Rseaux et Protocoles (partie 2)

Auteur(s) : Dominique SERET Droits de proprit intellectuelle : UFR Mathmatiques et Informatique Paris 5 Dernire modification : 09/10/2005 Pr-requis : notion de bases en architecture et systme d'exploitation Description du module - Volume horaire : 30 heures - Objectif gnral : comprendre rapidement l'environnement rseau de l'entreprise - Objectifs d'apprentissage savoir identifier les natures et modes de transmissions savoir situer les diffrents quipements de l'architecture d'un rseau savoir reconnatre les protocoles de communication utiliss et les services rendus comprendre les services rseau implments et les utiliser comprendre les lments de configuration d'un rseau apprhender la scurit dans les environnements rseaux - Rsum : ce cours prsente de manire trs progressive les lments de rseau et leurs architectures. Il dcrit les principes de base et s'attache prsenter les solutions les plus frquentes d'Ethernet Internet. - Mots cls : protocoles, TCP/IP, applications, Ethernet, interconnexion.

Sommaire
Rseaux et Protocoles (partie 2).................................................................................................. 1 Sommaire..................................................................................................................................... 2 Rseaux locaux d'entreprise et interconnexion............................................................................ 4 Les architectures de rseaux locaux.........................................................................................4 Description des rseaux de premire gnration......................................................................9 Couche Liaison de donnes................................................................................................... 13 Interconnexion....................................................................................................................... 14 Interconnexion de rseaux locaux .........................................................................................15 Lvolution des rseaux locaux............................................................................................. 17 Synthse................................................................................................................................. 18 Exercices................................................................................................................................ 18 Quelques corrigs...................................................................................................................20 Introduction Internet................................................................................................................21 Historique...............................................................................................................................21 Objectifs et hypothses de bases dInternet........................................................................... 21 Architecture en couches......................................................................................................... 23 Adresse IP.............................................................................................................................. 23 Protocole IP............................................................................................................................24 Protocoles de transport...........................................................................................................24 Applications........................................................................................................................... 24 Prsentation du web............................................................................................................... 26 Standardisation.......................................................................................................................26 Synthse................................................................................................................................. 27 Le protocole IP...........................................................................................................................28 Les classes dadresse IP......................................................................................................... 28 Notion de sous-rseaux et de masque.................................................................................... 29 Association des adresses Internet et des adresses physiques ................................................ 30 Adresses IP prives et mcanisme NAT................................................................................ 31 Format du datagramme IP......................................................................................................32 Protocole ICMP..................................................................................................................... 33 Evolution dInternet : le protocole IPv6................................................................................ 34 Synthse................................................................................................................................. 35 Exercices................................................................................................................................ 35 Quelques corrigs...................................................................................................................37 Le routage.................................................................................................................................. 41 RIP......................................................................................................................................... 41 OSPF......................................................................................................................................41 Protocoles TCP et UDP............................................................................................................. 42 Le protocole TCP...................................................................................................................42 Le protocole UDP.................................................................................................................. 43 Synthse................................................................................................................................. 43 Exercices................................................................................................................................ 43 Quelques corrigs...................................................................................................................43 Rseau dentreprise - Intranet et Extranet..................................................................................44 Architecture Client / Serveur................................................................................................. 44 Les serveurs DNS.................................................................................................................. 44 Gestion de la scurit............................................................................................................. 45 Rseaux privs virtuels.......................................................................................................... 51

Synthse................................................................................................................................. 52 Exercices................................................................................................................................ 52 Quelques corrigs...................................................................................................................54

Rseaux locaux d'entreprise et interconnexion

Pour rpondre leurs besoins propres en informatique distribue, les entreprises ont commenc mettre en uvre, au sein de leurs tablissements des rseaux locaux dentreprise, les RLE ou LAN (Local Area Network). Ces rseaux utilisent des protocoles assez simples. Les distances couvertes sont courtes, de quelques centaines de mtres quelques kilomtres, et les dbits peuvent tre importants, jusqu plusieurs dizaines de Mbit/s. Ces rseaux se sont prolongs par la suite, surtout aux tats-Unis, par des rseaux plus tendus, entre tablissements dune mme ville, ou MAN (Metropolitan Area Network), ou interurbains, les WAN (Wide Area Network). Les rseaux locaux informatiques ont t introduits pour rpondre aux besoins de communication entre ordinateurs au sein dune entreprise. Dans une structure commerciale, le rseau local est utilis pour des applications de gestion. Dans un environnement bureautique, il sert la cration de documents, la gestion dagenda, lanalyse de donnes, etc. Il sagit de relier un ensemble de ressources devant communiquer entre elles et den assurer le partage haut dbit : stations de travail, imprimantes, disques de stockage, ordinateurs, quipements vido. Laccs aux rseaux publics de donnes est recherch dans un stade ultrieur. Les rseaux locaux peuvent aussi tre utiliss dans un environnement de production automatise ; ils prennent alors le nom de rseaux locaux industriels, ou RLI, pour la Conception et la Fabrication Assiste par Ordinateur, la CFAO. Il sagit dinterconnecter divers quipements de contrle et de mesure, des capteurs et des actionneurs, pour changer des informations qui doivent tre exploites trs rapidement. Ces rseaux locaux doivent avoir un haut degr de fiabilit et traiter certaines informations en temps rel. Un rseau local est caractris par des stations gographiquement proches les unes des autres et, en gnral, par son aspect diffusif : tout bit mis par une station sur le rseau local est reu par lensemble des stations du rseau. Les principales caractristiques fonctionnelles attendues des rseaux locaux informatiques sont la capacit, la connectivit, linterconnexion, la configuration, la diffusion et la fiabilit : la capacit se dfinit par le dbit que fournit le rseau local et le type dinformation quil transporte : voix, donnes, images ; la connectivit est la capacit de raccorder physiquement des quipements au support physique, et dassurer leur compatibilit au niveau du dialogue ; linterconnexion traduit la possibilit de relier le rseau local dautres rseaux locaux et aux rseaux publics par des ponts, des routeurs et des passerelles ; la configuration reprsente la capacit du rseau local sadapter aux changements de sa structure daccueil (dplacement, ajout, retrait dquipements) et la dfinition des accs aux ressources ; la diffusion, ou broadcast, permet toute station denvoyer un message lensemble ou un sousensemble de stations du rseau ; la fiabilit prend plus ou moins dimportance selon le type dapplication supporte par le rseau local.

Les architectures de rseaux locaux

Dans les rseaux locaux informatiques, les protocoles daccs sont assez simples. Ils respectent le principe de la structuration en couches. Ils ne requirent cependant quune partie des fonctionnalits des 7 couches normalises et peuvent ne mettre en jeu quune partie de ces couches, gnralement les deux premires. En revanche, on ajoute une sous-couche qui nexiste pas dans le modle normalis: la sous-couche MAC (Medium Access Control), dont le rle est de permettre le partage du support, cest--dire celui de la bande passante, par plusieurs utilisateurs. Cette sous-couche est situe entre la couche 1 (Physique) et la couche 2 (Liaison de donnes) ; elle est souvent considre comme une sous-couche de la couche Liaison, celle-ci tant appele LLC, Logical Link Control. Grce la couche MAC, la couche LLC peut se comporter comme si les stations du rseau taient toutes relies deux deux. La couche MAC a pour fonction de rgler laccs au mdium partag et de filtrer les trames reues pour laisser passer celles rellement destines la station.

Ladoption dune architecture en couches permet de disposer dune mme couche LLC quelle que soit la technique de partage du support utilise. La normalisation ne concerne pas les couches au-dessus de LLC ; il est possible dimplanter directement des protocoles applicatifs ou des protocoles dinterconnexion de rseaux . La couche physique est quelquefois dcoupe en une couche PMI, Physical Media Independent sublayer, qui assure le codage en ligne indpendamment du type de support de transmission utilis, et une couche PMD, Physical Media Dependent sub-layer, qui assure lmission physique du signal.
Rseau Liaison de donnes Phy sique non spcif i LLC (Logical Link Control )

MAC (Medium Access Control) PMI (Phy sical Independent sublay er) PMD (Phy sical Medium Dependent sublay er)

Modle OSI

Modle IEEE des rseaux locaux

Modle en couches des rseaux locaux

Normalisation
Les travaux de normalisation ne concernent que les deux premires couches. Ils sont mens par le comit 802 de lIEEE (Institute for Electricity and Electronics Engineers. Le comit 802 de cette socit savante s'est occup de normalisation des rseaux locaux. Il est essentiellement constitu de constructeurs amricains), repris par lISO sous le numro 8802 : la norme 802.1 dfinit le contexte gnral des rseaux locaux informatiques, la norme 802.2 dfinit la couche liaison de donnes, les normes 802.3, 802.4, 802.5 et 802.6, dfinissent diffrents protocoles daccs au support, pour les diffrents types de supports physiques, la paire symtrique, le cble coaxial ou la fibre optique, qui sont considrs comme fiables et offrant un dbit de transmission important, la norme 802.11 dfinit un protocole daccs pour les rseaux locaux sans fils (WLAN, Wireless LAN).
802.1 Contexte Gnral 802.2 Liaison 802.3 CSMA /CD Bus 802.4 Jeton Bus 802.5 Jeton Anneau 802.6 MAN Double Bus 802.11 WLAN Radio LLC

MAC

Phy sique

Porte des diffrentes normes

Adressage
Pour diffrencier les stations relies sur un mme rseau local, il est ncessaire de les reprer par une adresse. Celle-ci est gre au niveau MAC et possde un format dfini par lIEEE sur 16 bits ou sur 48 bits. Ce dernier format permet un adressage universel des quipements : il correspond un numro de srie avec un champ donnant le constructeur qui est attribu par lIEEE, et le numro de la carte librement choisi par le constructeur. De cette faon, toute carte rseau dun ordinateur possde une adresse unique dans le monde. Le format universel sur 48 bits est le plus utilis. Il est possible de dfinir des adresses de groupe qui englobent plusieurs utilisateurs. Lorsque tous les bits sont positionns 1 (sur 16 bits ou sur 48 bits), il sagit dune adresse de diffusion correspondant lensemble des stations dun rseau local.

Adresse univ erselle sur 48 bits I/G 1 bit U/L=0 1 bit adresse constructeur 22 bits adresse carte 24 bits

Adresse administre localement et code sur 48 bits I/G 1 bit U/L=1 1 bit 46 bits

I/G 1 bit 15 bits

Adresse administre localement et code sur 16 bits

Le bit I/G=0 pour une adresse individuelle, I/G=1 pour une adresse de groupe.

Adressages dans les rseaux locaux

Topologie
La topologie dun rseau dcrit la faon dont ses stations sont relies. On distingue trois types de topologie : en bus, en anneau, en toile. Dans la topologie en bus, tous les lments sont relis un support physique commun. Une structure en arbre sans racine est utilise. Les topologies en bus sont conues de faon ce quil ny ait quun seul chemin entre deux lments du rseau. Il ny a pas de boucles. Le support est de type bidirectionnel, il permet lmission dinformations sur le bus vers les stations amont et aval . La topologie en bus permet de faire des communications de point point et se prte naturellement la diffusion.

Topologie en bus
Dans la topologie en anneau, le support relie toutes les stations deux deux, de faon former un anneau. Le support est utilis de faon unidirectionnelle et linformation circule dans un seul sens. Toute station, hormis celle qui gnre la trame, rmet le signal reu provoquant la diffusion de la trame dans lanneau. On parle quelquefois de topologie active ou danneau actif pour souligner le fait que la diffusion est prise en charge par chaque station au contraire du bus qui est intrinsquement diffusif. Le problme de cette topologie est son manque de fiabilit en cas de rupture du support. Cest pour cette raison que lon double parfois le support. Les deux anneaux peuvent transmettre dans le mme sens ou en sens inverse. La seconde solution est prfrable car elle permet de reconfigurer le rseau en cas de rupture des deux anneaux.

Topologie en anneau

Dans la topologie en toile qui est aussi la topologie des centraux multiservices, tous les lments du rseau sont relis un nud central. Cette topologie prsente galement des fragilits : en cas de panne du nud central, le rseau est inutilisable. Le point de concentration central peut aussi constituer un goulet dtranglement sil est mal dimensionn et entraner la dgradation des performances du rseau.

Topologie en toile

Politique de cblage
Le support physique des rseaux locaux informatiques reprsente le systme nerveux de linstallation. La mise en place du cblage constitue un service de base, au mme titre que linfrastructure lectrique des btiments. Cest pourquoi il est ncessaire de disposer dun systme de cblage universel, adapt la diversit des quipements et permettant la mise en uvre de toutes les architectures de rseaux. Il existe deux possibilits de cblage. Le post-cblage consiste installer linfrastructure de communication au fur et mesure des besoins, dans des btiments gnralement non prvus pour cela. Laccroissement du parc des stations informatiques connectes aux rseaux locaux et les restructurations-dmnagements donnent lieu des modifications de cblage continuelles et coteuses. Le prcblage conu ds la construction, consiste poser un rseau de conducteurs en grande quantit, offrant une grande souplesse darrangement. Le prcblage est videmment moins coteux mais il nest ralisable que dans de nouveaux locaux. Le prcblage deviendra probablement systmatique et apportera une prsence de cbles tous les tages, mme si lon ne connat pas laffectation des btiments. Lorganisation du cblage repose sur lexistence de locaux de sous-rpartition dans les tages ou les couloirs, et une distribution semblable depuis les sous-rpartiteurs jusquaux postes de travail des diffrents bureaux. Les sous-rpartiteurs sont relis par des cbles de plus forte capacit un rpartiteur central avec un cblage en toile, qui est compatible avec une organisation du rseau en bus ou en anneau. Une gestion technique du systme de cblage est prvue par certains constructeurs. Les principaux supports de transmission des rseaux locaux sont, comme nous lavons vu au chapitre II, des cbles, constitus de paires symtriques, de cbles coaxiaux ou de fibres optiques. La paire torsade est le support le plus couramment employ. Ses avantages sont le faible cot et la facilit dinstallation ; ses inconvnients sont la mauvaise immunit aux bruits. Les paires torsades permettent des dbits de lordre du Mgabit par seconde, certains constructeurs proposent 10 voire 100 Mbit/s, mais sur de courtes distances. Certains constructeurs proposent des paires torsades blindes (Shielded Twisted Pair) plus rsistantes aux interfrences mais plus coteuses. Le cble coaxial, largement utilis, prsente des caractristiques trs intressantes, mais un cot plus lev que la paire torsade. Deux types de transmission sont possibles : la transmission numrique en bande de base et la transmission analogique par talement de bande avec laquelle plusieurs communications simultanes utilisent chacune une porteuse particulire. Les avantages du cble coaxial sont des performances suprieures la paire torsade et une meilleure immunit aux bruits ; son inconvnient, une installation moins souple. La fibre optique est de plus en plus utilise malgr un cot plus lev. Les avantages en sont une totale immunit aux bruits, un trs faible poids, un encombrement minimal et une trs large bande passante ; les inconvnients, le cot et la complexit de connectique.

Techniques daccs au support

Les rseaux locaux informatiques ncessitent un partage de la bande passante utile entre les diffrents utilisateurs du rseau. Il existe diffrentes techniques daccs au support. Elles peuvent tre dterministes ou alatoires. Les techniques dterministes sont celles o lallocation de la bande se fait dynamiquement en fonction de lactivit des stations ; cest le cas du contrle centralis par polling, o une station matresse interroge tour tour les autres stations pour leur donner loccasion dmettre ou de recevoir. Cest aussi le cas des protocoles jeton o le droit dutiliser la bande est donn explicitement par la remise dune trame particulire appele jeton. Dans les techniques accs alatoire, chaque station tente sa chance pour obtenir laccs la bande et il existe plusieurs protocoles bass sur une telle technique comme Aloha (La plus ancienne mthode de contrle des accs un support physique. Elle consiste envoyer l'information sans s'occuper de ce qui se passe sur le support et retransmettre l'information au bout d'un temps alatoire en cas de collision. Son nom provient d'un gnie des lgendes hawaennes car c'est dans l'archipel d'Hawa que cette technique a t exprimente pour la premire fois, avec un rseau hertzien reliant les diffrentes les) et CSMA/CD, qui doivent rsoudre des problmes de collisions.

Techniques daccs alatoire au support

Dans les mthodes de type CSMA, pour Carrier Sense Multiple Access, (IEEE 802.3), les stations se mettent lcoute du canal et attendent quil soit libre pour mettre. Les transmissions ne sont pas instantanes par suite des dlais de propagation, et une collision peut se produire au moment o une station met, mme si elle a cout le canal au pralable et na rien entendu. Plus le dlai de propagation est grand, plus le risque de collision est important. Il existe diffrentes variantes du protocole. La plus classique est celle des rseaux 802.3 : CSMA/CD, pour CSMA with Collision Detection. Sa particularit est que la station continue couter le canal aprs le dbut de lmission et arrte immdiatement lmission si une collision est dtecte. Le temps pendant lequel on coute ainsi, alors quon est en train de transmettre, est limit quelques microsecondes (temps de propagation aller retour entre les deux stations les plus loignes). La dure de la collision est ainsi rduite au minimum. Le temps ncessaire pour mettre une trame ne peut pas tre garanti avec le CSMA/CD. En effet, les retransmissions sont effectues aprs une dure alatoire qui dpend du nombre de tentatives et aprs 16 tentatives infructueuses, on abandonne. Lintrt de cette technique est quelle ne ncessite pas la prsence dune station matresse.
trame mettre essai := 0

oui

porteuse ? non essai := essai + 1 dbut d'mission collision ? non suite et f in d'mission

calculer dlai (f onction nb essais) + attendre continuer l'mission (dure minimale) puis stopper essais oui 16 ? non

oui

f in : mission russie

f in : echec

Algorithme dmission CSMA/CD

Techniques daccs dterministe au support

La mthode du jeton peut tre utilise sur un bus ou sur un anneau. Le jeton circule de station en station. Une station qui reoit et reconnat le jeton mis par la station prcdente peut alors accder au support. En fonctionnement normal, une phase facultative de transfert des donnes alterne avec une phase de

transfert du jeton. Chaque station doit donc tre en mesure de grer la rception et le passage du jeton, en respectant le dlai maximum dfini par la mthode. Les stations doivent galement prendre en compte linsertion dune nouvelle station. Enfin, elles doivent ragir laltration voire la perte du jeton en mettant en uvre un mcanisme de rgnration du jeton.
trame mettre

non

rception jeton ? oui lancement temporisation

slection trame suiv ante

mission de la trame

oui

autre trame mettre et temporisation non coule ? non transmission du jeton f in

Principe gnral de laccs par jeton

Description des rseaux de premire gnration

Le premier rseau local utilisant le CSMA/CD sur un bus a t dvelopp par la socit Xerox pour le produit appel Ethernet. Il a eu un succs considrable et les socits Xerox, DEC et Intel ont dcid den faire un standard qui a servi de base au comit IEEE 802.3 pour sa norme. Toutefois, le produit Ethernet et le standard IEEE 802.3 diffrent sur des points mineurs. Il est dusage courant de appeler Ethernet tout rseau local utilisant le CSMA/CD. Nous prsentons ici la norme IEEE 802.3 dans ses grandes lignes.

Caractristiques physiques des rseaux IEEE 802.3 CSMA/CD

Les rseaux IEEE 802.3 utilisent une transmission en bande de base avec un code Manchester. Afin que toutes les stations reoivent un signal de niveau suffisant, la longueur du bus est limite 500 mtres. Pour atteindre des longueurs suprieures, il est possible dutiliser des rpteurs, qui dcodent les signaux reus et les rgnrent mais ne les interprtent jamais (ils nont pas de couche MAC mais juste une couche physique). Les rpteurs introduisent un retard de quelques bits et contribuent augmenter le dlai de propagation. Ils permettent de relier entre eux diffrents segments de faon former un seul bus logique et un seul domaine de collision. Pour limiter les risques de collision, le dlai de propagation aller-retour du signal entre les deux stations les plus loignes doit tre infrieur 51,2 s ce qui limite 4 le nombre de rpteurs traverss pour relier 2 stations (soit au plus 5 segments relis en srie). La structure dun rseau peut donc tre plus complique quun simple bus reliant toutes les stations. Chaque extrmit dun bus est muni dune rsistance terminale ou terminateur qui prsente une impdance de 50 , impdance caractristique du bus. Son rle est de dabsorber le signal lectrique qui se propage, lempchant au maximum dtre rflchi en sens inverse et de provoquer un brouillage du signal par lui-mme.

Station

Rsistance terminale

Rpteur

Entre deux stations, on traverse au plus 5 segments.

