D-2004.

2) RSTP+ (Rapid Spanning-Tree Protocol PLUS)

C’est le STP amélioré pour réduire la durée du passage d’un port en “blockin” à
« forwarding ». (IEEE 802.1w).

3) MSTP (Multiple Spanning-Tree Protocol)

Le protocole MSTP permet d’associer plusieurs réseaux locaux virtuels (VLAN) à la

même instance d’arbre recouvrant afin de réduire le nombre d’instances requises pour
la prise en charge de nombreux VLAN.

Le protocole MSTP s’inspire du protocole MISTP (Multiple Instances Spanning Tree

Protocol) de Cisco. Il s’agit d’une évolution des protocoles STP et RSTP. Il est apparu
pour la première fois dans la norme IEEE 802.1s comme amendement à la norme
IEEE802.1Q de 1998.

La norme IEEE 802.1Q-2003 inclut désormais le protocole MSTP et ce dernier offre

plusieurs chemins d’acheminement pour le trafic de données et permet un équilibrage
de la charge. C’est une instance de RSTP par groupe de VLANs.

239
8.2.5. Configuration du Spanning Tree sur un switch Cisco

Les commandes suivantes ont été testées sur des switch série 3750 et 2960.
Pour rappel, l'objectif du protocole (défini par la norme 802.1d) est de gérer les boucles
sur un réseau local dans le cas de l'utilisation de lien redondant.

Si une possibilité de boucle est détectée, un des ports du switch est bloqué.

Figure 8.4. Lien redondant avec liaison primaire et liaison de secours.

- Par défaut, le spanning tree est actif sur le commutateur (mode PVST+).
- Il existe deux autres modes disponibles sur les commutateurs : rapid PVST+ basé sur
le protocole 802.1w et MSTP basé sur le protocole 802.1s.
- Dans certains cas, il est souhaitable de fixer les priorités par défaut.
- Le switch qui aura la priorité la plus basse sera élu root.
- On choisit un switch qui est placé en tête du réseau (backbone) puisque tout le trafic
passe par lui et qu'en général, il n'y a pas beaucoup de machines clientes
connectées.

De plus, on peut préférer un lien par rapport à un autre, pour des raisons de débit
différent par exemple.

- La priorité par défaut d'un switch est de 32768.

- La priorité par défaut d'un port est 128.
- Si on abaisse le chiffre, le switch ou le port devient prioritaire par rapport aux autres.

1) Activation du rapid spanning-tree sur le switch

2960-RG(config)#spanning-tree mode rapid-pvst

2) Vérification des informations

2960-RG#sh spanning-tree

VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 28673
Address 0008.e4ff.ec11
Cost 23
Port 9 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

240
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0026.4585.2100
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------
Gi0/1 Root FWD 19 128.9 P2p

Remarque :

Il est possible, entre autre, de préciser une interface à la suite de la commande :

sh spanning-tree.

3) Fixer le switch root

Dans la copie d'écran suivante, le switch est root pour les vlans 1 à 100. Puis on
affiche les données spanning-tree pour le vlan 4.

switch(config)#spanning-tree vlan 1-100 root primary

switch(config)#end
switch#show spanning-tree vlan 4

VLAN04
Spanning tree enabled protocol rstp
Root ID Priority 24726
Address 0026.525b.3500
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24726 (priority 24576 sys-id-ext 4)

Address 0026.525b.3500
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------
Fa0/3 Desg FWD 19 128.3 P2p
Gi0/1 Desg FWD 19 128.9 P2p

switch#

4) Configurer une priorité sur un port

Dans l'exemple, l'interface prioritaire sera gi0/1 pour les vlans 1 à 100. On affiche
ensuite les informations pour le vlan 4.

switch(config)#interface gigabitEthernet 0/1

switch(config-if)#spanning-tree vlan 1-100 port-priority 64
switch(config-if)#end
switch#show spanning-tree vlan 4

VLAN04
Spanning tree enabled protocol rstp
Root ID Priority 32918

241
Address 0008.e3de.fe32
Cost 23
Port 9 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32918 (priority 32768 sys-id-ext 4)

Address 0026.525b.3500
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------
Fa0/3 Desg FWD 19 128.3 P2p
Gi0/1 Root FWD 19 64.9 P2p

switch#

5) Configuration des ports d'accès reliés à un switch

Lors du démarrage d'un switch, la recherche de la meilleure topologie prend un peu de

temps. La commande suivante fait passer directement le port de l'état blocking à l'état
forwarding, le démarrage de l'interface est donc plus rapide. On appliquera cette
commande sur les ports reliés à des machines terminales (PC, imprimante, ...).

2960-RG(config)#int range fa0/1 - 8

2960-RG(config-if-range)#spanning-tree portfast

6) Vérification

2960-RG#sh run int fa0/1

Building configuration...

Current configuration : 107 bytes

!
interface FastEthernet0/1
switchport access vlan 2
switchport mode access
spanning-tree portfast
end

Désactivation du spanning-tree portfast pour une interface puis vérification.

8.3. HSRP

Le HSRP (Hot Standby Router Protocol) est un protocole de redondance,

propriétaire Cisco, permettant de mettre en place une tolérance de panne pour les
passerelles par défaut. C’est-à-dire que le HSRP permet de gérer la redondance
de passerelle (entre autre).
Bien que simple à mettre en place, HSRP a comme principal défaut d’être
propriétaire Cisco.

- Basé sur le fonctionnement du protocole ARP, Adress Rsolution Protocol, (pour

IPv4).
- Basé sur le fonctionnement des messages Router Sollicitation et Router
Advertisement (pour IPv6).

242
Ci-dessous, nous décrivons un exemple de configuration de la redondance à réaliser
en utilisant le protocole HSRP.

Figure 8.5. Exemple de lien redondant à configurer avec HSRP.

243
8.4. VRRP

Le VRRP (Virtual Router Redundancy Protocol) est un protocole de redondance

de routeur virtuel. C’est un protocole standard dont le but est d'augmenter la
disponibilité de la passerelle par défaut des hôtes d'un même réseau.

Le principe est de définir la passerelle par défaut pour les hôtes du réseau comme
étant une adresse IP virtuelle référençant un groupe de routeurs.

8.4.1. Fonctionnement

VRRP utilise la notion de routeur virtuel, auquel est associée une adresse IP
virtuelle ainsi qu'une adresse MAC virtuelle.

- Les rôles de routeur master et routeur backup sont également utilisés et associés
aux routeurs d'un groupe VRRP.
- Le routeur master (ou maître en français) est associé à l'adresse IP virtuelle du
groupe. C'est lui qui va répondre aux requêtes ARP des clients sur cette adresse IP.
- Un ou plusieurs routeurs backup (ou de secours en français) qui pourront
reprendre le rôle de master en cas de défaillance de celui-ci.

VRRP peut être utilisé sur Ethernet, MPLS (MultiProtocol Label Switching) et les
réseaux Token-Ring. Une implémentation pour le protocole IPv6 est définie par la
RFC 5798 avec la version 3 du protocole VRRP.

244
Le protocole VRRP est plus déployé que d'autres protocoles similaires. VRRP est un
standard IETF pris en charge par de nombreux vendeurs de routeurs ainsi que par des
systèmes d'exploitation comme Linux.

VRRP est donc, à l’instar de HSRP, également un protocole qui fournit une solution de
continuité de service principalement pour la redondance de passerelles par défaut.

Pour chaque réseau, on associe les interfaces des routeurs à un groupe VRRP (le
même n° de groupe pour toutes les interfaces qui doivent assurer le même rôle). A ce
groupe on associe une adresse IP virtuelle (dans le cas présent ce sera
192.168.0.254).

La redondance est mise en place par le biais du protocole ARP. Lorsque le PC

doit envoyer une trame à sa passerelle, il émet une requête ARP et celle-ci répond en
fournissant son adresse MAC.

8.4.2. Exemple de configuration de VRRP

On a deux routeurs, identiques si possible. Dans l’exemple d’illustration ci-dessous, les

deux routeurs sont des routeurs CISCO (2921 par exemple).
Ces deux routeurs sont reliés à un switch, que ce switch soit un switch Access ou pas
cela n’a pas vraiment d’importance.

Voici l’architecture logique cible, une fois VRRP configuré sur les deux routeurs :

Figure 8.6. Schéma du réseau avec VRRP.

Que voit-on sur cette figure ?

On voit toujours le réseau simplifié, avec les deux routeurs R1 et R2, le switch SW1 et
enfin les périphériques utilisateurs (serveurs, imprimantes, PC…). Cependant, le cadre
qui encercle les deux routeurs est nouveau et représente VRRP.

245
En fait, avec VRRP activé, voilà ce qui se passe :

1) Les deux routeurs ont chacun une priorité ainsi que divers paramètres.
2) Le routeur possédant la plus haute priorité est élu Maitre.
3) L’autre passe en statut « standby ».
4) L’adresse IP virtuelle 10.10.0.1 (au coin droit du schéma) est alors utilisée
uniquement par le routeur Maitre.
5) Si les priorités changent (par exemple, lorsqu’un lien tombe, un service réduit la
priorité du routeur), une élection a lieu à nouveau afin de désigner le routeur Maitre.

- Ainsi, si PC1 ping l’adresse IP 10.10.0.1, il ne saura pas quel routeur répond. Cette
adresse sera joignable, comme si elle correspondait à une interface physique d’un
vrai routeur.
- En fait, cette IP est virtuelle, et n’est donc qu’un « point » dans le réseau. Point relié
aux deux routeurs.
- C’est ensuite VRRP qui définit quelle interface (et donc quel routeur) doit répondre
aux requêtes.

8.5. GLBP

8.5.1. Concept

GLBP (Gateway Load Balancing Protocol) est un protocole propriétaire Cisco qui
permet de faire de la redondance ainsi que de la répartition de charge sur plusieurs
routeurs utilisant une seule adresse IP virtuelle, mais plusieurs adresses MAC
virtuelles.

Le protocole GLBP élit un Active Virtual Gateway (AVG) qui va répondre aux
requêtes ARP pour l'adresse IP virtuelle.

GLBP permet de donner un poids variable à chacun des routeurs participants pour la
répartition de la charge entre ces routeurs. La charge est donc répartie par hôte dans
le sous-réseau.

