Travaux Pratique

Page |1
EXERCICES DE RESEAUX II
Partie I :
A. Observez l’état de différents services avec la console de gestion de service Windows et le
gestionnaire de taches Windows
1. Quels sont les services réseaux (standard ou propriétaire) et services système avez-vous sur votre
ordinateur?
2. Quelles sont les taches pouvez vous exécuter sur chaque service de votre système ?
3. Quelles informations contenues dans les fichiers ci-dessous :
- c: \windows\system\system32\drivers\etc\hosts
- c: \windows\system\system32\drivers\etc\Lmhost
4. Lorsque le fichier hosts, par exemple, est modifié par ajout d’une information, quel effet cela
produire sur le fonctionnement du réseau ?
B. Un utilisateur, se trouvant a Lubumbashi, connecté au réseau internet n’arrive pas à accéder au site
de l’entreprise (www.briks.org) hébergé en France et pourtant les autres internautes accèdent. Pouvez-
vous analyser selon le modèle TCP/IP les problèmes en donnant aussi de pistes de solution à chaque
problème éventuel ?
C. Observation du trafic réseau avec Wireshark
Taches à faire
- Lancer Wireshark, accéder sur la page web www.mediacongo.net, lancer un ping vers
www.google.com.
- Partager un dossier.
- Arrêter la capture et observer les résultats puis répondre aux questions ci-dessous :
1. Quels sont les services utilises dans ce réseau ?
2. Quels protocoles associés a chaque service ?
3. Quels sont les ports qui sont ouverts ?
4. Quels sont les types de trafic destine a votre ordinateur ?
5. Quelles sont les informations associées à la couche accès au réseau TCP/IP (par rapport a
exécution de Ping)
6. Quelles sont les sources et les destinations de trafics capturés ?
7. Y- t –il de trafic de diffusion ? ou de multidiffusion ? si oui pour quel service ?
8. Quels sont les recommandations possibles pour restreindre le domaine de diffusion, le trafic
sortant du réseau, etc. ?
Cours de Réseaux II, G2 Info Dispensé par Ir. Assistant Achille NTUMBA
Page |2
D. Quelles sont les informations contenues dans le log ou l’observateur d’événement sur votre système?
E. Utiliser les utilitaires TCP pour diagnostiquer le fonctionnement du réseau (ping, arp, netstat, tracert,
route print, nslookup, dig, whois, ipconfig, etc.).
F. Quelles informations similaires obtenez-vous avec la capture de Wirshark et les utilitaires TCP/IP
Partie 2 :
L’entreprise minière Koko Mining dispose de 25 ordinateurs de bureau, 10 ordinateurs portable,

15 téléphones IP, 10 P web camera et 3 imprimantes réseau. Koko Mining a une structure
organisationnelle avec 5 départements (L’Administration générale, Finance, Technique, Informatique et
Sécurité) regroupant ses agents. Par ailleurs l’entreprise reçoit de partenaires dans son enceinte qui
auront besoin de se connecter directement sur internet.
L’entreprise désire constituer un réseau hébergeant quelques services selon ses besoins exprimés dans
le cahier de charge ci –dessous et assurer une connexion internet à travers un FAI :
1. Restreindre le domaine de diffusion
2. Utiliser un adressage hiérarchique à partir de l’adresse réseau 192.168. 3.0 /24
3. La connexion Internet et le paramètres IP pour l’internet attribués par le FAI sont : adresse
réseau 212.165.130.8/30, le DNS 8.8.8.8 et 180.13.14.120
4. Les PC clients doivent avoir automatiquement leurs paramètres IP.
5. Pour faciliter l’administration du serveur et la maintenance de poste utilisateur un accès a
distance doit être autorisé pour le compte administrateur
6. Centraliser la gestion des de ressource du réseau
7. Chaque utilisateur dispose d’un espace de stockage d’une taille maximale de 5 Go.
8. La gestion de quota sera utilisée, et un message d’alerte sera envoyé en cas de dépassement
du quota
9. Un espace de travail commun pour tous les utilisateurs sera mis en place dans c:\ partage
commun (commun le nom du dossier de partage) et un espace réserve uniquement a chaque
département sur c:\ Partage\XXX ( XXX est le nom du dossier de chaque département).
10. L’espace commun et propre à chaque département sera monté aux postes utilisateurs lors du
démarrage et l’espace
Page |3
11. Les utilisateurs de d’administration générale doivent être à mesure d’envoyer les taches
d’impression à n’importe quelle imprimante du réseau ; ceux de finances ont leur
imprimante et les autres uniquement à une imprimante.
12. La société est propriétaire du domaine koko.com
13. a. L’entreprise disposera aussi du site web www.koko.com accessible par tout le monde et
sera publié sur internet.
b. Un deuxième site www.koko.com ne sera accessible que par les agents de l’entreprise et
déploiera une application de gestion intégrée pour l’entreprise ; et utilisera le protocole
https.
(Vous pouvez utiliser un logiciel de développement de pages web, avec une page d’accueil
simple et une autre page).
14. Sur le site public, un lien en ftp pointant sur le serveur ftp de l’entreprise sera mis à la
disposition des utilisateurs pour télécharger des annonces importantes de l’entreprise.
15. En plus, les utilisateurs en interne partagerons les données de par ftp avec Filezilla comme
client.
16. Pour faciliter la communication entre les différentes bureaux, le service de messagerie sera
déployer et chaque utilisateur aura un compte sous forme de [email protected] (avec c :
le prénom de l’agent et musonda : le nom de l’agent). L’agent utilisateur de message sera
Outlook express sur windows.
17. Auditer l’accès aux objets pour définir quels utilisateurs accèdent aux ressources.
Travail à faire
- Dresser un tableau de choix sur les éléments matériel et logiciels de ce réseau (spécifier
les caractéristiques principales de matériels)
- Présenter le schéma représentant le réseau koko mining
- Déployer les services nécessaires pour le fonctionnement de ce réseau sur un serveur
dédié en suivant le cahier de charge, ci -haut.
- Utiliser l’observateur d’événements et le console de gestion de services windows pour
voir l’état de services réseaux déployés
Partie 3: Travail supplémentaire pour les plus courageux
Page |4
- Assurer la redondance au niveau des équipements d’accès au réseau et leurs liaisons

- Configurer un serveur de flux multimédia
- Configurer le service d’accès a distance : VPN, NAP, Terminal service
- Configurer un contrôleur de domaine secondaire
• Active Directory Fédération Services : Les services de fédération permettent
d’interconnecter plusieurs annuaires entres eux. L’objectif n’est pas de construire un
méta-annuaire mais plutôt de fournir une ouverture de session unique (SSO) lorsqu’un
utilisateur d’un annuaire 1 se connecte à une ressource d’un domaine 2.
• Active Directory Right Management Services : Ce service permet de gérer les droits
numériques. Il permet, entre autre, de sécuriser les documents Office (possibilité de
verrouiller un document en lecture, de lui affecter une date d’expiration…) en fonction
de l’utilisateur qui y accède. Ce service opère de nombreuses interactions avec
l’annuaire AD DS et avec les services de certificats AD CA
- Etc.
iii. Délégation des droits AD
c. Contrôle d’Accès aux ressources

d. Gestion de Quota
i. Stratégie d’audit
B. DEPLOIEMENT DE SERVEURS SOUS WINDOWS 2008 SERVEUR
CHAPITRE III : ADRESSAGE IP ET SEGMENTATION D’UN RESEAU
III.A ADRESSAGE IP
III.A.1 IP V.4
a. Quelques caractéristiques de base du protocole IPv4
a. Structure d’adressage sous IP v4

b. Préparation de l’adressage réseau IPV4
c. Gestion des adresses sous IP v4
b. Division de réseaux
a. Introduction a l’adressage IPv6
b. Principales caractéristiques d'IPv6
c. Représentation des adresses IPv6
Page |5
III.B.1 SEGMENTATION D’UN RESEAU
Page |6
CHAPITRE I : PRESENTATION DE SERVICES RESEAUX
I.1. PRESENTATION DE SERVICES RESEAUX DE BASE SOUS TCP/IP
A. Introduction
 Service réseau, protocole et numéro de port :
Un service réseau est une fonctionnalité assurée par un ordinateur consistant en l'aptitude à la
fourniture d'informations à d'autres ordinateurs via une connexion réseau normalisée. Les services
réseaux se basent sur des protocoles pour fournir des fonctionnalités qui sont accessibles par l'utilisateur
au niveau de la couche 7 du modèle OSI (couche application) ou la couche 4 du modèle TCP/IP.
Le protocole est un langage spécifique à un type de service ; il permet le dialogue entre le
logiciel client et le logiciel serveur.
Un logiciel serveur donne à un ordinateur la compétence d'offrir un service à d'autres machines
et un logiciel client donne à un ordinateur la compétence d'utiliser les services offerts par un serveur.
Un logiciel serveur en cours de fonctionnement est appelé : service. (ex : service de messagerie)
et un logiciel client en cours de fonctionnement est appelé : client. (ex : client de messagerie)
Les services sont parfois interdépendants; par exemple, le service de partage de fichier utilise le
service d'authentification. Un ordinateur peut être à la fois serveur et client (pour un autre service).
Le Protocole TCP/IP (Transmission Control Protocol/Internet Protocol) est une suite de
protocoles standards pour la connexion des ordinateurs et la création de réseaux. TCP/IP est un logiciel
de protocole de réseau fourni avec les systèmes d'exploitation Microsoft Windows, Linux, etc. qui met
en œuvre et prend en charge la suite de protocoles TCP/IP.
Le Service système est un composant d’un système d’exploitation permettant d’offrir de services
à d’autres programmes ou aux utilisateurs. Les services système requis par un ordinateur particulier sont
démarrés soit automatiquement par le système d'exploitation pendant le démarrage, soit ultérieurement
lorsque des opérations ordinaires l'exigent. Chaque service système fournit un ou plusieurs services
réseau.
Chaque service système a un nom convivial et un nom de service. Par exemple sous Microsoft
Windows, le nom convivial apparaît dans les outils de gestion graphiques tels que le composant logiciel
enfichable de la console MMC (Microsoft Management Console). Le nom de service est utilisé avec les
outils de ligne de commande et avec différents langages de script.
Page |7
Un port est identifié par un numéro exprimé sur 16 bits. Il existe donc un maximum de
65 535 ports ( ) par ordinateur.

De nombreux programmes TCP/IP peuvent être exécutés simultanément sur Internet (vous pouvez par
exemple ouvrir plusieurs navigateurs simultanément ou bien naviguer sur des pages HTML tout en
téléchargeant un fichier par FTP). Chacun de ces programmes travaille avec un protocole, toutefois
l'ordinateur doit pouvoir distinguer les différentes sources de données.
Ainsi, pour faciliter ce processus, chacune de ces applications se voit attribuer une adresse unique sur la
machine, codée sur 16 bits: un port (la combinaison adresse IP + port est alors une adresse unique au
monde, elle est appelée socket). Lorsqu'un logiciel client veut dialoguer avec un logiciel serveur, aussi
appelé service, il a besoin de connaître le port écouté par ce dernier.
Les ports utilisés par les services devant être connus par les clients, les principaux types de services
(serveurs) utilisent des ports qui sont dits réservés. Par convention, ce sont tous ceux compris entre 0 et
1 023 inclus et leur utilisation par un logiciel serveur nécessite souvent que celui-ci s'exécute avec des
droits d’accès particuliers. Les services utilisant ces ports sont appelés les services bien connus ("well-
know services").L'attribution des ports source (service client) est faite par le système d’exploitation, sur
demande d'une application.
Le fichier services indique la liste de ces services dits well-known. Sous Unix, ce fichier est
directement dans /etc ; sous Windows, ce fichier est par défaut dans C:\Windows\System32\drivers\etc.
Procédure d’appel distance RPC (Remote Procedure Call ) :Un protocole d’accès aux procédures
distantes permet de demander à une machine (locale ou distante) d’exécuter du code. Il permet de rendre
transparent tous les aspects réseaux d’un tel mécanisme. Les programmes qui proposent des
mécanismes RPC sont standardisés et un numéro leur est associé. Plusieurs services réseaux client-
serveur utilisent le RPC : , annuaire, authentification, partage de fichier, etc.
Remarques
✔ Le terme services et protocoles peuvent être utilisé de façon équivoque ; cela se justifie, car ces
notions sont techniquement imbriquées. Toutefois, il existe des protocoles qui ne sont pas liés à des
services réseau; d'autres part, il est possible que deux services différents mais techniquement proches
utilisent le même protocole (par exemple les protocoles HTTP et HTTPS sont utilisés par de nombreux
services réseau).
✔ Certains services réseau n'ont pas d'interactions avec l'être humain; ce sont des services rendus par
des machines pour d'autres machines! (ex : certains services de routage qui permettent la coopération
entre routeurs).
Page |8
Tableau d’extrait de numéro de port de services usuels connus