Exemple de rseau IEEE 802.3

Format de la trame dans les rseaux IEEE 802.3 CSMA/CD

Le format de la trame de base comporte un long prambule (101010) provoquant lmission dun signal rectangulaire de frquence 10 MHz et permettant lensemble des stations du rseau de se synchroniser sur lmetteur. Le champ SFD, Start Frame Delimitor, contient une squence particulire (10101011) et marque le dbut de la trame. La trame contient galement ladresse du destinataire DA, Destination Address, et de lexpditeur SA, Source Address. Un champ de longueur prcise le nombre doctets des donnes de niveau suprieur (i.e. donnes LLC) dans la trame. Celle-ci est complte par des octets de bourrage si la taille est infrieure ou gale 64 octets. La validit des trames reues est contrle par un bloc de contrle derreur plac dans le champ FCS, Frame Check Sequence.
10101010 10101010 10101010 10101010 10101010 10101010 10101010 10101011

DA- Adresse Destination (48 bits) SA- Adresse Source (48 bits) Protocole ou longueur (16 bits) Donnes (de 46 1500 octets) et bourrage ventuel FCS- Bloc de contrle derreur (32 bits)

La taille de la trame (moins les 8 octets de prambule) doit tre comprise entre 64 et 1518 octets, ce qui laisse de 46 1500 octets "utiles". Un contenu plus court que 46 octets est complt par des caractres de remplissage. Dans la norme, le champ protocole tait suppos indiquer la longueur effective du contenu de la trame. Dans la pratique, le contenu de la trame (IP, ARP, etc) dcrit implicitement la longueur et le champ est utilis pour dnoter le protocole utilis. Le champ "protocole" peut prendre les valeurs suivantes (en hexadcimal) : 0800 protocole IP 0806 protocole ARP 0835 protocole RARP

Plan de cblage des rseaux IEEE 802.3 CSMA/CD

Le plan de cblage dfinit la faon dont on organise physiquement les connexions des stations. Il peut suivre la topologie en bus, ou bien tre en toile. La nomenclature usuelle dsigne le type de cblage et de topologie physique par sous la forme XBaset o X dsigne le dbit exprim en Mbit/s, Base indique une transmission en bande de base et t renseigne sur le type de cble ou la longueur maximale dun segment. Les cblages les plus anciens sont le 10 Base 5 et le 10 Base 2 : 10 Base 5 est un coaxial de 500 mtres maximum par segment, gnralement blanc, permettant un dbit en bande de base de 10 Mbit/s, utilis dans lEthernet classique,

10

 10 Base 2 est un coaxial fin de 180 mtres maximum par segment, gnralement jaune, permettant un dbit en bande de base de 10 Mbit/s, utilis dans Cheapernet.

Cblage en bus
La grande faiblesse dun cblage en bus est sa sensibilit aux incidents : si le bus est coup, on se retrouve en prsence de deux bus ayant chacun une extrmit sans rpteur. La dsadaptation dimpdance provoque un auto-brouillage d aux phnomnes dcho. On a massivement recours au cblage en toile : toutes les stations sont branches sur un concentrateur ou hub, qui retransmet sur lensemble des ports tout signal reu sur un port quelconque. La topologie logique reste donc celle dun bus et le fonctionnement de laccs par CSMA/CD est inchang. Les cblages dans ce cas sont les suivants : 10 Base T (T pour Twisted pair) est une paire en bande de base de 100 m par segment, 10 Mbit/s, 10 Base F (T pour Fiber) est une fibre optique de 2,5 km, en bande de base 10 Mbit/s, 10 Broad 36 est un cble de tldistribution de 3,6 km, avec talement de bande, 10 Mbit/s par canal (impdance 75). Le cblage en toile a t initialement introduit par ATT dans le produit Starlan sous la rfrence 1 Base 5. Il est constitu de paires symtriques tlphoniques de 2 km, permet un dbit de 1 Mbit/s et 5 concentrateurs. Le principal intrt est son trs faible cot.

concentrateur

v ers autres concentrateurs

paires torsades

Cblage en toile avec paire torsade

La grande force de 802.3 est sa simplicit : lutilisation dun mdium diffusif (ou dun concentrateur) rend lajout et le retrait de station trs simple. A faible charge, laccs est quasiment immdiat. En revanche, le rseau supporte mal les fortes charges qui peuvent provoquer un effondrement du dbit utile. De plus, le dlai daccs est non born. En conclusion, 802.3 est surtout orient vers la bureautique. Sa simplicit dutilisation en fait le rseau dentreprise le plus utilis pour ces applications.

Principe gnral des rseaux IEEE 802.5 ou anneau jeton

Lanneau jeton ou Token Ring a t principalement dvelopp par la socit IBM et normalis par lIEEE dans le standard 802.5. Lanneau jeton est un anneau simple unidirectionnel : chaque station est relie deux autres, en point point. Une station en service est normalement insre dans lanneau. Elle peut sextraire de lanneau elle se met en by-pass en cas de panne ou de mise hors tension. Des dispositifs lectroniques ou lectromagntiques permettent lanneau de se reconfigurer automatiquement en cas dincident.

11

Les stations C et E sont en by-pass.

Constitution dun anneau

Une station qui ne dtient pas le jeton se comporte comme un rpteur physique : elle rgnre bit bit le signal reu et prend copie du message reu. Lquipement qui dtient le jeton met une trame vers son successeur qui le retransmet au suivant et ainsi de suite jusqu lquipement metteur. Ce dernier peut ainsi vrifier en comparant la trame reue et la trame mise que celle-ci a correctement fait le tour de lanneau. Lorsquun quipement a transmis sa ou ses trames il transmet un jeton et se met en rmission.

Format de la trame dans les rseaux IEEE 802.5 anneau jeton

Le format des trames est diffrent. Le jeton est une trame particulire courte dont le format correspond au dbut dune trame normale. Lorsquaucune station na de trame transmettre, le jeton circule dans lanneau, chaque station se comportant comme un rpteur. Il est donc ncessaire que la dure entre lmission dun bit et la rception de ce mme bit aprs un tour danneau soit suprieure la dure de transmission du jeton cest--dire que la latence soit suprieure la longueur du jeton, soit 24 bits. Si lanneau est trop petit, une station particulire appele moniteur de boucle ou Monitor, gre une petite mmoire tampon pour retarder la rmission et porter la latence 24 bits. Le champ SD, Start Delimitor, marque le dbut le trame. Le champ AD, Access Control, indique sil sagit dun jeton libre ou dune trame. Il comporte de plus un bit M gr par le moniteur, et deux groupes de 3 bits chacun, donnant la priorit du jeton ou de la trame transmise et la priorit des trames en attente dans les stations de lanneau. Le champ FC, Frame Control, donne le type de trame. Les champs DA, SA, donnes LLC et FCS sont dfinis comme dans IEEE 802.3. Le champ ED, End Delimitor, dlimite la fin du jeton ou de la trame de donnes. Pour cette dernire, il est suivi dun champ FS, Frame Status, permettant de surveiller lanneau.
Jeton (Token) SD AD ED porte du calcul pour le contrle d'erreur DA SA donnes LLC N octets ( 4027) N FCS ED FS

1 oct. 1 oct. 1 oct. trame de donnes SD AD FC

1 oct. 1 oct. 1 oct. 2 ou 6 2 ou 6 octets octets

4 octets 1 oct. 1 oct.

Format de trame 802.5

Le champ FS contient deux fois deux bits A et S qui sont positionns 0 par lmetteur de la trame. Toute station qui reconnat son adresse (individuelle ou de groupe) positionne 1 un des bits A qui tait 0. Elle positionne le bit S si elle a pu correctement dcoder la trame et la stocker. Ces deux bits permettent donc de dtecter la duplication dune adresse individuelle (possible seulement en cas dadministration locale des adresses) et de sassurer que la trame a t reue par au moins une station. La transmission se fait en bande de base suivant un code Manchester diffrentiel, caractris par une transition au centre du bit. Les dlimiteurs de dbut et de fin comportent des codes appels J et K qui sont caractriss par une absence de transition et ne correspondent donc ni un 0 ni 1. Ils permettent de dlimiter les trames en rsolvant les problmes de transparence

Gestion de lanneau dans les rseaux IEEE 802.5

Lorsquune station dtient le jeton, elle peut mettre une trame. Celui-ci fait le tour de lanneau et lui revient : par le jeu des diffrents indicateurs (champ AD, bits A, S), elle vrifie que lanneau nest pas coup, quil ny a pas duplication du moniteur, que la trame a t recopie par le destinataire, et dtecte

12

la demande de jeton de plus haute priorit exprime par une des stations du rseau. Elle peut ensuite mettre une autre trame ou transmettre un jeton libre son successeur. Il est ncessaire que la station reoive le dbut de sa trame avant de pouvoir mettre un jeton libre. Afin dviter toute utilisation abusive du support, chaque station arme un temporisateur au dbut la phase dmission et doit obligatoirement passer le jeton lorsque celui-ci arrive chance. On peut affecter diffrentes priorits aux stations. Celle qui a une trame en attente de priorit infrieure celle du jeton ne peut capturer le jeton. Elle doit attendre un passage du jeton avec un priorit infrieure ou gale celle de sa trame. Le fonctionnement dun anneau jeton est assez compliqu quand on considre les cas dincidents et de mise en service : linitialisation, il faut crer un jeton ; la mise hors service dune station qui possde le jeton provoque la disparition de celui-ci. Une station appele moniteur, lue par ses paires, surveille la prsence des stations, rgnre le jeton en cas de perte, dtecte les messages ayant fait plus dun tour, assure la synchronisation bit, etc. Le moniteur fournit une mthode de correction de la contenance de lanneau, qui permet lanneau initial, quelle que soit sa taille, de contenir le jeton. Toutes les stations peuvent jouer le rle de moniteur, pour suppler le moniteur actif en cas de panne.

Plan de cblage dans les rseaux IEEE 802.5

Le plan de cblage gnralement propos pour lanneau jeton comprend un ensemble dtoiles. Un concentrateur actif AWC, Active Wire ring Concentrator, permet de constituer lanneau. Par des dispositifs lectroniques ou lectromcaniques, il surveille la prsence active de chaque station (dtection dune station hors station, dun cble coup) et reconfigure automatiquement lanneau en cas dincident en excluant la station concerne (mise en by-pass). Il est possible de relier plusieurs concentrateurs entre eux pour augmenter la taille de lanneau et le nombre des stations. Le cble de raccordement entre la station et le concentrateur est gnralement une paire torsade blinde dimpdance 150 . Les dbits possibles sont de 1, 4 et 16 Mbit/s. Le nombre maximal de stations dans lanneau peut aller jusqu 260.
A B

concentrateurs

La station E, hors-service, est mise en by-pass par le concentrateur 1. Le concentrateur 2 dtecte la rupture du cble avec C et reboucle lentre-sortie correspondante.

Cblage physique
Le dbit rel dun anneau de 4 Mbit/s est trs lgrement infrieur 4 Mbit/s. Il rsiste bien la charge et le dbit utile ne seffondre jamais comme cest possible avec 802.3. De plus, comme il est possible de borner le dlai daccs au mdium, il permet denvisager des dialogues entre machines sur lesquelles tournent des applications temps rel. Cependant la couche MAC est plus complique que pour 802.3 et faible charge le dlai daccs est non nul puisquil faut attendre le jeton avant dmettre (alors que laccs est immdiat en CSMA/CD sur un bus libre).

Couche Liaison de donnes

La Couche Liaison de donnes, dans les rseaux locaux, dfinit le format, la structure et la succession des trames qui sont changes. La norme IEEE 802.2 dfinit un protocole de commande, LLC pour

13

Logical Link Control, qui est bas sur les formats du protocole normalis HDLC. Trois types de LLC ont t dfinis : LLC1 est sans connexion et fournit un service de type datagramme sans aucun contrle, en point point, en multipoint ou en diffusion ; LLC2 assure un service avec connexion entre deux points daccs et possde les fonctionnalits compltes dune procdure telle que LAP-B, qui assure contrle de flux et contrle derreur ; LLC3, adapt au monde des rseaux industriels, rend un service sans connexion, mais avec acquittement. Il a lavantage de LLC1 pour la rapidit avec la garantie du bon acheminement grce lacquittement. LLC1 est le protocole le plus courant. LLC1 possde trois trames diffrentes : UI (Unnumbered Information), trame dinformation non numrote, correspondant la notion de datagramme ; XID (eXchange IDentifier), trame de contrle pour changer des identifications ; TEST.
ADDRESS DSAP 8 bits ADDRESS SSAP 8 bits CONTROL 8 bits INFORMATION

Format des trames LLC 1

Le champ Control est cod conformment au LAPB. Les champs Address DSAP (Destination SAP) et Address SSAP (Source SAP) sont les adresses des SAP (Service Access Point) source et destination, lesquelles, associes avec ladresse physique de la couche MAC, dsignent de manire unique lorigine et le destinataire de lchange.

Interconnexion
Physiquement, deux rseaux ne peuvent tre relis que par lintermdiaire dune machine connecte chacun deux et qui sait acheminer des paquets dun rseau lautre. De telles machines sont appeles passerelles.

Rseau A

Rseau B

La passerelle doit accepter, sur le rseau A, les paquets destins aux machines du rseau B et transmettre les paquets correspondants. De faon analogue, elle doit accepter, sur le rseau B, les paquets destins aux machines du rseau A et transmettre les paquets correspondants.

Une passerelle reliant deux rseaux

Lorsque les interconnexions de rseaux deviennent plus complexes, les passerelles doivent connatre des informations relatives la topologie de linterconnexion, au-del du rseau auquel elles sont connectes.

Rseau A

Rseau B

Rseau C

Trois rseaux relis par deux passerelles

Les passerelles doivent bien videmment savoir comment router les paquets vers leur destination. Ce sont souvent des mini-ordinateurs qui conservent des informations relatives chacune des machines de linterconnexion laquelle ils sont relis. Pour minimiser la taille des passerelles, les paquets sont achemins en fonction du rseau destination et non en fonction de la machine destination. La quantit

14

dinformation gre par une passerelle devient alors proportionnelle au nombre de rseaux de linterconnexion et non au nombre de machines. Lutilisateur voit une interconnexion comme un rseau virtuel unique auquel les machines sont connectes. Les passerelles, pour acheminer des paquets entre des paires quelconques de rseaux peuvent tre obliges de leur faire traverser plusieurs rseaux intermdiaires. Les rseaux de linterconnexion doivent accepter que des donnes extrieures les traversent. Les utilisateurs ordinaires ignorent lexistence du trafic supplmentaire achemin par leur rseau local.
Rseau phy sique

(1)

(2)

Passerelle

Machines

Une interconnexion de rseaux vue par lutilisateur (1) : chaque machine semble tre raccorde un seul et immense rseau : le rseau virtuel unique. La structure relle (2) : des rseaux physiques interconnects par des passerelles

Rseaux interconnects

Interconnexion de rseaux locaux

On ne conoit plus dsormais un rseau local sans une ouverture vers le monde extrieur, il devient ncessaire dinterconnecter les rseaux entre eux et de pouvoir les raccorder aux moyens de communication publics ou privs grande distance. Plusieurs dispositifs dinterconnexion peuvent tre mis en jeu
couches suprieures couches suprieures couches suprieures pont entre deux RLE identiques couches suprieures

LLC MAC phy s

rpteur RLE 1 RLE 2

LLC MAC phy s

LLC MAC phy s

LLC MAC phy s

RLE 1 couches suprieures

RLE 2 couches suprieures

couches suprieures

routeur entre deux RLE dif f rents

couches suprieures

rseau LLC MAC phy s RLE 1 RLE 2

rseau LLC MAC phy s

passe relle

LLC MAC phy s RLE 1 RLE 2

LLC MAC phy s

Niveaux dinterconnexion de rseaux locaux

Les rpteurs ne font que prolonger le support physique, en amplifiant les signaux transmis. Ils propagent donc les collisions. Les ponts ou bridges en anglais, sont conus pour construire un rseau local logique partir de plusieurs rseaux locaux homognes distants. Ce sont des connecteurs volus qui interviennent au niveau de la

15

couche MAC. Deux demi-ponts peuvent tre relis par une liaison grande distance. Les ponts ont progressivement volu vers des quipements plus sophistiqus, appels parfois ponts filtrants, ou brouter pour bridge-router en anglais, qui effectuent un filtrage des donnes et possdent des fonctions de scurit et de contrle du trafic particulires. Les ponts filtrants permettent, par exemple, de dtecter les chemins redondants entre deux rseaux locaux grce un change dinformations de gestion interne. Les ponts sont transparents aux protocoles des couches suprieures. Les ponts permettent galement de segmenter un rseau local en deux sous-rseaux pour amliorer les performances. Dans un rseau Ethernet par exemple qui approche de la saturation, on peut chercher les couples de machines qui ont un gros trafic entre elles et les isoler de chaque ct du pont. Le pont travaille alors par apprentissage : progressivement, il apprend situer les stations sur chacun des sous rseaux (au fur et mesure de leur activit). Ds quune trame se prsente sur le pont et quelle est destine au sous-rseau do elle vient, le pont la filtre : le deuxime sous-rseau ne la reoit pas.
A A B B C C D D E E F F

Les deux machines A et B changent normement de donnes entre elles ; D, C, E et F ont un traf ic quelconque rparti sur toutes les machines.

B pont

Les deux machines A et B changent normement de donnes entre elles ; leur traf ic ne pertube plus les autres machines grce au pont.

Introduction dun pont dans un rseau local

Les routeurs, ou routers en anglais, sont destins relier plusieurs rseaux de technologies diffrentes. Ils oprent au niveau de la couche Rseau et effectuent le routage des informations travers lensemble des rseaux interconnects. Ils sont plus chers et gnralement moins performants que les ponts et ils sont lis larchitecture des protocoles utiliss. Les passerelles, ou gateways, entrent en scne dans les cas les plus complexes pour assurer une compatibilit au niveau des protocoles de couches hautes entre rseaux htrognes. Elles permettent des postes situs sur le rseau local de dialoguer avec lapplication situe sur un ordinateur avec une architecture propritaire.
dpartement B dpartement A pont

Rseau fdrateur FDDI

routeur vers extrieur RLE IEEE 802.3

miniordinateur

dpartement C

Exemple de rseau fdrateur

Les grandes entreprises sont gnralement structurs en dpartements qui sont dans des tages diffrents dun btiment voire sur plusieurs btiments dun mme site. Le trafic global gnr peut tre important avec de gros changes de donnes au sein des dpartements. Il est frquent de constituer des rseaux pour chaque dpartement (ou groupe de dpartements) et de relier tous ces rseaux par un rseau haut dbit qui fonctionne en rseau fdrateur ou backbone. La liaison de chaque rseau au rseau fdrateur se fait par un pont. Le trafic interne un dpartement reste cirsconcrit son rseau propre. De plus, certains moyens informatiques communs lensemble de lentreprise peut tre mis sur le rseau fdrateur et

16

devenir accessible tous de mme que les accs des rseaux externes (on met par exemple un routeur IP connect lInternet).

Lvolution des rseaux locaux

Lintgration des rseaux locaux dans le systme dinformation et de communication de lentreprise conduit au concept plus gnral de rseau dentreprise, avec une transparence des accs pour lutilisateur et donc la ncessit doffrir les mmes informations et les mmes ressources informatiques, grce une relle distribution des applications. Lvolution des rseaux tend vers des dbits toujours plus levs qui ont un impact sur lefficacit.

Rseaux de type Ethernet

Si Ethernet a t initialement conu pour fonctionner sur des cbles coaxiaux un dbit de 10 Mbit/s, il est devenu le rseau local le plus rpandu ds que le cblage tlphonique a pu tre utilis. Fast Ethernet, une version 100 Mbit/s compatible avec les rseaux 10 Mbit/s, est maintenant largement diffuse. Gigabit Ethernet, une version 1 Gbit/s (1000 Mbit/s) se rpand de plus en plus. Les quipements Gigabit combinent gnralement des ports 10 et 100 Mbit/s avec une ou plusieurs connexions sur des fibres optiques 1 Gbit/s. Gigabit Ethernet sest dvelopp dans les environnements commuts et possde deux modes de fonctionnement : les modes duplex intgral et semi-duplex. Le duplex intgral permet une station dmettre et de recevoir simultanment des donnes, chaque station utilisant une voie pour chaque sens de communication. Il ny a donc plus de collision possible avec les missions des autres stations. Le semi-duplex est employ lorsque les stations sont raccordes par un hub. Des collisions entre trames mises simultanment par diffrentes stations peuvent alors se produire. cause du dbit employ, le temps dmission dune trame est trs faible. Des fonctionnalits supplmentaires dans la mthode daccs ont d tre apportes : lextension de trame et le mode rafale. La premire consiste porter la longueur minimale de la trame 512 octets (au lieu de 64 octets dans lEthernet classique). La seconde permet un metteur denvoyer en une seule fois plusieurs trames conscutives.