8.5.2. Principe de fonctionnement

GLBP est un protocole propriétaire Cisco qui reprend les concepts de base de HSRP
et VRRP.

Contrairement à ces 2 protocoles, tous les routeurs du groupe GLBP participent

activement au routage alors que dans VRRP ou HSRP, il n'y en a qu'un qui est en
mode actif, tandis que les autres patientent.

- Plus concrètement, à l'intérieur du groupe GLBP, le routeur ayant la plus haute

priorité ou la plus haute adresse IP du groupe prendra le statut de « AVG » (active
virtual gateway).
- Ce routeur va intercepter toutes les requêtes ARP effectuées par les clients pour
avoir l'adresse MAC de la passerelle par défaut, et grâce à l'algorithme d'équilibrage
de charge préalablement configuré, il va renvoyer l'adresse MAC virtuelle d'un des
routeurs du groupe GLBP.
- C'est d'ailleurs le Routeur AVG qui va assigner les adresses MAC virtuelles aux
routeurs du groupe. Ainsi, ils ont le statut « AVF » (Active Virtual Forwarder). Un
maximum de 4 adresses MAC virtuelle est défini par groupe, les autres routeurs
ayant des rôles de backup en cas de défaillance des AVF.

246
 Figure 8.7. Redondance et répartition des charges par GLBP.

Les timers de GLBP sont :

 Hello : 3s

 Dead : 10s est le temps à partir duquel un AVF sera Dead, son adresse mac sera
associée à un autre AVF

 Redirect (Temps à partir duquel on arrêtera de rediriger l'adresse MAC d'une AVF
Dead vers une autre AVF) : 600s

 Timeout (Temps à partir duquel un routeur est considéré comme inactif, son adresse
MAC ne sera plus utilisée) : 14 400s (4 heures), doit être supérieur au
temps de conservation des entrées ARP des clients.

8.5.3. Schéma réseau

Pour la mise en place du réseau avec redondance et répartition de charge sur

plusieurs routeurs utilisant une seule adresse IP virtuelle, mais plusieurs adresses
MAC virtuelles, le schéma qui suit.

247
 Figure 8.8. Mise en place de la redondance et répartition de charge entre routeurs.

On peut observer qu’on va mettre en place deux groupes GLBP, un de chaque côté
de des routeurs.

Dans ce schéma, on partira du principe que le routeur R1 est AVG côté LAN, et que
R3 est AVG coté WAN.

En s’imaginant que le lien entre R1 et Switch 2 tombe en panne, le groupe GLBP 2, va

retirer le routeur R1 car il devient indisponible.
Mais, le groupe GLBP1 regarde seulement les interfaces de son groupe. Ainsi, fa0/1
du routeur R1 ne faisant pas partie de son groupe, il ne la prendra pas en compte si
l'interface tombe en panne.
Pour éviter ces problèmes, on va configurer un "track", on va demander au routeur
d'observer l'interface fa0/1 au niveau routage et au niveau physique.

Pour finir, on va configurer le groupe GLBP1 pour qu'il décrémente le poids des
interfaces dans le cas où le track lui indique qu'il y a un problème.
Pour information, le poids par défaut de l'interface est de "100".

8.6. CONCLUSION

Grâce aux chemins multiples on réalise la redondance afin d’augmenter la disponibilité

d’un réseau, mais pour qu’aucune boucle de couche ne soit créée on configure l’un de
ces protocoles : STP, HSRP, VRRP ou GLBP pour gérer la redondance au niveau de
la couche 2.
A cet effet, le meilleur chemin est déterminé automatiquement par le protocole qui gère
la redondance tandis qu’un chemin alternatif est défini pour servir de sécours.

248
CHAPITRE IX. INTRANET, EXTRANET ET TECHNOLOGIE VPN

9.1. INTRODUCTION

L’Intranet est l’Internet appliqué à l’intérieur même d’une organisation (entreprise,

administration…) tandis que l’Extranet est l’utilisation de l’Internet dans laquelle une
organisation profite du Réseau des Réseaux pour interconnecter ses différents
constituants. Chacune de ces technologies peut être utilisée dans un environnement
multi-sites en faisant recours soit un système d’interconnexion par pont sans fil soit
par VSAT (Very small Apperture Terminal).

En informatique, un réseau privé virtuel, est un système permettant de créer un lien

direct entre des ordinateurs distants via l’Internet. Ainsi, le système de VPN (Virtual
Private Network) permet donc d'obtenir une liaison sécurisée à moindre coût, si ce
n'est la mise en œuvre des équipements terminaux. En contrepartie, le VPN ne permet
pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où
le réseau physique est public et donc non garanti.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une
liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de
part et d'autre du VPN peuvent "voir" les données.

Le MPLS (MultiProtocol Label Switching) est une technologie qui facilite

l'acheminement des paquets par des routes préconfigurées en fonction de certains
critères en dotant les trames circulant sur le réseau d'un label servant à indiquer aux
routeurs le chemin que la donnée doit emprunter.

9.2. L’INTRANET

9.2.1. Le paradigme de l'intranet

Un intranet est un ensemble de services internet (par exemple un serveur web) interne
à un réseau local, c'est-à-dire accessible uniquement à partir des postes d'un réseau
local et invisible de l'extérieur. Il consiste à utiliser les standards client-serveur de
l'internet (en utilisant les protocoles TCP/IP), comme par exemple l'utilisation de
navigateurs internet, pour réaliser un système d'information interne à une organisation
ou une entreprise.

Figure 9.1. Connexions Internet et Extranet au réseau local.

249
Grâce à la technologie Intranet, une entreprise ou une organisation peut utiliser les
protoctoles de l’Internet au sein de son réseau local.
Un intranet repose généralement sur une architecture à trois niveaux, composée :
- du client (navigateur internet)
- du serveur d'application (middleware) : un serveur web permettant d'interpréter des
scripts CGI, PHP, ASP ou autres, et les traduire en requêtes SQL afin d'interroger
une base de données

- d'un serveur de bases de données.

De cette façon les machines clientes gèrent l'interface graphique, tandis que le serveur
manipule les données. Le réseau permet de véhiculer les requêtes et les réponses.

Figure 9.2. Architecture à 3 niveaux.

Un intranet possède naturellement plusieurs clients (les ordinateurs du réseau local) et

peut aussi posséder plusieurs serveurs.

Une grande entreprise peut par exemple posséder un serveur web pour chaque
service afin de fournir un intranet répartis entre les différents serveurs et ont chaque
serveur est géré par le service auquel il appartient.

9.2.2. L'utilité d'un intranet

Un intranet dans une entreprise permet de mettre facilement à la disposition des

employés des documents divers et variés. Cela permet ainsi d'avoir un accès
centralisé à la mémoire de l'entreprise.

De cette façon, il est généralement nécessaire de définir des droits d'accès pour les
utilisateurs de l'intranet, et par conséquent une authentification de ceux-ci afin de leur
permettre un accès personnalisé à certains documents.

Des documents de tous types (textes, images, vidéos, sons, ...) peuvent être mis à
disposition sur un intranet.

De plus, un intranet peut réaliser une fonction de groupware très intéressante, c'est-à-
dire permettre un travail coopératif par son intermédiaire.

250
Voici quelques-unes des fonctions qu'un intranet peut réaliser :
- Mise à disposition d'informations sur l'entreprise (panneau d'affichage) ;
- Mise à disposition de documents techniques ;
- Moteur de recherche de documentations ;
- Un système de gestion ;
- Un échange de données entre collaborateurs ;
- Annuaire du personnel ;
- Gestion de projets, aide à la décision, agenda, ingénierie assistée par ordinateur ;
- Messagerie électronique ;
- Forums de discussion, listes de diffusions, chat en direct ;
- Visioconférence ;
- Portail vers internet.

De cette façon un intranet favorise la communication au sein de l'entreprise et limite les

erreurs dues à la mauvaise circulation d'une information.

L'information disponible sur l'intranet est mise à jour et évite les conflits de version.

9.2.3. Avantages d'un intranet

Un intranet permet de constituer un système d'information à faible coût (concrètement

le coût d'un intranet peut très bien se réduire au coût du matériel et de son entretien
avec des postes clients fonctionnant avec des navigateurs gratuits, un serveur
fonctionnant sous Linux avec le serveur web Apache et le serveur de bases de
données MySQL).

D'autre part, étant donné la nature "universelle" des moyens mis en jeu, n'importe quel
type de machine peut être connecté au réseau local, donc à l'intranet.

9.2.4. Mise en place de l'intranet

Un intranet doit être conçu selon les besoins de l'entreprise ou de l'organisation (au
niveau des services à mettre en place).

Pour ce qui est de la mise en place matérielle, il suffit de mettre en place un serveur
web. Par exemple :
- une machine fonctionnant sous Linux avec le serveur web Apache installé,
- le serveur de bases de données MySQL ou bien Windows NT,
- le serveur web ‘’Microsoft Internet Information Server’’.

Il suffit ensuite :
- de configurer un nom de domaine pour votre machine : par exemple
intranet.votre_entreprise.com,
- d'installer TCP/IP sur toutes les machines clientes et de leur définir une adresse IP.

EXEMPLE :

Comme illustration, on considère le cas d’un réseau Intranet pour un établissement

d’enseignement supérieur et universitaire qui regroupe plusieurs bâtiments disséminés
au sein du campus (figure 9.3).

Pour ce faire, le Datacenter de l'établissement contient 7 serveurs dont 3 sont dédiés

et 4 non dédiés tandis que ce réseau Intranet est subdivisé en huit segments logiques
grâce à 6 Switch Cisco Catalyst 2960.

251
Tableau 9.1. Espace d'adressage des segments logiques.
Id - Vlan Nom
10 Rectorat ou Direction Générale
20 Salles de Conférence et des Cours
30 Facultés ou Sections
40 Bureaux administratifs
50 Secrétariat Général Académique
60 Bibliothèque
70 Administration Réseau
80 WiFi
90 DMZ
100 Serveur Internet

Tableau 9.2. Répartition des rôles serveurs et des applications.