Protocol Numéro de port Service
ftp 20 et 21 File transfert protocole
ssh 22 Shell sécurisé
telnet 23 Connexion a distance telnet
smtp 25 Envoi d'un courrier électronique
dns 53/tcp + udp Résolution de noms de domaine en adresses IP
dhcp 67/68 Attribution automatique des adresses ip DHCP et Bootp
http 80 Navigation web
pop 110 Récupération de courrier électronique via POP
NTP 123 Synchronisation de l'horloge Network Time Protocol
Imap 143 Récupération de courrier électronique via IMAP
ldap 369 Access a l’annuaire
https 443, Connexions http utilisant une surcouche de sécurité de type SSL
wins 137 Résolution de nom netbios en adresse ip
RDP 3389 Prise de contrôle à distance
webcache 8080 Cache mandataire
B. QUELQUES SERVICES RESEAUX USUELS
1. Couche Application
a. Service d’annuaire
Un annuaire électronique est une base de données spécialisée, dont la fonction première est de
retourner un ou plusieurs attributs d'un objet grâce à de recherche multicritères. Contrairement aux
SGBD, un annuaire est très performant en lecture mais l'est beaucoup moins en écriture ; Son rôle étant
de diffuser de l’information. Les écritures auront lieu lors de mise à jour des données par des
administrateurs. Il peut servir d'entrepôt pour centraliser des informations et les rendre disponibles via le
réseau, à des applications, des systèmes d'exploitation ou des utilisateurs.
Le service d'annuaire, sur un réseau TCP/IP utilise le protocole LDAP. La majorité des logiciels
serveurs LDAP proposent un protocole de communication serveur-serveur pour assurer le service de
réplication et de synchronisation des contenus, quand bien même la communication client-serveur est
normalisée
Page |9
Toute entreprise s’appuie aujourd’hui sur un annuaire électronique qui fait désormais partie intégrante
du système informatique de celle-ci.
Il existe plusieurs types d’annuaire :
◦ X.500 : normes définies par l’UIT-T
◦ Active Directory : développé par Microsoft pour Windows
◦ NIS : Network Information Service, développé par SUN, utilise sur le système Unix
 Protocol LDAP (Lightweight Directory Access Protocol)

Né des technologies Internet et X500, normalisé par l’Internet Engineering Task Force (IETF), LDAP
est une adaptation de X.500 au protocole TCP/IP, et un standard pour qu’un annuaire puisse être
interrogé par n’importe qui de n’importe où, il faut donc disposer d’un moyen de communications
universel.
 Les annuaires DNS et Whois

Internet a fait naître des annuaires comme DNS (Domain Name System) et WHOIS qui ont des
vocations mondiales.
Un annuaire DNS permet d’associer l’adresse IP à un nom comme monsite.com.
Un annuaire DNS est géré par un serveur DNS qui sait communiquer avec les autres serveurs DNS.
Ainsi quand on tape www.monsite.com différents serveurs DNS peuvent s’échanger la requête jusqu’à
trouver la bonne adresse IP.
Les noms gérés par un serveur DNS sont organisés de manière hiérarchique.
Un serveur DNS n’est conçu que pour localiser des machines par rapport à des adresses IP.
Les annuaires WHOIS permettent d’enregistrer des informations relatives à des personnes responsables
de tel nom de domaine ou telle adresse IP. Le service Whois (contraction de who is ? - littéralement "qui
est ?") de l'AFNIC permet d'effectuer des recherches sur les bases de données des noms de domaine se
terminant par .fr ou .re ainsi que .tf, .yt, .pm et .wf.
P a g e | 10
 Les annuaires propriétaires :

Les systèmes d’exploitation comme Windows ou Unix utilisent un système d’annuaires propriétaires
pour identifier et authentifier les utilisateurs. Ces annuaires des systèmes d’exploitations quels qu’ils
soient sont particulièrement intéressant puisqu’ils sont les premiers à être utilisés lorsqu’un utilisateur
utilise une machine pour accéder à un réseau et ses ressources. Des logiciels de synchronisation peuvent
exister entre les différents annuaires de ces applications
Windows utilisait des systèmes bien à lui jusqu’à l’arrivée d’Active Directory qui a adopté le standard
LDAP mais conserve quand même des spécificités propriétaires à Microsoft.
Novell Directory Services (NDS) est un annuaire particulièrement intéressant car totalement
indépendant du système d’exploitations : il peut fonctionner sous Windows, Unix, Netware. Et il est
capable de partager des ressources de différents serveurs de l’entreprise pouvant fonctionner sur
différents OS.
 Service d’authentification :
L’utilisateur qui travaille sur un ordinateur du réseau est identifié. Cela permet de personnaliser son
environnement de travail et ses droits d'accès aux différents ressources du réseau. Cela suppose
l'existence d'un annuaire (liste d'utilisateurs inscrits) sur le serveur.
b. Service de résolution de nom : DNS, WINS
P a g e | 11
Le service DNS (Domaine Name System) fournit une base de données hiérarchique et distribuée qui
mappe (mise en correspondance) des noms pleinement qualifie (nom DNS) en adresse IP ; par exemple
de noms d’hôtes, comme microsoft.com, avec les adresses IP (Internet Protocol) comme
192.168.19.2.
Le serveur DNS gère les base données de noms organise d’une façon hiérarchique.
Il s’agit d’un service Internet standard qui organise des groupes d’ordinateurs en domaines. Les
domaines DNS sont organisés hiérarchiquement. Cette hiérarchie est définie sur l’ensemble d’Internet et
ses différents niveaux identifient les ordinateurs, les domaines d’organisations et les domaines de niveau
supérieur.
Dans un réseau subdivisé en plusieurs sous réseaux, il doit y avoir un serveur DNS primaire par zone
(sous réseau) et plusieurs serveurs secondaires sur lesquels on effectue des copies régulières des
informations primaires pour des mesures de sécurité. Dans ce cas, une configuration des sous-domaines
s'imposent.
Le service WINS (Windows Internet Name Service) fournit une base de données distribuée qui mappe
des noms NetBIOS (Network Basic Input/Output System) à des adresses IP. Il a été conçu pour résoudre
les problèmes liés à la résolution de noms NetBIOS dans les environnements routés Windows.
P a g e | 12
Les noms NetBIOS sont requis pour l’établissement de services réseau dans les versions antérieures des
systèmes d’exploitation Microsoft. Bien que le protocole d’attribution de noms NetBIOS puisse être
utilisé avec des protocoles réseau autres que TCP/IP, le service WINS a été conçu spécifiquement pour
prendre en charge le service NetBT (NetBIOS over TCP/IP).
c. Service DHCP
Un serveur DHCP a pour rôle de distribuer des adresses IP à des clients pour une durée déterminée. Au
lieu d'affecter manuellement à chaque machine une adresse statique, ainsi que tous les paramètres tels
que serveur de noms, passerelle par défaut, nom du réseau, un serveur DHCP alloue à chaque client un
bail d'accès au réseau, pour une durée déterminée (durée du bail). Il passe en paramètres au client toutes
les informations dont il a besoin. Tous les noeuds critiques du réseau (serveur de nom primaire et
secondaire, passerelle par défaut) ont une adresse IP statique.
Le processus de création d’un bail DHCP est le processus permettant au client DHCP de
recevoir des données de configuration d’adresse IP du serveur DHCP. Ce processus se fait par échange
de type message spécifique au DHCP, illustré ci dessous :
 Protocole DHCP vs BOOTP

 Le protocole BOOTP permet de récupérer et de réattribuer les adresses réseau via un mécanisme
de préconfiguration manuelle des informations de l’hôte dans une base de données de serveur
BOOTP (table prédéfinie l’entrée qui correspond à l’adresse MAC du client)
 Le protocole DHCP permet de récupérer et de réattribuer les adresses réseau via un mécanisme
de bail, par allocation dynamique.
 Le protocole BOOTP offre à un hôte une quantité d’informations limitée.
 Le protocole DHCP offre des paramètres de configuration IP supplémentaires, tels que WINS et
le nom de domaine.
d. Service web
P a g e | 13
Permet l’accès à des pages Web et leur consultation sur les stations à l’aide d’un navigateur (Internet
Explorer, Netscape Navigator, Mozilla Firefox). Il stocke de sites Web, fourni de pages à la demande
accès éventuel à un serveur de bases de données (Oracle, SQLServer, MySQL…) pour proposer des
pages Web dynamiques.
A l'ère du village planétaire, la technologie des services web est aujourd'hui de plus en plus
incontournable et se présente comme le nouveau paradigme des architectures logicielles. C'est une
technologie qui permet à des applications de communiquer à travers le réseau Internet, indépendamment
des plates-formes d'exécution et des langages de programmation utilisés.
Le déploiement d’un serveur web peut se faire pour l’accès en interne, en externe ou combine : Serveur
web externes (Internet). Dans ce cas on peut implémente un proxy pour réglementer l'accès à Internet et
la sécurité. P
Pour un déploiement d'un serveur web en interne (Intranet) au sein d'une organisation, le serveur doit
héberger les informations internes, être placé dans un sous réseau et non accessible depuis l'extérieur.
Serveur web combine (Extranet), les informations sont accessible en internet et par un groupe spécifié
en externe comme les partenaires de l’entreprises
e. Service de partage et transfert de fichiers
Le partage de fichiers est possible via plusieurs technologies, entre autre :
 NFS (Network File System): développe initialement par Sun Microsystem puis placé en licence
GPL, cette technologie permet le partage de fichiers en montant les dossiers distants partagés
dans l'arborescence locale comme un dossier local ; technologie implémentée et adaptée sur le
système Unix (Linux)
 SMB (Server Message Block): Permet le partage de fichiers entre un poste Gnu-Linux avec un
avec un poste Windows. Samba est particulièrement adapté à la création de plusieurs petits
partages locaux entres différents ordinateurs.
En 1998, Microsoft renomme SMB en CIFS (Common Internet File System) et ajoute plusieurs
fonctions comme le support des raccourcis et de fichiers de plus grande taille. En 2006, avec
l'arrivée de Windows Vista puis de Windows 7, Microsoft a mis au point une version 2 du
protocole plus rapide. Le protocole est de nouveau nommé SMB (SMB 2).
P a g e | 14
Et le transfert de fichiers est possible via plusieurs technologies, entre autre :
 FTP (File Transfert Protocol) : Permet le transfert de fichier à travers un réseau local ou Internet
via un protocole totalement externe à la gestion "normale" de vos fichiers. FTP est très peu
adapté au partage de données à travers un réseau local. Mais il est tès adapté à la diffusion sur
internet d'un ou de plusieurs de vos dossiers le tout protégé (optionnellement) par un mot de
passe. Le protocole FTP s'inscrit dans un modèle client-serveur, c'est-à-dire qu'une machine
envoie des ordres (le client) et que l'autre attend des requêtes pour effectuer des actions (le
serveur).
Lors d'une connexion FTP, deux canaux de transmission sont ouverts :
 Un canal pour les commandes (canal de contrôle)
 Un canal pour les données
 SSHFS: C’est un outil qui s'utilise par-dessus SSH. Particulièrement adapté aux passages de
fichiers à travers internet. Le cryptage des données peut le rendre très lent sur un réseau local.
f. Service de messagerie
Le courrier électronique est aujourd'hui l'une des applications les plus populaires du réseau. Utilisé pour
des applications très variées : personnelles, professionnelles, associatives, politiques, etc. En fait, pour
fonctionner, la messagerie électronique s'appuie principalement sur des serveurs de messagerie, des
protocoles de transport ainsi que sur des protocoles de contenu. Le serveur de messagerie est un logiciel
de courrier électronique ayant pour vocation de transférer les messages électroniques sous différents
formats (MIME, MIME sécurisé) d'un serveur à un autre.
Comme illustrer par le graphique ci dessous, Le processus de messagerie s’effectue par :
P a g e | 15
 Composants d’un systeme de messagerie

- MTA (Mail Transfer Agent) – programme utilisant SMTP pour gérer le transfert de message
entre le serveur mails. Il passe le mail au MDA pour la délivrance finale dans la boite de
l’utilisateur et ce dernier le consultera via un MUA.
Entre l'utilisateur et son serveur, l'envoi d'un courrier électronique se déroule
généralement via le protocole SMTP( Simple Mail Transfert Protocol ou SMTP) , et numéro d
eport le port 25. Puis c'est au serveur d'envoyer le message au serveur du destinataire, cette
fonction est appelée Mail Transfer Agent en anglais, ou MTA. Il existe plusieurs serveurs MTA
qui implémentent SMTP. Parmi les plus connus, il y a, MS EXchange...) Postfix, Exim, Qmail
et Sendmail
- MDA (Mail Delivery Agent) – programme qui gère le transfert de mail du serveur de
messagerie au client ; par exmple procmail et maildrop sont les plus populaires.
La réception d'un courrier électronique s'effectue elle aussi en deux temps. Le serveur doit
recevoir le message du serveur de l'expéditeur, et signaler en cas de problème au serveur
expéditeur toute erreur dans la délivrance. Cette fonction de réception est appelée Mail Delivery
Agent en anglais, ou MDA.
- MUA (Mail User Agent) – programme client de messagerie, utilisant SMTP et POP/IMAP, par
exemple : Eudora, Oulook, Mutt, Kmail Un MUA avec une interface Web. Le serveur doit
renvoyer le message au destinataire final lorsque celui le désire, généralement via le protocole
POP3 ou IMAP. Les ports utilises sont : POP = 110, IMAP = 143; et pour de version sécurisée,
qui intègre le protocole SSL (Secure SocketLayer), nous avons : POP3S = 995, IMAPS = 993.
Pa exemple :
IMAP est une version améliorée de POP3 qui intègre les opérations suivantes: la gestion de plusieurs
accès simultanés, la gestion de plusieurs boîtes aux lettres ,la synchronisation des courriels entre le
serveur et le client (les courriels ne sont pas effacés sur le serveur de messagerie comme le fait
P a g e | 16
POP3) ,le tri du courrier selon des critères.
 Messagerie instantanée : La messagerie instantanée est une forme de communication en temps