Rseaux locaux commutateur et rseaux locaux virtuels

La limitation du dbit utile dans un rseau Ethernet est due aux nombreuses collisions qui apparaissent forte charge. Une solution pour amliorer lefficacit consiste abandonner le principe du mdium diffusant et utiliser un commutateur. Le commutateur stocke les trames mises par les stations et les retransmet ensuite. Il a une capacit de stockage permettant dviter tout conflit. Cette solution est appele Ethernet Commut. Le passage dEthernet classique avec un concentrateur et un cblage en toile Ethernet commut est transparent pour les stations. Elles restent 100 Mbit/s par exemple ( 10 Mbit /s, quand cela existe encore) et coutent toujours le canal avant dmettre. Chaque station dispose de la totalit de la bande de 100 Mbit/s entre elle et le commutateur, ce qui constitue une amlioration considrable. Les commutateurs proposent quelques ports rapides 1Gbit/s. Lintroduction des commutateurs dans un rseau local a permis de construire des rseaux logiques indpendants les uns des autres. Ces rseaux sont dfinis en fonction des centres dintrt de leurs utilisateurs et non en fonction de la situation gographique des stations au sein de lentreprise. On parle alors de rseaux virtuels ou VLAN (Virtual LAN). Un rseau virtuel regroupe une communaut dusagers rpartis dans toute lentreprise, comme sils appartenaient au mme rseau physique. Les changes lintrieur dun VLAN sont scuriss et les communications entre VLAN contrles. Par exemple, le rseau virtuel rserv la direction de lentreprise fournit un espace de communication scuris lquipe directoriale. Celui-ci est logiquement distinct du rseau virtuel affect aux services de production, mme si les machines sont relies aux mmes commutateurs. Plusieurs de niveaux de VLAN sont possibles, selon la manire dont les diffrentes stations du VLAN sont identifies. Le niveau 1 relie des machines connectes au mme port du commutateur ; le niveau 2 dfinit les machines dun VLAN en fonction de leurs adresses MAC et le niveau 3 regroupe les machines en fonction de leurs adresses IP. Avec les VLAN de niveaux 2 et 3, les machines peuvent appartenir plusieurs VLAN et le commutateur contient une table de correspondance entre les VLAN et la liste des

17

adresses associes. Lidentification du VLAN utilis est contenue dans un champ supplmentaire de la trame mise par la station.

Rseaux locaux sans fil

Les rseaux locaux sans fil WLAN sutilisent comme les rseaux filaires et couvrent quelques centaines de mtres. Les technologies sans fil voluant trs rapidement, on trouve toute une srie de normes physiques, repres par la lettre suivant le terme gnrique 802.11. Elles se distinguent par la bande de frquences utilise, les dbits binaires et la porte dans un environnement dgag. Le Wi-Fi (802.11b) est lune des premires solutions du standard 802.11. Il utilise la bande de frquences 2,4 GHz sur une porte maximale de 300 mtres. Les dbits disponibles pour les rseaux sans fil varient de 11 Mgabit/s pour le 802.11b 54 Mgabit/s pour le 802.11g. Deux autres solutions plus rcentes coexistent dans la bande des 5 GHz (Wi-Fi5 ou 802.11a et HiperLan2 ou 802.11h). Le protocole daccs utilis dans les rseaux locaux sans fil est CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance), une variante des algorithmes de la famille CSMA. Ce protocole est destin limiter les risques de collisions entre missions provenant de machines qui ne se voient pas, cest-dire entre machines se trouvant hors de porte lune de lautre. Lorganisation interne dun rseau local sans fil est soit indpendante de toute infrastructure (rseaux ad hoc), soit elle est structure en domaines indpendants appels cellules (rseaux cellulaires). Dans un rseau ad hoc, les communications sont directes, de machine machine (connexions point point). Les quipements dun tel rseau sont de ce fait la fois hte et relais pour les stations hors de porte ; les rgles topologiques des rseaux filaires sont alors inapplicables car la validit dun itinraire peut changer brusquement. De plus, les algorithmes de routage ont d tre adapts pour tenir compte de la bande passante limite et de la faible dure de vie des batteries.

Synthse
Dans le domaine des communications locales un btiment, un site, un campus (domaine priv), les solutions de communications sont nombreuses : rseau local informatique ou PABX. Lutilisation dun support unique partag entre plusieurs utilisateurs dans un rseau local ncessite la mise en uvre de protocoles spcifiques (accs alatoire avec dtection de porteuse ou mcanisme de jeton) ; par ailleurs, ces rseaux permettent la diffusion dinformation et doivent tre relis au monde extrieur par des passerelles (relais, ponts, routeurs, selon le niveau de linterconnexion).

Exercices

Exercice 1
Pourquoi la trame IEEE 802.3 (Ethernet) ne contient-elle pas de fanion de fin comme une trame type HDLC ? Pourquoi la trame IEEE 802.5 (Token Ring) ne contient-elle pas un long prambule comme la trame IEEE 802.3 ?

Exercice 2
Soit un rseau Ethernet en bus de 8 stations. La distance moyenne entre stations est de 15 mtres. La vitesse de propagation est de 250 m/s. Quelle est la dure de la priode de vulnrabilit ? Lors de la reprise de la surveillance du jeton par un nouveau moniteur, celui-ci met une trame AMP. La premire station situe en aval du moniteur rcupre cette trame et met la place une trame SMP qui sera traite par toutes les stations, afin que le moniteur puisse connatre la station qui le prcde sur l'anneau. Cette mthode permet-elle de dtecter la dfaillance d'une station intermdiaire ? Sinon, comment peut-on diagnostiquer la dfaillance d'une telle station ?

Exercice 3
Que se passe-t-il dans un rseau local en bus s'il n'y a pas de bouchon terminateur ?

18

Exercice 4
Dans un rseau local dont le dbit binaire est de 5 Mbit/s, les signaux se propagent la vitesse de 250 m/s. Un bit transmis est quivalent quelle longueur de cble ? Ceci a-t-il une influence sur le choix de la longueur des messages ?

Exercice 5
Une entreprise dispose dun rseau Ethernet. Un nouvel employ dans lentreprise est dot dun ordinateur ayant une carte Ethernet dadresse universelle 3E 98 4A 51 49 76 (en hexadcimal). A quel niveau cette adresse est-elle gre ? Est-il ncessaire de vrifier quaucun autre ordinateur ne dispose de la mme adresse dans le rseau local ?

Exercice 6
Dterminer le dbit utile maximal sur un rseau Ethernet. On rappelle que le dbit nominal est de 10 Mbit/s et que les trames contiennent un prambule de 8 octets, deux champs dadresse de 6 octets chacun, un champ longueur de 2 octets, des donnes dont la longueur est obligatoirement comprise entre 46 et 1500 octets et un bloc de contrle derreur de 4 octets. Par ailleurs, un intervalle de silence entre trames est obligatoire : sa dure est de 9,6 ms. Que pensez-vous du rsultat obtenu ? Pourquoi ne peut-on pas latteindre ? Quel est le degr du polynme gnrateur utilis pour le contrle derreur ?

Exercice 7
Soit un anneau jeton constitu de 4 stations A, B, C et D. A un instant donn, A met une trame MAC avec la priorit 3. C veut mettre une trame avec la priorit 4 et D veut mettre avec la priorit 5. Sachant que chaque station s'occupe de retirer de l'anneau la trame qu'elle a mise et qu'elle doit remplacer celleci par une trame comportant un jeton libre, indiquez comment vont oprer les stations pour rpondre aux besoins du trafic (la fin de l'opration demande correspond la circulation d'une trame avec un jeton libre la priorit initialement utilise par A).

Exercice 8
Un rseau local en bus de type 802.3 a un dbit de 10 Mbit/s et mesure 800 mtres. La vitesse de propagation des signaux est de 200 m/s. Les trames MAC contiennent 256 bits en tout et l'intervalle de temps qui suit immdiatement une transmission de donnes est rserv l'mission de l'accus de rception de 32 bits. a) Quel est le nombre de bits en transit sur le bus un instant dtermin ? b) Quel est le dbit efficace du rseau, en supposant qu'il y a 48 bits de service (champs MAC et LLC) dans chaque trame ?

Exercice 9
Un rseau local en anneau comprend 10 stations uniformment rparties. La vitesse de propagation des signaux est de 200 m/s. Les trames MAC ont une longueur totale de 256 bits. Calculez le nombre de bits en transit sur l'anneau pour les configurations suivantes : a) Pour une longueur de 10 km et un dbit binaire de 5 Mbit/s ? b) Pour une longueur de 1 km et un dbit binaire de 500 Mbit/s ? c) Comparez les deux anneaux du point de vue du nombre de trames en transit et du dbit utile, si la station mettrice attend le retour de sa propre trame pour rinjecter le jeton sur l'anneau.

Exercice 10
Quels sont les objets compars en haut des deux colonnes ? Justifiez votre rponse. ? ? Elments de comparaison Simplicit dinstallation et de Oui Non configuration Filtrage Sur les adresses physiques Sur les adresses IP

19

Trafic de service Protocoles traits Filtrage du trafic de diffusion Gestion de la scurit du rseau

Non sauf Spanning Tree Important Routing Information Algorithm Protocol Indpendant des protocoles Une version de logiciel par protocole trait Non Oui Non Oui

Quelques corrigs

Exercice 1
La trame Ethernet 802.3 ne contient pas de fanion de fin car elle est suivie dun signal obligatoire (intervalle inter-trames) et que sa longueur est code dans le champ longueur. [Dans le cas o le champ longueur est remplac par un champ type , il faut extraire la longueur du contenu lui-mme]. Dans Ethernet nimporte quelle station peut un moment donn prtendre prendre la parole. Pour une station qui reoit, lmetteur est inconnu et se situe une distance quelconque, il est variable dune transmission la suivante : il est ncessaire de se re-synchroniser sur chaque rception de trame. Dans Token Ring, une station reoit toujours de la part de son prdcesseur sur lanneau (point point), la synchronisation est beaucoup plus simple acqurir.

Exercice 3
Aucune transmission nest possible. Le bouchon a un rle lectrique, il doit avoir une impdance bien adapte de telle sorte que les signaux ne soient pas rflchis en arrivant aux extrmits du cble. La rflexion est source de bruit et perturbe toutes les transmissions.

Exercice 4
Si le dbit est de 5 Mbit/s, un bit occupe 1/5.106 = 0,2 s soit avec la vitesse de propagation de 250 m/s, une longueur quivalente 50 m de cble. Dans un rseau local dont la longueur est en gnral infrieure au kilomtre, cela suppose qu'il y a, un instant donn, 1000/50 = 20 bits. Cette longueur est donc trs petite : le message est la fois en cours de transmission et en cours de rception, il est inutile de prvoir des protocoles complexes avec anticipation.

Exercice 5
Ladresse MAC est ladresse physique de la carte Ethernet. Cest le numro de srie de cette carte, il est dfini par le constructeur de la carte. [Les constructeurs ont des prfixes uniques au monde (3 octets) et numrotent ensuite leurs cartes sur les 3 octets suivants : deux cartes ne peuvent jamais avoir le mme numro de srie.] Il est donc inutile de vrifier quaucun autre ordinateur ne possde la mme adresse (MAC) dans le rseau local.

Exercice 6
Le dbit utile maximal est obtenu de manire thorique si une station unique met en permanence (en respectant lespace inter-trames) des trames de longueur maximale. On obtient alors Longueur totale quivalente dune trame en octets = 8 (prambule) + 6 (adresse dest) +6 (adresse met) +2 (lg ou type) + 1500 (contenu utile) + 4 (BCE) + 12 (inter-trames) = 1528 octets Dbit utile = 10 * (1500 / 1528) = 9,82 Mbit/s Soit un rendement de 98,2%. Ceci est bien videmment un calcul thorique : il est impossible dattendre un tel rendement dans la pratique, ds lors quil y a plusieurs stations qui tentent dmettre. Il y aura des silences et des collisions lesquelles entraneront dventuels silences et/ou collisions supplmentaires. En pratique, on considre quun rendement de 50 60 % est une valeur limite. Si le trafic devait tre plus important, les performances seffondrent. De lintrt des commutateurs dans les rseaux locaux.

20

Introduction Internet
Internet est un rseau international constitu de linterconnexion de multiples rseaux permettant la mise en relation de plusieurs centaines de millions dordinateurs. Initialement destin la recherche, il sest considrablement dvelopp. Conu aux Etats-Unis, il repose sur des solutions pragmatiques : service rseau sans connexion non fiable (principe du datagramme) et fiabilisation du dialogue par les extrmits. Une application conviviale permettant la consultation distance de pages dinformations contenant du texte, des images et du son a t dveloppe sur Internet. Il sagit du WWW pour World Wide Web couramment appel Web. La grande force du Web est de permettre partir dune page de consulter dautres pages stockes sur des ordinateurs ventuellement trs loigns. La convivialit et lesthtique soigne du Web ont contribu sa popularit et par l mme la diffusion dInternet dans le grand public.

Historique
En 1969, fut cr aux tats-Unis le rseau Arpanet sous limpulsion du DARPA (Defense Advanced Research Projects Agency). Ce rseau avait un double objectif : permettre aux universits, aux militaires et certains centres de recherche dchanger des informations et dexprimenter les techniques de commutation par paquets. Il permettait notamment dtudier comment des communications pouvaient tre maintenues en cas dattaque nuclaire. Largement subventionns, le rseau et la recherche sur les protocoles se sont considrablement dvelopps. Devant le dploiement parallle dautres rseaux et des rseaux locaux dentreprise, il apparut intressant de pouvoir les relier entre eux, indpendamment de leurs technologies respectives pour offrir un service de rseau global. Deux protocoles furent alors dvelopps et prirent leur forme dfinitive dans les annes 77-79 : TCP, Transport Control Protocol, et IP, Internet Protocol . Ces protocoles furent implants sur le rseau Arpanet qui devint la base du rseau Internet au dbut des annes 80. La DARPA spara dArpanet le rseau militaire qui prit le nom de Milnet. Pour favoriser ladoption des nouveaux protocoles, la DARPA cra une socit charge de les dvelopper et subventionna luniversit de Berkeley pour quelle les intgre son systme dexploitation Unix, lui-mme distribu bas prix aux universits. TCP, IP et lensemble des protocoles et applications dvelopps autour deux touchrent ainsi rapidement 90% des universits amricaines, ce qui cra un effet dentranement sur lensemble de la communaut scientifique. Cet ensemble de protocoles est souvent baptis architecture TCP/IP ou modle TCP/IP.

Objectifs et hypothses de bases dInternet

Internet ne constitue pas un nouveau type de rseau physique. Il offre, par linterconnexion de multiples rseaux, un service de rseau virtuel mondial bas sur les protocoles TCP et IP. Ce rseau virtuel repose sur un adressage global se plaant au-dessus des diffrents rseaux utiliss. Les divers rseaux sont interconnects par des routeurs. Lorsque des donnes empruntent plusieurs rseaux, la qualit de lchange est globalement donne par le rseau le plus faible : il suffit quun seul des rseaux emprunts perde des paquets pour que lchange ne soit pas fiable. Internet offre donc un service non fiable de remise de paquets en mode sans connexion. Soulignons que la commutation par paquets permet une utilisation efficace des lignes de transmission au sein du rseau grce laspect multiplexage statistique comme il a t expliqu au chapitre IV. Le service sans connexion fait quil est possible tout moment dchanger des informations avec nimporte quel ordinateur du rseau : les dialogues sont donc beaucoup plus souples et faciles que sur les rseaux tlphoniques ou Transpac. La fiabilisation des dialogues, lorsquelle est ncessaire, est ralise aux niveaux des extrmits par TCP qui est un protocole de transport fiable. Dautres applications qui nont pas besoin de cette fiabilit peuvent utiliser un autre protocole de transport : UDP, User Datagram Protocol. La grande force dInternet est doffrir un service de communication universel entre ordinateurs. Ladoption gnralise des protocoles TCP/IP offre un service indpendant des constructeurs, de larchitecture matrielle et des systmes dexploitation des ordinateurs. Par ailleurs, le choix dune

21

architecture de protocoles en couches permet une indpendance vis--vis des technologies des rseaux quInternet utilise. Internet s'est dvelopp comme un rseau coopratif. Si une socit est relie Internet par deux liaisons diffrentes grce des routeurs, elle accepte quune partie du trafic Internet transite par son propre rseau et ses routeurs. Internet s'est dvelopp de faon trs rapide et non contrle.

Architecture matrielle
Internet est un rseau international ralisant linterconnexion de multiples rseaux. Certains de ces rseaux sont des rseaux locaux, dautres des rseaux fdrateurs (appels aussi pines dorsales ou backbone dautres encore de simples liaisons spcialises. En connectant un rseau local Internet, une entreprise y connecte de facto lensemble des ordinateurs du rseau pourvu quils soient munis des logiciels adquats. On conoit donc que la croissance du nombre dordinateurs connects Internet soit trs forte. Les rseaux fdrateurs sont dploys sur de grandes distances pour permettre les communications au sein dun pays. Aux tats-Unis, la NSF, National Science Foundation, a install le rseau NSFNET compos de 13 nuds de commutation relis par des liaisons 45 Mbit/s. En France, le rseau RENATER (REseau NAtional pour la Technologie, lEnseignement et la Recherche) peut tre utilis comme rseau fdrateur. Les diffrents rseaux sont connects entre eux par des routeurs.
v ers Europe

Rseau f drateur RENATER Rseau f drateur NFSNET routeur IP v ers Asie

Exemple de rseaux fdrateurs Internet

Diffrents acteurs
Initialement dvelopp par des centres de recherches, Internet se dveloppe maintenant sous l'impulsion d'oprateurs privs. Les oprateurs dploient des rseaux dorsaux mondiaux constitus de routeurs IP interconnects par des liaisons numriques. Ces liaisons ne sont pas ncessairement installes par l'oprateur Internet mais peuvent tre loues des oprateurs de tlcommunications. Les rseaux des diffrents oprateurs sont relis entre eux en de multiples points. Afin de minimiser les changes de trafic, les oprateurs signent entre eux des accords de peering qui consiste ne laisser passer travers les rseaux que le trafic propre chacun d'eux de la faon la plus efficace. Considrons deux rseaux, A et B, proches l'un de l'autre et relis entre eux. Plutt que de laisser le trafic chang entre A et B passer par de multiples routeurs et des rseaux tiers, A et B installent un routeur appel routeur crois : tous les datagrammes IP mis par A et destins B sont routs vers le rseau B et rciproquement. Si A et B sont deux oprateurs Internet franais, cela permet d'viter par exemple que les datagrammes mis par une machine IP franaise de A destination de B ne transitent par les EtatsUnis. La qualit de service du rseau s'en trouve amliore. Les grandes entreprises sont gnralement relies directement au rseau Internet. Par exemple, un routeur IP situ dans l'entreprise sur son rsau local est reli un routeur IP d'un oprateur Internet gnralement par une liaison spcialise permanente numrique. Suivant la quantit dinformation couler, le dbit de cette liaison peut tre plus ou moins lev. Le cot de location d'une telle liaison est prohibitif pour les particuliers ou les petites entreprises. Ils se connectent gnralement Internet par lintermdiaire du rseau tlphonique. Un certain nombre dorganismes, appels fournisseurs d'accs Internet ou IAP (Internet Access Provider), disposent

22

dordinateurs relis dune part Internet et dautre part au rseau tlphonique grce des modems ou une liaison ADSL. Il suffit de disposer dun micro-ordinateur, dun modem et de souscrire un abonnement auprs de ces prestataires pour avoir un accs Internet. Notons que le fournisseur d'accs peut tre un cblo-oprateur (ou un partenaire d'un cblo-oprateur) ; il utilise alors le rseau cbl de distribution de tlvision pour la transmission entre ses routeurs et l'quipement du particulier. Lorsque le fournisseur d'accs proposent ses abonns des services additionnels comme par exemple un annuaire, le dveloppement de pages Web, on parle de fournisseur de services Internet ou ISP (Internet Service Provider). Un oprateur Internet peut, bien videmment, tre aussi IAP et ISP.