N° Services et Paquet installé Fonction ou Rôle
Applications
1 DNS Bind9 Pour la résolution de noms du domaine de
l’établissement, ex : univ.ac.cd.
Pour octroyer automatiquement des
2 DHCP Dhcp3-server adresses IP en fonction des VLAN du réseau
Intranet.
3 Un Firewall qui filtre tout, et qui fait aussi
Pare-feu Netfilter + iptables
office de routeur pour les différents VLAN.
Permet de faire le cache en économisant la
4 Proxy Squid + Squidguard bande passante, permet aussi de gérer
l'accqs des utilisateurs aux ressources
réseau.
Postfix, mysql 5.0, Permet de faciliter la communication entre
5 Messagerie roundcube, amavis, différents utilisateurs et de stocker les
spamassassin, messages.
postgrey
Apache2, php5, Pour la publication des pages web et
WEB
6 mysql 5.0 location des sites web.
7 GLPI Glpi Pour la gestion du parc informatique
8 Mrtg, munin, Pour la surveillance du réseau.
MONITORING
smokeping, nagios
Pour éditer les différentes configurations
9 WIKI Mediawiki locale et échange entre techniciens ou
utilisateurs.
10 GP7 Gp7 Pour la gestion académique des étudiants.
BASE DE Apache2, php5, Pour la gestion des livres numériques.
11 DONNEES mysql 5.0,
phpmyadmin
Pour sauvegarder toutes les configurations
BACKUP Backup - manager
12 et les données dans le réseau.
Un miroir interne qui facilite la mise à jour de
13 MIROIR debmirror+rsync clients linux. Il permet ainsi d'optimiser la
Bande Passante (sous Ubuntu et Debian).

252
Figure 9.3. Exemple de réseau Intranet pour un établissement d’enseignement supérieur et universitaire.

253
Parmi les services qui peuvent tourner dans ce réseau Intranet, on a :
- Le Service DHCP pour l’attribution automatique les adresses IP via un routeur
MikroTik (RB1100) ;
- Le Service DNS pour la résolution du nom de domaine ;
- Le Pare-feu pour protéger le réseau contre les instrus via un routeur MikroTik
(RB1100) ;
- Le portail captif et gestion de la bande passante Internet à l’aide du routeur MikroTik
(RB1100) ;
- Monitoring de la bande passante Internet à l’aide du routeur MikroTik (RB1100) ;
- La Messagerie électronique ;
- La ToIP et la VoIP ;
- Le Site web et sites virtuels ;
- Le GLPI pour la gestion du parc informatique ;
- Le Wiki pour la configuration du réseau ;
- La Basse des Données pour le service du personnel ;
- Le GP7 pour la gestion académique et d’autres applications.

9.3. EXTRANET

9.3.1. Concept

Un extranet (ou réseau interne étendu) est un réseau de télécommunications de type

internet conçu pour faciliter les échanges entre une organisation sociale et ses
correspondants extérieurs.
Un extranet est une extension du système d'information de l'entreprise à des
partenaires situés au-delà du réseau, et ce de manière sécurisée (authentification par
nom d'utilisateur et mot de passe).
Un extranet n'est ni un intranet, ni un site internet. Il s'agit d'un système supplémentaire
offrant par exemple aux clients d'une entreprise, à ses partenaires ou à des filiales un
accès privilégié à certaines ressources informatiques de l'entreprise par l'intermédiaire
d'une interface Web.

9.3.2. Fonctionnement

Un extranet est une extension du système d'information de l'entreprise à des

partenaires situés au-delà du réseau. L’accès à l’extranet se fait via Internet, par une
connexion sécurisée avec mot de passe dans la mesure où cela offre un accès au
système d'information à des personnes situées en dehors de l'entreprise.

Figure 9.4. Schéma exemple d'intranet/extranet.

254
L’extranet est donc en général un site à accès sécurisé qui permet à l’entreprise de
n’autoriser la consultation d’informations confidentielles qu’à certains intervenants
externes comme à ses fournisseurs, ses clients, aux cadres situés à l’extérieur de
l’entreprise, aux commerciaux, etc.

9.3.3. Exemples

Il existe de nombreux réseaux extranet. Le réseau automobile European Network

Exchange (ENX) destiné à sécuriser les échanges de données entre constructeurs et
sous-traitants automobiles en Europe. Il est supporté par des opérateurs (exemples :
Telefónica, DT, Orange Business Services) qui assurent le transport, les
interconnexions, garantissent la disponibilité d'une valeur minimum de la bande
passante et qui minimisent le nombre de routeurs.
L'extranet a plusieurs utilités :
 Travail à domicile
 Mise à disposition d’informations sur l’entreprise,
 Accès, pour les clients, à la gestion des stocks et accès au suivi des marchandises
en temps réel (Possibilité de savoir quelles marchandises sont disponibles)
 Suivi des facturations,
 Accès aux documentations techniques, légales, douanières, etc.
 Échanges de données entre collaborateurs
 Mise à disposition d’un annuaire du personnel
 Visioconférences
 Messagerie électronique interne à l’extranet

Un des Extranet les plus utilisés dans le monde est Microsoft SharePoint. Il est aussi
utilisé en Intranet.

9.3.4. Avantages de l’extranet

 Accès par Internet, c'est-à-dire de n’importe quel poste connecté au Web : ordinateur,
PDA, Smartphone, Pocket PC…
 Facilité du partage de l’information, fait gagner en efficacité, réduit le courrier et
commandes papier, les commandes téléphoniques, et élimine donc le risque
d’erreurs de ressaisie des formulaires.
 Choix des destinataires par l’entreprise et sécurité d’échange des informations.
 L'accès via Internet n'impose aucun logiciel spécifique à installer chez les
partenaires.

9.4. LA TECHNOLOGIE VPN

9.4.1. Concept

Les réseaux locaux d'entreprise (RLE ou LAN) sont des réseaux internes à une
organisation, c'est-à-dire que les liaisons entre machines appartiennent à
l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par
l'intermédiaire d'équipements d'interconnexion.

Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec
des filiales, des clients ou même du personnel géographiquement éloignées via
internet.

255
Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que
lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté
n'est pas défini à l'avance, ce qui signifie que les données empruntent une
infrastructure réseau publique appartenant à différents opérateurs. Ainsi, il n'est pas
impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret
ou même détourné. Il n'est donc pas concevable de transmettre dans de telles
conditions des informations sensibles pour l'organisation ou l'entreprise.

 La première solution pour répondre à ce besoin de communication sécurisé consiste

à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart
des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants
par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support
de transmission.
 Un bon compromis consiste à utiliser Internet comme support de transmission en
utilisant un protocole d'encapsulation (en anglais tunneling, d'où l'utilisation impropre
parfois du terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre
de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN,
acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement
créé.

Figure 9.5. Accès Internet à travers des équipements de filtrage.

Sur Internet, les liaisons sont beaucoup plus vulnérables car les données peuvent
passer par des lignes susceptibles d'être "écoutées". Ainsi, étant donné que certaines
entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par
une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de
transmission. On parle alors de réseau privé virtuel (aussi appelé VPN, acronyme de
Virtual Private Network) lorsque les données transitant sur Internet sont sécurisées
(c'est-à-dire cryptées).
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une
liaison Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du
VPN peuvent accéder aux données.

9.4.2. Fonctionnement d'un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunneling,

c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à
l'autre d'être sécurisées par des algorithmes de cryptographie.

256
 .
Figure 9.6. Client VPN accédant au serveur VPN via l’Internet.
Le terme de "tunnel" est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du
VPN les données sont chiffrées (cryptées) et donc incompréhensible pour toute
personne située entre les deux extrémités du VPN, comme si les données passaient
dans un tunnel.

La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de
VPN, créant un tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le
même réseau local (virtuel), ce qui permet de passer outre d'éventuelles restrictions
sur le réseau (comme des pare-feux ou des proxys).

Figure 9.7. Principe d'un VPN simple.

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément
permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur
VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant
les données du côté de l'organisation.

De cette façon, lorsqu'un utilisateur du VPN nécessite d'accéder à des données

situées sur un autre réseau local du réseau privé virtuel, sa requête va être transmise
en clair au système proxy, qui va se connecter au réseau distant par l'intermédiaire
d'une ligne téléphonique (analogique, c'est-à-dire par modem, ou numérique) puis va
transmettre la requête de façon cryptée. L'ordinateur distant va alors fournir les
données au système pare-feu de son réseau local qui va transmettre la réponse de
façon cryptées. À la réception sur le proxy de l'utilisateur, les données seront
décryptées, puis transmises à l'utilisateur...

9.4.3. Types et fonctionnalités des VPN

Il existe 3 types standards d'utilisation des VPN. En étudiant ces schémas d'utilisation,
il est possible d'isoler les fonctionnalités indispensables des VPN.

257
9.4.3.1. Le VPN d'accès

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder à
distance au réseau privé de l’entreprise. L'utilisateur se sert d'une connexion Internet
pour établir la connexion VPN.

Figure 9.8. VPN d'accès.

9.4.3.2. L'intranet VPN

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants. Le plus important dans Ce type de réseau est de garantir la sécurité et
l'intégrité des données. Certaines données très sensibles peuvent être amenées à
transiter sur le VPN (base de données clients, informations financières...).

Des techniques de cryptographie sont mises en œuvre pour vérifier que les données
n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la
validité des données, de l'identification de leur source ainsi que leur non-répudiation.

Figure 9.9. L’intranet VPN.

9.4.3.3. L'extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cadre, il est
fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et
gérer les droits de chacun sur celui-ci.

Figure 9.10. L’extranet VPN.

258
Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités suivantes :

 Authentification d'utilisateur
Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De
plus, un historique des connexions et des actions effectuées sur le réseau doit être
conservé.

 Gestion d'adresses
Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit
rester confidentielle. Un nouveau client doit pouvoir se connecter facilement au
réseau et recevoir une adresse.

 Cryptage des données

Lors de leurs transports sur le réseau public les données doivent être protégées par
un cryptage efficace.
 Gestion de clés
Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.

 Prise en charge multiprotocole

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux
publics en particulier IP

 Le VPN est un principe

Il ne décrit pas l'implémentation effective de ces caractéristiques. C'est pourquoi il
existe plusieurs produits différents sur le marché dont certains sont devenus
standard, et même considérés comme des normes.