réel entre deux personnes ou plus, basée sur la saisie de texte. Ce texte est acheminé par
l’intermédiaire d’ordinateurs connectés à un réseau interne privé ou à un réseau public, comme
Internet. Développée à partir des services de conversation IRC (Internet Relay Chat), la
messagerie instantanée incorpore des fonctionnalités telles que le transfert de fichiers et les
communications vocales et vidéo. Tout comme avec une messagerie électronique, la messagerie
instantanée envoie un enregistrement écrit de la communication. En revanche, alors que la
transmission de messages électroniques peut parfois être retardée, les messages envoyés par
messagerie instantanée sont immédiatement reçus. Le type de communication à la base de la
messagerie instantanée est appelé communication en temps réel.
g. Service d’impression
Le service d’impression permet de partager des imprimantes sur un réseau et de centraliser les tâches de
gestion des serveurs d’impression et des imprimantes réseau ; ainsi vous pouvez par exemple, contrôler
les files d’attente d’impression et recevoir des notifications lorsque les files d’attente interrompent le
traitement des travaux d’impression.
 Principaux protocole d’impression :
- IPP (Internet Printing Protocol) : protocole standard pour l'impression ainsi que tout ce qui s'y
rattache comme les files d'attente d'impression, la taille des médias, la résolution, etc. IPP
supporte les contrôles d'accès comme l’authentification et le chiffrement, le rendant ainsi plus
sécurisé que d'autres solutions plus anciennes. Son principal problème est la surcharge du
protocole étant donné le fait qu'il est basé sur HTTP. Cela le rend plus complexe que nécessaire
au niveau de sa mise en œuvre.
- Netbios, permet le partage d’imprimante sous Windows
- IPR/D ((Line Printer Daemon protocol) le protocole Daemon pour imprimante en ligne lp fut
étendu pour atteindre les mêmes capacités qu’IPP mais il est qu'il un protocole nettement plus
simple
P a g e | 17
- CUPS (CUPS (Common Unix Printing System), et IPR, sont deux protocoles utilises sous Linux.
h. Service d’accès a distance
Il est essentiel pour un administrateur de pouvoir se connecter a distance sur un

ordinateur ou tout autre équipement réseaux afin de le manipuler. Par exemple, le
serveurs sont souvent confinés dans leur propre salle, disposent en effet rarement
d’un clavier et d’un écran connectés en permanence mais sont reliés au réseau et
sont accéder a distance pour la configuration.
Le protocole telnet, doyen de la connexion à distance, est le pire du point de vue
de la sécurité. Les mots de passe y circulant en clair c’est-a-dire sans être
chiffrés ; tout indélicat situé sur le réseau peut les intercepter.
Le protocole SSH (Secured Shell, ou shell sécurisé) utilise le port 22, contrairement
a Telnet, a été conçu dans une optique de sécurité et de fiabilité. Les connexions
ainsi mise en place sont sures : le partenaire est authentifié et tous les échanges
sont chiffrés.
i. Service de contrôle et gestion de réseau

Ces services sont à la disposition de l'administrateur du réseau et lui permettent de vérifier le bon
fonctionnement du réseau (monitoring) et de modifier/corriger la configuration du réseau.
SNMP (Simple Netwrok Management Protocol) :

L'architecture de gestion du réseau proposée par le protocole SNMP est donc fondée sur trois principaux
éléments :
 les équipements gérés (managed devices) sont des éléments du réseau (ponts, commutateurs,
concentrateurs, routeurs ou serveurs), contenant des « objets de gestion » (managed objects)
pouvant être des informations sur le matériel, des éléments de configuration ou des informations
statistiques. Ces objets sont classés dans une sorte de base de données arborescente définie par
l’ISO appelée MIB « Management Information Base ».
 les agents, c'est-à-dire les applications de gestion de réseau résidant dans un périphérique, sont
chargés de transmettre les données locales de gestion du périphérique au format SNMP ;
P a g e | 18
 les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-dire les
consoles à travers lesquelles les administrateurs peuvent réaliser des tâches d'administration.
Le SNMP permet le dialogue entre le superviseur et les agents afin de recueillir les objets souhaités dans
la MIB. L’agent SNMP permet aux logiciels de supervision tels que LoriotPro, Nagios, What’s UP, HP
Open, DELL Open Manage ou Insight Manager, de collecter à distance sur vos serveurs et vos postes de
travail, une multitude d’informations sur leur état de fonctionnement et sur leur usage mais aussi
d’inventorier les composants matériels ou logiciels de vos systèmes.
j. Transport Layer Security (TLS) et Secure Sockets Layer (SSL)
Les protocoles TLS et SSL Spécifient des règles supplémentaires de transmission de données
entre la couche application et la couche transport.
Au départ conçu pour permettre la sécurisation des échanges sur Internet, particulièrement sécuriser les
transactions entre un client et un serveur web (HTTP), la spécification a été connue de faon ce que les
autres protocoles de niveau application puissent l'exploiter (FTP, Telnet, SMTP, POP, etc. qui donnent
HTTPS, FTPS, SSH, SMTPS, POPS). Parmi les caractéristiques principales de ces protocoles retenons :
l’authentification, la confidentialité et l’intégrité des données échangées.
2. Couche Transport
La couche transport segmente les données et se charge du contrôle nécessaire au réassemblage

de ces blocs de données dans les divers flux de communication. Pour ce faire, il doit Effectuer un suivi
des communications individuelles entre les applications résidant sur les hôtes source et de destination :
P a g e | 19
- Suivi des conversations individuelles : Tout hôte peut héberger plusieurs applications qui
communiquent sur le réseau.
- Segmentation des données
- Reconstitution des segments
- Identification des applications
Cette couche accepte les données provenant de plusieurs conversations et les fait descendre vers les
couches inférieures sous forme de blocs faciles à gérer pouvant au final faire l’objet d’un multiplexage
sur le support.
Dans le model TCP/IP, l’unité de données (PDU : protocole Data Uni) associée a cette couche
est appelée segment/datagramme.
a. Protocole UDP (User Datagram Protocol)

Le protocole UDP est un protocole simple, sans connexion, décrit par le document RFC 768. Il
présente l’avantage d’imposer peu de surcharge pour l’acheminement des données. Les blocs de
communications utilisés dans le protocole UDP sont appelés des datagrammes. Ces datagrammes sont
envoyés « au mieux » par ce protocole de couche transport.
UDP crée beaucoup moins de surcharge que le protocole TCP car il est sans connexion et ne
propose pas de mécanismes sophistiqués de retransmission, de séquençage et de contrôle de flux.
Mais cela ne signifie pas que les applications utilisant le protocole UDP manquent toujours de fiabilité.
Cela signifie simplement que ces fonctions ne sont pas fournies par le protocole de la couche transport
et qu’elles doivent être implémentées à un autre niveau, le cas échéant
Le protocole UDP est utilisé par des applications ne tolérant pas de retard dans la transmission
mais pouvant tolérer la perte d’une certaine quantité de données, c’est le cas de : DNS, vidéo en continu,
Voix sur IP (VoIP) ; SNMP (Simple Network Management Protocol), DHCP (Dynamic Host
Configuration Protocol), RIP (Routing Information Protocol), TFTP (Trivial File Transfer Protocol),
Jeux en ligne. Certaines applications, comme les jeux en ligne ou la voix sur IP, peuvent tolérer la perte
d’une certaine quantité de données.
P a g e | 20
b. Protocole TCP (Transmission Control Protocol)

Le protocole TCP est un protocole avec connexion décrit dans le document RFC 793. Le
protocole TCP impose une surcharge pour accroître les fonctionnalités. Le protocole TCP spécifie
d’autres fonctions, à savoir la livraison dans l’ordre, l’acheminement fiable et le contrôle du flux.
Chaque segment du protocole TCP utilise 20 octets de surcharge dans l’en-tête pour encapsuler les
données de la couche application alors que chaque segment du protocole UDP n’ajoute sur 8 octets de
surcharge.
La majorité des services réseau fonctionne avec le protocole TCP (Transmission Control
Protocol). Lors d'une communication au travers du protocole TCP, les deux machines doivent établir
une connexion, la machine émettrice est appelée le client, la machine réceptrice est appelée serveur. On
dit alors que l'on est dans un environnement client-serveur. TCP fournit un système relativement fiable
appelé acquittement de bonne réception avec retransmission ce qui signifie qu'il existe un mécanisme
de contrôle à l'initialisation (initialisation en trois segments) de la connexion entre le client et le serveur.
P a g e | 21
Voici les ports TCP et UDP courants devant être ouverts pour que les services de domaine
Microsoft fonctionnent correctement :
 UDP 53 - Services DNS
 UDP 67 - DHCP
 UDP 123 - Windows Time Service
 TCP 135 - Appel de procédure distant (RPC, Remote Procedure Call)
 UDP 137 - Résolution de noms NetBIOS
 UDP 138 - Service de datagramme NetBIOS
 TCP 139 - Service de session NetBIOS
 TCP 389 et UDP 389 - Service LDAP
 TCP 445 - Protocole SMB (Server Message Blocks)
 TCP 1433 - Microsoft SQL sur TCP
3. Couche Internet
La couche réseau doit d’abord fournir un mécanisme pour l’adressage de ces périphériques finaux et
le routage entre les équipements intermédiaires.
Les protocoles suivants s'appliquent au niveau de la couche inter réseau:
 Protocole d’adressage et de contrôle de message
 IP (Internet Protocol) – IP (version 4 et version 6) assure l'adressage source et l'adressage de
destination ainsi que, conjointement avec les protocoles de routage, le transfert de paquets d'un
réseau à l'autre jusqu'à une destination définie.
 ICMP (Internet Control Message Protocol) – ICMP est utilisé pour les tests de réseau et le
dépannage. Il gère les fonctions de diagnostic et de messages d'erreur. Les messages d'écho
ICMP sont utilisés par l'application PING pour tester les équipements distants.
 ARP/RARP (Address Resolution Protocol /Reverse Address Resolution Protocol ) : Le
protocole ARP est utilisé pour déterminer l'adresse (MAC) locale d'un poste du réseau lorsque
son adresse IP est connue. Les postes d'extrémité, ainsi que les routeurs, utilisent le protocole
ARP pour déterminer les adresses locales
 Le protocole de routage: RIP (Routing Information Protocol), EIGRP (Enhanced Interior
Gateway Routing Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway
Protocol), etc.
P a g e | 22
4. Couche d’accès au réseau
Les processus d’accès au réseau s’exécutent à la fois au niveau des logiciels et du matériel. Les
protocoles de cette coche sont mis en œuvre au sein des composants électroniques des adaptateurs
réseau avec lesquels le périphérique se connecte au réseau physique. Par contre les protocoles de couche
supérieure sont surtout mis en œuvre dans les logiciels tels que le système d’exploitation hôte ou des
applications spécifiques.
Parmi ces protocoles nous avons :
- Protocole d’accès multiple avec diffusion : Ethernet
- Protocole PPP (point à point), utiliser sur les lignes Série et T1/E1
- Protocole Non-Broadcast Multi-Access (NBMA) : Relais de trames
I.2. QUELQUES OUTILS DE DISGNOSTIQUE, CONTROLE ET

SURVEILLANCE DE RESEAU
Il existe plusieurs outils permettant a un administrateur réseau de collecter les données en vue d’un
diagnostique, de contrôle ou de surveillance du fonctionnement d’un réseau pour prendre de mesure
appropriées en vue d’optimiser le fonctionnement.
Parmi ces outils nous pouvons citer :
 Utilitaires TCP/IP : ipconfig, ping, tracert, route print, arp, netstat, nslookup, dig (linux), whois,
tcpdump (linux), etc.
 Les fichiers Log et observateur d’événement. Il est possible de consulter les différentes
informations de fichiers log sur chaque system ou chaque équipement réseau. L’emplacement de
fichiers diffère selon le systeme utilise sur l’équipement (Windows, Linux, etc.)
Par exemple :
- sous Windows : Windows: c:\windows\system32\config ou dans les journaux d'événements
Windows avec Event Log
- En Linux: /var/log/
• Jul 1 16:20:49 deb kernel: [ 5.343430] loop: module loaded
• Jul 1 16:20:49 deb kernel: [ 5.673287] kjournald starting. Commit interval 5 seconds
• Jul 1 16:20:49 deb kernel: [ 5.673525] EXT3 FS on sda6, internal journal
P a g e | 23
• Jul 1 16:20:49 deb kernel: [ 5.673533] EXT3-fs: mounted filesystem with ordered data mode.
• Jul 1 16:20:49 deb kernel: [ 6.971373] eth0: link up
• Jul 5 17:36:13 deb dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
• Jul 5 17:36:15 deb dhclient: DHCPOFFER from 192.168.137.254
• Jul 5 17:36:15 deb dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
• Jul 5 17:36:15 deb dhclient: DHCPACK from 192.168.137.254
• Jul 5 17:36:18 deb dhclient: bound to 192.168.137.134 -- renewal in 852 seconds.
 Logiciel de gestion et surveillance de réseau :

- Top (Network TOP) est un outil libre de supervision réseau. C'est une application qui produit
des informations sur le trafic d'un réseau en temps réel (comme pourrait le faire la commande
top avec les processus).
- Multi Router Traffic Grapher (MRTG, Traceur de graphiques sur le Trafic Multi Routeur) est un
outil de métrologie réseau, qui permet de surveiller la charge sur les liens du réseau.
- PRTG Network Monitor : est un logiciel qui permet grâce à l'analyse de trames SNMP de créer
des graphiques sur le trafic réseau, capable de faire du sniffing ; PRTG est un outil des plus
puissants qui vous permet de suivre en temps réel l'état de votre réseau local.
- Wireshark est un analyseur de paquets libre utilisé dans le dépannage et l'analyse de réseaux
informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie. Son
appellation d'origine (Ethereal) est modifiée en mai 2006 pour des questions relatives au droit
des marques.
P a g e | 24
CHAPITRE II : CONFIGURATION DE SERVICES DE BASE D’UN