Architecture en couches
Larchitecture globale dInternet comporte quatre couches. Celle-ci est diffrente de la normalisation mais se base sur la mme philosophie globale : dcoupage en diffrents niveaux de dtail, chacun assurant un service spcifique indpendamment des autres, principe dencapsulation. Le niveau le plus haut comprend les applications. Il correspond globalement lensemble des couches hautes du modle OSI. Le niveau le plus bas comprend les oprations effectuer pour sadapter aux rseaux physiques utiliss. Il correspond donc aux protocoles des couches basses : 1 et 2 pour un rseau local ou une liaison spcialise, 1, 2 et 3 pour un rseau grande distance. Lensemble des oprations effectues par les rseaux traverss nest pas pris en compte dans le modle. Le protocole IP a pour rle principal le routage ou lacheminement des donnes travers linterconnexion. TCP et UDP sont des protocoles de transport, ils se situent au niveau intermdiaire entre IP et les applications. Ils ont pour objectif doffrir aux applications la qualit de service dont elles ont besoin.
Application Application Prsentation Session Transport Transport non f iable (TCP) f iable (UDP) Interconnexion (IP) Interf ace av ec le rseau Rseau Rseau phy sique Architecture TCP/IP Liaison de donnes Phy sique Modle OSI 3 2 1 Transport 7 6 5 4

Architectures en couches TCP/IP et OSI

Adresse IP
Chaque quipement sur le rseau est repr par une adresse, appele adresse IP, code sur 32 bits avec deux champs principaux prcisant une identit de rseau et une identit de machine. Plusieurs classes dadresses sont dfinies suivant la longueur des champs didentit. Un rseau comportant beaucoup de machines dispose dune adresse avec un court champ didentit de rseau mais un long champ didentit de machines. En revanche, dans un petit rseau local, lidentit de machine sera code sur peu dlments binaires. La classe dadresse et lidentifiant de rseau sont attribus par lI.C.A.N.N., qui gre le plan dadressage Internet et garantit lunicit des identifiants de rseau au niveau international. Lidentifiant de machine dans le rseau est dtermin de faon autonome par ladministrateur responsable de ce rseau. Lidentit de machine dans le rseau est dtermine de faon autonome par ladministrateur du rseau. Cette sparation en deux identits permet de rduire la taille des tables de routage car un datagramme est dabord aiguill vers le rseau destinataire, puis vers lordinateur concern. Il est possible de diffuser des messages au sein dun rseau en positionnant 1 les bits du champ de numro de machine. De plus, un format spcifique permet de dfinir des adresses de diffusion de groupe (multicast).

23

Protocole IP
Le protocole IP assure un service non fiable sans connexion de remise des donnes. Il comprend la dfinition du plan dadressage, la structure des informations transfres (le datagramme IP) et les rgles de routage. Lenvoi de messages derreur est prvu en cas de destruction de datagrammes, de problmes dacheminement ou de remise. Les datagrammes sont constitus dun en-tte et dun champ de donnes ; ils sont indpendants les uns des autres et sont achemins travers lInternet, en fonction des adresses IP publiques (origine et destination) que contient len-tte. Les diffrents routeurs assurent le choix dun chemin travers les rseaux ; ils fragmentent, si ncessaire, les datagrammes lorsquun rseau travers naccepte que des messages de plus petite taille. Une fois le datagramme morcel, les fragments sont achemins comme autant de datagrammes indpendants jusqu leur destination finale o ils doivent tre rassembls. Lentte de ces diffrents fragments contient alors les indications ncessaires pour reconstituer le datagramme initial. Pour trouver un chemin jusquau destinataire, les routeurs schangent, dans des messages spciaux, des informations de routage concernant ltat des diffrents rseaux. Ces informations sont vhicules par IP dans le champ de donnes dun datagramme. Elles sont rgulirement mises jour dans les tables de routage et indiquent, pour chaque identifiant de rseau, si les machines situes dans le rseau sont accessibles directement ou non. Le routage est direct si les machines appartiennent au mme rseau, sinon il est indirect. Lorsque le routage est indirect, le routeur metteur envoie le datagramme au routeur le plus proche ; la coopration des deux routeurs permet de bien acheminer le datagramme. Des protocoles comme GGP (Gateway to Gateway Protocol), EGP (Exterior Gateway Protocol), RIP (Routing Information Protocol), OSPF (Open Shortest Path Protocol) sont utiliss entre les diffrents types de routeurs pour changer et effectuer la mise jour des informations de routage.

Protocoles de transport
Les protocoles de transport TCP et UDP sont implants exclusivement dans les ordinateurs connects (ils ne sont pas installs dans les quipements intermdiaires des rseaux). Ils contrlent lacheminement des donnes de bout en bout, cest--dire depuis la station dorigine jusqu la station de destination. Ils offrent galement leurs services de nombreuses applications. Pour distinguer ces dernires, les protocoles de transport utilisent la notion de port et de socket. Toute machine est identifie par son adresse IP et chaque application est reconnue par un numro de port unique. Le numro de port est un identifiant attribu par le systme dexploitation de la machine au moment du lancement de lapplication. Le couple adresse IP, numro de port sur la machine considre sappelle le socket. La communication entre deux applications excutes sur des machines distantes est identifie de manire unique par les deux sockets adresse IP source, numro de port source, adresse IP destination, numro de port destination . Les applications les plus courantes utilisent un numro de port connu de toutes les machines. Par exemple, un serveur web utilise le port 80, un serveur FTP (File Transfer Protocol) les ports 21 et 22. Le protocole TCP fonctionne en mode connect ; il est utilis pour les changes de donnes qui ncessitent une grande fiabilit. Pour les autres changes, le protocole UDP, fonctionnant sans connexion, suffit. UDP assure un change de donnes entre les processus communicants, sans contrle supplmentaire par rapport IP ; il ne fait que grer localement les sockets. Le protocole TCP offre de nombreux services supplmentaires : il dtecte les datagrammes dupliqus et les dtruit ; il rcupre les datagrammes perdus et les remet dans lordre dmission, grce aux acquittements fournis par le rcepteur. TCP possde en outre des fonctions de contrle de flux pour rguler lchange des donnes entre les ordinateurs qui dialoguent. Les dlais dattente dacquittement de bout en bout sont calculs de manire dynamique, en fonction des statistiques de charge du rseau acquises par les machines. Par ailleurs, TCP gre un flot de donnes urgentes, non soumis au contrle de flux.

Applications
Dans larchitecture TCP/IP, un grand nombre dapplications simples ont t initialement dveloppes sous le systme dexploitation Unix. Elles permettaient de grer des ressources distantes (imprimantes, disques durs etc.), comme si elles taient situes dans la machine de lutilisateur. De nos jours, tous les systmes dordinateurs font de mme. Lapplication la plus populaire est le web. Son fonctionnement

24

sera trait plus loin. Quelle que soit l'application utilise, la netiquette dfinit un ensemble de rgles de bonne conduite des utilisateurs du rseau Internet. Dans toutes les applications, les machines sont connues le plus souvent par leur nom symbolique, qui se rfre lorganisation que lon cherche contacter. La connaissance du nom symbolique est suffisante pour permettre la communication avec la machine souhaite. Le nom symbolique dsigne une machine sous la forme dune chane de caractres alphanumriques, dont la structure hirarchise reflte lespace dadressage. Celui-ci est divis en domaines, eux-mmes subdiviss en sous-domaines, selon une structure arborescente dans laquelle le nom le plus droite dsigne le domaine le plus vaste. Par exemple, le nom symbolique www.linux.org signifie que la machine atteindre est un serveur web qui se trouve dans le sous-domaine linux du domaine org, lequel regroupe des organisations non commerciales. Pour assurer la correspondance entre le nom symbolique et ladresse IP de la machine, on fait appel un ou plusieurs serveurs de noms (les DNS, Domain Name Servers) qui font office dannuaires. Utilis dabord dans les entreprises, puis chez les particuliers, la messagerie lectronique (encore appele e-mail -pour electronic mail-, mail, courriel,) joue un rle essentiel dans les demandes de raccordement Internet. Cest une application qui fonctionne en mode non connect : le courrier est dpos et stock dans une bote aux lettres que le destinataire viendra consulter loisir depuis nimporte quelle machine. Ce service est fourni par SMTP (Simple Mail Transfer Protocol) et utilise les services de TCP. Un message lectronique possde un en-tte -contenant ladresse dun ou plusieurs destinataires, des destinataires de copies et un sujet de message- et un corps de message. Il est possible dannexer des documents (les documents attachs), transmis au destinataire en mme temps que le message, mais en dehors du corps de celui-ci. Une messagerie instantane (chat) permet des individus connects au rseau de discuter directement par des changes de textes trs courts, crits dans un jargon base dabrviations et de symboles graphiques. Les news sont des forums de discussion ayant une dure de vie dtermine, portant sur des sujets prcis. Chaque utilisateur sinscrit aux forums qui lintressent pour participer aux discussions. Les questions poses sont places dans une bote aux lettres consultable par tous les participants et chacun peut y rpondre. Un forum constitue souvent une mine dinformations pratiques et pertinentes. Les questions les plus frquemment poses sont regroupes sous la rubrique F.A.Q. (Frequently Asked Questions, ou foire aux questions). Elles sont associes leurs rponses pour que lon puisse retrouver rapidement les informations cherches. Dans certains forums, un modrateur valide les informations avant de les publier. Le transfert de fichiers est assur trs souvent par FTP et utilise les services de TCP. Lutilisateur est alors un client sadressant un serveur de fichiers. Des milliers de serveurs sont connects sur Internet et proposent toutes sortes de logiciels au public ; les logiciels prix modiques sont appels des shareware, les logiciels gratuits sont des freeware. FTP ncessite une connexion avec identification et authentification de lutilisateur par login et mot de passe. Un compte personnel sur un serveur permet dy dposer des fichiers (des pages web, par exemple). En pratique, tous les serveurs offrent un accs dit anonyme. Dans ce cas, le login de lutilisateur est anonymous. La netiquette recommande que lon mette son adresse lectronique comme mot de passe. Les fichiers tlchargs depuis un serveur sont trs souvent compresss, pour limiter lespace de stockage ncessaire sur le serveur et les temps de transfert vers lutilisateur. Ce dernier doit donc disposer des utilitaires adapts pour effectuer la dcompression des fichiers imports sur sa machine. Parmi les services de connexion distance, Telnet permet tout ordinateur de se comporter, sur nimporte quel ordinateur du rseau dot de cette application, comme une simple unit clavier-cran. Lutilisateur se connecte alors par TCP. Telnet est un protocole gnral qui dfinit un terminal virtuel, indpendant du type de machine et de son systme dexploitation. Actuellement SSH (Secure SHell), une version scurise de cette application, lui est souvent prfre car elle vrifie lidentit des correspondants et crypte les donnes transmises sur le rseau. Les logiciels d'changes Peer-to-Peer (ou P2P), populariss durant les annes 1990, proposent une alternative au modle client/serveur. Les donnes changes sont rparties dans les machines de tous les participants. Chacun peut tlcharger des fichiers partir de n'importe quelle machine connecte au rseau et proposer ses propres fichiers aux autres. Ce mode de communication est l'un des modes de diffusion les plus rapides : il peut ainsi propager les nouveaux virus un trs grand nombre de machines

25

en un trs court laps de temps ! Les changes de ce type sont associs dans lesprit du public au piratage de logiciels, de fichiers musicaux ou de films.

Prsentation du web
Le web sappuie sur un langage de description, le html (HyperText Markup Language), qui permet dafficher sur lcran de lutilisateur des documents mis en forme partir de commandes simples. Html utilise la notion dhypertexte, cest--dire que les documents sont parcourus dans lordre choisi par lutilisateur laide de sa souris. Dans un hypertexte, chaque document appel page web ou encore page html est un fichier repr par son URL (Uniform Resource Locator), un lien spcifique improprement dnomm adresse http (HyperText Transfer Protocol). lintrieur dun document, des objets particuliers contiennent des liens vers dautres documents que lutilisateur peut activer comme il le souhaite. Le clic sur un lien provoque le chargement du document associ dans la machine de lutilisateur. Les liens sont affichs de faon spciale : par exemple, si lobjet est un texte, les mots sont souvent souligns et de couleur bleue. Aux abords de la zone o se situe le lien, lutilisateur constate un changement de forme du curseur de sa souris, attirant ainsi son attention. Considrons lURL http://www.linux.org/news/2005/index.htm qui reprsente le lien vers un fichier de la machine linux vue plus haut. http dsigne le nom du protocole de transfert des donnes ; www.linux.org est le nom symbolique de la machine contacte, news est un rpertoire de ce site, 2005 un sous-rpertoire du rpertoire news. Enfin, index.htm est le nom du fichier crit en langage html. Autrement dit, le fichier recherch est situ dans le sous-rpertoire 2005 du rpertoire news de la machine www.linux.org. Une URL peut contenir des informations complmentaires comme des mots de passe ou des numros de port, lorsque les serveurs utilisent des techniques didentification des clients ou des numros de ports particuliers. Les pages web contiennent aussi bien du texte que des images, des sons ou des fichiers vido ; le web est donc un outil multimdia. Un lien peut pointer vers des pages stockes sur dautres ordinateurs. Le passage dune page stocke sur un ordinateur aux tats-Unis une autre situe en Australie peut se faire rapidement. Lutilisateur surfe sur le rseau et voyage virtuellement travers le monde. Les logiciels daccs au web, baptiss navigateurs (Netscape, Internet Explorer, Mozilla,), intgrent aujourdhui dautres applications comme la messagerie lectronique ou le transfert de fichiers. Un serveur web (on parle galement de site web) est une machine capable denvoyer simultanment plusieurs pages html aux utilisateurs connects. Certaines pages web sont cres spcialement en rponse la requte dun utilisateur (ou d'un client) ; elles possdent alors une forme et un contenu variables, adapts ses besoins. Le serveur filtre les utilisateurs qui se connectent et conserve une trace de toutes les connexions. Les cookies sont des informations engendres par le serveur ds quun client visite le site. Ils sont stocks sur les machines des utilisateurs, leur insu, et sont exploits par le serveur lors des connexions suivantes des clients. Certains sites marchands vont jusqu conserver un profil de chaque client en reprant ses habitudes de navigation et dachats. Les moteurs de recherches (Google, Yahoo!, Voila, AltaVista,) sont des serveurs spcialiss dans la recherche dinformations partir de mots-cls. Des banques de donnes textuelles sont alimentes en permanence par des programmes automatiques dindexation qui regroupent par thmes les informations recueillies. Un blogue (en anglais blog, contraction de weblog), est un site web personnel, volutif et non conformiste, prsentant des rflexions de toutes sortes, gnralement sous forme de courts messages. Le blogue est mis jour par son auteur, qui tient compte des commentaires de ses lecteurs. la diffrence dun blogue, qui exprime la pense d'un individu, le wiki est un site web collaboratif matrialisant les ides d'un groupe qui partage une philosophie ou des intrts communs.

Standardisation
LInternet doit aussi son succs aux organisations ractives qui pilotent le dveloppement, lvolution du rseau, en dfinissent les axes de dveloppement et ragissent rapidement aux problmes : LInternet Society, cre en 1992, a pour but de dvelopper lusage de lInternet dans le monde. Elle ne traite pas des aspects techniques, mais organise des sminaires pour favoriser lchange dexprience.

26

LIAB (Internet Activities Board ) est constitu dun petit groupe dexperts qui conseille techniquement lInternet Society et qui a rflchi sur les volutions long terme de lInternet. LIESG (Internet Enginiering Steering Group) pilote le dveloppement des standards de lInternet. Il gre les travaux effectus par lIETF (Internet Engeniering Task Force : Force de Travail pour lIngnierie de lInternet) qui publie des documents appeles RFC (Request For Comments) dfinissant les protocoles employs dans lInternet. Une grande partie des informations relatives Internet se trouve dans ces RFC, lesquels sont des textes plutt informels et peu structurs, retraant les diffrents dbats qui ont permis daboutir tel ou tel choix ou telle ou telle dfinition. Plus de 2000 documents sont aujourdhui rpertoris et certains en rendent dautres obsoltes. LIAB publie donc rgulirement la liste des RFC jour : liste officielle des protocoles standardiss par lIAB. Les protocoles standardiss par lIAB ont un tat qui volue au cours du temps et dfinit leurs niveaux dagrment : exprimental, proposition de standard, projet de standard, et enfin standard. RFC 768 RFC 791 RFC 792 RFC 793 RFC 821 RFC 854 RFC 959 RFC 1034/35 UDP IP ICMP TCP SMTP TELNE FTP DNS T RFC 783 RFC 1058 TFTP RIP RFC 1171 PPP

Principaux documents RFC

Les principaux standards officiels ou propositions sont indiqus dans le tableau. Les RFC sont disponibles sous forme lectronique sur de nombreux sites.

Synthse
Grce Internet, le modle darchitecture TCP/IP, conu selon les mmes principes que lOSI, sest rpandu et a t adopt dans la plupart des rseaux dentreprise. Ce modle permet une interconnexion de rseaux htrognes avec un service minimal : le service de remise non fiable de datagramme en mode sans connexion. Ce service est apport par le protocole IP implant sur tous les quipements terminaux et dans tous les routeurs de linterconnexion. TCP est un protocole de transport utilis pour fiabiliser les changes chaque fois que cela est ncessaire. De nombreuses applications ont t dveloppes au dessus de TCP et IP. Parmi elles, le courrier lectronique et le Web ont provoqu une croissance explosive du nombre de connexions et du trafic sur le rseau Internet.

27

Le protocole IP
Le protocole IP (Internet Protocol) assure un service de remise non fiable sans connexion. Il comprend la dfinition du plan dadressage, de la structure de lunit de donnes transfre appel datagramme IP et des rgles de routage. Enfin, il inclut un protocole ICMP de gnration de messages derreur en cas de destruction de datagrammes ou de problmes dacheminement ou de remise.

Les classes dadresse IP

La classe dune adresse IP peut tre dtermine partir des bits de poids fort. Les adresses de classe A affectent 7 bits lidentit de rseau et 24 bits lidentit de machine. Les adresses de classe B affectent 14 bits lidentit de rseau et 16 bits lidentit de machine. Enfin, les adresses de classe C allouent 21 bits lidentit de rseau et 8 bits lidentit de machine. Les adresses de classe D sont rserves pour mettre en uvre le mcanisme de diffusion de groupe.

0 Classe A

16

24 ID. MACHINE

31

0 ID. RSEAU

Classe B Classe C

1 0 1 1 0

ID. RSEAU ID. RSEAU

ID. MACHINE ID. MACHINE

Classe D Classe E

1 1 1 0 1 1 1 1 0 ID = identit

ADRESSE DE DIFFUSION DE GROUPE RSERV POUR UTILISATION FUTURE

Structure gnrale dune adresse IP

Les trs grands rseaux ont des adresses de classe A. Une adresse de classe A comporte 8 bits didentifiant de rseau dont le premier bit est 0. Les 7 autres bits servent identifier 126 rseaux diffrents. Chaque rseau de classe A possde 24 bits didentifiant de machine, ce qui permet dadresser 224 2, soit 16 777 214 machines (les deux identifiants 0 et 16 777 215 sont, par convention, rservs un autre usage). Les rseaux de taille moyenne ont des adresses de classe B, commenant en binaire par 10 et affectant 14 bits lidentifiant de rseau. Il reste 16 bits pour identifier les machines, soit au maximum 65 534 (pour la mme raison que prcdemment, les identifiants 0 et 65 535 ne sont pas attribus une machine). Enfin, pour les petits rseaux, les adresses de classe C commencent en binaire par 110 et allouent 21 bits lidentifiant de rseau, 8 bits lidentifiant de machine. On peut ainsi adresser jusqu 254 machine (les identifiants 0 et 255 ne sont pas utiliss). Les adresses de classe D, commenant en binaire par 1110, sont rserves la mise en uvre dun mcanisme de diffusion de groupe. Ladresse IP sur 32 bits peut tre vue comme une suite de quatre octets. Elle est crite pour ltre humain en reprsentation dite dcimale pointe : quatre octets crits en dcimal et spars par un point. Ainsi 10001001 11000010 110000000 00010101 scrit 137.194.192.21. Il sagit en loccurrence dune adresse de classe B.