9.4.4. Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont les suivants :

 PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé

par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
 L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco,
Northern Telecom et Shiva. Il est désormais quasi-obsolète
 L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi
d'un protocole de niveau 2 s'appuyant sur PPP.
 IPSec (Internet Protocol SECurity) est un protocole de niveau 3, issu des travaux
de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

N.B.
Les deux des méthodes les plus courantes d'accès à distance pour l'accès VPN sont :
Layer 2 Tunneling Protocol (L2TP) et IPSec.

1) Le protocole PPTP

Le protocole de tunneling le plus utilisé est le protocole PPTP (Point To Point

Tunneling Protocol). Le principe de ce protocole est de créer des paquets sous le
protocole PPP et de les encapsuler dans un datagramme IP.
Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux
sont connectés par une connexion point à point (comprenant un système de cryptage
et d'authentification, et le paquet transite au sein d'un datagramme IP.

259
De cette façon les données du réseau local (ainsi que les adresses des machines
présentes dans le l'en-tête du message) sont encapsulées dans un message PPP, qui
est lui-même encapsulé dans un message IP...

2) Le protocole L2TP

Le protocole L2TP est un protocole standard de tunnelisation très proche de PPTP.

L2TP est une norme IETF pour le transport des trames PPP sur IP. L2TP fournit dial-
up utilisateurs avec une connexion virtuelle à une passerelle de l'entreprise sur un
réseau IP, ce qui pourrait être l'Internet.
Pour ce faire, le protocole L2TP encapsule des trames protocole PPP, encapsulant
elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).

3) Le protocole IPSec

IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au
niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations
au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et
l'authentification des échanges.
Le protocole IPSec est basé sur trois modules :

 IP Authentification Header (AH) concernant l'intégrité, l'authentification et la

protection contre le rejeu. des paquets à encapsuler
 Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP
fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejeu.
 Security Assocation (SA) définissant l'échange des clés et des paramètres de
sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à
appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les
algo de sécurité utilisés par les protocoles, les clés utilisées,...). L'échange des clés
se fait soit de manière manuelle soit avec le protocole d'échange IKE pour Internet
Key Exchange (la plupart du temps), qui permet aux deux parties de s'entendre sur
les SA.

Le schéma ci-dessous représente tous les éléments présentés ci-dessus, leurs

positions et leurs interactions.

Figure 9.11. Principe de fonctionnement d’IPSec.

260
- Pour gérer les associations de sécurités actives, on utilise une "base de données
des associations de sécurité" nommée SAD (Security Association Database).
Elle contient tous les paramètres relatifs à chaque SA et sera consultée pour savoir
comment traiter chaque paquet reçu ou à émettre.
- Le SPI (Security Parameter Inde) est un index des paramètres de sécurité. Un SPI
est un bloc de 32 bits inscrit en clair dans l'en-tête de chaque paquet échangé ; il est
choisi par le récepteur.
- Les protections offertes par IPSec sont basées sur des choix définis dans une "base
de données de politique de sécurité" nommée SPD (Security Policy Database).
- Le Protocole ESP (Encapsulating Security Payload) est utilisé pour la
Confidentialité et l’intégrité des données.
- IKE (Internet Key Exchange) vise à fournir des mécanismes d'authentification et
d'échange de clef adaptés à l'ensemble des situations qui peuvent se présenter sur
l'Internet.
- Isakmp (Internet Security Association and Key Management Protocol) pour rôle
la négociation, l'établissement, la modification et la suppression des associations de
sécurité et de leurs attributs.

9.4.5. Technologies VPN

Dans le sens le plus simple, un VPN relie deux points de terminaison sur un réseau
public pour former une connexion logique. Les connexions logiques peuvent être faites
à chaque couche 2 ou 3 du modèle OSI, et les technologies VPN peuvent être
classées sur ces modèles logiques de connexion que la couche 2 des VPN ou VPN de
couche 3. Conceptuellement, établir la connectivité entre les sites au cours d'une
couche 2 ou VPN de couche 3 est la même.

Le concept consiste à ajouter un «en-tête de livraison" en face de la charge utile pour

l'obtenir sur le site de destination.
 Dans le cas de couche 2 des VPN, l'en-tête de livraison est à la couche 2 ;
 Dans le cas de VPN de couche 3, il est (évidemment) à la couche 3.
- ATM et Frame Relay sont des exemples de couche 2 des VPN;
- GRE, L2TP, MPLS et IPSec sont des exemples de technologies VPN de couche 3.

9.4.5.1. VPN de couche 2 (niveau 2)

VPN de niveau 2 fonctionnent à la couche 2 du modèle de référence OSI, ils sont le

point-à-point et d'établir la connectivité entre les sites sur un circuit virtuel. Un circuit
virtuel est un logique de bout-en-extrémité de connexion entre deux points de
terminaison dans un réseau, et qu'ils peuvent s'étendre éléments multiples et de
multiples segments physiques d'un réseau.

Le circuit virtuel est configuré de bout-en-fin et est habituellement appelé un circuit

virtuel permanent (PVC). Une dynamique de point à point de circuit virtuel est
également possible et est connu comme un circuit virtuel commuté (SVC); SVC sont
utilisés moins fréquemment en raison de la complexité impliquée dans leur dépannage.
ATM et Frame Relay sont deux des technologies les plus populaires de la couche 2
VPN. ATM et Frame Relay fournisseurs peuvent offrir privée de site à site connectivité
à une société en configurant des circuits virtuels permanents à travers un backbone
partagé.
Un des avantages d'une couche 2 VPN est l'indépendance de la charge utile du trafic
de couche 3 qui peut être transporté sur elle. Un Frame Relay ou ATM PVC entre les
sites peut effectuer de nombreux types de couche 3 de trafic tels que IP, IPX,
AppleTalk, IP multicast, et ainsi de suite.

261
ATM et Frame Relay également fournir une bonne qualité de service (QoS) des
caractéristiques, ce qui est particulièrement critique pour les applications sensibles aux
délais telles que la voix.

9.4.5.2. VPN de couche 3 (niveau 3)

Une connexion entre les sites peut être défini comme un VPN de couche 3, si l'en-tête
de livraison est à la couche 3 du modèle OSI. Parmi les exemples courants de VPN de
couche 3 sont GRE, MPLS et VPN IPSec. VPN de couche 3 peut être le point à point
pour relier deux sites tels que le GRE et IPSec, ou peut établir toute-to-any
connectivité à de nombreux sites en utilisant des VPN MPLS.

9.4.5.2.1. GRE Tunnels

Generic Routing Encapsulation (GRE) a été initialement développé par Cisco et plus
tard standardisé en tant que RFC 1701. Une en-tête IP de livraison pour le GRE est
définie dans la RFC 1702. Un tunnel GRE entre deux sites qui ont accessibilité IP peut
être décrit comme un VPN, parce que les données privées entre les sites sont
encapsulées dans une en-tête GRE livraison.
Parce que l'Internet public est probablement le réseau le plus répandu du public dans
le monde, il est possible de se connecter de nombreux sites d'une société en utilisant
les tunnels GRE. Dans ce modèle, chaque site de la société nécessite une connectivité
seulement physique à son fournisseur de services Internet, comme toutes les
connexions entre les sites sont plus les tunnels GRE. Bien que les VPN construits sur
l'Internet en utilisant GRE sont possibles, elles sont rarement utilisées pour les
données d'entreprise en raison des risques inhérents et le manque de mécanismes de
sécurité associés à de fortes GRE.

9.4.5.2.2. MPLS VPN

Mis au point par Cisco, la commutation multiprotocole par étiquette ou MPLS

(MultiProtocol Label Switching) a été à l'origine connu sous le nom de commutation
Tag et plus tard standardisé par l'IETF comme MPLS. Les fournisseurs de services
sont de plus en plus le déploiement de MPLS pour offrir des services VPN MPLS pour
les clients. Un principe commun entre toutes les technologies VPN est l'encapsulation
des données privées avec un en-tête de livraison; VPN MPLS d'utiliser des étiquettes
pour encapsuler les données d'origine, ou de charge utile, pour former un VPN entre
les sites.

9.4.5.2.3. VPN IPSec

L'une des principales préoccupations pour les personnes qui utilisent VPN est la
sécurité des données quand il traverse un réseau public. En d'autres termes, comment
peut-on éviter l'espionnage malveillant de données dans un VPN?
Chiffrer les données est une façon de le protéger. Le cryptage des données peut être
atteint en déployant de cryptage / décryptage des dispositifs sur chaque site.

IPSec est une suite de protocoles élaborés sous les auspices de l'IETF pour atteindre
des services sécurisés sur IP à commutation de paquets réseaux. L'Internet est le plus
répandu à commutation de paquets réseau public et, par conséquent, un VPN IPSec
déployées sur l'Internet public peut signifier des économies de coûts importantes à une
société par rapport à un VPN lignes louées.

Les services IPSec permettre l'authentification, l'intégrité, contrôle d'accès, et de la

confidentialité.

262
Avec IPSec, les informations échangées entre les sites distants peuvent être chiffrés et
vérifiés. Les deux clients d'accès distant et site à site VPN-peut être déployé en
utilisant IPSec.

9.4.6. VPV pour l’accès distant dans un environnement Microsoft

9.4.6.1. Présentation du service routage et accès distant

Le service Routage et Accès Distant encore appelé RRAS (pour Routing and
Remote Access Service) possède deux fonctions principales :

 Il permet de faire communiquer entre-eux des réseaux différents ou des sous-

réseaux différents (routage) ;
 Il permet à des clients situé dans une zone géographiquement éloignée de
l'entreprise d'accéder au réseau interne de l'entreprise (accès à distance).

Dans cette section nous détaillons la mise en place de l'accès à distance avec le
service Routage et accès distant de Microsoft Windows 2003 Server.
9.4.6.2. Infrastructure logicielle et matérielle de l'accès à distance

a/ Infrastructure logicielle

Pour être mis en place dans un environnement Microsoft, l'accès à distance requiert la
présence de plusieurs services:
 un logiciel d'accès distants client (intégré au système d'exploitation depuis la sortie
de Windows 95)
 le service Routage et Accès distant
 le service d'annuaire Active Directory
N.B.
Il est possible d'utiliser un service spécifique nommé IAS (Internet Authentification
Service) pour centraliser les demandes d'authentification des clients d'accès distant.

b/ Infrastructure matérielle

Généralement, une machine dédiée est utilisée pour jouer le rôle de contrôleur de
domaine et une autre machine est utilisée exécuter le service Routage et Accès
Distant.