SERVEUR WINDOWS 2008
II.2.1 INTRODUCTION AU SYSTEME WINDOWS 2008 SERVEUR
La famille du système d’exploitation réseau Windows 2008 présente différentes versions,
comme illustré dans le tableau.
 Le système d’activation Licence Windows

Deux grands types selon la structure de la société :
- MAK (Multiple Activation Key) : introduire la clé manuellement mais la même clé peut servir
pour un ensemble de machines. On achète donc une clé pour X machines (Vista ou Seven) ou
pour X Serveurs 2008.
- KMS (Volume License Keys) : Le KMS est un service qui tourne sur un serveur hôte. Les
machines s’authentifient directement à lui d’une manière automatique et transparente. Le poste
client n’a donc pas besoin d’une connexion Internet car c’est le serveur qui procèdera à son
activation. Les systèmes activés par un hôte KMS renouvellent leurs clés d'activation à des
intervalles de sept jours en utilisation normale, fonctionnant jusqu'à 180 jours (ou 210 jours
lorsque la période de grâce de 30 jours est prise en compte) sans renouvellement lorsqu'ils sont
incapables de contacter un hôte KMS. Cette approche permet aux systèmes itinérants de
P a g e | 25
continuer à fonctionner entièrement pendant un maximum de sept mois sans nécessiter de

contact avec un hôte KMS.
 Méthodes d’administration
- Les consoles : Les consoles d’administration qui fonctionnent grâce à l’ouverture de port
multiples comme le très dangereux 445. Ces ports ne doivent être ouverts qu’en réseau local.
- Remote Desktop : Prise de contrôle à distance suivis d’une utilisation de console ou ligne de
commande sur le serveur. Toutes les sessions fonctionnent en mode console. Il y a une session
unique par utilisateur ce qui réduit le problème de session non fermée. On est toujours limité à 2
connexions mais la politique est beaucoup plus souple car c’est deux connexions sortantes. Il
n’y a pas de limitation en interne.
Pour rappel, le port est 3389 et la commande pour se connecter directement via un Shell est «
mstsc /v :NomDuHote : /admin»
 Rôles et fonctionnalités
L’outil principal pour la gestion des rôles et des fonctionnalités se réalise via le « Server
Manager ou Gestionnaire de serveur » qui reprend beaucoup d’informations sur le système. Il met à
disposition également de nombreux outils qui permettent de réaliser les tâches quotidiennes. La
différence entre les rôles et les fonctionnalités est très relatif. On remarque par exemple le failover
Clustering dans les fonctionnalités. C’est lui qui permet le clustering. Le gestionnaire de serveur
Windows Serveur 2008 prend en charge les rôles Active Directory Certificates Services (AD CS),
Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS), Active
Directory Lightweight Directory Services (AD LDS), Active Directory Rights Management Services
(AD RMS), serveur d’Application, serveur DHCP, serveur DNS, serveur de Fax, Serveur de fichiers,
Network Policy and Access Services, Windows Internal DataBase , serveur d’impression, serveur
Terminal, UDDI Services, serveur web, serveur FTP, serveru SMTP, serveur de Déploiement
Windows et enfin, Windows Sharepoint Services. Bien évidement, par défaut aucun rôle n’est installé.
P a g e | 26
II.2 ELEMENTS DE CONFIGURATION DE BASE DU SERVEUR WINDOWS 2008
A. GESTION CENTRALISEE DES OBJETS DU RESEAU
a. Le service AD (Active Directory)

Le service de domaine Active Directory est un service d’annuaire extensible et évolutif qui
permet de gérer efficacement les ressources d’un réseau.
L'arrivée d'Active Directory a permis de passer des groupes de travail aux domaines Active
Directory et ainsi de centraliser toute l'administration et la gestion des droits dans un annuaire de type
LDAP. Tout logiciel utilisant LDAP sera capable de communiquer avec Active Directory : on peut, par
exemple, gérer (partiellement) des postes Linux à partir d'un Active Directory.
Un domaine Active Directory est tout simplement un groupe d’ordinateurs qui partagent une
même base de données d’annuaire. Son nom doit être unique.
Vous pouvez avoir un domaine parent microsoft.com et les domaines enfants seattle.microsoft.com
et ny.microsoft.com. Chaque domaine possède ses propres règles de sécurité et relations d’approbation
avec les autres domaines. Les domaines peuvent aussi être répartis sur plusieurs emplacements
physiques, ce qui signifie qu’ils peuvent être constitués de plusieurs sites et que ces derniers peuvent
posséder plusieurs sous-réseaux
P a g e | 27
L’ordinateur sur lequel est activité le service AD, est appelé contrôleur de domaine. Les
contrôleurs de domaine exécutant Windows Server 2008 peuvent être configurés comme contrôleurs de
domaine en lecture seule. Le premier contrôleur de domaine Windows Server 2008 installé dans une
forêt ou un domaine ne peut être contrôleur de domaine en lecture seule. Lorsque vous installez le
service Serveur DNS sur un tel contrôleur de domaine, celui-ci peut agir comme un serveur DNS en
lecture seule.
i. Les structures de domaines

Active Directory fournit des structures logiques et physiques pour les composants réseau.
 Structure logique
Les structures logiques organisent les objets de l’annuaire et gèrent les comptes du réseau et les
ressources partagées.
- Domaines : Groupe d’ordinateurs qui partagent la même base de données d’annuaire.
- Arborescences de domaines : Un ou plusieurs domaines qui partagent un espace de noms
contigu. Comme illustrer ci-dessous l’exemple d’arborescence de domaines où le domaine
racine msnbc.com possède deux domaines enfants : seattle.msnbc.com et ny.msnbc.com. Ces
domaines sont eux-mêmes suivis de deux sous-domaines. Tous les domaines font partie de la
même arborescence parce qu’ils disposent d’un domaine racine commun.
- Forêts de domaines : une ou plusieurs arborescences de domaines qui partagent les mêmes
informations d’annuaire. Les noms de domaines de cette forêt peuvent être contigus ou non
contigus dans la hiérarchie des noms DNS.
 Structure physique
P a g e | 28
Les structures physiques simplifient la communication sur le réseau et définissent les limites physiques
autour des ressources réseau. Les structures physiques qui aident à mapper la structure physique du
réseau sont les suivantes :
- Sous-réseaux : Groupes de réseaux basés sur la même plage d’adresses IP et le même masque
réseau.
- Sites : Un ou plusieurs sous-réseaux. Les sites permettent de configurer l’accès à
l’annuaire et sa réplication.
N.B
- La création du premier contrôleur de domaine crée automatique une forêt et un arbre. Les
serveurs suivants pourront donc rejoindre cette forêt et cet arbre. Ils pourront également créer
d’autres arbres dans cette forêt. Notez que l’administrateur de la racine (du premier contrôleur
de domaine) peut tout faire sur l’ensemble de la forêt.
- Active Directory s'exécute sous le processus LSASS et inclut les moteurs d'authentification et de
réplication pour les contrôleurs de domaine. Les contrôleurs de domaine, les ordinateurs clients
et les serveurs d'applications requièrent une connectivité réseau à Active Directory sur des ports
spécifiques en plus d'une plage de ports TCP éphémères entre 1024 et 65535, à moins qu'un
protocole de tunneling ne soit utilisé pour encapsuler ce trafic.
ii. Active Directory, DNS et DHCP

Active Directory fait appel au DNS (Domain Name System, système de nom de
domaine). Par l’intermédiaire de DNS, une hiérarchie de domaines Active Directory peut soit être
définie sur tout l’Internet, soit être séparée et privée. DNS fait intégralement partie de la technologie
Active Directory, à tel point que vous devez configurer DNS sur le réseau avant de pouvoir installer
Active Directory. Active Directory nécessite DNS pour localiser les contrôleurs de domaine, qui
fournissent les services d’authentification et d’autorisation. Les versions récentes de Windows server
prennent en charge la fonction DNS dynamique (DDNS); elle permet de mettre à jour automatiquement
la base de données DNS. Les guides de conception Microsoft recommandent également que le protocole
DCHP soit intégré à DNS. Cela garantit qu’une entrée simultanée est créée dans le fichier DNS
lorsqu’un PC ou un périphérique reçoit une adresse IP via DHCP.
iii. Installation d’Active Diretory

Avec Windows Server 2008, on installe Active Directory dans le cadre d’un processus en
deux temps.
P a g e | 29
- Premièrement, on ajoute le rôle Services de domaine Active Directory au serveur à l’aide de

l’Assistant Ajout de rôles.
- Deuxièmement, on exécute l’Assistant Installation de Active Directory (cliquez sur
Démarrer, tapez dcpromo dans le champ Rechercher et appuyez sur ENTRÉE). S’il n’existe
aucun domaine, l’assistant vous aide à en créer un et à configurer Active Directory dans le
nouveau domaine. L’assistant peut également vous aider à ajouter des domaines enfants aux
structures de domaines existantes.
 Pour vérifier qu’un contrôleur de domaine est installé correctement, vous pouvez :
• Consulter les erreurs du journal d’événements du service d’annuaire ;
• Vérifier que le dossier Sysvol est accessible aux clients ;
• Vérifier que la résolution de noms fonctionne avec DNS ;
• Vérifier la réplication des modifications sur Active Directory.
Les fonctions d’un domaine sont limitées et contrôlées par le niveau fonctionnel du domaine. Plusieurs
niveaux sont définis :
- Mode mixte Windows 2000 Prend en charge les contrôleurs de domaine Windows NT 4.0 et
les versions ultérieures de Windows Server. Cependant, il est impossible d’exploiter les
contrôleurs de domaine Windows NT 4.0 avec Windows Server 2008 et les contrôleurs de
domaine Windows Server 2008 avec les serveurs Windows NT 4.0.
- Mode natif Windows 2000 Prend en charge les contrôleurs de domaine Windows 2000 et
ultérieur.
- Windows Server 2003 Prend en charge les contrôleurs de domaine Windows Server 2003
et Windows Server 2008.
- Windows Server 2008 Prend en charge les contrôleurs de domaine Windows Server 2008.
b. Administration centrale du service Active Directory

L’administration centrale d’Active Directory se concentre sur les tâches essentielles que l’on
effectue habituellement avec les Services de domaine Active Directory, comme créer des comptes
d’ordinateur ou joindre des ordinateurs à un domaine.
iv. Outils de gestion d’Active Directory

Il existe plusieurs groupes d’outils qui gèrent Active Directory, dont les outils
d’administration graphiques, les outils en ligne de commandes et les outils de support.
P a g e | 30
Les outils d’administration Active Directory 9adminnistration graphique) sont des composants
logiciels enfichables de la console MMC (Microsoft Management Console). Les principaux outils de
gestion sont les suivants :
- Utilisateurs et ordinateurs Active Directory Pour gérer les utilisateurs, groupes,
ordinateurs et unités d’organisation.
- Domaines et approbations Active Directory Pour exploiter les domaines, les arborescences de
domaines et les forêts de domaines.
- Sites et services Active Directory Pour gérer les sites et les sous-réseaux
v. Les principaux objets de l’Active Directory
 Unités d’organisation : Sous-groupes de domaines qui reflètent souvent la structure

fonctionnelle ou professionnelle de l’organisation. Une OU sert principalement à structurer
l’active directory en rendant de grosse structure plus visible mais aussi, elle sert à appliquer des
groupes Policy( stratégie de groupe). Il est conteneur d’objet comme user, computer, etc.
Un exemple d’une bonne structure :
- Les user : représentent les comptes des utilisateurs mais aussi des services tiers (Exemple :
BackupExec). Il est conseillé de réaliser un compte par utilisateur, un compte par service tiers,
deux comptes pour les administrateurs (Un simple et un admin). Notez qu’il y a possibilité de
créer des requêtes sur les utilisateurs. Pour ce faire, il faut aller dans Saved Queries - News
Queries.
Novons deux types de comptes utilisateurs sont définis dans Windows Server 2008 :
• Comptes utilisateurs de domaine : Comptes utilisateurs définis dans Active Directory.
Ils font appel à l’authentification unique pour accéder aux ressources de tout le domaine.
Ces comptes se créent via l’outil Utilisateurs et ordinateurs Active Directory.
P a g e | 31
• Comptes utilisateurs locaux : Comptes utilisateurs définis sur un ordinateur local. Ils
n’ont accès qu’à l’ordinateur local et doivent s’authentifier pour accéder aux
ressources du réseau. Ils se créent à l’aide de l’utilitaire Utilisateurs et groupes locaux.
Notons que Le profil est l’ensemble d'informations visibles ou masquées définissant
l'environnement de travail d'un utilisateur, par exemple son bureau, ses variables
d'environnement (path, set,), les clefs de registres, etc. Ainsi, pour le compte du domaine nous
pouvons définir le Profil errant (ou itinérant) qui est stocké sur le serveur et peut être retrouvée
sur n’importe quel poste et le profil local qui est stocké uniquement sur le poste utilisateur ou en
local.
- InetOrgPerson : identique a un user classique de Windows et présente les mêmes options mais
ce type d’objet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc. Il
est donc plus que conseillé de créer ce type de compte dans les réseaux hétérogènes.
- Les Bultin : contiennent tous les groupes de domaines locaux pour attribuer des droits aux
utilisateurs ayant un rôle administratif. Les plus utilisés : Entreprise admins ( Droit sur
l’ensemble de la forêt ), Schema admins ( Responsable de l’AD ), Acompte operators ( Création
des groupes, users), Server operators ( Opération de maintenance mais aucun accès à l’AD)
Configuration par défaut dans une forêt.
- Computers : Représente une machine ou un serveur. Il s’ajoute automatiquement dans l’active