28

0 Cette machine 0 0 0 0 Toutes les machines de ce rseau 1 1 1 1 Une machine sur 0 0 0 0 ce rseau toutes les machines du rseau distant Test en boucle f erm 0 0 0

31 0 0 0

1 1 1 ID. MACHINE

ID. RSEAU 127

1 1 1 1

1 1 1

Squence quelconque

Adresses IP particulires

Pnurie dadresses
Le formidable succs dInternet a men lpuisement des adresses de classes A et B et lexplosion des tables de routage des routeurs situs dans les rseaux de transit. Si beaucoup d'organisations possdent plus de 254 ordinateurs, peu en possdent quelques milliers (or une adresse de classe B permet didentifier jusqu 65 534 machines). cause de la pnurie dadresses, il est devenu impossible dattribuer chaque rseau de plus de 254 machines une adresse de classe B. Dsormais lICANN attribue plusieurs adresses de classe C contigus, pour ajuster le nombre dadresses IP alloues aux besoins du rseau connecter. Si l'allocation de plusieurs adresses de classe C freine la consommation de l'espace d'adressage disponible, elle augmente dautant la taille des tables de routage. La mise jour rgulire des tables de routage devient une tche irralisable quand celles-ci contiennent des milliers dentres mmorisant les routes vers des milliers de rseaux diffrents. Il faut donc procder une allocation intelligente des adresses, afin de les grouper par blocs de numros, par continents, par rgions Cela aboutit la notion d'agrgation de routes. Les autorits continentales dlguent une partie de leurs plages d'adresses des autorits de niveau infrieur. Par exemple, l'association RIPE (Rseaux IP europens) confie une partie de son espace d'adressage des autorits nationales (l'INRIA -Institut national pour la recherche en informatique et en automatique- pour la France). Si le plan de rpartition des adresses est bien respect, tous les rseaux grs par RIPE sont reprsents par une seule entre dans les tables des autres continents. Dautres solutions sont utilises pour conomiser les adresses IP : lutilisation dadresses prives et la distribution dynamique des adresses.

Notion de sous-rseaux et de masque

La hirarchie deux niveaux (rseau et machine) de l'adressage IP s'est rapidement rvle insuffisante cause de la diversit des architectures des rseaux dorganisation connects. La notion de sous-rseau fut introduite en 1984 et a conserv le format de ladresse IP sur 32 bits. Dans un rseau subdivis en plusieurs sous-rseaux, on exploite autrement le champ identifiant de machine de ladresse IP. Celui-ci se dcompose dsormais en un identifiant de sous-rseau et un identifiant de machine. Remarquons que ce dcoupage nest connu qu lintrieur du rseau lui-mme. En dautres termes, une adresse IP, vue de lextrieur, reste une adresse sur 32 bits. On ne peut donc pas savoir si le rseau dorganisation est constitu dun seul rseau ou subdivis en plusieurs sous-rseaux. Le masque de sous-rseau (netmask) est alors utilis pour diffrencier les bits rservs ladressage des sous-rseaux de ceux qui correspondent la machine. Il contient des 1 sur toute la partie identifiant le rseau et les bits de sous-rseau et des 0 sur la partie rserve au numro de machine dans le sous-rseau. Lorsquune station dun (sous-)rseau veut mettre un message une autre, elle compare sa propre adresse celle du destinataire, bit bit en utilisant le masque de sous-rseau. Si sur toute la partie identifie par les 1 du masque de sous-rseau, il y a galit, les deux stations se trouvent dans le mme (sous-)rseau, le message peut donc tre transmis directement, sinon, il est envoy la machine qui assure lacheminement du message vers lextrieur : le routeur.

Exemple adresse IP de rseau de classe C 193.27.45.0 masque de sous-rseau 255.255.255.224 29

soit en binaire 11111111 11111111 11111111 11100000 Dans loctet rserv au champ identificateur de machine, il y a donc trois bits utiliss pour identifier des sous-rseaux interconnects par des routeurs. Sur le sous-rseau 1, ladresse du sous-rseau est 193.27.45.32, ladresse 193.27.45.33 peut tre celle du routeur, ct sous-rseau 1; ladresse 193.27.45.63 est ladresse de diffusion dans le sous-rseau, il reste donc 29 adresses disponibles sur les 32 possibles pour les stations du sousrseau 1. De la mme faon dans le sous-rseau 2, ladresse de sous-rseau est 193.27.45.64, ladresse 193.27.45.65 est celle du routeur B, ct sous-rseau 2; ladresse 193.27.45.95 est ladresse de diffusion dans le sous-rseau, il reste de mme 29 adresses disponibles sur les 32 possibles pour les stations du sous-rseau 2.
Bilan : sans notion de sous-rseau, on peut mettre 254 stations sur un rseau de classe C, avec 6 sousrseaux physiques comme dans cet exemple, on ne peut en mettre que 174, mais on dispose dune identification plus fine et dune possibilit de diffusion limite chaque sous-rseau. Ladministrateur local choisit le nombre de bits consacrer lidentifiant de sous-rseau grce au masque de sous-rseau. Celui-ci, galement cod sur 32 bits, dfinit le dcoupage de lidentifiant machine en deux champs (sous-rseau et machine). Dans un rseau subdivis, chaque machine connat son adresse IP et le masque, ce qui lui permet de savoir dans quel sous-rseau elle se trouve. Il suffit de faire laddition entre ladresse IP de la machine et le masque : 193.27.45.33 = 11000001 00011011 00101101 00100001 255.255.255.224 = 11111111 11111111 11111111 1110000 addition (ou exclusif) 11000001 00011011 00101101 00100001 11111111 11111111 11111111 11100000 11000001 00011011 00101101 00100000 rsultat = 193.27.45.32 ladresse du sous-rseau auquel appartient la machine 193.27.45.33

Association des adresses Internet et des adresses physiques

Soit deux machines, 1 et 2, relies dans Internet un mme rseau. Chaque machine a une adresse IP, respectivement IP1 et IP2, et une adresse physique (le terme adresse physique s'applique ici une adresse MAC (numro de srie de la carte Ethernet, par exemple)), respectivement PH1 et PH2. Le problme, nomm problme de rsolution dadresse (address resolution problem), consiste faire la correspondance entre les adresses IP et les adresses physiques, sachant que les programmes dapplication ne manipulent que des adresses IP. Des tables, dans chaque machine, contiennent des paires adresse de haut niveau / adresse physique, mais elles ne peuvent maintenir quun petit nombre de paires dadresses. Un protocole de rsolution dadresses (ARP: Address Resolution Protocol) fournit un mcanisme efficace et simple. Il permet une machine de trouver ladresse physique dune machine cible situe sur le mme rseau physique, partir de sa seule adresse IP. Lorsquune machine 1 veut rsoudre ladresse IP2, elle diffuse (en utilisant ladresse 1111 comme identit de machine) un datagramme spcial. Celui-ci demande la machine dadresse IP2 de rpondre, en indiquant son adresse physique PH2. Toutes les machines, y compris 2, reoivent ce paquet, mais seule la machine 2 reconnat son adresse IP. Elle renvoie donc un message contenant son adresse physique PH2. Lorsque 1 reoit cette rponse, elle peut alors communiquer directement avec 2. Les messages spciaux que nous venons de voir, ceux du protocole ARP, sont vhiculs dans les donnes du protocole IP que nous allons voir ci-dessous. Un protocole similaire, baptis RARP (Reverse Address Resolution Protocol), permet, de la mme faon, pour une machine sans disque, de connatre son adresse IP auprs dun serveur dadresses.

Adresses physiques
les adresses Ethernet s'crivent sur 6 octets (48 bits) en notation hxadcimale, souvent crits spars par le caractre ':' (sous Linux) et '-' sous Windows : les 3 premiers octets correspondent un code constructeur (3Com, Sun, ...) ; les 3 derniers octets sont attribus par le constructeur.

30

Ainsi, une adresse Ethernet est suppose tre unique. Sous Unix, la commande ifconfig rvle l'adresse Ethernet associe une carte : Sous Linux /sbin/ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:90:27:6A:58:74 inet addr:192.168.1.3 Bcast:192.168.1.255 Mask:255.255.255.0 Sous Windows ipconfig /all Description . . . . . . . . : Adresse physique. . . . . . : 52-54-05-FD-DE-E5 Signalons enfin que FF:FF:FF:FF:FF:FF correspond l'adresse de diffusion (broadcast) qui permet d'envoyer un message toutes les machines, et que 00:00:00:00:00:00 est rserve.

Le protocole ARP
Le protocole ARP (Address Resolution Protocol RFC 826) fournit une correspondance dynamique entre adresses physiques et adresses logiques (adresses respectivement de niveau 2 et 3) : l'metteur connat l'adresse logique du destinataire et cherche obtenir son adresse physique. La requte/rponse ARP contient : l'adresse physique de l'metteur. Dans le cas d'une rponse ARP, ce champ rvle l'adresse recherche. l'adresse logique de l'metteur (l'adresse IP de l'metteur). l'adresse physique du rcepteur. Dans le cas d'une requte ARP, ce champ est vide. l'adresse logique du rcepteur (l'adresse IP du rcepteu)r. Le message ARP est transport dans une trame Ethernet. Lors d'une demande ARP, l'adresse de destination est l'adresse de diffusion FF:FF:FF:FF:FF:FF de sorte que tout le rseau local reoit la demande. En revanche, seul l'quipement possdant l'adresse IP prcise dans la requte rpond en fournissant son adresse physique. Un mcanisme de cache permet de conserver les informations ainsi acquises : chaque systme dispose d'une table qui sauvegarde les correspondances (adresse MAC, adresse IP). Ainsi, une requte ARP est mise uniquement si le destinataire n'est pas prsent dans la table. La commande arp -a affiche le contenu de la table, aussi bien sous Windows que sous Unix :
sous Linux arp -a poste1(192.168.1.2) at 02:54:05:F4:DE:E5 [ether] on eth0 poste2(192.168.1.1) at 02:54:05:F4:62:30 [ether] on eth0

Adresses IP prives et mcanisme NAT

Plusieurs plages dadresses IP ont t rserves dans chaque classe dadresses et sont dutilisation libre. Elles sont appeles adresses IP prives et sont dcrites dans la RFC 1918. Ces adresses ne peuvent tre attribues par lICANN une organisation. Ainsi, des rseaux dorganisation diffrents peuvent utiliser les mmes adresses IP prives, pourvu quils restent isols les uns des autres. Pour relier lInternet les machines dun rseau utilisant des adresses prives, on met en place une traduction, gre par le routeur, entre adresses IP prives (internes au rseau de lorganisation, inaccessibles de lextrieur) et adresses IP publiques (visibles de lextrieur, cest--dire accessibles par Internet). Une adresse IP publique est unique ; elle est dite routable , car elle seule autorise laccs Internet. La correspondance entre les deux types dadresses est assure par le NAT (Network Address Translation), un mcanisme de conversion dadresse dcrit par la RFC 3022. De plus, les adresses IP prives garantissent une meilleure scurit daccs aux rseaux dorganisation, dans la mesure o les adresses relles utilises par les machines du rseau ne sont pas connues de lextrieur. .

classe A

Information 10.x.y.z, o 0 <= x <= 255 0 <= y <= 255 et 0 <= z <= 255

Nombre maximum de machines (256*256*256) - 2 = 16 777 214

31

B C

172.x.y.z, o 16 <= x <= 31 0 <= y <= 255 et 0 <= z <= 255 192.168.x.y, o 0 <= x <= 255 et 0 <= y <= 255

(15*256*256) - 2 = 1 048 574 (256*256) - 2 = 65 534

Le NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. Le NAT statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne Le NAT dynamique partage une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP Les avantages des adresses IP prives sont donc la garantie dune scurit accrue et la rsolution du manque dadresses IP. Les inconvnients sont le travail supplmentaire lors de la configuration du rseau et la renumrotation envisager lors de la fusion dentreprises qui utiliseraient les mmes adresses IP prives. Pour assurer la distribution dynamique des adresses, le protocole DHCP (Dynamic Host Configuration Protocol) fournit automatiquement un ordinateur qui vient dtre install dans le rseau de lentreprise ses paramtres de configuration rseau (adresse IP et masque de sous-rseau). Cette technique simplifie la tche de ladministrateur dun grand rseau, en vitant par exemple les doublons dadresses. Un autre avantage de cette solution est que lentreprise dispose dune plage dadresses IP utilisables sur le rseau plus faible que son parc de machines. Les adresses IP utilisables sont alors temporairement affectes aux seules machines connectes Internet.

Format du datagramme IP
Le format dun datagramme IP comprend un en-tte et des donnes. Len-tte contient principalement les adresses IP de la source et du destinataire, et un champ identifiant la nature des donnes transportes.

32

32 bits 4 bits Version TTL 4 bits IHL 8 bits ty pe de serv ice

D M F F

16 bits longueur totale numro de f ragment Redondance de contrle

Identif iant en-tte protocole

adresse source adresse destination options (0 mot ou plus)

donnes

IHL, Intenet Header Length indique la longueur de len-tte en mots de 32 bits. La longueur totale est la longueur du datagramme en octets, en-tte compris. Lidentification est un numro permettant didentifier de manire unique les fragments dun mme datagramme. DF, Dont Fragment, interdit la fragmentation du datagramme (toute machine doit accepter les fragments de 476 octets ou moins). MF, More Fragments, est mis 1 pour tous les fragments dun mme datagramme initial sauf pour le dernier fragment. Le numro de fragment permet de reconstituer, dans lordre, le datagramme initial partir de lensemble des fragments. TTL, Time To Live, indique le nombre de secondes qui restent vivre au datagramme. Ce champ est modifi par les routeurs IP au cours de la traverse du rseau par le datagramme. Le champ protocole indique le protocole de la couche suprieur (UDP, TCP,). La redondance de contrle permet de dtecter les erreurs ventuels sur len-tte.

Format dun datagramme IP

Les datagrammes sont indpendants les uns des autres, ils sont achemins travers linterconnexion en fonction des adresses IP quils contiennent. Ce sont les diffrents routeurs qui assurent le choix dun chemin travers le rseau et ventuellement fragmentent les datagrammes, lorsquun rseau travers naccepte que des petites tailles de messages. La MTU (Maximum Transfer Unit) dun rseau Ethernet, par exemple, est de 1500 octets, celle dun rseau de type X25 peut tre de 128 octets. Une fois le datagramme fragment, les fragments sont achemins comme autant de datagrammes indpendants jusqu leur destination finale o ils doivent tre rassembls. Len-tte de ces diffrents fragments doit contenir linformation ncessaire pour reconstituer correctement le datagramme initial. Lintrt des datagrammes IP rside galement dans les options qui peuvent tre utilises. Les options de routage et dhorodatage sont particulirement intressantes. Elles constituent un bon moyen de surveiller ou de contrler la traverse des datagrammes dans le rseau. Lenregistrement de route est une option qui demande chaque routeur travers dindiquer dans le datagramme lui-mme sa propre adresse. Le destinataire reoit ainsi un datagramme qui contient la liste des adresses des routeurs par lesquels il est pass. Le routage dfini par la source est une autre option qui permet lmetteur de forcer le chemin par lequel doit passer un datagramme. Lhorodatage est une option qui demande chaque routeur destampiller le datagramme de la date et lheure laquelle il a t trait. Ces diffrentes options sont transportes dans lentte du datagramme.

Protocole ICMP
Internet est un rseau dcentralis. Il ny a pas de superviseur global du rseau. Chaque routeur fonctionne de manire autonome. Des anomalies, dues des pannes dquipement ou une surcharge temporaire, peuvent intervenir. Afin de ragir correctement ces dfaillances, le protocole de diagnostic ICMP, Internet Control Message Protocol, a t dvelopp. Chaque quipement surveille son environnement et change des messages de contrle lorsque cest ncessaire. Ces messages sont transports par IP dans la partie donnes des datagrammes. Pour contrler le trafic dans le rseau, un champ, dans len-tte du datagramme, indique, en secondes, la dure maximale de transit dans linterconnexion. Chaque routeur qui traite le datagramme dcrmente sa

33

dure de vie. Le datagramme est dtruit lorsque sa dure de vie vaut zro, on envoie alors un message derreur lmetteur du datagramme. Ce message derreur est un exemple typique du protocole ICMP.

Evolution dInternet : le protocole IPv6

La croissance exponentielle du nombre dordinateurs connects lInternet pose de nouveaux problmes. Le plan dadressage IP atteint un seuil de saturation, les adresses disponibles commencent manquer. Une nouvelle version dIP dite IPv6 (IP version 6) prvoit une champ dadressage beaucoup plus large pour faire face cette explosion. IPv6 prvoit des adresses sur 128 bits, ce qui est gigantesque : chaque habitant de la plante pourrait utiliser autant dadresses que lensemble utilis aujourdhui sur Internet ! Cet espace sera surtout utilis pour amliorer la flexibilit et faciliter la tche des administrateurs, ainsi que pour assurer la compatibilit avec les systmes existants. Les types dadresses sont globalement conservs, part la disparition des adresses de diffusion (broadcast) qui sont remplaces par une gnralisation du multicast (adressage multi-points). On ne parle plus de classes dadresses mais il existe de nombreux nouveaux types, dtermins par un prfixe. Le prfixe 0000 0000 binaire sera utilis pour la compatibilit avec les adresses IP classiques. Ladressage IPv6 rsout non seulement le problme de la saturation des adresses mais offre, en plus, de nouvelles possibilits comme une hirarchisation plusieurs niveaux ou lencapsulation dadresses dj existantes qui facilite la rsolution des adresses. IPv6 utilise un format de datagramme incompatible avec IP classique. Il est caractris par un en-tte de base de taille fixe et plusieurs en-ttes dextension optionnels suivis des donnes. Ce format garantit une souplesse dutilisation et une simplicit de len-tte de base. Regardons maintenant la structure de len-tte IPv6. Il y a 16 niveaux de priorit qui sont respects par les routeurs. Ceci permet par exemple de traiter diffremment les applications interactives et les transferts de fichiers. Un identificateur de flot permet de relier les datagrammes dune mme connexion applicative afin de leur garantir une mme qualit de service. Lutilisation combine de la priorit et de lidentificateur de flot permet dajuster la qualit de service offerte par le routage aux besoins de lapplication. Elle rpond donc la demande des nouvelles applications (temps rel, multimdia...). Le nombre de routeurs que peut traverser le datagramme avant dtre dtruit remplace le champ dure de vie dIP. Sa gestion est plus simple. La fragmentation est dsormais effectue de bout en bout : un algorithme PMTU (Path Maximum Transfer Unit) dtermine la taille maximale des datagrammes sur le chemin prvu, les paquets sont ensuite fragments par la source et rassembls par le destinataire. Grce lutilisation den-ttes optionnels, le routeur na qu extraire len-tte de base ainsi que len-tte optionnel hop by hop (littralement saut par saut) qui suit len-tte de base et qui contient des options devant tre traites aux nuds intermdiaires. Il est intressant, avec le dveloppement des portables, de pouvoir rediriger les messages adresss la station fixe habituelle vers sa localisation actuelle en cas de dplacement. Ceci va dsormais se faire au niveau du protocole IPv6 (et non au niveau de protocoles de couches suprieures comme cest le cas avec la redirection des courriers lectroniques). Un redirecteur plac lentre du rseau connat ladresse IPv6 de la personne en dplacement. Il encapsule le datagramme dans un nouveau datagramme IPv6 et lexpdie la nouvelle adresse. Le destinataire peut ainsi connatre lidentit de lmetteur. Les routeurs mettent galement en uvre un mcanisme de rservation de ressources adapt aux exigences stipules dans les champs priorit et identificateur de flot des datagrammes, dans le cas de contraintes de dlai et de dbit (temps rel). IPv6 tente dapporter des lments dauthentification et de confidentialit, thmes qui ntaient pas abords dans IP. IPv6 permet daccompagner le datagramme dun en-tte dauthentification et de confidentialit.

34

Synthse Exercices

Exercice 1
Ladresse de ma machine est 193.48.200.49. Puis-je en dduire si le rseau est de classe A, B ou C ?

Exercice 2
Considrons deux machines, 1 et 2, relies un mme rseau local. Chaque machine a une adresse IP, respectivement IP1 et IP2, et une adresse MAC, respectivement PH1 et PH2. Comment la machine 1 dsirant envoyer un datagramme vers la machine 2 dont elle ne connat que l'adresse IP2, peut-elle mettre en correspondance l'adresse IP2 avec l'adresse physique PH2 ? Et si la machine 2 est sur un autre rseau local distance, comment le datagramme est-il transmis dans le rseau local de la machine 1 : quelles adresses porte la trame qui le transporte, do viennent-elles ?

Exercice 3
Soit une entreprise disposant dun rseau Ethernet reli Internet. Lentreprise dispose dune adresse IP de classe B, dune identit rseau gale 29 C2 (crite en hexadcimal). Sur le rseau il y a dj deux cents ordinateurs dont ladresse IP a t choisie dans lordre croissant en commenant par 1. Vous branchez un nouvel ordinateur disposant dune carte Ethernet dadresse universelle 3E 98 4A 51 49 76. Proposer une adresse IP pour lordinateur et lcrire sous forme dcimale hirarchique. Lordinateur est dplac vers un autre rseau Ethernet de la mme entreprise, ce rseau tant galement branch sur Internet. Est-il ncessaire de changer ladresse de la carte Ethernet ? Est-il ncessaire de changer ladresse IP de lordinateur ?