Voici une topologie réseau type en ce qui concerne l'accès à distance :

Figure 9.12. Infrastructure matérielle de réseau VPN.

263
Comme le montre le schéma ci-dessus, divers types de réseau peuvent utilisés pour
établir la connexion entre l'ordinateur client et le serveur d'accès distant. Les trois
principaux sont :
 les connexions VPN (Virtual Private Network) qui utilisent un réseau public (le plus
souvent Internet).
 les connexions d'accès à distance qui utilisent un Réseau Numérique à Intégration
de Service (RNIS), comme par exemple Numéris de l'opérateur téléphonique
France Télécom.
 les connexions sans fil (ou wireless) qui utilisent des technologies basées sur la
propagation d'ondes (infrarouge, bluetooth, WiFi, WiMAX,...).
En conséquence, plusieurs types de clients sont distinguables :
 les clients VPN
 les clients d'accès à distance
 les clients sans fil

9.4.6.3. Principe de fonctionnement de l'accès à distance

L'établissement d'une connexion d'accès à distance passe par plusieurs étapes :

1. Un client contacte le serveur d'accès distant et lui envoie un identifiant avec un mot
de passe pour tenter de s'authentifier.
2. Le serveur d'accès distant commence par vérifier si l'identifiant et le mot de passe
correspondent à un utilisateur de l'annuaire Active Directory : c'est la phase
d'authentification.
3. Si l'utilisateur s'est authentifié avec succès, alors le serveur d'accès distant compare
les paramètres de la demande de connexion avec toutes les stratégies d'accès
distant existantes.
4. Si les conditions d'une stratégie d'accès distant correspondent avec les paramètres
de la demande de connexion, alors le serveur d'accès distant vérifie si l'utilisateur a
l'autorisation de se connecter à distance au réseau de l'entreprise : c'est la phase
d'autorisation.
5. Si l'utilisateur est autorisé à se connecter à distance au réseau de l'entreprise, alors
les conditions du profil d'accès distant de la connexion sont vérifiées.
6. Si toutes les conditions du profil d'accès distant sont vérifiées alors la connexion est
autorisée et le client reçoit une adresse IP.

Figure 9.13. Les étapes de l'établissement d'une connexion d'accès à distance.

264
9.4.6.4. Centralisation des clients d'accès distant à l'aide du serveur IAS

Lorsque l'on dispose de plusieurs serveurs d'accès distant, il peut s'avérer fastidieux
de mettre en place une stratégie d'accès uniforme. La solution la plus simple reste de
mettre en place un serveur utilisant le protocole RADIUS (pour Remote
Authentication Dial-In User Service) qui permet une autorisation et une
authentification des utilisateurs distant de manière centralisée.
Microsoft a développé son propre serveur RADIUS qui s'intègre à Windows 2003
Server sous la forme d'un service optionnel. Ce service se nomme IAS (Internet
Authentification Service).

Figure 9.14. La centralisation de l'accès distant grâce au service IAS.

9.4.6.5. Résumé

La console Routage et accès distant (RRAS) regroupe toutes les fonctionnalités

nécessaires à la création de connexions d'accès distant. Les méthodes d'accès distant
proposées (réseau privé virtuel, sans fil,...) permettent une adaptation dans tous les
cas de figure envisageables.

L'association des profils d'accès distant et des stratégies d'accès distant permet de
sécuriser et de réglementer de façon très fine une connexion à travers un réseau
public comme Internet. De plus, la mise en place du service IAS facilite la maintenance
des stratégies d'accès distant grâce à l'utilisation du protocole RADIUS qui permet la
centralisation des requêtes d'authentification.

En conclusion, l'infrastructure intégrée à Windows 2003 server permet de mettre en

place rapidement un service d'accès à distance fiable, sécurisé et hautement
paramétrable.

9.4.7. Exemple d’application

SOS Médecins est un service médical privé qui se déplace à domicile rapidement ou
en urgence 24 heures sur 24 pour la ville de Genève (en Suisse) et ses environs, il
comprend 70 praticiens se relaient pour assurer la prise en charge de tout type de
soins. Son organisation permet de répondre à toutes les demandes en moyenne dans
l’heure.

265
En cas d’urgence vitale, la demande est menée de manière prioritaire, le temps moyen
d’intervention étant alors de quelques minutes sur l’ensemble du territoire cantonal. En
moyenne, SOS Médecins effectue 121 consultations par jour.
Pour gérer la centrale d’urgence et les moyens sur le terrain, SOS Médecins s’est doté
d’outils informatiques et de communication performants qui ont été appelé
SmartRemed et SmartCar.
SmartRemed est un outil informatique qui gère toute l’activité de la Centrale de SOS
Médecins :
 gestion de la consultation, de son attribution au médecin en tenant compte, entre
autre, de la proximité et de l’itinéraire du médecin ;
 gestion du dossier patient ;
 gestion du rapport au médecin traitant ;
 gestion de la facturation.

SmartCar est un outil informatique itinérant (de type pocketPC) et communiquant

(GPRS Swisscom) qui gère l’activité du médecin sur le terrain :
- réception des données de l’intervention ;
- consultation des données sur le patient ;
- guidage GPS jusqu’au lieu d’intervention ;
- Information de la centrale d’engagement de l’état de la consultation (en route,
arrivée, terminée, moyens auxiliaires).

Figure 9.15. Accès au réseau privé de SOS Médecins par VPN.

9.4.8. Exercice : VPN site to site IPSec

Cet exercice explique comment réaliser un VPN IPsec entre deux routeurs Cisco.
Le but d’un VPN est d’authentifier et de chiffrer les données transmises où seul le
routeur final pourra lire les données. Je détaillerai dans un premier temps la
configuration de base que l’on doit faire sur les différents équipements avant de
configurer le VPN.
Sommaire :
I) Explications
II) Schéma réseau
III) Configurations de base
1) Routeur R1
2) Routeur R2
3) Routeur R3
4) Test de fonctionnement

266
 IV) Configuration du VPN
1) Configuration VPN sur R1
2) Configuration VPN sur R3
3) Vérifications

I) Explications

Un VPN (Virtual Private Network) est un réseau virtuel s’appuyant sur un autre réseau
comme Internet. Il permet de faire transiter des informations, entre les différents
membres de ce VPN, le tout de manière sécurisée.
On peut considérer qu’une connexion VPN revient à se connecter en réseau local mais
en utilisant Internet. On peut ainsi communiquer avec les machines de ce réseau en
prenant comme adresse de destination, l’adresse IP local de la machine que l’on veut
atteindre.

Il existe plusieurs types de VPN fonctionnant sur différentes couches réseau, voici les
VPN que nous pouvons mettre en place sur un serveur dédié ou à la maison :
PPTP : Facile à mettre en place, mais beaucoup d’inconvénients liés à la lourdeur du
protocole de transport GRE, le matériel réseau (routeur ADSL, wifi, doit être
compatible avec le PPTP) ;
Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi très
contraignant au niveau de la mise en place ;
OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tête sur la mise en
place, mais son utilisation est très souple.

Dans cet exercice on va utiliser IPsec.

II) Schéma réseau

Voici le schéma du réseau à réaliser :

Figure 9.16. Schéma du réseau.

III) Configurations de base

On commence par configurer le PC et le serveur en leur attribuant la bonne

configuration réseau. On attaquera ensuite la configuration du routeur R1 :

267
1) Routeur R1

On commence par le Hostname :

Router#configure terminal
Router(config)#hostname R1
On configure ensuite les adresses IP des deux interfaces :
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
Les interfaces sont maintenant configurées, il reste à configurer le routage.

On choisit de faire du routage RIP, mais qui n’empêche pas de faire un routage OSPF
ou le routage statique.
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.1.1.0
R1(config-router)#exit

La configuration de base du routeur R1 est terminée.

2) Routeur R2

Même procédure pour le routeur R2 :

On commence par le Hostname :
Router#configure terminal
Router(config)#hostname R2

On configure ensuite les adresses IP des deux interfaces :

R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

Les interfaces sont maintenant configurées, il reste à configurer le routage.

R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.2.0
R2(config-router)#network 10.1.1.0
R2(config-router)#exit

La configuration de base du routeur R2 est terminée.

268
3) Routeur R3

Même procédure pour le routeur R3 :

On commence par le Hostname :
Router#configure terminal
Router(config)#hostname R3
On configure ensuite les adresses IP des deux interfaces :
R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address 192.168.3.254 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

Les interfaces sont maintenant configurées, il reste à configurer le routage.

R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-router)#network 10.2.2.0
R3(config-router)#network 192.168.3.0
R3(config-router)#exit
La configuration de base du routeur R3 est terminée.

4) Test de fonctionnement
On va pinger le serveur depuis le PC :

Voici le fichier Packet Tracert représentant la configuration de base du réseau :

269
IV) Configuration du VPN

Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités, dans le
cas de cet exercice R1 et R3, on n’aura aucune modification à faire sur R2.

1) Configuration VPN sur R1

Première étape :
On commence par lerouteur R1, on doit vérifier que l’IOS des routeurs supporte le
VPN. On active ensuite les fonctions crypto du routeur :
R1(config)#crypto isakmp enable
Cette fonction est activée par défaut sur les IOS avec les options cryptographiques.

Deuxième étape :
On va configurer la police qui détermine quelle encryptions on utilise, quelle Hash
quelle type d’authentification, etc.
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

group 5 : Spécifie l’identifiant Diffie-Hellman

lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation
des clefs.