directory lors de l’ajout dans le domaine. Par défaut, ils tombent tous dans le container
Computers mais il y a possibilité de les faire tomber ailleurs.
- Groupe : Les comptes utilisateurs sont conçus pour les individus. Les comptes de groupes sont
destinés à simplifier l’administration de plusieurs utilisateurs. S’il est possible d’ouvrir une
P a g e | 32
session avec des comptes utilisateurs, ce n’est pas le cas avec des comptes de groupes.
Généralement, ces derniers sont simplement nommés groupes.
L’administrateur peut créer de groupes pour ainsi déployer les mêmes stratégies de sécurité et
accorder l’accès a plusieurs utilisateurs au même moment.
Ces groupes crées sont caractérisés par le type et l’étendue :
Types de groupe
• Le type distribution qui n’est important que dans les organisations qui possède Exchange (pour
de groupe distribution de message).
• Le type Security qui sert à appliquer des permissions.
Etendue de groupe : Domain local (permission), Global (réunir des users), universal (pour
plusieurs arbres). Microsoft recommande pour des raisons de sécurité de toujours mettre des
accomptes dans un Global et ensuite d’appliquer celui-ci dans un domaine local. Vous ajoutez
de cette manière une couche de sécurité.
L’universal est utilisé pour les grandes forêts ou la gestion de la sécurité doit être plus poussée.
N.B Il existe aussi de groupe prédéfinis, Groupe utilisateur, groupe administrateur, etc.
Extrait du groupe administrateur
P a g e | 33
vi. Protocoles d’authentification

L’authentification de Windows Server 2008 est un processus en deux phases : l’ouverture
de session interactive et l’authentification réseau. Lorsqu’un utilisateur ouvre une session sur un
ordinateur avec un compte du domaine, le processus d’ouverture de session interactive authentifie sa
session, ce qui confirme à l’ordinateur local l’identité de l’utilisateur et lui accorde l’accès aux Services
de domaine Active Directory. Ensuite, chaque fois que l’utilisateur accède aux ressources du
réseau, l’authentification réseau détermine s’il y est autorisé.
Windows Server 2008 prend en charge de nombreux protocoles d’authentification réseau
différents:
- Kerberos version 5 comme protocole d’authentification par défaut. L’authentification NTLM
(New Technologie Lan Manager) subsiste uniquement pour assurer la rétrocompatibilité.
- Certificats clients pour l’authentification.
Une fonctionnalité essentielle du modèle d’authentification de Windows Server 2008 est sa
prise en charge de l’authentification unique (SSO, Single Sign On), qui fonctionne de la manière
suivante :
1. Un utilisateur ouvre une session sur le domaine à l’aide d’un nom et d’un mot de passe ou en
introduisant une carte à puce dans un lecteur.
2. Le processus d’ouverture de session interactive authentifie l’accès de l’utilisateur (local ou en
réseau)
3. L’utilisateur peut maintenant s’authentifier auprès de tout ordinateur du domaine à travers le
processus d’authentification réseau.( en réseau , ce processus est automatique ; mais en local il faut
s’authentifier à chaque accès aux ressources du réseau).
Windows Server 2008 comprend les Services AD FS (Active Directory Fédération Services),
qui étendent l’authentification unique aux ressources approuvées de l’Internet
vii. Délégation des droits AD
P a g e | 34
Comme son nom l’indique ceci permet de déléguer des rôles dans l’active directory. Une
délégation peut se faire sur une OU, un type d’objet, une tâche, une propriété d’un objet. Pour une
question de sécurité, les OU doivent être bien structuré et les personnes qui auront des rôles déléguer ne
devront jamais avoir la possibilité de s’en ajouter des nouveaux.
b. Contrôle d’Accès aux ressources
 Contrôle d’accès
Active Directory est un service orienté objet. Utilisateurs, ordinateurs,
groupes, ressources partagées et beaucoup d’autres entités sont définis en tant qu’objets. Des contrôles
d’accès leur sont appliqués à l’aide de descripteurs de sécurité dont voici les fonctions :
- Établir la liste des utilisateurs et groupes autorisés à accéder aux objets ;
- Spécifier les autorisations (permissions) assignées aux groupes et aux utilisateurs ;
- Réaliser le suivi des événements à auditer pour les objets ;
- Définir la propriété des objets.
Les entrées individuelles du descripteur de sécurité sont nommées entrées de contrôle d’accès
(ACE, Access Control Entries).
Une entrée de contrôle d'accès (ACE) est un élément dans une liste de contrôle d'accès (ACL).
Une ACL peut avoir zéro ou plusieurs ACE.
Les objets Active Directory peuvent hériter des ACE de leurs objets parents, ce qui signifie que
les autorisations d’un objet parent peuvent s’appliquer à un objet enfant. Par exemple, tous les membres
du groupe Admins du domaine héritent des autorisations accordées à ce groupe.
Lorsque vous travaillez avec des ACE, n’oubliez pas les points suivants :
- Les ACE sont créées avec l’héritage activé par défaut ;
- L’héritage prend effet dès que l’ACE est écrite ;
- Toutes les ACE contiennent des informations indiquant si l’autorisation est héritée ou assignée
explicitement à l’objet.
P a g e | 35
 Accès aux ressources sur le serveur Windows

Active directory, est un annuaire qui permet de centraliser la gestion de ressources d’un réseau
sous Windows serveur. L’accès aux ressources se configure en trois étapes : Le partage, la publication
et la permission.
- Le partage :
Le partage peut être visible ou invisible aux utilisateurs (partage administratif, fait en ajoutant
le signe $ à la fin du nom de partage). Le partage invisible est très utile pour créer des répertoires
contenant des sources, des packages d’installations, etc.
Notez qu’on voit toujours l’ensemble des partages sur le serveur via le computer management.
- La publication :
La publication représente la possibilité de rendre facilement un partage accessible à un
utilisateur : Soit via un mapping, soit via un raccourci. Cette procédure se réalise souvent via un script
de démarrage ou via une policy.
Vous pouvez également publier le partage dans l’actif directory. On peut voir rapidement et d’une
manière centraliser les partages sur une machine ou surtout sur les serveurs. Pour ce faire, il faut aller
dans le computer management et cliquer sur publish dans les propriétés du partage.
- Les permissions :
L’utilisateur reçoit une série de clé (token) lors de son identification sur le réseau. Ses clés sont
représentées par des SID ( System Identification). Exemple : User test : SID …..- 1307, global compta :
SID …..-1334
Quand on demande une ressource, il y a vérification via les ACL (une liste d’accès de contrôle) où sont
vérifiées les permissions (grant).
Notez qu’un deny explicite est toujours le plus restrictif concernant les ACL.
La gestion des permissions : Il y a deux possibilités de gérer les permissions sur (un fichier ou un
dossier), soit via le partage (droit de partage), soit via les droits NTFS (droit pour système de fichiers)
P a g e | 36
- Avec le droit de partage l’on autorise ou interdit certains utilisateurs lorsqu’ils se connectent au
dossier partagé via le chemin réseau
- Avec le droit NTFS : les droits s’appliquent en local, on autorise ou interdit certains utilisateurs
lorsqu’ils sont logués sur la machine.
Ceux-ci sont complémentaires et la meilleure représentation est sans doute une double porte.
Lors de la demande d’accès à une permission c’est toujours le plus restrictif qui l’emporte.
Même si le sharing (partage) vous laisse passer en écriture si le NTFS ne l’autorise pas vous serez
bloqué et inversement.
N.B
- Au lieu de laisser Everyone, il vaut mieux mettre Authenticated Users ce qui renforce un peu la
sécurité.
- On peut également ajouter des permissions spéciales via l’onglet advanced. On peut par
exemple empêcher de lire les propriétés des fichiers et répertoires. Les options sont vastes et
permettent une configuration très adaptées.
- La notion d’héritage
Par défaut, l’héritage sur les dossiers est activé. Un nouveau dossier héritera donc des
permissions de son parent. On peut couper cet héritage en vidant les permissions ou en recopiant les
permissions dans l’onglet advanced du NTFS.
c. Gestion de Quota
Il y a deux manières pour limiter l’espace disque consommée par les utilisateurs.
P a g e | 37
 Les quotas
Les quotas s’activent directement sur la partition. C’est une configuration générale pour
l’ensemble de la partition mais on peut néanmoins spécifier une taille plus grande pour certains
utilisateurs. On a également une partie qui peut servie de « reporting » sur l’espace déjà consommé.
Si vous décidez de modifier les quotas, les nouvelles modifications ne seront effectivement que sur les
nouveaux utilisateurs. Il faudra repasser manuellement sur les utilisateurs déjà existants.
 Gestionnaire de ressources du serveur de fichier

Vous trouverez le Gestionnaire de ressources du serveur de fichier « File Server Ressource
Manager » dans les outils d’administration à condition que le service soit installé. Vous pourrez soit
utiliser un Quota Template qui est définit soit en créer un nouveau et l’appliquer sur un répertoire.
Dans cette console nous retrouvons :
- Des « modèles de quotas » ce sont les règles que nous allons appliquer. Comme par exemple,
envoyer des messages à l’administrateur ou l’utilisateur quand celui-ci arrive à la taille limite.
C’est également via le « File Server Ressource Manager » que vous pourrez empêcher l’écriture
de fichier à extension bien définie. Comme par exemple des MP3 ou des fichiers vidéo.
- Des « quotas » c’est là où nous allons créer un quota à un dossier en appliquant un modèle
(templete). Par exemple, limiter à 10Go et le quota inconditionnel ce qui empêchera l’utilisateur
d’ajouter encore des fichiers une fois le quota atteint.
P a g e | 38
c. Stratégie d’audit
L’audit permet de suivre les activités des utilisateurs et du système et de sauvegarder les
évènements générés dans des fichiers de logs afin de les exploiter. Windows Server 2008 intègre la
nouvelle version du journal d’évènement : « Windows Eventing 6.0 ». Cette dernière version permet
d’enregistrer les évènements au format XML offrant une évolutivité, une accessibilité et des options
d'administration accrues. De plus, on peut désormais attribuer une tâche à un évènement comme par
exemple, l’envoi de mail, démarrer un programme…
Une stratégie d’audit peut être mise en place pour différentes raisons :
 Détecter les tentatives d’intrusions sur un réseau
 Résoudre des problèmes de droits et de sécurité
Ainsi un administrateur réseau peut : Auditer les événements de connexion aux comptes, Auditer la
gestion des comptes, Auditer l'accès au service d'annuaire, Auditer les événements de connexion,
Auditer l'accès aux objets, Auditer les modifications de stratégie, Auditer l'utilisation des privilèges,
Auditer le suivi des processus, Auditer les événements système .
Sur chaque élément l’administrateur peut choisir, auditer les succès, les échecs ou les 2. Par défaut, le
modèle de sécurité « security.inf » est appliqué. Ce modèle de sécurité comprend des paramètres par
défaut permettant d’auditer les évènements de connexion aux comptes (échec et succès)et les
évènements de connexion réussis.
Si nous voulons auditer d’autres évènements, il faut donc les paramétrer
Par exemple, en auditant les échecs sur les ouvertures de session, nous pouvons déterminer si un pirate
informatique tente de s’introduire sur notre réseau en utilisant des méthodes de brute force.
Dans ce cas, nous serons amené à verrouiller le compte si la personne a réussi à se loguer ou contacter le
propriétaire du compte pour approfondir ce problème.
P a g e | 39
Un autre exemple est d’auditer l’accès aux objets pour définir quels utilisateurs accèdent aux ressources
et de restreindre l’accès aux personnes n’y ayant pas droit.
B. Déploiement de Serveurs sous Windows 2008 Serveur
Les différents rôles de serveur sont ajoutés au fur et à mesure selon le besoin en utilisant le
gestionnaire de serveur et l’assistant de configuration
Dans la suite, lors de travaux pratiques nous ajouterons le Serveur DHCP et Serveur de fichiers,
Serveur Web, serveur FTP, serveur SMTP, serveur de flux media, etc. ; en plus de l’AD et le DNS.
CHAPITRE III. ADRESSAGE IP ET SEGMENTATION D’UN

RESEAU
III.A ADRESSAGE IP
Une adresse IP est une adresse logique, permettant d’identifier un réseau / un hôte sur le réseau
internet. L’adressage IP est hiérarchique.
 Attribution d’adresses IP
Toute entreprise ou administration qui souhaite que les hôtes de son réseau soient accessibles
depuis Internet doit se voir attribuer un bloc d’adresses publiques par (ICANN, RIR ou un ISP), selon le
cas. L’utilisation d’adresses publiques est réglementée, et l’attribution d’un bloc d’adresses à une
entreprise ou à une administration est obligatoire. C’est le cas pour les adresses IPv4, IPv6 et
multidiffusion.
La gestion et l’attribution des noms, numéros de ports et adresses IP par ICANN (Internet Corporation
for Assigned Names and Numbers) et assurer par les SO (Supporting Organizations) :
 La gestion des noms de domaines : DNSO (Domain Name SO)
 La gestion de l’adressage logique : ASO (Address SO)
 La gestion des protocoles réseaux : PSO (Protocol SO)
P a g e | 40
ICANN découpe le monde en 5 régions : les RIRs (Regional Internet Registry):