Exercice 4
Etablir un tableau comparatif entre les quipements d'interconnexion (rpteur, pont et routeur) en abordant les aspects suivants : niveau d'interconnexion, filtrage d'adresses, filtrage des collisions, filtrage du trafic de diffusion, gnration de trafic de gestion, dpendance vis--vis des protocoles de communication, volutivit, performances, impact sur la scurit du rseau, reconfiguration, cot, temps de traitement interne, simplicit d'installation et de maintenance...

Exercice 5
Deux entreprises A et B sont quipes l'une d'un rseau local de type Ethernet, l'autre d'un rseau local de type Token Ring. a) Proposer des solutions d'interconnexion pour que chaque station de l'entreprise A puisse dialoguer avec toutes les stations de l'entreprise B. b) A quoi pourraient tre dus le goulet d'tranglement et la dgradation ventuelle des dbits utiles au niveau de chaque station du rseau A ?

Exercice 6
Un site local est compos de deux sous-rseaux physiques, relis par l'intermdiaire d'une mme passerelle au reste du monde. Ce site possde une adresse IP de classe B. Proposez un mode d'adressage des diffrentes stations sur le site pour que la passerelle n'ait pas diffuser systmatiquement tous les messages reus du reste du monde sur chacun des deux sous-rseaux.

Exercice 7
Un datagramme IP peut tre segment en plusieurs fragments. a) De quelles informations dispose-t-on pour savoir qu'un datagramme contient un fragment ? b) Comment reconstitue-t-on un datagramme l'arrive ?

35

c) Une passerelle peut-elle confondre deux fragments qui ont les mmes lments suivants : source, destination et numro de fragment ?

Exercice 8
Deux socits S1 et S2 situes 100 km lune de lautre fusionnent et dsirent mettre en commun leurs moyens informatiques. La socit S1 possde un rseau Ethernet E1 et les transferts de donnes utilisent TCP/IP, avec une adresse IP de classe C. La socit S2 possde un rseau: Ethernet E2 sous TCP/IP, avec une adresse IP de classe B. Que faut-il faire pour que tous les utilisateurs de E1 puissent accder aux machines du rseau de E2 et vice-versa ? Quelle est la structure de lquipement dinterconnexion pour passer de E1 E2 ? Quels sont les problmes potentiels dus linterconnexion ?

Exercice 9
Dans un rseau local Ethernet 100 Mbit/s, on dispose de 50 machines dutilisateurs rparties en 5 groupes de 10 et de serveurs : un serveur spcifique dans chaque groupe et 2 serveurs communs lensemble des utilisateurs. Dans chacun des 5 groupes, les machines des utilisateurs sont relies un concentrateur 12 ports. Lentreprise possde ladresse IP 193.22.172.0, peut-on rpartir les adresses en faisant apparatre les 5 groupes ? Si oui, comment ? Proposez un plan dadressage.

Exercice 10
Vous avez lanc une commande traceroute (tracert sous Windows). Cette commande permet de connatre le chemin suivi par un datagramme entre votre machine et une machine destination quelconque. Vous avez obtenu le rsultat suivant : 1 193.51.91.1 1ms 1ms 1ms 2 2.0.0.1 23ms 23ms 23ms 3 11.6.1.1 105ms 35ms 35ms 4 11.6.13.1 37ms 35ms 34ms 5 189.52.80.1 37ms 60ms 36ms 6 193.48.58.41 51ms 39ms 46ms 7 193.48.53.49 39ms 47ms 44ms 8 193.220.180.9 44ms * * 9 195.48.58.43 48ms 38ms 44ms 10 195.48.58.50 145ms 170ms 64ms 11 194.206.207.18 61ms 146ms 44ms 12 194.207.206.5 166ms 261ms 189ms Pourquoi le dlai est-il (infrieur ) 1 milliseconde pour la premire ligne ? Que peuvent signifier les toiles ? Comment expliquez-vous que pour la mme destination les dlais varient ? Combien de rseaux diffrents ont t traverss ? Peut-on connatre les protocoles utiliss ?

Exercice 11
A et B sont deux utilisateurs de la mme entreprise. Lutilisateur A a pour adresse 143.27.100.101 et lit sur sa machine : masque de sous-rseau 255.255.192.0 et adresse passerelle 143.27.105.1. 1) Quelle est ladresse du sous-rseau auquel appartient A ? Quelle est ladresse de diffusion sur ce sousrseau ? 2) Lutilisateur B a pour adresse 143.27.172.101 et lit sur sa machine : masque de sous-rseau 255.255.192.0. B est-il sur le mme rseau que A ? Peut-il utiliser la mme adresse de passerelle que A ? Sil ne connat pas ladresse utiliser, que doit-il faire ?

Exercice 12
Soit un routeur dentreprise qui relie 4 sous-rseaux R1, R2, R3 et R4 et offre laccs lInternet. Lentreprise a un adresse IP de classe C, didentit rseau gale 195.52.100. Dans le sous-rseau R1, il y a 15 postes de travail, dans R2 20 postes , R3 25 postes, R4 30 postes.

36

Peut-on imaginer un plan dadressage avec quatre sous-rseaux distincts ? Quel sera alors le masque de sous-rseau ?

Exercice 13
1/ Quelles sont les proprits indispensables des adresses dans un rseau de communication ? 2/ Quel est l'avantage de la sparation de l'adressage en 2 parties dans l'adressage Internet ?

3/ Pourquoi l'adresse IP ne peut pas tre affecte un priphrique rseau par son fabricant ?

Exercice 14
complter le tableau adresse IP masque de sous-rseaux classe Adresse du rseau auquel appartient la machine Adresse de diffusion dans le rseau adresse du sous-rseau auquel appartient la machine dont l'adresse est donne sur la premire ligne adresse de diffusion dans le sous-rseau 124.23.12.71 255.0.0.0 124.12.23.71 255.255.255.0 194.12.23.71 255.255.255.240

Exercice 15
Dcoder le datagramme IPv4 suivant (hexadcimal) et en extraire toutes les informations possibles. 45 00 00 50 20 61 00 00 80 01 C5 64 C7 F5 B4 0A C7 F5 B4 09 08 00 00 1C 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38

Exercice 16
Dcoder la trame Ethernet suivante (hexadcimal) et en extraire toutes les informations possibles. AA AA AA AA AA AA AA AB 08 00 02 4B 01 C3 08 00 02 4B 02 D6 08 00 45 00 00 50 20 61 00 00 80 01 C5 64 C7 F5 B4 0A C7 F5 B4 09 08 00 00 1C 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38 5F A6 8C 04

Quelques corrigs

Exercice 3
L'adresse Ethernet est gre dans la sous-couche MAC. Il n'est pas ncessaire de vrifier l'unicit de l'adresse. Celle-ci est garantie par le constructeur. Au niveau international, chaque constructeur a son prfixe et numrote ensuite chacune de ses cartes dans l'absolu. L'adresse IP est de classe B donc commence par 10. L'identit rseau s'crit sur 14 bits : 29C2 (hexadcimal) = 10 1001 1100 0010. Donc la partie rseau vaut 1010 1001 1100 0010 soit en dcimal 169.194. L'identit de la machine peut tre (par exemple) choisie gale 201 (dcimal). L'adresse IP est donc 169.194.0.201.

37

Par dfinition de l'adresse Ethernet : la carte a conserv son adresse. Il faut, par contre, lui donner une nouvelle adresse IP avec la nouvelle identit rseau et une nouvelle identit de machine dans ce rseau.

Exercice 6
Adresse de classe B : x .y.0.0 avec x compris entre 128 et 191. En absence dhypothse prcise sur le nombre de machines dans chacun des rseaux, on considrera quil suffit de crer deux sous-rseaux (ce qui ncessite 4 bits si lon veut viter le sous-rseau plein 0 et le sous-rseau plein 1 ) donc un masque 255.255.192.0. Dans les adresses IP des stations, les 16 premiers bits reprsentent le rseau (x.y), les deux bits suivants le sous-rseau (01 et 10) et les 14 bits restant la machine elle-mme. Sous-rseau 01 a pour adresse de sous-rseau x.y.64.0 ; les adresses des machines vont de x.y.64.1 x.y.127.254 ; ladresse de diffusion dans ce sous-rseau est x.y.127.255. Tout message parvenant la passerelle avec une adresse IP dans lintervalle ci-dessus est diffus exclusivement dans ce sous-rseau. Sous-rseau 10 a pour adresse de sous-rseau x.y.128.0 ; les adresses des machines vont de x.y.128.1 x.y.191.254; ladresse de diffusion dans ce sous-rseau est x.y.191.255. . Tout message parvenant la passerelle avec une adresse IP dans lintervalle ci-dessus est diffus exclusivement dans ce sous-rseau.

Exercice 7
Un datagramme IP peut tre dcoup en plusieurs fragments. a) le bit M (More fragments) est 1 dans tous les fragments sauf le dernier et le champ deplacement offset nest pas nul sauf dans le premier fragment. Un datagramme non fragment a un bit M 0 ET un champ deplacement offset 0. b) tous les fragments portent le mme identificateur (celui du datagramme initial), on utilise alors le champ deplacement offset pour reconstituer le datagramme. Le bit M 0 indique la fin. c) Un routeur peut-il confondre deux fragments qui ont les mmes lments suivants : source, destination et place de fragment ? non le champ identificateur du datagamme est forcment diffrent !

Exercice 13
1/ unicit, homognit 2/ Le fait de sparer l'adresse en deux parties permet de rduire la taille mmoire des passerelles car elles ne conservent que l'adresse des (sous)rseaux (et celle des stations des (sous)rseaux directement rattaches). En effet, la sparation entre l'adresse du (sous)rseau et celle de la station attache ce (sous)rseau permet un routage effectif dans les routeurs uniquement d'aprs l'adresse du (sous)rseau. L'adresse complte n'est utilise qu'une fois le paquet arriv au routeur auquel est connect le (sous) rseau destinataire. Il est facile d'envoyer un paquet sur toutes les stations d'un (sous)rseau. Il suffit d'utiliser une adresse de station particulire qui signifie que le paquet doit tre diffus sur tout le (sous)rseau. On peut garder par exemple l'adresse de station avec tous les bits 1 pour envoyer un paquet toutes les stations d'un (sous) rseau. Enfin, cela permet une dcentralisation de la gestion des host id . 3/ L'adresse IP ne doit pas tre seulement unique mais elle doit aussi reflter la structure de l'interconnexion. Elle est constitue par une partie rseau qui dpend donc du rseau auquel est connect la station. Toutes les machines connectes au rseau physique ont le mme prfixe rseau.

Exercice 14
adresse IP masque de sous-rseaux classe Adresse du rseau auquel appartient la machine 124.23.12.71 255.0.0.0 A 124.0.0.0 124.12.23.71 255.255.255.0 A 124.0.0.0 194.12.23.71 255.255.255.240 C 194.12.23.0

38

Adresse de diffusion dans le rseau adresse du sous-rseau auquel appartient la machine dont l'adresse est donne sur la premire ligne adresse de diffusion dans le sous-rseau

124.255.255.255 124.255.255.255 pas de sousrseaux 124.12.23.0 124.12.23.255

194.12.23.255 194.12.23.64 194.12.23.79

Exercice 15
45 4 = protocole IP version 4; 5 = longueur de lentte du datagramme = 5 * 4 octets = 20 octets = longueur par dfaut dun entte sans options 00 Type Of Service = 0 = pas de service particulier; en fait avec Ipv4 il ny a pas de service particulier, ce champ est donc toujours nul !! 00 50 longueur totale = 0*4096 + 0*256 + 5*16 + 0*1 = 80 octets donc la longueur du contenu est de 80-20 = 60 octets 20 61 identificateur du datagramme (ne sera utile que plus tard, au cas o il serait fragment) 00 00 drapeaux et dplacement tout zero = datagramme non fragment 80 dure de vie = 80 = 8*16 +0*1 = 128 routeurs que le datagramme pourrait encore traverser 01 protocole transport dans le datagramme : 1 = code du protocole ICMP C5 64 Bloc de contrle derreur de lentte C7 F5 B4 0A adresse IP metteur = 199.245.180.10 C7 F5 B4 09 adresse IP destinataire =199.245.180.9 Les deux machines sont dans le mme rseau de classe C, le rseau 199.245.180.0 -------fin de lentte IP--------------------pour dcoder le contenu il faut connatre le format dun message ICMP 08 type : 8 00 code : 0 lensemble type = 0 et code = 0 signifie demande dcho (couramment appele ping) 00 1C bloc de contrle derreur sur lentte du message ICMP -----fin de lentte ICMP-------------contenu quelconque destin tre renvoy par le destinataire sil rpond cette demande dcho. 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38 longueur du contenu ICMP = 56 octets ------fin du contenu ICMP-------- fin du contenu IP------Conclusion : le datagramme est au format IPv4. Il a t mis par la machine dadresse IP 199.245.180.10 vers la machine dadresse IP 199.245.180.9. Ces deux machines sont dans le mme rseau de classe C, le rseau 199.245.180.0. La datagramme possde une longueur totale de 60 octets, il transporte une requte ICMP de demande decho et dont la longueur du contenu est de 56 octets:Lmetteur envoie un ping au rcepteur pour connatre son tat.

Exercice 16
---------------------------- dbut dune trame Ethernet --------------------------------------------------AA AA AA AA AA AA AA AB -> Synchronisation 08 00 02 4B 01 C3 -> @mac destinataire (constructeur = 080020) 08 00 02 4B 02 D6 -> @mac metteur (mme constructeur) 08 00 -> Type (ici IP). Si < 1500 c'est une longueur [ici 08 00 = 2048, cette valeur ne peut donc pas tre la longueur des donnes de la trame] ---------------------------- 46 <= contenu (ici datagramme IP)<= 1500 -------------------------------le contenu de cette trame est le ping de lexercice prcdent

39

-------------------------------------fin du contenu------------------------------------------------------5F A6 8C 04 bloc de contrle derreur Ethernet Conclusion. Cette trame Ethernet a t capture dans le rseau de classe C 199.245.180.0. Deux machines sont concernes par cet change : la machine X dadresse MAC 08 00 02 4B 02 D6 et dadresse IP 199.245.180.10 a envoy une requte dcho (ping) la machine Y dadresse MAC 08 00 02 4B 01 C3 et dadresse IP 199.245.180.9, situe sur le mme rseau local. Les cartes Ethernet sont du mme constructeur. Les protocoles utiliss sont IP et ICMP.

40

Le routage
Le but dun protocole de routage est trs simple : fournir linformation ncessaire pour effectuer un routage, cest--dire la dtermination dun chemin travers le rseau entre une machine mettrice et une machines rceptrices, toutes deux identifies par leur adresse. Les protocoles de routages tablissent des rgles dchange des messages d'tat entre routeurs pour mettre jours leurs tables selon des critres de cot comme, par exemple, la distance, l'tat de la liaison, le dbit, et ainsi amliorer l'efficacit du routage. Le rseau Internet est organis comme une collection de systmes autonomes, chacun dentre eux tant en gnral administr par une seule entit. Un systme autonome, ou SA , est constitu d'un ensemble de rseaux interconnects partageant la mme stratgie de routage , plus prcisment tous routeurs internes ce systme obissent un mme protocole de routage , rgi par une autorit administrative (un dpartement responsable spcifique comme un fournisseur d'accs ou toute autre organisation). Le protocole de routage utilis lintrieur dun systme autonome est rfrenc en tant que protocole interne des passerelles, ou IGP. Un protocole spar, appel EGP (protocole externe des passerelles, est utilis pour transfrer des informations de routage entre les diffrents systmes autonomes.

RIP
RIP (Routing Information Protocol) a t conu pour fonctionner en tant quIGP dans des systmes autonomes de taille modre. RIP utilise un algorithme dune classe connue sous le nom dalgorithmes vecteurs de distance, il recherche le plus court chemin au sens dun critre de cot o seul le nombre de routeurs traverss intervient, un cot unitaire tant associ la traverse de chaque rseau. Le protocole est limit aux rseaux dont le plus long chemin (le diamtre du rseau) implique 15 routeurs maximum. Il est mal adapt au traitement de boucles dans les chemins et utilise des mtriques fixes pour comparer les routes alternatives. Cela nest pas toujours appropri pour les situations o les routes doivent tre choisies en fonction de paramtres temps rel comme un dlai, une fiabilit ou une charge mesurs.

OSPF
Bas sur un algorithme conu par le chercheur en informatique nerlandais Dijkstra , lalgorithme SPF (Shortest Path First) calcule le plus court chemin vers toutes les destinations de la zone ou du SA en partant du routeur o seffectue le calcul ( partir de sa base de donnes topologiques) au sens dun critre de cot o entrent de multiples paramtres. Ce calcul est effectu de manire indpendante par tous les routeurs OSPF internes au SA. Cest par lintermdiaire de cet algorithme que seffectue la mise jour de la table de routage : ayant trouv les plus courts chemins dun point un autre, en terme de cot, le routeur est apte connatre le prochain routeur qui il doit transmettre le message, pour que ce dernier arrive de manire optimum son destinataire (ce routeur tant videment un routeur adjacent au routeur qui effectue sur le calcul et se trouvant sur ce chemin). Chaque mise jour de la base de donnes entrane la mise jour de la table de routage. Cest ici quintervient la communication mme entre les routeurs , communication rgie par le protocole OSPF. Elle dfinit des rgles et des formats de messages que doivent respecte les routeurs OSPF internes un systme autonome. OSPF a la particularit de sappuyer directement sur IP et non sur UDP comme le protocole RIP. On distingue 5 types de messages : Hello , Description de base de donnes , Requte dtat de liaison , Mise jour dtat de liaison , Acquittement dtat de liaison . qui permettent aux diffrents routeurs de sechanger des informations sur ltat des liaisons et dterminer ainsi une fonction de cot plus raliste que dans RIP.

41

Protocoles TCP et UDP

Pour les changes qui ont besoin dune grande fiabilit, le protocole de Transport TCPErreur ! Signet non dfini. (Transport Control Protocol) est utilis dans les stations dextrmit. Pour les changes qui ne ncessitent pas une telle fiabilit, un protocole de Transport plus simple UDP (User Datagram Protocol) fournit les services de bout en bout en mode sans connexion. Le protocole UDP ne possde pas de fonction de contrle de flux, il essaye toujours de transmettre les donnes quelque soit l'tat de congestion du rseau. Le protocole TCP est implant au-dessus du protocole IP pour assurer un transfert fiable en mode connect : il fournit le mme service que le protocole de transport, dit de classe 4, dfini dans le modle OSI. Il est capable de dtecter les datagrammes perdus ou dupliqus, et de les remettre dans lordre dans lequel ils ont t mis. Il repose sur le principe de numrotation et dacquittement des donnes, et de fentre danticipation. Il possde des fonctions de contrle de flux par fentre glissante pour rguler les changes de donnes entre quipements. Ce contrle de flux pourrait tre utilis comme mthode de contrle de congestion lorsque le protocole ICMP indique une saturation dune partie du rseau. En fait, TCP ne tient pas compte dICMP. Les temporisateurs dattente maximale dacquittement de bout en bout sont dimensionns de manire dynamique en fonction de la connaissance acquise sur le fonctionnement du rseau. Par ailleurs, TCP gre un flot de donnes urgentes, non soumises au contrle de flux. Le protocole TCP utilise des mcanismes plutt complexes et des recherches sont en cours pour amliorer son efficacit dans des environnements haut dbit.