Troisième étape :
On doit ensuite configurer la clef :
R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1

Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur
demande si le mot de passe doit être chiffré ou pas, tapez cette commande :
R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1

Quatrième étape :
Configurons les options de transformations des données :
R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

esp : Signifie Encapsulation Security Protocol

Il ne faut pas oublier d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés
dans la première étape. Dans notre cas :
- Encryption : 3des
- hash : md5

On fixe ensuite une valeur de Lifetime :

R1(config)#crypto ipsec security-association lifetime seconds 1800

Cinquième étape :
La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

270
Dernière étape de la configuration :
Dans cette dernière étape, on configure la crypto map qui va associé l’access-list, le
traffic et la destination :
R1(config)#crypto map nom_de_map 10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur
l’interface de sortie : dans le cas de cet exercice c’est FastEthernet 0/0.
R1(config)#interface FastEthernet 0/0
R1(config-if)#crypto map nom_de_map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Un message vous indique que la crypto map fonctionne.

2) Configuration VPN sur R3

On refait la même configuration que sur R1 :

Première étape :
R3(config)#crypto isakmp enable

Deuxième étape :
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit

Troisième étape :
R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1
ou
R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1

Quatrième étape :
R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800

Cinquième étape :
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Dernière étape de la configuration :

R3(config)#crypto map nom_de_map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#crypto map nom_de_map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

271
3) Vérifications

On réalise un ping pour voir si la communication n’est pas coupée :

On vérifie les informations retournées par le VPN sur R1 et R3 :

On vérifie la map vpn :

Pour information, on a nommé la map "vpn".

272
On vérifie les opérations d’IPsec :

273
274
Pour finir on vérifie les opérations d’Isakmp :

9.4.9. DMVPN

Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN)

permettent de déployer rapidement un grand nombre de sites de manière sécurisée et
scalable. Le nom DMVPN désigne en fait un ensemble de technologies (IPsec, mGRE
et NHRP) qui, combinées, facilitent le déploiement de réseaux privés virtuels IPsec.

D’un point de vue High-level, il s’agit de « Point to Multipoint overlay VPN Tunneling »
ou Overlay veut dire que le DMVPN fonctionne a- dessus d’autres protocoles (GRE /
IPsec).

D’un point de vue Low-level, il s’agit de tunnels GRE over IPsec site-to-site tunnels
– Gérables dynamiquement et évolutifs.

9.4.9.1. High-level design & operations

- Les sites distants (spokes) montent des tunnels statiques vers un central (Hub &
spoke).
- Les Spokes échangent des informations de routage avec les hub au travers du tunnel
statique (EIGRP, OSPF, RIP…).
- Le trafic Spoke to hub est routé directement dans le tunnel statique.
- Le trafic Spoke to Spoke est routé dynamiquement avec des tunnels à la demande.

9.4.9.2. Pourquoi le DMVPN ?

La gestion de la configuration est simple (les spokes utilisent un template standard) et

cela facilite le provisioning (aucune configuration supplémentaire sur le Hub quand on
ajoute d’autres spokes).

Le DMVPN supporte le transport de nombreux protocoles (IPv4, IPv6, unicast,

multicast, static & dynamic routing) et utilise n’importe quel transport IP (DSL, Cable,
Différents ISPs..). Il fonctionne aussi au travers du NAT

9.4.9.3. Comparaison DMVPN et autres technologies

 IPsec statique
L’IPsec statique est difficile à faire évoluer d’un point de vue « management », ajouter
des nouveaux sites requière beaucoup de configuration. Ce type de VPN ne supporte
pas le routage dynamique ou le Multicast (de base).

 MPLS L3 VPN
Ajoute une complexité de routage supplémentaire, ils///////////////// ne supportent pas
forcément IPv6 or IPv4/v6 Multicast.

275
L’Interopérabilité avec les fournisseurs d’accès pour le MPLS L3VPN est difficile à
mettre en place, et besoin de circuits séparés pour l’accès internet.

9.4.9.4. Fonctionnement du DMVPN

Il s’agit d’un réseau Full mesh de tunnels IPsec à la demande, avec un minimum de
configuration grâce aux protocoles suivants :
- Multipoint GRE Tunnels (mGRE)
- NHRP (Permet au Hub de retrouver les adresses IP des Hub dynamiquement).
- IPsec crypto profiles (Encryption).
- Routage (underlay/overlay)

La technologie DMVPN réduit le besoin de configurer un full mesh (n*(n-1)/2) de

tunnels statiques, ici nous n’avons qu’un seul tunnel mGRE sur le Hub pour tous.
Les tunnels sont ensuite montés à la demande entre les différents nœuds, selon le
trafic, entre les spokes. Le chiffrement via IPsec est optionnel.

9.4.9.5. Problématique

Ceux qui se sont déjà penchés sur la question des VPN IPsec ont pu rapidement se
rendre compte des limites de ce protocole et en particulier, de deux d’entre elles.
Premièrement, lorsque l’on rajoute un site qui doit communiquer avec un site central, il
est nécessaire de modifier la configuration de ce site central. Cela présente non
seulement un problème pratique de maintenance (il faut intégrer une modification
conséquente dans la configuration d’un équipement en production), mais surtout
d’échelle : la configuration du site central peut devenir rapidement illisible à partir de
quelques dizaines de sites distants.

Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient
impossible à résoudre. Imaginons un réseau composé d’une mairie (M) et de deux
annexes (A1 et A2). Pour obtenir un réseau "full meshed" (complètement maillé, ayant
des liaisons IPsec entre tous les sites), il faut créer 3 tunnels IPsec (M-A1, M-A2, A1-
A2).

Figure 9.17. Réseau complètement maillé à trois routeurs.

Maintenant, nous ajoutons une troisième annexe (sans originalité, appelons-la

A3). Pour continuer à avoir un réseau complètement maillé, nous devons créer 3
tunnels supplémentaires (M-A3,A1-A3,A2-A3).

276
 Figure 9.18. Réseau complètement maillé à quatre routeurs

Nous avons doublé le nombre de tunnels pour arriver à 6 tunnels. En fait, pour relier un
nombre n de sites, nous devons configurer n(n-1)/2 tunnels, et modifier les
configurations de n routeurs.

DMVPN (Dynamic Multipoint VPN) permet de résoudre ces deux problèmes : non
seulement la configuration du routeur "central" reste statique (elle ne change pas
lorsque l’on ajoute un site distant), mais encore la création de tunnels entre sites
distants est complètement automatique.

9.4.9.6. Prérequis

DMVPN s’appuyant sur des technologies et des protocoles très typés Cisco, cette
solution requiert un équipement dudit constructeur, accompagné d’un IOS assez récent
(12.3(11)T3).
Des configurations plus ou moins équivalentes sont cependant possibles avec d’autres
solutions (Opportunistic Encryption du défunt FreeS/WAN, ou OpenVPN
accompagné de quelques scripts), mais ne seront pas détaillées ici.

9.4.9.7. Composants et terminologie

DMVPN et en fait une combinaison des technologies suivantes :

 IPsec : Le protocole IPsec permet de chiffrer le traffic entre les différents sites.
Des clefs "wilcard psk (pre-shared keys)" (clefs pré-partagées génériques) seront
utilisées. Ce n’est pas l’idéal en termes de sécurité, mais c’est ce qui permet la mise en
oeuvre la plus simple et la plus rapide.
 mGRE (mutipoint GRE) : GRE permet d’encapsuler des paquets multicast, requis
notamment pour les protocoles de routage ; le ’m’ de mGRE permet lui de créer des
tunnels multipoints entre les sites (Ax-Ay et Ax-M), c’est à dire de créer plusieurs
tunnels par une seule pseudo-interface ’Tunnel’.
 NHRP (Next Hop Resolution Protocol)
Ce protocole permet aux sites distants de faire connaitre l’adresse IP de l’interface
"physique" servant à monter le tunnel GRE avec le serveur. Le serveur conservera
cette information pour tous les sites distants, afin de leur permettre d’obtenir l’adresse
de leur voisin pour monter des tunnels directs.
 OSPF (Open Shortest Path First) : OSPF (protocole de routage) permet aux sites
distants d’annoncer leur réseau local au site central, et au site central de propager la
totalité des routes apprises aux sites distants.

277
 Hub and Spoke : Les sites sont appelés ’hub’ ou ’spoke’, en terminologie Cisco,
selon qu’ils jouent respectivement le rôle de site central ou de site distant. Le site
central (hub) fait office de serveur NHRP et de routeur principal (Designated Router)
OSPF.
 Matériel utilisé : Cette configuration a été testée sur Cisco 831.
L’IOS minimum nécessaire est le 12.3 (11) T3 (feature set IP/FW /PLUS 3DES).
Attention, cet IOS requiert 48 Mo de RAM, et 12 Mo de flash.

9.4.9.8. Mise en œuvre

 Contexte

L’objectif est de raccorder 1 site central (M) à deux sites distants (A1, A2) en utilisant
DMVPN. Les configurations ci-dessous décrivent le cas d’un une mairie (M) et de deux
annexes (A1, A2) reliées au réseau département ARI.

Les sites A1 et A2 n’ont pas d’adresses "officielles" ERASME. Cela n’est absolument
pas nécessaire, puisque ces sites vont fonctionner "par-dessus" le réseau officiel
existant.

Figure 9.19. Sites du réseau DMVPN

Par ailleurs, nous allons prendre le cas le plus "défavorable", dans lequel le site central
ne veut pas utiliser non plus d’adresses officielles ERASME (ex : les configurations
IPsec sur le réseau départemental) et conserver son adressage actuel. Pour ce
dernier, il sera tout de même nécessaire d’utiliser une interface Loopback pour
annoncer un subnet officiel, permettant ainsi aux spokes (A1 et A2) de monter leur
Tunnel GRE avec le hub (M).

278
Les sites distants peuvent avoir une IP statique ou dynamique sur l’interface W AN.
Cela n’a pas d’importance non plus, car NHRP va gérer la résolution de ces adresses.

Figure 9.20. Topologie générale envisagée

Le trafic intersites sera chiffré IPsec, et le trafic à destination d’Internet ne passe pas
par les tunnels et sort directement au niveau de chaque site en étant NATté (translaté).

9.4.10. TUNNELING IPv6 TO IPv4

9.4.10.1. IPv6

Étant donné que le nombre des machines utilisant l’Internet est sans cesse croissant
(ordinateurs, PDA pour Portable Digital Assistant, Téléphones Portables…), l’IPv4 ne
pourra plus répondre à tous ces besoins.

