Travaux Pratique
Travaux Pratique
Travaux Pratique
EXERCICES DE RESEAUX II
Partie I :
A. Observez l’état de différents services avec la console de gestion de service Windows et le
gestionnaire de taches Windows
1. Quels sont les services réseaux (standard ou propriétaire) et services système avez-vous sur votre
ordinateur?
2. Quelles sont les taches pouvez vous exécuter sur chaque service de votre système ?
3. Quelles informations contenues dans les fichiers ci-dessous :
- c: \windows\system\system32\drivers\etc\hosts
- c: \windows\system\system32\drivers\etc\Lmhost
4. Lorsque le fichier hosts, par exemple, est modifié par ajout d’une information, quel effet cela
produire sur le fonctionnement du réseau ?
B. Un utilisateur, se trouvant a Lubumbashi, connecté au réseau internet n’arrive pas à accéder au site
de l’entreprise (www.briks.org) hébergé en France et pourtant les autres internautes accèdent. Pouvez-
vous analyser selon le modèle TCP/IP les problèmes en donnant aussi de pistes de solution à chaque
problème éventuel ?
C. Observation du trafic réseau avec Wireshark
Taches à faire
- Lancer Wireshark, accéder sur la page web www.mediacongo.net, lancer un ping vers
www.google.com.
- Partager un dossier.
- Arrêter la capture et observer les résultats puis répondre aux questions ci-dessous :
1. Quels sont les services utilises dans ce réseau ?
2. Quels protocoles associés a chaque service ?
3. Quels sont les ports qui sont ouverts ?
4. Quels sont les types de trafic destine a votre ordinateur ?
5. Quelles sont les informations associées à la couche accès au réseau TCP/IP (par rapport a
exécution de Ping)
6. Quelles sont les sources et les destinations de trafics capturés ?
7. Y- t –il de trafic de diffusion ? ou de multidiffusion ? si oui pour quel service ?
8. Quels sont les recommandations possibles pour restreindre le domaine de diffusion, le trafic
sortant du réseau, etc. ?
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |2
D. Quelles sont les informations contenues dans le log ou l’observateur d’événement sur votre système?
E. Utiliser les utilitaires TCP pour diagnostiquer le fonctionnement du réseau (ping, arp, netstat, tracert,
route print, nslookup, dig, whois, ipconfig, etc.).
F. Quelles informations similaires obtenez-vous avec la capture de Wirshark et les utilitaires TCP/IP
Partie 2 :
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |3
11. Les utilisateurs de d’administration générale doivent être à mesure d’envoyer les taches
d’impression à n’importe quelle imprimante du réseau ; ceux de finances ont leur
imprimante et les autres uniquement à une imprimante.
12. La société est propriétaire du domaine koko.com
13. a. L’entreprise disposera aussi du site web www.koko.com accessible par tout le monde et
sera publié sur internet.
b. Un deuxième site www.koko.com ne sera accessible que par les agents de l’entreprise et
déploiera une application de gestion intégrée pour l’entreprise ; et utilisera le protocole
https.
(Vous pouvez utiliser un logiciel de développement de pages web, avec une page d’accueil
simple et une autre page).
14. Sur le site public, un lien en ftp pointant sur le serveur ftp de l’entreprise sera mis à la
disposition des utilisateurs pour télécharger des annonces importantes de l’entreprise.
15. En plus, les utilisateurs en interne partagerons les données de par ftp avec Filezilla comme
client.
16. Pour faciliter la communication entre les différentes bureaux, le service de messagerie sera
déployer et chaque utilisateur aura un compte sous forme de [email protected] (avec c :
le prénom de l’agent et musonda : le nom de l’agent). L’agent utilisateur de message sera
Outlook express sur windows.
17. Auditer l’accès aux objets pour définir quels utilisateurs accèdent aux ressources.
Travail à faire
- Dresser un tableau de choix sur les éléments matériel et logiciels de ce réseau (spécifier
les caractéristiques principales de matériels)
- Présenter le schéma représentant le réseau koko mining
- Déployer les services nécessaires pour le fonctionnement de ce réseau sur un serveur
dédié en suivant le cahier de charge, ci -haut.
- Utiliser l’observateur d’événements et le console de gestion de services windows pour
voir l’état de services réseaux déployés
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |4
i. Stratégie d’audit
B. DEPLOIEMENT DE SERVEURS SOUS WINDOWS 2008 SERVEUR
CHAPITRE III : ADRESSAGE IP ET SEGMENTATION D’UN RESEAU
III.A ADRESSAGE IP
III.A.1 IP V.4
a. Quelques caractéristiques de base du protocole IPv4
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |5
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |6
A. Introduction
Un service réseau est une fonctionnalité assurée par un ordinateur consistant en l'aptitude à la
fourniture d'informations à d'autres ordinateurs via une connexion réseau normalisée. Les services
réseaux se basent sur des protocoles pour fournir des fonctionnalités qui sont accessibles par l'utilisateur
au niveau de la couche 7 du modèle OSI (couche application) ou la couche 4 du modèle TCP/IP.
Le protocole est un langage spécifique à un type de service ; il permet le dialogue entre le
logiciel client et le logiciel serveur.
Un logiciel serveur donne à un ordinateur la compétence d'offrir un service à d'autres machines
et un logiciel client donne à un ordinateur la compétence d'utiliser les services offerts par un serveur.
Un logiciel serveur en cours de fonctionnement est appelé : service. (ex : service de messagerie)
et un logiciel client en cours de fonctionnement est appelé : client. (ex : client de messagerie)
Les services sont parfois interdépendants; par exemple, le service de partage de fichier utilise le
service d'authentification. Un ordinateur peut être à la fois serveur et client (pour un autre service).
Le Protocole TCP/IP (Transmission Control Protocol/Internet Protocol) est une suite de
protocoles standards pour la connexion des ordinateurs et la création de réseaux. TCP/IP est un logiciel
de protocole de réseau fourni avec les systèmes d'exploitation Microsoft Windows, Linux, etc. qui met
en œuvre et prend en charge la suite de protocoles TCP/IP.
Le Service système est un composant d’un système d’exploitation permettant d’offrir de services
à d’autres programmes ou aux utilisateurs. Les services système requis par un ordinateur particulier sont
démarrés soit automatiquement par le système d'exploitation pendant le démarrage, soit ultérieurement
lorsque des opérations ordinaires l'exigent. Chaque service système fournit un ou plusieurs services
réseau.
Chaque service système a un nom convivial et un nom de service. Par exemple sous Microsoft
Windows, le nom convivial apparaît dans les outils de gestion graphiques tels que le composant logiciel
enfichable de la console MMC (Microsoft Management Console). Le nom de service est utilisé avec les
outils de ligne de commande et avec différents langages de script.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |7
Un port est identifié par un numéro exprimé sur 16 bits. Il existe donc un maximum de
Procédure d’appel distance RPC (Remote Procedure Call ) :Un protocole d’accès aux procédures
distantes permet de demander à une machine (locale ou distante) d’exécuter du code. Il permet de rendre
transparent tous les aspects réseaux d’un tel mécanisme. Les programmes qui proposent des
mécanismes RPC sont standardisés et un numéro leur est associé. Plusieurs services réseaux client-
serveur utilisent le RPC : , annuaire, authentification, partage de fichier, etc.
Remarques
✔ Le terme services et protocoles peuvent être utilisé de façon équivoque ; cela se justifie, car ces
notions sont techniquement imbriquées. Toutefois, il existe des protocoles qui ne sont pas liés à des
services réseau; d'autres part, il est possible que deux services différents mais techniquement proches
utilisent le même protocole (par exemple les protocoles HTTP et HTTPS sont utilisés par de nombreux
services réseau).