Le protocole TCP
0 1 2 3 4 5 6 7 8 9 10 11 12 Port Source 13 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Port destination Numro d'ordre Numro d'accus de rception Fentre Pointeur d'urgence Remplissage Donnes 14 15

Long entte

rserv

URG ACK PSH RST SYN FIN

Somme de contrle Options

Signification des diffrents champs: Port Source (16 bits): port relatif l'application en cours sur la machine source Port Destination (16 bits): port relatif l'application en cours sur la machine de destination Numro d'ordre (16 bits): lorsque le drapeau SYN est 0, le numro d'ordre est celui du premier octet du segment en cours Lorsque SYN est 1, le numro de squence est le numro de squence initial utilis pour synchroniser les numros de squence (ISN) Numro d'accus de rception (32 bits): numro dordre du dernier octet reu par le rcepteur Longueur en-tte (4 bits): il permet de reprer le dbut des donnes dans le segment. Ce dcalage est essentiel car le champ d'options est de taille variable Rserv (6 bits): Champ inutilis actuellement mais prvu pour l'avenir Drapeaux (flags) (6x1 bit) URG: si ce drapeau est 1 le paquet doit tre trait de faon urgente ACK: si ce drapeau est 1 le paquet est un accus de rception PSH (PUSH): si ce drapeau est 1, le paquet fonctionne suivant la mthode PUSH RST: si ce drapeau est 1, la connexion est rinitialise SYN: si ce drapeau est 1, les numros d'ordre sont synchroniss (ouverture de connexion) FIN: si ce drapeau est 1 la connexion s'interrompt Fentre (16 bits): champ permettant de connatre le nombre d'octets que le rcepteur souhaite recevoir sans accus de rception Somme de contrle (Checksum): la somme de contrle est ralise en faisant la somme des champs de donnes et de l'en-tte, afin de pouvoir vrifier l'intgrit Pointeur d'urgence (16 bits): indique le numro d'ordre partir duquel l'information devient urgente Options (Taille variable): options diverses

42

Remplissage: On remplit l'espace restant aprs les options avec des zros pour avoir une longueur multiple de 32 bits

Le protocole UDP
L'en-tte du paquet UDP est trs simple:
Port Source (16 bits) Longueur (16 bits) Port Destination (16 bits) Somme de contrle (16 bits) Donnes (longueur variable)

Port Source: il s'agit du numro de port correspondant l'application mettrice du paquet. Ce champ reprsente une adresse de rponse pour le destinataire. Port Destination: ce champ contient le port correspondant l'application de la machine mettrice laquelle on s'adresse Longueur: ce champ prcise la longueur totale du paquet, en-tte comprise, exprime en octets Somme de contrle: il s'agit d'une somme ralise de telle faon pouvoir contrler l'intgrit de lentte du paquet

Synthse Exercices

Exercice 1
Sachant quun segment TCP contient 20 octets den-tte et quil est transport dans un datagramme IP qui contient lui aussi 20 octets den-tte, dterminez le dbit utile maximum dune application utilisant TCP/IP sur Ethernet.

Exercice 2
Quel intrt y a-t-il pour un protocole (comme TCP) ne possder quun seul format den-tte ?

Exercice 3
Exploitez la trame Ethernet ci-dessous et donnez toutes les informations que vous pouvez en extraire. Les diffrentes couches de protocoles seront explicitement indiques. AA AA AA AA AA AA AA AB 00 A0 00 00 8D 20 00 40 95 AA A4 3D 08 00 45 00 00 48 2F B1 00 00 40 11 C6 F7 84 E3 3D 17 84 E3 3D 1F 06 58 00 A1 00 34 39 4F 30 82 00 28 02 01 00 04 06 70 75 62 6C 69 63 A0 1B 02 01 01 02 01 00 02 01 00 30 10 30 82 00 0C 06 08 2B 06 01 02 01 01 05 00 05 00 15 A7 5C 89

Exercice 4
La fragmentation et le rassemblage tant pris en charge par IP, pourquoi TCP se proccupe-t-il de lordre darrive des datagrammes ?

Exercice 5
Comment sont traits les en-ttes des datagrammes dans les deux cas suivants : a) L'metteur et le rcepteur sont connects au mme rseau de type TCP/IP. b) L'metteur et le rcepteur sont connects deux rseaux TCP/IP, qui sont interconnects grce un routeur IP.

Quelques corrigs
43

Rseau dentreprise - Intranet et Extranet

Lensemble des protocoles utiliss dans lInternet sest gnralis et est devenu un standard de fait. La plupart des quipements disposent des protocoles IP, UDP, TCP, Cependant, la connexion lInternet prsente des risques non ngligeables dintrusion. Il peut tre intressant pour une entreprise de disposer dun serveur Web, dun systme de messagerie lectronique, rservs ses membres sans connecter tout son rseau lInternet mais en rutilisant les mmes protocoles. On parle alors dintranet. Ce concept est apparu la fin des annes 90. Notons qu'un rseau intranet n'est pas forcment local un site, il s'appuie gnralement sur un ensemble de rseaux locaux interconnects entre eux par des liaisons (ou un rseau) protges contre les intrusions. Le concept dintranet permet une entreprise de disposer des services de type Internet de faon scurise mais seulement en interne. Lorsqu'on fournit les moyens d'changer des informations de faon scurise avec des fournisseurs, des partenaires (en gardant les protocoles de l'Internet), on parle alors d'Extranet.

Architecture Client / Serveur

De nombreuses applications fonctionnent selon un environnement client/serveur, cela signifie que des machines clientes (des machines faisant partie du rseau) contactent un serveur, une machine gnralement trs puissante en terme de capacits d'entre-sortie, qui leur fournit des services. Ces services sont des programmes fournissant des donnes telles que l'heure, des fichiers, une connexion, ... Les services sont exploits par des programmes, appels programmes clients, s'excutant sur les machines clientes. On parle ainsi de client FTP, client de messagerie, ..., lorsque l'on dsigne un programme, tournant sur une machine cliente, capable de traiter des informations qu'il rcupre auprs du serveur (dans le cas du client FTP il s'agit de fichiers, tandis que pour le client messagerie il s'agit de courrier lectronique). Dans un environnement purement client/serveur, les ordinateurs du rseau (les clients) ne peuvent voir que le serveur, c'est un des principaux atouts de ce modle. Le modle client/serveur est particulirement recommand pour des rseaux ncessitant un grand niveau de fiabilit, ses principaux atouts sont: des ressources centralises: tant donn que le serveur est au centre du rseau, il peut grer des ressources communes tous les utilisateurs, comme par exemple une base de donnes centralise, afin d'viter les problmes de redondance et de contradiction ;une meilleure scurit: car le nombre de points d'entre permettant l'accs aux donnes est moins important ; une administration au niveau serveur: les clients ayant peu d'importance dans ce modle, ils ont moins besoin d'tre administrs ; un rseau volutif: grce cette architecture ont peu supprimer ou rajouter des clients sans perturber le fonctionnement du rseau et sans modifications majeures. L'architecture client/serveur a tout de mme quelques lacunes parmi lesquelles: un cot lev d la technicit du serveur et un maillon faible: le serveur lui-mme, tant donn que tout le rseau est architectur autour de lui! Heureusement, le serveur a souvent une grande tolrance aux pannes.

Les serveurs DNS

Chaque station possde une adresse IP propre. Cependant, les utilisateurs ne veulent pas travailler avec des adresses numriques du genre 192.163.205.26 mais avec des noms explicites plus faciles mmoriser (appeles noms symboliques) du style http://www.math-info.univ-paris5.fr ou dominique.seret@math-info.univ-paris5.fr Un systme appel DNS (Domain Names Service) permet de faire l'association entre les adresses IP et les noms symboliques. On appelle rsolution de noms de domaines (ou rsolution d'adresses) la corrlation entre les adresses IP et le nom de domaine associ. Aux origines de TCP/IP, les rseaux taient trs peu tendus, le nombre d'ordinateurs connects un mme rseau tait faible, les administrateurs rseau craient des fichiers appels tables de conversion manuelle (fichiers gnralement appel hosts ou hosts.txt), associant sur une ligne, l'adresse IP de la machine et le nom littral associ, appel nom d'hte. Ce systme l'inconvnient majeur de ncessiter la mise jour des tables de tous les ordinateurs en cas d'ajout ou modification d'un nom de machine. Ainsi, avec l'explosion de la taille des rseaux et de leur interconnexion, il a fallu mettre en place un systme plus centralis de gestion des noms. Ce systme est nomm Domain Name System (DNS).

44

Ce systme consiste une hirarchie de noms permettant de garantir l'unicit d'un nom dans une structure arborescente. On appelle nom de domaine, le nom deux composantes, dont la premire est un nom correspondant au nom de l'organisation ou de l'entreprise, le second la classification de domaine (.fr, . com, ...). Chaque machine d'un domaine est appele hte. Le nom d'hte qui lui est attribu doit tre unique dans le domaine considr (le serveur web d'un domaine porte gnalement le nom www). L'ensemble constitu du nom d'hte, d'un point, puis du nom de domaine est appel adresse FQDN (Fully Qualified Domain). Cette adresse permet de reprer de faon unique une machine. Ainsi www.commentcamarche.net reprsente une adresse FQDN. Des machines appeles serveurs de nom de domaine permettent d'tablir la correspondance entre le nom de domaine et l'adresse IP sur les machines d'un rseau. Chaque domaine possde ainsi un serveur de noms de domaines, reli un serveur de nom de domaine de plus haut niveau. Ainsi, le systme de nom est une architecture distribue, c'est--dire qu'il n'existe pas d'organisme ayant charge l'ensemble des noms de domaines. Le systme de noms de domaine est transparent pour l'utilisateur, mais chaque ordinateur doit tre configur avec l'adresse d'une machine capable de transformer n'importe quel nom en une adresse IP. Cette machine est appele Domain Name Server. (Dans le cas d'une connexion un fournisseur d'accs Internet, celui-ci va automatiquement jouer le rle de DNS et fournir une adresse utailisable pour ce service) L'adresse IP d'un second Domain Name Server (secondary Domain Name Server) peut galement tre introduite: il peut relayer le premier en cas de panne. La classification du domaine correspond gnralement a une rpartition gographique. Toutefois, il existe des noms, crs pour les Etats-Unis la base, permettant de classifier le domaine selon le secteur d'activit, par exemple: .com correspond aux entreprises vocation commerciales (devenu international maintenant, .com ne correspond pas forcment des entrprises commerciales...) .edu correspond aux organismes ducatifs .gov correspond aux organismes gouvernementaux .mil correspond aux organismes militaires .net correspond aux organismes ayant trait aux rseaux .org correspond aux entreprises but non lucratif La communication avec les protocoles TCP/IP requiert chaque instant l'adresse IP du destinataire. Les aplications d'une machine hte contactent donc le client DNS install sur la machine et lui font la requte de correspondance voulue. Le client DNS transfre la requte au serveur DNS (port 53) dont l'adresse IP est donne par la configuration de la machine. Les serveurs DNS constituent un ensembnle coopratif qui permet d'obtenir la rponse la requte en question, le client DNS rcupre (et enregistre) cette rponse et la fournit l'application qui peut alors communiquer. Quelques microsecondes ont t ncessaires, sans que l'utilisateur final ne s'aperoive de rien !

Gestion de la scurit
Risques et menaces sont deux concepts fondamentaux pour la comprhension des techniques utilises dans le domaine de la scurit. Le risque est une fonction de paramtres que l'on peut matriser, les principaux sont la vulnrabilit et la sensibilit. La menace est lie des actions et oprations manant de tiers, elle est indpendante de la protection dont on peut se doter. La vulnrabilit dsigne le degr d'exposition des dangers. Un point de vulnrabilit d'un rseau est le point le plus facile pour l'approcher. Un lement de ce rseau peut tre trs vulnrable tout en prsentant un niveau de sensibilit trs faible: le poste de travail de l'administrateur du rseau, par exemple, dans la mesure o celui-ci peut se connecter au systme d'administration en tout point du rseau. La sensibilit dsigne le caractre stratgique, au sens valeur, d'un composant du rseau. Celui-ci peut tre trs sensible, vu son caractre stratgique mais quasi-invulnrable, grce toutes les mesures de protection qui ont t prises pour le prmunir contre les risques potentiels. Exemples : le cble constituant le mdia d'un rseau local lorsqu'il passe dans des espaces de service protgs, l'armoire de sauvegarde des logiciels de tous les commutateurs du rseau, ... On peut classer les risques en deux catgories : les risques structurels lis l'organisation et la dmarche d'une entreprise, les risques accidentels indpendants de l'entreprise. Enfin, selon leur niveau de sensibilit et de vulnrabilit, on distingue souvent quatre niveaux de risques.

45

 Les risques acceptables n'induisent aucune consquence grave pour les entits utilisatrices du rseau. Ils sont facilement rattrappables : pannes lectriques de quelques minutes, perte d'une liaison, ... Les risques courants sont ceux qui ne portent pas un prjudice grave au rseau. Ils se traduisent, par exemple, par une congestion d'une partie du rseau. La mauvaise configuration d'un quipement peut causer la rptition des messages mis, un oprateur peut dtruire involontairement un fichier de configuration, ... Les risques majeurs sont lis des facteurs rares, mais pouvant causer des prjudices de nature causer des dgats importants, mais toujours rattrappables. Un incendie a ravag le centre de calcul d'une entreprise. La consquence se traduit par le remplacement de l'ensemble du matriel, mais, heureusement, tous les logiciels et les donnes sont sauvegards et archivs dans un local anti-feu. Les risques inacceptables sont, en gnral, fatals pour l'entreprise, ils peuvent entraner son dpot de bilan. Exemple : la destruction du centre de calcul et de l'ensemble des sauvegardes des programmes et donnes. Les menaces passives consistent essentiellement copier ou couter l'information sur le rseau, elles nuisent la confidentialit des donnes. Dans ce cas, l'information n'est pas altre par celui qui en prlve une copie, d'o des difficults pour dtecter ce type de malveillance. Elles ne modifient pas l'tat du rseau. La mthode de prlvement varie suivant le type de rseau. Sur les rseaux cabls, on peut imaginer un branchement en parallle grce des appareils de type analyseurs de protocole ou une induction (rayonnement lectromagntique). Sur les faisceaux hertziens, des antennes captent les lobes secondaires des faisceaux ; dans les transmissions par satellites, des antennes avec sytmes de poursuite existent, Les menaces actives nuisent l'intgrit des donnes. Elles se traduisent par diffrents types d'attaques. On distingue le brouillage, le dguisement (modification des donnes ou de l'identit), l'interposition (dguisement en mission ou en rception). Les niveaux de piratage sont trs variables, puisque la gamme des pirates s'tend de l'amateur sans connaissances particulires du rseau qu'il pntre ou tente d'infiltrer au professionnel, souvent membre de l'entreprise, et au courant des procdures cls du rseau. Les mcanismes de scurit doivent donc prendre en considration aussi bien le sondage alatoire que pratique l'amateur la recherche d'un mot de passe, que la lecture, aux consquences dsastreuses, du catalogue central des mots de passe, des codes de connexion ou des fichiers. Les menaces actives sont de nature modifier l'tat du rseau. Les menaces dues aux accidents (26%) sont le fait d'incendies, d'inondations, de pannes d'quipements ou du rseau, de catastrophes naturelles, ... Les menaces dues aux erreurs (17%) sont lies l'utilisation et l'exploitation, la conception et la ralisation, le dfaut de qualit, ... Les menaces dues la malveillance (57% dont 80% sont d'origine interne) concernent les actes tels que le vol des quipements, les copies illicites de logiciels et de documents techniques, le sabotage matriel et l'attaque logique (virus, modification, ), les intrusions et l'coute, les actes de vengeance...

Services de scurit
L'ISO a dfini plusieurs services de scurit. Ceux-ci sont assurs par diffrents types de mcanismes et diffrent par leur sophistication, leurs cots, les efforts ncessaires pour leur implantation, leur maintenance et leurs besoins en ressources humaines.

Authentification
Ce service permet d'authentifier les partenaires qui communiquent, au moyen d'un protocole donn, indpendamment de l'mission d'un message. L'authentification a pour but de garantir l'identit des correspondants. On distingue : l'authentification de l'entit homologue qui assure que l'entit rceptrice qui est connecte est bien celle souhaite. Son action peut intervenir l'tablissement de la communication et pendant le transfert des donnes. Son objectif principal est donc la lutte contre le dguisement. l'authentification de l'origine qui assure que l'entit mettrice est bien celle prtendue. Le service est inoprant contre la duplication d'entit. Comme le prddent, il s'agit d'authentification simple l'authentification mutuelle qui assure que les deux entits mettrice et rceptrice se contrlent l'une l'autre. Le service d'authentification est inutilisable dans le cas d'un rseau fonctionnant en mode "sans connexion".

46

Contrle d'accs
Ce service empche l'utilisation non autorise de ressources accessibles par le rseau. Par "utilisation", on entend les modes lecture, criture, cration ou suppression. Les ressources sont les systmes d'exploitation, les fichiers, les bases de donnes, les applications, Ce service utilise le service d'authentification vu ci-dessus afin de s'assurer de l'identit des correspondants transporte dans les messages d'initialisation des dialogues.

Confidentialit des donnes

L'objet de ce service est d'empcher des donnes d'tre comprhensibles par une entit tierce non autorise, le plus souvent en tat de fraude passive.

Intgrit des donnes

Contre les fraudes actives, ce service dtecte les altrations de donnes entre metteur et rcepteur. On distingue : l'intgrit des donnes en mode connexion avec rcupration (c'est sur l'ensemble des donnes transmises que se fait la vrification d'intgrit : le service relve les modifications, les insertions, les suppressions et les rptitions de donnes et assure la remise en tat des donnes) ; l'intgrit des donnes en mode connexion sans rcupration ; l'intgrit d'un champ spcifique, ce service n'agit que sur quelques donnes incluses dans une transmission (les modifications, suppressions, insertions et rptitions sont dtectes) ; l'intgrit des donnes en mode sans connexion (la dtection de modification est toujours fournie, par contre les dtections d'insertions et de rptitions ne sont que partielles et optionnelles) ; l'intgrit d'un champ spcifique en mode sans connexion, ce service n'assure plus que la dtection de modification dans un champ de donnes slectionn.

Non-rpudiation
La non-rpudiation de l'origine fournit au rcepteur une preuve empchant l'metteur de contester l'envoi ou le contenu d'un message effectivement reu. La non-rpudiation de la remise fournit l'metteur une preuve empchant le rcepteur de contester la rception ou le contenu d'un message effectivement mis.

Protection contre l'analyse de trafic

Le secret du flux lui-mme empche l'observation du flux de transmission de donnes, source de renseignements pour les pirates. Ce cas s'applique aux situations o l'on a besoin de garder la confidentialit sur l'existence mme de la relation entre les correspondants. Mcanismes de scurit Plusieurs mcanismes ralisent les services de scurit numrs ci-dessus.

Chiffrement
Le chiffrement transforme tout ou partie d'un texte dit clair en cryptogramme, message chiffr ou protg. Si une ligne utilise des dispositifs de chiffrement, les donnes sont transmises sous une forme "brouille", de manire qu'elles ne puissent tre comprises par un tiers. message message cryptogramme Destinataire Bote de Bote de chiffrement dchiffrement Le mcanisme de chiffrement met un message X sous une forme secrte au moyen d'une cl K. L'metteur dispose d'une fonction algorithmique E, qui X et K associe E(K,X). Le rcepteur reoit E (K,X) (message chiffr mis) et le dchiffre au moyen de sa cl K' avec sa fonction D, qui E(K,X) et K' associe X. On a alors : D(K', E (K,X)) = X Les fonctions E et D peuvent tre secrtes ou publiques. Il en est de mme pour les cls K et K'. L'existence d'un dchiffrement tient la dfinition de l'algorithme donnant E et D, et de la mthode produisant et rpartissant les cls K et K'. Emetteur

47

Le mcanisme de chiffrement existe typiquement deux niveaux : voie par voie ou de bout-en-bout. L'ensemble repose, dans tous les cas, sur un algorithme donn, un couple de cls associes et un mcanisme de distribution des cls. Le chiffrement voie par voie est le rsultat de la mise en place de botes noires sur les lignes, qui laissent les donnes en clair au niveau des htes et des nuds du rseau. Le message est chiffr/dchiffr indpendamment chaque changement de ligne. Le chiffrement de voie appartient la couche Liaison de Donnes. L'intrusion sur une ligne si on connat sa cl n'aboutit pas l'accs des autres lignes qui sont susceptibles de possder des cls diffrentes. De plus, un texte complet, en-ttes et informations d'acheminement, peut tre chiffr sur la ligne. Enfin, cette solution libre le logiciel des tches de chiffrement puisque ce dernier est ralis par une bote de chiffrement place du ct numrique du modem aux deux extrmits de la ligne. Dans ce cas, le service est fourni par l'infrastructure du rseau utilis. Le chiffrement de bout-en-bout laisse en clair les informations de routage. Seules les donnes constituant l'information transmise sont chiffres. Dans un rseau multi-nuds, le message traverse plusieurs nuds et garde le mme chiffrement depuis son metteur jusqu' son destinataire final. Le chiffrement de bouten-bout appartient logiquement la couche Prsentation. Les donnes restent brouilles dans les nuds. La distribution des cls est plus aise dans un systme de bout-en-bout.

Signature numrique et fonction de condensation

La production d'une signature numrique est obtenue par l'application d'un algorithme au message transmis qui devient sign. Le plus souvent, cette signature numrique est le rsultat d'une transformation cryptographique du message, indpendante de la taille de ce dernier, et de taille rduite. Le propre de la signature est qu'elle est vrifiable par tous, mais inimitable. Les algorithmes qu'on utilise en matire de signature numrique sont asymtriques. L'expression thorique d'un message sign sera de la forme E [K,h(M)] o M reprsente le message, h(M) l'image de M par une fonction de condensation et E[K,h(M)] la signature proprement dite.