• AfriNIC (African Network information Center), Région Afrique http://www.afrinic.net
• APNIC (Asia Pacific Network Information Center), http://www.apnic.net
• ARIN (American Registry for Internet Numbers), http://www.arin.net
• LACNIC (Latin-American and Caribbean Network Information Center), http://www.lacnic.net
• RIPE NCC (Réseaux IP Européens Network Coordination Center), http://www.ripe.net
En fonction du niveau de service requis et disponible, les clients utilisent un FAI de niveau
différent. Ces opérateurs (FAI) ne sont pas égaux entre eux. Le classement se fait en fonction de l'achat
de transit qu'ils effectuent. Si un opérateur est suffisamment grand et a une envergure internationale, il
n'achète plus du tout de transit : on parle de Tier-1 ou Fournisseur de niveau 1. Tous les autres
opérateurs, tout en ayant des clients et en échangeant avec leurs pairs, sont obligés d'acheter du transit
pour combler les limites de leur réseau. Par exemple, un opérateur purement européen va devoir acheter
du transit à un Tier-1 pour permettre à ses clients d'accéder au Japon ou au Brésil.
III.A.1 IP V.4
a. Quelques caractéristiques de base du protocole IPv4 :
- Sans connexion : Aucune connexion n’est établie avant l’envoi de paquets de données.
- Au mieux (peu fiable) : Aucune surcharge n’est utilisée pour garantir la transmission des
paquets. Comme avec toute isolation de couche fournie par des modèles de réseau, laisser la
décision de la fiabilité à la couche transport permet au protocole IP d’être plus adaptable et plus
pratique pour différents types de communications
- Indépendance des médias : Fonctionne indépendamment du média transportant les données. Il
incombe à la couche accès au réseau (liaison de données OSI) de prendre un paquet IP et de le
préparer pour la transmission via le média choisi. Ainsi, le transport de paquets IP n’est pas
limité à un média donné.
P a g e | 41
- Unité de transmission maximale (MTU) : La taille maximale d’unité de données de protocole

que chaque média peut transporter. Une partie de la communication de contrôle entre la couche
accès au réseau (la couche liaison de données OSI) et la couche interréseau est l’établissement
d’une taille maximale pour le paquet.
d. Structure d’adressage sous IP v4

Le document RFC 790 (publié avec le document RFC 791) définit le découpage de l’adresse IP
en deux parties, celles des bits de réseau et celle des bits de l’hôte, de son espace d’adresse (32 bits).
Classe Plage Masque Nombre Nombre 1er bit Utilisation

d’Adresse d’adresse réseau
hôte réseau
A 1-127 255.0.0.0 >16millions 128 0 Grandes organisation
B 128-191 255.255.0.0 65 534 16384 10 Organisation de taille

moyenne
C 192-223 255.255.255.0 254 >2millions 110 Petite organisation
D 224-239 Multidiffusion
E 240-255 expérimentation
Dans un réseau IPv4, les hôtes peuvent communiquer de trois façons :

 Monodiffusion : processus consistant à envoyer un paquet d’un hôte à un autre.
Adresse réservée dans une communication monodiffusion :
- Bouclage : les adresses de la plage 127.0.0.0-127.255.255.255. L’adresse de bouclage IPv4
127.0.0.1. Il s’agit d’une adresse spéciale que les hôtes utilisent pour diriger le trafic vers eux-
mêmes. L’adresse de bouclage crée un moyen rapide, pour les applications et les services
TCP/IP actifs sur le même périphérique, de communiquer entre eux. En utilisant l’adresse de
bouclage à la place de l’adresse d’hôte IPv4 attribuée, deux services actifs sur le même hôte
peuvent contourner les couches les plus basses de la pile TCP/IP.
- Adresses locales-liens : Les adresses IPv4 de la plage 169.254.0.0-169.254.255.255
(169.254.0.0 /16) sont désignées en tant qu’adresses locales-liens. Elles peuvent être
automatiquement attribuées à l’hôte local par le système d’exploitation, dans les environnements
où aucune configuration IP n’est disponible. Celles-ci peuvent aussi être utilisées dans un réseau
P a g e | 42
peer to peer de petite taille ou pour un hôte qui ne peut pas obtenir d’adresse IP
automatiquement auprès d’un serveur DHCP (Dynamic Host Configuration Protocol). Les
transmissions basées sur des adresses IPv4 locales-liens ne conviennent que dans le cadre d’une
communication avec d’autres périphériques connectés au même réseau,
- Adresses TEST-NET : La plage d’adresses 192.0.2.0-192.0.2.255 (192.0.2.0 /24) est réservée à
des activités d’enseignement et d’apprentissage. Ces adresses peuvent être utilisées dans la
documentation et dans des exemples de réseau. Contrairement aux adresses expérimentales, les
périphériques réseau accepteront ces adresses dans leur configuration. Ces adresses apparaissent
souvent avec des noms de domaine exemple.com ou exemple.net dans les requêtes pour
commentaires et la documentation de fournisseur et de protocole. Les adresses de cette plage ne
doivent pas être visibles sur Internet.
Adresse privée : sont des adresses à utiliser dans un LAN et de ce fait elles ne sont pas routable sur
internet.
A : 10.0.0.0 – 10.255.255.255
B : 172.16.0.0 -172.31.254.255
C: 192.168.0.0 – 192.168.254.255
 Multidiffusion : processus consistant à envoyer un paquet d’un hôte à un groupe d’hôtes en
particulier.
La transmission multidiffusion permet de conserver la bande passante du réseau IPv4. Elle
réduit le volume de trafic en permettant à un hôte d’envoyer un seul paquet à un groupe d’hôtes désigné.
Pour atteindre plusieurs hôtes de destination à l’aide d’une transmission monodiffusion, un hôte source
a besoin d’envoyer un paquet qu’il adresse à chaque hôte. Dans une transmission multidiffusion, l’hôte
source peut envoyer un seul paquet, qui parviendra à des milliers d’hôtes de destination.
Quelques exemples de transmission multidiffusion :
- Distribution de contenu vidéo et audio
- Échange d’informations de routage entre des protocoles de routage
- Distribution de logiciels
- Échange de news
On appelle clients multidiffusion, les hôtes qui souhaitent recevoir des données multidiffusion
spécifiques. Ces clients font appel à des services activés par un programme client pour s’abonner au
groupe de multidiffusion.
Adresse de multidiffusion :
P a g e | 43
IPv4 a réservé la plage d’adresses 224.0.0.0 - 239.255.255.255 à l’adressage des groupes de

multidiffusion. Chaque groupe de multidiffusion est représenté par une seule adresse de destination
multidiffusion IPv4. Lorsqu’un hôte IPv4 s’abonne à un groupe de multidiffusion, il traite les paquets
adressés à cette adresse multidiffusion, ainsi que ceux adressés à son adresse monodiffusion, qui a été
attribuée à lui seul.
Cette plage est divisée en différents types d’adresse :
- les adresses de liaison locales réservées
Les adresses de multidiffusion IPv4 du bloc 224.0.0.0 - 224.0.0.255 sont des adresses de liaison
locales réservées. Ces adresses s’appliquent aux groupes de multidiffusion d’un réseau local. Les
paquets transmis à ces destinations le sont toujours avec une valeur de durée de vie égale à 1. De ce fait,
un routeur connecté au réseau local ne devrait jamais les acheminer. Les adresses locales-liens réservées
s’appliquent principalement aux protocoles de routage qui utilisent le type de transmission
multidiffusion pour échanger des informations de routage.
- les adresses d’étendue globale
Les adresses à étendue globale vont de 224.0.1.0 à 238.255.255.255. Elles peuvent aussi être
utilisées dans la multidiffusion de données sur Internet. Par exemple, 224.0.1.1 est une adresse réservée
au protocole NTP (Network Time Protocol) pour synchroniser les horloges des périphériques réseau.
- Il existe un autre type d’adresse de multidiffusion, dit adresses d’étendue administrative ou
d’étendue limitée.
 Diffusion processus consistant à envoyer un paquet d’un hôte à tous les hôtes du réseau.
Quelques cas d’utilisation des transmissions de diffusion :
- Mappage des adresses d’une couche supérieure à des adresses d’une couche inférieure
- Demande d’une adresse
- Échange d’informations de routage entre des protocoles de routage
Il y a deux types de diffusion :
- Diffusion dirigée : Une diffusion dirigée est envoyée à tous les hôtes d’un réseau particulier. Ce
type de diffusion permet l’envoi d’une diffusion à tous les hôtes d’un réseau qui n’est pas local.
Par exemple, pour qu’un hôte, situé en dehors du réseau, puisse communiquer avec les hôtes du
réseau 172.16.4.0 /24, l’adresse de destination du paquet serait 172.16.4.255.
- Diffusion limitée permet une transmission qui est limitée aux hôtes du réseau local. Ces paquets
utilisent l’adresse IPv4 de destination 255.255.255.255. Les routeurs ne transmettent pas cette
diffusion. Les paquets adressés à une adresse de diffusion limitée ne sont visibles que sur le
P a g e | 44
réseau local. C’est la raison pour laquelle un réseau IPv4 est également appelé « domaine de
diffusion ». Les routeurs forment les limites d’un domaine de diffusion.
e. Préparation de l’adressage réseau IPV4

Dans la préparation d’un schéma d’adressage IPv4, il faut avant tout décider quand les adresses
privées doivent être utilisées et où elles seront appliquées.
Les facteurs déterminants sont les suivants :
- Y aura-t-il davantage de périphériques connectés au réseau que d’adresses publiques attribuées
par le fournisseur de service Internet du réseau ?
- Les périphériques devront-ils être accessibles depuis l’extérieur du réseau local ?
- Si les périphériques qui se voient attribuer des adresses privées nécessitent un accès Internet, le
réseau est-il capable de fournir des services NAT de traduction d’adresses réseau ?
f. Gestion des adresses sous IP v4

Dès 1992, les membres du groupe de travail IETF se préoccupent de la croissance exponentielle
d’Internet et de l’évolutivité limitée des tables de routage Internet. Ils s’inquiètent également de la
pénurie éventuelle en matière d’espace d’adressage IPv4 32 bits. Diverses solutions ont été données :
 En 1993, l’IETF introduit le routage interdomaine sans classe (CIDR) (RFC 1517).
 Network Address Translation (NAT) - 1994 (RFC 1631)
 Adresses privées et publiques 1996 (RFC 1918)
e.1 Division de réseaux

Historiquement, les réseaux IP constituent à l’origine un grand réseau. Les problèmes courants
rencontrés par les grands réseaux sont les suivants : Dégradation des performances, Problèmes de
sécurité, Gestion des adresses, Amélioration des performances. Ce qui a conduit à séparé le grand
réseau en réseaux plus petits, interconnectés. Ces réseaux plus petits sont souvent appelés sous-réseaux.
Réseau et sous-réseau sont des termes souvent utilisés de manière interchangeable pour désigner tout
système de réseau rendu possible par les protocoles de communication communs partagés du modèle
TCP/IP.
La planification de la division du réseau implique de regrouper dans le même réseau les hôtes
ayant des facteurs communs, entre autres : Emplacement géographique, Objectif, Propriété.
La division des grands réseaux de façon à regrouper les hôtes devant communiquer réduit le trafic entre
les interréseaux.
P a g e | 45
Un adressage hiérarchique est nécessaire pour pouvoir diviser des réseaux. Une adresse
hiérarchique identifie chaque hôte de manière unique. Elle comporte également des niveaux facilitant
l’acheminement de paquets entre des interréseaux, ce qui permet la division d’un réseau en fonction de
ces niveaux.
 Méthode de subdivision d’adresses réseaux :
Le sous adressage consiste à utiliser une partie de « la partie station » pour l'incorporer à « la
partie réseau » et ainsi agrandir celle-ci. Le nombre de sous-réseau sera plus important, mais le nombre
de station par sous réseau le sera moins.
- Méthode de subdivision avec masque de sous réseau fixe
Appeler aussi, méthode par classe, dans cette subdivision en sous réseau, on emprunte quelque
bit à la partie non affectée au réseau (la partie hôte) afin d’avoir le nombre de sous réseaux dont on a
besoin ou le nombre d’adresses d’un sous réseau.
Pour cela nous aurons à faire un plan d’adressage contentant les éléments suivant:
• Nombre de sous réseau à créer:
• Plages d’adresses pour chaque sous réseau
• L’adresse réseau et de broadcast
Le nombre de sous-réseaux dépend du nombre de bits que l'on attribue en plus au réseau. Le nombre de
sous réseaux est donc :
Nombre de bit Nombre de sous réseaux
1 2 (0)
2 4 (2)
3 8 (6)
4 16 (14)
5 32 (30 )
6 64 ( 62)
7 128 (126 )
8 256 (254 )
Exemple: soit à créer 4 sous réseau avec l’adresse 192.168.1.0