✔ Certains services réseau n'ont pas d'interactions avec l'être humain; ce sont des services rendus par
des machines pour d'autres machines! (ex : certains services de routage qui permettent la coopération
entre routeurs).
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |8
1. Couche Application
a. Service d’annuaire
Un annuaire électronique est une base de données spécialisée, dont la fonction première est de
retourner un ou plusieurs attributs d'un objet grâce à de recherche multicritères. Contrairement aux
SGBD, un annuaire est très performant en lecture mais l'est beaucoup moins en écriture ; Son rôle étant
de diffuser de l’information. Les écritures auront lieu lors de mise à jour des données par des
administrateurs. Il peut servir d'entrepôt pour centraliser des informations et les rendre disponibles via le
réseau, à des applications, des systèmes d'exploitation ou des utilisateurs.
Le service d'annuaire, sur un réseau TCP/IP utilise le protocole LDAP. La majorité des logiciels
serveurs LDAP proposent un protocole de communication serveur-serveur pour assurer le service de
réplication et de synchronisation des contenus, quand bien même la communication client-serveur est
normalisée
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |9
Toute entreprise s’appuie aujourd’hui sur un annuaire électronique qui fait désormais partie intégrante
du système informatique de celle-ci.
Il existe plusieurs types d’annuaire :
◦ X.500 : normes définies par l’UIT-T
◦ Active Directory : développé par Microsoft pour Windows
◦ NIS : Network Information Service, développé par SUN, utilise sur le système Unix
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 10
Service d’authentification :
L’utilisateur qui travaille sur un ordinateur du réseau est identifié. Cela permet de personnaliser son
environnement de travail et ses droits d'accès aux différents ressources du réseau. Cela suppose
l'existence d'un annuaire (liste d'utilisateurs inscrits) sur le serveur.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 11
Le service DNS (Domaine Name System) fournit une base de données hiérarchique et distribuée qui
mappe (mise en correspondance) des noms pleinement qualifie (nom DNS) en adresse IP ; par exemple
de noms d’hôtes, comme microsoft.com, avec les adresses IP (Internet Protocol) comme
192.168.19.2.
Le serveur DNS gère les base données de noms organise d’une façon hiérarchique.
Il s’agit d’un service Internet standard qui organise des groupes d’ordinateurs en domaines. Les
domaines DNS sont organisés hiérarchiquement. Cette hiérarchie est définie sur l’ensemble d’Internet et
ses différents niveaux identifient les ordinateurs, les domaines d’organisations et les domaines de niveau
supérieur.
Dans un réseau subdivisé en plusieurs sous réseaux, il doit y avoir un serveur DNS primaire par zone
(sous réseau) et plusieurs serveurs secondaires sur lesquels on effectue des copies régulières des
informations primaires pour des mesures de sécurité. Dans ce cas, une configuration des sous-domaines
s'imposent.
Le service WINS (Windows Internet Name Service) fournit une base de données distribuée qui mappe
des noms NetBIOS (Network Basic Input/Output System) à des adresses IP. Il a été conçu pour résoudre
les problèmes liés à la résolution de noms NetBIOS dans les environnements routés Windows.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 12
Les noms NetBIOS sont requis pour l’établissement de services réseau dans les versions antérieures des
systèmes d’exploitation Microsoft. Bien que le protocole d’attribution de noms NetBIOS puisse être
utilisé avec des protocoles réseau autres que TCP/IP, le service WINS a été conçu spécifiquement pour
prendre en charge le service NetBT (NetBIOS over TCP/IP).
c. Service DHCP
Un serveur DHCP a pour rôle de distribuer des adresses IP à des clients pour une durée déterminée. Au
lieu d'affecter manuellement à chaque machine une adresse statique, ainsi que tous les paramètres tels
que serveur de noms, passerelle par défaut, nom du réseau, un serveur DHCP alloue à chaque client un
bail d'accès au réseau, pour une durée déterminée (durée du bail). Il passe en paramètres au client toutes
les informations dont il a besoin. Tous les noeuds critiques du réseau (serveur de nom primaire et
secondaire, passerelle par défaut) ont une adresse IP statique.
Le processus de création d’un bail DHCP est le processus permettant au client DHCP de
recevoir des données de configuration d’adresse IP du serveur DHCP. Ce processus se fait par échange
de type message spécifique au DHCP, illustré ci dessous :
d. Service web
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 13
Permet l’accès à des pages Web et leur consultation sur les stations à l’aide d’un navigateur (Internet
Explorer, Netscape Navigator, Mozilla Firefox). Il stocke de sites Web, fourni de pages à la demande
accès éventuel à un serveur de bases de données (Oracle, SQLServer, MySQL…) pour proposer des
pages Web dynamiques.
A l'ère du village planétaire, la technologie des services web est aujourd'hui de plus en plus
incontournable et se présente comme le nouveau paradigme des architectures logicielles. C'est une
technologie qui permet à des applications de communiquer à travers le réseau Internet, indépendamment
des plates-formes d'exécution et des langages de programmation utilisés.
Le déploiement d’un serveur web peut se faire pour l’accès en interne, en externe ou combine : Serveur
web externes (Internet). Dans ce cas on peut implémente un proxy pour réglementer l'accès à Internet et
la sécurité. P
Pour un déploiement d'un serveur web en interne (Intranet) au sein d'une organisation, le serveur doit
héberger les informations internes, être placé dans un sous réseau et non accessible depuis l'extérieur.
Serveur web combine (Extranet), les informations sont accessible en internet et par un groupe spécifié
en externe comme les partenaires de l’entreprises
NFS (Network File System): développe initialement par Sun Microsystem puis placé en licence
GPL, cette technologie permet le partage de fichiers en montant les dossiers distants partagés
dans l'arborescence locale comme un dossier local ; technologie implémentée et adaptée sur le
système Unix (Linux)
SMB (Server Message Block): Permet le partage de fichiers entre un poste Gnu-Linux avec un
avec un poste Windows. Samba est particulièrement adapté à la création de plusieurs petits
partages locaux entres différents ordinateurs.
En 1998, Microsoft renomme SMB en CIFS (Common Internet File System) et ajoute plusieurs
fonctions comme le support des raccourcis et de fichiers de plus grande taille. En 2006, avec
l'arrivée de Windows Vista puis de Windows 7, Microsoft a mis au point une version 2 du
protocole plus rapide. Le protocole est de nouveau nommé SMB (SMB 2).
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 14
FTP (File Transfert Protocol) : Permet le transfert de fichier à travers un réseau local ou Internet
via un protocole totalement externe à la gestion "normale" de vos fichiers. FTP est très peu
adapté au partage de données à travers un réseau local. Mais il est tès adapté à la diffusion sur
internet d'un ou de plusieurs de vos dossiers le tout protégé (optionnellement) par un mot de
passe. Le protocole FTP s'inscrit dans un modèle client-serveur, c'est-à-dire qu'une machine
envoie des ordres (le client) et que l'autre attend des requêtes pour effectuer des actions (le
serveur).
Lors d'une connexion FTP, deux canaux de transmission sont ouverts :
Un canal pour les commandes (canal de contrôle)
Un canal pour les données
SSHFS: C’est un outil qui s'utilise par-dessus SSH. Particulièrement adapté aux passages de
fichiers à travers internet. Le cryptage des données peut le rendre très lent sur un réseau local.
f. Service de messagerie
Le courrier électronique est aujourd'hui l'une des applications les plus populaires du réseau. Utilisé pour
des applications très variées : personnelles, professionnelles, associatives, politiques, etc. En fait, pour
fonctionner, la messagerie électronique s'appuie principalement sur des serveurs de messagerie, des
protocoles de transport ainsi que sur des protocoles de contenu. Le serveur de messagerie est un logiciel
de courrier électronique ayant pour vocation de transférer les messages électroniques sous différents
formats (MIME, MIME sécurisé) d'un serveur à un autre.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 15
- MUA (Mail User Agent) – programme client de messagerie, utilisant SMTP et POP/IMAP, par
exemple : Eudora, Oulook, Mutt, Kmail Un MUA avec une interface Web. Le serveur doit
renvoyer le message au destinataire final lorsque celui le désire, généralement via le protocole
POP3 ou IMAP. Les ports utilises sont : POP = 110, IMAP = 143; et pour de version sécurisée,
qui intègre le protocole SSL (Secure SocketLayer), nous avons : POP3S = 995, IMAPS = 993.