Contrle d'accs
Ce mcanisme utilise l'identit authentifie des entits ou des informations fiables pour dterminer leurs droits d'accs au rseau ou aux ressources sur le rseau. De plus, il est susceptible d'enregistrer sous forme de trace d'audit et de rpertorier les tentatives d'accs non autorises. Les informations utilises sont : les listes de droits d'accs, maintenues par des centres, les mots de passe, les jetons de droits d'accs, les diffrents certificats, les libells de sensibilit des donnes. Le mcanisme de contrle d'accs peut avoir lieu aux deux extrmits de la communication (quipement d'accs et ressource du rseau).

Intgrit des donnes

L'intgrit d'une unit de donnes ou d'un champ spcifique de donnes se fait par les codes de contrle cryptographique, dont le mcanisme est identique celui des signatures numriques. L'intgrit d'un flot de donnes peut tre assure par le mme mcanisme de cryptographie auquel s'ajoutent des codes de dtection d'erreurs ainsi que la numrotation des units de donnes par horodatage.

change d'authentification
Lorsque les entits homologues et les moyens de communication sont srs, l'identification des entits homologues peut se faire par des mots de passe. Par mots de passe, on entend aussi bien les vritables mots de passe que l'utilisateur physique donne pour accder un systme, que les codes de connexion qu'un terminal utilise. Un mot de passe est souvent compos de deux parties : le mot de passe proprement dit, plus un identificateur d'utilisateur qui permet le contrle du mot de passe. L'identificateur n'est pas appropri pour la scurit car il est habituellement de notorit publique, tel le numro d'identification de l'employ, et ne peut tre chang facilement du fait que beaucoup d'informations s'y rattachent.

48

Dans certaines applications, l'utilisateur ne connat mme pas son mot de passe qui est inscrit sur une piste magntique contenant un Numro d'Identification Personnel. Dans d'autres applications, seul l'utilisateur connat son numro, et une fonction lui permet de changer son mot de passe. Le cas des guichets bancaires est particulier : le client doit introduire une carte contenant son code, plus une cl secrte, certains ordinateurs dsactivant ce code tous les mois pour forcer un changement. Lorsque les moyens de communication ne sont pas srs, les mots de passe ne suffisent plus raliser le mcanisme ; il faut alors y adjoindre des procdures de chiffrement.

Bourrage
Ce mcanisme sert simuler des communications dans le but de masquer les priodes de silence et de banaliser les priodes de communication relles. Ceci permet de ne pas attirer l'attention des pirates lors des dmarrages de transmission. Un mcanisme de bourrage de voie est obtenu en envoyant sur la ligne, entre deux missions de messages utiles, des squences de messages contenant des donnes dpourvues de sens. Le gnrateur de messages respectera la frquence des lettres et des diagrammes de l'alphabet employ.

Contrle de routage par gestion dynamique de la bande passante

Aprs dtection d'une attaque sur une route donne, ou tout simplement pour prvenir cette attaque, les systmes d'extrmits ou les rseaux peuvent, par ce mcanisme, slectionner une route plus sre. Dans certains cas, la modification priodique est programme afin de djouer toutes les tentatives malveillantes.

Notarisation
Une garantie supplmentaire peut tre apporte par la notarisation : les entits font confiance un tiers qui assure l'intgrit, l'origine, la date et la destination des donnes. Le processus sous-entend que ce tiers doit acqurir les informations par des voies de communication trs protges.

Les aspects oprationnels de la scurit

Les techniques de scurit dcrites ci-dessus permettent de rduire les risques de manire significatives. Elles ne peuvent pas les liminer totalement. Des mcanismes de dtection d'intrusion ou de violation doivent tre implants pour surveiller de faon continue la scurit. Le flot gnral des messages, vnements et alarmes est similaire celui de la gestion des pannes. Cependant des actions spcifiques sont prendre pour la gestion de la scurit. Elles doivent, en particulier, avoir un impact minimal sur le fonctionnement oprationnel du rseau et maximiser les chances de "coincer" le pirate. Les journaux sont les sources d'information les plus utiles. Ils contiennent : tous les vnements et incidents de communication prslectionns par le responsable de la scurit (refus d'accs, tentatives de connexion, ); les identificateurs des usagers, metteur, rcepteur avec une indication de l' initateur de la connexion, la date, heure, les ressources impliques dans la communication, les mots de pase et/ou cls utilises, les fonctions de scurit appeles, manuellement ou automatiquement. Les quipements et instruments de collectes de mesures et de gestion des pannes participent la gestion de la scurit. Certains quipements sont spcifiques : les botes de chiffrement, les contrleurs d'accs, les contrleurs d'authentification, les solutions de scurit pour les LAN Parmi les outils classiques, nous pouvons citer le standard DES, l'algorithme RSA, l'algorithme MD5, Kerberos et les pare-feux (firewalls).

Le standard de chiffrement DES

Le mcanisme de cryptage le plus utilis est bas sur le standard amricain DES (Data Encryption Standard) adopt par le NIST en 1977. Les blocs de donnes sont dcoups en 64 bits et l'algorithme transforme chaque bloc en un autre bloc de 64 bits l'aide d'une cl (limite par les instances fdrales amricaines) de 56 bits. Le mme algorithme et la mme cl sont utiliss pour le dchiffrement. Il s'agit d'un algorithme dont toutes les oprations sont connues (permutations, additions, substitutions) dont la

49

scurit rside dans la cl (secrte) c'est--dire dans la complexit des calculs ncessaires pour analyser toutes les cls possibles, en l'absence de toute autre information. Pour augmenter la scurit d'un tel systme, on utilise frquemment plusieurs oprations en cascade (double DES voire Triple DES), ayant des cls diffrentes.

L'algorithme de chiffrement RSA

L'algorithme RSA (Rivest, Shamir, Adleman, du nom de ses concepteurs) est un alorithme cl publique conu au MIT en 1978. Il est bas sur des problmes NP complets : par exemple, la dcomposition d'un nombre en facteurs premiers (le nombre en question a 100 ou 200 chiffres). Celui qui cherche protger ses communications rend ce nombre public (dans un annuaire), mais le rsultat de la dcomposition est connu de lui seul. Mme si un espion intercepte un message, il ne peut donc pas le dchiffrer. Un tel algorihtme permet au seul rcepteur autoris de lire les messages qui lui sont destins.

L'algorithme de signature MD5

Egalement conu par Rivest, cet algorithme cl publique utilis pour la confidentialit et l'authentification. MD5 (Message Digest 5, dfini en 1992 dans le RFC 1321, successeur de MD4) prend en entre des messages de longueur quelconque qu'il dcoupe en blocs de 512 bits pour produire en sortie un bloc de 128 bits grce une fonction de condensation. Les calculs sont bass sur des oprations simples, faites sur des blocs de 32 bits, pour une implmentation rapide.

Le service Kerberos
Kerberos est un service d'authentification dvelopp au MIT pour fournir des services de scurit dans un environnement client/serveur distribu. Le principe de fonctionnement est illustr sur la figure suivante. Pour utiliser un service, un client doit tout d'abord fournir auprs du serveur d'authentification un certificat, preuve de son identit et de ses droits. Il reoit en retour des donnes ayant une dure de vie limite : un ticket et une cl. Arm de ces donnes, le client adresse alors au serveur d'autorisation un message chiffr et dat contenant une demande d'autorisation d'accs un serveur donn et reoit en retour un nouveau ticket et une nouvelle cl. Il utilisera ces dernires informations pour se connecter sur le serveur de donnes, lequel vrifiera la validit des informations fournies. L'algorithme de chiffrement utilis est le DES.
1 2 3 4 client 5 6 AS = Authentication Server (serveur d'authentification) TGS = Ticket-Granting Server (serveur d'autorisation) serveur de donnes AS

TGS Kerberos

Kerberos repose sur une station du rseau, il est responsable de la gnration de toutes les cls et gre les certificats d'identit et les tickets d'autorisation. Tous les serveurs de donnes et les applications du rseau doivent tre dclars auprs de Kerberos. Notons que celui-ci ne gre pas l'accs aux fichiers ordinaires et suppose que l'environnement est un rseau local utilisant les protocoles de la famille TCP/IP.

Les pare-feux
La connexion d'un rseau d'entreprise l'Internet est la porte ouverte toutes les intrusions. On protge alors le rseau en filtrant les accs depuis ou vers l'Internet dans un routeur appel "firewallErreur !

50

Signet non dfini." ou pare-feuErreur ! Signet non dfini. ou encore bastion. Ce filtrage doit offrir en toute tranparence aux utilisateurs du rseau d'entreprise tous les services dont ils ont besoin l'extrieur et protger els accs aux applications et aux donnes l'intrieur du rseau d'entreprise. Le filtrage peut se faire au niveau des datagrammes sur leur entte (filtrage sur les adresses ou sur le contenu (type de protocole, par exemple). Le filtrage peut aussi se faire au niveau applicatif (ftp et telnet, par exemple, sont des applications interdites), ceci suppose que le firewall connat toutes les applications Dans les deux cas, le filtrage peut tre positif ou ngatif : tout ce qui n'est pas explicitement interdit est autoris ou tout ce qui n'est pas explicitement autoris est interdit ! Il est judicieux d'interdire par dfaut tout ce qui n'est pas explicitement autoris Le pare-feu sparation de rseaux (dual homed firewall) est un routeur qui possde deux cartes rseaux, sparant physiquement le rseau d'entreprise de l'Internet : tout le trafic inter-rseau passe donc par le firewall qui peut excuter son filtrage sur chaque requte entrante ou sortante .
firewall

rseau d'entreprise

Internet

Le pare-feu peut tre une machine du rseau, distincte du routeur qui assure l'accs l'Internet. On parle alors de screened host firewall, de "pare-feu au fil de l'eau" ou encore de bastion. C'est le routeur qui agit activement en faisant transiter tout le trafic venant d'Internet vers la machine pare-feu. Il bloque tout trafic destin l'Internet qui est mis par une machine quelconque du rseau autre que le pare-feu. Les machines internes du rseau doivent donc connatre le pare-feu et lui adresser tout leur trafic effectivement destin l'Internet.
firewall routeur rseau d'entreprise Internet

Rseaux privs virtuels

On dsigne par rseau priv virtuel (VPN, Virtual Private Network) un rseau dentreprise constitu de plusieurs sites relis par Internet. La traverse dInternet est vue comme un tunnel, dans lequel les donnes de lentreprise sont chiffres et transitent dun bout lautre. Lentreprise ne peut avoir connaissance des autres donnes qui circulent sur les liaisons empruntes. Pour mettre en oeuvre ce mcanisme de tunnel, on utilise un protocole spcial pouvant assurer plusieurs services selon les besoins de lentreprise : confidentialit, intgrit des donnes, authentification des machines dextrmit. Le principal protocole de tunnel est utilis au niveau Rseau : il sagit dIPSec, une version scurise dIP dfinie par la RFC 2246. Lentreprise reoit donc le mme service que si les liaisons lui appartenaient. Cest pourquoi on parle de rseau virtuel. Deux machines passerelles, situes chaque extrmit du tunnel, ngocient les conditions de lchange des informations : quels algorithmes de chiffrement, quelles mthodes de signature numrique ainsi que les cls utilises pour ces mcanismes. Elles traitent ensuite les donnes avec la politique de scurit associe. A titre dexemple, il est possible dauthentifier les adresses IP utilises ainsi que les donnes grce une signature numrique puis chiffrer lensemble du paquet IP en l encapsulant dans un nouveau paquet, ce qui a pour effet de rendre le paquet inexploitable par un utilisateur non autoris.

51

Synthse Exercices

Exercice 1
Une entreprise possdant un sige et plusieurs filiales distance souhaite mette en place un Intranet avec un Web interne situ au sige, la messagerie lectronique, le transfert de fichier et des groupes de discussions. Le fournisseur daccs lInternet est choisi et le raccordement se fait par le rseau tlphonique commut pour les filiales et par liaison spcialise pour le sige. Proposer une architecture matrielle et logicielle pour cet Intranet. Sachant que le serveur Web transfre des pages de 20 koctets simultanment vers 25 utilisateurs situs dans les filiales et que lon souhaite que le temps de rponse (le temps de transmission et affichage dune page) soit infrieur 10 seconde, quel dbit faut-il choisir pour la ligne ?

Exercice 2
Une entreprise largement dploye sur la rgion parisienne possde environ 250 sites et 12000 postes de travail identiques auxquels il faut ajouter 250 serveurs (un par site). Les deux sites les plus loigns sont distants de 123 km. Peut-on imaginer un rseau Ethernet pour cette entreprise ? Pourquoi ? Le directeur du systme dinformation (DSI) dcide dimplanter un rseau Ethernet par site et un rseau fdrateur FDDI auquel est reli chacun des Ethernet (directement ou indirectement...). Quels matriels dinterconnexion sont ncessaires ? Combien ? Proposer une solution d'interconnexion. Ladministrateur rseau demande une adresse IP pour son entreprise ? Quelle classe lui faut-il ? Il obtient 145.87.0.0. Ceci lui convient-il ? Peut-il prvoir un plan dadressage avec autant de numros de sousrseaux quil y a de rseaux physiques existants ? Le DSI voudrait mettre en uvre un serveur Web accessible depuis lextrieur de lentreprise. Proposer une localisation possible et un modle de scurit pour ce serveur. Seuls 3% des utilisateurs sont effectivement autoriss par la direction de lentreprise sortir de lentreprise et naviguer sur lInternet (toutes applications confondues). Le plan dadressage prcdent est-il utile ? Pourquoi ? Proposer une solution.

Exercice 3
Soit deux rseaux locaux RL1 et RL2, interconnects par une passerelle. Deux stations, STA sur le rseau RL1 et STB sur le rseau RL2, communiquent grce aux protocoles TCP/IP. La taille des datagrammes IP dans le rseau RL2 est 2 fois infrieure celle des datagrammes dans le rseau RL1. a) Expliquez la procdure d'change et le squencement des oprations lors d'un transfert de fichiers entre STA et STB. b) Proposez des types de passerelle que l'on puisse utiliser dans les cas suivants: Cas 1 : les 2 rseaux sont situs sur le mme site. Cas 2 : les 2 rseaux sont utiliss par deux entits d'une mme socit, situes aux deux extrmits d'une grande ville. Cas 3 : les 2 rseaux relient 2 structures situes dans des villes diffrentes. Cas 4 : le premier rseau se trouve en France, le deuxime aux tats-Unis.

Exercice 4
Une station A souhaite accder une page Web sur une machine B. Les caractristiques de A et B sont Machine Nom logique Adresse IP A topaze.univ-paris5.fr 194.132.6.9 B dizzie.univ-tahiti.fr 192.41.8.1 Indiquer : a/ Quel est l'lment de la machine A qui fait la rsolution nom logique / adresse IP b/ Comment sait-on que le destinataire B n'est pas situ sur le mme rseau que la source ? c/ Qui est responsable de la dtermination de la route suivre ?

52

Exercice 5
On considre un rseau compos de trois ordinateurs (votre PC, un serveur DNS et un serveur Web), un routeur et deux rseaux locaux de type Ethernet comme le montre la figure.

Routeur IP 25.0.1.1 Masque 255.255.255.0 Eth1 08:00:02:54:E2:A2 Rseau Ethernet 25.0.1.0

routeur

Routeur IP 25.0.2.1 Masque 255.255.255.0 Eth2 08:00:02:54:E2:A3 Rseau Ethernet 25.0.2.0

A Votre poste client pc.soc.pays IP 25.0.1.129 DNS 25.0.1.33 Routeur 25.0.1.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:A1 X Serveur DNS ns.soc.pays IP 25.0.1.33 Routeur 25.0.1.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:A0

Serveur Web www.soc.pays IP 25.0.2.55 DNS 25.0.1.33 Routeur 25.0.2.1 Masque 255.255.255.0 Eth 08:00:02:54:E2:7F

Donnez les diffrentes trames changes sur les deux rseaux Ethernet lorsque la machine A (pc.soc.pays) cherche tablir une session www sur le serveur W (www.soc.pays). On supposera que les trois machines et le routeur sont correctement configurs. Ils viennent d'tre installs et sont allums lorsque le client commence sa requte. On supposera galement que la machine X (ns.soc.pays) se trouvant sur le mme rseau que le client dispose de l'information permettant de rsoudre directement le nom www.soc.pays en une adresse IP. La rponse cette question se prsentera sous la forme d'un tableau donnant les trames Ethernet dans lordre chronologique. On indiquera pour chaque trame le rseau sur lequel elle a t mise (1 pour le rseau 25.0.1.0 et 2 pour le rseau 25.0.2.0), les adresses physiques de la source et de la destination de la trame, les adresses IP de la source et de la destination (si ncessaire) et un bref commentaire sur le contenu ou la fonction de cette trame ou de son contenu. La dernire trame indiquer dans la table est celle contenant l'arrive de la confirmation d'tablissement de la connexion TCP utilise entre A et W. Modle attendu pour la rponse
# 1 2 3 .. . Rsea u Ad. phy source Ad. phy dest IP source IP dest. Commentaire

Exercice 6
Pour protger des donnes confidentielles, on utilise un systme de chiffrement dit de Csar (qui consiste dcaler les lettres de lalphabet dune constante). Montrer quil est trs ais de dchiffrer le message suivant (crit en franais) : Zsgashwsfrwbhsfbsh

53

Exercice 7
Ecrire en pseudo langage les rgles de filtrage ncessaires refuser en entre dun routeur pare-feu pour le rseau 195.45.3.0 (de masque 255.255.255.0) les attaques en dni de service : inondation de requtes de connexion TCP ou de messages ICMP avec des adresses IP usurpes.

Quelques corrigs

Exercice 2
La distance entre les sites est trop importante pour faire un seul rseau ethernet. Il faut donc mettre en place autant de rseaux Ethernet que de sites donc 250 rseaux Ethernet. Il faudrait 250 routeurs, 1 pour chaque rseau, or pour une entreprise cela revient trop cher. On regroupe donc les sites par 10, et ces regroupements sont relis au FDDI par des gros routeurs, ce qui en rduit le nombre a 25 et donc ce qui rduit le cot pour l'entreprise. Il lui faut une adresse de classe B car il y a 12 000 postes, une adresse de classe C tant insuffisant pour couvrir tous les postes (254 postes seulement) 145.87.0.0 est une adresse de classe B, elle couvre 65534 postes, ce qui est largement suffisant. Plan d'adressage : de 145.87.1.0 145.87.252.0 : une adresse par site + une adresse pour le FDDI Le serveur Web serait idalement plac mi-chemin entre les deux sites les plus loigns. En effet lun ne sera pas dsavantag dans laccs aux pages Web par rapport lautre. Le modle de scurit envisager dans le cas daccs extrieur est le modle DMZ coupl un firewall. Il permet une protection du rseau interne vis--vis de lextrieur, mais permet aussi des serveurs et/ou des applications se connecter lextrieur (aprs configuration). Le plan dadressage prcdent nest plus utile. En effet une adresse de classe C compose de sousrseaux aurait t suffisante puisque le rseau ne sert quen interne. Pour le serveur Web, il faudrait le placer sur le site qui a le plus daccs externe vers Internet (le plus dutilisateurs autoriss). Un routeur et un firewall bien configurs suffisent protger le rseau interne.

Exercice 4
a /le rsolveur DNS ou client DNS b/ parce que les prfixes 194 et 192 sont diffrents ! c/ le module IP situ dans le routeur de sortie du rseau de la machine A

Exercice 6
Lesmetiersdinternet le code est le suivant : dcalage de 14 lettres clair : abcdefghijklmnopqrstuvwxyz chiffr : opqrstuvwxyzabcdefghijklmn En franais la lettre la plus frquente est le e : ici il y a 5s et 3h. Il est logique de tester y=e. Le reste vient tout seul ensuite puisque le dcalage est constant Le systme est donc trs facilement cassable ds lors que lon connat les frquences des lettres dans la langue utilise !

Exercice 7
Usurpation dadresse : des messages proviendraient de lextrieur du rseau avec une adresse dmetteur qui est une adresse interne Dfinition des paramtres : ouraddr = 195.45.3.0/24 (toutes les adresses de notre rseau) anyaddr = nimporte quelle adresse Effacer toutes les rgles en entre Refuser les messages en entre dont ladresse source est ouraddr, ladresse destination est ouraddr, le protocole est TCP et le bit SYN est mis 1 Refuser les messages en entre dont ladresse source est ouraddr, ladresse destination est ouraddr et le protocole est ICMP

54

55