• Masque de sous-réseau décimal : 255.255.255.0
• Nombre de sous-réseaux créés: par exemple 4, emprunt de 2 bit : (2^2 = 4).
• Nombre d’hôtes utilisables par sous-réseau : Il reste 6 bits côté hôte, permettant ainsi de créer
62 hôtes par sous-réseau (2^6 = 64 - 2 =62)
En subdivisant l’adresse 192.168.1.0 avec le masque de sous-réseau 255.255.255.0 en 4 sous réseaux,
chaque sous réseau aura 64 adresses possible dont 62 sont utilisable. Les deux restantes, sont l’adresse
P a g e | 46
réseau et l’adresse de Broadcast. Le masque de sous réseau pour chacun de sous réseau sera
255.255.255.240.
Le plan d’adressage de sous réseau se présentera de cette façon
Sous Adresse réseau Plage d’hôte Adresse de broacast

réseau
0 192.168.1.0 192.168.1.1-192.1680.1.62 192.168.1.63
1 192.168.1.64 192.168.1.65- 192.168.1.127
192.1680.1.126
2 192.168.1.128 192.168.1.129- 192.168.1.191
192.1680.1.190
3 192.168.1.192 192.168.1.193- 192.168.1.255
192.1680.1.254
- Méthode de subdivision avec masque de sous réseau variable

Protocoles VLSM et CIDR
Pour faire face à la pénurie d’adresses IPv4, le groupe de travail IETF (Internet Engineering
Task Force) a développé le protocole de masque de sous réseau variable, VLSM ( Variable lengh
Subnet Mask) et le protocole de routage interdomaine sans classe (CIDR, Classless Inter-Domain
Routing), afin d’utiliser plus efficacement l’adresse IPv4(en particulier la classe C) et pour
l’agrégation ou le résumé d’adresses réseau, ce qui permet de réduire la taille des tables de routage.
CIDR utilise les masques de sous-réseau de longueur variable (VLSM) pour allouer les adresses IP aux
sous-réseaux en fonction d’un besoin particulier, et non en fonction de la classe.
Pour les routeurs compatibles CIDR, les classes d’adresses n’ont aucune signification. En effet,
la partie réseau de l’adresse est déterminée par le masque de sous-réseau du réseau, également connu
sous le nom de « préfixe de réseau » ou de « longueur de préfixe » (noté /8, /19, etc.) et non par la
classe.
Ainsi avec ces notions, nous avons de notations suivantes :
- 12.10.1.2 masque de sous réseau 255.255.255.0 est 12.10.1.2/24
- 192.164.2.16 masque de sous réseau 255.255.255.248 est 192.164.2.16 /29
Le principe de découpage en VLSM est qu’une fois un bloc d’adresses adresse réseau découpé en
sous-réseaux, ces sous-réseaux peuvent eux-mêmes être découpés en sous-réseaux. Les réseaux peuvent
être à nouveau divisés ou redécoupés en sous-réseaux de plus en plus petits.
 Agréation de route
P a g e | 47
Le regroupement de route, également connu sous le nom d’agrégation de routes, est le processus
de notification d’un ensemble contigu d’adresses par une seule adresse avec un masque de sous-réseau
plus court et moins spécifique. Ce type de route est connu sous le nom de route de super-réseau. Un
super-réseau résume plusieurs adresses réseau ou sous-réseau, à l’aide d’un masque plus petit que celui
correspondant à la classe.
 NAT (Network Address Translation ) et PAT (Port Address Translation )

 NAT
La fonctionnalité NAT permet de traduire les adresses non routables, privées et internes en
adresses routables publiques. La principale fonction de NAT est d’enregistrer les adresses IP en
autorisant les réseaux à utiliser des adresses IP privées. NAT permet également d’ajouter un niveau de
confidentialité et de sécurité à un réseau car il empêche les réseaux externes de voir les adresses IP
internes. Un périphérique compatible NAT fonctionne généralement à la périphérie d’un réseau
d’extrémité.
Le côté « interne » d’une configuration NAT n’est pas synonyme d’adresses privées, comme
défini par le document RFC 1918. Les adresses que nous appelons « non routables » sont parfois
acheminables. Un administrateur peut configurer n’importe quel routeur pour acheminer le trafic sur des
sous-réseaux privés. Cependant, s’ils essayent d’acheminer un paquet au FAI pour une adresse privée, le
FAI l’abandonne. « Non routable » veut dire non routable sur Internet.
Il existe deux types de traduction NAT : dynamique et statique. On parle de Mappage dynamique et
mappage statique. Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe
suffisamment d’adresses publiques disponibles pour satisfaire le nombre total de sessions utilisateur
simultanées.
 La fonction NAT dynamique utilise un pool d’adresses publiques et les attribue selon la
méthode du premier arrivé, premier servi.
P a g e | 48
 La fonction NAT statique utilise un mappage biunivoque des adresses locales et globales ; ces
mappages restent constants. Cette fonction s’avère particulièrement utile pour les serveurs Web
ou les hôtes qui doivent disposer d’une adresse permanente, accessible depuis Internet.
Avantages de la fonction NAT
 Ménage le modèle d’adressage enregistré légalement.
 Augmente la souplesse des connexions vers le réseau public.
 Assure la cohérence des schémas d’adressage du réseau interne.
 Assure la sécurité du réseau.
Inconvénients de la fonction NAT
 Les performances sont affectées.
 Les fonctionnalités de bout en bout sont affectées.
 La traçabilité IP de bout en bout est perdue.
 La transmission tunnel est plus compliquée.
 L’établissement de connexions TCP peut être perturbé.
 PAT ou Surcharge NAT
La surcharge NAT (parfois appelée traduction d’adresses de port ou PAT) mappe plusieurs
adresses IP privées à une seule adresse IP publique ou à quelques adresses. C’est ce que font la plupart
des routeurs personnels.
Grâce à la surcharge NAT, plusieurs adresses peuvent être mappées à une ou quelques adresses car
chaque adresse privée est également suivie par un numéro de port. Lorsqu’un client ouvre une session
TCP/IP, le routeur NAT attribue un numéro de port à son adresse source. La surcharge NAT s’assure
que les clients utilisent un numéro de port TCP différent pour chaque session client avec un serveur sur
Internet. Lorsqu’une réponse revient du serveur, le numéro de port source, qui devient le numéro de port
de destination lors du retour, détermine le client auquel le routeur achemine les paquets. Il confirme
également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.
 NAT vs Surcharge NAT
NAT ne traduit en général que des adresses IP sur une base de 1 pour 1 entre des adresses IP
publiques et des adresses IP privées. La surcharge NAT modifie à la fois l’adresse IP privée et le
numéro de port de l’expéditeur. La surcharge NAT choisit les numéros de port vus par les hôtes sur le
réseau public.
NAT achemine les paquets entrants vers leur destination interne en faisant référence à l’adresse
IP source entrante donnée par l’hôte sur le réseau public. Avec la surcharge NAT, il n’y a généralement
P a g e | 49
qu’une ou que très peu d’adresses IP exposées au public. Les paquets entrants provenant du réseau
public sont acheminés vers leur destination sur le réseau privé en faisant référence à une table dans le
périphérique de surcharge NAT qui suit les associations entre ports publics et privés. On appelle cela le
suivi de connexions.
Introduction a l’adressage IPv6
IPv6 n’est pas seulement un nouveau protocole de couche 3, mais toute une suite de protocoles.
De nouveaux protocoles, sur différentes couches de la pile, ont également été développés pour prendre
en charge IPv6. Il s’agit du nouveau protocole de messagerie ICMPv6 et de nouveaux protocoles de
routage. En raison de la taille accrue de l’en-tête d’iPv6, l’infrastructure du réseau sous-jacente est
également touchée.
a. Principales caractéristiques d'IPv6
- Un plus grand espace d'adressage ; les adresses IPv6 sont codées sur 128 bits (1 milliard de réseaux).
- Un entête simplifié et efficace pour améliorer le traitement des paquets: l'entête IPv6 est de taille fixe.
Alors que les options d'entête IPv4 étaient examinées par tous les noeuds intermédiaires d'une
communication, les extensions IPv6 ne seront gérées que par les équipements terminaux. Les
équipements intermédiaires sont donc déchargés d'une partie des traitements. La gestion des paquets
erronés est déléguée aux équipements d'extrémité et aux couches supérieures telles TCP ou UDP.
- le principe des numéros de réseaux et des numéros d'hôtes est maintenu.
- IPv6 est conçu pour interopérer avec les systèmes IPv4 (transition douce prévue sur 20 ans). L'adresse
IPv6 peut contenir une adresse IPv4 : on place les 32 bits de IPv4 dans les bits de poids faibles et on
ajoute un préfixe de 96 bits ( 80 bits à 0 suivis de 16 bits à 0 ou 1)
- IPv6 utilise un adressage hiérarchique (identification des différents réseaux de chaque niveau) ce qui
permet un routage plus efficace.
- IPv6 est prévu pour les systèmes mobiles : auto-configuration, notion de voisinage (neighbor).
- IPv6 permet l'authentification et le chiffrement dans l'en-tête des paquets, ce qui permet de sécuriser
les échanges. En effet IP v.6 intègre IPSec (protocole de création de tunnel IP avec chiffrement), qui
garantit un contexte sécurisé par défaut.
- IPv6 intègre la qualité de service : introduction de flux étiquetés (avec des priorités)
P a g e | 50
- IPv6 prend mieux en charge le trafic en temps réel (garantie sur le délai maximal de transmission de
datagrammes sur le réseau).
Une prise en charge améliorée des extensions et des options pour optimiser l’évolutivité et la durée de
vie.
c. Représentation des adresses IPv6

Les adresses IPv6 sont codées sur 128 bits.
Les 128 bits de l'adresse sont divisés en 8 groupes de 16 bits représentés par 4 chiffres hexadécimaux et
séparés par ":" .
Exemple d'adresse :
5800:10C3:E3C3:F1AA:48E3:D923:D494:AAFF
Dans IPv6 les masques sont exprimés en notation CIDR (Classless Interdomaine Routing).
c.1 Forme de représentation des adresses IPv6

c.1.i Forme préférée
Notation : "x:x:x:x:x:x:x:x" où x représente les valeurs hexadécimales des 8 portions de 16 bits
de l'adresse.
A noter : les lettres peuvent être écrites aussi bien en majuscules qu'en minuscules.
Exemples d'adresse :
2001:0660:7401:0200:0000:0000:0edf:bdd7
c.1.ii Forme abrégée
Notation : les zéros à gauche de chaque groupe peuvent être omis, un ou plusieurs groupes de zéros
consécutifs se notent "::".
La séquence "::" ne peut apparaître qu'une seule fois dans une adresse.
L'adresse donnée en exemple peut donc s'écrire :
2001:660:7401:200::edf:bdd7
c.1.iii Forme mixte
 L'adresse IPv6 compatible IPv4
Elle est utilisée dans un contexte particulier : les tunnels 6 to 4 permettant de relier des
réseaux IPv4 à des réseaux IPv6.
Soit une adresse IPv4 notée a.b.c.d , son équivalent IPv6 se notera :
0:0:0:0:0:0:0:a.b.c.d/96
ou en forme abrégée :
P a g e | 51
::a.b.c.d/96
Exemple :
::132.64.16.25
 L'adresse IPv4 mappée
Un hôte IPv6 étant capable de communiquer aussi bien avec un hôte IPv4 qu'avec un hôte
IPv6, il utilise des adresses IPv4 mappées pour communiquer avec les autres machines IPv4
et utilise des adresses IPv6 normale pour communiquer avec les autres machines IPv6. Ces
adresses sont de la forme ::ffff:a.b.c.d .
Exemple :
:: ffff : 132.64.16.25
 L'adresse de bouclage qui correspond à 127.0.0.1 en IPv4
0000:0000:0000:0000:0000:0000:0000:0001
L'adresse de bouclage ou localhost se note en abrégé :
::1
 L'adresse indéterminée qui correspond à 0.0.0.0 en IPv4.
Elle caractérise l'absence d'adresse. Elle est utilisée lors de certaines phases d'initialisation.
C'est une adresse transitoire. Elle se note 0:0:0:0:0:0:0:0 ou ::
Type des adresses