Pa exemple :
IMAP est une version améliorée de POP3 qui intègre les opérations suivantes: la gestion de plusieurs
accès simultanés, la gestion de plusieurs boîtes aux lettres ,la synchronisation des courriels entre le
serveur et le client (les courriels ne sont pas effacés sur le serveur de messagerie comme le fait
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 16
g. Service d’impression
Le service d’impression permet de partager des imprimantes sur un réseau et de centraliser les tâches de
gestion des serveurs d’impression et des imprimantes réseau ; ainsi vous pouvez par exemple, contrôler
les files d’attente d’impression et recevoir des notifications lorsque les files d’attente interrompent le
traitement des travaux d’impression.
Principaux protocole d’impression :
- IPP (Internet Printing Protocol) : protocole standard pour l'impression ainsi que tout ce qui s'y
rattache comme les files d'attente d'impression, la taille des médias, la résolution, etc. IPP
supporte les contrôles d'accès comme l’authentification et le chiffrement, le rendant ainsi plus
sécurisé que d'autres solutions plus anciennes. Son principal problème est la surcharge du
protocole étant donné le fait qu'il est basé sur HTTP. Cela le rend plus complexe que nécessaire
au niveau de sa mise en œuvre.
- IPR/D ((Line Printer Daemon protocol) le protocole Daemon pour imprimante en ligne lp fut
étendu pour atteindre les mêmes capacités qu’IPP mais il est qu'il un protocole nettement plus
simple
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 17
- CUPS (CUPS (Common Unix Printing System), et IPR, sont deux protocoles utilises sous Linux.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 18
les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-dire les
consoles à travers lesquelles les administrateurs peuvent réaliser des tâches d'administration.
Le SNMP permet le dialogue entre le superviseur et les agents afin de recueillir les objets souhaités dans
la MIB. L’agent SNMP permet aux logiciels de supervision tels que LoriotPro, Nagios, What’s UP, HP
Open, DELL Open Manage ou Insight Manager, de collecter à distance sur vos serveurs et vos postes de
travail, une multitude d’informations sur leur état de fonctionnement et sur leur usage mais aussi
d’inventorier les composants matériels ou logiciels de vos systèmes.
Les protocoles TLS et SSL Spécifient des règles supplémentaires de transmission de données
entre la couche application et la couche transport.
Au départ conçu pour permettre la sécurisation des échanges sur Internet, particulièrement sécuriser les
transactions entre un client et un serveur web (HTTP), la spécification a été connue de faon ce que les
autres protocoles de niveau application puissent l'exploiter (FTP, Telnet, SMTP, POP, etc. qui donnent
HTTPS, FTPS, SSH, SMTPS, POPS). Parmi les caractéristiques principales de ces protocoles retenons :
l’authentification, la confidentialité et l’intégrité des données échangées.
2. Couche Transport
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 19
- Suivi des conversations individuelles : Tout hôte peut héberger plusieurs applications qui
communiquent sur le réseau.
- Segmentation des données
- Reconstitution des segments
- Identification des applications
Cette couche accepte les données provenant de plusieurs conversations et les fait descendre vers les
couches inférieures sous forme de blocs faciles à gérer pouvant au final faire l’objet d’un multiplexage
sur le support.
Dans le model TCP/IP, l’unité de données (PDU : protocole Data Uni) associée a cette couche
est appelée segment/datagramme.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 20
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 21
Voici les ports TCP et UDP courants devant être ouverts pour que les services de domaine
Microsoft fonctionnent correctement :
UDP 53 - Services DNS
UDP 67 - DHCP
UDP 123 - Windows Time Service
TCP 135 - Appel de procédure distant (RPC, Remote Procedure Call)
UDP 137 - Résolution de noms NetBIOS
UDP 138 - Service de datagramme NetBIOS
TCP 139 - Service de session NetBIOS
TCP 389 et UDP 389 - Service LDAP
TCP 445 - Protocole SMB (Server Message Blocks)
TCP 1433 - Microsoft SQL sur TCP
3. Couche Internet
La couche réseau doit d’abord fournir un mécanisme pour l’adressage de ces périphériques finaux et
le routage entre les équipements intermédiaires.
Les protocoles suivants s'appliquent au niveau de la couche inter réseau:
Protocole d’adressage et de contrôle de message
IP (Internet Protocol) – IP (version 4 et version 6) assure l'adressage source et l'adressage de
destination ainsi que, conjointement avec les protocoles de routage, le transfert de paquets d'un
réseau à l'autre jusqu'à une destination définie.
ICMP (Internet Control Message Protocol) – ICMP est utilisé pour les tests de réseau et le
dépannage. Il gère les fonctions de diagnostic et de messages d'erreur. Les messages d'écho
ICMP sont utilisés par l'application PING pour tester les équipements distants.
ARP/RARP (Address Resolution Protocol /Reverse Address Resolution Protocol ) : Le
protocole ARP est utilisé pour déterminer l'adresse (MAC) locale d'un poste du réseau lorsque
son adresse IP est connue. Les postes d'extrémité, ainsi que les routeurs, utilisent le protocole
ARP pour déterminer les adresses locales
Le protocole de routage: RIP (Routing Information Protocol), EIGRP (Enhanced Interior
Gateway Routing Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway
Protocol), etc.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 22
Les processus d’accès au réseau s’exécutent à la fois au niveau des logiciels et du matériel. Les
protocoles de cette coche sont mis en œuvre au sein des composants électroniques des adaptateurs
réseau avec lesquels le périphérique se connecte au réseau physique. Par contre les protocoles de couche
supérieure sont surtout mis en œuvre dans les logiciels tels que le système d’exploitation hôte ou des
applications spécifiques.
Parmi ces protocoles nous avons :
- Protocole d’accès multiple avec diffusion : Ethernet
- Protocole PPP (point à point), utiliser sur les lignes Série et T1/E1
- Protocole Non-Broadcast Multi-Access (NBMA) : Relais de trames
Il existe plusieurs outils permettant a un administrateur réseau de collecter les données en vue d’un
diagnostique, de contrôle ou de surveillance du fonctionnement d’un réseau pour prendre de mesure
appropriées en vue d’optimiser le fonctionnement.
Parmi ces outils nous pouvons citer :
Utilitaires TCP/IP : ipconfig, ping, tracert, route print, arp, netstat, nslookup, dig (linux), whois,
tcpdump (linux), etc.
Les fichiers Log et observateur d’événement. Il est possible de consulter les différentes
informations de fichiers log sur chaque system ou chaque équipement réseau. L’emplacement de
fichiers diffère selon le systeme utilise sur l’équipement (Windows, Linux, etc.)
Par exemple :
- sous Windows : Windows: c:\windows\system32\config ou dans les journaux d'événements
Windows avec Event Log
- En Linux: /var/log/
• Jul 1 16:20:49 deb kernel: [ 5.343430] loop: module loaded
• Jul 1 16:20:49 deb kernel: [ 5.673287] kjournald starting. Commit interval 5 seconds
• Jul 1 16:20:49 deb kernel: [ 5.673525] EXT3 FS on sda6, internal journal
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 23
• Jul 1 16:20:49 deb kernel: [ 5.673533] EXT3-fs: mounted filesystem with ordered data mode.