Ainsi, la solution préconisée est l’IPv6 (IP version 6) qui est semblable à l’IPv4, mais
qui utilise 128 bits subdivisés en 8 tranches de 16 bits. Chaque tranche est convertie
en nombre hexadécimal de 4 chiffres délimités par ‘deux points’, soit « : ». Dans l’IPv6,
chaque bloc de 16 bits est converti au format hexadécimal et les adresses sont
généralement représentées comme suit :

HHHH : HHHH : HHHH : HHHH : HHHH : HHHH : HHHH : HHHH

Exemple : 21DA : 00D3 : 0000 : 2F3B : 02AA : 00FF : FE28 : 9C5A

Les adresses IPv6 contiennent souvent beaucoup d’octets avec une valeur zéro; alors,
la représentation peut être simplifiée en retirant les zéros de chaque bloc de 16 bits.

Ainsi, pour l’exemple précédent, on aura :

21DA : D3 : 2F3B : 2AA : FF : FE28 : 9C5A

N.B.
- L’IPv6 n’utilise pas les classes comme le fait l’IPv4 ;
- L’IPv6 supporte l’unicast et le multicast, mais pas le broadcast (la diffusion
générale) ;
- La diffusion de l’IPv6 est faite par le mécanisme de multicast ;
- L’IPv6 utilise 0 :0 :0 :0 :0 :0 :0 :1 comme son adresse LoopBack, équivalente à
127.0.0.1 dans IPv4.

279
9.4.10.2. Tunneling IPv6 to IPv4

6to4 (parfois écrit « 6 to 4 ») est une méthode de transition d'IPv4 vers IPv6 qui permet
à un réseau IPv6 isolé de communiquer en IPv6 avec un autre réseau IPv6 à travers
un réseau IPv4. 6to4 est utile quand deux hôtes souhaitent échanger des informations
en IPv6 mais qu'une portion du réseau qui les sépare ne supporte que IPv4.

6to4 peut être utilisé par un ordinateur seul ou par un réseau local IPv6. Utilisé par un
ordinateur seul, ce dernier doit impérativement avoir une connexion IPv4 et une
adresse IPv4 publique. Il est alors responsable de l'encapsulation des paquets IPv6
sortants et de la décapsulation des paquets IPv6 entrants. Quand 6to4 est utilisé par
un réseau local, l'ensemble du réseau n'a besoin que d'une seule adresse IPv4
publique et un ordinateur servira de passerelle. À l'intérieur du réseau, les hôtes
récupèrent leurs baux IPv6 et tables de routages en utilisant leurs protocoles
d'identification classiques, juste comme s'ils étaient sur un réseau IPv6.

6to4 ne permet pas l'interopération entre les hôtes uniquement IPv4 et les hôtes
uniquement IPv6.

Figure 9.21. Configuration procedure.

La transmission tunnel de recouvrement encapsule les paquets IPv6 en paquets IPv4

pour la livraison à travers une infrastructure IPv4. Ceci est semblable à la façon dont
vous créez un tunnel d'encapsulation de routage générique (GRE) pour transporter le
trafic Internetwork Packet Exchange (IPX) par le biais d'un réseau IP. À la tête du
tunnel, un paquet IPv6 est encapsulé en paquet IPv4 et envoyé à la destination du
tunnel distant. C'est à cet endroit que l'en-tête de paquet IPv4 est éliminé et que le
paquet IPv6 d'origine est transféré dans un nuage IPv6.

280
Il existe cinq méthodes de transmission tunnel du trafic IPv6 :
 Tunnels IPv6 manuels
 Tunnels compatibles IPv4 automatiques
 GRE
 Tunnels 6to4 automatiques
 Tunnels ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

La différence principale dans ces techniques de transmission tunnel est la méthode

selon laquelle la source et la destination du tunnel sont déterminées. Dans ce
document, les types de tunnel compatibles IPv4 manuels et automatiques sont décrits.
Reportez-vous à Implémentation de la transmission tunnel pour IPv6 pour obtenir des
informations sur les autres techniques de transmission tunnel et leurs caractéristiques.
Remarque: Les tunnels de recouvrement réduisent la valeur MTU (Maximum
Transmission Unit) d'une interface de 20 octets. Ceci suppose que l'en-tête de paquet
IPv4 de base ne contient pas de champs facultatifs. Il est difficile de dépanner un
réseau qui utilise des tunnels de recouvrement. Par conséquent, les tunnels de
recouvrement qui connectent des réseaux IPv6 isolés ne doivent pas être considérés
comme une architecture réseau IPv6 finale. L'utilisation de tunnels de recouvrement
doit être considérée comme une technique de transition vers un réseau qui prend en
charge les piles de protocoles IPv4 et IPv6, ou juste la pile de protocoles IPv6.

9.4.10.3. Fonctionnement de 6to4

6to4 réalise 3 tâches :

1. Assigne un bloc d'adresses IPv6 à tout hôte ou réseau qui dispose d'une adresse
IPv4
2. Encapsule les paquets IPv6 à l'intérieur de paquets IPv4 afin de permettre leur
transition sur un réseau IPv4
3. Effectue le transit du trafic entre 6to4 et les réseaux IPv6 « natifs » (agit comme un
routeur)

9.4.10.4. Conditions préalables :

- Conditions requises
Cisco recommande que vous ayez connaissance du protocole IPv6 avant d'essayer
cette configuration. Reportez-vous à Implémentation de l'adressage IPv6 et
connectivité de base pour obtenir des informations sur IPv6.

- Composants utilisés
Les informations dans ce document sont basées sur les Routeurs de gamme Cisco
36xx qui exécutent la version de logiciel 12.3(13) de Cisco IOS.

Remarque :
Toute plate-forme matérielle qui prend en charge le logiciel Cisco IOS Version 12.2(2)T
ou 12.0(21)ST et versions ultérieures prend également en charge IPv6.

- Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous
à Conventions relatives aux conseils techniques Cisco.

- Configurez
Cette section vous fournit des informations pour configurer les fonctionnalités décrites
dans ce document.
Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement)
pour trouver plus d'informations sur les commandes utilisées dans ce document.

281
Diagra9.4.10.5. mme du réseau

Ci-dessous nous donnons un exemple de configuration IPv6 to IPv4 :

Figure 9.22. Exemple de configuration IPv6 to IPv4.

9.4.10.5. Résumé

Nous venons d’expliqué comment des tunnels peuvent être utilisés pour faire coexister
IPv6 et IPv4 sur le même réseau. Ceci peut être nécessaire dans les phases de
transition.

Concernant les configurations IPv6, souvenez-vous que les instructions réseau ne sont
pas utilisées avec le RIP IPv6. Le RIP IPv6 est activé globalement et chaque interface
participe au RIP et prend en charge le RIP IPv6. Dans l'exemple BGP IPv6, la section
Tunnel automatique requiert l'utilisation du jeu de commandes address-family ipv6
pour écrire les instructions BGP.

9.5. CONCLUSION

Dans ce chapitre nous avons expliqué les concepts de l’Intranet, de l’Extranet et la

technologie VPN qui permet d’effectuer l’accès distant à un réseau ainsi que
l’interconnexion des réseaux Intranet et extranet via l’Internet.

Vu que la plupart des applications actuelles sont réalisées avec l’IPv6 alors que
certains réseaux fonctionnent encore avec l’IPv4, le tunneling IPv6 to IPv4 permet
alors de réaliser le transfert des paquets IPv6 via un réseau IPv4.

282
CHAPITRE X. LES RÉSEAUX IP/MPLS

10.1. INTRODUCTION

Actuellement il existe une multitude de technologies et des protocoles réseaux, pour

assurer alors l’interopérabilité entre les différents réseaux on a développé un concept
pour définir et déployer les réseaux, à savoir le MPLS.

Les réseaux MPLS, qui du fait de leur séparation formelle en différentes couches,
plans et de l’utilisation d’interfaces ouvertes, offrent aux fournisseurs de services ainsi
qu’aux opérateurs une plate-forme évolutive pour créer, déployer et gérer des services
multimédias innovants.

10.2. NOTION ET BUT DU MPLS

Le terme MPLS (acronyme de « MultiProtocol Label Switching », en français «

Qualité de Service ») représente un ensemble de spécifications définies par l'IETF
(Internet Engineering TaskForce) consistant à doter les trames circulant sur le
réseau d'un label servant à indiquer aux routeurs le chemin que la donnée doit
emprunter.

MPLS sert ainsi à la gestion de la qualité de service en définissant 5 classes de

services (en anglais Classes of Service, noté CoS) :

 Vidéo. La classe de service pour le transport de la vidéo possède un niveau de

priorité plus élevé que les classes de service de données.

 Voix. La classe de service pour le transport de la voix possède un niveau de priorité

équivalent à celui de la vidéo, c'est-à-dire plus élevé que les classes de service de
données.

 Données très prioritaires (D1). Il s'agit de la classe de service possédant le plus

haut niveau de priorité pour les données. Elle sert notamment aux applications ayant
des besoins critiques en termes de performance, de disponibilité et de bande
passante.

 Données prioritaires (D2). Cette classe de service correspond à des applications

non critiques possédant des exigences particulières en termes de bande passante.

 Données non prioritaires (D3), représentant la classe de service la moins prioritaire.

Les spécifications MPLS interviennent au niveau de la couche 2 du modèle OSI et

peuvent notamment fonctionner sur les réseaux IP, ATM ou Frame Relay (relais de
trames).

C’est un concept pour définir et déployer les réseaux, qui du fait de leur séparation
formelle en différentes couches, plans et de l’utilisation d’interfaces ouvertes offrent
aux fournisseurs de services ainsi qu’aux opérateurs une plate-forme évolutive pour
créer, déployer et gérer des « services multimédias innovants ».

Par conséquent, les services doivent être évolutifs et accessibles indépendamment

des réseaux d’accès.

283
 Figure 10.1. Principe de consolidation du réseau

Les réseaux IP (réseaux à datagrames) pour transporter l'information, utilisent

l'adresse de destination contenue dans l'en tête des paquets et propagent l'information
de proche en proche jusqu'au moment ou un équipement du réseau reconnaît cette
adresse comme celle d'un équipement qui lui est raccordé. Cette approche offre
l'avantage de la simplicité mais également l'inconvénient d'une non maîtrise de la
propagation de l'information.