IPv6 reconnaît trois types d'adresses : unicast, multicast et anycast.
Le type unicast, est le plus simple. Une adresse de ce type désigne une interface unique. Un
paquet envoyé à une telle adresse sera donc remis à l'interface ainsi identifiée.
Une adresse de type multicast désigne un groupe d'interfaces, qui, en général, appartiennent à
des équipements différents pouvant être situés n'importe où dans l'Internet. Lorsqu'un paquet a pour
destination une adresse de type multicast, il est acheminé par le réseau à toutes les interfaces membres
de ce groupe. Il faut noter qu'il n'y a plus d'adresses de type broadcast comme sous IPv4 ; elles sont
remplacées par des adresses de type multicast.
Le dernier type, anycast, est nouveau en IPv6. Les adresses anycast ont deux points communs
avec les adresses unicast : elles sont allouées dans le même espace d'adressage et ont les mêmes
formats. Comme dans le cas du multicast, une adresse de type anycast désigne un groupe d'interfaces, la
différence étant que lorsqu'un paquet a pour destination une telle adresse, il est routé à un seul des
éléments du groupe et non pas à tous. C'est, par exemple, le plus proche au sens de la métrique des
P a g e | 52
protocoles de routage. Ce type d'adresse est encore en cours d'expérimentation et est réservé pour le
moment aux routeurs. La notion d'adresse anycast est détaillée dans la RFC 2373. Ce type d'adresse
servira pour des applications où un nœud d'un réseau cherche à communiquer avec un des routeurs d'un
sous-réseau distant. Par exemple quand un hôte mobile doit communiquer avec un des agents mobiles
sur son propre sous-réseau.
P a g e | 53
III.2 SEGMENTATION D’UN RESEAU
Le domaine de broadcast est déterminé par l'ensemble des matériels d'un réseau ou sous-réseau
atteignable par une trame broadcast émise dans le même réseau ou sous-réseau.
Un réseau peut être divisé en unités plus petites appelées segments, pour réduire le domaine de
broadcast. Les commutateurs et des routeurs ont de facultés de segmenter les réseaux en différentes
segments ou sous réseaux. Cette segmentation peut se faire dune façon logique ou d’une façon
physique. Comme chacun des 2 dispositifs opère à un niveau différent du modèle OSI, chacun réalise un
type de segmentation différent.
Une fois la segmentation faite, le réseau doit être conçu de façon contigüe avec un adressage
hiérarchique.
A. Segmentation a l’aide d’un commutateur
La technologie de commutation opère au niveau 2 du modèle de référence OSI. La nouvelle

popularité des commutateurs peut être vue comme la résurgence de la technologie des ponts. Tout
comme un pont, le commutateur décide de la redirection à partir de l’adresse MAC contenue dans
chaque trame ; A la différence d’un pont, le commutateur redirige les données avec des temps d’attente
très courts et des algorithmes intégrés directement dans ses composants.
La commutation permet de répartir la bande passante à la fois sur des segments partagés et des segments
dédiés. Un commutateur segmente des domaines de collision. La segmentation au niveau 2 réduit le
nombre de stations en compétition sur le même réseau local. Chaque domaine de collision possède la
bande passante délivrée par le port du commutateur.
Les domaines de collisions appartiennent au même domaine de diffusion.
 Les réseaux virtuels ou VLANs.
P a g e | 54
La norme IEEE 802.1Q permet une segmentation dynamique des sous-réseaux. C'est une
solution attrayante du point de vue gestion de parc mais incomplète du point de vue contrôle d'accès. Il
est possible d'exploiter les informations des trames IEEE 802.1Q en les associant à un adressage réseau
de niveau 3. On parle alors de routage inter-vlan.
Avant l'apparition des technologies de réseaux virtuels, l'architecture logique du réseau était fortement
dépendante de l'architecture physique. Les VLANs permettent de rassemblé dans un même réseau de
niveau 2 du modèle OSI (généralement Ethernet) l'ensemble des matériels ayant une corrélation
fonctionnelle (même service, même fonctionnalité, etc), ou ayant une nécessité de communiquer entre
eux, et ceci, indépendamment du placement physique des matériels.
Par conséquent, les VLANs permettant de réalisé une segmentation logique d'un support physique en
plusieurs réseaux de niveau 2, nous limitons la diffusion des broadcasts. Par exemple, si nous utilisons
les protocoles Ethernet et IP sur notre réseau, un VLAN constituera un réseau Ethernet et sera
nécessairement un sous-réseau IP.
La segmentation en VLAN permet de contrôler les diffusions réseau

VLAN par défaut : Tous les ports du commutateur deviennent membres du VLAN par défaut après le
démarrage initial du commutateur. Par exemple, le commutateur Cisco est le VLAN 1. Le VLAN 1
possède les mêmes caractéristiques que n’importe quel autre VLAN, sauf que vous ne pouvez ni le
renommer, ni le supprimer. Pour des raisons de sécurité, il est conseillé de choisir un autre VLAN que le
VLAN 1 en tant que VLAN par défaut. Cela suppose de configurer tous les ports du commutateur pour
les associer à un autre VLAN par défaut que le VLAN 1. Les agrégations de VLAN (« trunk ») prennent
en charge la transmission de trafic pour plusieurs VLAN.
VLAN natif : Un VLAN natif est affecté à un port d’agrégation 802.1Q. Un port d’agrégation 802.1Q
prend en charge le trafic provenant de nombreux VLAN (trafic étiqueté ou « tagged traffic »), ainsi que
P a g e | 55
le trafic qui ne provient pas d’un VLAN (trafic non étiqueté ou « untagged traffic »). Le port
d’agrégation 802.1Q place le trafic non étiqueté sur le VLAN natif.
En ce qui nous concerne, un VLAN natif sert d’identificateur commun aux extrémités d’une liaison
agrégée. Il est recommandé d’utiliser un autre VLAN que le VLAN 1 comme VLAN natif.
VLAN de gestion : Un VLAN de gestion est un réseau local virtuel que vous configurez pour accéder
aux fonctionnalités de gestion d’un commutateur. C’est le VLAN 1 qui fait office de VLAN de gestion
si vous ne définissez pas explicitement un VLAN distinct pour remplir cette fonction. Vous attribuez au
VLAN de gestion une adresse IP et un masque de sous-réseau. Un commutateur peut être géré par le
biais de HTTP, de Telnet, de SSH ou de SNMP.
B. Segmentation a l’aide d’un routeur
Les routeurs opèrent au niveau 3 du modèle de référence OSI. Ils ont beaucoup plus de
fonctions logicielles qu’un commutateur. En fonctionnant à un niveau plus élevé qu’un commutateur, un
routeur distingue les différents protocoles de la couche réseau : IP, IPX, AppleTalk, etc. Cette
connaissance permet au routeur de prendre des décisions plus sophistiquées de propagation.
Comme un commutateur, un routeur fournit aux utilisateurs une communication transparente entre des
segments individuels ; A la différence d’un commutateur, un routeur détermine les limites logiques
entre des groupes de segments de réseaux.
Un routeur segmente des domaines de diffusion. La segmentation au niveau 3 réduit le trafic de
diffusion en divisant le réseau en sous-réseaux indépendants.
Un routeur fournit un service de contrôle d’accès parce qu’il ne transmet que le trafic destiné à le
traverser. Pour accomplir ces tâches, un routeur doit réaliser 2 fonctions de base :
1. Créer et maintenir une table de routage pour chaque protocole de routage. Ces tables sont mises à jour
dynamiquement grâce aux protocoles de routage.
4La segmentation des réseaux locaux
P a g e | 56
2. Identifier le protocole contenu dans chaque paquet, extraire l’adresse de destination réseau et prendre
la décision de propagation en fonction des données de la table de routage.
Les fonctionnalités étendues d’un routeur lui permettent de choisir le meilleur chemin à partir de plus
d’éléments qu’une simple adresse MAC : comptage des « sauts », vitesse de transmission, coût, délais et
conditions de trafic.
Ces améliorations conduisent à une meilleure sécurité, une meilleure utilisation de la bande passante et
plus de contrôle sur les opérations réseau. Cependant, les temps de traitement supplémentaires peuvent
réduire les performances comparativement à un simple commutateur.
 Routage InterVlan
Le routage LAN utilise généralement des routeurs avec plusieurs interfaces physiques. Chaque interface
doit être connectée à un réseau distinct et configurée pour un sous-réseau différent.
Le routage traditionnel entre VLAN exige plusieurs interfaces physiques sur le routeur et le
commutateur, car Chaque interface de routeur peut alors accepter le trafic du VLAN associé à
l’interface de commutateur à laquelle elle est connectée, et le trafic peut être acheminé vers les autres
VLAN connectés aux autres interfaces. Cependant, toutes les configurations de routage entre VLAN ne
nécessitent pas plusieurs interfaces physiques. Certains logiciels de routeur permettent de configurer des
interfaces de routeur comme liaisons agrégées, créant ainsi de nouvelles possibilités pour le routage
entre VLAN.
L’interface de routeur est configurée pour fonctionner comme liaison agrégée et est connectée à un port
de commutateur configuré en mode d’agrégation. Le routeur effectue le routage entre VLAN en
acceptant le trafic étiqueté VLAN sur l’interface agrégée provenant du commutateur adjacent et en
effectuant le routage en interne entre les VLAN à l’aide de sous-interfaces. Le routeur transfère alors le
trafic acheminé (étiqueté VLAN pour le VLAN de destination) depuis la même interface physique ; on
parle de « Router-on-a-stick »
Les sous-interfaces sont des interfaces virtuelles multiples, associées à une interface physique. Ces sous-
interfaces sont configurées dans le logiciel sur un routeur configuré de manière indépendante avec une
adresse IP et une affectation VLAN pour fonctionner sur un VLAN spécifique. Les sous-interfaces sont
configurées pour différents sous-réseaux correspondant à leur affectation VLAN afin de faciliter le
routage logique avant que les trames de données soient étiquetées VLAN et renvoyées depuis l’interface
physique. Nous aborderons plus en détail les interfaces et sous-interfaces dans la rubrique suivante.
P a g e | 57
Les sous-interfaces permettent à un routeur d’évoluer pour prendre en charge davantage de VLAN que
ne l’autorisent les interfaces physiques. Le routage entre VLAN dans des environnements étendus
comportant de nombreux VLAN peut généralement être mieux pris en charge en utilisant une seule
interface physique avec de nombreuses sous-interfaces.
Comparaison interface physique et logique sur un Routeur intervaln
En l’absence de conflit de bande passante sur des interfaces physiques séparées, les interfaces physiques
offrent de meilleures performances que lors de l’utilisation de sous-interfaces. Le trafic de chaque
VLAN connecté a accès à l’intégralité de la bande passante de l’interface de routeur physique connectée
à ce VLAN pour le routage entre VLAN.
Lorsque des sous-interfaces sont utilisées pour le routage entre VLAN, le trafic routé rivalise pour la
bande passante sur l’interface physique unique. Sur un réseau chargé, ceci peut entraîner un goulot
d’étranglement dans la communication. Pour équilibrer la charge de trafic sur une interface physique,
des sous-interfaces sont configurées sur plusieurs interfaces physiques, ce qui réduit les conflits entre les
trafics VLAN.
Ports d’accès et ports agrégés :
La connexion d’interfaces physiques pour le routage entre VLAN exige que les ports de commutateur
soient configurés comme ports d’accès.
Les sous-interfaces exigent que le port de commutateur soit configuré comme port agrégé pour pouvoir
accepter le trafic étiqueté VLAN sur la liaison agrégée.
Et cette technique offre un cout bas du routeur, et réduire la complexité au niveau de la gestion (moins
de câble, mais une configuration logicielle plus complexe, qui peut être difficile à corriger)
P a g e | 58

Travaux Pratique

Transféré par

Droits d'auteur :

Formats disponibles

Travaux Pratique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Travaux Pratique

Transféré par

Droits d'auteur :

Formats disponibles

Page |1

L’entreprise minière Koko Mining dispose de 25 ordinateurs de bureau, 10 ordinateurs portable,

Partie 3: Travail supplémentaire pour les plus courageux

- Assurer la redondance au niveau des équipements d’accès au réseau et leurs liaisons

iii. Délégation des droits AD

c. Contrôle d’Accès aux ressources

a. Structure d’adressage sous IP v4

III.B.1 SEGMENTATION D’UN RESEAU

CHAPITRE I : PRESENTATION DE SERVICES RESEAUX

I.1. PRESENTATION DE SERVICES RESEAUX DE BASE SOUS TCP/IP

 Service réseau, protocole et numéro de port :

65 535 ports ( ) par ordinateur.

Tableau d’extrait de numéro de port de services usuels connus

B. QUELQUES SERVICES RESEAUX USUELS

 Protocol LDAP (Lightweight Directory Access Protocol)

 Les annuaires DNS et Whois

 Les annuaires propriétaires :

b. Service de résolution de nom : DNS, WINS

 Protocole DHCP vs BOOTP

e. Service de partage et transfert de fichiers

Le partage de fichiers est possible via plusieurs technologies, entre autre :

Et le transfert de fichiers est possible via plusieurs technologies, entre autre :

Comme illustrer par le graphique ci dessous, Le processus de messagerie s’effectue par :

 Composants d’un systeme de messagerie

POP3) ,le tri du courrier selon des critères.

 Messagerie instantanée : La messagerie instantanée est une forme de communication en temps

- Netbios, permet le partage d’imprimante sous Windows

h. Service d’accès a distance

Il est essentiel pour un administrateur de pouvoir se connecter a distance sur un

i. Service de contrôle et gestion de réseau

SNMP (Simple Netwrok Management Protocol) :

j. Transport Layer Security (TLS) et Secure Sockets Layer (SSL)

La couche transport segmente les données et se charge du contrôle nécessaire au réassemblage

a. Protocole UDP (User Datagram Protocol)

b. Protocole TCP (Transmission Control Protocol)

4. Couche d’accès au réseau

I.2. QUELQUES OUTILS DE DISGNOSTIQUE, CONTROLE ET

 Logiciel de gestion et surveillance de réseau :

CHAPITRE II : CONFIGURATION DE SERVICES DE BASE D’UN

 Le système d’activation Licence Windows

continuer à fonctionner entièrement pendant un maximum de sept mois sans nécessiter de

II.2 ELEMENTS DE CONFIGURATION DE BASE DU SERVEUR WINDOWS 2008

A. GESTION CENTRALISEE DES OBJETS DU RESEAU

a. Le service AD (Active Directory)

i. Les structures de domaines

ii. Active Directory, DNS et DHCP

iii. Installation d’Active Diretory

- Premièrement, on ajoute le rôle Services de domaine Active Directory au serveur à l’aide de

b. Administration centrale du service Active Directory

iv. Outils de gestion d’Active Directory

v. Les principaux objets de l’Active Directory

 Unités d’organisation : Sous-groupes de domaines qui reflètent souvent la structure

- Computers : Représente une machine ou un serveur. Il s’ajoute automatiquement dans l’active

vi. Protocoles d’authentification

vii. Délégation des droits AD

b. Contrôle d’Accès aux ressources

 Accès aux ressources sur le serveur Windows

 Gestionnaire de ressources du serveur de fichier

B. Déploiement de Serveurs sous Windows 2008 Serveur