• Jul 1 16:20:49 deb kernel: [ 6.971373] eth0: link up
• Jul 5 17:36:13 deb dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
• Jul 5 17:36:15 deb dhclient: DHCPOFFER from 192.168.137.254
• Jul 5 17:36:15 deb dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
• Jul 5 17:36:15 deb dhclient: DHCPACK from 192.168.137.254
• Jul 5 17:36:18 deb dhclient: bound to 192.168.137.134 -- renewal in 852 seconds.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 24
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 25
Méthodes d’administration
- Les consoles : Les consoles d’administration qui fonctionnent grâce à l’ouverture de port
multiples comme le très dangereux 445. Ces ports ne doivent être ouverts qu’en réseau local.
- Remote Desktop : Prise de contrôle à distance suivis d’une utilisation de console ou ligne de
commande sur le serveur. Toutes les sessions fonctionnent en mode console. Il y a une session
unique par utilisateur ce qui réduit le problème de session non fermée. On est toujours limité à 2
connexions mais la politique est beaucoup plus souple car c’est deux connexions sortantes. Il
n’y a pas de limitation en interne.
Pour rappel, le port est 3389 et la commande pour se connecter directement via un Shell est «
mstsc /v :NomDuHote : /admin»
Rôles et fonctionnalités
L’outil principal pour la gestion des rôles et des fonctionnalités se réalise via le « Server
Manager ou Gestionnaire de serveur » qui reprend beaucoup d’informations sur le système. Il met à
disposition également de nombreux outils qui permettent de réaliser les tâches quotidiennes. La
différence entre les rôles et les fonctionnalités est très relatif. On remarque par exemple le failover
Clustering dans les fonctionnalités. C’est lui qui permet le clustering. Le gestionnaire de serveur
Windows Serveur 2008 prend en charge les rôles Active Directory Certificates Services (AD CS),
Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS), Active
Directory Lightweight Directory Services (AD LDS), Active Directory Rights Management Services
(AD RMS), serveur d’Application, serveur DHCP, serveur DNS, serveur de Fax, Serveur de fichiers,
Network Policy and Access Services, Windows Internal DataBase , serveur d’impression, serveur
Terminal, UDDI Services, serveur web, serveur FTP, serveru SMTP, serveur de Déploiement
Windows et enfin, Windows Sharepoint Services. Bien évidement, par défaut aucun rôle n’est installé.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 26
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 27
L’ordinateur sur lequel est activité le service AD, est appelé contrôleur de domaine. Les
contrôleurs de domaine exécutant Windows Server 2008 peuvent être configurés comme contrôleurs de
domaine en lecture seule. Le premier contrôleur de domaine Windows Server 2008 installé dans une
forêt ou un domaine ne peut être contrôleur de domaine en lecture seule. Lorsque vous installez le
service Serveur DNS sur un tel contrôleur de domaine, celui-ci peut agir comme un serveur DNS en
lecture seule.
- Forêts de domaines : une ou plusieurs arborescences de domaines qui partagent les mêmes
informations d’annuaire. Les noms de domaines de cette forêt peuvent être contigus ou non
contigus dans la hiérarchie des noms DNS.
Structure physique
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 28
Les structures physiques simplifient la communication sur le réseau et définissent les limites physiques
autour des ressources réseau. Les structures physiques qui aident à mapper la structure physique du
réseau sont les suivantes :
- Sous-réseaux : Groupes de réseaux basés sur la même plage d’adresses IP et le même masque
réseau.
- Sites : Un ou plusieurs sous-réseaux. Les sites permettent de configurer l’accès à
l’annuaire et sa réplication.
N.B
- La création du premier contrôleur de domaine crée automatique une forêt et un arbre. Les
serveurs suivants pourront donc rejoindre cette forêt et cet arbre. Ils pourront également créer
d’autres arbres dans cette forêt. Notez que l’administrateur de la racine (du premier contrôleur
de domaine) peut tout faire sur l’ensemble de la forêt.
- Active Directory s'exécute sous le processus LSASS et inclut les moteurs d'authentification et de
réplication pour les contrôleurs de domaine. Les contrôleurs de domaine, les ordinateurs clients
et les serveurs d'applications requièrent une connectivité réseau à Active Directory sur des ports
spécifiques en plus d'une plage de ports TCP éphémères entre 1024 et 65535, à moins qu'un
protocole de tunneling ne soit utilisé pour encapsuler ce trafic.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 29
Pour vérifier qu’un contrôleur de domaine est installé correctement, vous pouvez :
• Consulter les erreurs du journal d’événements du service d’annuaire ;
• Vérifier que le dossier Sysvol est accessible aux clients ;
• Vérifier que la résolution de noms fonctionne avec DNS ;
• Vérifier la réplication des modifications sur Active Directory.
Les fonctions d’un domaine sont limitées et contrôlées par le niveau fonctionnel du domaine. Plusieurs
niveaux sont définis :
- Mode mixte Windows 2000 Prend en charge les contrôleurs de domaine Windows NT 4.0 et
les versions ultérieures de Windows Server. Cependant, il est impossible d’exploiter les
contrôleurs de domaine Windows NT 4.0 avec Windows Server 2008 et les contrôleurs de
domaine Windows Server 2008 avec les serveurs Windows NT 4.0.
- Mode natif Windows 2000 Prend en charge les contrôleurs de domaine Windows 2000 et
ultérieur.
- Windows Server 2003 Prend en charge les contrôleurs de domaine Windows Server 2003
et Windows Server 2008.
- Windows Server 2008 Prend en charge les contrôleurs de domaine Windows Server 2008.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 30
Les outils d’administration Active Directory 9adminnistration graphique) sont des composants
logiciels enfichables de la console MMC (Microsoft Management Console). Les principaux outils de
gestion sont les suivants :
- Utilisateurs et ordinateurs Active Directory Pour gérer les utilisateurs, groupes,
ordinateurs et unités d’organisation.
- Domaines et approbations Active Directory Pour exploiter les domaines, les arborescences de
domaines et les forêts de domaines.
- Sites et services Active Directory Pour gérer les sites et les sous-réseaux
- Les user : représentent les comptes des utilisateurs mais aussi des services tiers (Exemple :
BackupExec). Il est conseillé de réaliser un compte par utilisateur, un compte par service tiers,
deux comptes pour les administrateurs (Un simple et un admin). Notez qu’il y a possibilité de
créer des requêtes sur les utilisateurs. Pour ce faire, il faut aller dans Saved Queries - News
Queries.
Novons deux types de comptes utilisateurs sont définis dans Windows Server 2008 :
• Comptes utilisateurs de domaine : Comptes utilisateurs définis dans Active Directory.
Ils font appel à l’authentification unique pour accéder aux ressources de tout le domaine.
Ces comptes se créent via l’outil Utilisateurs et ordinateurs Active Directory.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 31
• Comptes utilisateurs locaux : Comptes utilisateurs définis sur un ordinateur local. Ils
n’ont accès qu’à l’ordinateur local et doivent s’authentifier pour accéder aux
ressources du réseau. Ils se créent à l’aide de l’utilitaire Utilisateurs et groupes locaux.
Notons que Le profil est l’ensemble d'informations visibles ou masquées définissant
l'environnement de travail d'un utilisateur, par exemple son bureau, ses variables
d'environnement (path, set,), les clefs de registres, etc. Ainsi, pour le compte du domaine nous
pouvons définir le Profil errant (ou itinérant) qui est stocké sur le serveur et peut être retrouvée
sur n’importe quel poste et le profil local qui est stocké uniquement sur le poste utilisateur ou en
local.
- InetOrgPerson : identique a un user classique de Windows et présente les mêmes options mais
ce type d’objet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc. Il
est donc plus que conseillé de créer ce type de compte dans les réseaux hétérogènes.