Figure 10.2. Trame Ethernet de base

MPLS qui se propose de pallier cet inconvénient, réutilise la trame Ethernet de base
en ajoutant un label, le premier équipement d'entrée de réseau (LER) met son
étiquette, puis vient l'entête MPLS, la trame Ethernet vient ensuite mais sans le
préambule et le start.

Figure 10.3. Trame Ethernet marquée MPLS

Ce "stack label" est ajouté par le routeur d'entrée de réseau et retiré par le routeur de
sortie. Dans le cœur du réseau, les équipements utilisent ce label pour acheminer
l'information.

284
 Figure 10.4. Réseau MPLS.

10.3. PRINCIPE DU MPLS

La commutation de labels

Les réseaux IP/MPLS se base sur l'établissement de chemin entre deux machines (les
Label Switched Path ou LSP). La commutation des paquets circulant sur ce chemin
est faites en analysant un label contenu dans l'entête MPLS qui est ajouté entre la
couche 2 (souvent Ethernet) et la couche IP.

Voici un schéma résumant le principe de la « commutation de label tout au long

d'un chemin » ou Label Switched Path :

Figure 10.5. La commutation de label tout au long d'un chemin.

À l’entrée du réseau MPLS, les paquets IP se voient insérés un label par le "Ingress
Label Edge Routeur" ou "Ingress LER". Les LER sont les routeurs MPLS se situant à
la périphérie du réseau de l'opérateur. Les paquets labelisés sont ensuite commutés

285
vers le cœur du réseau selon son numéro de label. Les routeurs MPLS du cœur de
réseau, les Label Switching Router, commute ensuite les labels jusqu’au LER de
sortie (Egress LER) Le chemin qui a été pris par le paquet, et préalablement établi, au
travers du réseau s’appelle un Label Switched Path (LSP).

Le MPLS apporte à l'environnement IP sans connexion un certain contrôle qui était

l'apanage des technologies basées sur les connexions, telles le relais de trames et
ATM. Fondée sur la commutation des paquets de données en fonction d'une
étiquette, ou « label », ajoutée à leur en-tête, cette technologie est flexible et versatile
puisque un label peut caractériser le chemin, la source, la destination, l'application, la
qualité de service, etc.

Tout d'abord, MPLS facilite l'acheminement des paquets par des routes
préconfigurées, en fonction de critères comme, par exemple, le faible taux
d'encombrement, la répartition de la charge sur plusieurs routes ou la nécessité de
restaurer un lien en moins de 60 milisecondes en cas de panne de circuit, etc.
Les systèmes intermédiaires situés au centre du réseau traitent les informations
primaires contenues dans les labels beaucoup plus rapidement, puisque la décision de
routage est déterminée d'avance. Les paquets circulent alors plus vite, les ressources
des routeurs et des commutateurs sont moins sollicitées.

Un « label » MPLS peut être associé à un flux applicatif spécifique, ce qui permet de le
distinguer des autres, contrairement au protocole IP qui, lui, ne fait pas de différence
entre les applications.

Un label MPLS pouvant être associé à une source et/ou une destination, la création de
circuits virtuels privés partageant une infrastructure physique commune en est
facilitée. Par ailleurs, la hiérarchie des labels MPLS permet de construire des VPN ne
nécessitant aucune modification au plan d'adressage IP des clients, tout en coexistant
avec le réseau MPLS que certains d'entre eux pourraient établir entre leurs différents
sites.

10.4. INTERCONNEXION MPLS

L’interconnexion MPLS offre aux fournisseurs de services internationaux la possibilité

d’étendre de façon transparente leur réseau MPLS, en s’adressant aux fournisseurs de
télécommunications du pays.

Figure 10.6. L’interconnexion MPLS.

286
Par exemple, le réseau MPLS de pointe de Bell offre la couverture la plus étendue au
Canada, ce qui vous permet d’élargir votre zone de desserte de façon économique. Le
but du service Interconnexion MPLS est de refléter le plus fidèlement possible votre
service afin que vous puissiez offrir à vos clients un service mondial transparent.

Voici les principaux avantages de l’interconnexion MPLS de Bell :

- Plus grande flexibilité – Nous travaillons avec vous pour établir l’interconnexion à
un emplacement mutuellement convenu, aux États-Unis ou au Canada.
L’interconnexion se fait entre deux points VRF (Virtual Routing and Forwarding –
routage et acheminement virtuels) ou VPNv4, sous protocole E-BGP (External
Border Gateway Protocol - IETF rfc 2547 bis).
- Fiabilité, sécurité et performance démontrées – Notre réseau fédérateur MPLS
écoule le trafic essentiel des clients les plus importants et les plus exigeants du
Canada. Dans sa fiche de résultats sur les services RPV IP canadiens, le groupe
Forrester Research a récemment classé le service RPV IP de Bell au premier rang.
- Couverture étendue – Nous possédons le plus grand réseau IP/MPLS au Canada
et nous avons un budget d’un milliard de dollars pour son expansion continue à
l’échelle nationale et internationale; nous pourrons donc vous connecter à tout point
où vous devez aller.
- Simplicité – Vous n’avez besoin que d’une seule interconnexion convergente sur
notre réseau, ce qui simplifie l’administration du réseau et les rapports et facilite le
déploiement.

10.5. GENERALIZED MULTI-PROTOCOL LABEL SWITCHING

Le GMPLS (Generalized Multi-Protocol Label Switching) est une généralisation du

protocole MPLS dans les réseaux informatiques et les télécommunications permettant
d'avoir une structure de contrôle unique sur les trois premières couches du réseau.

 Objectif

Le MPLS est un protocole très répandu dans les réseaux IP WAN, tandis que l'objectif
du GMPLS est d'étendre son fonctionnement en supportant plusieurs types de
commutation, alors que MPLS repose uniquement sur la commutation par paquets.

9.6. CONCLUSION

Le MPLS est un concept propose la séparation formelle en différentes couches, plans

et de l’utilisation d’interfaces ouvertes pour assurer alors l’interopérabilité entre les
différents réseaux pour lesquels il existe une multitude de technologies et des
protocoles réseaux.

Le MPLS offre aux fournisseurs de services ainsi qu’aux opérateurs une plate-forme
évolutive pour créer, déployer et gérer des services multimédias innovants avec la
d’interconnexion de leurs réseaux quel que soit la différence des technologies.

287
 CONCLUSION

Les Réseaux informatiques sont des systèmes de mise en commun de l’information

entre plusieurs machines informatiques interconnectées. Un réseau peut ainsi relier, au
moyen d’équipements de communication appropriés, des ordinateurs, des routeurs,
des passerelles, des terminaux et des périphériques divers tels que des imprimantes et
des serveurs de fichiers. Ces transmissions de données peuvent concerner l’échange
de messages entre utilisateurs, l’accès à distance à des bases de données ou encore
le partage de fichiers.

Quelle que soit leur étendue, les réseaux informatiques permettent aux utilisateurs de
communiquer entre eux et de transférer des informations.

De plus en plus d’entreprises et d’organismes implémentent de multiples technologies

afin d’améliorer l’environnement de travail des usagers et utilisateurs de leurs réseaux.

Un réseau pourvu d'un ordinateur serveur est utilisé dans une autre optique : celle de
la sécurité. Le serveur dispose d’un système d'exploitation particulier permettant
d'octroyer des permissions aux utilisateurs et des droits sur les dossiers et les fichiers.

Dans le cas d’un grand nombre de réseaux interconnectés, la gestion peut devenir
délicate et il est alors nécessaire de faire transiter les messages par plusieurs réseaux
intermédiaires. C’est l’opération de routage qui aiguille les paquets de données
transmis et sous-entend que les équipements connaissent l’emplacement de chaque
machine dans l’ensemble des réseaux.

Dans un environnement LAN, chaque service ou entreprise pouvait être comparé à un

îlot électronique. Il fallait donc trouver une façon de faire circuler les informations
rapidement et efficacement entre les entreprises. La solution fut la création des
réseaux MAN et WAN.

Pour communiquer entre eux, les ordinateurs connectés à Internet utilisent un langage
commun (nommé protocole) et sont équipés de logiciels (ou programmes) permettant
l’échange de données.

Avec la prolifération des technologies et des protocoles réseaux, on a développé un

concept pour définir et déployer les réseaux, le MPLS, qui du fait de leur séparation
formelle en différentes couches, plans et de l’utilisation d’interfaces ouvertes offrent
aux fournisseurs de services ainsi qu’aux opérateurs une plate-forme évolutive pour
créer, déployer et gérer des services multimédias innovants ». Ainsi les services
doivent être évolutifs et accessibles indépendamment des réseaux d’accès.8

Auteur

Shico ZANDI MANGUMBE

8
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

288
 TABLE DES MATIERES

Page
INTRODUCTION …………………………………………………………………………...1

CHAPITRE I. MISE EN RESEAU ET ORGANISATION DES TRANSFERTS

DE DONNEES …………………………………………………………..….2

CHAPITRE II. INTERNET ET TRADUCTION D’ADRESSES IP…………………....29

CHAPITRE III. SEGMENTATION DE RESEAUX ET CREATION DE SOUS-

RESEAUX ………………………………………………………………..47

CHAPITRE IV. REDONDANCE ET AGREGATION DES LIENS …………….........63

CHAPITRE V. LA TECHNOLOGIE VLAN OU RÉSEAUX VIRTUELS …………...75

CHAPITRE VI. LE RESEAU EN ARCHITECTURE CLIENT-SERVEUR……........112

CHAPITRE VII. LES RÉSEAUX ÉTENDUS ET TECHNIQUES DE ROUTAGE

INTER-RESEAUX …………………………………………………....159

CHAPITRE VIII. CHEMINS MULTIPLES ET DISPONIBILITE DE RESEAUX…..237

CHAPITRE IX. INTRANET, EXTRANET ET TECHNOLOGIE VPN ……………...249

CHAPITRE X. LES RÉSEAUX IP/MPLS …………………………………………..….283

CONCLUSION ……………………………………………………………………………288

TABLE DES MATIERES ………………………………………………………………..299

9

9
Shico ZANDI MANGUMBE, Cours de Réseaux Informatiques I, L1 Réseaux – URK, Kinshasa 2017

289