- Les Bultin : contiennent tous les groupes de domaines locaux pour attribuer des droits aux
utilisateurs ayant un rôle administratif. Les plus utilisés : Entreprise admins ( Droit sur
l’ensemble de la forêt ), Schema admins ( Responsable de l’AD ), Acompte operators ( Création
des groupes, users), Server operators ( Opération de maintenance mais aucun accès à l’AD)
Configuration par défaut dans une forêt.
- Groupe : Les comptes utilisateurs sont conçus pour les individus. Les comptes de groupes sont
destinés à simplifier l’administration de plusieurs utilisateurs. S’il est possible d’ouvrir une
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 32
session avec des comptes utilisateurs, ce n’est pas le cas avec des comptes de groupes.
Généralement, ces derniers sont simplement nommés groupes.
L’administrateur peut créer de groupes pour ainsi déployer les mêmes stratégies de sécurité et
accorder l’accès a plusieurs utilisateurs au même moment.
Ces groupes crées sont caractérisés par le type et l’étendue :
Types de groupe
• Le type distribution qui n’est important que dans les organisations qui possède Exchange (pour
de groupe distribution de message).
• Le type Security qui sert à appliquer des permissions.
Etendue de groupe : Domain local (permission), Global (réunir des users), universal (pour
plusieurs arbres). Microsoft recommande pour des raisons de sécurité de toujours mettre des
accomptes dans un Global et ensuite d’appliquer celui-ci dans un domaine local. Vous ajoutez
de cette manière une couche de sécurité.
L’universal est utilisé pour les grandes forêts ou la gestion de la sécurité doit être plus poussée.
N.B Il existe aussi de groupe prédéfinis, Groupe utilisateur, groupe administrateur, etc.
Extrait du groupe administrateur
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 33
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 34
Comme son nom l’indique ceci permet de déléguer des rôles dans l’active directory. Une
délégation peut se faire sur une OU, un type d’objet, une tâche, une propriété d’un objet. Pour une
question de sécurité, les OU doivent être bien structuré et les personnes qui auront des rôles déléguer ne
devront jamais avoir la possibilité de s’en ajouter des nouveaux.
Contrôle d’accès
Active Directory est un service orienté objet. Utilisateurs, ordinateurs,
groupes, ressources partagées et beaucoup d’autres entités sont définis en tant qu’objets. Des contrôles
d’accès leur sont appliqués à l’aide de descripteurs de sécurité dont voici les fonctions :
- Établir la liste des utilisateurs et groupes autorisés à accéder aux objets ;
- Spécifier les autorisations (permissions) assignées aux groupes et aux utilisateurs ;
- Réaliser le suivi des événements à auditer pour les objets ;
- Définir la propriété des objets.
Les entrées individuelles du descripteur de sécurité sont nommées entrées de contrôle d’accès
(ACE, Access Control Entries).
Une entrée de contrôle d'accès (ACE) est un élément dans une liste de contrôle d'accès (ACL).
Une ACL peut avoir zéro ou plusieurs ACE.
Les objets Active Directory peuvent hériter des ACE de leurs objets parents, ce qui signifie que
les autorisations d’un objet parent peuvent s’appliquer à un objet enfant. Par exemple, tous les membres
du groupe Admins du domaine héritent des autorisations accordées à ce groupe.
Lorsque vous travaillez avec des ACE, n’oubliez pas les points suivants :
- Les ACE sont créées avec l’héritage activé par défaut ;
- L’héritage prend effet dès que l’ACE est écrite ;
- Toutes les ACE contiennent des informations indiquant si l’autorisation est héritée ou assignée
explicitement à l’objet.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 35
- Les permissions :
L’utilisateur reçoit une série de clé (token) lors de son identification sur le réseau. Ses clés sont
représentées par des SID ( System Identification). Exemple : User test : SID …..- 1307, global compta :
SID …..-1334
Quand on demande une ressource, il y a vérification via les ACL (une liste d’accès de contrôle) où sont
vérifiées les permissions (grant).
Notez qu’un deny explicite est toujours le plus restrictif concernant les ACL.
La gestion des permissions : Il y a deux possibilités de gérer les permissions sur (un fichier ou un
dossier), soit via le partage (droit de partage), soit via les droits NTFS (droit pour système de fichiers)
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 36
- Avec le droit de partage l’on autorise ou interdit certains utilisateurs lorsqu’ils se connectent au
dossier partagé via le chemin réseau
- Avec le droit NTFS : les droits s’appliquent en local, on autorise ou interdit certains utilisateurs
lorsqu’ils sont logués sur la machine.
Ceux-ci sont complémentaires et la meilleure représentation est sans doute une double porte.
Lors de la demande d’accès à une permission c’est toujours le plus restrictif qui l’emporte.
Même si le sharing (partage) vous laisse passer en écriture si le NTFS ne l’autorise pas vous serez
bloqué et inversement.
N.B
- Au lieu de laisser Everyone, il vaut mieux mettre Authenticated Users ce qui renforce un peu la
sécurité.
- On peut également ajouter des permissions spéciales via l’onglet advanced. On peut par
exemple empêcher de lire les propriétés des fichiers et répertoires. Les options sont vastes et
permettent une configuration très adaptées.
- La notion d’héritage
Par défaut, l’héritage sur les dossiers est activé. Un nouveau dossier héritera donc des
permissions de son parent. On peut couper cet héritage en vidant les permissions ou en recopiant les
permissions dans l’onglet advanced du NTFS.
c. Gestion de Quota
Il y a deux manières pour limiter l’espace disque consommée par les utilisateurs.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 37
Les quotas
Les quotas s’activent directement sur la partition. C’est une configuration générale pour
l’ensemble de la partition mais on peut néanmoins spécifier une taille plus grande pour certains
utilisateurs. On a également une partie qui peut servie de « reporting » sur l’espace déjà consommé.
Si vous décidez de modifier les quotas, les nouvelles modifications ne seront effectivement que sur les
nouveaux utilisateurs. Il faudra repasser manuellement sur les utilisateurs déjà existants.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 38
c. Stratégie d’audit
L’audit permet de suivre les activités des utilisateurs et du système et de sauvegarder les
évènements générés dans des fichiers de logs afin de les exploiter. Windows Server 2008 intègre la
nouvelle version du journal d’évènement : « Windows Eventing 6.0 ». Cette dernière version permet
d’enregistrer les évènements au format XML offrant une évolutivité, une accessibilité et des options
d'administration accrues. De plus, on peut désormais attribuer une tâche à un évènement comme par
exemple, l’envoi de mail, démarrer un programme…
Une stratégie d’audit peut être mise en place pour différentes raisons :
Détecter les tentatives d’intrusions sur un réseau
Résoudre des problèmes de droits et de sécurité
Ainsi un administrateur réseau peut : Auditer les événements de connexion aux comptes, Auditer la
gestion des comptes, Auditer l'accès au service d'annuaire, Auditer les événements de connexion,
Auditer l'accès aux objets, Auditer les modifications de stratégie, Auditer l'utilisation des privilèges,
Auditer le suivi des processus, Auditer les événements système .
Sur chaque élément l’administrateur peut choisir, auditer les succès, les échecs ou les 2. Par défaut, le
modèle de sécurité « security.inf » est appliqué. Ce modèle de sécurité comprend des paramètres par
défaut permettant d’auditer les évènements de connexion aux comptes (échec et succès)et les
évènements de connexion réussis.
Si nous voulons auditer d’autres évènements, il faut donc les paramétrer
Par exemple, en auditant les échecs sur les ouvertures de session, nous pouvons déterminer si un pirate
informatique tente de s’introduire sur notre réseau en utilisant des méthodes de brute force.
Dans ce cas, nous serons amené à verrouiller le compte si la personne a réussi à se loguer ou contacter le
propriétaire du compte pour approfondir ce problème.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 39
Un autre exemple est d’auditer l’accès aux objets pour définir quels utilisateurs accèdent aux ressources
et de restreindre l’accès aux personnes n’y ayant pas droit.
Les différents rôles de serveur sont ajoutés au fur et à mesure selon le besoin en utilisant le
gestionnaire de serveur et l’assistant de configuration
Dans la suite, lors de travaux pratiques nous ajouterons le Serveur DHCP et Serveur de fichiers,
Serveur Web, serveur FTP, serveur SMTP, serveur de flux media, etc. ; en plus de l’AD et le DNS.
III.A ADRESSAGE IP
Une adresse IP est une adresse logique, permettant d’identifier un réseau / un hôte sur le réseau
internet. L’adressage IP est hiérarchique.
Attribution d’adresses IP
Toute entreprise ou administration qui souhaite que les hôtes de son réseau soient accessibles
depuis Internet doit se voir attribuer un bloc d’adresses publiques par (ICANN, RIR ou un ISP), selon le
cas. L’utilisation d’adresses publiques est réglementée, et l’attribution d’un bloc d’adresses à une
entreprise ou à une administration est obligatoire. C’est le cas pour les adresses IPv4, IPv6 et
multidiffusion.
La gestion et l’attribution des noms, numéros de ports et adresses IP par ICANN (Internet Corporation
for Assigned Names and Numbers) et assurer par les SO (Supporting Organizations) :
La gestion des noms de domaines : DNSO (Domain Name SO)
La gestion de l’adressage logique : ASO (Address SO)
La gestion des protocoles réseaux : PSO (Protocol SO)
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 40
En fonction du niveau de service requis et disponible, les clients utilisent un FAI de niveau
différent. Ces opérateurs (FAI) ne sont pas égaux entre eux. Le classement se fait en fonction de l'achat
de transit qu'ils effectuent. Si un opérateur est suffisamment grand et a une envergure internationale, il
n'achète plus du tout de transit : on parle de Tier-1 ou Fournisseur de niveau 1. Tous les autres
opérateurs, tout en ayant des clients et en échangeant avec leurs pairs, sont obligés d'acheter du transit
pour combler les limites de leur réseau. Par exemple, un opérateur purement européen va devoir acheter
du transit à un Tier-1 pour permettre à ses clients d'accéder au Japon ou au Brésil.
III.A.1 IP V.4
a. Quelques caractéristiques de base du protocole IPv4 :
- Sans connexion : Aucune connexion n’est établie avant l’envoi de paquets de données.
- Au mieux (peu fiable) : Aucune surcharge n’est utilisée pour garantir la transmission des
paquets. Comme avec toute isolation de couche fournie par des modèles de réseau, laisser la
décision de la fiabilité à la couche transport permet au protocole IP d’être plus adaptable et plus
pratique pour différents types de communications
- Indépendance des médias : Fonctionne indépendamment du média transportant les données. Il
incombe à la couche accès au réseau (liaison de données OSI) de prendre un paquet IP et de le
préparer pour la transmission via le média choisi. Ainsi, le transport de paquets IP n’est pas
limité à un média donné.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 41
D 224-239 Multidiffusion
E 240-255 expérimentation
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 42
peer to peer de petite taille ou pour un hôte qui ne peut pas obtenir d’adresse IP
automatiquement auprès d’un serveur DHCP (Dynamic Host Configuration Protocol). Les
transmissions basées sur des adresses IPv4 locales-liens ne conviennent que dans le cadre d’une
communication avec d’autres périphériques connectés au même réseau,
- Adresses TEST-NET : La plage d’adresses 192.0.2.0-192.0.2.255 (192.0.2.0 /24) est réservée à
des activités d’enseignement et d’apprentissage. Ces adresses peuvent être utilisées dans la
documentation et dans des exemples de réseau. Contrairement aux adresses expérimentales, les
périphériques réseau accepteront ces adresses dans leur configuration. Ces adresses apparaissent
souvent avec des noms de domaine exemple.com ou exemple.net dans les requêtes pour
commentaires et la documentation de fournisseur et de protocole. Les adresses de cette plage ne
doivent pas être visibles sur Internet.
Adresse privée : sont des adresses à utiliser dans un LAN et de ce fait elles ne sont pas routable sur
internet.
A : 10.0.0.0 – 10.255.255.255
B : 172.16.0.0 -172.31.254.255
C: 192.168.0.0 – 192.168.254.255
Multidiffusion : processus consistant à envoyer un paquet d’un hôte à un groupe d’hôtes en
particulier.
La transmission multidiffusion permet de conserver la bande passante du réseau IPv4. Elle
réduit le volume de trafic en permettant à un hôte d’envoyer un seul paquet à un groupe d’hôtes désigné.
Pour atteindre plusieurs hôtes de destination à l’aide d’une transmission monodiffusion, un hôte source
a besoin d’envoyer un paquet qu’il adresse à chaque hôte. Dans une transmission multidiffusion, l’hôte
source peut envoyer un seul paquet, qui parviendra à des milliers d’hôtes de destination.
Quelques exemples de transmission multidiffusion :
- Distribution de contenu vidéo et audio
- Échange d’informations de routage entre des protocoles de routage
- Distribution de logiciels
- Échange de news
On appelle clients multidiffusion, les hôtes qui souhaitent recevoir des données multidiffusion
spécifiques. Ces clients font appel à des services activés par un programme client pour s’abonner au
groupe de multidiffusion.
Adresse de multidiffusion :
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 43
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 44
réseau local. C’est la raison pour laquelle un réseau IPv4 est également appelé « domaine de
diffusion ». Les routeurs forment les limites d’un domaine de diffusion.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 45
Un adressage hiérarchique est nécessaire pour pouvoir diviser des réseaux. Une adresse
hiérarchique identifie chaque hôte de manière unique. Elle comporte également des niveaux facilitant
l’acheminement de paquets entre des interréseaux, ce qui permet la division d’un réseau en fonction de
ces niveaux.
Méthode de subdivision d’adresses réseaux :
Le sous adressage consiste à utiliser une partie de « la partie station » pour l'incorporer à « la
partie réseau » et ainsi agrandir celle-ci. Le nombre de sous-réseau sera plus important, mais le nombre
de station par sous réseau le sera moins.
- Méthode de subdivision avec masque de sous réseau fixe
Appeler aussi, méthode par classe, dans cette subdivision en sous réseau, on emprunte quelque
bit à la partie non affectée au réseau (la partie hôte) afin d’avoir le nombre de sous réseaux dont on a
besoin ou le nombre d’adresses d’un sous réseau.
Pour cela nous aurons à faire un plan d’adressage contentant les éléments suivant:
• Nombre de sous réseau à créer:
• Plages d’adresses pour chaque sous réseau
• L’adresse réseau et de broadcast
Le nombre de sous-réseaux dépend du nombre de bits que l'on attribue en plus au réseau. Le nombre de
sous réseaux est donc :
Nombre de bit Nombre de sous réseaux
1 2 (0)
2 4 (2)
3 8 (6)
4 16 (14)
5 32 (30 )
6 64 ( 62)
7 128 (126 )
8 256 (254 )
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 46
réseau et l’adresse de Broadcast. Le masque de sous réseau pour chacun de sous réseau sera
255.255.255.240.
Le plan d’adressage de sous réseau se présentera de cette façon
Agréation de route
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 47
Le regroupement de route, également connu sous le nom d’agrégation de routes, est le processus
de notification d’un ensemble contigu d’adresses par une seule adresse avec un masque de sous-réseau
plus court et moins spécifique. Ce type de route est connu sous le nom de route de super-réseau. Un
super-réseau résume plusieurs adresses réseau ou sous-réseau, à l’aide d’un masque plus petit que celui
correspondant à la classe.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 48
La fonction NAT statique utilise un mappage biunivoque des adresses locales et globales ; ces
mappages restent constants. Cette fonction s’avère particulièrement utile pour les serveurs Web
ou les hôtes qui doivent disposer d’une adresse permanente, accessible depuis Internet.
Avantages de la fonction NAT
Ménage le modèle d’adressage enregistré légalement.
Augmente la souplesse des connexions vers le réseau public.
Assure la cohérence des schémas d’adressage du réseau interne.
Assure la sécurité du réseau.
Inconvénients de la fonction NAT
Les performances sont affectées.
Les fonctionnalités de bout en bout sont affectées.
La traçabilité IP de bout en bout est perdue.
La transmission tunnel est plus compliquée.
L’établissement de connexions TCP peut être perturbé.
PAT ou Surcharge NAT
La surcharge NAT (parfois appelée traduction d’adresses de port ou PAT) mappe plusieurs
adresses IP privées à une seule adresse IP publique ou à quelques adresses. C’est ce que font la plupart
des routeurs personnels.
Grâce à la surcharge NAT, plusieurs adresses peuvent être mappées à une ou quelques adresses car
chaque adresse privée est également suivie par un numéro de port. Lorsqu’un client ouvre une session
TCP/IP, le routeur NAT attribue un numéro de port à son adresse source. La surcharge NAT s’assure
que les clients utilisent un numéro de port TCP différent pour chaque session client avec un serveur sur
Internet. Lorsqu’une réponse revient du serveur, le numéro de port source, qui devient le numéro de port
de destination lors du retour, détermine le client auquel le routeur achemine les paquets. Il confirme
également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.
NAT vs Surcharge NAT
NAT ne traduit en général que des adresses IP sur une base de 1 pour 1 entre des adresses IP
publiques et des adresses IP privées. La surcharge NAT modifie à la fois l’adresse IP privée et le
numéro de port de l’expéditeur. La surcharge NAT choisit les numéros de port vus par les hôtes sur le
réseau public.
NAT achemine les paquets entrants vers leur destination interne en faisant référence à l’adresse
IP source entrante donnée par l’hôte sur le réseau public. Avec la surcharge NAT, il n’y a généralement
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 49
qu’une ou que très peu d’adresses IP exposées au public. Les paquets entrants provenant du réseau
public sont acheminés vers leur destination sur le réseau privé en faisant référence à une table dans le
périphérique de surcharge NAT qui suit les associations entre ports publics et privés. On appelle cela le
suivi de connexions.
IPv6 n’est pas seulement un nouveau protocole de couche 3, mais toute une suite de protocoles.
De nouveaux protocoles, sur différentes couches de la pile, ont également été développés pour prendre
en charge IPv6. Il s’agit du nouveau protocole de messagerie ICMPv6 et de nouveaux protocoles de
routage. En raison de la taille accrue de l’en-tête d’iPv6, l’infrastructure du réseau sous-jacente est
également touchée.
- Un plus grand espace d'adressage ; les adresses IPv6 sont codées sur 128 bits (1 milliard de réseaux).
- Un entête simplifié et efficace pour améliorer le traitement des paquets: l'entête IPv6 est de taille fixe.
Alors que les options d'entête IPv4 étaient examinées par tous les noeuds intermédiaires d'une
communication, les extensions IPv6 ne seront gérées que par les équipements terminaux. Les
équipements intermédiaires sont donc déchargés d'une partie des traitements. La gestion des paquets
erronés est déléguée aux équipements d'extrémité et aux couches supérieures telles TCP ou UDP.
- le principe des numéros de réseaux et des numéros d'hôtes est maintenu.
- IPv6 est conçu pour interopérer avec les systèmes IPv4 (transition douce prévue sur 20 ans). L'adresse
IPv6 peut contenir une adresse IPv4 : on place les 32 bits de IPv4 dans les bits de poids faibles et on
ajoute un préfixe de 96 bits ( 80 bits à 0 suivis de 16 bits à 0 ou 1)
- IPv6 utilise un adressage hiérarchique (identification des différents réseaux de chaque niveau) ce qui
permet un routage plus efficace.
- IPv6 est prévu pour les systèmes mobiles : auto-configuration, notion de voisinage (neighbor).
- IPv6 permet l'authentification et le chiffrement dans l'en-tête des paquets, ce qui permet de sécuriser
les échanges. En effet IP v.6 intègre IPSec (protocole de création de tunnel IP avec chiffrement), qui
garantit un contexte sécurisé par défaut.
- IPv6 intègre la qualité de service : introduction de flux étiquetés (avec des priorités)
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 50
- IPv6 prend mieux en charge le trafic en temps réel (garantie sur le délai maximal de transmission de
datagrammes sur le réseau).
Une prise en charge améliorée des extensions et des options pour optimiser l’évolutivité et la durée de
vie.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 51
::a.b.c.d/96
Exemple :
::132.64.16.25
L'adresse IPv4 mappée
Un hôte IPv6 étant capable de communiquer aussi bien avec un hôte IPv4 qu'avec un hôte
IPv6, il utilise des adresses IPv4 mappées pour communiquer avec les autres machines IPv4
et utilise des adresses IPv6 normale pour communiquer avec les autres machines IPv6. Ces
adresses sont de la forme ::ffff:a.b.c.d .
Exemple :
:: ffff : 132.64.16.25
L'adresse de bouclage qui correspond à 127.0.0.1 en IPv4
0000:0000:0000:0000:0000:0000:0000:0001
L'adresse de bouclage ou localhost se note en abrégé :
::1
L'adresse indéterminée qui correspond à 0.0.0.0 en IPv4.
Elle caractérise l'absence d'adresse. Elle est utilisée lors de certaines phases d'initialisation.
C'est une adresse transitoire. Elle se note 0:0:0:0:0:0:0:0 ou ::
Le type unicast, est le plus simple. Une adresse de ce type désigne une interface unique. Un
paquet envoyé à une telle adresse sera donc remis à l'interface ainsi identifiée.
Une adresse de type multicast désigne un groupe d'interfaces, qui, en général, appartiennent à
des équipements différents pouvant être situés n'importe où dans l'Internet. Lorsqu'un paquet a pour
destination une adresse de type multicast, il est acheminé par le réseau à toutes les interfaces membres
de ce groupe. Il faut noter qu'il n'y a plus d'adresses de type broadcast comme sous IPv4 ; elles sont
remplacées par des adresses de type multicast.
Le dernier type, anycast, est nouveau en IPv6. Les adresses anycast ont deux points communs
avec les adresses unicast : elles sont allouées dans le même espace d'adressage et ont les mêmes
formats. Comme dans le cas du multicast, une adresse de type anycast désigne un groupe d'interfaces, la
différence étant que lorsqu'un paquet a pour destination une telle adresse, il est routé à un seul des
éléments du groupe et non pas à tous. C'est, par exemple, le plus proche au sens de la métrique des
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 52
protocoles de routage. Ce type d'adresse est encore en cours d'expérimentation et est réservé pour le
moment aux routeurs. La notion d'adresse anycast est détaillée dans la RFC 2373. Ce type d'adresse
servira pour des applications où un nœud d'un réseau cherche à communiquer avec un des routeurs d'un
sous-réseau distant. Par exemple quand un hôte mobile doit communiquer avec un des agents mobiles
sur son propre sous-réseau.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 53
Le domaine de broadcast est déterminé par l'ensemble des matériels d'un réseau ou sous-réseau
atteignable par une trame broadcast émise dans le même réseau ou sous-réseau.
Un réseau peut être divisé en unités plus petites appelées segments, pour réduire le domaine de
broadcast. Les commutateurs et des routeurs ont de facultés de segmenter les réseaux en différentes
segments ou sous réseaux. Cette segmentation peut se faire dune façon logique ou d’une façon
physique. Comme chacun des 2 dispositifs opère à un niveau différent du modèle OSI, chacun réalise un
type de segmentation différent.
Une fois la segmentation faite, le réseau doit être conçu de façon contigüe avec un adressage
hiérarchique.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 54
La norme IEEE 802.1Q permet une segmentation dynamique des sous-réseaux. C'est une
solution attrayante du point de vue gestion de parc mais incomplète du point de vue contrôle d'accès. Il
est possible d'exploiter les informations des trames IEEE 802.1Q en les associant à un adressage réseau
de niveau 3. On parle alors de routage inter-vlan.
Avant l'apparition des technologies de réseaux virtuels, l'architecture logique du réseau était fortement
dépendante de l'architecture physique. Les VLANs permettent de rassemblé dans un même réseau de
niveau 2 du modèle OSI (généralement Ethernet) l'ensemble des matériels ayant une corrélation
fonctionnelle (même service, même fonctionnalité, etc), ou ayant une nécessité de communiquer entre
eux, et ceci, indépendamment du placement physique des matériels.
Par conséquent, les VLANs permettant de réalisé une segmentation logique d'un support physique en
plusieurs réseaux de niveau 2, nous limitons la diffusion des broadcasts. Par exemple, si nous utilisons
les protocoles Ethernet et IP sur notre réseau, un VLAN constituera un réseau Ethernet et sera
nécessairement un sous-réseau IP.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 55
le trafic qui ne provient pas d’un VLAN (trafic non étiqueté ou « untagged traffic »). Le port
d’agrégation 802.1Q place le trafic non étiqueté sur le VLAN natif.
En ce qui nous concerne, un VLAN natif sert d’identificateur commun aux extrémités d’une liaison
agrégée. Il est recommandé d’utiliser un autre VLAN que le VLAN 1 comme VLAN natif.
VLAN de gestion : Un VLAN de gestion est un réseau local virtuel que vous configurez pour accéder
aux fonctionnalités de gestion d’un commutateur. C’est le VLAN 1 qui fait office de VLAN de gestion
si vous ne définissez pas explicitement un VLAN distinct pour remplir cette fonction. Vous attribuez au
VLAN de gestion une adresse IP et un masque de sous-réseau. Un commutateur peut être géré par le
biais de HTTP, de Telnet, de SSH ou de SNMP.
Les routeurs opèrent au niveau 3 du modèle de référence OSI. Ils ont beaucoup plus de
fonctions logicielles qu’un commutateur. En fonctionnant à un niveau plus élevé qu’un commutateur, un
routeur distingue les différents protocoles de la couche réseau : IP, IPX, AppleTalk, etc. Cette
connaissance permet au routeur de prendre des décisions plus sophistiquées de propagation.
Comme un commutateur, un routeur fournit aux utilisateurs une communication transparente entre des
segments individuels ; A la différence d’un commutateur, un routeur détermine les limites logiques
entre des groupes de segments de réseaux.
Un routeur segmente des domaines de diffusion. La segmentation au niveau 3 réduit le trafic de
diffusion en divisant le réseau en sous-réseaux indépendants.
Un routeur fournit un service de contrôle d’accès parce qu’il ne transmet que le trafic destiné à le
traverser. Pour accomplir ces tâches, un routeur doit réaliser 2 fonctions de base :
1. Créer et maintenir une table de routage pour chaque protocole de routage. Ces tables sont mises à jour
dynamiquement grâce aux protocoles de routage.
4La segmentation des réseaux locaux
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 56
2. Identifier le protocole contenu dans chaque paquet, extraire l’adresse de destination réseau et prendre
la décision de propagation en fonction des données de la table de routage.
Les fonctionnalités étendues d’un routeur lui permettent de choisir le meilleur chemin à partir de plus
d’éléments qu’une simple adresse MAC : comptage des « sauts », vitesse de transmission, coût, délais et
conditions de trafic.
Ces améliorations conduisent à une meilleure sécurité, une meilleure utilisation de la bande passante et
plus de contrôle sur les opérations réseau. Cependant, les temps de traitement supplémentaires peuvent
réduire les performances comparativement à un simple commutateur.
Routage InterVlan
Le routage LAN utilise généralement des routeurs avec plusieurs interfaces physiques. Chaque interface
doit être connectée à un réseau distinct et configurée pour un sous-réseau différent.
Le routage traditionnel entre VLAN exige plusieurs interfaces physiques sur le routeur et le
commutateur, car Chaque interface de routeur peut alors accepter le trafic du VLAN associé à
l’interface de commutateur à laquelle elle est connectée, et le trafic peut être acheminé vers les autres
VLAN connectés aux autres interfaces. Cependant, toutes les configurations de routage entre VLAN ne
nécessitent pas plusieurs interfaces physiques. Certains logiciels de routeur permettent de configurer des
interfaces de routeur comme liaisons agrégées, créant ainsi de nouvelles possibilités pour le routage
entre VLAN.
L’interface de routeur est configurée pour fonctionner comme liaison agrégée et est connectée à un port
de commutateur configuré en mode d’agrégation. Le routeur effectue le routage entre VLAN en
acceptant le trafic étiqueté VLAN sur l’interface agrégée provenant du commutateur adjacent et en
effectuant le routage en interne entre les VLAN à l’aide de sous-interfaces. Le routeur transfère alors le
trafic acheminé (étiqueté VLAN pour le VLAN de destination) depuis la même interface physique ; on
parle de « Router-on-a-stick »
Les sous-interfaces sont des interfaces virtuelles multiples, associées à une interface physique. Ces sous-
interfaces sont configurées dans le logiciel sur un routeur configuré de manière indépendante avec une
adresse IP et une affectation VLAN pour fonctionner sur un VLAN spécifique. Les sous-interfaces sont
configurées pour différents sous-réseaux correspondant à leur affectation VLAN afin de faciliter le
routage logique avant que les trames de données soient étiquetées VLAN et renvoyées depuis l’interface
physique. Nous aborderons plus en détail les interfaces et sous-interfaces dans la rubrique suivante.
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 57
Les sous-interfaces permettent à un routeur d’évoluer pour prendre en charge davantage de VLAN que
ne l’autorisent les interfaces physiques. Le routage entre VLAN dans des environnements étendus
comportant de nombreux VLAN peut généralement être mieux pris en charge en utilisant une seule
interface physique avec de nombreuses sous-interfaces.
En l’absence de conflit de bande passante sur des interfaces physiques séparées, les interfaces physiques
offrent de meilleures performances que lors de l’utilisation de sous-interfaces. Le trafic de chaque
VLAN connecté a accès à l’intégralité de la bande passante de l’interface de routeur physique connectée
à ce VLAN pour le routage entre VLAN.
Lorsque des sous-interfaces sont utilisées pour le routage entre VLAN, le trafic routé rivalise pour la
bande passante sur l’interface physique unique. Sur un réseau chargé, ceci peut entraîner un goulot
d’étranglement dans la communication. Pour équilibrer la charge de trafic sur une interface physique,
des sous-interfaces sont configurées sur plusieurs interfaces physiques, ce qui réduit les conflits entre les
trafics VLAN.
Ports d’accès et ports agrégés :
La connexion d’interfaces physiques pour le routage entre VLAN exige que les ports de commutateur
soient configurés comme ports d’accès.
Les sous-interfaces exigent que le port de commutateur soit configuré comme port agrégé pour pouvoir
accepter le trafic étiqueté VLAN sur la liaison agrégée.
Et cette technique offre un cout bas du routeur, et réduire la complexité au niveau de la gestion (moins
de câble, mais une configuration logicielle plus complexe, qui peut être difficile à corriger)
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
P a g e | 58
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA